# Ambilyn — DSFA-Vorlage (Scaffold v1)

> **Hinweis:** Diese Vorlage ist ein technischer Platzhalter für Phase 6. Vor Produkt-Launch durch Datenschutz/Legal finalisieren und versionieren.

## 1. Verantwortlicher

- Name / Anschrift: _[aus Impressum]_
- Datenschutz-Kontakt: _[Kontaktseite]_

## 2. Zweck der Verarbeitung

- Bereitstellung der Ambilyn B2B-Plattform für KI-gestützte Workshop-Reflexion mit Personas
- Authentifizierung, Mandantenisolation, Audit und Compliance-Funktionen

## 3. Kategorien betroffener Personen

- Mitarbeitende der Kundenorganisationen (Workshop-Teilnehmer, Admins)
- Plattform-Betreiber (Support, Super-Admins)

## 4. Kategorien personenbezogener Daten

- Account- und Profildaten (Name, E-Mail, Locale)
- Workshop-Inhalte und persönliche Memory-Episoden (soweit vom Nutzer erzeugt)
- Technische Metadaten (Zeitstempel, Org-/Workspace-Zuordnung)
- **Keine** Endnutzer-sichtbare LLM-Modellwahl (Backend-Routing)

## 5. Empfänger / Subprozessoren

- Siehe öffentliche Subprozessor-Registry unter `/legal/subprocessors`
- LLM-Provider, Cloud-Infrastruktur, Monitoring — jeweils mit DPA/SCC wo erforderlich

## 6. Drittlandtransfer

- _[Pro Subprozessor dokumentieren — Residenz-Checks im Endpoint-Resolver]_

## 7. Speicherdauer / Löschkonzept

- Plan- und org-spezifische Retention-Policies
- Soft-Delete + Grace-Period (z. B. 30 Tage) vor Hard-Delete
- Legal Hold blockiert Löschungen (Art. 17)

## 8. Technische und organisatorische Maßnahmen (TOM)

- Multi-Tenant RLS + API `require_capability`
- CMK-Option für Enterprise (AWS KMS Cross-Account)
- Audit-Log bei privilegierten Aktionen
- Keine PII in Application-Logs

## 9. Risikoanalyse (Auszug)

| Risiko | Eintritt | Auswirkung | Maßnahme |
|--------|----------|------------|----------|
| Cross-Tenant-Datenleck | Gering | Hoch | RLS + Cross-Tenant-Tests |
| Unbefugter LLM-Drittlandtransfer | Mittel | Hoch | Residenz-Registry + 403 |
| Verlust CMK-Grant | Mittel | Hoch | Probe + Org `blocked` |

## 10. Betroffenenrechte

- Art. 15 Auskunft (JSON-Bundle)
- Art. 17 Löschung (Grace + Legal Hold)
- Art. 18 Restriction (Memory-Pipeline-Filter)
- Art. 20 Portabilität (JSON-Export)

---

**Schema-Version:** 1.0.0 · **Stand:** Phase 6 Scaffold