Datenschutzerklärung
Stand: 6. Juli 2026.
Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 DSGVO über die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Dienst KomplAI (komplai.de / komplai.eu; App app.komplai.de) — einer KI-gestützten Compliance-Analyse (EU AI Act, DORA, DSGVO) einschließlich Dokument-Generatoren (Transparenz-Dokumentation, FRIA nach Art. 27 KI-VO, DSFA nach Art. 35 DSGVO).
KomplAI richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB (reines B2B). Ein Verbraucher-Widerrufsrecht besteht nicht.
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
Tippel — Lukas Friedrich (Einzelunternehmen)
Kampweg 4
34369 Hofgeismar
Deutschland
E-Mail: info@tippel.ai
Telefon: +49 178 5879849
Web: www.tippel.ai
2. Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten bestellt. Als Einzelunternehmen sind die Voraussetzungen einer Bestellpflicht nach Art. 37 DSGVO bzw. § 38 BDSG regelmäßig nicht einschlägig. Anfragen in Datenschutzangelegenheiten richten Sie bitte an info@tippel.ai.
3. Rollenverteilung: Verantwortlicher und Auftragsverarbeiter
Für die datenschutzrechtliche Einordnung ist zu unterscheiden:
- Konto- und Nutzungsdaten: Für die Daten, die für Registrierung, Konto, Abrechnung und Betrieb des Dienstes erhoben werden, ist Tippel Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.
- Analyse-Inhalte: Für die von Ihnen hochgeladenen Unterlagen und deren Inhalte (die personenbezogene Daten enthalten können) handelt Tippel ausschließlich als Auftragsverarbeiter nach Art. 28 DSGVO auf Grundlage eines Auftragsverarbeitungsvertrags (AVV). Verantwortlicher für diese Inhalte bleibt der Kunde; er entscheidet über Zwecke und Mittel und stellt die Rechtsgrundlage für die hochgeladenen Daten sicher.
Bitte laden Sie keine personenbezogenen Daten Dritter ohne eigene Rechtsgrundlage hoch. Die folgenden Verarbeitungsbeschreibungen betreffen — soweit nicht anders gekennzeichnet — Verarbeitungen, für die Tippel Verantwortlicher ist.
4. Verarbeitungstätigkeiten im Einzelnen
4.1 Registrierung und Konto
| Merkmal | Angaben |
|---|---|
| Zweck | Anlage und Verwaltung des Nutzerkontos, Authentifizierung, Vertragsdurchführung. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen). |
| Datenkategorien | Name, E-Mail-Adresse, Passwort (nur als bcrypt-Hash gespeichert); Sitzungs-Token in der Datenbank; CSRF-Token; Login-Sperre nach Fehlversuchen. |
| Empfänger / Auftragsverarbeiter | IONOS SE, Montabaur (Hosting, Datenbank, E-Mail; Rechenzentren in Deutschland). |
| Speicherdauer | Bis zur Auflösung des Kontos; danach Löschung, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. |
Für die Sitzungsverwaltung wird ein technisch notwendiges Cookie („komplai_session“) gesetzt (§ 25 Abs. 2 TDDDG). Näheres unter Ziffer 5.
4.2 Analyse-Inhalte (Auftragsverarbeitung)
| Merkmal | Angaben |
|---|---|
| Zweck | Durchführung der beauftragten Compliance-Analyse und Erstellung der Ergebnisse/Dokumente. |
| Rechtsgrundlage | Gegenüber dem Kunden Art. 6 Abs. 1 lit. b DSGVO (Vertrag). Für die Inhalte handelt Tippel als Auftragsverarbeiter nach Art. 28 DSGVO (AVV); Rechtsgrundlage für die enthaltenen personenbezogenen Daten verantwortet der Kunde. |
| Datenkategorien | Hochgeladene Dokumente (PDF/TXT/MD) sowie Quellcode/ZIP-Repositorien und die darin enthaltenen Inhalte; erzeugte Analyse-Ergebnisse. |
| Empfänger / Auftragsverarbeiter | IONOS SE, Montabaur (Speicherung von Dateien und Ergebnissen, DE); OpenRouter Inc. (USA, API-Gateway); Modellanbieter — derzeit Anthropic (USA, via OpenRouter). |
| Drittland | Übermittlung in die USA an OpenRouter und den Modellanbieter (siehe Ziffer 7). |
| Speicherdauer | Hochgeladene Dateien und Ergebnisse liegen dem Konto zugeordnet auf dem Server (IONOS, DE) bis zur Löschung durch den Nutzer bzw. bis zur Auflösung des Kontos. |
Die Inhalte werden zur Analyse an die API von OpenRouter Inc. (USA) und den
gewählten Modellanbieter übertragen. Das Provider-Routing erfolgt mit der
Einstellung data_collection: deny: keine Speicherung der Inhalte durch
den Anbieter, keine Nutzung zum Training. Ergebnisse und hochgeladene Dateien
werden dem Konto zugeordnet auf dem Server (IONOS, Deutschland) gespeichert.
4.3 Zahlungen (Stripe)
| Merkmal | Angaben |
|---|---|
| Zweck | Abwicklung von Zahlungen für Credits und Abonnements. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertrag). |
| Datenkategorien | Zahlungs- und Abrechnungsdaten. Vollständige Zahlungsdaten (z. B. Kartendaten) liegen ausschließlich bei Stripe; wir erhalten sie nicht. Preise verstehen sich netto zzgl. gesetzlicher Umsatzsteuer. |
| Empfänger / Auftragsverarbeiter | Stripe Payments Europe, Ltd., Dublin, Irland. |
| Speicherdauer | Zahlungs- und Rechnungsbelege werden gemäß den handels- und steuerrechtlichen Aufbewahrungsfristen aufbewahrt: 8 Jahre (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB; seit dem 1. Januar 2025 von 10 auf 8 Jahre verkürzt). |
Zum Credit-Modell: 1 Analyse = 1 Credit; ein Verifikations-Pass kostet +1 Credit; bei Registrierung erhalten Sie 1 Gratis-Credit; gekaufte Credits verfallen nicht; Abo-Credits gelten pro Abrechnungsmonat; das Abonnement ist monatlich kündbar; bei einer fehlgeschlagenen Analyse erfolgt eine automatische Credit-Erstattung.
4.4 Server-Logs
| Merkmal | Angaben |
|---|---|
| Zweck | Gewährleistung von Betriebssicherheit, Stabilität und Missbrauchsabwehr. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). |
| Datenkategorien | IP-Adresse, Zeitpunkt des Zugriffs, aufgerufene URL. |
| Empfänger / Auftragsverarbeiter | IONOS SE, Montabaur (DE). |
| Speicherdauer | Kurzfristig; [zu ergänzen: konkrete Speicherfrist der Server-Logs]. |
Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO): Unser berechtigtes Interesse liegt im sicheren und stabilen Betrieb des Dienstes sowie der Erkennung und Abwehr von Angriffen und Missbrauch. Die Verarbeitung beschränkt sich auf die dafür erforderlichen technischen Daten und erfolgt nur kurzfristig; eine Zusammenführung mit anderen Datenbeständen zu Analysezwecken findet nicht statt. Überwiegende schutzwürdige Interessen der Betroffenen sind daher nicht ersichtlich.
4.5 E-Mail-Versand (Verifizierung / Passwort-Reset)
| Merkmal | Angaben |
|---|---|
| Zweck | Versand von E-Mails zur Adressverifizierung und zum Zurücksetzen des Passworts. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen). |
| Datenkategorien | E-Mail-Adresse, Verifizierungs-/Reset-Token, Zeitpunkt. |
| Empfänger / Auftragsverarbeiter | IONOS SE, Montabaur (E-Mail-Versand, DE). |
| Speicherdauer | Token nur für die Dauer ihrer Gültigkeit; im Übrigen im Rahmen der Kontodaten. |
4.6 Webanalyse mit Google Analytics 4
| Merkmal | Angaben |
|---|---|
| Zweck | Pseudonyme Reichweiten- und Nutzungsanalyse der Website (welche Seiten aufgerufen werden, Geräte-/Browser-Klasse, ungefähre Region), um das Angebot zu verbessern. Es findet keine websiteübergreifende Werbung statt. |
| Rechtsgrundlage | Einwilligung, Art. 6 Abs. 1 lit. a DSGVO; für das Speichern von Informationen im Endgerät bzw. den Zugriff auf bereits gespeicherte Informationen § 25 Abs. 1 TDDDG. Die Verarbeitung erfolgt ausschließlich, nachdem Sie im Cookie-Banner aktiv eingewilligt haben. Die Einwilligung ist freiwillig und jederzeit mit Wirkung für die Zukunft widerrufbar. |
| Datenkategorien | Pseudonyme Nutzungs- und Gerätedaten (aufgerufene Seiten, Referrer, Zeitpunkt, Geräte-/Browser-Klasse, ungefähre Region), pseudonyme Kennungen. |
| Empfänger / Auftragsverarbeiter | Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (als Auftragsverarbeiter auf Basis der Google-Datenverarbeitungsbedingungen); Weiterübermittlung an Google LLC, USA. |
| Drittland | USA — Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend werden Standardvertragsklauseln herangezogen. IP-Adressen werden in GA4 nicht protokolliert bzw. gespeichert (GA4 erhebt keine IP-Adressen als Teil des Berichts); die IP-Adresse wird lediglich zur groben Standortableitung genutzt und nicht gespeichert. |
| Cookies | „_ga“ und „_ga_5BG9HQ1619“ (Laufzeit jeweils bis zu 2 Jahre). |
| Speicherdauer | Cookies bis zu 2 Jahre; die auf Nutzer- und Ereignisebene erhobenen Daten werden gemäß der GA4-Aufbewahrungseinstellung (2 bzw. maximal 14 Monate) gelöscht. |
| Widerruf | Über den Link „Cookie-Einstellungen“ im Seitenfuß bzw. durch erneuten Aufruf des Cookie-Banners; die Wirkung tritt für die Zukunft ein. |
Google Analytics 4 wird erst geladen und es werden erst Analyse-Cookies gesetzt, nachdem Sie im Cookie-Banner eingewilligt haben. Ohne Einwilligung findet keine Webanalyse statt und es werden keine Analyse-Cookies gesetzt. Ihre einmal erteilte Einwilligung können Sie jederzeit über den Link „Cookie-Einstellungen“ im Seitenfuß mit Wirkung für die Zukunft widerrufen.
5. Cookies und lokale Technologien
Wir unterscheiden zwischen technisch notwendigen Technologien, die einwilligungsfrei zulässig sind, und einwilligungspflichtigen Analyse-Cookies:
Technisch notwendige Technologien (einwilligungsfrei nach § 25 Abs. 2 TDDDG):
- Session-Cookie („komplai_session“) — zur Sitzungsverwaltung/Anmeldung (Art. 6 Abs. 1 lit. f DSGVO / § 25 Abs. 2 TDDDG);
- CSRF-Token — zum Schutz vor Cross-Site-Request-Forgery;
- Spracheinstellung — zur Speicherung der gewählten Sprache;
- Einwilligungsentscheidung — Ihre im Cookie-Banner getroffene Entscheidung wird lokal in Ihrem Browser gespeichert (localStorage-Schlüssel „komplai_consent“), damit wir Ihre Auswahl beim nächsten Besuch berücksichtigen können. Diese Speicherung ist unbedingt erforderlich und daher einwilligungsfrei.
Diese Technologien sind für die Bereitstellung des von Ihnen ausdrücklich gewünschten Dienstes bzw. zur Erfüllung Ihrer Auswahl unbedingt erforderlich; die Speicherung ist nach § 25 Abs. 2 TDDDG einwilligungsfrei zulässig.
Einwilligungspflichtige Analyse-Cookies (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO):
- Analyse-Cookies („_ga“, „_ga_5BG9HQ1619“; Google Analytics 4) — werden ausschließlich nach Ihrer Einwilligung im Cookie-Banner (Opt-in) gesetzt. Ohne Einwilligung werden keine Analyse-Cookies gesetzt und Google Analytics wird nicht geladen. Näheres zu dieser Verarbeitung finden Sie unter Ziffer 4.6.
Ihre Einwilligung können Sie jederzeit über den Link „Cookie-Einstellungen“ im Seitenfuß mit Wirkung für die Zukunft widerrufen. Wir setzen keine Werbe- oder Marketing-Cookies ein.
6. Empfänger und Auftragsverarbeiter
Wir setzen sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter nach Art. 28 DSGVO ein; mit diesen bestehen entsprechende Auftragsverarbeitungsverträge. Die aktuelle Subunternehmerliste umfasst:
| Dienstleister | Sitz | Funktion |
|---|---|---|
| IONOS SE | Montabaur, DE | Hosting, Datenbank, E-Mail-Versand |
| OpenRouter Inc. | USA | API-Gateway für die KI-Analyse |
| Anthropic | USA | Modellanbieter (via OpenRouter) |
| Stripe Payments Europe, Ltd. | Dublin, Irland | Zahlungsabwicklung |
| Google Ireland Limited | Dublin, IE | Webanalyse (Google Analytics 4), nur mit Einwilligung |
Eine aktuelle Fassung der Subunternehmerliste sowie Auskünfte zu den bestehenden AV-Verträgen stellen wir auf Anfrage unter info@tippel.ai bereit.
7. Übermittlung in Drittländer (USA)
Bei der Analyse werden Inhalte an OpenRouter Inc. (USA) und den Modellanbieter
(derzeit Anthropic, USA) übermittelt. Für diese Übermittlung in die USA stützen wir
uns auf die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c
DSGVO) als geeignete Garantien. Als ergänzende Zusatzmaßnahme wird das
Provider-Routing mit data_collection: deny betrieben (keine Speicherung,
kein Training beim Anbieter). Ob ein Anbieter zusätzlich unter dem EU-US Data Privacy
Framework zertifiziert ist, ist [zu prüfen, ob Anbieter zertifiziert].
Eine Kopie der geeigneten Garantien stellen wir auf Anfrage unter
info@tippel.ai zur Verfügung.
Bei der Webanalyse mit Google Analytics 4 (siehe Ziffer 4.6) werden Daten an Google LLC (USA) übermittelt. Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend werden die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) herangezogen. Diese Übermittlung findet ausschließlich mit Ihrer Einwilligung statt.
8. Speicherdauer im Überblick
- Kontodaten: bis zur Auflösung des Kontos, danach vorbehaltlich gesetzlicher Aufbewahrungspflichten.
- Analyse-Ergebnisse und hochgeladene Dateien: bis zur Löschung durch den Nutzer bzw. bis zur Auflösung des Kontos.
- Server-Logs: kurzfristig; [zu ergänzen: konkrete Speicherfrist].
- Zahlungs- und Rechnungsbelege: 8 Jahre (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB; seit dem 1. Januar 2025 von 10 auf 8 Jahre verkürzt).
9. Pflicht zur Bereitstellung
Die Bereitstellung der Konto- und Zahlungsdaten ist für den Vertragsschluss und die Nutzung des Dienstes erforderlich (Art. 13 Abs. 2 lit. e DSGVO). Ohne diese Daten können wir das Konto nicht anlegen bzw. den Dienst nicht bereitstellen. Die Bereitstellung von Analyse-Inhalten liegt in Ihrer Entscheidung; ohne sie kann keine Analyse durchgeführt werden.
10. Keine automatisierte Entscheidungsfindung gegenüber Nutzern
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO gegenüber Ihnen statt. Das Tool bewertet die von Ihnen hochgeladenen Unterlagen und erstellt Analyse-Ergebnisse; es trifft keine rechtlich erheblichen automatisierten Entscheidungen über Ihre Person.
11. Ihre Rechte
Sie haben nach Maßgabe der gesetzlichen Voraussetzungen folgende Rechte:
- Auskunft (Art. 15 DSGVO),
- Berichtigung (Art. 16 DSGVO),
- Löschung (Art. 17 DSGVO),
- Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Datenübertragbarkeit (Art. 20 DSGVO),
- Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO gestützt sind, aus Gründen, die sich aus Ihrer besonderen Situation ergeben.
Zur Ausübung Ihrer Rechte wenden Sie sich an info@tippel.ai. Betreffen Ihre Rechte Analyse-Inhalte, für die wir Auftragsverarbeiter sind, richten Sie diese bitte an den jeweils verantwortlichen Kunden; wir unterstützen den Verantwortlichen dabei im Rahmen des Art. 28 DSGVO.
12. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Wiesbaden
13. Datensicherheit
Wir treffen geeignete technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (u. a. Speicherung von Passwörtern als bcrypt-Hash, CSRF-Schutz, Login-Sperre nach Fehlversuchen, Verschlüsselung der Datenübertragung). Nähere Informationen zu den TOM stellen wir auf Anfrage bereit.
14. Aktualität und Änderungen
Wir passen diese Datenschutzerklärung an, sobald Änderungen der Verarbeitung oder der Rechtslage dies erfordern. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.