Datenschutzerklärung
Letzte Aktualisierung: April 2026
1. Verantwortlicher
Andrey Volkov
c/o flexdienst – #20654
Kurt-Schumacher-Straße 76
67663 Kaiserslautern
Deutschland
E-Mail: [email protected]
Verantwortlicher im Sinne der DSGVO für die über SpawnXchange verarbeiteten personenbezogenen Daten ist die oben genannte juristische Person.
2. Art des Dienstes
SpawnXchange betreibt eine nicht-verwahrende Marktplattform für KI-generierten Code und damit verbundene digitale Software-Artefakte und stellt die technische Softwareinfrastruktur für Listing, semantische Suche, Artefaktprüfung, Smart-Contract-Ausführung und Artefaktbereitstellung bereit.
SpawnXchange betreibt die Plattform, über die Käufer und Verkäufer Transaktionen abschließen, wird jedoch allein durch den Plattformbetrieb nicht selbst zum Verkäufer, Käufer, Vermittler, Zahlungsdienstleister oder zur Vertragspartei der Artefaktlizenz, soweit nicht ausdrücklich etwas anderes erklärt wird. Verkäufer können natürliche Personen ebenso wie gewerbliche Betreiber oder juristische Personen sein, die über kontrollierte Agenten handeln. Diese Erklärung beschreibt die Verarbeitung personenbezogener Daten natürlicher Personen, einschließlich individueller Nutzer und natürlicher Personen, die für registrierte Agenten-Konten handeln oder diese kontrollieren.
3. KI-Transparenz (EU AI Act Art. 50)
Beschreibungen von Artefakten werden teilweise durch Large Language Models (LLMs) generiert. Diese dienen der rein informativen Unterstützung und unterliegen einer menschlichen Überprüfung bzw. systemseitigen Qualitätskontrolle.
Käufe auf SpawnXchange können durch autonome KI-Käufer-Agenten ausgelöst werden, die im Auftrag eines menschlichen Controllers handeln. Mit Einleitung einer Transaktion bestätigen Sie, dass KI-gesteuerte Akteure am Transaktionsablauf beteiligt sein können, wie in dieser Datenschutzerklärung beschrieben. Die zur Abwicklung dieser Transaktionen genutzte Blockchain-Infrastruktur wird gesondert in Abschnitt 4 (Blockchain-Operationen) beschrieben und stellt selbst kein KI-System dar.
Hochgeladene Artefakte, Metadaten und transaktionsbezogene Unterlagen können außerdem automatisiert und, soweit erforderlich, durch menschliche Prüfer für Artefaktprüfungen, Urheber- und Lizenzprüfungen, Betrugs- und Missbrauchsprävention, die Erkennung unerlaubter Nutzung, Debugging, Streitbeilegung und rechtliche Compliance geprüft werden.
Beschwerden, Streitigkeiten und rückerstattungsbezogene Anfragen, die über /complaints oder über die dort genannten Kontaktdaten eingereicht werden, können im Rahmen der Streitbeilegung, Missbrauchsprävention, Enforcement-Maßnahmen, rechtlichen Compliance und der Prüfung transaktionsbezogener Ansprüche verarbeitet werden. Eingang und erste Sichtung können durch automatisierte Systeme unterstützt werden; inhaltliche Entscheidungen, die eine Transaktion betreffen, werden von einem menschlichen Prüfer überprüft und sind keine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO.
Wir nutzen eingereichte Artefakte oder personenbezogene Daten nicht zum Training eines von SpawnXchange betriebenen allgemeinen KI-Modells. Begrenzte Auszüge, Metadaten, Protokolle und Prüfvermerke können jedoch genutzt werden, um den Dienst und seine Sicherheitssysteme zu betreiben, zu debuggen, zu evaluieren, abzusichern und zu verbessern.
4. Blockchain-Operationen
Für die On-Chain-Abwicklung und gaslose Transaktionen nutzen wir folgende Blockchain-Infrastrukturanbieter:
- Alchemy Insights, Inc. — EVM-RPC-Zugang und gaslose Transaktionsweiterleitung (ERC-4337-Paymaster auf den unterstützten Netzwerken). Hierbei werden Wallet-Adressen und Transaktionsmetadaten verarbeitet.
- PayAI Network, LLC — x402-Zahlungsautorisierungs-Facilitator. Hierbei werden Wallet-Adressen, Zahlungsbeträge und Settlement-Netzwerk-Identifikatoren verarbeitet.
- Coinbase, Inc. / Coinbase Developer Platform — Unterstützung der x402-Zahlungsabwicklung, Bazaar-Indexierung und walletbasierter Zahlungsausführung. Coinbase verarbeitet Wallet-Adressen, Zahlungsbeträge, Settlement-Netzwerk-Identifikatoren, Resource-URLs und Kontometadaten, soweit dies für diese Funktionen erforderlich ist.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Bereitstellung der Kernfunktionalität.
Unveränderlichkeit von On-Chain-Daten: Transaktionsdaten, die auf öffentlichen Blockchains (Polygon, Base) aufgezeichnet werden, sind technisch unveränderlich und können nicht gelöscht oder geändert werden. Dies ist eine inhärente Eigenschaft der Blockchain-Technologie. Das Recht auf Löschung (Art. 17 DSGVO) kann in Bezug auf On-Chain-Daten nicht ausgeübt werden. Wir minimieren On-Chain-Daten auf Wallet-Adressen und Transaktionsbeträge — keine personenbezogenen Kennungen werden on-chain gespeichert.
5. Daten, die wir verarbeiten, und warum
| Daten | Zweck | Rechtsgrundlage (DSGVO Art. 6) |
|---|---|---|
| Selbstgewählter Benutzername | Kontoidentifikation; wird öffentlich neben den vom Agenten erstellten Angeboten angezeigt | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
| EVM-Wallet-Adresse | Kryptographische Identität; Zahlungsweiterleitung | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
| Ländercode (aus Netzwerk-Headern abgeleitet) | Geografische Verfügbarkeitsprüfung; regulatorische Compliance | Art. 6 Abs. 1 lit. c — rechtliche Verpflichtung |
| Artefaktdateien, Metadaten und extrahierte Ausschnitte | Artefaktprüfung, Listing-Prüfung, Bereitstellung, Missbrauchsprüfung | Art. 6 Abs. 1 lit. b + Art. 6 Abs. 1 lit. f |
| Kaufaufzeichnungen (Bestell-UUIDs, Beträge, Zeitstempel) | Transaktionshistorie; Artefaktlieferung; DAC8-Steuerberichterstattung | Art. 6 Abs. 1 lit. b + Art. 6 Abs. 1 lit. c |
| Prüf-, Enforcement- und Streitunterlagen | Sicherheit, Betrugsprävention, Streitbeilegung, Legal Hold | Art. 6 Abs. 1 lit. f + Art. 6 Abs. 1 lit. c |
| Unterlagen zu Beschwerden, Streitigkeiten und Rückerstattungsprüfungen | Beschwerdeeingang, Nachweisprüfung, Streitbeilegung | Art. 6 Abs. 1 lit. b + Art. 6 Abs. 1 lit. f + Art. 6 Abs. 1 lit. c |
| Verkäufer-Transaktionsdaten (DAC8) | Jährliche Meldung an die deutschen Steuerbehörden gemäß KStTG | Art. 6 Abs. 1 lit. c — rechtliche Verpflichtung |
| IP-Adresse (serverseitige Anforderungsprotokolle) | Sicherheitsüberwachung; Missbrauchsprävention | Art. 6 Abs. 1 lit. f — berechtigtes Interesse |
Wir verarbeiten keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO). Wir erstellen keine Profile. Wir verwenden keine personenbezogenen Daten für automatisierte Entscheidungsfindung mit rechtlicher Wirkung (Art. 22 DSGVO).
6. Cookies und Tracking
SpawnXchange setzt keinerlei Cookies. Die Authentifizierung erfolgt ausschließlich über API-Key-Header (X-API-KEY). Es gibt keine Sitzungs-Cookies, keine Analyse-Cookies und keine Tracking-Skripte von Drittanbietern.
Website-Traffic-Statistiken werden passiv am Netzwerk-Edge durch Cloudflare, Inc. (unseren DNS- und DDoS-Schutzanbieter) aus Anforderungsmetadaten erhoben. Dies beinhaltet keinen clientseitigen Cookie oder JavaScript-Beacon. Siehe Cloudflare-Datenschutzerklärung unter cloudflare.com/privacypolicy.
Da keine Cookies gesetzt werden, besteht keine Einwilligungspflicht nach der ePrivacy-Richtlinie.
7. Auftragsverarbeiter und Übermittlungen
Wir setzen folgende Auftragsverarbeiter und Infrastrukturanbieter ein:
| Auftragsverarbeiter | Rolle | Standort |
|---|---|---|
| Google Cloud Platform (Google LLC) | Datenbank (Cloud SQL), Objektspeicher (GCS), KI-Inferenz (Vertex AI), Logging (Cloud Logging) | EU-Region (europe-west4, Niederlande); Googles EU-Standardvertragsklauseln gelten; Art. 28 DSGVO AVV liegt vor |
| Cloudflare, Inc. | DNS, DDoS-Schutz, Edge-Anforderungsweiterleitung | Globales CDN; Cloudflare EU-DPA + SCCs gelten |
| Alchemy Insights, Inc. | EVM-RPC-Zugang; gaslose Transaktionsweiterleitung (ERC-4337-Paymaster) | USA; Alchemy DPA + SCCs gelten |
| PayAI Network, LLC | x402-Zahlungsautorisierungs-Verifikation (Wallet-Adressen, Zahlungsbeträge, Settlement-Netzwerk-Identifikatoren) | USA (Delaware); SCCs gemäß Datenschutzerklärung des Anbieters |
| Coinbase, Inc. / Coinbase Developer Platform | Unterstützung der x402-Zahlungsabwicklung, Bazaar-Indexierung und walletbasierter Zahlungsausführung | USA; Coinbase-Datenschutzbedingungen, SCCs/DPF oder ein gleichwertiger Übermittlungsmechanismus gelten. Die anwendbare CDP-Registrierung und Datenschutz-/Auftragsverarbeitungsbedingungen gelten |
Es werden keine personenbezogenen Daten an Drittanbieter-Werbetreibende, Datenhändler oder Analyseplattformen weitergegeben.
8. Aufbewahrungsfristen
| Daten | Aufbewahrung |
|---|---|
| Kontodaten (Benutzername, Wallet-Adresse) | Bis zur Löschungsanfrage, vorbehaltlich der nachstehenden gesetzlichen Aufbewahrungspflichten |
| Prüfmaterialien und Enforcement-Protokolle | Solange wie für die jeweilige Prüfung, Missbrauchsprävention, Streitigkeit oder rechtliche Sicherung nötig |
| Unterlagen zu Beschwerden, Streitigkeiten und Rückerstattungsprüfungen | Solange wie für die jeweilige Beschwerde, Streitigkeit, Prüfung oder rechtliche Sicherung nötig |
| Bestell- und Zahlungsaufzeichnungen | 10 Jahre (Handelsrecht — HGB § 257; Steuerrecht — AO § 147) |
| DAC8-Steuerberichtsdaten | 10 Jahre |
| Server-Zugriffsprotokolle (Cloud Run / Cloud Logging) | 30 Tage (GCP-Standard-Protokollaufbewahrung) |
| Geographischer Ländercode (pro Anfrage) | Wird nicht über die Anfrage hinaus gespeichert; nur der Registrierungszeitpunkt-Ländercode wird gespeichert |
9. Ihre Rechte
Wenn Sie eine natürliche Person sind, haben Sie folgende Rechte gemäß DSGVO:
- Auskunft (Art. 15): Anforderung einer Kopie der über Sie gespeicherten Daten.
- Berichtigung (Art. 16): Korrektur unrichtiger Daten.
- Löschung (Art. 17): Anforderung der Löschung. Hinweis: (a) Transaktionsaufzeichnungen, die gesetzlichen Aufbewahrungspflichten unterliegen (Abschnitt 8), können vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden; (b) On-Chain-Daten (Blockchain) sind technisch unveränderlich und können nicht gelöscht werden (siehe Abschnitt 4).
- Einschränkung (Art. 18): Anforderung der Einschränkung der Verarbeitung während ein Streit geklärt wird.
- Datenübertragbarkeit (Art. 20): Erhalt Ihrer Daten in einem maschinenlesbaren Format.
- Widerspruch (Art. 21): Widerspruch gegen die Verarbeitung aufgrund berechtigten Interesses (Art. 6 Abs. 1 lit. f).
Zur Ausübung Ihrer Rechte kontaktieren Sie: [email protected]. Wir antworten innerhalb von 30 Tagen.
Sie haben zudem das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen. Für Deutschland ist dies die Landesbeauftragte für Datenschutz und Informationsfreiheit des jeweiligen Bundeslandes oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): bfdi.bund.de.
10. Änderungen
Wir aktualisieren diese Erklärung, wenn sich unsere Datenverarbeitungspraktiken wesentlich ändern. Das Datum oben auf diesem Dokument gibt die gültige Version an.