Häufige Fragen

FAQ für Datenschutzbeauftragte

Antworten auf die wichtigsten Fragen zur DSGVO-Konformität von HanseGPT

Schnellzugriff auf Dokumente

AVV ansehen TOM ansehen Unterauftragnehmer Datenflussdiagramm Löschkonzept SLA & Verfügbarkeit

Grundsätzliches

Wer ist der Auftragsverarbeiter?

+

KI-Werke Bremen GmbH
Karl-Ferdinand-Braun-Str. 5
28359 Bremen, Deutschland

Die KI-Werke Bremen GmbH betreibt HanseGPT und ist Auftragsverarbeiter gemäß Art. 28 DSGVO. Bei Abschluss eines kostenpflichtigen Abonnements wird der AVV automatisch Vertragsbestandteil.

Welche Rechtsgrundlage gilt für die Verarbeitung?

+

Die Verarbeitung erfolgt auf Basis von:

  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Bereitstellung des Dienstes)
  • Art. 28 DSGVO – Auftragsverarbeitung (HanseGPT als Auftragsverarbeiter für Ihr Unternehmen)

Ihr Unternehmen bleibt Verantwortlicher für die personenbezogenen Daten, die Ihre Mitarbeiter in HanseGPT eingeben.

Benötige ich einen separaten AVV?

+

Nein. Der Auftragsverarbeitungsvertrag (AVV) wird mit Abschluss eines kostenpflichtigen HanseGPT-Abonnements automatisch Vertragsbestandteil. Eine separate Unterzeichnung ist nicht erforderlich.

Der AVV inkl. aller Anlagen (TOM, Unterauftragnehmer) steht Ihnen jederzeit im Trust Center zur Verfügung und kann für Ihre Dokumentation heruntergeladen werden.

Datenverarbeitung & Speicherung

Wo werden die Daten gespeichert?

+

Alle Daten werden ausschließlich in Deutschland gespeichert:

  • Anbieter: Hetzner Online GmbH
  • Standort: Rechenzentrum Nürnberg (NBG1) / Falkenstein
  • Zertifizierung: ISO/IEC 27001

Es findet keine Speicherung außerhalb der EU statt. Bei Nutzung optionaler US-Modelle (GPT, Gemini) werden Anfragen zur Verarbeitung übermittelt, aber nicht dauerhaft gespeichert.

Werden Daten für KI-Training verwendet?

+

Nein. Ihre Daten werden niemals für das Training von KI-Modellen verwendet – weder von uns noch von unseren KI-Providern.

Dies gilt für:

  • Mistral (Standard): Keine Nutzung für Training gemäß Vertrag
  • OpenAI (optional): API-Nutzung ohne Training, Zero Data Retention
  • Google Gemini (optional): API-Nutzung ohne Training
  • Anthropic Claude (optional): API-Nutzung ohne Training

Welche Daten werden verarbeitet?

+

Folgende Datenkategorien werden verarbeitet:

  • Nutzerdaten: Name, E-Mail-Adresse, Unternehmenszugehörigkeit
  • Chat-Verläufe: Prompts/Anfragen der Nutzer, KI-Antworten
  • Dokumente: Vom Kunden hochgeladene Dateien und deren Inhalte
  • Nutzungsdaten: Zugriffsprotokolle, Zeitstempel, verwendete Funktionen

Details finden Sie in Anlage A des AVV.

Wie lange werden Daten gespeichert?

+
  • Nutzerdaten, Chats, Dokumente: Bis zur Löschung durch den Nutzer bzw. 90 Tage nach Vertragsende
  • Technische Logs: 7 Tage
  • Security-Audit-Logs: 90 Tage
  • Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht)

Details finden Sie im Löschkonzept.

KI-Modelle & Drittlandübermittlung

Welches KI-Modell wird standardmäßig verwendet?

+

Standardmäßig wird Mistral Large verwendet:

  • Anbieter: Mistral AI (Frankreich)
  • Standort: EU (eu.mistral.ai)
  • Drittlandübermittlung: Keine

Mit Mistral bleiben alle Daten vollständig innerhalb der EU und unter DSGVO-Schutz.

Was passiert bei Nutzung von GPT oder Gemini?

+

Bei Aktivierung von OpenAI GPT, Google Gemini oder Anthropic Claude werden Anfragen in die USA übermittelt.

Wichtig:

  • Diese Modelle sind standardmäßig deaktiviert
  • Aktivierung erfordert explizite Zustimmung durch den Team-Admin
  • Nutzer werden vor der Nutzung informiert

Garantien für US-Übermittlung:

  • EU-US Data Privacy Framework (DPF)
  • EU-Standardvertragsklauseln (SCC)
  • Keine dauerhafte Speicherung bei den Anbietern
  • Keine Nutzung für KI-Training

Kann ich US-Modelle für mein Team deaktivieren?

+

Ja. Als Team-Admin können Sie die Verfügbarkeit von KI-Modellen für Ihr Team steuern:

  • US-Modelle (GPT, Gemini, Claude) sind standardmäßig deaktiviert
  • Sie können diese Modelle für Ihr Team dauerhaft gesperrt lassen
  • Ohne Aktivierung findet keine Datenübermittlung in die USA statt

Für maximale Datensouveränität: Nutzen Sie ausschließlich Mistral (EU).

Sicherheit & Technische Maßnahmen

Welche Verschlüsselung wird eingesetzt?

+
  • Transportverschlüsselung: TLS 1.3 (TLS 1.2 Minimum)
  • Speicherverschlüsselung: AES-256 für Backups, LUKS für Volumes
  • Passwort-Hashing: bcrypt (Kostenfaktor 12)

Details finden Sie in den Technisch-organisatorischen Maßnahmen (TOM).

Gibt es eine Mandantentrennung?

+

Ja. Es gibt eine strikte logische Mandantentrennung:

  • Jedes Team hat eigene, isolierte Datenbereiche
  • Row-Level Security auf Datenbankebene
  • Tenant-ID in allen Datenbankabfragen
  • Keine gemeinsame Nutzung von Ressourcen zwischen Teams

Wie werden Backups durchgeführt?

+
  • Vollbackup: Täglich um 03:00 Uhr UTC
  • Inkrementelle Backups: Alle 6 Stunden
  • Verschlüsselung: AES-256
  • Aufbewahrung: 30 Tage täglich, 12 Monate monatlich
  • Speicherort: Geografisch getrennt im selben Rechenzentrum

Gibt es Zwei-Faktor-Authentifizierung?

+

Ja. Zwei-Faktor-Authentifizierung (2FA) ist für alle Nutzer verfügbar:

  • TOTP-basiert (z.B. Google Authenticator, Authy)
  • Kann von jedem Nutzer individuell aktiviert werden
  • Team-Admins können 2FA für ihr Team empfehlen

Betroffenenrechte & Löschung

Wie können Betroffenenrechte ausgeübt werden?

+

Betroffenenanfragen werden wie folgt behandelt:

  1. Anfragen an HanseGPT werden an den Auftraggeber (Ihr Unternehmen) weitergeleitet
  2. Ihr Unternehmen entscheidet über die Bearbeitung
  3. HanseGPT unterstützt bei der technischen Umsetzung

Self-Service-Funktionen für Nutzer:

  • Export aller eigenen Daten (Datenportabilität)
  • Löschung einzelner Chats und Dokumente
  • Löschung des gesamten Accounts

Was passiert bei Vertragsende?

+
  1. Export-Phase (30 Tage): Sie können alle Daten exportieren
  2. Löschung (nach 90 Tagen): Alle Daten werden unwiderruflich gelöscht
  3. Ausnahme: Rechnungsdaten (10 Jahre Aufbewahrungspflicht)

Details finden Sie im Löschkonzept.

Kann ich eine Löschbestätigung erhalten?

+

Ja. Auf Anfrage stellen wir eine schriftliche Löschbestätigung aus. Kontaktieren Sie uns unter info@hansegpt.de.

Audits & Kontrolle

Kann ich ein Audit durchführen?

+

Ja. Gemäß § 7 des AVV haben Sie Kontrollrechte:

  • Dokumenten-Audits: Jederzeit möglich (TOM, Unterauftragnehmer, etc.)
  • Vor-Ort-Prüfungen: Nach Ankündigung (14 Tage) während der Geschäftszeiten
  • Kosten: Trägt der Auftraggeber, sofern keine Verstöße festgestellt werden

Welche Zertifizierungen liegen vor?

+

Rechenzentrum (Hetzner):

  • ISO/IEC 27001 (Informationssicherheit)
  • SOC 2 Type II

HanseGPT (KI-Werke Bremen GmbH):

  • Keine eigene ISO-Zertifizierung (als Startup derzeit nicht vorhanden)
  • TOM orientieren sich an ISO 27001 Anforderungen
  • Jährliche interne Sicherheitsüberprüfung

Weitere Fragen?

Unser Datenschutz-Team steht Ihnen für weitere Fragen zur Verfügung.

Bereit, sicher zu starten?

Tragen Sie sich auf die Warteliste ein und erfahren Sie als Erste, wenn wir starten.

Warteliste beitreten →