Datenschutzerklärung – Factory 42 Webapp

Stand: 27. November 2025

1. Verantwortlicher

Verantwortlich für diese Web-Anwendung im Sinne der DSGVO ist:
stulle.ai // Dr.-Ing. Markus A. Stulle
Weitere Pflichtangaben im Impressum.

2. Geltungsbereich

Diese Erklärung gilt für die Nutzung der Factory 42 Webapp unter https://factory-42.stulle.ai inklusive authentifizierter Bereiche sowie der zugehörigen Backend-Schnittstellen.

3. Verarbeitete Datenkategorien

  • Identitäts- und Kontaktdaten: Name, E-Mail-Adresse, Benutzer-/Konto-IDs (aus deinem Identity-Provider).
  • Authentifizierungs-/Sitzungsdaten: Tokens (z. B. OIDC/JWT), Session-Informationen, An-/Abmeldezeitpunkte.
  • Nutzungs- & Metadaten: IP-Adresse, Zeitstempel, User-Agent, Sprache/Locale, Zeitzone, Log-Einträge und Audit-Trail-Ereignisse (z. B. „first_login“).
  • Fachinhalte je nach Funktion: Eingaben in Textfelder (Prompts/Nachrichten an Modelle), Informationen zu registrierten Gateways, Modellen und deren Metadaten; optional Konversationen (siehe Abschnitt 8).

Hinweis: Bitte keine unnötigen besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) eingeben.

4. Zwecke der Verarbeitung & Rechtsgrundlagen

  • Bereitstellung der Webapp, Authentifizierung, Sitzungsverwaltung – Art. 6 Abs. 1 lit. b (Vertrag) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: sichere/funktionsfähige Plattform).
  • Sicherheit, Missbrauchs-/Fehleranalyse, Protokollierung (Audit-Trail) – Art. 6 Abs. 1 lit. f DSGVO.
  • Komfortfunktionen (Sprache/Zeitzone) – Art. 6 Abs. 1 lit. f DSGVO.
  • Modell-/Inference-Funktionen (Übermittlung deiner Prompts an das gewählte Gateway/Modell) – Art. 6 Abs. 1 lit. b DSGVO.

5. Cookies & ähnliche Technologien

Cookie/TechnikZweckSpeicherdauerRechtsgrundlage
next-auth.*, __Secure-next-auth.*Sitzungsmanagement, CSRF-SchutzSitzungsende bis ca. 30 TageArt. 6 Abs. 1 lit. b/f
NEXT_LOCALESpracheinstellung merkenbis zu 1 JahrArt. 6 Abs. 1 lit. f
tzKonsistente Datums-/Zeitangabenbis zu 1 JahrArt. 6 Abs. 1 lit. f

Hinweis: Es werden keine Marketing-/Tracking-Cookies eingesetzt; es findet kein Profiling statt.

6. Empfänger & Auftragsverarbeitung

  • Hosting/Infra: Betrieb in der EU bei Hetzner (Deutschland & Finnland).
  • Identity-Provider (OIDC): Authentifizierung über den registrierten Authentik-Dienst (auth.stulle.ai).
  • Interne Admins/Entwickler: Zugriff nur bei Bedarf (Least-Privilege).

Mit Infrastrukturdienstleistern bestehen – soweit erforderlich – Auftragsverarbeitungsverträge nach Art. 28 DSGVO.

7. Gateways, Modelle & Drittlandsübermittlungen

Die Factory-42-Architektur ermöglicht dir, eigene Gateways/Modelle anzubinden (on-prem oder externe Anbieter).

  • On-Prem/Private Gateways: Verarbeitung bleibt in deiner Umgebung; keine Übermittlung durch den Betreiber der Webapp an Dritte.
  • Externe Anbieter: Wenn du Gateways konfigurierst, die Anfragen an Dritte weiterleiten, erfolgt die Übermittlung in deinem Auftrag/Verantwortungsbereich; es gelten die Datenschutzregelungen des jeweiligen Anbieters.
  • Drittländer: Eine Übermittlung in Drittländer durch den Betreiber erfolgt grundsätzlich nicht, außer du konfigurierst entsprechende externe Gateways/Modelle.

8. Speicherung von Konversationen

Die Webapp kann so betrieben werden, dass Konversationen nicht persistent (nur innerhalb deiner Sitzung) oder persistiert gespeichert werden. Der aktuell konfigurierte Modus ist in den Einstellungen dokumentiert.

  • Nicht persistent: keine serverseitige Speicherung.
  • Persistiert: Speicherung bis zur Löschung durch Nutzer:innen oder den Betreiber – jedoch maximal 90 Tage nach Erstellung. Der Betreiber kann Konversationen jederzeit löschen (z. B. zur Fehlerbehebung, Compliance oder auf Antrag).

9. Aufbewahrung und Löschung

  • Sitzungs-/Auth-Daten: bis Ablauf der Session bzw. max. 30 Tage.
  • Audit-/Zugriffsprotokolle (Logs):90 Tage.
  • Persistierte Konversationen/Artefakte:max. 90 Tage (siehe Abschnitt 8).
  • Kontodaten: bis zur Konto-Löschung und Ablauf gesetzlicher Aufbewahrungsfristen.

10. Bereitstellungspflicht

Die Bereitstellung von Auth-/Account-Daten ist erforderlich, um die Webapp nutzen zu können. Ohne diese Daten ist eine Anmeldung nicht möglich.

11. Automatisierte Entscheidungen/Profiling

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Modell-Ausgaben sind assistive Ergebnisse ohne Rechtswirkung gegenüber Nutzer:innen.

12. Sicherheit

  • Transportverschlüsselung (TLS), CSRF-Schutz, sichere Cookies
  • Härtung von Systemdiensten, Role-/Least-Privilege-Zugriffe
  • Audit-Trail für sicherheitsrelevante Ereignisse
  • Regelmäßige Updates und Vulnerability-Management

13. Deine Rechte (Betroffenenrechte)

Du hast nach Art. 15–21 DSGVO Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (bei Verarbeitungen auf Grundlage berechtigter Interessen). Soweit eine Verarbeitung auf Einwilligung beruht, kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung deiner Rechte genügt eine E-Mail an den unter 1. genannten Verantwortlichen. Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

14. Änderungen

Wir passen diese Datenschutzerklärung an, sobald die Webapp oder rechtliche Vorgaben dies erfordern. Es gilt jeweils die aktuelle Fassung.