KomplAI
EU AI Act Risiko-Check Funktionen Methodik FAQ Preise Anmelden Kostenlos testen ENDE

Datenschutzerklärung

ENTWURF — dies ist ein Entwurf und keine Rechtsberatung. Vor Livegang juristisch prüfen lassen. Es wird nicht zugesichert, dass dieses Dokument rechtlich geprüft, ausreichend oder verbindlich ist.

Stand: 6. Juli 2026.

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 DSGVO über die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Dienst KomplAI (komplai.de / komplai.eu; App app.komplai.de) — einer KI-gestützten Compliance-Analyse (EU AI Act, DORA, DSGVO) einschließlich Dokument-Generatoren (Transparenz-Dokumentation, FRIA nach Art. 27 KI-VO, DSFA nach Art. 35 DSGVO).

KomplAI richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB (reines B2B). Ein Verbraucher-Widerrufsrecht besteht nicht.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Tippel — Lukas Friedrich (Einzelunternehmen)
Kampweg 4
34369 Hofgeismar
Deutschland

E-Mail: info@tippel.ai
Telefon: +49 178 5879849
Web: www.tippel.ai

2. Datenschutzbeauftragter

Wir haben keinen Datenschutzbeauftragten bestellt. Als Einzelunternehmen sind die Voraussetzungen einer Bestellpflicht nach Art. 37 DSGVO bzw. § 38 BDSG regelmäßig nicht einschlägig. Anfragen in Datenschutzangelegenheiten richten Sie bitte an info@tippel.ai.

3. Rollenverteilung: Verantwortlicher und Auftragsverarbeiter

Für die datenschutzrechtliche Einordnung ist zu unterscheiden:

  • Konto- und Nutzungsdaten: Für die Daten, die für Registrierung, Konto, Abrechnung und Betrieb des Dienstes erhoben werden, ist Tippel Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.
  • Analyse-Inhalte: Für die von Ihnen hochgeladenen Unterlagen und deren Inhalte (die personenbezogene Daten enthalten können) handelt Tippel ausschließlich als Auftragsverarbeiter nach Art. 28 DSGVO auf Grundlage eines Auftragsverarbeitungsvertrags (AVV). Verantwortlicher für diese Inhalte bleibt der Kunde; er entscheidet über Zwecke und Mittel und stellt die Rechtsgrundlage für die hochgeladenen Daten sicher.

Bitte laden Sie keine personenbezogenen Daten Dritter ohne eigene Rechtsgrundlage hoch. Die folgenden Verarbeitungsbeschreibungen betreffen — soweit nicht anders gekennzeichnet — Verarbeitungen, für die Tippel Verantwortlicher ist.

4. Verarbeitungstätigkeiten im Einzelnen

4.1 Registrierung und Konto

MerkmalAngaben
ZweckAnlage und Verwaltung des Nutzerkontos, Authentifizierung, Vertragsdurchführung.
RechtsgrundlageArt. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen).
DatenkategorienName, E-Mail-Adresse, Passwort (nur als bcrypt-Hash gespeichert); Sitzungs-Token in der Datenbank; CSRF-Token; Login-Sperre nach Fehlversuchen.
Empfänger / AuftragsverarbeiterIONOS SE, Montabaur (Hosting, Datenbank, E-Mail; Rechenzentren in Deutschland).
SpeicherdauerBis zur Auflösung des Kontos; danach Löschung, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Für die Sitzungsverwaltung wird ein technisch notwendiges Cookie („komplai_session“) gesetzt (§ 25 Abs. 2 TDDDG). Näheres unter Ziffer 5.

4.2 Analyse-Inhalte (Auftragsverarbeitung)

MerkmalAngaben
ZweckDurchführung der beauftragten Compliance-Analyse und Erstellung der Ergebnisse/Dokumente.
RechtsgrundlageGegenüber dem Kunden Art. 6 Abs. 1 lit. b DSGVO (Vertrag). Für die Inhalte handelt Tippel als Auftragsverarbeiter nach Art. 28 DSGVO (AVV); Rechtsgrundlage für die enthaltenen personenbezogenen Daten verantwortet der Kunde.
DatenkategorienHochgeladene Dokumente (PDF/TXT/MD) sowie Quellcode/ZIP-Repositorien und die darin enthaltenen Inhalte; erzeugte Analyse-Ergebnisse.
Empfänger / AuftragsverarbeiterIONOS SE, Montabaur (Speicherung von Dateien und Ergebnissen, DE); OpenRouter Inc. (USA, API-Gateway); Modellanbieter — derzeit Anthropic (USA, via OpenRouter).
DrittlandÜbermittlung in die USA an OpenRouter und den Modellanbieter (siehe Ziffer 7).
SpeicherdauerHochgeladene Dateien und Ergebnisse liegen dem Konto zugeordnet auf dem Server (IONOS, DE) bis zur Löschung durch den Nutzer bzw. bis zur Auflösung des Kontos.

Die Inhalte werden zur Analyse an die API von OpenRouter Inc. (USA) und den gewählten Modellanbieter übertragen. Das Provider-Routing erfolgt mit der Einstellung data_collection: deny: keine Speicherung der Inhalte durch den Anbieter, keine Nutzung zum Training. Ergebnisse und hochgeladene Dateien werden dem Konto zugeordnet auf dem Server (IONOS, Deutschland) gespeichert.

4.3 Zahlungen (Stripe)

MerkmalAngaben
ZweckAbwicklung von Zahlungen für Credits und Abonnements.
RechtsgrundlageArt. 6 Abs. 1 lit. b DSGVO (Vertrag).
DatenkategorienZahlungs- und Abrechnungsdaten. Vollständige Zahlungsdaten (z. B. Kartendaten) liegen ausschließlich bei Stripe; wir erhalten sie nicht. Preise verstehen sich netto zzgl. gesetzlicher Umsatzsteuer.
Empfänger / AuftragsverarbeiterStripe Payments Europe, Ltd., Dublin, Irland.
SpeicherdauerZahlungs- und Rechnungsbelege werden gemäß den handels- und steuerrechtlichen Aufbewahrungsfristen aufbewahrt: 8 Jahre (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB; seit dem 1. Januar 2025 von 10 auf 8 Jahre verkürzt).

Zum Credit-Modell: 1 Analyse = 1 Credit; ein Verifikations-Pass kostet +1 Credit; bei Registrierung erhalten Sie 1 Gratis-Credit; gekaufte Credits verfallen nicht; Abo-Credits gelten pro Abrechnungsmonat; das Abonnement ist monatlich kündbar; bei einer fehlgeschlagenen Analyse erfolgt eine automatische Credit-Erstattung.

4.4 Server-Logs

MerkmalAngaben
ZweckGewährleistung von Betriebssicherheit, Stabilität und Missbrauchsabwehr.
RechtsgrundlageArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
DatenkategorienIP-Adresse, Zeitpunkt des Zugriffs, aufgerufene URL.
Empfänger / AuftragsverarbeiterIONOS SE, Montabaur (DE).
SpeicherdauerKurzfristig; [zu ergänzen: konkrete Speicherfrist der Server-Logs].

Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO): Unser berechtigtes Interesse liegt im sicheren und stabilen Betrieb des Dienstes sowie der Erkennung und Abwehr von Angriffen und Missbrauch. Die Verarbeitung beschränkt sich auf die dafür erforderlichen technischen Daten und erfolgt nur kurzfristig; eine Zusammenführung mit anderen Datenbeständen zu Analysezwecken findet nicht statt. Überwiegende schutzwürdige Interessen der Betroffenen sind daher nicht ersichtlich.

4.5 E-Mail-Versand (Verifizierung / Passwort-Reset)

MerkmalAngaben
ZweckVersand von E-Mails zur Adressverifizierung und zum Zurücksetzen des Passworts.
RechtsgrundlageArt. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen).
DatenkategorienE-Mail-Adresse, Verifizierungs-/Reset-Token, Zeitpunkt.
Empfänger / AuftragsverarbeiterIONOS SE, Montabaur (E-Mail-Versand, DE).
SpeicherdauerToken nur für die Dauer ihrer Gültigkeit; im Übrigen im Rahmen der Kontodaten.

4.6 Webanalyse mit Google Analytics 4

MerkmalAngaben
ZweckPseudonyme Reichweiten- und Nutzungsanalyse der Website (welche Seiten aufgerufen werden, Geräte-/Browser-Klasse, ungefähre Region), um das Angebot zu verbessern. Es findet keine websiteübergreifende Werbung statt.
RechtsgrundlageEinwilligung, Art. 6 Abs. 1 lit. a DSGVO; für das Speichern von Informationen im Endgerät bzw. den Zugriff auf bereits gespeicherte Informationen § 25 Abs. 1 TDDDG. Die Verarbeitung erfolgt ausschließlich, nachdem Sie im Cookie-Banner aktiv eingewilligt haben. Die Einwilligung ist freiwillig und jederzeit mit Wirkung für die Zukunft widerrufbar.
DatenkategorienPseudonyme Nutzungs- und Gerätedaten (aufgerufene Seiten, Referrer, Zeitpunkt, Geräte-/Browser-Klasse, ungefähre Region), pseudonyme Kennungen.
Empfänger / AuftragsverarbeiterGoogle Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (als Auftragsverarbeiter auf Basis der Google-Datenverarbeitungsbedingungen); Weiterübermittlung an Google LLC, USA.
DrittlandUSA — Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend werden Standardvertragsklauseln herangezogen. IP-Adressen werden in GA4 nicht protokolliert bzw. gespeichert (GA4 erhebt keine IP-Adressen als Teil des Berichts); die IP-Adresse wird lediglich zur groben Standortableitung genutzt und nicht gespeichert.
Cookies„_ga“ und „_ga_5BG9HQ1619“ (Laufzeit jeweils bis zu 2 Jahre).
SpeicherdauerCookies bis zu 2 Jahre; die auf Nutzer- und Ereignisebene erhobenen Daten werden gemäß der GA4-Aufbewahrungseinstellung (2 bzw. maximal 14 Monate) gelöscht.
WiderrufÜber den Link „Cookie-Einstellungen“ im Seitenfuß bzw. durch erneuten Aufruf des Cookie-Banners; die Wirkung tritt für die Zukunft ein.

Google Analytics 4 wird erst geladen und es werden erst Analyse-Cookies gesetzt, nachdem Sie im Cookie-Banner eingewilligt haben. Ohne Einwilligung findet keine Webanalyse statt und es werden keine Analyse-Cookies gesetzt. Ihre einmal erteilte Einwilligung können Sie jederzeit über den Link „Cookie-Einstellungen“ im Seitenfuß mit Wirkung für die Zukunft widerrufen.

5. Cookies und lokale Technologien

Wir unterscheiden zwischen technisch notwendigen Technologien, die einwilligungsfrei zulässig sind, und einwilligungspflichtigen Analyse-Cookies:

Technisch notwendige Technologien (einwilligungsfrei nach § 25 Abs. 2 TDDDG):

  • Session-Cookie („komplai_session“) — zur Sitzungsverwaltung/Anmeldung (Art. 6 Abs. 1 lit. f DSGVO / § 25 Abs. 2 TDDDG);
  • CSRF-Token — zum Schutz vor Cross-Site-Request-Forgery;
  • Spracheinstellung — zur Speicherung der gewählten Sprache;
  • Einwilligungsentscheidung — Ihre im Cookie-Banner getroffene Entscheidung wird lokal in Ihrem Browser gespeichert (localStorage-Schlüssel „komplai_consent“), damit wir Ihre Auswahl beim nächsten Besuch berücksichtigen können. Diese Speicherung ist unbedingt erforderlich und daher einwilligungsfrei.

Diese Technologien sind für die Bereitstellung des von Ihnen ausdrücklich gewünschten Dienstes bzw. zur Erfüllung Ihrer Auswahl unbedingt erforderlich; die Speicherung ist nach § 25 Abs. 2 TDDDG einwilligungsfrei zulässig.

Einwilligungspflichtige Analyse-Cookies (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO):

  • Analyse-Cookies („_ga“, „_ga_5BG9HQ1619“; Google Analytics 4) — werden ausschließlich nach Ihrer Einwilligung im Cookie-Banner (Opt-in) gesetzt. Ohne Einwilligung werden keine Analyse-Cookies gesetzt und Google Analytics wird nicht geladen. Näheres zu dieser Verarbeitung finden Sie unter Ziffer 4.6.

Ihre Einwilligung können Sie jederzeit über den Link „Cookie-Einstellungen“ im Seitenfuß mit Wirkung für die Zukunft widerrufen. Wir setzen keine Werbe- oder Marketing-Cookies ein.

6. Empfänger und Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter nach Art. 28 DSGVO ein; mit diesen bestehen entsprechende Auftragsverarbeitungsverträge. Die aktuelle Subunternehmerliste umfasst:

DienstleisterSitzFunktion
IONOS SEMontabaur, DEHosting, Datenbank, E-Mail-Versand
OpenRouter Inc.USAAPI-Gateway für die KI-Analyse
AnthropicUSAModellanbieter (via OpenRouter)
Stripe Payments Europe, Ltd.Dublin, IrlandZahlungsabwicklung
Google Ireland LimitedDublin, IEWebanalyse (Google Analytics 4), nur mit Einwilligung

Eine aktuelle Fassung der Subunternehmerliste sowie Auskünfte zu den bestehenden AV-Verträgen stellen wir auf Anfrage unter info@tippel.ai bereit.

7. Übermittlung in Drittländer (USA)

Bei der Analyse werden Inhalte an OpenRouter Inc. (USA) und den Modellanbieter (derzeit Anthropic, USA) übermittelt. Für diese Übermittlung in die USA stützen wir uns auf die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als geeignete Garantien. Als ergänzende Zusatzmaßnahme wird das Provider-Routing mit data_collection: deny betrieben (keine Speicherung, kein Training beim Anbieter). Ob ein Anbieter zusätzlich unter dem EU-US Data Privacy Framework zertifiziert ist, ist [zu prüfen, ob Anbieter zertifiziert]. Eine Kopie der geeigneten Garantien stellen wir auf Anfrage unter info@tippel.ai zur Verfügung.

Bei der Webanalyse mit Google Analytics 4 (siehe Ziffer 4.6) werden Daten an Google LLC (USA) übermittelt. Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend werden die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) herangezogen. Diese Übermittlung findet ausschließlich mit Ihrer Einwilligung statt.

8. Speicherdauer im Überblick

  • Kontodaten: bis zur Auflösung des Kontos, danach vorbehaltlich gesetzlicher Aufbewahrungspflichten.
  • Analyse-Ergebnisse und hochgeladene Dateien: bis zur Löschung durch den Nutzer bzw. bis zur Auflösung des Kontos.
  • Server-Logs: kurzfristig; [zu ergänzen: konkrete Speicherfrist].
  • Zahlungs- und Rechnungsbelege: 8 Jahre (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB; seit dem 1. Januar 2025 von 10 auf 8 Jahre verkürzt).

9. Pflicht zur Bereitstellung

Die Bereitstellung der Konto- und Zahlungsdaten ist für den Vertragsschluss und die Nutzung des Dienstes erforderlich (Art. 13 Abs. 2 lit. e DSGVO). Ohne diese Daten können wir das Konto nicht anlegen bzw. den Dienst nicht bereitstellen. Die Bereitstellung von Analyse-Inhalten liegt in Ihrer Entscheidung; ohne sie kann keine Analyse durchgeführt werden.

10. Keine automatisierte Entscheidungsfindung gegenüber Nutzern

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO gegenüber Ihnen statt. Das Tool bewertet die von Ihnen hochgeladenen Unterlagen und erstellt Analyse-Ergebnisse; es trifft keine rechtlich erheblichen automatisierten Entscheidungen über Ihre Person.

11. Ihre Rechte

Sie haben nach Maßgabe der gesetzlichen Voraussetzungen folgende Rechte:

  • Auskunft (Art. 15 DSGVO),
  • Berichtigung (Art. 16 DSGVO),
  • Löschung (Art. 17 DSGVO),
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO gestützt sind, aus Gründen, die sich aus Ihrer besonderen Situation ergeben.

Zur Ausübung Ihrer Rechte wenden Sie sich an info@tippel.ai. Betreffen Ihre Rechte Analyse-Inhalte, für die wir Auftragsverarbeiter sind, richten Sie diese bitte an den jeweils verantwortlichen Kunden; wir unterstützen den Verantwortlichen dabei im Rahmen des Art. 28 DSGVO.

12. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Wiesbaden

13. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (u. a. Speicherung von Passwörtern als bcrypt-Hash, CSRF-Schutz, Login-Sperre nach Fehlversuchen, Verschlüsselung der Datenübertragung). Nähere Informationen zu den TOM stellen wir auf Anfrage bereit.

14. Aktualität und Änderungen

Wir passen diese Datenschutzerklärung an, sobald Änderungen der Verarbeitung oder der Rechtslage dies erfordern. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.

KomplAI
KI-Compliance-Prüfung: EU AI Act · DORA · DSGVO
Ein Produkt von Tippel
Rechtliches Impressum
Datenschutz
AGB
Cookie-Einstellungen
Auftragsverarbeitung AVV / DPA
Subunternehmer
TOM / TOMs
Alle Analysen sind fachliche Hilfsergebnisse und ersetzen keine Rechtsberatung.
© 2026 Tippel — Lukas Friedrich