Datenschutzerklärung
gemäß Art. 13 und 14 DSGVO · Stand: Juni 2026 · https://discode.ai
1. Verantwortlicher
Laboratoire M GmbH
Obere Donaustraße 45a/18, 1020 Wien, Österreich
E-Mail: jockey@discode.ai
Firmenbuch: FN 511608 s, Handelsgericht Wien
Geschäftsführer: Moriz Piffl-Percevic
Wir haben keinen Datenschutzbeauftragten bestellt, da die Voraussetzungen gemäß Art. 37 DSGVO derzeit nicht erfüllt sind. Bei Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte E-Mail-Adresse.
2. Überblick über die Datenverarbeitung
discode.ai ist ein Multi-LLM-Router, der automatisch das optimale KI-Modell für Ihre Anfrage auswählt. Im Rahmen der Nutzung verarbeiten wir personenbezogene Daten zu folgenden Zwecken:
- Bereitstellung und Betrieb der Plattform
- Authentifizierung und Benutzerkontenverwaltung
- Abwicklung von Zahlungen und Abonnements
- Weiterleitung Ihrer Anfragen an KI-Modelle (LLM-Routing)
- Automatische Faktenextraktion aus Gesprächen (Auto-Memory, nur bei Opt-in)
- Client-seitige Nutzungsstatistik (localStorage)
- Fehlerüberwachung und Performance-Optimierung
- Einhaltung gesetzlicher Pflichten
3. Rechtsgrundlagen der Verarbeitung
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit Sie in die Verarbeitung eingewilligt haben, z. B. für optionale Funktionen oder Analyse-Cookies.
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Soweit die Verarbeitung zur Erfüllung des Nutzungsvertrags (AGB) erforderlich ist, insbesondere für den Betrieb der Plattform, die Authentifizierung und die Zahlungsabwicklung.
- Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Soweit wir gesetzlich zur Verarbeitung verpflichtet sind, z. B. steuerrechtliche Aufbewahrungspflichten.
- Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Soweit die Verarbeitung auf unserem berechtigten Interesse beruht, z. B. Fehlerüberwachung, Plattformsicherheit und Missbrauchsprävention.
4. Welche personenbezogenen Daten wir erheben
4.1 Registrierung und Kontodaten
- E-Mail-Adresse
- Benutzername (optional)
- OAuth-Identifikatoren (bei Social Login über Clerk)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
4.2 Nutzungsdaten
- Chat-Verläufe (Ihre Anfragen und die KI-Antworten)
- Gewählte Slider-Einstellungen (Speed, Quality, Budget, Eco)
- Genutztes KI-Modell pro Anfrage
- Zeitstempel, Token-Verbrauch, Kosten pro Anfrage
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
4.3 Zahlungsdaten
- Zahlungsmethode (Kreditkarte, etc.) — verarbeitet ausschließlich durch Stripe
- Abo-Status, Rechnungsverlauf
- Wir speichern keine vollständigen Kreditkartennummern
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
4.4 Auto-Memory (automatische Faktenextraktion)
Wenn Sie die Auto-Memory-Funktion in den Einstellungen aktivieren, analysiert ein KI-Modell (Groq/Llama) Ihre Gespräche automatisch auf stabile persönliche Fakten (z. B. Name, Beruf, bevorzugte Programmiersprache). Erkannte Fakten werden in Ihrer Datenbank gespeichert und in künftige Gespräche als Kontext eingebunden.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Funktion ist standardmäßig deaktiviert und erfordert Ihre ausdrückliche Aktivierung (Opt-in).
- Kategorien: Persönliche Daten (fact), Vorlieben (preference), Projektkontext (context).
- Speicherung: Maximal 20 Fakten pro Nutzer, jeweils maximal 1.000 Zeichen. Gespeichert in Supabase (EU, Frankfurt), nutzer-isoliert (Row Level Security).
- Speicherdauer:Solange Ihr Konto besteht oder bis Sie die Fakten manuell löschen. Sie können einzelne Fakten jederzeit über die Einstellungen oder per Chat-Befehl („vergiss …“) entfernen.
- Drittanbieter: Zur Extraktion wird die Anfrage an Groq (USA, SCC) übermittelt. Es gelten die Angaben aus Abschnitt 6.
- Widerruf: Sie können die Auto-Memory-Funktion jederzeit deaktivieren. Bereits gespeicherte Fakten bleiben erhalten, bis Sie diese manuell löschen.
4.5 Technische Daten
- IP-Adresse (anonymisiert in Logs)
- Browser-Typ, Betriebssystem
- Fehlermeldungen und Performance-Metriken (via Sentry)
- Sentry Session Replay (bei Fehlern):Tritt ein Fehler in Ihrer Browser-Sitzung auf, wird in 1 % der Fälle eine anonymisierte Sitzungsaufzeichnung an Sentry übermittelt. Dabei werden sämtliche Texte maskiert (
maskAllText) und alle Medieninhalte blockiert (blockAllMedia), sodass keine Klartextinhalte oder personenbezogene Daten erfasst werden. Die Aufzeichnung dient ausschließlich der Fehlernachvollziehbarkeit. - Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Fehlerbehebung)
5. DSGVO-Anonymisierungsfunktion
discode.ai bietet eine optionale Anonymisierungsfunktion, die vollständig in Ihrem Browser läuft. Wenn aktiviert, werden personenbezogene Daten in Ihrer Eingabe bereits auf Ihrem Gerät erkannt und durch Platzhalter ersetzt — mittels einer regelbasierten Erkennung sowie eines lokal ausgeführten ML-Modells (via WebAssembly), bevor überhaupt etwas gesendet wird.
5.1 Erkannte Datenkategorien
Erkannt werden unter anderem folgende Kategorien:
- Namen, E-Mail-Adressen, Telefonnummern
- Postanschriften, Organisationen
- IBAN/Bankdaten, Kreditkartennummern
- Geburtsdaten, Sozialversicherungs-, Steuer-, Pass- und Ausweisnummern
Das ML-Modell ist derzeit für Englisch, Deutsch, Italienisch und Französisch optimiert.
5.2 Funktionsweise
- Erkennung und Ersetzung erfolgen client-seitig in Ihrem Browser, bevor Daten an unsere Server oder Drittanbieter übermittelt werden.
- An unsere Server und die LLM-Provider wird nur die anonymisierte Version übermittelt; die Zuordnung der Platzhalter zu Ihren Originalwerten bleibt lokal auf Ihrem Gerät.
- Die Antwort des Modells wird lokal in Ihrem Browser wieder de-anonymisiert.
- Sie prüfen die erkannten Elemente vor dem Senden.
- Das lokal ausgeführte Modell wird einmalig von einem Drittanbieter (Hugging Face, USA) geladen und danach in Ihrem Browser zwischengespeichert. Dabei werden nur die Modelldateien übertragen — keine Ihrer Eingaben —, Ihre IP-Adresse ist diesem Anbieter jedoch wie bei jeder Web-Anfrage sichtbar.
- Die Funktion ist optional und kann pro Anfrage oder global in den Einstellungen aktiviert/deaktiviert werden.
Hinweis: Die Anonymisierung bietet keinen absoluten Schutz. Es kann vorkommen, dass bestimmte personenbezogene Daten nicht erkannt werden, insbesondere bei ungewöhnlichen Formaten oder kontextabhängigen Informationen. Wir empfehlen, besonders sensible Daten nicht in KI-Anfragen einzugeben.
6. Empfänger und Drittanbieter-Dienste
Zur Erbringung unseres Dienstes setzen wir folgende Drittanbieter ein. Bei Datenübermittlungen in die USA stützen wir uns auf das EU-US Data Privacy Framework (DPF) bzw. Standardvertragsklauseln (SCC):
| Dienst | Zweck | Standort | Rechtsgrundlage Transfer |
|---|---|---|---|
| Clerk | Authentifizierung, Benutzerverwaltung | USA | DPF-zertifiziert |
| Stripe | Zahlungsabwicklung, Abonnements | USA | DPF-zertifiziert |
| Supabase | Datenbank (Chat-Verläufe, Nutzereinstellungen) | EU (Frankfurt) | Kein Drittlandtransfer |
| Upstash | Redis Cache (Session-Daten, Rate Limiting) | EU (Frankfurt) | Kein Drittlandtransfer |
| Vercel | Hosting, CDN, Serverless Functions | EU (Region Pinning) | DPF-zertifiziert |
| Sentry | Error Tracking, Performance Monitoring, Session Replay (1 % bei Fehlern, maskiert) | USA | DPF-zertifiziert |
| Google Analytics (GA4) | Anonyme Nutzungsanalyse (nur bei Einwilligung) | USA | DPF-zertifiziert |
| OpenRouter | LLM-Routing (Weiterleitung an KI-Modelle) | USA | SCC |
| Exa | Websuche — verarbeitet die Suchanfrage, wenn die Web-Suche aktiv ist und das gewählte Modell keine eigene Suche anbietet (Fallback im Auto-Modus über OpenRouter) | USA | SCC |
| Hugging Face | Einmaliger Download der Modelldateien für die lokale, clientseitige Anonymisierung in Ihren Browser — übertragen werden nur Modelldateien, keine Eingabe- oder Chatdaten (Ihre IP-Adresse ist dabei wie bei jeder Web-Anfrage sichtbar) | USA | SCC |
6.1 Hinweis zu LLM-Providern
Ihre Chat-Anfragen werden über OpenRouter an verschiedene KI-Modelle weitergeleitet. Die Auswahl des Modells erfolgt automatisch basierend auf Ihren Slider-Einstellungen. Wenn die DSGVO-Anonymisierung aktiviert ist, werden personenbezogene Daten vor der Übermittlung entfernt.
Eingesetzte Inferenz-Subprozessoren: Je nach Modell und Auslastung kann Ihre Anfrage über OpenRouter von einem der folgenden Inferenz-Anbieter verarbeitet werden. Datenübermittlungen in Drittländer stützen wir auf Standardvertragsklauseln (SCC) bzw. das EU-US Data Privacy Framework (DPF):
- AI21
- AionLabs
- AkashML
- Amazon Bedrock
- Ambient
- Anthropic
- Arcee AI
- AtlasCloud
- Azure
- BaseTen
- Cerebras
- Chutes
- Clarifai
- Cloudflare
- Cohere
- Darkbloom
- Decart
- DeepInfra
- DekaLLM
- DigitalOcean
- Fireworks
- Friendli
- GMICloud
- Google AI Studio
- Groq
- Inception
- Inceptron
- Infermatic
- Inflection
- Io Net
- Ionstream
- Liquid
- Mancer 2
- Mara
- Mistral
- ModelRun
- Morph
- Nebius
- NextBit
- Novita
- Nvidia
- OpenAI
- OpenInference
- Parasail
- Perceptron
- Perplexity
- Poolside
- Reka
- Relace
- SambaNova
- Stealth
- Switchpoint
- Together
- Upstage
- Venice
- Wafer
- WandB
- xAI
Diese Liste wird automatisch aus den aktuell aktiven Modell-Endpunkten erzeugt und kann sich ändern. Anbieter mit Sitz in der Volksrepublik China sind hier nicht enthalten und werden gesondert unter Abschnitt 7.2 behandelt.
6.2 Eco-Slider und EU-Modelle
Bei hoher Eco-Slider-Einstellung bevorzugt das Routing EU-gehostete Modelle, um Datenübermittlungen in Drittländer zu minimieren. Dies ist jedoch eine Optimierung, keine Garantie.
7. Datenübermittlung in Drittländer
7.1 Übermittlung in die USA
Einige unserer Dienstleister haben ihren Sitz in den USA. Für diese Übermittlungen stützen wir uns auf:
- EU-US Data Privacy Framework (DPF): Für Dienste, die unter dem DPF zertifiziert sind (Clerk, Stripe, Vercel, Sentry). Der Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 bildet die Grundlage.
- Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO: Für Dienste ohne DPF-Zertifizierung (OpenRouter, Replicate, Groq, Perplexity, Exa).
7.2 Übermittlung nach China (nur bei ausdrücklicher Einwilligung)
Einige der über die Plattform verfügbaren KI-Modelle werden von Anbietern mit Sitz in der Volksrepublik China betrieben. Für China besteht kein Angemessenheitsbeschluss der Europäischen Kommission.
Betroffene Anbieter: Maßgeblich ist der datenverarbeitende Anbieter (nicht der Modell-Autor). Als China-kontrolliert eingestuft und daher nur mit Einwilligung eingesetzt werden:
Standardmäßig deaktiviert: Chinesische Modelle sind in der Voreinstellung deaktiviert und werden nicht für das automatische Routing berücksichtigt. Ihre Anfragen werden ausschließlich an Modelle in der EU oder den USA weitergeleitet.
Aktivierung nur mit ausdrücklicher Einwilligung:Wenn Sie den „China-Toggle“ in den Einstellungen aktivieren, willigen Sie gemäß Art. 49 Abs. 1 lit. a DSGVO ausdrücklich in die Übermittlung Ihrer Anfragedaten an Server in China ein. Sie werden vor der Aktivierung über die Risiken informiert.
Technischer Hinweis: Die Übermittlung erfolgt über den US-basierten Proxy-Dienst OpenRouter. Die Zwischenschaltung dieses Proxys ändert nichts an der datenschutzrechtlichen Bewertung — der Endempfänger bleibt der chinesische Modellbetreiber.
Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den China-Toggle deaktivieren. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Risiken:China verfügt über umfassende staatliche Zugriffsrechte auf Daten (u. a. Cybersicherheitsgesetz, PIPL). Ein dem EU-Niveau gleichwertiges Datenschutzniveau kann nicht garantiert werden. Wir empfehlen, bei aktiviertem China-Toggle die DSGVO-Anonymisierungsfunktion (Abschnitt 5) eingeschaltet zu lassen.
8. Speicherdauer
- Kontodaten: Solange Ihr Konto besteht, danach Löschung innerhalb von 30 Tagen nach Kontolöschung, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.
- Chat-Verläufe: Solange Ihr Konto besteht. Sie können einzelne Chats oder Ihren gesamten Verlauf jederzeit selbst löschen.
- Zahlungsdaten: Gemäß steuerrechtlichen Aufbewahrungspflichten (7 Jahre gemäß BAO in Österreich).
- Technische Logs: Maximal 90 Tage, danach automatische Löschung.
- Sentry-Fehlerdaten: Maximal 90 Tage.
- Auto-Memory-Fakten: Solange Ihr Konto besteht oder bis Sie die Fakten manuell löschen (maximal 20 Fakten pro Nutzer).
- Client-seitige Nutzungsstatistik: Letzte 30 Tage (rollierende Bereinigung im localStorage Ihres Browsers).
- Einwilligungsprotokolle (Consent Log): Nachweise über erteilte und widerrufene Einwilligungen werden gemäß Art. 7 Abs. 1 DSGVO für 3 Jahre aufbewahrt — auch nach Löschung Ihres Kontos. Dies dient der Erfüllung unserer gesetzlichen Nachweispflicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO. Nach Ablauf der 3-Jahres-Frist werden die Protokolle automatisch gelöscht.
9. Ihre Rechte als betroffene Person
Sie haben gemäß der DSGVO folgende Rechte:
- Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung können Sie jederzeit widerrufen.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: jockey@discode.ai. Wir werden Ihre Anfrage innerhalb eines Monats beantworten.
10. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren:
Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
https://www.dsb.gv.at
11. Cookies und lokale Speicherung
11.1 Technisch notwendige Cookies
- Clerk-Session-Cookies: Für die Authentifizierung und Aufrechterhaltung Ihrer Sitzung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
- SameSite-Cookie-Schutz: Zum Schutz vor Cross-Site-Request-Forgery-Angriffen setzen wir SameSite-Attribute auf allen Authentifizierungs-Cookies. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
11.2 Funktionale Speicherung (localStorage)
Zur Bereitstellung der Kernfunktionen speichern wir folgende Daten lokal in Ihrem Browser (localStorage). Diese Daten verlassen Ihren Browser nicht und werden nicht an Server übermittelt.
- Benutzereinstellungen: Slider-Einstellungen, Theme-Präferenzen, Sprachauswahl, aktive Chips, Onboarding-Status, favorisierte Modelle.
- Chat-Metadaten: Titel, Zeitstempel und Nachrichten-IDs Ihrer letzten Gespräche (maximal 100) sowie die Kennung des aktuell geöffneten Chats. Diese Metadaten ermöglichen das sofortige Laden der Chat-Übersicht ohne erneute Serverabfrage.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG — technisch erforderlicher Zugriff auf die Endeinrichtung des Nutzers. Die lokale Speicherung ist unbedingt erforderlich, um den vom Nutzer ausdrücklich gewünschten Dienst (Chat-Oberfläche mit Einstellungspersistenz) bereitzustellen. Eine Einwilligung ist daher nicht erforderlich.
11.3 Client-seitige Nutzungsstatistik (localStorage)
Zur Bereitstellung der persönlichen Nutzungsstatistik (Abfragen, genutzte Modelle, Kosten, Umweltmetriken) speichern wir aggregierte Daten lokal in Ihrem Browser (localStorage, Schlüssel discode-analytics). Diese Daten verlassen Ihren Browser nicht und werden nicht an Server übermittelt.
- Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG — technisch erforderlicher Zugriff auf die Endeinrichtung zur Bereitstellung des vom Nutzer ausdrücklich gewünschten Dienstes (persönliche Statistik).
- Speicherdauer: Letzte 30 Tage (rollierende Bereinigung). Ältere Tageseinträge werden automatisch gelöscht. Sie können die Daten jederzeit über die Browser-Einstellungen löschen.
- Gespeicherte Datenpunkte: Anzahl Anfragen, genutzte Modelle (Top 50), erkannte Absichten (Top 50), Tageskosten, CO₂-Verbrauch, Wasserverbrauch, Energieverbrauch.
11.4 Google Analytics 4 (nur bei Einwilligung)
Wenn Sie im Cookie-Banner auf „Verstanden“ klicken, wird Google Analytics 4 (GA4) geladen. GA4 setzt Cookies, um anonyme Nutzungsstatistiken zu erheben (z. B. Seitenaufrufe, Registrierungen, erste Anfrage, Plan-Upgrade). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
- Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
- Datenübermittlung: USA (DPF-zertifiziert)
- Speicherdauer: Bis zu 14 Monate (GA4-Standard)
- Erfasste Events: sign_up, first_query, upgrade, topup
- IP-Anonymisierung: In GA4 standardmäßig aktiv
- Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Browser-Cookies löschen. GA4 wird dann nicht mehr geladen.
Wenn Sie im Cookie-Banner auf „Ablehnen“ klicken oder das Banner schließen, wird GA4 nicht geladen und es werden keine Analysedaten erhoben. Marketing-Cookies setzen wir nicht ein.
12. Automatisierte Entscheidungsfindung
Die automatische Auswahl des KI-Modells durch unseren Routing-Algorithmus stellt keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO dar, da sie keine rechtliche Wirkung entfaltet und Sie nicht in ähnlicher Weise erheblich beeinträchtigt. Sie können die Modellauswahl jederzeit über die Slider-Einstellungen beeinflussen.
13. Minderjährige
discode.ai richtet sich nicht an Kinder unter 16 Jahren. Personen unter 16 Jahren dürfen den Dienst nur mit Einwilligung eines Erziehungsberechtigten nutzen. Wird uns bekannt, dass wir personenbezogene Daten eines Kindes unter 16 Jahren ohne entsprechende Einwilligung verarbeiten, werden wir diese Daten unverzüglich löschen.
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, technische Änderungen oder neue Funktionen anzupassen. Die aktuelle Version ist stets unter discode.ai/datenschutz abrufbar. Bei wesentlichen Änderungen werden wir Sie per E-Mail oder In-App-Benachrichtigung informieren.
Letzte Aktualisierung: Juni 2026