Timotheos Samartzidis

AI · Governance · Systems

Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie nach Art. 13 und 14 DSGVO darüber, welche personenbezogenen Daten beim Besuch von timosam.com sowie bei der Nutzung der unter /apps/ bereitgestellten Web-Applikationen verarbeitet werden, zu welchem Zweck, auf welcher Rechtsgrundlage und welche Rechte Ihnen zustehen.

Stand: 25. Juni 2026

Hinweis zur Aktualität: Diese Erklärung beschreibt die tatsächlich eingesetzten Funktionen und Datenflüsse. Ändern sich Apps, Dienstleister, Geräteberechtigungen, KI-Funktionen oder die Hosting-Infrastruktur, wird sie angepasst (siehe Abschnitt 19).

1. Verantwortlicher und Datenschutzkontakt

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Timotheos Samartzidis
Kostheimer Landstr. 17a
55246 Wiesbaden
Deutschland

E-Mail: [email protected]

Für alle Fragen zum Datenschutz und zur Wahrnehmung Ihrer Rechte erreichen Sie den Verantwortlichen unter der vorstehenden E-Mail-Adresse.

Die Benennung eines Datenschutzbeauftragten ist nicht erforderlich, da die gesetzlichen Voraussetzungen (Art. 37 DSGVO, § 38 BDSG) nicht vorliegen; insbesondere sind nicht in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, und es findet keine umfangreiche Verarbeitung besonderer Datenkategorien als Kerntätigkeit statt.

2. Geltungsbereich dieser Erklärung

Diese Erklärung gilt für die Website timosam.com und die dort bereitgestellten Web-Applikationen. Sie gilt nicht für externe Dienste und Websites Dritter, die über Links erreichbar sind oder die Sie eigenständig mit eigenen Zugangsdaten nutzen. Für deren Datenverarbeitung sind die jeweiligen Anbieter verantwortlich; es gelten deren Datenschutzbestimmungen.

3. Rechtsgrundlagen im Überblick

Soweit wir personenbezogene Daten verarbeiten, stützen wir uns – je nach Verarbeitung – auf folgende Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – für optionale, nicht zwingend erforderliche Dienste, etwa das Laden des Google-Calendar-Embeds.
  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen) – etwa bei der Bearbeitung von Anfragen und bei der Erbringung einer von Ihnen aktiv angeforderten serverseitigen Funktion.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) – etwa für die sichere, stabile und performante technische Bereitstellung der Website.
  • § 25 Abs. 1 TDDDG (Einwilligung) bzw. § 25 Abs. 2 TDDDG (Ausnahme bei technischer Erforderlichkeit) – für das Speichern von Informationen auf Ihrem Endgerät und den Zugriff darauf.

Erfolgt eine Übermittlung in Länder außerhalb der EU/des EWR, beachten wir zusätzlich die Vorgaben der Art. 44 ff. DSGVO (siehe Abschnitt 16).

4. Ihre Rechte als betroffene Person

Sie haben nach Maßgabe der DSGVO insbesondere folgende Rechte:

  • Recht auf Auskunft (Art. 15 DSGVO),
  • Recht auf Berichtigung (Art. 16 DSGVO),
  • Recht auf Löschung (Art. 17 DSGVO),
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Widerspruchsrecht (Art. 21 DSGVO): Soweit wir Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen. Wir verarbeiten die betroffenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für den Verantwortlichen zuständig ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1, 65189 Wiesbaden
Postfach 31 63, 65021 Wiesbaden
Telefon: +49 611 1408-0
E-Mail: [email protected]

5. Hosting, Auslieferung und Server-Logfiles

Beim Aufruf der Website werden technisch notwendige Zugriffsdaten verarbeitet, insbesondere IP-Adresse, Datum und Uhrzeit des Abrufs, die konkret aufgerufene Seite/Datei, der Referrer, Browsertyp und -version, das Betriebssystem sowie die übertragene Datenmenge. Diese Verarbeitung ist erforderlich, um die Website auszuliefern, ihre Stabilität und Sicherheit zu gewährleisten und Missbrauch zu erkennen.

Origin-Hosting: Die Website wird auf einem Server innerhalb der EU bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, betrieben. Hetzner verarbeitet die Daten als Auftragsverarbeiter weisungsgebunden für uns.

Content Delivery Network / Proxy (Cloudflare): Der Datenverkehr wird über die Infrastruktur der Cloudflare, Inc. (101 Townsend St., San Francisco, CA 94107, USA) geleitet. Cloudflare übernimmt dabei DNS, die TLS-Verschlüsselung am Netzwerkrand sowie Schutz- und CDN-Funktionen. Cloudflare kann hierfür Verbindungs- und Zugriffsdaten (insbesondere die IP-Adresse) verarbeiten; da Cloudflare die Transportverschlüsselung am Edge terminiert, kann der Datenverkehr dort technisch verarbeitet werden. Cloudflare betreibt ein globales Netzwerk; eine Verarbeitung außerhalb der EU/des EWR, einschließlich der USA, ist möglich (siehe Abschnitt 16).

Rechtsgrundlage für die Verarbeitung der Zugriffsdaten sowie den Einsatz von Hosting und CDN ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse besteht in einer sicheren, stabilen und performanten Bereitstellung des Angebots. Server-Logfiles werden gelöscht, sobald sie für diese Zwecke nicht mehr erforderlich sind, in der Regel innerhalb weniger Tage, soweit nicht im Einzelfall eine längere Speicherung zur Aufklärung konkreter Sicherheitsvorfälle erforderlich ist.

6. Speicherung auf Ihrem Endgerät, Einwilligungsverwaltung und Cookies

Wir setzen keine Analyse-, Tracking- oder Werbe-Cookies ein. Gespeichert bzw. ausgelesen werden auf Ihrem Endgerät ausschließlich die folgenden, für den jeweiligen Dienst technisch erforderlichen Informationen:

  • Einwilligungsentscheidung (localStorage): Ihre Auswahl in den Datenschutzeinstellungen wird lokal in Ihrem Browser gespeichert, damit optionale Drittanbieter-Integrationen nicht bei jedem Seitenaufruf erneut abgefragt werden. Diese Speicherung ist technisch notwendig (§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. f DSGVO).
  • Sitzungs-Cookie der serverseitigen App (alchemy_session): Wenn Sie die serverseitige Funktion von „The Alchemists Studio“ (Abschnitt 12) aktiv nutzen, wird ein notwendiges Sitzungs-Cookie mit einer anonymen Sitzungskennung und einer Laufzeit von bis zu 30 Tagen gesetzt, um Ihre Aufträge Ihrer Sitzung zuzuordnen. Das Cookie ist zur Erbringung des von Ihnen ausdrücklich gewünschten Dienstes erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. b/f DSGVO).

Optionale Dienste, insbesondere der Google-Calendar-Terminbereich, werden erst nach Ihrer Einwilligung geladen. Sie können Ihre Entscheidung jederzeit über den Link ändern bzw. widerrufen. Die Ablehnung ist über die Schaltfläche „Nur notwendige Dienste“ ebenso einfach möglich wie die Zustimmung.

7. Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir die von Ihnen übermittelten Angaben (insbesondere Ihre E-Mail-Adresse, Ihren Namen, soweit angegeben, und den Inhalt Ihrer Nachricht) zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage mit einem Vertrag oder vorvertraglichen Maßnahmen zusammenhängt, andernfalls Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

Die Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Eine Kontaktaufnahme per E-Mail erfolgt unverschlüsselt über Ihren E-Mail-Anbieter; bitte übermitteln Sie auf diesem Weg keine besonders schutzwürdigen Inhalte.

8. Terminbuchung über Google Calendar

Auf der Kontaktseite kann nach Ihrer Einwilligung ein Google-Calendar-Embed zur Terminbuchung geladen werden. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Solange Sie nicht zustimmen, wird der Kalender nicht geladen; an seiner Stelle erscheint ein Platzhalter. Erst wenn Sie den Kalender laden oder eine Terminbuchung durchführen, werden technische Verbindungsdaten (insbesondere Ihre IP-Adresse) sowie die von Ihnen im Buchungsprozess eingegebenen Daten an Google übertragen und dort verarbeitet. Dabei ist eine Übermittlung in die USA möglich (siehe Abschnitt 16).

Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und, soweit Endgerätezugriffe betroffen sind, § 25 Abs. 1 TDDDG. Sie können die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Alternativ können Sie die Buchungsseite direkt bei Google öffnen. Weitere Informationen finden Sie in der Datenschutzerklärung von Google.

9. Extern eingebundene Ressourcen auf einzelnen Seiten und in Web-Applikationen

Sämtliche Schriftarten werden lokal von timosam.com ausgeliefert; externe Schriftdienste (etwa Google Fonts) werden nicht mehr eingebunden, sodass beim Laden von Schriften keine Daten an Dritte übertragen werden. Einzelne der unter /apps/ bereitgestellten Web-Applikationen laden jedoch weiterhin Programmbibliotheken oder Laufzeitumgebungen von Drittanbietern nach. Dazu gehören je nach App insbesondere: cdnjs/Cloudflare, jsDelivr, unpkg, esm.sh, cdn.tailwindcss.com sowie Hugging Face.

Beim Abruf solcher Ressourcen wird mindestens Ihre IP-Adresse an den jeweiligen Anbieter übertragen; dabei ist je nach Anbieter eine Verarbeitung außerhalb der EU/des EWR möglich (siehe Abschnitt 16). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse besteht in der funktionsfähigen, technisch zuverlässigen Bereitstellung der jeweiligen Anwendungen.

Bei den verbleibenden externen Programmbibliotheken arbeiten wir darauf hin, sie – soweit nicht zwingend erforderlich – künftig lokal zu bündeln oder über die Einwilligungsverwaltung zu steuern.

10. Lokale Verarbeitung in den Web-Applikationen

Viele der bereitgestellten Apps verarbeiten Ihre Eingaben vollständig in Ihrem Browser. Dazu gehören unter anderem Datei-, Markdown-, DOCX-, Diagramm-, Projektplanungs- und Kinder-Apps. Dabei können Daten lokal in Ihrem Browser gespeichert werden, etwa über localStorage, IndexedDB oder Service-Worker-Caches.

Diese lokalen Daten verbleiben auf Ihrem Gerät und werden grundsätzlich nicht durch den Verantwortlichen ausgelesen oder an einen Server übertragen. Sie bleiben gespeichert, bis Sie sie in der jeweiligen App löschen oder die Browserdaten entfernen. Beispiele sind Projektpläne, Spielstände, lokale KI-Modell-Caches, Texte, Vorlagen, Einstellungen und Exporthistorien. Rechtsgrundlage für die technisch notwendige lokale Speicherung ist § 25 Abs. 2 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO.

11. KI-Funktionen mit Ihren eigenen Zugangsdaten

Einige Apps ermöglichen die direkte Nutzung von KI-Diensten mit von Ihnen selbst bereitgestellten API-Schlüsseln oder Tokens. In diesen Fällen werden die Daten unmittelbar aus Ihrem Browser an den jeweiligen Anbieter gesendet; der Anbieter verarbeitet sie als eigenständig Verantwortlicher nach seinen eigenen Bedingungen.

  • The Writing Circle: sendet Texte bei Nutzung der KI-Funktionen direkt aus Ihrem Browser an Anthropic (api.anthropic.com) oder OpenAI (api.openai.com). API-Schlüssel und Dokumente können lokal in Ihrem Browser gespeichert werden.
  • GDPR Field Classifier: kann KI-Modelle und WASM-Ressourcen aus externen Quellen (u. a. Hugging Face) laden und lokal in Ihrem Browser cachen; die Klassifizierung läuft im Browser.

Sie sind dafür verantwortlich, an KI-Anbieter keine personenbezogenen oder besonders schutzwürdigen Daten zu übermitteln, ohne die hierfür erforderliche Rechtsgrundlage und eine Risikoabwägung zu haben. Rechtsgrundlage für die durch Sie veranlasste Übermittlung ist regelmäßig Ihre eigene Entscheidung; eine Verarbeitung durch den Verantwortlichen findet bei diesen browserseitigen Funktionen nicht statt.

12. The Alchemists Studio – serverseitige Verarbeitung von Aufträgen

Die App „The Alchemists Studio“ bietet eine serverseitige Funktion, mit der KI-Generierungsaufträge auch nach dem Schließen des Browsers weiterlaufen können. Sobald Sie diese Funktion aktiv nutzen, verarbeiten wir personenbezogene bzw. potenziell personenbeziehbare Daten auf einem von uns betriebenen Server (EU, bei Hetzner). Diese Verarbeitung erfolgt durch uns als Verantwortlichen und geht über die rein lokale Verarbeitung nach Abschnitt 10 hinaus.

Verarbeitete Daten:

  • eine anonyme Sitzungskennung (Cookie alchemy_session, Laufzeit bis zu 30 Tagen);
  • von Ihnen hinterlegte API-Zugangsdaten der KI-Anbieter, die verschlüsselt (AES-256-GCM) gespeichert werden;
  • die von Ihnen eingegebenen Auftrags- bzw. Prompt-Texte und zugehörige Auftragsparameter (Modell, Format, Verarbeitungsstatus, Verlauf);
  • die im Auftrag erzeugten Ergebnisdateien (Artefakte), die serverseitig gespeichert werden.

Zweck und Rechtsgrundlage: Die Verarbeitung dient ausschließlich der Erbringung der von Ihnen angeforderten asynchronen Generierungsfunktion. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung einer von Ihnen angeforderten Leistung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionsfähigen, sitzungsübergreifenden Auftragsbetrieb).

Empfänger: Zur Ausführung der Aufträge werden die erforderlichen Daten an die von Ihnen gewählten KI-Anbieter übermittelt, namentlich Google (Gemini-Modelle) und Replicate, Inc. (u. a. Modelle von ByteDance). Da der Datenverkehr über Cloudflare ausgeliefert wird, durchläuft er zudem die in Abschnitt 5 beschriebene CDN-/Proxy-Infrastruktur. Eine Übermittlung in die USA ist dabei möglich (siehe Abschnitt 16).

Speicherdauer: Sitzungsbezogene Daten werden der Sitzungskennung zugeordnet und nach Ablauf bzw. nach Wegfall des Verarbeitungszwecks gelöscht. Verschlüsselt gespeicherte Zugangsdaten können Sie in der App entfernen.

Ihre Verantwortung: Bitte geben Sie in Aufträgen keine personenbezogenen oder vertraulichen Daten Dritter ein, für die Ihnen keine Rechtsgrundlage zur Übermittlung an die genannten Anbieter zur Verfügung steht.

13. Kinder-Apps und Gerätezugriffe

Einzelne Kinder-Apps sind als installierbare Progressive Web Apps (PWA) umgesetzt und können Service Worker, lokale Speicherung und App-Manifeste verwenden. Kamera-Apps wie „Monster Scanner“ oder „Magic Room Protector“ greifen ausschließlich nach einem aktiven Browser-Berechtigungsdialog auf die Kamera zu. Der Kamerastream wird nur für die Funktion der jeweiligen App verwendet und nach Ende der Funktion wieder beendet; eine Speicherung oder Übertragung des Kamerabilds an uns findet nicht statt.

In den Kinder-Apps sind keine Analyse-, Tracking- oder Werbe-SDKs enthalten. Die Apps sind für die private, elternbegleitete Nutzung bestimmt. Eltern und Aufsichtspersonen bleiben für Eignung, Aufsicht, Geräteeinstellungen und erteilte Berechtigungen verantwortlich. Rechtsgrundlage für die nur lokale, zweckgebundene Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO bzw. – beim Kamerazugriff – Ihre über den Browserdialog erteilte Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG).

14. Keine Zahlungen, keine automatisierte Entscheidung im Einzelfall

Auf dieser Website werden keine eigenen Zahlungsfunktionen, Abonnements oder In-App-Käufe angeboten. Kosten können allein bei den KI-Anbietern entstehen, wenn Sie eigene Schlüssel oder Tokens verwenden; diese Kosten entstehen im Verhältnis zwischen Ihnen und dem jeweiligen Anbieter.

Eine automatisierte Entscheidung im Einzelfall einschließlich Profiling, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO), findet nicht statt.

15. Empfänger und Auftragsverarbeiter im Überblick

Personenbezogene Daten werden nur an Empfänger weitergegeben, soweit dies für die beschriebenen Zwecke erforderlich ist oder Sie eingewilligt haben. Eingesetzt werden insbesondere:

  • Hetzner Online GmbH (Deutschland) – Hosting/Serverbetrieb (Auftragsverarbeiter);
  • Cloudflare, Inc. (USA) – DNS, TLS, CDN/Proxy (Auftragsverarbeiter, Drittland);
  • Google Ireland Limited (Irland) – Terminbuchung (Google Calendar); bei der KI-Funktion „Alchemists Studio“ Google-Gemini-Modelle;
  • Replicate, Inc. (USA) – Modellausführung in „The Alchemists Studio“;
  • Anbieter externer Programmbibliotheken/Laufzeiten (cdnjs/Cloudflare, jsDelivr, unpkg, esm.sh, cdn.tailwindcss.com, Hugging Face) – Auslieferung von Ressourcen in einzelnen Apps;
  • Anthropic, OpenAI – nur bei direkter, von Ihnen mit eigenen Schlüsseln veranlasster Nutzung (eigenständig Verantwortliche, siehe Abschnitt 11).

Soweit Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, geschieht dies auf Grundlage von Verträgen zur Auftragsverarbeitung nach Art. 28 DSGVO.

16. Übermittlungen in Drittländer

Bei einzelnen der vorgenannten Dienste ist eine Verarbeitung personenbezogener Daten außerhalb der EU/des EWR, insbesondere in den USA, möglich. Eine solche Übermittlung erfolgt nur unter den Voraussetzungen der Art. 44 ff. DSGVO. Als Garantien kommen insbesondere zum Einsatz:

  • eine Zertifizierung des Empfängers unter dem EU-U.S. Data Privacy Framework (DPF), soweit der Empfänger zertifiziert ist (für die USA besteht insoweit ein Angemessenheitsbeschluss der EU-Kommission), und/oder
  • der Abschluss der Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) nebst ergänzenden Schutzmaßnahmen.

Informationen zu den jeweiligen Garantien stellen die Anbieter in ihren Datenschutzbestimmungen bereit; auf Anfrage informieren wir Sie über den konkret einschlägigen Mechanismus.

17. Speicherdauer im Überblick

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen:

  • Server-Logfiles: kurzfristig, in der Regel wenige Tage (Sicherheit/Betrieb).
  • Kontaktanfragen: bis zur abschließenden Bearbeitung, anschließend Löschung vorbehaltlich gesetzlicher Pflichten.
  • Lokale Browserdaten: bis zur Löschung durch Sie (verbleiben auf Ihrem Gerät).
  • Serverseitige Daten in „The Alchemists Studio“: für die Dauer der Sitzung bzw. bis zum Wegfall des Zwecks; Sitzungskennung bis zu 30 Tage.

18. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Ihre Daten gegen Verlust, Missbrauch und unbefugten Zugriff zu schützen. Die Übertragung erfolgt verschlüsselt über TLS (HTTPS); serverseitig gespeicherte Zugangsdaten werden verschlüsselt abgelegt. Unsere Maßnahmen werden fortlaufend an den Stand der Technik angepasst.

19. Aktualität und Änderungen

Diese Datenschutzerklärung wird angepasst, sobald sich die zugrunde liegende Datenverarbeitung ändert – etwa bei neuen Apps, neuen Drittanbietern, neuen Geräteberechtigungen, Änderungen an KI-Funktionen oder an der Hosting-/CDN-Infrastruktur. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.