KI-Anbieter-Offenlegung

Inkrafttreten: 12. Mai 2026 · Letzte Aktualisierung: 12. Mai 2026 · Version: 1.0

Dieses Dokument ist die öffentliche Offenlegung der in RYSTATs KI-Funktionen (AI Site Builder, AI Assistant, KI-Inhaltserstellung) eingesetzten KI-Drittanbieter. Die Offenlegung erfüllt die Anforderungen von KVKK Art. 9, DSGVO Art. 28 und Art. 49 und ergänzt den Unterauftragsverarbeiter-Rahmen.

1. KI-Anbieter-Tabelle

Die folgende Tabelle fasst die vier KI-Drittanbieter zusammen, mit denen RYSTAT zusammenarbeitet, um KI-Funktionen bereitzustellen, einschließlich Rechtsordnung, Übermittlungsmechanismus und Status:

Anbieter	Rechtsordnung	Angemessenheitsbeschluss	SCC-Status	No-Train-Garantie	DPA-Status
Hangzhou DeepSeek AI Co., Ltd.	VR China	NEIN — kein EU-Angemessenheitsbeschluss	Begrenzt (lokale Zusatzmaßnahmen)	Angefragt (Antwort des Anbieters ausstehend)	Ausstehend
Anthropic, PBC	USA	EU-US DPF (bedingt)	Ja (EU-SCC + DPF)	Ja (vertraglich im Rahmen der DPA)	Aktiv
OpenAI, LLC	USA	EU-US DPF (bedingt)	Ja (EU-SCC + DPF)	Ja (Zero-Retention verfügbar)	Aktiv
Mistral AI SAS	Frankreich (innergemeinschaftlich)	Nicht zutreffend (innergemeinschaftlich)	Ja (nicht erforderlich — EU-intern)	Ja	Aktiv

Abkürzungen: SCC = Standardvertragsklauseln; DPA = Auftragsverarbeitungsvertrag; DPF = Data Privacy Framework; VR China = Volksrepublik China.

2. Datenfluss

Der Weg der vom Nutzer in KI-Funktionen eingegebenen Prompt- und Parameterdaten ist wie folgt:

Nutzer (Panel oder AI-Builder-UI) — Bei aktiviertem KI-Schalter (ausdrückliche Einwilligung erteilt) gibt der Nutzer einen Freitext-Prompt sowie Konfigurationsparameter ein.
RYSTAT (Hongkong, Unifics Limited) — Die Prompt-Daten werden von der RYSTAT-Konzerngesellschaft in Hongkong empfangen, im Audit-Trail erfasst und über TLS 1.2+ an den ausgewählten KI-Anbieter weitergeleitet.
KI-Anbieter (DeepSeek / Anthropic / OpenAI / Mistral) — Verarbeitet den Prompt und erzeugt eine Antwort. Bei „No-Train"-Politik wird der Prompt nicht für das Modelltraining verwendet; bei verfügbarer „Zero-Retention"-Option wird er unmittelbar gelöscht.
Antwort (Anbieter zu RYSTAT) — Die generierte Ausgabe kehrt über verschlüsselten TLS-Kanal zu RYSTAT zurück; der Audit-Trail wird ergänzt.
RYSTAT zum Nutzer — Die Antwort wird im Nutzer-Panel zur Prüfung, Übernahme oder Bearbeitung bereitgestellt.

2.1 Kategorien der übermittelten Daten

Freitext-Prompt des Nutzers (Inhaltsanweisung, Anfrage, Beschreibung)
Konfigurationsparameter: Sprache, Tonalität, Zielgruppe, Branche, Markenname (sofern angegeben)
Generierungskontext: Seitenbeschreibung, Inhalt-Templatekategorie, Ausgabeformat-Präferenz

2.2 Kategorien NICHT übermittelter Daten

Panel-Kontoinformationen (E-Mail, Name, Rechnungsadresse, Zahlungsdaten)
Server-Zugangsdaten (cPanel/WHM-Anmeldedaten, SSH-Schlüssel)
Vollständige gehostete Kundeninhalte (nur vom Nutzer in den Prompt eingefügte Ausschnitte werden übermittelt)
Transaktionsdaten (Rechnungen, Zahlungshistorie, Support-Tickets)

3. Schrems-II-Risikohinweis — DeepSeek (VR China)

Der primäre KI-Anbieter von RYSTAT, Hangzhou DeepSeek AI Co., Ltd., hat seinen Sitz in der Rechtsordnung der Volksrepublik China. Datenübermittlungen an diesen Anbieter erfordern im Lichte der EuGH-Entscheidung C-311/18 (Schrems II — 16. Juli 2020) eine besondere Risikobewertung.

3.1 Staatlicher Zugriff in der VR China — Rechtlicher Rahmen

Gesetz über den nationalen Nachrichtendienst (2017) Art. 7: „Alle Organisationen und Bürger sind verpflichtet, die Arbeit des nationalen Nachrichtendienstes zu unterstützen, daran mitzuwirken und mit ihm zusammenzuarbeiten." Diese Bestimmung begründet eine Mitwirkungspflicht für alle chinesischen Organisationen, einschließlich DeepSeek.
Datensicherheitsgesetz (2021): Der Staat kann aus Gründen der „nationalen Sicherheit" Daten von Organisationen anfordern.
Gesetz zum Schutz personenbezogener Informationen (PIPL, 2021): Regelt die Betroffenenrechte allgemein, sieht jedoch weitreichende Ausnahmen für Geheimdienst und Sicherheit vor.
Unabhängige gerichtliche Kontrolle: Es steht den Betroffenen kein wirksamer, der EU vergleichbarer Rechtsbehelf gegen staatliche Zugriffsanordnungen zur Verfügung.

3.2 Test der „wesentlichen Gleichwertigkeit"

Nach der EuGH-Entscheidung C-311/18 muss das Schutzniveau für personenbezogene Daten im Empfangs-Drittland dem in der EU „wesentlich gleichwertig" sein. Der Rahmen der VR China erfüllt diesen Test nicht; Übermittlungen an DeepSeek dürfen daher nur unter der Ausnahmeregelung gemäß DSGVO Art. 49 (ausdrückliche Einwilligung) nach gesonderter Information des Nutzers erfolgen.

3.3 Maßnahmen zur Risikominimierung

Datenminimierung: Es wird ausschließlich der für die KI-Generierung erforderliche Prompt + Parameter übermittelt; der Nutzer ist dafür verantwortlich, keine personenbezogenen Daten einzubeziehen (Bedingungen 13.4.4).
Verschlüsselung: Übermittlungen erfolgen über TLS 1.2+.
Ausdrückliche Einwilligung: Eine Übermittlung erfolgt nicht, bevor der Nutzer den KI-Schalter unter /panel/profile (Registerkarte Datenschutz) manuell aktiviert hat.
Widerruf: Eine Deaktivierung des Schalters stoppt zukünftige Übermittlungen unverzüglich.
Alternativen: Der Nutzer kann innergemeinschaftliche (Mistral SAS) oder US-Anbieter (Anthropic / OpenAI unter DPF) wählen.

Eine ausführliche Transfer Impact Assessment (TIA) ist auf Anfrage unter legal@rystat.com erhältlich. Die TIA wird jährlich nach der Methodik der EDSA-Empfehlung 01/2020 aktualisiert.

4. Nutzerrechte

4.1 Widerruf der ausdrücklichen Einwilligung

Der Nutzer kann seine ausdrückliche Einwilligung jederzeit widerrufen:

Über das Panel: Deaktivierung des Schalters „KI-Funktionen" unter /panel/profile (Registerkarte Datenschutz). Der Widerruf wird sofort wirksam.
Per E-Mail: Senden Sie eine E-Mail an privacy@rystat.com mit dem Betreff „Widerruf der KI-Einwilligung". RYSTAT schließt den Vorgang innerhalb von 30 Tagen ab und bestätigt diesen.
Wirkung: Zukunftsgerichtet — bereits durchgeführte Übermittlungen werden nicht entkräftet (KVKK Art. 7; DSGVO Art. 7 Abs. 3).

4.2 TIA und Dokumentanforderung

Transfer Impact Assessments und sonstige relevante Dokumente werden auf Anfrage übermittelt:

DeepSeek (VR China) TIA: docs/legal/tia-deepseek-2026.md (auf Anfrage erhältlich)
Zusammenfassungen der DPA der KI-Anbieter (Volltext im Rahmen der Unternehmenskunden-Verträge)
Kontakt: legal@rystat.com

4.3 Rechte der betroffenen Person

Die Rechte aus KVKK Art. 11 und DSGVO Art. 15–22 gelten für alle KI-Anbieter: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch. Anträge sind an privacy@rystat.com zu richten; RYSTAT leitet diese an den jeweiligen Anbieter weiter.

5. Mitteilung über Anbieterwechsel

Aktualisiert RYSTAT die aktuelle KI-Anbieterliste, gilt folgendes Mitteilungsverfahren:

Aufnahme eines neuen Anbieters: Da dies eine neue Datenempfängerstelle bedeutet, wird gemäß KVKK Art. 9 und DSGVO Art. 49 Abs. 1 Buchst. a ein erneutes Einwilligungsverfahren (Re-Consent) ausgelöst. Die Nutzer erhalten eine Mitteilung im Panel; der bestehende KI-Schalter wird automatisch deaktiviert, bis der Nutzer der neuen Liste zustimmt.
Entfernung eines bestehenden Anbieters: Nutzer werden zu Informationszwecken benachrichtigt; eine weitere Einwilligung ist nicht erforderlich. Die Umleitung der Aktivität auf einen alternativen Anbieter erfolgt durch RYSTAT.
Politikänderung eines Anbieters: Ändert ein Anbieter seinen No-Train- / SCC- / DPA-Status, werden betroffene Nutzer informiert; gegebenenfalls wird ein Re-Consent ausgelöst.
Mitteilungskanäle: Panel-Mitteilung + hinterlegte E-Mail-Adresse + Aktualisierungsdatum auf dieser Seite.

Diese Seite stellt ausschließlich öffentliche Informationen bereit. Die spezifische DPA für Unternehmenskunden samt Anbieterliste-Anhang wird auf Anfrage geteilt.

6. Kontakt

Für Fragen zur KI-Anbieter-Offenlegung, zum Management der ausdrücklichen Einwilligung, zu TIA-Anfragen und zu den Rechten der betroffenen Person:

Allgemeine Compliance / Rechtsfragen: legal@rystat.com
Datenschutz / KVKK / DSGVO-Rechte: privacy@rystat.com
Verantwortlicher: Unifics Limited (Hongkong) — Marke RYSTAT