Datenschutzrichtlinie

1. Einführung und Geltungsbereich

socialistic.ai (der "Dienst") wird von haitai social ("haitai social", "wir", "uns") betrieben. Diese Datenschutzrichtlinie gilt für alle personenbezogenen Daten, die über den Dienst unter https://socialistic.haitai-social.com erhoben werden, einschließlich der Webanwendung und der APIs. Durch die Nutzung des Dienstes erkennen Sie die hierin beschriebenen Praktiken an. Wenn Sie nicht einverstanden sind, sollten Sie die Nutzung des Dienstes einstellen.

2. Roles

One account can act in two roles depending on the context:

• Consumer You are a consumer when you visit a Skill published by someone else, upload files to it, or start a conversation with it.
• Creator You are a creator when you publish a Skill, configure its API key or hosting mode, or manage it from your Skills page.

The same account can switch between roles at any time. Sections labeled "Creator" or "Consumer" apply only when you act in that role; unlabeled sections apply to both.

3. Dienstarchitektur

Der Dienst wird über eine auf Next.js basierende Web- und API-Schicht betrieben, die auf Vercel gehostet wird; über Skill-Ausführungsagenten ("Goose-Agenten") auf von haitai social verwalteten virtuellen privaten Servern; sowie über Authentifizierungs-, Datenbank- und Speicherdienste von Supabase. Jede Komponente verarbeitet personenbezogene Daten nur insoweit, als dies zur Erfüllung ihrer Funktion erforderlich ist, und die Kommunikation zwischen den Komponenten ist bei der Übertragung mit HTTPS/TLS verschlüsselt.

4. Daten, die wir erheben

• 4.1 Konto- und Authentifizierungsdaten. Wenn Sie sich anmelden, erhalten und speichern wir Profilinformationen aus der von Ihnen gewählten Methode — derzeit Google, GitHub oder WeChat oder einen einmaligen E-Mail-Anmeldelink. Je nach Methode kann dies Ihren Anzeigenamen, Ihre E-Mail-Adresse, Ihr Avatar-Bild und eine eindeutige Kennung des Anbieters umfassen. Wir erhalten oder speichern niemals ein Passwort.
• 4.2 Nutzergenerierte Inhalte.
  • Ersteller: Skill-Metadaten (Quell-URL, Titel, Beschreibung, Konfiguration) sowie im Own key mode oder bei eigenen Abonnementmodi Ihr LLM-API-Schlüssel oder Ihre Abonnement-Zugangsdaten. Ersteller können auch den Hosted-Modus wählen, der keinen Schlüssel erfordert — die Plattform führt Anfragen über die öffentliche OpenRouter-API in ihrem Auftrag aus.
  • Consumers: files and links submitted on the cold-start surface, and the messages exchanged in conversation sessions.
• 4.3 Telemetrie- und Nutzungsdaten. Wir erheben Produktanalysedaten über PostHog (aufgerufene Seiten, Oberflächeninteraktionen, Funktionsereignisse, Sitzungsdauer, Verweisquelle) sowie standardmäßige serverseitige Protokolle (IP-Adresse, User-Agent, Zeitstempel, Antwortcodes, Anfrage-URIs), die ausschließlich für den Betrieb, die Überwachung und die Fehlerbehebung des Dienstes verwendet werden.
• 4.4 Guthaben- und Transaktionsdaten. Wenn Sie credits-Guthaben nutzen, speichern wir Ihren Wallet-Saldo und ein ausschließlich anfügbares Hauptbuch (Ledger) der Guthabenbewegungen — Belastungen für gehostete Nutzung und Aktionsgutschriften — einschließlich des Betrags, des Grunds, der Gegenpartei und dessen, was jede Bewegung autorisiert hat.

5. Wie wir Ihre Daten verwenden

We process your personal data for these purposes:

• Authenticate you and maintain your account.
• Render and distribute the Skill cards you create.
• Provision and manage agent sessions for conversations.
• Transmit your messages to the LLM provider configured for a Skill.
• Operate the credit system and keep an auditable record of credit movements.
• Diagnose errors and maintain stability.
• Comply with legal obligations.

We do not sell, rent, or license personal data. We do not use your messages, uploaded files, or conversation history to train or improve any machine-learning model.

6. Datenfluss während der Skill-Ausführung

When you use a Skill, your input — text, uploaded files, code, and URLs — is sent to the LLM provider configured for that Skill. The call uses either the creator's own API key (Own key mode) or the platform's key (hosted mode).

The provider returns a response. Both your input and the response are stored in our database (Supabase) so the conversation can continue across turns. Uploaded files are stored in Supabase Storage.

We do not inspect, analyze, or mine the content of your conversations or files for any purpose beyond delivering the Service. Each LLM provider's own privacy policy governs how it handles the data it receives.

Data handling by mode

In all modes, your input and the LLM response are stored in the platform database (Supabase). Uploaded files are stored in Supabase Storage. You can see which mode applies when you start a session.

Ersteller: Im Own key mode oder bei eigenen Abonnementmodi wird Ihr API-Schlüssel auf der Plattform gespeichert und über verschlüsselte Verbindungen an die Agenten-Laufzeitumgebung übertragen, um LLM-Aufrufe zu bedienen. Über Ihren Schlüssel geleitete Verbraucher-Konversationen sind für Ihren LLM-Anbieter sichtbar. Wenn Sie den Hosted-Modus wählen, ist kein Schlüssel erforderlich — die Plattform verwendet ihren eigenen Schlüssel, um Anfragen über OpenRouter auszuführen.

7. Sicherheit der LLM-API-Schlüssel

Wir wissen, dass ein API-Schlüssel sensibel ist. Ersteller können den Hosted-Modus wählen, der keinen Schlüssel erfordert — die Plattform führt LLM-Anfragen über die öffentliche OpenRouter-API in ihrem Auftrag aus. Wenn Sie sich für den Own key mode entscheiden, wird Ihr Schlüssel wie folgt geschützt:

• Ihr Schlüssel ist für Verbraucher, andere Ersteller oder Personen, mit denen Sie Ihren Skill teilen, niemals sichtbar. Er erscheint niemals auf einer geteilten Seite, in einer URL, auf einer Teilen-Oberfläche oder in einer Konversation. Nur Sie selbst, angemeldet in Ihrem eigenen Konto, können ihn einsehen oder ändern.
• Ihr Schlüssel wird auf unseren Servern ausschließlich dazu gespeichert, LLM-Aufrufe für Ihren Skill zu bedienen, und wird nur über verschlüsselte (HTTPS/TLS) Verbindungen zwischen dem Browser, unseren Servern und der Agenten-Laufzeitumgebung übertragen.
• Der Zugriff auf die Systeme, die Ihren Schlüssel vorhalten, ist auf autorisiertes Personal nach dem Need-to-know-Prinzip beschränkt. Sie können Ihren Schlüssel jederzeit über Ihre Skill-Konfiguration ändern, entfernen oder rotieren; durch das Entfernen wird der Skill sofort nicht mehr teilbar. Alle bei der Übertragung zwischen Clients, unseren Servern und internen Komponenten befindlichen Daten sind mit TLS geschützt.

8. Guthaben- und Finanzdaten

Das credits-Hauptbuch (Ledger) ist die maßgebliche, ausschließlich anfügbare Aufzeichnung jeder Guthabenbewegung; Ihr Wallet-Saldo ist eine zwischengespeicherte Leseansicht dieses Hauptbuchs. Wir bewahren Hauptbuch- und Transaktionsdatensätze so lange auf, wie es zur Bereitstellung des Dienstes, zur Beilegung von Streitigkeiten und zur Erfüllung gesetzlicher und buchhalterischer Verpflichtungen erforderlich ist, was über die Kontoschließung hinausreichen kann.

9. Drittanbieter-Datenempfänger

• 9.1 Identitätsanbieter. Google LLC, GitHub, Inc. und/oder Tencent (für die WeChat-Anmeldung) empfangen und verarbeiten Authentifizierungsdaten, wenn Sie sich für die Anmeldung über sie entscheiden.
• 9.2 LLM-Anbieter. When a Skill runs, consumer messages and attached content are sent to the third-party LLM provider configured for that Skill — in hosted mode, the platform selects the provider; in creator-provided modes, the creator’s own key or subscription routes the call. We do not control how those providers handle data.
• 9.3 Infrastruktur- und Dienstleister. Vercel, Inc. (Hosting und CDN), Supabase, Inc. (Datenbank, Authentifizierung, Speicher und Zustellung von E-Mail-Anmeldelinks) und PostHog, Inc. (Produktanalytik). Jeder handelt als Auftragsverarbeiter auf unsere Weisung hin unter seiner eigenen Auftragsverarbeitungsvereinbarung.

Wir legen personenbezogene Daten nicht gegenüber Werbetreibenden oder Datenbrokern oder gegenüber Dritten zu Marketingzwecken offen.

10. Datenspeicherung

Account data is kept while your account is active. Skill metadata, conversation history, and uploaded files are kept until you delete them or close your account. After that, data is removed from active systems within 30 days. Encrypted backups are purged within 90 days.

Credit ledger and transaction records may be retained longer to meet legal, accounting, and dispute-resolution obligations.

11. Ihre Rechte und Wahlmöglichkeiten

Vorbehaltlich des anwendbaren Rechts können Sie auf die personenbezogenen Daten zugreifen, die wir über Sie speichern, deren Berichtigung oder Löschung verlangen, bestimmten Verarbeitungen widersprechen oder diese einschränken und eine portable Kopie anfordern. Sie können Ihre Skills jederzeit über Ihre Skills-Seite löschen, und Sie können uns kontaktieren, um ein Recht auszuüben oder die Kontolöschung zu beantragen. Wir beantworten verifizierte Anfragen innerhalb von dreißig (30) Tagen oder wie vom Recht vorgeschrieben.

/me/skills · official@tinkerland.app

12. Cookies und Tracking

Der Dienst verwendet eine kleine Anzahl von Erstanbieter-Cookies, die für Authentifizierungssitzungen, die Spracheinstellung und die Erfassung Ihrer Antwort auf die Frage zur Zahlungsbereitschaft unbedingt erforderlich sind. PostHog setzt ein Erstanbieter-Analyse-Cookie zur Besucherdeduplizierung; Sie können es über Ihre Browsereinstellungen blockieren, ohne die Kernfunktionalität zu verlieren. Wir verwenden keine Drittanbieter-Werbe-Cookies oder Cross-Site-Tracking.

13. Datenschutz für Kinder

Der Dienst richtet sich nicht an Personen unter dreizehn (13) Jahren oder unter dem in ihrer Gerichtsbarkeit geltenden Alter für die digitale Einwilligung, und wir erheben wissentlich keine personenbezogenen Daten von solchen Personen. Wenn uns bekannt wird, dass wir solche Daten erhoben haben, werden wir sie umgehend löschen.

14. Missbrauchsmeldungen und Untersuchungen

Wenn Sie Missbrauch melden oder Gegenstand einer Meldung sind, verarbeiten wir die in der Meldung enthaltenen Informationen — einschließlich der betroffenen Skills, Konten und Nachweise — um sie zu untersuchen und entsprechend zu handeln. Wir behandeln die Identität eines Meldenden vertraulich und legen sie der gemeldeten Partei nicht offen. Wir bewahren Untersuchungs- und Durchsetzungsdatensätze so lange auf, wie es erforderlich ist, um den Dienst sicher zu halten, Einsprüche zu bearbeiten und gesetzliche Verpflichtungen zu erfüllen.

15. Legal Basis for Processing

If you are located in the European Economic Area (EEA), the United Kingdom, or another jurisdiction that requires a legal basis, we rely on the following grounds:

• Contract performance. Processing necessary to provide the Service you signed up for — account authentication, Skill rendering and distribution, agent session management, message transmission to the LLM provider, and credit system operation.
• Legitimate interest. Processing necessary for our legitimate business interests, where those interests are not overridden by your rights — product analytics and telemetry, error diagnosis and stability, abuse investigation, and service security.
• Legal obligation. Processing necessary to comply with applicable law — regulatory compliance and retention of financial records.
• Consent. Where we rely on your consent (e.g. the PostHog analytics cookie), you may withdraw it at any time by adjusting your browser settings. Withdrawal does not affect processing carried out before the withdrawal.

16. International Data Transfers

The Service is operated from servers located in the United States. If you access the Service from outside the US, your personal data is transferred to and processed in the US.

For transfers from the EEA, the UK, or Switzerland, we rely on the Standard Contractual Clauses (SCCs) published by the European Commission, supplemented by additional technical and organizational measures where appropriate.

Our principal sub-processors and their locations: Vercel, Inc. (US — hosting and CDN), Supabase, Inc. (US — database, authentication, storage), PostHog, Inc. (US/EU — product analytics). LLM provider locations vary by the Skill's hosting configuration.

17. Jurisdiction-Specific Rights

Depending on where you live, you may have additional rights under local data protection law. This section supplements — but does not replace — section 11.

• 17.1 European Economic Area and United Kingdom. Under the GDPR / UK GDPR you may: access your data, request rectification or erasure, restrict or object to processing, request data portability, and withdraw consent at any time. You also have the right to lodge a complaint with your local supervisory authority. The data controller is haitai social.
• 17.2 California (CCPA / CPRA). California residents may: know what personal information we collect and how it is used, request deletion, and opt out of any sale or sharing. We do not sell personal information. We do not discriminate against you for exercising these rights.
• 17.3 China (PIPL). Under the Personal Information Protection Law you may: know about and decide on the processing of your personal information, restrict or refuse processing, request access, portability, correction, and deletion. Cross-border transfers are based on your informed consent provided at sign-up.

18. Änderungen dieser Richtlinie

Wir können diese Datenschutzrichtlinie jederzeit ändern. Bei einer wesentlichen Änderung aktualisieren wir das Datum "Gültig ab" oben und informieren Sie, soweit praktikabel, über den Dienst. Ihre fortgesetzte Nutzung des Dienstes nach Veröffentlichung einer überarbeiteten Richtlinie gilt als deren Annahme.

19. Dienstkontinuität

Der Dienst wird auf einer wirtschaftlich angemessenen Best-Effort-Basis betrieben. Wir garantieren keine ununterbrochene Verfügbarkeit und können jeden Teil des Dienstes jederzeit ändern, aussetzen oder einstellen, vorbehaltlich Abschnitt 18 zu wesentlichen Änderungen.

20. Kontakt

Bei Fragen oder Anfragen zu dieser Datenschutzrichtlinie oder unseren Datenverarbeitungspraktiken schreiben Sie uns eine E-Mail an die nachstehende Adresse.

official@tinkerland.app