DatenschutzerklÀrung
Zuletzt aktualisiert: 25. Mai 2026
1. Einleitung
Diese DatenschutzerklĂ€rung erlĂ€utert, wie Sovereign Systems Ihre personenbezogenen Daten erhebt, verwendet und schĂŒtzt. Sie umfasst zwei verschiedene Bereiche: (1) die Marketing-Website unter sovereignsystems.cc und (2) die SOSA DevOps Desktop-Anwendung. Diese haben grundlegend unterschiedliche Datenarchitekturen. Wir erfĂŒllen die Anforderungen der DSGVO (EU) und der PDPA (Thailand).
2. Verantwortlicher
Sovereign Systems, ansÀssig in Thailand. E-Mail: [email protected]
3. Welche Daten wir erheben
Website-Bereich: Kontodaten (E-Mail, Anzeigename), Sitzungs-Cookies zur Authentifizierung sowie cookiefreie Analysen ĂŒber Cloudflare Web Analytics.
Desktop-Anwendungsbereich: keine. SOSA DevOps ist local-first. Alle Anwendungsdaten â Eingaben, KI-Antworten, SitzungsverlĂ€ufe, Audit-Protokolle â werden ausschlieĂlich auf Ihrem GerĂ€t gespeichert. Sovereign Systems betreibt keinen Server, der Ihre Interaktionsdaten empfĂ€ngt oder speichert.
4. Was wir NICHT erheben
Sovereign Systems erhebt keine:
â Eingaben, KI-Antworten oder Sitzungsinhalte aus SOSA DevOps
â Telemetrie-, Nutzungsstatistiken oder Feature-Analysen der Desktop-App
â Absturzdaten oder Fehlerberichte der Desktop-App
â Audiodateien, Projektdateien, MIDI-Daten oder kreative Inhalte
â Browserverlauf, Standortdaten oder Kontaktlisten
â Tracking-Cookies oder Werbe-IDs von Drittanbieternâ Tastatureingaben, Bildschirmaufzeichnungen oder biometrische Daten
Die Desktop-Anwendung hat keinen Upload-Pfad, keinen Synchronisierungspfad und keine Telemetrie-Pipeline.
5. Wie wir Daten verwenden
Website-Daten werden verwendet fĂŒr: Authentifizierung (IdentitĂ€tsprĂŒfung), wesentliche Dienstkommunikation (Konto- und Sicherheitshinweise). Wir versenden keine Marketing-E-Mails ohne ausdrĂŒckliche Einwilligung. Wir verwenden Ihre Daten nicht fĂŒr Werbung und verkaufen sie nicht an Dritte.
6. Vault A â Kryptografische Audit-Kette (Desktop-App)
Vault A ist eine lokale, nur erweiterbare kryptografische Audit-Kette, gespeichert unter vault/audit-chain.jsonl auf Ihrem GerĂ€t. Jeder Eintrag enthĂ€lt einen Zeitstempel, Ereignistyp, Zeichenanzahl und Inhalts-Hashes â niemals den Rohtext Ihrer Eingaben oder Antworten. Hashes sind Einwegfunktionen (SHA-256); nichts in Vault A kann in Ihre Inhalte zurĂŒckgefĂŒhrt werden.
Vault A ist die manipulationssichere Aufzeichnung dessen, was geschehen ist. Sie verlÀsst Ihr GerÀt nie. Sovereign Systems kann sie nicht lesen.
7. Vault B â Interaktionsprotokoll (Desktop-App)
Vault B ist ein lokales Interaktionsprotokoll, gespeichert unter vault/interaction-log.jsonl auf Ihrem GerĂ€t. Es enthĂ€lt Ihre Eingaben, KI-Antworten und jeden abgerufenen RAG-Kontext â im Klartext. Es wird lokal fĂŒr Ihre eigene ĂberprĂŒfung, Modellauswertung und den Export gespeichert.
Vault B verlĂ€sst Ihr GerĂ€t nie. Sie können es ĂŒber Werkzeuge â Interaktionsprotokoll öffnen aufrufen, Sitzungen im TXT-, PDF- oder JSONL-Format exportieren und Sitzungen ĂŒber eine BestĂ€tigungseingabe löschen. Vault B gehört Ihnen â Sovereign Systems kann es nicht lesen.
8. Bekannte EinschrĂ€nkung v1.0 â Klartext-Eingaben
SOSA DevOps v1.0 verfĂŒgt noch nicht ĂŒber einen vollstĂ€ndig eingebundenen PII-Scrubber fĂŒr lokale KI-Anfragen. In v1.0 werden Ihre Eingaben so, wie Sie sie eingetippt haben, in Vault B geschrieben. Wenn Sie ein Passwort, einen API-SchlĂŒssel oder andere sensible Anmeldeinformationen in den Chat einfĂŒgen, landen diese im Klartext in Vault B.
MaĂnahmen: (1) FĂŒgen Sie keine Geheimnisse in den Chat ein, (2) falls doch, löschen Sie die Sitzung im Vault-B-Viewer, (3) verwenden Sie FestplattenverschlĂŒsselung auf Ihrem Rechner.
Der PII-Scrubber erscheint in v1.1. Dieser Abschnitt wird dann aktualisiert.
9. Lokale KI-Modelle
SOSA DevOps verbindet sich mit einer lokalen Ollama-Laufzeitumgebung, die Sie separat installieren. Modelle laufen auf Ihrer Hardware. Ihre Eingaben werden an 127.0.0.1:11434 gesendet â eine Loopback-Adresse, die Ihr GerĂ€t nicht verlĂ€sst. Modelle lernen nicht von Ihnen; Ollama fĂŒhrt nur Inferenz durch, Gewichte sind eingefroren. Sovereign Systems empfĂ€ngt Ihre Eingaben nie.
10. Externe API-Anbieter
SOSA DevOps v1.0 wird ohne angebundene externe KI-Anbieter ausgeliefert. Der Tab Externe Anbieter zeigt alle Anbieter als Deaktiviert. Keine Eingabe, Antwort oder Inhalte verlassen Ihr GerĂ€t ĂŒber die Anwendung.
Wenn externe Anbieter in v1.1+ angebunden werden, wird jede ausgehende Anfrage den Privacy Filter durchlaufen, bevor sie das GerĂ€t verlĂ€sst. Vault A und Vault B werden weiterhin alle Interaktionen protokollieren. Diese Richtlinie wird aktualisiert, um jeden Anbieter, die gesendeten Daten und die anwendbaren ĂbertragungsschutzmaĂnahmen zu dokumentieren.
11. Auftragsverarbeiter (nur Website)
Folgende Auftragsverarbeiter verarbeiten Website-Daten in unserem Auftrag:
Supabase (Vereinigte Staaten) â Authentifizierung und Datenbank. SOC 2 Typ II zertifiziert.
Cloudflare (Vereinigte Staaten) â Website-Hosting, CDN und R2-Speicher. SOC 2 Typ II und ISO 27001 zertifiziert. Cloudflare Web Analytics ist cookiefrei und erhebt keine personenbezogenen Daten.
Alle Auftragsverarbeiter sind durch AuftragsverarbeitungsvertrĂ€ge (AVV) gebunden, die DSGVO- und PDPA-KonformitĂ€t vorschreiben. Die Desktop-Anwendung hat keine Auftragsverarbeiter â alle Daten sind lokal.
12. GrenzĂŒberschreitende DatenĂŒbermittlungen
Website-Bereich: Ihre personenbezogenen Daten können in den Vereinigten Staaten durch Supabase und Cloudflare verarbeitet werden. FĂŒr die DSGVO-KonformitĂ€t (Kapitel V) stĂŒtzen wir uns auf Standardvertragsklauseln (SCC). FĂŒr die PDPA-KonformitĂ€t (Abschnitte 28-29) stĂŒtzen wir uns auf vertragliche SchutzmaĂnahmen, da bis 2026 keine PDPC-Angemessenheitsliste veröffentlicht wurde.
Desktop-Anwendungsbereich: In v1.0 finden keine grenzĂŒberschreitenden Ăbermittlungen statt. Alle Daten verbleiben lokal auf Ihrem GerĂ€t.
13. Datenspeicherung
Website-Kontodaten werden gespeichert, solange Ihr Konto aktiv ist. Nach Kontoöschung werden personenbezogene Daten innerhalb von 30 Tagen entfernt. VerschlĂŒsselte Backups werden innerhalb von 90 Tagen gelöscht.
Desktop-Anwendungsdaten: Verbleiben auf Ihrem GerĂ€t unter Ihrer Kontrolle. Löschen Sie Sitzungen im Vault-B-Viewer oder deinstallieren Sie die Anwendung und löschen Sie das Anwendungsdatenverzeichnis fĂŒr eine vollstĂ€ndige Entfernung.
15. Ihre Rechte gemÀà DSGVO
Wenn Sie sich im EWR befinden: Auskunft, Berichtigung, Löschung, DatenĂŒbertragbarkeit, Widerspruch, EinschrĂ€nkung, Widerruf der Einwilligung und das Recht, eine Beschwerde bei Ihrer Aufsichtsbehörde einzureichen. Kontakt: [email protected]. Wir antworten innerhalb von 30 Tagen.
FĂŒr Desktop-App-Daten: Ihre Rechte werden direkt ausĂŒbt â Ihre Daten sind auf Ihrem Rechner. Ansehen (Werkzeuge â Interaktionsprotokoll öffnen), exportieren (pro Sitzung TXT/PDF/JSONL), löschen (pro Sitzung oder vollstĂ€ndige Deinstallation).
16. Ihre Rechte gemÀà PDPA (Thailand)
Zugang, Berichtigung, Löschung, Widerspruch, DatenĂŒbertragbarkeit und Widerruf der Einwilligung. Der Widerruf muss so einfach sein wie die Erteilung der Einwilligung. Beschwerden können beim Personal Data Protection Committee (PDPC) unter pdpc.or.th eingereicht werden. Kontakt: [email protected].
17. Datenpannenmeldung
Eine herkömmliche Datenpanne â unbefugter Zugriff auf eine Server-Datenbank â wird durch die Architektur von SOSA DevOps strukturell begrenzt. Wir betreiben keinen Server, der Ihre Interaktionsdaten speichert.
Sollten wir einen Sicherheitsvorfall feststellen, der Daten betrifft, die wir tatsĂ€chlich speichern (z. B. die Website-Mailingliste oder AnwendungssignierungsschlĂŒssel), werden wir die PDPC und die zustĂ€ndige EU-Aufsichtsbehörde innerhalb von 72 Stunden und betroffene Personen ohne unangemessene Verzögerung benachrichtigen, wenn ein hohes Risiko fĂŒr ihre Rechte und Freiheiten besteht.
18. Datenschutz fĂŒr Kinder
Unsere Dienste richten sich nicht an Kinder. GemÀà DSGVO erheben wir wissentlich keine Daten von Kindern unter 16 Jahren. GemÀà PDPA benötigen Kinder unter 10 Jahren eine elterliche Einwilligung. Kontaktieren Sie uns unter [email protected], wenn Sie glauben, dass ein Kind Daten angegeben hat.
19. Ănderungen dieser Richtlinie
Wesentliche Ănderungen â wie das HinzufĂŒgen von Telemetrie, das Anbinden eines externen Anbieters oder das Ăndern der Local-only-Invariante â werden 30 Tage im Voraus per E-Mail und In-App-Banner ankĂŒndigt. GeringfĂŒgige Ănderungen (KlĂ€rungen, Tippfehlerkorrekturen) werden im Projekt-Changelog dokumentiert.
20. Kontakt
Datenschutzfragen: [email protected]
KI-spezifische Fragen: [email protected]
Sicherheitsmeldungen: [email protected]
Rechtsfragen: [email protected]