Datenschutzerklärung

1. Verantwortlicher

Dominik Seib
Pfarrer-Fürst-Str. 13
94227 Zwiesel
Deutschland
E-Mail: dominikseib@t-online.de

2. Verarbeitungszwecke und Datenkategorien

Bei der Nutzung von SlideBuddy verarbeiten wir folgende personenbezogene Daten:

• Account-Daten: E-Mail, Anzeigename, gehashtes Passwort. Zweck: Authentifizierung und Account-Verwaltung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• Hochgeladene Quelldokumente: PDF/DOCX/Markdown/HTML-Dateien sowie URLs. Diese werden zur Erstellung der Präsentation verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Konversationen und Nachrichten: Chat-Verlauf mit dem Agenten, generierte Folien, Edit-Operationen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Audit-Log: Erstellte Präsentationen, Export-Zeitpunkte, Folienanzahl pro Nutzer. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachvollziehbarkeit und Abrechnung).
• Technische Logs: IP-Adresse, Zeitstempel, Request-Pfade. Zweck: Betriebssicherheit und Fehleranalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

3. Empfänger und Auftragsverarbeiter

Wir setzen Auftragsverarbeiter in folgenden Kategorien ein, mit denen jeweils Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestehen:

• Hosting und Datenbankbetrieb — Bereitstellung der Anwendung, Speicherung von Account-Daten, Uploads und Konversationen. Verarbeitung ausschließlich in Rechenzentren innerhalb der EU.
• KI-Inferenz — Übermittlung der hochgeladenen Quelldokumente und Chat-Eingaben an Sprachmodelle zur Generierung der Präsentationen. Verarbeitung ausschließlich in EU-Regionen der eingesetzten Cloud-Anbieter. Eingaben und Ausgaben werden bei den Anbietern maximal 30 Tage zur Missbrauchserkennung vorgehalten und nicht zum Training von KI-Modellen verwendet (No-Training-Modus vertraglich zugesichert).
• E-Mail-Versand — Transaktionsmails wie Passwort-Reset oder Account-Bestätigungen. SMTP-Provider mit Sitz in der EU.

Eine aktuelle namentliche Liste der konkret eingesetzten Auftragsverarbeiter (Subprozessoren) ist auf unserer Subprozessoren-Seite einsehbar. Weitere im Einzelfall eingesetzte Subprozessoren werden den Auftraggebern auf Anfrage mitgeteilt. Über beabsichtigte Änderungen werden wir Sie rechtzeitig informieren; Ihnen steht in diesem Fall ein Widerspruchsrecht zu.

Verarbeitungsort: Sämtliche Verarbeitungen finden ausschließlich in der EU statt. Soweit wir Auftragsverarbeiter einsetzen, deren Konzernmuttergesellschaft außerhalb der EU ansässig ist (etwa US-amerikanische Cloud-Anbieter mit EU-Tochter), erfolgt der Datenzugriff ausschließlich durch die EU-Tochtergesellschaft und in EU- Rechenzentren. Eine Übermittlung in Drittländer im Sinne des Art. 44 DSGVO findet nicht statt. Für etwaige indirekte Zugriffsmöglichkeiten ausländischer Behörden (insbesondere nach dem US-CLOUD-Act) bestehen vertragliche und technische Schutzmaßnahmen einschließlich Datenverschlüsselung sowie der Verpflichtung der Anbieter, gerichtliche Anordnungen zu prüfen und uns über behördliche Datenanforderungen zu informieren, soweit gesetzlich zulässig.

4. Speicherdauern

• Account-Daten: für die Dauer der Nutzung des Dienstes.
• Hochgeladene Quelldokumente: bis zum Abschluss der zugehörigen Konversation, spätestens 90 Tage nach Upload.
• Konversationen und Nachrichten: solange die Konversation besteht.
• Audit-Log: 12 Monate ab Erstellung.
• Technische Logs: maximal 30 Tage ab Erstellung.

5. Cookies und Tracking

Wir setzen ausschließlich technisch notwendige Cookies bzw. Session-Speicher zur Authentifizierung ein. Es findet kein Tracking, kein Analytics und keine Profilbildung statt. Eine Einwilligung im Sinne von § 25 TTDSG ist daher nicht erforderlich.

6. Ihre Rechte

Sie haben das Recht auf:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die oben genannte E-Mail-Adresse. Im Self-Service können Sie unter „Profil → Daten exportieren" sowie „Profil → Account löschen" Ihre Daten exportieren bzw. Ihren Account löschen.

7. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist für uns das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

8. Einsatz von Künstlicher Intelligenz (KI)

SlideBuddy ist ein generatives KI-System. Zur Erstellung der Präsentationen werden die hochgeladenen Quelldokumente sowie Ihre Chat-Eingaben an Sprachmodelle externer Anbieter übermittelt, die ausschließlich in EU-Rechenzentren betrieben werden. Welche konkreten Modelle und Anbieter zum Einsatz kommen, kann sich technisch fortentwickeln; die jeweils aktuelle Liste der eingesetzten Auftragsverarbeiter (Subprozessoren) finden Sie auf unserer Subprozessoren-Seite. Es handelt sich nach Einschätzung des Anbieters um ein KI-System mit minimalem Risiko im Sinne der KI-Verordnung (Verordnung (EU) 2024/1689, „AI Act"); es liegt keine Hochrisiko-Anwendung im Sinne des Anhangs III vor.

Transparenzhinweis nach Art. 50 KI-VO: Die durch SlideBuddy erzeugten Folieninhalte (Texte, Gliederungen, Zusammenfassungen) sind künstlich generiert. Sie sind als KI-generiert erkennbar zu kennzeichnen, sofern Sie sie veröffentlichen, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren.

Funktionsweise (Logik): Das Modell erzeugt Inhalte statistisch auf Basis seiner Trainingsdaten und der von Ihnen bereitgestellten Quellen. Es kann zu inhaltlichen Fehlern, Auslassungen oder sogenannten Halluzinationen kommen. Sämtliche Ausgaben sind vor weiterer Verwendung durch Sie inhaltlich zu prüfen.

Keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO: Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung oder vergleichbarer Beeinträchtigung statt. Alle erzeugten Inhalte werden Ihnen lediglich vorgeschlagen und können von Ihnen angepasst, übernommen oder verworfen werden. Es findet kein Profiling und keine Persönlichkeits- oder Verhaltensbewertung statt.

9. Hosting und technische Datenverarbeitung

Die Anwendung wird in einem Rechenzentrum der Hetzner Online GmbH in Deutschland betrieben. Bei jedem Aufruf werden technisch notwendige Verbindungsdaten (insbesondere IP-Adresse, Zeitstempel, User-Agent, aufgerufener Pfad, HTTP-Statuscode) verarbeitet. Diese Daten werden nach maximal 30 Tagen automatisch gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse besteht in der Sicherstellung des stabilen und sicheren Betriebs sowie in der Abwehr von Angriffen.

10. Datensicherheit

Die Übertragung zwischen Ihrem Endgerät und unseren Servern erfolgt ausschließlich verschlüsselt (TLS 1.2 oder höher). Passwörter werden nicht im Klartext, sondern ausschließlich als Hash (bcrypt/argon2) gespeichert. Der Zugriff auf Produktivdaten ist auf den Anbieter selbst sowie technisch erforderliche Wartungsvorgänge beschränkt.

11. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, soweit dies aufgrund neuer Technologien oder Gesetzesänderungen erforderlich wird. Die jeweils aktuelle Version ist hier abrufbar.