Applied FuSa
← Zur Startseite

Datenschutz · riskforge Chatbot

Tool-spezifische Datenschutzinformation für riskforge.appliedfusa.de/chatbot/. Allgemeine Informationen siehe Datenschutzerklärung. Technische Datenfluss-Beschreibung siehe Sicherheit & Datenschutz. Status: Live (Phase-2-Beta seit Mai 2026).

1. Verantwortlicher

Wolfgang Freese · Overath (Deutschland) · info@appliedfusa.de

2. Zweck der Verarbeitung

Der riskforge-Chatbot führt ein strukturiertes Interview mit dem Anwender, das schrittweise eine FtaDSL-Datei (Roh-Architektur → +OIM/TLE → +IOM/S/O/D) aufbaut. Diese DSL ist die Eingabe für die nachgelagerten deterministischen Analyse-Engines (MCSA für FTA, fmea für FMEA).

Wichtige Trennung: das LLM (Claude Sonnet 4.6 von Anthropic) ist Interview-Führer und Notations-Übersetzer. Die eigentliche FTA/FMEA-Analyse-Substanz wird von deterministischen, auditfähigen Engines geleistet — nicht vom LLM.

3. Verarbeitete Daten

3.1 An Anthropic (USA) gesendet

  • Vollständiger System-Prompt (Methodik-Kontext, ca. 1500 Tokens).
  • Kompletter Verlauf der laufenden Conversation (User- und Bot-Nachrichten).
  • Aktueller DSL-Stand als Codeblock in Bot-Antworten.
  • Validator-Output von mcsa --dump-arch als Tag ([VALIDATOR-OK] oder [VALIDATOR-ERROR: …]) im jeweils nächsten User-Turn.

3.2 NICHT an Anthropic gesendet

  • User-E-Mail-Adresse
  • IP-Adresse, Cookie-Werte
  • Quota-Counter
  • Logout-Events

3.3 Bei Applied FuSa verarbeitet

  • E-Mail-Datenbank (SQLite auf Hetzner-VPS): E-Mail-Adresse, Datum erster Login, Datum letzter Login, optionale Use-Case-Notiz. Dient der Beta-Marketing-Liste und der Quota-Verwaltung.
  • Magic-Link-Tokens: 15 Minuten gültig, einmalig einlösbar.
  • Conversation-State: nur im Browser des Anwenders. Der Chatbot-Server selbst ist stateless.

4. Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen der Tool-Nutzung). Für die E-Mail-Datenbank als Beta-Marketing-Liste zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung mit der Anmeldung).

5. Empfänger und Sub-Prozessoren (Art. 28 DSGVO)

  • Anthropic PBC (San Francisco, USA) — LLM-Provider für Claude Sonnet 4.6. Auftragsverarbeitung per DPA.
  • Hetzner Online GmbH (Falkenstein/Gunzenhausen, Deutschland) — VPS-Hosting für Chatbot-Stack und SQLite-DB.
  • Resend (USA) — Magic-Link-Mailversand. Auftragsverarbeitung per DPA.
  • Let's Encrypt / ISRG — TLS-Zertifikate.

6. Drittlandtransfer (Kapitel V DSGVO)

Anthropic (USA) und Resend (USA) verarbeiten Daten außerhalb der EU.

  • Rechtsgrundlage: EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO (Kommissionsbeschluss 2021/914).
  • Transfer Impact Assessment (TIA): nach EDPB-Empfehlung 01/2020 durchgeführt.
  • Technische Schutzmaßnahmen: TLS 1.2+ in transit; kein Persistieren von Architektur-Daten bei Anthropic über die Abuse-Log-Frist hinaus; Anthropic-Training-Opt-out aktiv.
  • Region: während der Beta erfolgt das API-Routing mit inference_geo: "global" — Routing typisch us-east-1, us-west-2 oder eu-west (Ireland). Keine garantierte EU-Region. Migration auf AWS Bedrock eu-central-1 (Frankfurt) ist für Phase 3 (kommerzieller Launch) eingeplant.

7. Speicherdauer

  • Anthropic: API-Inputs/-Outputs werden standardmäßig bis zu 30 Tage als Abuse-Log gespeichert (Anthropic Retention-Policy). Modell-Training auf User-Daten ist deaktiviert.
  • Applied FuSa E-Mail-Datenbank: unbefristet, Löschung auf Anfrage per E-Mail. Nach Phase-2-Beta-Ende wird die Liste auf aktive Nutzer reduziert.
  • Magic-Link-Tokens: 15 Minuten Gültigkeit.
  • Conversation-State: nur Browser-Session, keine Server-Persistenz; die generierte DSL kann der Anwender lokal als .txt herunterladen — der Server speichert sie nicht.

8. KI-Einsatz (EU AI Act Art. 50)

Der Chatbot kennzeichnet die KI-Interaktion explizit (Login-Page-Titel enthält „Chatbot", Chat-UI hat sichtbar separaten Bot-Avatar). Der Anwender weiß bei erster Interaktion, dass er mit einer KI spricht. Klassifizierung: limitiertes Risiko (Art. 50 AI Act, kein Hochrisiko nach Anhang III — Begründung siehe /sicherheit/).

9. Betroffenenrechte

Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15–21 DSGVO) — Anfrage an info@appliedfusa.de. Löschung der E-Mail-Adresse aus der Beta-Marketing-Liste auf formlose E-Mail. Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde.

Stand: 20. Mai 2026. Cross-Links: Übersicht Datenschutz · Datenfluss riskforge Chatbot · riskforge-Übersicht