DATENSCHUTZERKLÄRUNG PATRONUS PROTECT

Stand: 13. Mai 2026
Version: 1.0

INHALTSVERZEICHNIS

1. Verantwortlicher

2. Datenschutzbeauftragter und Kontakt für Datenschutzanfragen

3. Geltungsbereich dieser Datenschutzerklärung

4. Begriffsbestimmungen

5. Beschreibung der App und ihrer Funktionsweise

6. Was bleibt strikt lokal auf Ihrem Gerät

7. Welche Daten verlassen Ihr Gerät

8. Detail-Beschreibung der einzelnen Verarbeitungsvorgänge

9. Lokale Speicherung, Speicherorte und Aufbewahrung

10. Auftragsverarbeiter und sonstige Empfänger

11. Datenübermittlungen in Drittländer

12. Speicherdauer und Löschkonzept

13. Kategorien von Empfängern

14. Automatisierte Entscheidungsfindung und Profiling

15. Ihre Rechte als betroffene Person

16. Datensicherheit nach Art. 32 DSGVO

17. Vollständige Entfernung der App und der lokalen Daten

18. Hinweis zu Drittanbieter-KI-Diensten

19. Hinweise für Mehrnutzergeräte und gemeinsam genutzte Systeme

20. Änderungen dieser Datenschutzerklärung

21. Stand und Versionshistorie

22. VERANTWORTLICHER

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO sowie sonstiger nationaler
Datenschutzbestimmungen der Mitgliedstaaten der Europäischen Union ist:

Casdo Labs, Gesellschaft bürgerlichen Rechts
bestehend aus den Gesellschaftern Benedikt Veith, Dominik Hommer und Moritz Trautmann
Heiliggeistgasse 8
93047 Regensburg
Deutschland

Vertretungsberechtigt: Benedikt Veith, Dominik Hommer und Moritz Trautmann (jeder einzeln vertretungsberechtigt)
Handelsregister: Eine Eintragung als eGbR (eingetragene Gesellschaft bürgerlichen Rechts) im Gesellschaftsregister ist vorgesehen; entsprechende Angaben werden nach Eintragung ergänzt.
Umsatzsteuer-Identifikationsnummer: Eine Umsatzsteuer-Identifikationsnummer nach § 27a UStG liegt derzeit nicht vor; sie wird bei Eintritt der Umsatzsteuerpflicht ergänzt.

E-Mail: team@patronus.studio
Web: https://patronus.studio

Hinweis: Casdo Labs betreibt das Produkt Patronus Protect als Gesellschaft
bürgerlichen Rechts (GbR). Eine spätere Umwandlung in eine Kapitalgesellschaft
(insbesondere eine Casdo Labs GmbH) ist möglich; die endgültigen Angaben zu
Rechtsform, Handelsregister und Umsatzsteuer-Identifikationsnummer werden
nach Eintragung in diese Datenschutzerklärung sowie in das Impressum nach
§ 5 DDG aufgenommen.

2. DATENSCHUTZBEAUFTRAGTER UND KONTAKT FÜR DATENSCHUTZANFRAGEN

Für Anfragen zur Verarbeitung personenbezogener Daten und zur Ausübung der
in Abschnitt 15 genannten Betroffenenrechte erreichen Sie den Anbieter unter:

E-Mail: team@patronus.studio
Postanschrift: wie unter Abschnitt 1 angegeben, Stichwort "Datenschutz"

Eine gesetzliche Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten
besteht für Casdo Labs derzeit nicht (§ 38 BDSG). Datenschutzanfragen richten
Sie bitte an team@patronus.studio mit Betreff 'Datenschutz'. Sollte sich diese Pflicht
durch Wachstum oder geänderte Verarbeitungstätigkeiten ergeben, wird ein
Datenschutzbeauftragter bestellt und diese Datenschutzerklärung entspre-
chend aktualisiert.

3. GELTUNGSBEREICH DIESER DATENSCHUTZERKLÄRUNG

Diese Datenschutzerklärung gilt für die Desktop-Anwendung "Patronus
Protect" (nachfolgend "die App") in ihrer macOS-Variante einschließlich
sämtlicher zur Funktion erforderlicher Systemkomponenten. Dazu gehören
insbesondere:

• die eigentliche Anwendung mit der grafischen Benutzeroberfläche
  (Bundle-Identifier com.patronus.desktop)

• die mitgelieferte Network Extension bzw. der App Proxy Provider

• der lokale MITM-Proxy einschließlich der von der App erzeugten
  Stammzertifizierungsstelle ("Patronus Protect CA")

• lokale Hilfsprozesse und gemeinsame Komponenten der App-Gruppe
  (group.com.patronus.desktop)

Die Datenschutzerklärung gilt außerdem für die vom Anbieter betriebenen
oder durch Auftragsverarbeiter im Auftrag des Anbieters bereitgestellten
Backend-Dienste, insbesondere Update- und Telemetrie-Endpunkte, soweit Sie
diese aus der App heraus aufrufen.

Diese Datenschutzerklärung gilt nicht für Webseiten Dritter oder Dienste
von Drittanbietern (z. B. OpenAI, Anthropic, Google), mit denen Sie eigen-
ständig kommunizieren. Für deren Datenverarbeitung sind die jeweiligen
Anbieter eigenverantwortlich. Bitte konsultieren Sie deren Datenschutz-
erklärungen unmittelbar.

4. BEGRIFFSBESTIMMUNGEN

Soweit in dieser Erklärung nicht ausdrücklich anders definiert, gelten die
Begriffsbestimmungen aus Art. 4 DSGVO entsprechend, insbesondere für die
Begriffe "personenbezogene Daten", "Verarbeitung", "Verantwortlicher",
"Auftragsverarbeiter", "Einwilligung", "Empfänger" und "Dritter".

Ergänzend werden die folgenden, für die App spezifischen Begriffe verwen-
det:

4.1 MITM-Proxy (Man-in-the-Middle-Proxy)
Eine lokal auf Ihrem Gerät betriebene Software-Komponente, die ausge-
henden verschlüsselten Datenverkehr zu unterstützten KI-Diensten
abfängt, mithilfe der App-eigenen Stammzertifizierungsstelle entschlüs-
selt, inhaltlich prüfen kann und anschließend wieder verschlüsselt
an den jeweiligen Zielserver weiterleitet.

4.2 Stammzertifizierungsstelle ("Patronus Protect CA")
Ein bei der Erstkonfiguration auf Ihrem Gerät erzeugtes X.509-Wurzel-
zertifikat. Der dazugehörige private Schlüssel verbleibt auf Ihrem
Gerät. Das Zertifikat wird mit Ihrer ausdrücklichen Einwilligung und
nach Eingabe Ihres Administrator-Passworts in den System-Schlüsselbund
(/Library/Keychains/System.keychain) eingetragen.

4.3 Geräte-Token / Device-Token
Ein vom Patronus-Worker ausgestelltes, kryptografisch signiertes
Bearer-Token, das ausschließlich der Authentifizierung Ihres Geräts
gegenüber den Backend-Endpunkten des Anbieters dient. Das Token ent-
hält keinen Klarnamen und keine direkten personenbezogenen Daten.

4.4 Audit-Datenbank
Die lokale, ausschließlich auf Ihrem Gerät gespeicherte SQLite-Daten-
bank, in der die App prüfungsrelevante Informationen über den über
den MITM-Proxy geführten KI-Datenverkehr ablegt. Die Audit-Datenbank
verlässt Ihr Gerät zu keinem Zeitpunkt.

4.5 Telemetrie
Aggregierte, technische Ereignisse zur Funktionsfähigkeit, Stabilität
und Nutzungshäufigkeit der App. Telemetrie enthält keine Inhalte
Ihrer Eingaben oder Antworten, keine Hostnamen-Listen und keine
konkreten Schutzregeln.

4.6 Edition / Plan
Bezeichnungen der von Ihnen genutzten App-Variante (z. B. Free,
Professional, Business). Sie steuern den Funktionsumfang, nicht den
Umfang der Datenverarbeitung im Sinne dieser Erklärung.

5. BESCHREIBUNG DER APP UND IHRER FUNKTIONSWEISE

Patronus Protect ist eine ausschließlich lokal auf Ihrem Endgerät betrie-
bene Sicherheitssoftware für die Nutzung generativer KI-Dienste. Die App
analysiert Anfragen ("Prompts") an unterstützte KI-Anbieter und deren
Antworten u. a. auf Prompt-Injection-Versuche und auf das Vorhandensein
sensibler personenbezogener Daten. Auf dieser Grundlage setzt die App von
Ihnen konfigurierte Schutzregeln durch (z. B. Maskierung sensibler Daten,
Sperrung bestimmter Anfragen).

Die App wird ausschließlich als signiertes und durch Apple notarisiertes
Disk-Image (DMG) über die Website des Anbieters bzw. über von ihm be-
triebene Auslieferungs-Endpunkte verteilt. Eine Verteilung über den Mac
App Store findet nicht statt.

Die Inhaltsanalyse erfolgt vollständig auf Ihrem Gerät. Die Inhalte Ihrer
Eingaben und der KI-Antworten verlassen Ihr Gerät auf dem Weg zum Anbieter
oder zu dessen Auftragsverarbeitern zu keinem Zeitpunkt. Damit die App die
Inhalte Ihrer KI-Kommunikation prüfen kann, betreibt sie auf Ihrem Gerät
einen lokalen Proxy mit einer eigenen Stammzertifizierungsstelle (siehe
Abschnitt 8.5). Dieser technische Eingriff in den verschlüsselten Daten-
verkehr ist zur Erfüllung der vertraglich geschuldeten Schutzfunktion
zwingend erforderlich und erfolgt ausschließlich mit Ihrer ausdrücklichen
Einwilligung während der Erstkonfiguration.

6. WAS BLEIBT STRIKT LOKAL AUF IHREM GERÄT

Die nachfolgend aufgeführten Daten werden ausschließlich auf Ihrem
Endgerät verarbeitet und gespeichert. Sie werden weder an den Anbieter
noch an dessen Auftragsverarbeiter oder sonstige Dritte übermittelt
(Negativliste):

• die Inhalte Ihrer Eingaben (Prompts) an KI-Dienste

• die Inhalte der zurückgelieferten Antworten der KI-Dienste

• vollständige Audit-Protokolle der über den MITM-Proxy geführten
  Anfragen einschließlich Zeitstempel und Regel-Treffer

• lokal erkannte personenbezogene Daten (PII) wie E-Mail-Adressen,
  Telefonnummern, Kreditkarten-, IBAN-, Steuer-, Sozialversicherungs-
  und Ausweisnummern (siehe Abschnitt 8.7)

• die Liste der von Ihnen tatsächlich aufgerufenen Hostnamen oder
  konkret genutzten KI-Modelle

• die Namen und Inhalte Ihrer konfigurierten Schutzregeln

• lokale Discovery-Ergebnisse zu MCP-Servern und Werkzeug-Inventaren

• Dateipfade und Dateinamen Ihres Geräts

Speicherort der lokalen Daten:
~/Library/Application Support/com.patronus.desktop/patronus.db
~/Library/Logs/com.patronus.desktop/
~/Library/Caches/com.patronus.desktop/

Die Datenbank patronus.db wird mit den Dateisystemrechten 0600 angelegt;
sie kann ausschließlich von Ihrem Benutzerkonto gelesen und geschrieben
werden.

Lokale Speicherdauer (Standardwerte; teils konfigurierbar):

• Audit- und Aktivitätsprotokolle: 7 Tage rollierend

• Anwendungslogs: 7 Tage rollierend

• Live-Sitzungsdaten im Speicher: 5 Minuten nach letzter Aktivität

• Konfiguration und Schutzregeln: bis zur Deinstallation oder bis
  zu deren manueller Löschung

• Lokale Stammzertifizierungsstelle:bis zur Deinstallation und zusätz-
  lichen manuellen Entfernung aus dem
  System-Schlüsselbund (siehe
  Abschnitt 17)

7. WELCHE DATEN VERLASSEN IHR GERÄT

Die folgende Übersicht zeigt strukturiert, welche Datenkategorien Ihr
Gerät im Rahmen der Nutzung der App verlassen. Die Detail-Beschreibung
mit Zweck, Rechtsgrundlage, Empfänger und Speicherdauer je Verarbeitungs-
vorgang finden Sie in Abschnitt 8.

7.1 Geräte- und Registrierungsdaten

• Inhalt: lokal generierte device_id (UUID), Editions-Code,
  Plan-Code, Plattform-Bezeichnung, Betriebssystem-
  Version, App-Version, Version der Network Extension

• Empfänger: Patronus-Worker bei Cloudflare, Inc. (siehe 10.1)

• Rechtsgrundl.: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

7.2 Authentifizierungs-Token (Bearer-Token)

• Inhalt: signiertes Geräte-Token, das von der App bei jeder
  Backend-Anfrage als Bearer mitgesendet wird

• Empfänger: Patronus-Worker bei Cloudflare, Inc.

• Rechtsgrundl.: Art. 6 Abs. 1 lit. b DSGVO

7.3 Telemetrie-Aggregate

• Inhalt: Zähler und Aggregate (z. B. Anzahl aktiver Schutz-
  regeln, Anzahl erlaubter/blockierter KI-Anfragen,
  Latenz-Aggregate, Ereignisarten: initial_setup,
  policy_summary, policy_inventory, usage_stats,
  ai_request_summary, performance_sample). Technische
  Felder: device_id, tenant_id, identity_scope, ggf.
  clerk_user_id und clerk_org_id (nur bei Anmeldung),
  edition_code, plan_code, app_version, os_version.

• Empfänger: Patronus-Worker bei Cloudflare, Inc., mit Weitergabe
  an Tinybird Co. (siehe 10.2)

• Rechtsgrundl.: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse
  an Produktverbesserung und Stabilität); Widerspruchs-
  recht gemäß Art. 21 DSGVO siehe 8.3 und 15.5.

7.4 Update-Anfragen

• Inhalt: Plattform, Prozessor-Architektur, Release-Kanal,
  aktuell installierte App-Version, IP-Adresse aus
  dem TCP/HTTPS-Verbindungsaufbau

• Empfänger: Patronus-Worker bei Cloudflare, Inc.; Objektspeicher
  Cloudflare R2

• Rechtsgrundl.: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f
  DSGVO (berechtigtes Interesse an einer aktuellen,
  sicheren Software-Auslieferung)

7.5 Fehler- und Absturzberichte

• Inhalt: Stack-Traces nach automatisierter Bereinigung
  ("Scrubbing"), Fehlerklasse, Komponenten- und
  Laufzeit-Tags, App- und OS-Version

• Empfänger: Functional Software, Inc. (Sentry), EU-Region
  Frankfurt (siehe 10.3)

• Rechtsgrundl.: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse
  an einer stabilen, fehlerarmen Software)

7.6 Anmeldedaten (optional, nur bei aktiver Anmeldung)

• Inhalt: E-Mail-Adresse, ggf. Organisations- oder Team-
  Zuordnung, Authentifizierungs-Session-Identifikator,
  Zeitstempel von An- und Abmeldungen

• Empfänger: Clerk, Inc. (siehe 10.4)

• Rechtsgrundl.: Art. 6 Abs. 1 lit. b DSGVO

7.7 Notarisierungs- und plattformseitige Prüfungen

• Inhalt: Hash des App-Bundles, bei erstmaligem Start unter
  Umständen IP-Adresse und Zeitpunkt des Starts
  (durch das macOS-Gatekeeper-Subsystem von Apple)

• Empfänger: Apple, Inc. (siehe 10.5)

• Rechtsgrundl.: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse
  an Code-Integrität und Schutz vor Manipulation)

Was die genannten Übertragungen ausdrücklich nicht umfassen:
Inhalte von Prompts oder KI-Antworten, vollständige oder einzelne
Hostnamen-Listen Ihrer KI-Kommunikation, Namen oder Inhalte Ihrer
Schutzregeln, Dateipfade oder Verzeichnisstrukturen Ihres Geräts,
Inhalte der lokalen Audit-Datenbank.

8. DETAIL-BESCHREIBUNG DER EINZELNEN VERARBEITUNGSVORGÄNGE

8.1 Geräteregistrierung und Erstinbetriebnahme

Zweck:
Ausstellung eines kryptografisch signierten Geräte-Tokens zur Authenti-
fizierung gegenüber den Update- und Telemetrie-Endpunkten des Anbieters
sowie Initialisierung der App in Ihrer Edition.

Datenfluss:
Beim ersten Start der App wird eine HTTPS-Anfrage an den Patronus-Worker
unter https://updates.patronus.studio (übergangsweise unter
https://cloudflare-cdn.benedikt-85c.workers.dev) ausgelöst. Übermittelt
werden die lokal erzeugte device_id (zufällige UUID Version 4), der
Editions-Code sowie - falls Sie sich entscheiden, sich zusätzlich
anzumelden (siehe 8.6) - ein durch Clerk ausgestelltes Session-Token.

Empfänger:
Cloudflare, Inc. (Workers-Infrastruktur des Anbieters; siehe 10.1).

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche bzw. vertragliche Maßnahmen
zur Bereitstellung der App).

Speicherdauer beim Empfänger:
Bis zur Deregistrierung Ihres Geräts oder Löschung der App. Betriebs-
bedingte Verbindungs-Logs bei Cloudflare gemäß deren Standardrichtli-
nien (in der Regel bis zu 30 Tage).

8.2 Update-Auslieferung

Zweck:
Sicherstellung der jeweils aktuellen, fehlerbereinigten und sicherheits-
gepatchten Version der App und ihrer Erkennungsmodelle.

Datenfluss:
Die App ruft in regelmäßigen Abständen signierte Update-Manifeste
beim Patronus-Worker ab. Übermittelt werden Plattform-Bezeichnung,
Prozessor-Architektur, Release-Kanal und die aktuell installierte
App-Version. Im Falle eines bereitstehenden Updates werden Anwendungs-
und Modelldateien aus einem von Cloudflare R2 betriebenen Objektspei-
cher heruntergeladen. Die Integrität der Manifeste wird über eine
Signatur (Ed25519) verifiziert.

Empfänger:
Cloudflare, Inc. (Workers, R2; siehe 10.1).

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Bereitstellungs- und Wartungspflichten)
sowie ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an
einer aktuellen, sicheren Software-Auslieferung).

Speicherdauer beim Empfänger:
Anfrage-Logs nach Cloudflare-Standardrichtlinien; die ausgelieferten
Artefakte bleiben so lange im Objektspeicher, wie sie zur Auslieferung
einer unterstützten Version erforderlich sind.

8.3 Telemetrie - Nutzungs- und Performance-Statistiken

Zweck:
Kontinuierliche Verbesserung der Erkennungs- und Performancequalität
der App, Früherkennung von Stabilitätsproblemen, Priorisierung
zukünftiger Funktionen sowie Erfüllung der Rechenschaftspflicht
gegenüber den eigenen Sicherheitszielen.

Datenfluss:
Während die App aktiv ist, werden in Intervallen von rund 5 Minuten
aggregierte Ereignisse an den Patronus-Worker übermittelt. Erfasst
werden ausschließlich Zähler, Latenz-Aggregate und Statusinformatio-
nen folgender Ereignistypen: initial_setup, policy_summary, policy_in-
ventory, usage_stats, ai_request_summary und performance_sample. Mit
jedem Ereignis werden technische Identifikatoren versendet (device_id,
tenant_id, identity_scope, edition_code, plan_code, app_version,
os_version; bei aktiver Anmeldung zusätzlich clerk_user_id und
clerk_org_id). Der Patronus-Worker reicht die Ereignisse zur Aggrega-
tion und Auswertung an Tinybird Co. weiter (EU-Region; siehe 10.2).

Was nicht übermittelt wird:

• keine Inhalte Ihrer Eingaben oder KI-Antworten

• keine konkreten Hostnamen oder vollständigen URLs

• keine Namen oder Inhalte Ihrer Schutzregeln

• keine Dateipfade oder Geräte-Namen

• keine IP-Adresse als analytisches Merkmal (die IP wird durch den
  HTTPS-Transport zwangsläufig sichtbar, jedoch nicht ausgewertet
  oder dauerhaft mit Ereignissen verknüpft)

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbes-
serung, Stabilität und Erkennungsqualität). Die Interessenabwägung
berücksichtigt, dass die Verarbeitung auf aggregierte, nicht-inhalt-
liche und nur in geringem Umfang personenbeziehbare Daten beschränkt
ist und damit nur einen geringen Eingriff in Ihre Rechte und Frei-
heiten darstellt. Eine vernünftige Erwartung an die Datenverarbeitung
liegt bei einer Sicherheitssoftware in diesem Umfang nach Auffassung
des Anbieters vor. Ein bedingungsloses Widerspruchsrecht steht Ihnen
zu (siehe 15.5).

Widerspruch und Opt-out:
Sie können die Übermittlung der Telemetrie deaktivieren, indem Sie
vor dem Start der App die Umgebungsvariable
PATRONUS_TELEMETRY_DISABLED=1
setzen (gültige Werte: "1", "true", "yes", "on"). Bei aktivem Opt-out
unterbleibt die Übermittlung jeglicher Telemetrie-Ereignisse an den
Anbieter und an Tinybird. In einer künftigen Version der App wird
ergänzend ein Schalter in der Benutzeroberfläche zur Verfügung
gestellt. Solange dieser Schalter noch nicht verfügbar ist, können
Sie Ihren Widerspruch zusätzlich formlos per E-Mail an
team@patronus.studio erklären. Der Widerspruch wirkt
für die Zukunft. Die Rechtmäßigkeit der bis zum Eingang des
Widerspruchs erfolgten Verarbeitung bleibt unberührt.

8.4 Fehler- und Absturzberichte (Sentry)

Zweck:
Identifikation und Behebung von Programmfehlern und Abstürzen.

Datenfluss:
Tritt während der Nutzung der App ein nicht abgefangener Fehler oder
ein Absturz auf, werden technische Informationen (Stack-Trace, Fehler-
klasse, Tags zu Laufzeit und Komponente, App- und OS-Version) an die
Sentry-Plattform übermittelt. Vor dem Versand durchläuft jeder
Bericht eine Bereinigungsroutine ("Scrubbing"), die typischerweise
als sensibel klassifizierte Felder entfernt oder maskiert. Die Sentry-
Instanz ist auf die EU-Region konfiguriert
(o4511307764727808.ingest.de.sentry.io).

Was nicht übermittelt wird:
Inhalte von Prompts oder KI-Antworten, Inhalte der lokalen Audit-
Datenbank, vollständige Dateipfade Ihres Systems.

Empfänger:
Functional Software, Inc. (Sentry), EU-Region Frankfurt; siehe 10.3.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen,
fehlerarmen und damit sicheren Software). Auch hier steht Ihnen ein
Widerspruchsrecht nach Art. 21 DSGVO zu (siehe 15.5). Bei aktivem
Widerspruch unterbleibt der Versand neuer Fehlerberichte.

8.5 Lokaler MITM-Proxy und TLS-Inspektion

Zweck:
Damit die App die Inhalte Ihrer KI-Kommunikation prüfen und ggf.
Schutzmaßnahmen (z. B. Maskierung sensibler Daten oder Blockierung
von Prompt-Injection-Mustern) anwenden kann, wird der ausgehende
verschlüsselte Datenverkehr zu unterstützten KI-Diensten auf Ihrem
Gerät abgefangen, lokal entschlüsselt, geprüft und anschließend
wieder verschlüsselt an den jeweiligen KI-Dienst weitergeleitet.

Technischer Eingriff:
Bei der Erstkonfiguration wird auf Ihrem Gerät eine eigene Stamm-
zertifizierungsstelle ("Patronus Protect CA") erzeugt. Der private
Schlüssel verbleibt ausschließlich auf Ihrem Gerät. Das öffentli-
che Wurzelzertifikat wird mittels des Befehls
sudo security add-trusted-cert
in den System-Schlüsselbund (/Library/Keychains/System.keychain)
eingetragen. Hierfür ist Ihre ausdrückliche Bestätigung und die
Eingabe Ihres Administrator-Passworts erforderlich. Ohne diese
Bestätigung kann die App den verschlüsselten Datenverkehr nicht
inspizieren.

Bedeutung und Risiko:
Solange die Patronus Protect CA in Ihrem System-Schlüsselbund als
vertrauenswürdig eingetragen ist, können unter dieser CA ausgestell-
te Zertifikate von Ihrem System als vertrauenswürdig anerkannt
werden. Die App und ihre Network Extension verwenden diese Fähigkeit
ausschließlich zur Inspektion der unten gelisteten KI-Hosts. Es liegt
in Ihrer Verantwortung, die App und die zugehörige CA vollständig zu
entfernen, sobald Sie die App nicht mehr nutzen möchten (siehe
Abschnitt 17).

Inspizierte KI-Dienste (Stand Release 1.0, exemplarisch):
OpenAI / ChatGPT, Anthropic / Claude, Google Gemini / NotebookLM /
Vertex AI, Microsoft Copilot / Bing, GitHub Copilot, Azure OpenAI /
AI Foundry, Mistral, Perplexity, Cohere, DeepSeek, Groq, OpenRouter,
x.ai, Together, Fireworks, Vercel AI, Cloudflare AI Gateway,
AWS Bedrock, JetBrains AI, Alibaba Qwen / DashScope, Moonshot / Kimi,
MiniMax, Telekom Omega, ChatGLM / BigModel, DeepL, Notion AI sowie
weitere. Die jeweils gültige, vollständige Liste ist im Programm-
code unter
services/desktop-proxy/mitm_worker/detect/signatures/ai_hosts.py
einsehbar. Verbindungen zu nicht gelisteten Hosts werden vom MITM-
Proxy nicht inspiziert; sie werden ohne Entschlüsselung passieren
gelassen.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung). Die Einwil-
ligung wird im Rahmen der Erstkonfiguration nach ausführlicher
Information über Zweck, Umfang, Risiken und Reichweite des Eingriffs
eingeholt. Zugleich beruht die Verarbeitung auf Art. 6 Abs. 1 lit. b
DSGVO, soweit der Betrieb des Proxys zur Erfüllung des Schutzauftrags
aus dem Nutzungsvertrag erforderlich ist. Die Installation des Wurzel-
zertifikats in Ihrem Gerät stellt zudem eine Speicherung von Informa-
tionen auf einer Endeinrichtung im Sinne von § 25 Abs. 1 TDDDG dar
und wird ebenfalls auf Ihre Einwilligung gestützt; die Ausnahme nach
§ 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich für einen vom Nutzer
ausdrücklich gewünschten Dienst) erscheint zudem einschlägig.

Widerruf:
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft
widerrufen. Der Widerruf erfolgt durch Deinstallation der App und
durch Entfernung der Stammzertifizierungsstelle aus dem System-
Schlüsselbund (Schritt-für-Schritt-Anleitung siehe Abschnitt 17).
Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung
bleibt unberührt.

8.6 Optionale Anmeldung (Clerk)

Zweck:
Verknüpfung der App mit einem Patronus-Konto, um geräteübergreifende
Funktionen zu ermöglichen, eine Team- bzw. Organisationszuordnung im
B2B-Kontext herzustellen und kostenpflichtige Pläne freizuschalten.

Datenfluss:
Bei optionaler Anmeldung werden Ihre E-Mail-Adresse, ggf. eine
Organisations- oder Team-Zuordnung sowie Authentifizierungsmerkmale
an Clerk, Inc. übermittelt. Der Anbieter erhält von Clerk über
seine eigenen Backend-Aufrufe lediglich pseudonyme Identifikatoren
(clerk_user_id, clerk_org_id) sowie - soweit für Lizenzprüfung und
Plan-Steuerung erforderlich - Plan- und Rollenangaben.

Empfänger:
Clerk, Inc. (USA); siehe 10.4. Clerk ist Ihnen gegenüber selbst-
ständig für die Authentifizierungsdaten datenschutzrechtlich
verantwortlich, soweit es um die eigene Plattform geht. Bitte beachten
Sie deren Datenschutzhinweise unter https://clerk.com/legal/privacy.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des durch die Anmeldung
entstehenden Vertrags).

Eine Anmeldung ist nicht erforderlich, um die App in der Free-Edition
zu nutzen. Ohne Anmeldung erfolgt der Betrieb anonym; die App setzt in
diesem Fall den Wert identity_scope = anonymous.

8.7 Lokal verarbeitete Inhalte und PII-Erkennung

Zweck:
Erkennung typischer Kategorien sensibler personenbezogener Daten in
Ihren KI-Anfragen und Antworten, um diese für Sie sichtbar zu kenn-
zeichnen oder vor Übermittlung an den jeweiligen KI-Dienst zu
maskieren.

Erkannte Kategorien (nicht abschließend):

• E-Mail-Adressen

• Telefonnummern

• Kredit- und Debitkartennummern (mit Luhn-Prüfziffer-Validierung)

• IBAN (mit Modulo-97-Validierung)

• deutsche Steuer-Identifikationsnummer

• deutsche Sozialversicherungsnummer

• deutsche Kfz-Kennzeichen

• US-amerikanische Social Security Number (SSN)

• britische National Insurance Number

• kontextbasierte Muster wie Geburtsdaten

Negativabgrenzung:
Diese Erkennung findet ausschließlich lokal auf Ihrem Gerät statt.
Im aktiven Schutzmodus werden die erkannten Werte vor der Weiterga-
be an den jeweiligen KI-Dienst durch Platzhalter ersetzt. Im
reinen Audit-Modus wird in der lokalen Datenbank nur die Kategorie
und die Position der Fundstelle gespeichert, nicht jedoch der konkre-
te Wert. Werte und Kategorien werden zu keinem Zeitpunkt an den
Anbieter oder dessen Auftragsverarbeiter übermittelt.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Schutzauftrags aus dem
Nutzungsvertrag) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes
Interesse an Datenschutz und IT-Sicherheit Ihres Geräts). Soweit
bei der Erkennung besondere Kategorien personenbezogener Daten im
Sinne von Art. 9 Abs. 1 DSGVO anfallen können, beruht ihre lokale
Verarbeitung auf Ihrer ausdrücklichen Einwilligung gemäß
Art. 9 Abs. 2 lit. a DSGVO, die Sie mit der Einrichtung des Schutz-
modus erteilen.

9. LOKALE SPEICHERUNG, SPEICHERORTE UND AUFBEWAHRUNG

Patronus Protect speichert lokale Daten in drei Verzeichnissen Ihres
Benutzerprofils:

9.1 Anwendungsdaten und Datenbank
Pfad: ~/Library/Application Support/com.patronus.desktop/
Inhalt: SQLite-Datenbank patronus.db, Konfigurationsdateien,
kryptografisches Material (privater Schlüssel der lokalen
CA, Geräte-Token), MCP- und Werkzeug-Inventar.
Rechte: 0600 (nur eigener Benutzer lesend/schreibend) für patro-
nus.db. Verzeichnis 0700.
Aufbewahrung:
- Audit-Einträge: 7 Tage rollierend, automatische
Löschung
- Live-Sitzungen: 5 Minuten nach letzter Aktivität
- Konfiguration und Schutzregeln: bis zur Deinstallation
oder manuellen Löschung
- Geräte-Token und kryptografisches Material: bis zur
Deregistrierung bzw. Deinstallation

9.2 Anwendungslogs
Pfad: ~/Library/Logs/com.patronus.desktop/
Inhalt: technische Logmeldungen, keine Inhalte Ihrer KI-Eingaben
oder -Antworten.
Aufbewahrung: 7 Tage rollierend.

9.3 Caches
Pfad: ~/Library/Caches/com.patronus.desktop/
Inhalt: temporäre Dateien (z. B. zwischengespeicherte Modell-
artefakte und Update-Pakete).
Aufbewahrung: bis zur nächsten automatischen Cache-Bereinigung
oder zur Deinstallation.

10. AUFTRAGSVERARBEITER UND SONSTIGE EMPFÄNGER

Folgende Dienstleister werden als Auftragsverarbeiter im Sinne von Art. 28
DSGVO eingesetzt. Mit allen Auftragsverarbeitern bestehen oder werden vor
dem produktiven Einsatz schriftliche Auftragsverarbeitungsverträge
abgeschlossen.

10.1 Cloudflare, Inc.
Rolle: Bereitstellung der Worker-Infrastruktur (Update-,
Registrierungs- und Telemetrie-Endpunkte) sowie des
Objektspeichers Cloudflare R2 für Anwendungs- und
Modelldateien.
Sitz: 101 Townsend Street, San Francisco, CA 94107, USA,
mit Datenverarbeitung auch in EU-Rechenzentren.
Datenkategorien:device_id, IP-Adresse aus dem HTTPS-Verbindungs-
aufbau, App-/OS-Version, Plattform und Architektur,
Telemetrie-Aggregate, Update-Anfragen.
Garantien: Teilnahme am EU-US Data Privacy Framework, ergän-
zend Standardvertragsklauseln nach Art. 46 Abs. 2
lit. c DSGVO.
Datenschutz: https://www.cloudflare.com/privacypolicy/
Sub-Processors: https://www.cloudflare.com/gdpr/subprocessors/

10.2 Tinybird Co.
Rolle: Aggregations- und Analysedienst für die in
Abschnitt 8.3 beschriebenen Telemetrie-Ereignisse.
Sitz / Region: EU; Hosting auf Google Cloud Platform, Region
europe-west2 (London). Im Vereinigten Königreich
gilt ein durch die Europäische Kommission aner-
kanntes angemessenes Schutzniveau (Angemessenheits-
beschluss vom 28. Juni 2021).
Datenkategorien:Telemetrie-Aggregate gemäß Abschnitt 8.3.
Garantien: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
Datenschutz: https://www.tinybird.co/privacy
DPA: https://www.tinybird.co/dpa

10.3 Functional Software, Inc. (Sentry)
Rolle: Fehler- und Absturzberichterstattung.
Sitz: 45 Fremont Street, 8th Floor, San Francisco,
CA 94105, USA. Datenhaltung in der vom Anbieter
gewählten EU-Region (Frankfurt) gemäß konfigu-
rierter DSN.
Datenkategorien:Bereinigte Stack-Traces, Fehlerklassen, technische
Tags, App- und OS-Version.
Garantien: Auftragsverarbeitungsvertrag (Sentry DPA), Stan-
dardvertragsklauseln für etwaige Transferanteile;
EU-Region-Hosting.
Datenschutz: https://sentry.io/privacy/
DPA: https://sentry.io/legal/dpa/

10.4 Clerk, Inc.
Rolle: Authentifizierung und Identitätsverwaltung; wird
ausschließlich verwendet, wenn Sie sich aktiv
anmelden.
Sitz: USA.
Datenkategorien:E-Mail-Adresse, Organisationszuordnung, Authen-
tifizierungs-Session, ggf. weitere durch Sie bereit-
gestellte Profilangaben.
Garantien: Teilnahme am EU-US Data Privacy Framework, ergän-
zend Standardvertragsklauseln; Data Processing
Addendum (Clerk DPA).
Datenschutz: https://clerk.com/legal/privacy
DPF / DPA: https://clerk.com/legal/dpf
https://clerk.com/legal/dpa

10.5 Apple, Inc.
Rolle: Notarisierung der App-Pakete (Apple Notary Service),
Bereitstellung plattformseitiger Sicherheitsmechanis-
men (Gatekeeper, XProtect) und ggf. systemseitiger
Crash-Reporter gemäß Ihrer macOS-Einstellungen.
Sitz: Apple Inc., One Apple Park Way, Cupertino, CA 95014,
USA.
Datenkategorien:Hash der App-Bundles im Rahmen der Notarisierung;
plattformseitig möglich beim ersten Start: IP-
Adresse, App-Bezeichner, Zeitpunkt des Starts.
Verhältnis: Apple agiert in Bezug auf die plattformseitigen
Sicherheitsmechanismen als eigenständiger Verant-
wortlicher; diese Verarbeitungen unterliegen
ausschließlich Apples Datenschutzbestimmungen.
Datenschutz: https://www.apple.com/legal/privacy/de-ww/

11. DATENÜBERMITTLUNGEN IN DRITTLÄNDER

Datenübermittlungen in die USA können bei Cloudflare, Inc. und Clerk, Inc.
sowie - in begrenztem Umfang - bei Functional Software, Inc. (Sentry) und
Apple, Inc. erfolgen.

Cloudflare und Clerk sind Teilnehmer am EU-US Data Privacy Framework (DPF)
gemäß Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli
2023 (Beschluss (EU) 2023/1795). Ergänzend und subsidiär werden die
Standardvertragsklauseln der EU-Kommission im Sinne von Art. 46 Abs. 2
lit. c DSGVO als geeignete Garantien eingesetzt.

Sentry hält die Daten in der EU-Region Frankfurt vor. Bestimmte konten-
bezogene Daten (z. B. Benutzerkonten der Sentry-Administratoren auf
Anbieterseite, Zwei-Faktor-Authentifikatoren) können technisch in den
USA verarbeitet werden; hierfür gelten ebenfalls die Standardvertragsklau-
seln. Diese Verarbeitung betrifft nicht die im Rahmen der Patronus-App
übermittelten Fehlerberichte selbst.

Tinybird verarbeitet die Telemetrie-Aggregate ausschließlich innerhalb
des EU-/EEA-Raums bzw. innerhalb eines Drittlands mit anerkanntem ange-
messenem Schutzniveau (Vereinigtes Königreich).

Auf Anfrage stellt der Anbieter Ihnen die jeweils einschlägigen Trans-
fermechanismen und - soweit erforderlich - Auszüge aus dem Transfer-
Impact-Assessment zur Verfügung; eine Kopie der Standardvertragsklauseln
ist im Internet bei der Europäischen Kommission frei abrufbar.

12. SPEICHERDAUER UND LÖSCHKONZEPT

Der Anbieter speichert personenbezogene Daten nur so lange, wie es für die
in Abschnitt 8 genannten Zwecke erforderlich ist oder gesetzliche Aufbewah-
rungspflichten dies vorschreiben. Insbesondere gilt:

• Lokale Audit-Daten (Gerät): 7 Tage rollierend

• Lokale Anwendungslogs (Gerät): 7 Tage rollierend

• Live-Sitzungsdaten (Gerät): 5 Minuten nach letzter Aktivität

• Geräte-Token / Registrierung: bis zur Deregistrierung bzw. bis zur
  Löschung der App

• Telemetrie-Rohereignisse: max. 30 Tage nach Eingang beim
  Auftragsverarbeiter

• Telemetrie-Aggregate (anonym): bis zu 24 Monate

• Fehlerberichte (Sentry): 90 Tage gemäß Standardeinstellung
  der Sentry-Plattform

• Anmeldedaten (bei Anmeldung): bis zur Kündigung des Patronus-
  Kontos zzgl. gesetzlicher Aufbewah-
  rungsfristen (insbesondere § 257 HGB
  und § 147 AO bei vergüteten
  Editions)

• Cloudflare-Verbindungs-Logs: gemäß Cloudflare-Standardrichtlinie
  (in der Regel bis zu 30 Tage)

Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder anony-
misiert.

13. KATEGORIEN VON EMPFÄNGERN

Personenbezogene Daten werden ausschließlich an folgende Kategorien von
Empfängern übermittelt:

• die in Abschnitt 10 namentlich benannten Auftragsverarbeiter

• Apple, Inc. als eigenständiger Verantwortlicher für plattformseitige
  Sicherheitsprüfungen

• Behörden, soweit eine gesetzliche Verpflichtung zur Herausgabe
  besteht (insbesondere Strafverfolgungs-, Datenschutz- und Steuer-
  behörden)

• Rechtsberatung und Wirtschaftsprüfung des Anbieters im Rahmen
  bestehender Berufsverschwiegenheitspflichten

• Erwerber im Rahmen einer Unternehmensveräußerung (Asset Deal /
  Share Deal); in diesem Fall wird der Anbieter Sie rechtzeitig
  informieren

Eine Weitergabe zu Werbezwecken oder ein Verkauf personenbezogener Daten
findet nicht statt.

14. AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG UND PROFILING

Der Anbieter setzt keine ausschließlich automatisierte Entscheidungsfin-
dung im Sinne von Art. 22 Abs. 1 DSGVO ein, die Ihnen gegenüber rechtliche
Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Die in der App enthaltenen automatisierten Prüfungen (z. B. Erkennung
von Prompt-Injection oder von Mustern personenbezogener Daten) erfolgen
ausschließlich lokal auf Ihrem Gerät und dienen Ihrem Schutz. Sie lösen
keine Bewertung Ihrer Person aus.

15. IHRE RECHTE ALS BETROFFENE PERSON

Sie haben in Bezug auf die Sie betreffenden personenbezogenen Daten die
folgenden Rechte. Anfragen zu allen genannten Rechten richten Sie bitte
an team@patronus.studio. Der Anbieter beantwortet sie
unverzüglich, spätestens jedoch innerhalb der gesetzlichen Frist nach
Art. 12 Abs. 3 DSGVO.

15.1 Recht auf Auskunft (Art. 15 DSGVO)
Sie können Auskunft darüber verlangen, ob und welche personen-
bezogenen Daten der Anbieter über Sie verarbeitet, sowie eine
Kopie dieser Daten erhalten.

15.2 Recht auf Berichtigung (Art. 16 DSGVO)
Sie können verlangen, dass unrichtige Daten berichtigt oder
unvollständige Daten vervollständigt werden.

15.3 Recht auf Löschung (Art. 17 DSGVO)
Sie können die Löschung Ihrer Daten verlangen, soweit nicht
gesetzliche Aufbewahrungspflichten oder überwiegende berechtigte
Interessen entgegenstehen. Lokal auf Ihrem Gerät gespeicherte
Daten löschen Sie eigenständig durch Deinstallation der App
(siehe Abschnitt 17).

15.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
In den in Art. 18 DSGVO genannten Fällen können Sie die Ein-
schränkung der Verarbeitung Ihrer Daten verlangen.

15.5 Widerspruchsrecht (Art. 21 DSGVO)
Soweit die Verarbeitung auf einem berechtigten Interesse beruht
(Art. 6 Abs. 1 lit. f DSGVO) - insbesondere für Telemetrie
(Abschnitt 8.3) und Fehlerberichte (Abschnitt 8.4) - können Sie
der Verarbeitung jederzeit aus Gründen, die sich aus Ihrer
besonderen Situation ergeben, widersprechen. Der Anbieter stellt
die Verarbeitung daraufhin ein, soweit keine zwingenden schutz-
würdigen Gründe für die Verarbeitung nachgewiesen werden, die
Ihren Interessen, Rechten und Freiheiten überwiegen.

15.6 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Soweit die Verarbeitung auf einer Einwilligung beruht (insbeson-
dere die TLS-Inspektion durch den lokalen Proxy, Abschnitt 8.5),
können Sie diese Einwilligung jederzeit mit Wirkung für die
Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf
erfolgten Verarbeitung bleibt unberührt.

15.7 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, die Sie betreffenden Daten, die Sie dem
Anbieter bereitgestellt haben, in einem strukturierten, gängigen
und maschinenlesbaren Format zu erhalten oder ihre direkte
Übermittlung an einen anderen Verantwortlichen zu verlangen,
soweit dies technisch machbar ist.

15.8 Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde
über die Verarbeitung Ihrer personenbezogenen Daten durch den
Anbieter zu beschweren. Zuständig ist insbesondere die für den
Sitz des Anbieters zuständige Behörde sowie die Aufsichts-
behörde an Ihrem Wohnsitz oder am Ort des mutmaßlichen Verstoß-
es. Eine Liste der deutschen Aufsichtsbehörden ist unter
https://www.bfdi.bund.de abrufbar.

16. DATENSICHERHEIT NACH ART. 32 DSGVO

Der Anbieter trifft geeignete technische und organisatorische Maßnahmen,
um die Sicherheit der personenbezogenen Daten unter Berücksichtigung des
Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs,
der Umstände und der Zwecke der Verarbeitung zu gewährleisten. Hierzu
gehören insbesondere:

• Verschlüsselung sämtlicher Übertragungen zwischen App und Backend-
  Endpunkten mittels Transport Layer Security (TLS 1.2 oder höher)

• kryptografisch signierte Update-Manifeste (Ed25519) zur Integritäts-
  sicherung der Auslieferung

• kryptografische Geräte-Token (Bearer) für die Authentifizierung
  gegenüber den Backend-Endpunkten

• restriktive Dateisystemrechte (0600) auf der lokalen Datenbank
  sowie 0700 auf dem Anwendungsdaten-Verzeichnis

• Sandboxing der Network Extension durch macOS-Mechanismen

• automatisierte Bereinigung (Scrubbing) potenziell sensibler Felder
  vor dem Versand an Sentry

• codesignierte und durch Apple notarisierte Anwendungs- und
  Erweiterungs-Bundles

• Beschränkung des Datenzugriffs beim Anbieter auf das berechtigt
  erforderliche Maß ("need to know")

• regelmäßige Sicherheitsaktualisierungen der App und ihrer
  Komponenten

Bei einer Verletzung des Schutzes personenbezogener Daten, die voraus-
sichtlich zu einem Risiko für Ihre Rechte und Freiheiten führt, wird der
Anbieter die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO informie-
ren und Sie - sofern erforderlich - gemäß Art. 34 DSGVO unverzüglich
benachrichtigen.

17. VOLLSTÄNDIGE ENTFERNUNG DER APP UND DER LOKALEN DATEN

Patronus Protect wird ausschließlich als signiertes DMG ausgeliefert und
nicht über den Mac App Store verteilt. Eine vollständige Entfernung von
App und lokalen Daten erfolgt in den folgenden Schritten:

1. Beenden Sie die App und alle zugehörigen Hilfsprozesse vollständig.

2. Deaktivieren und entfernen Sie die Network Extension über
   Systemeinstellungen -> Netzwerk -> Filter, falls dort gelistet.

3. Verschieben Sie das Programm "Patronus Protect" aus dem Programme-
   Ordner in den Papierkorb und leeren Sie diesen.

4. Löschen Sie die folgenden Verzeichnisse Ihres Benutzerprofils:
   ~/Library/Application Support/com.patronus.desktop/
   ~/Library/Logs/com.patronus.desktop/
   ~/Library/Caches/com.patronus.desktop/
   und ggf. die App-Gruppe:
   ~/Library/Group Containers/group.com.patronus.desktop/

5. Wichtig: Entfernen Sie die durch die App installierte Stammzertifi-
   zierungsstelle aus dem System-Schlüsselbund. Andernfalls würden
   unter dieser CA ausgestellte Zertifikate weiterhin als vertrauens-
   würdig anerkannt; ein Dritter, der widerrechtlich in den Besitz
   des privaten Schlüssels gelangt, könnte dann theoretisch TLS-
   Verbindungen Ihres Geräts manipulieren.

   Entfernung über die Schlüsselbundverwaltung:
   Programme -> Dienstprogramme -> Schlüsselbundverwaltung
   -> Schlüsselbund "System" auswählen
   -> Kategorie "Zertifikate" öffnen
   -> Eintrag "Patronus Protect CA" markieren
   -> rechte Maustaste -> "Löschen"
   -> Authentifizierung mit Administrator-Passwort bestätigen

   Entfernung alternativ über das Terminal (Administrator-Rechte
   erforderlich):
   sudo security delete-certificate -c "Patronus Protect CA"
   /Library/Keychains/System.keychain

6. Optional: Prüfen Sie unter Systemeinstellungen -> Allgemein ->
   Anmeldeobjekte und Erweiterungen, ob Einträge der App verblieben
   sind, und entfernen Sie diese.

Nach Ausführung dieser Schritte verbleiben keine personenbezogenen Daten
der App auf Ihrem Gerät.

18. HINWEIS ZU DRITTANBIETER-KI-DIENSTEN

Patronus Protect leitet Ihre Anfragen letztlich an die von Ihnen ausgewähl-
ten KI-Dienste weiter (z. B. OpenAI, Anthropic, Google). Die Datenverarbei-
tung durch diese Anbieter unterliegt ausschließlich deren eigenen Daten-
schutzbestimmungen. Der Anbieter von Patronus Protect ist insoweit weder
Verantwortlicher noch Auftragsverarbeiter dieser KI-Anbieter. Insbesondere
erhält der Anbieter keine Inhalte aus Ihren KI-Konversationen.

Sie bleiben gegenüber dem jeweiligen KI-Anbieter selbst Verantwortlicher
bzw. Nutzer im datenschutzrechtlichen Sinne. Bitte beachten Sie deren
Datenschutzhinweise, AGB und etwaige Pflichten zur Konfiguration daten-
schutzfreundlicher Einstellungen (z. B. Modelltraining-Opt-Out).

19. HINWEISE FÜR MEHRNUTZERGERÄTE UND GEMEINSAM GENUTZTE SYSTEME

Patronus Protect ist für den Einsatz auf einem persönlich genutzten
macOS-Gerät konzipiert. Auf Geräten, die mehreren Personen zur Mitnutzung
zur Verfügung stehen, beachten Sie bitte:

• Die lokale Stammzertifizierungsstelle wird systemweit installiert
  (System-Schlüsselbund). Sie wirkt sich daher auf alle Benutzerkonten
  desselben Geräts aus.

• Solange die Stammzertifizierungsstelle installiert ist, kann der
  MITM-Proxy auch Datenverkehr anderer Benutzer desselben Geräts
  abfangen, sofern dieser über den Patronus-Proxy geleitet wird.

• Die lokale Audit-Datenbank ist mit Dateisystemrechten 0600 vor
  Zugriffen durch andere unprivilegierte Benutzerkonten geschützt;
  Benutzer mit administrativen Rechten können jedoch grundsätzlich
  Zugriff erlangen.

Setzen Sie Patronus Protect nur ein, wenn alle Personen, deren Daten-
verkehr über den Proxy geleitet werden könnte, informiert sind und
hierzu - soweit datenschutzrechtlich erforderlich - eingewilligt haben.

20. ÄNDERUNGEN DIESER DATENSCHUTZERKLÄRUNG

Der Anbieter kann diese Datenschutzerklärung von Zeit zu Zeit anpassen,
insbesondere wenn neue Funktionen eingeführt werden, sich Auftrags-
verarbeiter ändern oder sich die rechtlichen Rahmenbedingungen wandeln.
Die jeweils aktuelle Fassung ist innerhalb der App sowie unter
https://patronus.studio/datenschutz abrufbar.

Wesentliche Änderungen werden Ihnen vor Inkrafttreten in geeigneter
Weise mitgeteilt, etwa durch Hinweis in der App oder per E-Mail an die
bei einer optionalen Anmeldung hinterlegte Adresse. Sollte sich die
Rechtsgrundlage einer Verarbeitung von einer Einwilligung auf eine andere
Grundlage ändern oder umgekehrt, holt der Anbieter, soweit erforderlich,
Ihre erneute Einwilligung ein.

21. STAND UND VERSIONSHISTORIE

Aktuelle Fassung: Version 1.0 vom 13. Mai 2026
Letzte Aktualisierung: 13. Mai 2026

App-Versionen zum Zeitpunkt dieser Fassung:

• macOS-App: 1.0.3

• Network Extension: 1.0.25

• Tauri-Laufzeit: 0.1.2

Versionshistorie:

• 1.0 (13. Mai 2026): Erste Fassung der Datenschutzerklärung
  für Patronus Protect.