DatenschutzerklÀrung

Zuletzt aktualisiert: 25. Mai 2026

1. Einleitung

Diese DatenschutzerklĂ€rung erlĂ€utert, wie Sovereign Systems Ihre personenbezogenen Daten erhebt, verwendet und schĂŒtzt. Sie umfasst zwei verschiedene Bereiche: (1) die Marketing-Website unter sovereignsystems.cc und (2) die SOSA DevOps Desktop-Anwendung. Diese haben grundlegend unterschiedliche Datenarchitekturen. Wir erfĂŒllen die Anforderungen der DSGVO (EU) und der PDPA (Thailand).

2. Verantwortlicher

Sovereign Systems, ansĂ€ssig in Thailand. E-Mail: [email protected]

3. Welche Daten wir erheben

Website-Bereich: Kontodaten (E-Mail, Anzeigename), Sitzungs-Cookies zur Authentifizierung sowie cookiefreie Analysen ĂŒber Cloudflare Web Analytics. Desktop-Anwendungsbereich: keine. SOSA DevOps ist local-first. Alle Anwendungsdaten — Eingaben, KI-Antworten, SitzungsverlĂ€ufe, Audit-Protokolle — werden ausschließlich auf Ihrem GerĂ€t gespeichert. Sovereign Systems betreibt keinen Server, der Ihre Interaktionsdaten empfĂ€ngt oder speichert.

4. Was wir NICHT erheben

Sovereign Systems erhebt keine: — Eingaben, KI-Antworten oder Sitzungsinhalte aus SOSA DevOps — Telemetrie-, Nutzungsstatistiken oder Feature-Analysen der Desktop-App — Absturzdaten oder Fehlerberichte der Desktop-App — Audiodateien, Projektdateien, MIDI-Daten oder kreative Inhalte — Browserverlauf, Standortdaten oder Kontaktlisten — Tracking-Cookies oder Werbe-IDs von Drittanbietern— Tastatureingaben, Bildschirmaufzeichnungen oder biometrische Daten Die Desktop-Anwendung hat keinen Upload-Pfad, keinen Synchronisierungspfad und keine Telemetrie-Pipeline.

5. Wie wir Daten verwenden

Website-Daten werden verwendet fĂŒr: Authentifizierung (IdentitĂ€tsprĂŒfung), wesentliche Dienstkommunikation (Konto- und Sicherheitshinweise). Wir versenden keine Marketing-E-Mails ohne ausdrĂŒckliche Einwilligung. Wir verwenden Ihre Daten nicht fĂŒr Werbung und verkaufen sie nicht an Dritte.

6. Vault A — Kryptografische Audit-Kette (Desktop-App)

Vault A ist eine lokale, nur erweiterbare kryptografische Audit-Kette, gespeichert unter vault/audit-chain.jsonl auf Ihrem GerĂ€t. Jeder Eintrag enthĂ€lt einen Zeitstempel, Ereignistyp, Zeichenanzahl und Inhalts-Hashes — niemals den Rohtext Ihrer Eingaben oder Antworten. Hashes sind Einwegfunktionen (SHA-256); nichts in Vault A kann in Ihre Inhalte zurĂŒckgefĂŒhrt werden. Vault A ist die manipulationssichere Aufzeichnung dessen, was geschehen ist. Sie verlĂ€sst Ihr GerĂ€t nie. Sovereign Systems kann sie nicht lesen.

7. Vault B — Interaktionsprotokoll (Desktop-App)

Vault B ist ein lokales Interaktionsprotokoll, gespeichert unter vault/interaction-log.jsonl auf Ihrem GerĂ€t. Es enthĂ€lt Ihre Eingaben, KI-Antworten und jeden abgerufenen RAG-Kontext — im Klartext. Es wird lokal fĂŒr Ihre eigene ÜberprĂŒfung, Modellauswertung und den Export gespeichert. Vault B verlĂ€sst Ihr GerĂ€t nie. Sie können es ĂŒber Werkzeuge → Interaktionsprotokoll öffnen aufrufen, Sitzungen im TXT-, PDF- oder JSONL-Format exportieren und Sitzungen ĂŒber eine BestĂ€tigungseingabe löschen. Vault B gehört Ihnen — Sovereign Systems kann es nicht lesen.

8. Bekannte EinschrĂ€nkung v1.0 — Klartext-Eingaben

SOSA DevOps v1.0 verfĂŒgt noch nicht ĂŒber einen vollstĂ€ndig eingebundenen PII-Scrubber fĂŒr lokale KI-Anfragen. In v1.0 werden Ihre Eingaben so, wie Sie sie eingetippt haben, in Vault B geschrieben. Wenn Sie ein Passwort, einen API-SchlĂŒssel oder andere sensible Anmeldeinformationen in den Chat einfĂŒgen, landen diese im Klartext in Vault B. Maßnahmen: (1) FĂŒgen Sie keine Geheimnisse in den Chat ein, (2) falls doch, löschen Sie die Sitzung im Vault-B-Viewer, (3) verwenden Sie FestplattenverschlĂŒsselung auf Ihrem Rechner. Der PII-Scrubber erscheint in v1.1. Dieser Abschnitt wird dann aktualisiert.

9. Lokale KI-Modelle

SOSA DevOps verbindet sich mit einer lokalen Ollama-Laufzeitumgebung, die Sie separat installieren. Modelle laufen auf Ihrer Hardware. Ihre Eingaben werden an 127.0.0.1:11434 gesendet — eine Loopback-Adresse, die Ihr GerĂ€t nicht verlĂ€sst. Modelle lernen nicht von Ihnen; Ollama fĂŒhrt nur Inferenz durch, Gewichte sind eingefroren. Sovereign Systems empfĂ€ngt Ihre Eingaben nie.

10. Externe API-Anbieter

SOSA DevOps v1.0 wird ohne angebundene externe KI-Anbieter ausgeliefert. Der Tab Externe Anbieter zeigt alle Anbieter als Deaktiviert. Keine Eingabe, Antwort oder Inhalte verlassen Ihr GerĂ€t ĂŒber die Anwendung. Wenn externe Anbieter in v1.1+ angebunden werden, wird jede ausgehende Anfrage den Privacy Filter durchlaufen, bevor sie das GerĂ€t verlĂ€sst. Vault A und Vault B werden weiterhin alle Interaktionen protokollieren. Diese Richtlinie wird aktualisiert, um jeden Anbieter, die gesendeten Daten und die anwendbaren Übertragungsschutzmaßnahmen zu dokumentieren.

11. Auftragsverarbeiter (nur Website)

Folgende Auftragsverarbeiter verarbeiten Website-Daten in unserem Auftrag: Supabase (Vereinigte Staaten) — Authentifizierung und Datenbank. SOC 2 Typ II zertifiziert. Cloudflare (Vereinigte Staaten) — Website-Hosting, CDN und R2-Speicher. SOC 2 Typ II und ISO 27001 zertifiziert. Cloudflare Web Analytics ist cookiefrei und erhebt keine personenbezogenen Daten. Alle Auftragsverarbeiter sind durch AuftragsverarbeitungsvertrĂ€ge (AVV) gebunden, die DSGVO- und PDPA-KonformitĂ€t vorschreiben. Die Desktop-Anwendung hat keine Auftragsverarbeiter — alle Daten sind lokal.

12. GrenzĂŒberschreitende DatenĂŒbermittlungen

Website-Bereich: Ihre personenbezogenen Daten können in den Vereinigten Staaten durch Supabase und Cloudflare verarbeitet werden. FĂŒr die DSGVO-KonformitĂ€t (Kapitel V) stĂŒtzen wir uns auf Standardvertragsklauseln (SCC). FĂŒr die PDPA-KonformitĂ€t (Abschnitte 28-29) stĂŒtzen wir uns auf vertragliche Schutzmaßnahmen, da bis 2026 keine PDPC-Angemessenheitsliste veröffentlicht wurde. Desktop-Anwendungsbereich: In v1.0 finden keine grenzĂŒberschreitenden Übermittlungen statt. Alle Daten verbleiben lokal auf Ihrem GerĂ€t.

13. Datenspeicherung

Website-Kontodaten werden gespeichert, solange Ihr Konto aktiv ist. Nach Kontoöschung werden personenbezogene Daten innerhalb von 30 Tagen entfernt. VerschlĂŒsselte Backups werden innerhalb von 90 Tagen gelöscht. Desktop-Anwendungsdaten: Verbleiben auf Ihrem GerĂ€t unter Ihrer Kontrolle. Löschen Sie Sitzungen im Vault-B-Viewer oder deinstallieren Sie die Anwendung und löschen Sie das Anwendungsdatenverzeichnis fĂŒr eine vollstĂ€ndige Entfernung.

14. Cookies

Nur wesentliche Cookies: ein HTTP-only, Secure-Sitzungs-Cookie von Supabase zur Aufrechterhaltung Ihres angemeldeten Zustands und ss_cookie_consent zur Erfassung Ihrer Kenntnisnahme dieses Hinweises. Wir verwenden keine Tracking-, Analyse-, Werbe- oder Drittanbieter-Cookies. Cloudflare Web Analytics ist vollstÀndig cookiefrei.

15. Ihre Rechte gemĂ€ĂŸ DSGVO

Wenn Sie sich im EWR befinden: Auskunft, Berichtigung, Löschung, DatenĂŒbertragbarkeit, Widerspruch, EinschrĂ€nkung, Widerruf der Einwilligung und das Recht, eine Beschwerde bei Ihrer Aufsichtsbehörde einzureichen. Kontakt: [email protected]. Wir antworten innerhalb von 30 Tagen. FĂŒr Desktop-App-Daten: Ihre Rechte werden direkt ausĂŒbt — Ihre Daten sind auf Ihrem Rechner. Ansehen (Werkzeuge → Interaktionsprotokoll öffnen), exportieren (pro Sitzung TXT/PDF/JSONL), löschen (pro Sitzung oder vollstĂ€ndige Deinstallation).

16. Ihre Rechte gemĂ€ĂŸ PDPA (Thailand)

Zugang, Berichtigung, Löschung, Widerspruch, DatenĂŒbertragbarkeit und Widerruf der Einwilligung. Der Widerruf muss so einfach sein wie die Erteilung der Einwilligung. Beschwerden können beim Personal Data Protection Committee (PDPC) unter pdpc.or.th eingereicht werden. Kontakt: [email protected].

17. Datenpannenmeldung

Eine herkömmliche Datenpanne — unbefugter Zugriff auf eine Server-Datenbank — wird durch die Architektur von SOSA DevOps strukturell begrenzt. Wir betreiben keinen Server, der Ihre Interaktionsdaten speichert. Sollten wir einen Sicherheitsvorfall feststellen, der Daten betrifft, die wir tatsĂ€chlich speichern (z. B. die Website-Mailingliste oder AnwendungssignierungsschlĂŒssel), werden wir die PDPC und die zustĂ€ndige EU-Aufsichtsbehörde innerhalb von 72 Stunden und betroffene Personen ohne unangemessene Verzögerung benachrichtigen, wenn ein hohes Risiko fĂŒr ihre Rechte und Freiheiten besteht.

18. Datenschutz fĂŒr Kinder

Unsere Dienste richten sich nicht an Kinder. GemĂ€ĂŸ DSGVO erheben wir wissentlich keine Daten von Kindern unter 16 Jahren. GemĂ€ĂŸ PDPA benötigen Kinder unter 10 Jahren eine elterliche Einwilligung. Kontaktieren Sie uns unter [email protected], wenn Sie glauben, dass ein Kind Daten angegeben hat.

19. Änderungen dieser Richtlinie

Wesentliche Änderungen — wie das HinzufĂŒgen von Telemetrie, das Anbinden eines externen Anbieters oder das Ändern der Local-only-Invariante — werden 30 Tage im Voraus per E-Mail und In-App-Banner ankĂŒndigt. GeringfĂŒgige Änderungen (KlĂ€rungen, Tippfehlerkorrekturen) werden im Projekt-Changelog dokumentiert.

20. Kontakt

Datenschutzfragen: [email protected] KI-spezifische Fragen: [email protected] Sicherheitsmeldungen: [email protected] Rechtsfragen: [email protected]
Privacy Policy | Sovereign Systems