Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 DSGVO.

Kurzfassung. Clawy verarbeitet keine Accounts, keine Profile, keine Cookies, kein Tracking. Jede Anfrage wird anonym über eine Krypto-Wallet (x402 / EIP-3009) bezahlt. Wir speichern technische Zugriffsdaten (IP-Adresse, Zeitstempel, Endpoint, Response-Code) in Server-Logs zur Abwehr von Angriffen und Missbrauch. Inhalte der Anfragen (Prompts) werden zur Erbringung der Dienstleistung an die jeweiligen KI-Anbieter (OpenAI, Anthropic) übermittelt und dort nach deren Datenschutzrichtlinien verarbeitet. Es findet kein Profiling, keine Werbung, kein Verkauf von Daten statt.

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO und des § 18 Abs. 1 MStV:

Frank Löschner
Trabenerstraße 38
14193 Berlin
E-Mail: [email protected]

Zuständige Datenschutzaufsichtsbehörde:
Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)
Friedrichstraße 219
10969 Berlin
www.datenschutz-berlin.de

2. Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck der Verwendung

2.1 Server-Logfiles

Beim Aufruf der Website oder der API-Endpunkte erhebt unser Server automatisch folgende Informationen:

Datum	Stand: 16. Juni 2026
Datenart	IP-Adresse (anonymisiert nach 24 h), Zeitstempel (UTC), HTTP-Methode, angefragter Pfad, HTTP-Statuscode, User-Agent-Header, Größe der Antwort, Verarbeitungsdauer in Millisekunden
Zweck	Erkennung und Abwehr von Angriffen (Brute-Force, Exploit-Versuche, DoS), Stabilitäts- und Performance-Monitoring, Fehlerdiagnose
Rechtsgrundlage	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb); § 25 Abs. 2 Nr. 2 TDDDG für reine Funktionscookies / Server-Logs
Speicherdauer	30 Tage in den operativen Logs; bei Sicherheitsvorfällen bis zur Beendigung der Untersuchung
Empfänger	Keine Weitergabe an Dritte; ggf. Cloudflare Inc. (CDN, USA — Angemessenheitsbeschluss EU-US Data Privacy Framework)

2.2 Anfrageinhalte (Prompts und Antworten)

Wenn Sie einen kostenpflichtigen Endpunkt aufrufen, werden die von Ihnen übermittelten messages sowie die durch das KI-Modell generierte Antwort zur Erbringung der vertraglich vereinbarten Dienstleistung an den jeweiligen Upstream-Anbieter übermittelt:

Endpoint	Upstream	Sitz / Drittland	Rechtsgrundlage
`POST /v1/chat/chatgpt`	OpenAI OpCo, LLC (API)	USA — DPF-zertifiziert	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
`POST /v1/chat/opus`	Anthropic PBC (API)	USA — DPF-zertifiziert	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
`POST /v1/chat/auto`	interner Anbieter (siehe /openapi.json)	EU/USA — siehe Anbieterdokumentation	Art. 6 Abs. 1 lit. b DSGVO

Wir selbst speichern den Inhalt Ihrer Anfragen und der Antworten nicht persistent. Anfrageinhalt wird nach Abschluss der Anfrageverarbeitung aus dem Arbeitsspeicher entfernt; eine gesonderte Trainings- oder Logging-Datenbank führen wir nicht.

Es gelten die Datenschutzbestimmungen der jeweiligen Upstream-Anbieter. Insbesondere weisen wir darauf hin, dass OpenAI und Anthropic die übermittelten Inhalte gemäß ihren Nutzungsbedingungen standardmäßig nicht zum Training ihrer Modelle verwenden, sofern ein API-Zugang genutzt wird (siehe OpenAI API Data Usage Policy und Anthropic Commercial Terms).

2.3 Zahlungsdaten (x402 / USDC)

Die Bezahlung erfolgt über das x402-Protokoll mittels USDC-Stablecoin auf der Base-Mainnet-Blockchain. Es werden keine Konto-, Karten- oder Bankverbindungen verarbeitet. Die Blockchain-Transaktion enthält öffentlich einsehbar:

die Wallet-Adresse des Zahlenden (Sender)
die Empfangswallet (0x767C96C228560DE259C2DB1D3c636B4C87b01a0C)
den Betrag in USDC, Zeitpunkt (Blocknummer) und Transaktions-Hash

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Blockchain-Daten sind öffentlich und nicht löschbar (Erläuterung in Abschnitt 6).

3. Cookies und lokale Speicherung

Wir setzen keine technisch nicht notwendigen Cookies, kein Tracking, keine Analyse-Cookies, keine Werbe-Cookies, keine Social-Media-Pixel und keine vergleichbaren Technologien ein. Es findet kein Session-Tracking über mehrere Anfragen hinweg statt. Jede x402-Anfrage wird unabhängig über die in der Zahlungs-Autorisierung enthaltene Wallet-Adresse authentifiziert.

4. Weitergabe von Daten an Dritte

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet nicht statt. Wir geben Ihre Daten ausschließlich an folgende Empfänger weiter:

Upstream-KI-Anbieter (OpenAI, Anthropic) zur Erbringung der Inferenzleistung (siehe 2.2)
Coinbase CDP als x402-Facilitator zur Verifikation und zum Settling der Blockchain-Transaktionen. Coinbase ist im EU-US Data Privacy Framework zertifiziert.
Cloudflare, Inc. als CDN und DDoS-Schutz vor unserem Origin-Server. Cloudflare ist im EU-US Data Privacy Framework zertifiziert.
Hosting-Anbieter des Origin-Servers (siehe Impressum): nur in dem Umfang, in dem dies für den Betrieb erforderlich ist.
Strafverfolgungsbehörden / Gerichte, soweit wir gesetzlich zur Auskunft verpflichtet sind (Art. 6 Abs. 1 lit. c DSGVO).

5. Übermittlung in Drittländer

Soweit Daten in den USA verarbeitet werden, erfolgt dies auf Basis des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework (DPF) vom 10. Juli 2023, oder — wo erforderlich — auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

6. Speicherdauer und Blockchain-Besonderheit

Personenbezogene Daten in Server-Logs werden nach 30 Tagen automatisch gelöscht, sofern keine sicherheitsrelevanten Gründe eine längere Aufbewahrung erfordern. Anfrageinhalte werden nicht persistent gespeichert. Zahlungsdaten auf der Blockchain sind technisch bedingt öffentlich und nicht löschbar; eine Löschung ist dort nicht möglich. Die Rechtsgrundlage für diese dauerhafte Speicherung ergibt sich aus der Funktionsweise des x402-Protokolls (Art. 6 Abs. 1 lit. b DSGVO).

7. Ihre Rechte als betroffene Person

Sie haben gegenüber dem Verantwortlichen folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung (Art. 17 DSGVO) — soweit technisch möglich (siehe Abschnitt 6 zur Blockchain)
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Widerspruchsrecht (Art. 21 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)
Beschwerderecht bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an die oben genannten Kontaktdaten. Anfragen werden innerhalb eines Monats beantwortet (Art. 12 Abs. 3 DSGVO).

8. Automatisierte Entscheidungsfindung / Profiling

Eine automatisierte Entscheidungsfindung oder ein Profiling im Sinne des Art. 22 DSGVO findet nicht statt.

9. Pflicht zur Bereitstellung der Daten

Die Bereitstellung der Anfrage- und Zahlungsdaten ist für den Abschluss und die Erfüllung des Nutzungsvertrags (x402-Mikrozahlung pro Anfrage) erforderlich. Ohne diese Daten kann die Dienstleistung nicht erbracht werden.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

11. KI-generierte Inhalte und Kennzeichnung

Sämtliche von den Endpunkten /v1/chat/chatgpt, /v1/chat/opus und /v1/chat/auto zurückgegebenen Inhalte werden vollständig durch KI-Modelle generiert. Wir kennzeichnen diese Inhalte in den API-Antworten über das Metadaten-Feld x_clawy.provider. Für die inhaltliche Richtigkeit, Vollständigkeit und rechtliche Zulässigkeit der durch das Modell generierten Ausgaben ist der jeweilige Aufrufer verantwortlich. Wir übernehmen keine Gewähr für die inhaltliche Korrektheit der Antworten.

Stand: 16. Juni 2026 · Clawy gateway v1.1.0