Datenschutzerklärung

gemäß Art. 13 und 14 DSGVO · Stand: März 2026 · https://discode.ai

🇬🇧 English Version (Privacy Policy)

1. Verantwortlicher

Laboratoire M GmbH
Obere Donaustraße 45a/18, 1020 Wien, Österreich
E-Mail: jockey@discode.ai
Firmenbuch: FN 511608 s, Handelsgericht Wien
Geschäftsführer: Moriz Piffl-Percevic

Wir haben keinen Datenschutzbeauftragten bestellt, da die Voraussetzungen gemäß Art. 37 DSGVO derzeit nicht erfüllt sind. Bei Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

2. Überblick über die Datenverarbeitung

discode.ai ist ein Multi-LLM-Router, der automatisch das optimale KI-Modell für Ihre Anfrage auswählt. Im Rahmen der Nutzung verarbeiten wir personenbezogene Daten zu folgenden Zwecken:

• Bereitstellung und Betrieb der Plattform
• Authentifizierung und Benutzerkontenverwaltung
• Abwicklung von Zahlungen und Abonnements
• Weiterleitung Ihrer Anfragen an KI-Modelle (LLM-Routing)
• Automatische Faktenextraktion aus Gesprächen (Auto-Memory, nur bei Opt-in)
• Client-seitige Nutzungsstatistik (localStorage)
• Fehlerüberwachung und Performance-Optimierung
• Einhaltung gesetzlicher Pflichten

3. Rechtsgrundlagen der Verarbeitung

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit Sie in die Verarbeitung eingewilligt haben, z. B. für optionale Funktionen oder Analyse-Cookies.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Soweit die Verarbeitung zur Erfüllung des Nutzungsvertrags (AGB) erforderlich ist, insbesondere für den Betrieb der Plattform, die Authentifizierung und die Zahlungsabwicklung.
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Soweit wir gesetzlich zur Verarbeitung verpflichtet sind, z. B. steuerrechtliche Aufbewahrungspflichten.
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Soweit die Verarbeitung auf unserem berechtigten Interesse beruht, z. B. Fehlerüberwachung, Plattformsicherheit und Missbrauchsprävention.

4. Welche personenbezogenen Daten wir erheben

4.1 Registrierung und Kontodaten

• E-Mail-Adresse
• Benutzername (optional)
• OAuth-Identifikatoren (bei Social Login über Clerk)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

4.2 Nutzungsdaten

• Chat-Verläufe (Ihre Anfragen und die KI-Antworten)
• Gewählte Slider-Einstellungen (Speed, Quality, Budget, Eco)
• Genutztes KI-Modell pro Anfrage
• Zeitstempel, Token-Verbrauch, Kosten pro Anfrage
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

4.3 Zahlungsdaten

• Zahlungsmethode (Kreditkarte, etc.) — verarbeitet ausschließlich durch Stripe
• Abo-Status, Rechnungsverlauf
• Wir speichern keine vollständigen Kreditkartennummern
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

4.4 Auto-Memory (automatische Faktenextraktion)

Wenn Sie die Auto-Memory-Funktion in den Einstellungen aktivieren, analysiert ein KI-Modell (Groq/Llama) Ihre Gespräche automatisch auf stabile persönliche Fakten (z. B. Name, Beruf, bevorzugte Programmiersprache). Erkannte Fakten werden in Ihrer Datenbank gespeichert und in künftige Gespräche als Kontext eingebunden.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Funktion ist standardmäßig deaktiviert und erfordert Ihre ausdrückliche Aktivierung (Opt-in).
• Kategorien: Persönliche Daten (fact), Vorlieben (preference), Projektkontext (context).
• Speicherung: Maximal 20 Fakten pro Nutzer, jeweils maximal 1.000 Zeichen. Gespeichert in Supabase (EU, Frankfurt), nutzer-isoliert (Row Level Security).
• Speicherdauer:Solange Ihr Konto besteht oder bis Sie die Fakten manuell löschen. Sie können einzelne Fakten jederzeit über die Einstellungen oder per Chat-Befehl („vergiss …“) entfernen.
• Drittanbieter: Zur Extraktion wird die Anfrage an Groq (USA, SCC) übermittelt. Es gelten die Angaben aus Abschnitt 6.
• Widerruf: Sie können die Auto-Memory-Funktion jederzeit deaktivieren. Bereits gespeicherte Fakten bleiben erhalten, bis Sie diese manuell löschen.

4.5 Technische Daten

• IP-Adresse (anonymisiert in Logs)
• Browser-Typ, Betriebssystem
• Fehlermeldungen und Performance-Metriken (via Sentry)
• Sentry Session Replay (bei Fehlern):Tritt ein Fehler in Ihrer Browser-Sitzung auf, wird in 1 % der Fälle eine anonymisierte Sitzungsaufzeichnung an Sentry übermittelt. Dabei werden sämtliche Texte maskiert (maskAllText) und alle Medieninhalte blockiert (blockAllMedia), sodass keine Klartextinhalte oder personenbezogene Daten erfasst werden. Die Aufzeichnung dient ausschließlich der Fehlernachvollziehbarkeit.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Fehlerbehebung)

5. DSGVO-Anonymisierungsfunktion

discode.ai bietet eine optionale, serverseitige Anonymisierungsfunktion an. Wenn aktiviert, werden vor der Weiterleitung Ihrer Anfrage an das jeweilige KI-Modell personenbezogene Daten automatisch erkannt und entfernt oder durch Platzhalter ersetzt.

5.1 Erkannte Datenkategorien

Die Anonymisierung erkennt 15 PII-Muster (Personally Identifiable Information) mittels regelbasierter Erkennung sowie ein ML-basiertes Named Entity Recognition (GLiNER-Modell):

• Namen, E-Mail-Adressen, Telefonnummern
• Postanschriften, IBAN/Bankdaten
• Sozialversicherungsnummern, Steuernummern
• Geburtsdaten, Passnummern, Führerscheinnummern
• IP-Adressen, Kreditkartennummern
• Sowie weitere durch ML erkannte Entitäten (Organisationen, Orte)

5.2 Funktionsweise

• Die Anonymisierung erfolgt serverseitig, bevor Daten an Drittanbieter-APIs übermittelt werden.
• Die Originaldaten werden nur in Ihrer verschlüsselten Chat-Historie in der EU (Supabase, Frankfurt) gespeichert.
• An die LLM-Provider wird nur die anonymisierte Version übermittelt.
• Die Funktion ist optional und kann pro Anfrage oder global in den Einstellungen aktiviert/deaktiviert werden.

Hinweis: Die Anonymisierung bietet keinen absoluten Schutz. Es kann vorkommen, dass bestimmte personenbezogene Daten nicht erkannt werden, insbesondere bei ungewöhnlichen Formaten oder kontextabhängigen Informationen. Wir empfehlen, besonders sensible Daten nicht in KI-Anfragen einzugeben.

6. Empfänger und Drittanbieter-Dienste

Zur Erbringung unseres Dienstes setzen wir folgende Drittanbieter ein. Bei Datenübermittlungen in die USA stützen wir uns auf das EU-US Data Privacy Framework (DPF) bzw. Standardvertragsklauseln (SCC):

6.1 Hinweis zu LLM-Providern

Ihre Chat-Anfragen werden über OpenRouter an verschiedene KI-Modelle weitergeleitet (u. a. OpenAI, Anthropic, Google, Meta, Mistral). Die Auswahl des Modells erfolgt automatisch basierend auf Ihren Slider-Einstellungen. Wenn die DSGVO-Anonymisierung aktiviert ist, werden personenbezogene Daten vor der Übermittlung entfernt.

6.2 Eco-Slider und EU-Modelle

Bei hoher Eco-Slider-Einstellung bevorzugt das Routing EU-gehostete Modelle, um Datenübermittlungen in Drittländer zu minimieren. Dies ist jedoch eine Optimierung, keine Garantie.

7. Datenübermittlung in Drittländer

7.1 Übermittlung in die USA

Einige unserer Dienstleister haben ihren Sitz in den USA. Für diese Übermittlungen stützen wir uns auf:

• EU-US Data Privacy Framework (DPF): Für Dienste, die unter dem DPF zertifiziert sind (Clerk, Stripe, Vercel, Sentry). Der Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 bildet die Grundlage.
• Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO: Für Dienste ohne DPF-Zertifizierung (OpenRouter, Replicate, Groq, Perplexity).

7.2 Übermittlung nach China (nur bei ausdrücklicher Einwilligung)

Einige der über die Plattform verfügbaren KI-Modelle werden von Anbietern mit Sitz in der Volksrepublik China betrieben. Für China besteht kein Angemessenheitsbeschluss der Europäischen Kommission.

Betroffene Modelle und Anbieter:

• DeepSeek V3, DeepSeek R1 (DeepSeek, Hangzhou, China)
• Qwen 2.5 72B, Qwen 2.5 7B (Alibaba Cloud, Hangzhou, China)
• Kimi K2 (Moonshot AI, Peking, China)
• MiniMax M2, MiniMax Video (MiniMax, Shanghai, China)

Standardmäßig deaktiviert: Chinesische Modelle sind in der Voreinstellung deaktiviert und werden nicht für das automatische Routing berücksichtigt. Ihre Anfragen werden ausschließlich an Modelle in der EU oder den USA weitergeleitet.

Aktivierung nur mit ausdrücklicher Einwilligung:Wenn Sie den „China-Toggle“ in den Einstellungen aktivieren, willigen Sie gemäß Art. 49 Abs. 1 lit. a DSGVO ausdrücklich in die Übermittlung Ihrer Anfragedaten an Server in China ein. Sie werden vor der Aktivierung über die Risiken informiert.

Technischer Hinweis: Die Übermittlung erfolgt über den US-basierten Proxy-Dienst OpenRouter. Die Zwischenschaltung dieses Proxys ändert nichts an der datenschutzrechtlichen Bewertung — der Endempfänger bleibt der chinesische Modellbetreiber.

Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den China-Toggle deaktivieren. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Risiken:China verfügt über umfassende staatliche Zugriffsrechte auf Daten (u. a. Cybersicherheitsgesetz, PIPL). Ein dem EU-Niveau gleichwertiges Datenschutzniveau kann nicht garantiert werden. Wir empfehlen, bei aktiviertem China-Toggle die DSGVO-Anonymisierungsfunktion (Abschnitt 5) eingeschaltet zu lassen.

8. Speicherdauer

• Kontodaten: Solange Ihr Konto besteht, danach Löschung innerhalb von 30 Tagen nach Kontolöschung, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.
• Chat-Verläufe: Solange Ihr Konto besteht. Sie können einzelne Chats oder Ihren gesamten Verlauf jederzeit selbst löschen.
• Zahlungsdaten: Gemäß steuerrechtlichen Aufbewahrungspflichten (7 Jahre gemäß BAO in Österreich).
• Technische Logs: Maximal 90 Tage, danach automatische Löschung.
• Sentry-Fehlerdaten: Maximal 90 Tage.
• Auto-Memory-Fakten: Solange Ihr Konto besteht oder bis Sie die Fakten manuell löschen (maximal 20 Fakten pro Nutzer).
• Client-seitige Nutzungsstatistik: Letzte 30 Tage (rollierende Bereinigung im localStorage Ihres Browsers).
• Einwilligungsprotokolle (Consent Log): Nachweise über erteilte und widerrufene Einwilligungen werden gemäß Art. 7 Abs. 1 DSGVO für 3 Jahre aufbewahrt — auch nach Löschung Ihres Kontos. Dies dient der Erfüllung unserer gesetzlichen Nachweispflicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO. Nach Ablauf der 3-Jahres-Frist werden die Protokolle automatisch gelöscht.

9. Ihre Rechte als betroffene Person

Sie haben gemäß der DSGVO folgende Rechte:

• Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung können Sie jederzeit widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: jockey@discode.ai. Wir werden Ihre Anfrage innerhalb eines Monats beantworten.

10. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren:

Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
https://www.dsb.gv.at

11. Cookies und lokale Speicherung

11.1 Technisch notwendige Cookies

• Clerk-Session-Cookies: Für die Authentifizierung und Aufrechterhaltung Ihrer Sitzung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• SameSite-Cookie-Schutz: Zum Schutz vor Cross-Site-Request-Forgery-Angriffen setzen wir SameSite-Attribute auf allen Authentifizierungs-Cookies. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

11.2 Funktionale Speicherung (localStorage)

Zur Bereitstellung der Kernfunktionen speichern wir folgende Daten lokal in Ihrem Browser (localStorage). Diese Daten verlassen Ihren Browser nicht und werden nicht an Server übermittelt.

• Benutzereinstellungen: Slider-Einstellungen, Theme-Präferenzen, Sprachauswahl, aktive Chips, Onboarding-Status, favorisierte Modelle.
• Chat-Metadaten: Titel, Zeitstempel und Nachrichten-IDs Ihrer letzten Gespräche (maximal 100) sowie die Kennung des aktuell geöffneten Chats. Diese Metadaten ermöglichen das sofortige Laden der Chat-Übersicht ohne erneute Serverabfrage.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG — technisch erforderlicher Zugriff auf die Endeinrichtung des Nutzers. Die lokale Speicherung ist unbedingt erforderlich, um den vom Nutzer ausdrücklich gewünschten Dienst (Chat-Oberfläche mit Einstellungspersistenz) bereitzustellen. Eine Einwilligung ist daher nicht erforderlich.

11.3 Client-seitige Nutzungsstatistik (localStorage)

Zur Bereitstellung der persönlichen Nutzungsstatistik (Abfragen, genutzte Modelle, Kosten, Umweltmetriken) speichern wir aggregierte Daten lokal in Ihrem Browser (localStorage, Schlüssel discode-analytics). Diese Daten verlassen Ihren Browser nicht und werden nicht an Server übermittelt.

• Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG — technisch erforderlicher Zugriff auf die Endeinrichtung zur Bereitstellung des vom Nutzer ausdrücklich gewünschten Dienstes (persönliche Statistik).
• Speicherdauer: Letzte 30 Tage (rollierende Bereinigung). Ältere Tageseinträge werden automatisch gelöscht. Sie können die Daten jederzeit über die Browser-Einstellungen löschen.
• Gespeicherte Datenpunkte: Anzahl Anfragen, genutzte Modelle (Top 50), erkannte Absichten (Top 50), Tageskosten, CO₂-Verbrauch, Wasserverbrauch, Energieverbrauch.

11.4 Plausible Analytics (nur bei Einwilligung)

Wenn Sie im Cookie-Banner zustimmen, wird Plausible Analytics geladen. Plausible ist ein cookiefreies, datenschutzfreundliches Analysetool mit Hosting in der EU (Deutschland). Es erfasst aggregierte Seitenaufrufdaten, ohne Cookies zu setzen oder personenbezogene Daten zu speichern. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

11.5 Google Analytics 4 (nur bei Einwilligung)

Wenn Sie im Cookie-Banner auf „Verstanden“ klicken, wird Google Analytics 4 (GA4) geladen. GA4 setzt Cookies, um anonyme Nutzungsstatistiken zu erheben (z. B. Seitenaufrufe, Registrierungen, erste Anfrage, Plan-Upgrade). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

• Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
• Datenübermittlung: USA (DPF-zertifiziert)
• Speicherdauer: Bis zu 14 Monate (GA4-Standard)
• Erfasste Events: sign_up, first_query, upgrade, topup
• IP-Anonymisierung: In GA4 standardmäßig aktiv
• Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Browser-Cookies löschen. GA4 wird dann nicht mehr geladen.

Wenn Sie im Cookie-Banner auf „Ablehnen“ klicken oder das Banner schließen, werden weder GA4 noch Plausible geladen und es werden keine Analysedaten erhoben. Marketing-Cookies setzen wir nicht ein.

12. Automatisierte Entscheidungsfindung

Die automatische Auswahl des KI-Modells durch unseren Routing-Algorithmus stellt keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO dar, da sie keine rechtliche Wirkung entfaltet und Sie nicht in ähnlicher Weise erheblich beeinträchtigt. Sie können die Modellauswahl jederzeit über die Slider-Einstellungen beeinflussen.

13. Minderjährige

discode.ai richtet sich nicht an Kinder unter 16 Jahren. Personen unter 16 Jahren dürfen den Dienst nur mit Einwilligung eines Erziehungsberechtigten nutzen. Wird uns bekannt, dass wir personenbezogene Daten eines Kindes unter 16 Jahren ohne entsprechende Einwilligung verarbeiten, werden wir diese Daten unverzüglich löschen.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, technische Änderungen oder neue Funktionen anzupassen. Die aktuelle Version ist stets unter discode.ai/datenschutz abrufbar. Bei wesentlichen Änderungen werden wir Sie per E-Mail oder In-App-Benachrichtigung informieren.

Letzte Aktualisierung: März 2026