Dieses Löschkonzept beschreibt, wie und wann personenbezogene Daten bei HanseGPT gelöscht werden. Es basiert auf Art. 17 DSGVO (Recht auf Löschung) und den Grundsätzen der Datenminimierung und Speicherbegrenzung.
1. Aufbewahrungsfristen nach Datenkategorie
| Datenkategorie | Aufbewahrungsfrist | Löschzeitpunkt | Rechtsgrundlage |
|---|---|---|---|
| Account-Daten E-Mail, Name, Passwort-Hash | Vertragsdauer + 90 Tage | Automatisch nach Ablauf | Art. 6 Abs. 1 lit. b DSGVO |
| Chat-Verläufe Prompts, KI-Antworten | Bis zur Löschung durch Nutzer oder Vertragsende + 90 Tage | Sofort bei Nutzerlöschung / automatisch nach Vertragsende | Art. 6 Abs. 1 lit. b DSGVO |
| Hochgeladene Dokumente PDFs, Texte, etc. | Bis zur Löschung durch Nutzer oder Vertragsende + 90 Tage | Sofort bei Nutzerlöschung / automatisch nach Vertragsende | Art. 6 Abs. 1 lit. b DSGVO |
| Technische Logs IP-Adressen, Zugriffe | 7 Tage | Automatisch rollierend | Art. 6 Abs. 1 lit. f DSGVO |
| Security-Audit-Logs Sicherheitsereignisse | 90 Tage | Automatisch rollierend | Art. 6 Abs. 1 lit. f DSGVO |
| Rechnungsdaten Rechnungen, Zahlungen | 10 Jahre | Nach Ablauf der gesetzlichen Frist | § 147 AO, § 257 HGB |
| Backups Vollständige Datensicherungen | 30 Tage (täglich) / 12 Monate (monatlich) | Automatisch rollierend | Art. 32 DSGVO (Sicherheit) |
2. Löschung bei Vertragsende
Nach Beendigung des HanseGPT-Abonnements läuft folgender Prozess ab:
Vertragsende
Das Abonnement endet. Der Zugang wird deaktiviert, aber alle Daten bleiben erhalten.
Export-Phase (Tag 1–30)
Sie können sich einloggen und alle Ihre Daten exportieren (Chats, Dokumente, Account-Daten). Nutzen Sie die Export-Funktion in den Einstellungen.
Endgültige Löschung (Tag 90)
Alle Daten werden unwiderruflich gelöscht: Account, Chats, Dokumente, Wissensdatenbanken. Ausnahme: Rechnungsdaten (10 Jahre Aufbewahrungspflicht).
Nach Tag 90 ist eine Wiederherstellung der Daten nicht mehr möglich. Stellen Sie sicher, dass Sie alle benötigten Daten innerhalb der Export-Phase gesichert haben.
3. Löschung auf Anfrage (Art. 17 DSGVO)
3.1 Self-Service-Löschung
Nutzer können folgende Daten selbst löschen:
- Einzelne Chats: Über das Chat-Menü → "Löschen"
- Einzelne Dokumente: In der Wissensdatenbank → "Dokument entfernen"
- Gesamter Account: Einstellungen → "Account löschen"
Bei Self-Service-Löschung werden die Daten sofort aus der aktiven Datenbank entfernt. Aus Backups werden sie innerhalb von maximal 30 Tagen entfernt.
3.2 Löschung durch den Auftraggeber
Team-Admins können für ihr Team löschen:
- Nutzerkonten von Team-Mitgliedern
- Geteilte Wissensdatenbanken
- Team-weite Einstellungen und Daten
3.3 Löschung auf Anfrage beim Support
Für Löschungen, die nicht per Self-Service möglich sind:
Anfrage stellen
E-Mail an info@hansegpt.de mit Angabe der zu löschenden Daten
Identitätsprüfung
Verifizierung Ihrer Identität zum Schutz vor unbefugten Löschungen
Durchführung
Löschung innerhalb von 30 Tagen gemäß Art. 17 DSGVO
Bestätigung
Schriftliche Löschbestätigung auf Anfrage
4. Technisches Löschverfahren
4.1 Aktive Datenbank
- Sofortige Löschung (DELETE) der Datensätze
- Keine Soft-Deletes – Daten werden wirklich entfernt
- Referenzielle Integrität: Verknüpfte Daten werden kaskadierend gelöscht
4.2 Backups
- Gelöschte Daten verbleiben in bestehenden Backups bis diese turnusmäßig überschrieben werden
- Maximale Verweildauer in Backups: 30 Tage (tägliche Backups) bzw. 12 Monate (monatliche Backups)
- Backups werden vollständig verschlüsselt gespeichert (AES-256)
- Bei Restore aus Backup werden gelöschte Daten nicht wiederhergestellt
4.3 Logs
- Technische Logs: Automatische Rotation nach 7 Tagen
- Security-Audit-Logs: Automatische Rotation nach 90 Tagen
- IP-Adressen werden nach 7 Tagen anonymisiert
- Keine Speicherung von Chat-Inhalten in Logs
4.4 KI-Provider
- Mistral: Keine dauerhafte Speicherung – Daten werden nur für die Verarbeitung der Anfrage verwendet
- OpenAI/Google/Anthropic (optional): Zero Data Retention – keine Speicherung nach Verarbeitung
- Keine Nutzung für KI-Training bei allen Providern
5. Ausnahmen von der Löschung
In folgenden Fällen kann eine (teilweise) Löschung nicht erfolgen:
| Ausnahmegrund | Betroffene Daten | Aufbewahrungsfrist |
|---|---|---|
| Gesetzliche Aufbewahrungspflichten § 147 AO, § 257 HGB | Rechnungen, Buchungsbelege, Vertragsunterlagen | 10 Jahre |
| Laufende Rechtsstreitigkeiten | Beweisrelevante Daten | Bis Abschluss des Verfahrens |
| Geltendmachung von Rechtsansprüchen | Vertragsrelevante Daten | Bis Ablauf der Verjährungsfristen |
6. Löschbestätigung
Auf Anfrage stellen wir eine schriftliche Löschbestätigung aus, die folgende Informationen enthält:
- Bestätigung der durchgeführten Löschung
- Datum der Löschung
- Art der gelöschten Daten
- Hinweis auf Backup-Löschfristen
- Ggf. Hinweis auf Ausnahmen (z.B. Rechnungsdaten)
Anfragen an: info@hansegpt.de
Version: 1.0
Stand: Januar 2026
Nächste Überprüfung: Januar 2027