🏢 1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

E-Mail: hello@ax1s.de
Website: aigoy.io · aigoy.ch

Im Folgenden „wir“ oder „Anbieter“ genannt.

📋 2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen AI Governance Platform für EU AI Act Compliance sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.

⚖ 3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung des Betroffenen
• Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung (insbesondere EU AI Act Art. 4, NIS2, DORA)
• Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen (z.B. IT-Sicherheit, Betrugsprävention)

🌐 4. Hosting und Bereitstellung der Website

🇪🇺 EU-Hosting

Diese Website wird gehostet bei:

IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland

Beim Besuch unserer Website erfasst der Webserver automatisch:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Übertragene Datenmenge
• Meldung, ob der Abruf erfolgreich war
• Erkennungsdaten des verwendeten Browsers und Betriebssystems
• Webseite, von der aus der Zugriff erfolgt (Referrer-URL)

Diese Daten werden aus berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur Sicherstellung eines störungsfreien Betriebs temporär in Server-Logfiles gespeichert und nach spätestens 7 Tagen gelöscht.

Auftragsverarbeitung: Wir haben mit IONOS einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.

🗄 5. Backend-Infrastruktur (Supabase)

🇪🇺 EU-Rechenzentrum SOC 2 Type II

Für die Authentifizierung, Datenhaltung und serverseitige Logik nutzen wir:

Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992

Unser Supabase-Projekt wird in der AWS-Region eu-central-1 (Frankfurt) gehostet. Alle personenbezogenen Daten verbleiben damit innerhalb der Europäischen Union.

5.1 Verarbeitete Daten in Supabase

• Authentifizierung: E-Mail-Adresse, verschlüsseltes Passwort (bcrypt), Login-Zeitstempel, Session-Token
• Profildaten: Vorname, Nachname, E-Mail, Abteilung, Mandanten-Zuordnung (tenant_id)
• KI-System-Einträge: System-ID, Systemname, Anbieter, Einsatzzweck, Risikobewertung (Impact, Autonomie, Daten-Sensitivität), Risikolevel, KI-gestützte Vorschläge
• Mandantendaten (B2B): Firmenname, Lizenzschlüssel, Abonnement-Status, Einladungen
• Kaufdaten: Lizenz-ID, Kauf-Status, Referenz zu Stripe-Zahlung

5.2 KI-gestützte Verarbeitung (Edge Functions)

Zur KI-gestützten Risikobewertung nutzen wir Supabase Edge Functions, die einen Drittanbieter-KI-Dienst aufrufen. Dabei werden folgende Daten übermittelt:

• Systemname und Einsatzzweck des KI-Systems
• Aktuelle Risikobewertung (numerische Werte)

Es werden keine personenbezogenen Daten an den KI-Dienst übermittelt. Die Übermittlung beschränkt sich auf sachbezogene Systeminformationen zur Risikokategorisierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung des Dienstes).

5.3 Sicherheitsmaßnahmen

• Verschlüsselung in Transit (TLS 1.2+) und at Rest (AES-256)
• Row Level Security (RLS) – Nutzer können nur eigene Daten einsehen
• Regelmäßige Backups innerhalb der EU-Region
• SOC 2 Type II zertifiziert

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung gem. EU AI Act).

Auftragsverarbeitung: Die Datenverarbeitung durch Supabase erfolgt auf Grundlage eines Data Processing Agreements (DPA) gemäß Art. 28 DSGVO.

💳 6. Zahlungsabwicklung (Stripe)

🇪🇺 EU-Datenverarbeitung PCI DSS Level 1

Für die Abwicklung kostenpflichtiger Lizenzen nutzen wir:

Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland

Bei einem Kauf werden Sie zur Zahlungsseite von Stripe weitergeleitet (Stripe Payment Links). Folgende Daten werden von Stripe verarbeitet:

• Name und E-Mail-Adresse
• Zahlungsdaten (Kreditkartennummer, Ablaufdatum, etc.)
• Rechnungsadresse
• IP-Adresse und Geräteinformationen (zur Betrugsprävention)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenschutzhinweise Stripe: stripe.com/de/privacy

📊 7. AIGOY AI Governance Platform

7.1 Registrierung und Kontoerstellung

Zur Nutzung der AIGOY Platform werden folgende Daten verarbeitet:

• Vorname und Nachname
• E-Mail-Adresse
• Abteilung / Organisationseinheit
• Passwort (verschlüsselt gespeichert via bcrypt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.2 KI-System-Inventar und Risikobewertung

Im Rahmen der AIGOY Platform erfassen und speichern wir Informationen zu den KI-Systemen Ihres Unternehmens:

• Stammdaten: KI-System-ID, Systemname, Anbieter, Kategorie, Einsatzzweck
• Risikobewertung: Impact-Wert, Autonomie-Wert, Daten-Sensitivität, Risiko-Score, Risikolevel
• KI-Vorschlag: Automatisierte Risikobewertung auf Basis des EU AI Act (via Supabase Edge Function)
• Begründung: KI-generierte Erläuterung zur vorgeschlagenen Risikoklassifizierung

Diese Verarbeitung ist erforderlich für die Dokumentation und den Nachweis der KI-Governance gemäß EU AI Act (Verordnung 2024/1689) sowie weiterer EU-Regulierungen (NIS2, DORA, DSGVO, CSRD, CRA).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO (Vertragserfüllung und rechtliche Verpflichtung).

7.3 Kompetenznachweise

Im Rahmen der integrierten Schulungsmodule werden bei erfolgreichem Abschluss interne Kompetenznachweise erstellt. Diese enthalten Name, Firma, Datum, Regulierung und Ergebnis. Die Kompetenznachweise dienen als interner Nachweis der KI-Kompetenz gemäß Art. 4 EU AI Act.

Die Speicherung erfolgt zum Nachweis der Compliance gemäß EU AI Act und kann bei Audits vorgelegt werden.

7.4 Einladungssystem (B2B)

Für B2B-Kunden bietet die AIGOY Platform ein Einladungssystem. Dabei werden E-Mail-Adressen eingeladener Nutzer gespeichert, bis die Einladung angenommen oder widerrufen wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung B2B-Vertrag) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Arbeitgebers an Compliance-Maßnahmen).

7.5 Lizenzschlüssel (B2B)

Für B2B-Kunden verarbeiten wir Lizenzschlüssel, Kundennummern und Nutzungsdaten zur Lizenzverwaltung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

💾 8. Lokale Datenspeicherung (localStorage)

Ergänzend zur serverseitigen Speicherung nutzt die Anwendung den localStorage Ihres Browsers für:

• Sprachauswahl
• KI-System-Einträge (lokaler Cache für Offline-Fähigkeit)
• Temporäre Sitzungsdaten

Diese Daten verlassen Ihren Computer nicht und werden nicht an unsere Server übertragen. Sie können diese Daten jederzeit über die Browser-Einstellungen löschen.

🍪 9. Cookies & technische Speicher

Diese Website verwendet ausschließlich technisch notwendige Cookies und localStorage-Einträge für:

• Sprachauswahl (Präferenz)
• Sitzungsverwaltung / Login-Status (Supabase Auth Token)
• KI-Register-Daten (lokaler Cache)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am technischen Betrieb) sowie § 25 Abs. 2 TDDDG (technisch erforderlich).

✉ 10. E-Mail-Kommunikation

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben (inkl. E-Mail-Adresse) zum Zweck der Bearbeitung der Anfrage und für Anschlussfragen gespeichert. Diese Daten werden nicht ohne Ihre Einwilligung weitergegeben.

Systembenachrichtigungen (z.B. Einladungs-E-Mails, Passwort-Reset) werden über Supabase Auth versendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

🔄 11. Datenweitergabe an Dritte

Eine Übermittlung personenbezogener Daten an Dritte findet nur statt, wenn:

• dies zur Vertragserfüllung erforderlich ist (z.B. Stripe bei Zahlungen)
• eine gesetzliche Verpflichtung besteht
• Sie ausdrücklich eingewilligt haben

Aktuelle Auftragsverarbeiter:

• IONOS SE (Deutschland) – Webhosting
• Supabase Inc. (EU-Region Frankfurt) – Backend, Datenbank, Authentifizierung, Edge Functions
• Stripe Payments Europe, Ltd. (Irland) – Zahlungsabwicklung
• KI-Dienstleister (USA/EU) – KI-gestützte Risikobewertung und Analyse (keine personenbezogenen Daten, nur sachbezogene Systeminformationen)
• OpenSanctions (Tschechische Republik) – Sanktionslisten-Datenbank für Compliance-Screenings (Nutzung nur mit eigenem API-Key des Kunden)
• Clevver GmbH (Deutschland) – Virtuelle Geschäftsadresse

🌍 12. Datenübermittlung in Drittländer

Alle personenbezogenen Daten werden innerhalb der Europäischen Union bzw. des EWR verarbeitet:

• IONOS: Deutschland 🇩🇪
• Supabase: AWS eu-central-1, Frankfurt 🇩🇪
• Stripe: Dublin, Irland 🇮🇪

Supabase Inc. hat seinen Hauptsitz in Singapur. Die Datenverarbeitung unserer Instanz erfolgt jedoch ausschließlich in der EU-Region (Frankfurt). Für den Fall, dass Supabase-Mitarbeiter aus Drittländern Zugriff auf Systeme benötigen, erfolgt dies auf Grundlage von Standard Contractual Clauses (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Stripe Payments Europe, Ltd. verarbeitet Zahlungsdaten in der EU. Für die Übermittlung an die Stripe, Inc. (USA) gelten ebenfalls SCCs und das EU-U.S. Data Privacy Framework.

Die KI-gestützte Risikobewertung und Analyse nutzt einen Drittanbieter-KI-Dienst. Es werden dabei keine personenbezogenen Daten übermittelt – lediglich sachbezogene Systeminformationen (Systemname, Einsatzzweck, Risikoindikatoren) zur Analyse. Für etwaige Drittlandübermittlungen gelten Standard Contractual Clauses (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO bzw. das EU-U.S. Data Privacy Framework.

⏱ 13. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt:

• Server-Logfiles: max. 7 Tage
• Kontodaten: bis zur Kontolöschung bzw. Vertragsende, zzgl. gesetzlicher Aufbewahrungsfristen
• Rechnungs-/Zahlungsdaten: 10 Jahre (steuerrechtlich, §147 AO)
• Vertragsdaten: 6 Jahre (handelsrechtlich, §257 HGB)
• KI-Register-Einträge und Kompetenznachweise: Für die Dauer der gesetzlichen Nachweispflicht gemäß EU AI Act, NIS2 und weiteren EU-Regulierungen (mindestens 5 Jahre empfohlen)
• Einladungen: bis zur Annahme oder Widerruf, max. 12 Monate
• Screening-Ergebnisse: Für die Dauer der Vertragsbeziehung; nach Vertragsende Löschung innerhalb von 90 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• Compliance-Audit-Logs: 5 Jahre (gemäß §8 Abs. 4 GwG und allgemeiner Compliance-Nachweispflicht)

🛡 14. Ihre Rechte (DSGVO)

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO) – Welche Daten wir über Sie gespeichert haben
• Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO) – „Recht auf Vergessenwerden“
• Einschränkung (Art. 18 DSGVO) – Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO) – Daten in einem gängigen Format erhalten
• Widerspruch (Art. 21 DSGVO) – Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen
• Widerruf – Erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: hello@ax1s.de

Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang bearbeiten (Art. 12 Abs. 3 DSGVO).

📮 15. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

Zuständige Aufsichtsbehörde für unseren Geschäftssitz:

🤖 16. Hinweis zur KI-gestützten Risikobewertung

Die AIGOY Platform bietet eine KI-gestützte Risikobewertung auf Basis der EU AI Act Risikokategorien. Diese Bewertung dient ausschließlich als Orientierungshilfe und stellt keine rechtsverbindliche Einstufung, kein Zertifikat und keinen staatlich anerkannten Nachweis dar.

Die automatisierte Risikobewertung ersetzt keine individuelle rechtliche Prüfung durch qualifizierte Fachpersonen oder Behörden. Die endgültige Verantwortung für die korrekte Risikoklassifizierung und Compliance-Einhaltung gemäß EU AI Act (Verordnung 2024/1689) liegt beim Betreiber bzw. Anbieter des jeweiligen KI-Systems.

AIGOY by AX1S übernimmt keine Haftung für Entscheidungen, die auf Grundlage der KI-gestützten Risikobewertung getroffen werden. Die bereitgestellten Ergebnisse können von offiziellen behördlichen Einstufungen abweichen.

🛡 17. Sanctions Screening & Compliance-Prüfungen

17.1 Verantwortlichkeit und Rollenverteilung

AIGOY stellt als Software-as-a-Service-Anbieter eine technische Plattform zur Verfügung, die es unseren Kunden (nachfolgend „Auftraggeber“) ermöglicht, Sanktionsprüfungen, KYC/AML-Prüfungen, UBO-Analysen und verwandte Compliance-Prüfungen durchzuführen. Im Rahmen dieser Prüfungen verarbeitet AIGOY personenbezogene Daten ausschließlich als Auftragsverarbeiter im Sinne des Art. 28 DSGVO auf Weisung des jeweiligen Auftraggebers. Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die im Rahmen der Sanktionsprüfung verarbeiteten personenbezogenen Daten ist der jeweilige Auftraggeber.

17.2 Kategorien verarbeiteter Daten

Im Rahmen der Sanktions- und Compliance-Prüfungen können folgende Kategorien personenbezogener Daten verarbeitet werden:

• Vor- und Nachname, Geburtsdatum, Geburtsort, Staatsangehörigkeit
• Anschrift und Kontaktdaten
• Identifikationsnummern (z.B. Handelsregisternummer, Steuernummer)
• Angaben zur wirtschaftlich berechtigten Person (Ultimate Beneficial Owner, UBO)
• Gesellschaftsrechtliche Beteiligungsverhältnisse und Eigentümerstrukturen
• Ergebnisse des Abgleichs mit Sanktionslisten, PEP-Datenbanken und sonstigen Watchlists
• Risikobewertungen und Analyseergebnisse

17.3 Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten im Rahmen der Sanktionsprüfung erfolgt auf Grundlage folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. c DSGVO – Soweit der Auftraggeber als Verpflichteter nach dem Geldwäschegesetz (GwG) handelt, erfolgt die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung i.V.m. §§10 ff. GwG sowie den jeweils anwendbaren EU-Sanktionsverordnungen.
• Art. 6 Abs. 1 lit. f DSGVO – Soweit der Auftraggeber nicht unmittelbar den Verpflichtungen des GwG unterliegt, erfolgt die Verarbeitung auf Grundlage des berechtigten Interesses an der Vermeidung von Geschäftsbeziehungen mit sanktionierten Personen, der Einhaltung von Embargovorschriften sowie der Minimierung von Reputations- und Haftungsrisiken.

17.4 Datenquellen und Drittanbieter

Die Sanktionsprüfung erfolgt unter Nutzung der OpenSanctions-API, die Daten aus öffentlich zugänglichen Sanktionslisten und Datenbanken aggregiert, darunter:

• OFAC SDN (Specially Designated Nationals and Blocked Persons List, USA)
• EU Consolidated Sanctions List
• UN Security Council Consolidated List
• UK HMT (His Majesty’s Treasury) Sanctions List
• SECO (Staatssekretariat für Wirtschaft, Schweiz) Sanktionsliste
• PEP-Datenbanken (Politisch Exponierte Personen)
• Weitere nationale und internationale Watchlists

17.5 Auftragsverarbeitung

Soweit AIGOY im Rahmen der Erbringung der vertraglichen Leistungen personenbezogene Daten im Auftrag des Kunden verarbeitet, schließen die Parteien eine gesonderte Vereinbarung zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO. AIGOY verarbeitet personenbezogene Daten des Kunden ausschließlich auf dokumentierte Weisung des Kunden.

17.6 Speicherdauer Screening-Daten

Screening-Ergebnisse und zugehörige personenbezogene Daten werden für die Dauer der Vertragsbeziehung mit dem Auftraggeber gespeichert. Nach Beendigung des Vertragsverhältnisses werden die Daten innerhalb von 90 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Auftraggeber ist eigenständig dafür verantwortlich, die für ihn geltenden gesetzlichen Aufbewahrungsfristen (insbesondere §8 Abs. 4 GwG: 5 Jahre) einzuhalten und die Daten vor Vertragsende entsprechend zu sichern.

17.7 Betroffenenrechte im Kontext der Sanktionsprüfung

Betroffene Personen, deren Daten im Rahmen der Sanktionsprüfung verarbeitet werden, können ihre Rechte nach Art. 15 bis 22 DSGVO gegenüber dem jeweiligen Auftraggeber als Verantwortlichem geltend machen. AIGOY unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten im Rahmen der Vereinbarung zur Auftragsverarbeitung.

Wir weisen darauf hin, dass die Rechte auf Auskunft, Berichtigung und Löschung im Kontext der Sanktionsprüfung gesetzlichen Einschränkungen unterliegen können, insbesondere nach §33 Abs. 1 Nr. 2 BDSG (Gefährdung der öffentlichen Sicherheit) sowie §34 BDSG.

🤖 18. KI-gestützte Analysefunktionen

AIGOY setzt für bestimmte Analysefunktionen KI-gestützte Verfahren ein, insbesondere:

• Strohmann-Erkennung (Shell-Company-Detection): KI-gestützte Prüfung auf Briefkastenfirmen und Sanctions-Umgehungsstrukturen
• Multi-Hop Risk Discovery: Analyse mehrstufiger Eigentümerketten (bis zu 4 Ebenen) zur Identifikation verdeckter Risiken
• Entity Network Graph: Visualisierung komplexer Beteiligungsstrukturen und Eigentümerverhältnisse
• KI-Kreuzprüfung: Abgleich von Screening-Ergebnissen mittels zusätzlicher KI-basierter Analyse
• PEP-Analyse: Erkennung politisch exponierter Personen und deren familiäres/geschäftliches Umfeld

Diese Verfahren dienen ausschließlich der Unterstützung der menschlichen Entscheidungsfindung. Es findet keine ausschließlich automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt, die gegenüber der betroffenen Person rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Die endgültige Bewertung und Entscheidung verbleibt beim Auftraggeber.

⚠️ 19. Haftungsausschluss Screening-Ergebnisse

Die über die AIGOY Plattform bereitgestellten Sanktionsprüfungen, Screening-Ergebnisse, Netzwerkanalysen, KI-gestützten Risikobewertungen und sonstigen Analyseergebnisse dienen ausschließlich zu Informationszwecken und stellen keine Rechtsberatung, Compliance-Beratung oder sonstige fachliche Beratung dar.

Die bereitgestellten Ergebnisse ersetzen nicht die eigenverantwortliche Prüfung durch qualifizierte Compliance-Beauftragte, Geldwäschebeauftragte oder Rechtsanwälte.

Die Richtigkeit, Vollständigkeit und Aktualität der Screening-Ergebnisse ist abhängig von den zugrunde liegenden Datenquellen, insbesondere der OpenSanctions-API und der darin enthaltenen Sanktionslisten und Datenbanken. AIGOY übernimmt keine Gewähr für die Fehlerfreiheit oder Vollständigkeit dieser Daten.

Die endgültige Bewertung von Screening-Ergebnissen und alle darauf basierenden geschäftlichen oder regulatorischen Entscheidungen liegen in der alleinigen Verantwortung des Nutzers. AIGOY haftet nicht für Entscheidungen, die auf Grundlage der bereitgestellten Ergebnisse getroffen werden.

KI-gestützte Analyseergebnisse, insbesondere zur Strohmannerkennung und Netzwerkanalyse, können falsch-positive oder falsch-negative Ergebnisse liefern und müssen vom Nutzer eigenständig verifiziert werden.

📣 20. Hinweisgebersystem (HinSchG)

Soweit AIGOY dem Kunden ein Hinweisgebersystem im Sinne des Hinweisgeberschutzgesetzes (HinSchG) als Teil der Plattform zur Verfügung stellt, gelten folgende Bestimmungen:

• AIGOY stellt die technische Infrastruktur für die Entgegennahme und Verwaltung von Meldungen bereit. AIGOY übernimmt nicht die Funktion einer internen Meldestelle im Sinne des §14 HinSchG.
• Der Kunde ist als Beschäftigungsgeber für den Betrieb der internen Meldestelle und die Einhaltung der Vorgaben des HinSchG allein verantwortlich.
• Die Vertraulichkeit der Identität der hinweisgebenden Person gemäß §8 HinSchG wird durch technische Maßnahmen (Zugriffskontrolle, Verschlüsselung, anonyme Meldekanäle) unterstützt. Die organisatorischen Maßnahmen obliegen dem Kunden.
• AIGOY übernimmt keine Haftung für die inhaltliche Prüfung oder Bearbeitung von Meldungen. Die Pflicht zur Prüfung der Stichhaltigkeit gemäß §17 HinSchG obliegt ausschließlich dem Kunden.

📝 21. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die jeweils neue Datenschutzerklärung.

Letzte Aktualisierung: März 2026 (erweitert um Sanctions Screening, KI-Analysefunktionen, Hinweisgebersystem)

🏢 1. Data Controller

The controller responsible for data processing on this website is:

Email: hello@ax1s.de
Website: aigoy.io · aigoy.ch

Hereinafter referred to as “we” or “provider”.

📋 2. General Information on Data Processing

We process personal data of our users only to the extent necessary for providing a functional AI Governance Platform for EU AI Act Compliance, as well as our content and services. The processing of personal data regularly occurs only with the consent of the user or where processing is permitted by law.

⚖ 3. Legal Bases

The processing of personal data is carried out on the basis of the following legal grounds under the GDPR:

• Art. 6(1)(a) GDPR – Consent of the data subject
• Art. 6(1)(b) GDPR – Performance of a contract or pre-contractual measures
• Art. 6(1)(c) GDPR – Compliance with a legal obligation (in particular EU AI Act Art. 4, NIS2, DORA)
• Art. 6(1)(f) GDPR – Legitimate interests (e.g., IT security, fraud prevention)

🌐 4. Hosting and Website Provision

🇪🇺 EU Hosting

This website is hosted by:

IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Germany

When you visit our website, the web server automatically collects:

• IP address of the requesting device
• Date and time of access
• Name and URL of the requested file
• Volume of data transferred
• Notification of whether the retrieval was successful
• Identification data of the browser and operating system used
• Website from which the access was made (referrer URL)

This data is temporarily stored in server log files based on legitimate interest (Art. 6(1)(f) GDPR) to ensure trouble-free operation and is deleted after no more than 7 days.

Data Processing Agreement: We have concluded a data processing agreement (DPA) with IONOS pursuant to Art. 28 GDPR.

🗄 5. Backend Infrastructure (Supabase)

🇪🇺 EU Data Centre SOC 2 Type II

For authentication, data storage, and server-side logic we use:

Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992

Our Supabase project is hosted in the AWS region eu-central-1 (Frankfurt). All personal data therefore remains within the European Union.

5.1 Data Processed in Supabase

• Authentication: Email address, encrypted password (bcrypt), login timestamps, session token
• Profile data: First name, last name, email, department, tenant assignment (tenant_id)
• AI system entries: System ID, system name, provider, purpose of use, risk assessment (impact, autonomy, data sensitivity), risk level, AI-generated suggestions
• Tenant data (B2B): Company name, licence key, subscription status, invitations
• Purchase data: Licence ID, purchase status, reference to Stripe payment

5.2 AI-Assisted Processing (Edge Functions)

For AI-assisted risk assessment, we use Supabase Edge Functions that call a third-party AI service. The following data is transmitted:

• System name and purpose of the AI system
• Current risk assessment (numerical values)

No personal data is transmitted to the AI service. The transmission is limited to factual system information for risk categorisation.

Legal basis: Art. 6(1)(b) GDPR (performance of a contract) and Art. 6(1)(f) GDPR (legitimate interest in providing the service).

5.3 Security Measures

• Encryption in transit (TLS 1.2+) and at rest (AES-256)
• Row Level Security (RLS) – users can only access their own data
• Regular backups within the EU region
• SOC 2 Type II certified

Legal basis: Art. 6(1)(b) GDPR (performance of a contract) and Art. 6(1)(c) GDPR (legal obligation pursuant to the EU AI Act).

Data Processing Agreement: Data processing by Supabase is carried out on the basis of a Data Processing Agreement (DPA) pursuant to Art. 28 GDPR.

💳 6. Payment Processing (Stripe)

🇪🇺 EU Data Processing PCI DSS Level 1

For processing paid licences we use:

Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland

When making a purchase, you will be redirected to Stripe’s payment page (Stripe Payment Links). The following data is processed by Stripe:

• Name and email address
• Payment data (credit card number, expiry date, etc.)
• Billing address
• IP address and device information (for fraud prevention)

Legal basis: Art. 6(1)(b) GDPR (performance of a contract).

Stripe Privacy Policy: stripe.com/en-de/privacy

📊 7. AIGOY AI Governance Platform

7.1 Registration and Account Creation

To use the AIGOY Platform, the following data is processed:

• First name and last name
• Email address
• Department / organisational unit
• Password (stored encrypted via bcrypt)

Legal basis: Art. 6(1)(b) GDPR (performance of a contract).

7.2 AI System Inventory and Risk Assessment

Within the AIGOY Platform, we collect and store information about your company’s AI systems:

• Master data: AI system ID, system name, provider, category, purpose of use
• Risk assessment: Impact score, autonomy score, data sensitivity, risk score, risk level
• AI suggestion: Automated risk assessment based on the EU AI Act (via Supabase Edge Function)
• Rationale: AI-generated explanation of the proposed risk classification

This processing is necessary for the documentation and demonstration of AI governance in accordance with the EU AI Act (Regulation 2024/1689) as well as other EU regulations (NIS2, DORA, GDPR, CSRD, CRA).

Legal basis: Art. 6(1)(b) and (c) GDPR (performance of a contract and legal obligation).

7.3 Competence Certificates

As part of the integrated training modules, internal competence certificates are issued upon successful completion. These contain name, company, date, regulation, and result. The competence certificates serve as internal proof of AI competence pursuant to Art. 4 EU AI Act.

Storage is carried out for the purpose of demonstrating compliance with the EU AI Act and may be presented during audits.

7.4 Invitation System (B2B)

For B2B customers, the AIGOY Platform provides an invitation system. Email addresses of invited users are stored until the invitation is accepted or revoked.

Legal basis: Art. 6(1)(b) GDPR (performance of a B2B contract) and Art. 6(1)(f) GDPR (legitimate interest of the employer in compliance measures).

7.5 Licence Keys (B2B)

For B2B customers, we process licence keys, customer numbers, and usage data for licence management.

Legal basis: Art. 6(1)(b) GDPR.

💾 8. Local Data Storage (localStorage)

In addition to server-side storage, the application uses your browser’s localStorage for:

• Language preference
• AI system entries (local cache for offline capability)
• Temporary session data

This data does not leave your computer and is not transmitted to our servers. You can delete this data at any time via your browser settings.

🍪 9. Cookies & Technical Storage

This website uses exclusively technically necessary cookies and localStorage entries for:

• Language preference
• Session management / login status (Supabase Auth Token)
• AI register data (local cache)

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in technical operation) and §25(2) TDDDG (technically necessary).

✉ 10. Email Communication

When you contact us by email, your details (including email address) are stored for the purpose of processing your enquiry and for follow-up questions. This data will not be shared without your consent.

System notifications (e.g., invitation emails, password reset) are sent via Supabase Auth.

Legal basis: Art. 6(1)(b) GDPR (pre-contractual measures) or Art. 6(1)(f) GDPR (legitimate interest).

🔄 11. Data Sharing with Third Parties

Personal data is only transferred to third parties if:

• this is necessary for the performance of a contract (e.g., Stripe for payments)
• a legal obligation exists
• you have given your express consent

Current data processors:

• IONOS SE (Germany) – Web hosting
• Supabase Inc. (EU region Frankfurt) – Backend, database, authentication, Edge Functions
• Stripe Payments Europe, Ltd. (Ireland) – Payment processing
• AI service provider (USA/EU) – AI-assisted risk assessment and analysis (no personal data, only factual system information)
• OpenSanctions (Czech Republic) – Sanctions list database for compliance screenings (used only with the customer’s own API key)
• Clevver GmbH (Germany) – Virtual business address

🌍 12. Data Transfers to Third Countries

All personal data is processed within the European Union or the EEA:

• IONOS: Germany 🇩🇪
• Supabase: AWS eu-central-1, Frankfurt 🇩🇪
• Stripe: Dublin, Ireland 🇮🇪

Supabase Inc. is headquartered in Singapore. However, the data processing for our instance is carried out exclusively in the EU region (Frankfurt). In the event that Supabase employees from third countries require access to systems, this is done on the basis of Standard Contractual Clauses (SCCs) pursuant to Art. 46(2)(c) GDPR.

Stripe Payments Europe, Ltd. processes payment data in the EU. For the transfer to Stripe, Inc. (USA), SCCs and the EU-U.S. Data Privacy Framework also apply.

The AI-assisted risk assessment and analysis uses a third-party AI service. No personal data is transmitted in this process – only factual system information (system name, purpose of use, risk indicators) for analysis. For any third-country transfers, Standard Contractual Clauses (SCCs) pursuant to Art. 46(2)(c) GDPR or the EU-U.S. Data Privacy Framework apply.

⏱ 13. Retention Periods

Personal data is deleted as soon as the purpose of storage ceases to apply:

• Server log files: max. 7 days
• Account data: until account deletion or end of contract, plus statutory retention periods
• Invoice / payment data: 10 years (tax law, §147 AO [German Fiscal Code])
• Contract data: 6 years (commercial law, §257 HGB [German Commercial Code])
• AI register entries and competence certificates: For the duration of the statutory documentation obligation under the EU AI Act, NIS2, and other EU regulations (minimum 5 years recommended)
• Invitations: until acceptance or revocation, max. 12 months
• Screening results: For the duration of the contractual relationship; after termination, deletion within 90 days unless statutory retention obligations apply
• Compliance audit logs: 5 years (pursuant to §8(4) GwG [German Anti-Money Laundering Act] and general compliance documentation obligations)

🛡 14. Your Rights (GDPR)

You have the following rights with respect to your personal data:

• Access (Art. 15 GDPR) – Information about what data we hold about you
• Rectification (Art. 16 GDPR) – Correction of inaccurate data
• Erasure (Art. 17 GDPR) – “Right to be forgotten”
• Restriction (Art. 18 GDPR) – Restriction of processing
• Data portability (Art. 20 GDPR) – Receive data in a commonly used format
• Objection (Art. 21 GDPR) – Object to processing based on legitimate interests
• Withdrawal – Withdraw consent at any time with effect for the future

To exercise your rights, please contact: hello@ax1s.de

We will process your request without undue delay, and in any event within one month of receipt (Art. 12(3) GDPR).

📮 15. Right to Lodge a Complaint with a Supervisory Authority

You have the right to lodge a complaint with a data protection supervisory authority regarding the processing of your personal data.

The competent supervisory authority for our registered office is:

🤖 16. Notice on AI-Assisted Risk Assessment

The AIGOY Platform offers an AI-assisted risk assessment based on the EU AI Act risk categories. This assessment serves exclusively as a guidance tool and does not constitute a legally binding classification, certificate, or officially recognised attestation.

The automated risk assessment does not replace an individual legal review by qualified professionals or authorities. The ultimate responsibility for the correct risk classification and compliance with the EU AI Act (Regulation 2024/1689) lies with the operator or provider of the respective AI system.

AIGOY by AX1S assumes no liability for decisions made on the basis of the AI-assisted risk assessment. The results provided may differ from official regulatory classifications.

🛡 17. Sanctions Screening & Compliance Checks

17.1 Responsibility and Role Allocation

AIGOY provides, as a Software-as-a-Service provider, a technical platform that enables our customers (hereinafter “client”) to perform sanctions screenings, KYC/AML checks, UBO analyses, and related compliance checks. In the context of these checks, AIGOY processes personal data exclusively as a processor within the meaning of Art. 28 GDPR, acting on the instructions of the respective client. The controller within the meaning of Art. 4(7) GDPR for personal data processed in the course of sanctions screening is the respective client.

17.2 Categories of Data Processed

In the context of sanctions and compliance checks, the following categories of personal data may be processed:

• First and last name, date of birth, place of birth, nationality
• Address and contact details
• Identification numbers (e.g., commercial register number, tax identification number)
• Information on the Ultimate Beneficial Owner (UBO)
• Corporate ownership structures and shareholding relationships
• Results of matching against sanctions lists, PEP databases, and other watchlists
• Risk assessments and analysis results

17.3 Legal Bases for Processing

The processing of personal data in the context of sanctions screening is based on the following legal grounds:

• Art. 6(1)(c) GDPR – Where the client acts as an obliged entity under the German Anti-Money Laundering Act (GwG), processing is carried out to fulfil a legal obligation in conjunction with §§10 et seq. GwG and the respectively applicable EU sanctions regulations.
• Art. 6(1)(f) GDPR – Where the client is not directly subject to the obligations of the GwG, processing is based on the legitimate interest in avoiding business relationships with sanctioned persons, compliance with embargo regulations, and minimisation of reputational and liability risks.

17.4 Data Sources and Third-Party Providers

Sanctions screening is performed using the OpenSanctions API, which aggregates data from publicly available sanctions lists and databases, including:

• OFAC SDN (Specially Designated Nationals and Blocked Persons List, USA)
• EU Consolidated Sanctions List
• UN Security Council Consolidated List
• UK HMT (His Majesty’s Treasury) Sanctions List
• SECO (State Secretariat for Economic Affairs, Switzerland) Sanctions List
• PEP databases (Politically Exposed Persons)
• Additional national and international watchlists

17.5 Data Processing Agreement

Where AIGOY processes personal data on behalf of the customer in the course of providing contractual services, the parties shall enter into a separate Data Processing Agreement (DPA) pursuant to Art. 28 GDPR. AIGOY processes the customer’s personal data exclusively on the basis of documented instructions from the customer.

17.6 Retention of Screening Data

Screening results and associated personal data are stored for the duration of the contractual relationship with the client. After termination of the contractual relationship, data is deleted within 90 days, unless statutory retention obligations apply. The client is independently responsible for complying with the applicable statutory retention periods (in particular §8(4) GwG: 5 years) and for securing the data prior to the end of the contract.

17.7 Data Subject Rights in the Context of Sanctions Screening

Data subjects whose data is processed in the context of sanctions screening may exercise their rights under Art. 15 to 22 GDPR against the respective client as the controller. AIGOY supports the client in fulfilling its obligations within the framework of the Data Processing Agreement.

We note that the rights to access, rectification, and erasure may be subject to statutory restrictions in the context of sanctions screening, in particular pursuant to §33(1)(2) BDSG [German Federal Data Protection Act] (public security concerns) and §34 BDSG.

🤖 18. AI-Assisted Analysis Functions

AIGOY employs AI-assisted methods for certain analysis functions, in particular:

• Shell company detection: AI-assisted screening for shell companies and sanctions evasion structures
• Multi-hop risk discovery: Analysis of multi-level ownership chains (up to 4 levels) to identify concealed risks
• Entity network graph: Visualisation of complex ownership and shareholding structures
• AI cross-check: Comparison of screening results using additional AI-based analysis
• PEP analysis: Detection of politically exposed persons and their family/business environment

These methods serve exclusively to support human decision-making. No solely automated decision-making within the meaning of Art. 22 GDPR takes place that produces legal effects concerning the data subject or similarly significantly affects them. The final assessment and decision remains with the client.

⚠️ 19. Disclaimer for Screening Results

The sanctions screenings, screening results, network analyses, AI-assisted risk assessments, and other analysis results provided through the AIGOY Platform are intended exclusively for informational purposes and do not constitute legal advice, compliance advice, or any other professional advice.

The results provided do not replace independent review by qualified compliance officers, anti-money laundering officers, or legal counsel.

The accuracy, completeness, and timeliness of the screening results depend on the underlying data sources, in particular the OpenSanctions API and the sanctions lists and databases contained therein. AIGOY makes no warranty regarding the accuracy or completeness of this data.

The final assessment of screening results and all business or regulatory decisions based thereon are the sole responsibility of the user. AIGOY accepts no liability for decisions made on the basis of the results provided.

AI-assisted analysis results, particularly for shell company detection and network analysis, may produce false-positive or false-negative results and must be independently verified by the user.

📣 20. Whistleblower System (HinSchG)

Where AIGOY provides the customer with a whistleblower system within the meaning of the German Whistleblower Protection Act (HinSchG) as part of the platform, the following provisions apply:

• AIGOY provides the technical infrastructure for receiving and managing reports. AIGOY does not assume the function of an internal reporting office within the meaning of §14 HinSchG.
• The customer, as the employer, is solely responsible for operating the internal reporting office and complying with the requirements of the HinSchG.
• The confidentiality of the identity of the reporting person pursuant to §8 HinSchG is supported by technical measures (access control, encryption, anonymous reporting channels). The organisational measures are the responsibility of the customer.
• AIGOY assumes no liability for the substantive review or processing of reports. The obligation to examine the merits pursuant to §17 HinSchG rests solely with the customer.

📝 21. Changes to this Privacy Policy

We reserve the right to amend this privacy policy to ensure it always complies with current legal requirements or to implement changes to our services. The amended privacy policy will then apply on your next visit.

Last updated: March 2026 (expanded to include sanctions screening, AI analysis functions, whistleblower system)