KI-Transparenz und Datenschutz
Wie unser KI-System mit Ihren Daten umgeht
Wenn Sie unsere KI-Dienste nutzen, wollen Sie wissen was mit Ihren Daten passiert. Hier erklären wir den gesamten Datenfluss, benennen jeden beteiligten Dienst und verlinken die offiziellen Quellen. Keine Marketing-Versprechen, nur nachprüfbare Fakten.
Datenfluss Schritt für Schritt
1. Ihre Eingabe
Sie stellen eine Frage oder geben Text ein, über die Web-Oberfläche, den Teams-Bot oder die API.
2. Erkennung personenbezogener Daten
Bevor der Text unser System verlässt, durchläuft er fünf parallele Erkennungsmethoden: Mustererkennung für E-Mail, Telefon, IBAN und Ausweisnummern. Sprachliche Namenserkennung (spaCy, spezialisiert auf Deutsch). Adresserkennung. Straßennamen-Erkennung. Abkürzungserkennung für Firmen und Abteilungen.
Alle fünf laufen gleichzeitig. Gesamtdauer: ca. 10 Millisekunden.
3. Anonymisierung
Erkannte personenbezogene Daten werden durch Platzhalter ersetzt.
Die Zuordnung wird temporär gespeichert (Redis, automatische Löschung nach 1 Stunde). Kein dauerhafter Speicher.
4. KI-Verarbeitung
Nur der anonymisierte Text wird an den KI-Dienst gesendet. Der Dienst sieht keine Namen, keine Adressen, keine Kontaktdaten.
5. Antwort
Die KI-Antwort kommt mit Platzhaltern zurück. Unser System setzt die Originaldaten wieder ein, bevor Sie die Antwort sehen.
6. Protokollierung
Jeder KI-Aufruf wird intern protokolliert (welches Modell, wie viele Tokens, Kosten). Kein Inhalt wird im Protokoll gespeichert.
Welche KI-Dienste wir nutzen
Für jeden Dienst erklären wir: Was steht im Vertrag, wo ist der Beleg, was bedeutet das konkret.
Google Gemini API
Bezahlter ZugangGoogle verwendet Eingaben und Ausgaben der bezahlten API nicht zur Produktverbesserung oder zum Training von Modellen.
Für Nutzer im EWR, der Schweiz und dem UK gelten diese Schutzbestimmungen auch bei der kostenlosen Stufe.
Protokolldaten werden 55 Tage aufbewahrt, enthalten aber keine Inhalte der Anfragen.
Der Datenverarbeitungsvertrag ist automatisch Bestandteil der bezahlten Dienste.
Anthropic Claude API
Kommerzieller ZugangAPI-Daten werden nicht zum Training von Modellen verwendet. Das ist eine pauschale Richtlinie, kein Opt-out nötig.
Eingaben und Ausgaben werden standardmäßig innerhalb von 30 Tagen gelöscht. Ausnahme: Wenn Sicherheitsklassifikatoren anschlagen, können Daten bis zu 2 Jahre aufbewahrt werden.
Der Datenverarbeitungsvertrag ist automatisch Bestandteil der kommerziellen Nutzungsbedingungen. Er enthält EU-Standardvertragsklauseln (SCCs), Module 2 und 3.
Seit August 2025 ist regionale Verarbeitung in der EU konfigurierbar.
Lokale Modelle
Kein Cloud-DienstFür bestimmte Aufgaben setzen wir lokale KI-Modelle ein, die auf eigener Infrastruktur bei Hetzner in Deutschland laufen. Diese Daten verlassen den Server nicht.
Optionen für erhöhte Anforderungen
Für Kunden mit besonderen Compliance-Anforderungen bieten wir zusätzliche Konfigurationsmöglichkeiten.
Google Vertex AI
Gleiche Modelle wie die Gemini API, aber mit expliziter EU-Verarbeitung in Frankfurt (europe-west3) und dem Google Cloud Data Processing Addendum.
Cloud DPA ↗Langdock als KI-Gateway
ISO 27001:2022 zertifiziert, SOC 2 Type II geprüft. 100% EU-Datensouveränität. Vertragliche Vereinbarungen mit allen KI-Anbietern bereits abgeschlossen.
Sicherheit und Compliance ↗Was wir nicht tun
Wir speichern keine Gesprächsinhalte in KI-Protokollen.
Wir geben keine Kundendaten an Dritte weiter, außer an die oben genannten KI-Dienste, und auch dann nur anonymisiert.
Wir nutzen keine kostenlosen API-Stufen, bei denen Daten für Training verwendet werden könnten.
Wir versprechen keine 100% Anonymisierung. Kein System ist perfekt. Deshalb nutzen wir mehrere Schutzschichten gleichzeitig: PII-Proxy, vertragliche Zusicherungen und EU-Infrastruktur.
Unsere Infrastruktur
Rechtsdokumente
Letzte Aktualisierung: 31. März 2026
Fragen?
Wenn Sie Fragen zum Datenschutz in unseren KI-Diensten haben, kontaktieren Sie uns.