1. Datenschutzverantwortlicher

WissensSysteme UG i.G. (haftungsbeschränkt)

Görlitzer Weg 26
74321 Bietigheim-Bissingen
Deutschland

Datenschutzbeauftragte/r: Stephan Johne

Kontakt für Datenschutzfragen:
📧 datenschutz@wissensnavigator.info

2. Grundprinzipien der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nach den Grundsätzen der DSGVO:

• Rechtmäßigkeit, Fairness und Transparenz: Datenverarbeitung erfolgt nur mit rechtlicher Grundlage
• Zweckbindung: Daten werden nur für erklärte Zwecke verwendet
• Datenminimierung: Wir erheben nur notwendige Daten
• Speicherbegrenzung: Daten werden nur so lange gespeichert wie nötig
• Integrität und Vertraulichkeit: Starke Sicherheitsmaßnahmen schützen Ihre Daten
• Rechenschaftspflicht: Wir dokumentieren alle Verarbeitungsvorgänge

3. Infrastruktur und Datensicherheit

3.1 Server-Standorte

Alle Server befinden sich in Deutschland (Hetzner Online GmbH):

• Primärer Standort: Falkenstein, Sachsen
• Backup-Standort: Nürnberg, Bayern
• Redundante Systeme für Hochverfügbarkeit

3.2 KI und Large Language Models (LLM)

• Nur EU-Anbieter: Manus AI (Deutschland) — keine US-Provider wie OpenAI, Google oder Meta
• Datenschutzkonform: LLM-Anfragen werden mit pseudonymisierten Daten verarbeitet
• Keine Speicherung: LLM-Anfragen werden nicht dauerhaft protokolliert
• Halluzinationen: KI-Systeme können fehlerhafte Informationen generieren — Nutzer sind für Verifikation verantwortlich

3.3 Technische Schutzmaßnahmen

Maßnahme	Standard	Details
Verschlüsselung (Transit)	TLS 1.3	Alle Daten zwischen Browser und Server verschlüsselt
Verschlüsselung (Speicher)	AES-256	Sensible Daten in der Datenbank verschlüsselt
Passwort-Hashing	bcrypt (12 rounds)	Passwörter sind nicht wiederherstellbar
Firewall	UFW + Fail2Ban	Automatische Blockierung verdächtiger Zugriffe
DDoS-Schutz	Cloudflare	Schutz vor Distributed-Denial-of-Service-Angriffen
SSL/TLS-Zertifikate	Let's Encrypt	Automatische Erneuerung, 256-Bit Schlüssellänge
Intrusion Detection	Wazuh	Echtzeit-Überwachung von Sicherheitsereignissen

3.4 Organisatorische Schutzmaßnahmen

• Zugriffskontrolle: Nur autorisierte Mitarbeiter haben Zugriff auf Systeme
• Rollenbasierte Berechtigungen: Admin-, Nutzer- und Gast-Rollen mit minimalen Rechten
• Schulungen: Regelmäßige Datenschutz- und Sicherheitsschulungen für alle Mitarbeiter
• Vertraulichkeitsvereinbarungen (NDAs): Alle Mitarbeiter unterzeichnen NDAs
• Incident Response Plan: Dokumentiertes Verfahren für Sicherheitsvorfälle
• Regelmäßige Audits: Externe Sicherheitsprüfungen mindestens jährlich

3.5 Backups und Disaster Recovery

• Backup-Häufigkeit: Täglich (inkrementell), wöchentlich (vollständig)
• Aufbewahrung: 90 Tage lokale Backups, 1 Jahr archivierte Backups
• Redundanz: Backups an mindestens 2 geografisch getrennten Standorten
• Verschlüsselung: Alle Backups sind verschlüsselt
• Recovery-Tests: Monatliche Tests der Wiederherstellungsfähigkeit
• RTO (Recovery Time Objective): Max. 4 Stunden
• RPO (Recovery Point Objective): Max. 24 Stunden

4. Welche Daten werden erhoben?

4.1 Bei der Registrierung

Daten	Zweck	Rechtsgrundlage
E-Mail-Adresse	Benutzerkonto, Kommunikation	Art. 6 Abs. 1 lit. b DSGVO
Passwort (gehashed)	Authentifizierung	Art. 6 Abs. 1 lit. b DSGVO
Name (optional)	Personalisierung	Art. 6 Abs. 1 lit. a DSGVO
Registrierungsdatum	Verwaltung	Art. 6 Abs. 1 lit. b DSGVO

4.2 Bei der Nutzung der Plattform

Daten	Zweck	Rechtsgrundlage
Hochgeladene Dokumente	Verarbeitung durch KI	Art. 6 Abs. 1 lit. b DSGVO
Chat-Verlauf	Kontextverständnis, Verbesserung	Art. 6 Abs. 1 lit. b DSGVO
Suchanfragen	Funktionalität	Art. 6 Abs. 1 lit. b DSGVO
Abfrageergebnisse	Speicherung für Nutzer	Art. 6 Abs. 1 lit. b DSGVO
Nutzungsstatistiken	Verbesserung der Plattform	Art. 6 Abs. 1 lit. f DSGVO

4.3 Cookies und Tracking

Nur technisch notwendige Cookies:

• Session-Cookie: Authentifizierung (speichert verschlüsselte Session-ID)
• CSRF-Token: Schutz vor Cross-Site-Request-Forgery
• Theme-Präferenz: Speichert Nutzer-Einstellung (Hell/Dunkel-Modus)

Keine Third-Party-Cookies — wir arbeiten nicht mit Google Analytics, Facebook Pixel oder ähnlichen Tracking-Systemen.

5. Zugriff auf Nutzerdaten

5.1 Wer hat Zugriff?

• Nur autorisierte Mitarbeiter von WissensSysteme UG i.G.
• Keine fremden Nutzer haben Zugriff auf Ihre Daten
• Keine Weitergabe an Dritte (außer in Ausnahmefällen)
• Keine Datenhändler oder Broker — Ihre Daten sind nicht zum Verkauf

5.2 Ausnahmen (Rechtliche Verpflichtungen)

Daten können weitergegeben werden an:

• Behörden: Bei rechtlicher Verpflichtung (z.B. Strafverfolgung) — Sie werden benachrichtigt, soweit rechtlich zulässig
• Rechtsanwälte: Bei Rechtsstreitigkeiten
• Steuerberater: Für Compliance und Rechnungswesen

Datenschutzverträge (DPA): Alle Dienstleister unterzeichnen Datenschutzverträge nach Art. 28 DSGVO.

6. Speicherdauer von Daten

Datentyp	Speicherdauer	Grund
Benutzerkonto	Bis zur Löschung durch Nutzer	Vertragserfüllung
Chat-Verlauf	2 Jahre (dann automatisch gelöscht)	Compliance, Sicherheit
Hochgeladene Dokumente	Bis zur Löschung durch Nutzer	Nutzer-Anforderung
Logs (IP, Timestamp)	30 Tage	Sicherheit, Debugging
Backups	90 Tage (lokal), 1 Jahr (archiviert)	Disaster Recovery
Fehlerberichte	7 Tage	Debugging
Zahlungsdaten	7 Jahre	Gesetzliche Aufbewahrung (HGB)

7. Ihre Rechte nach DSGVO

Sie haben folgende Rechte (Art. 12-22 DSGVO):

7.1 Auskunftsrecht (Art. 15)

Sie können jederzeit erfragen, welche Daten wir über Sie speichern.

• Anfrage an: datenschutz@wissensnavigator.info
• Antwortfrist: 30 Tage

7.2 Berichtigungsrecht (Art. 16)

Sie können fehlerhafte oder unvollständige Daten korrigieren.

7.3 Löschungsrecht (Art. 17 — „Recht auf Vergessenwerden")

Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.

7.4 Datenportabilität (Art. 20)

Sie können Ihre Daten in strukturierter, gängiger Form (JSON/CSV) erhalten.

7.5 Beschwerde bei der Aufsichtsbehörde (Art. 77)

Wenn Sie der Meinung sind, dass wir Ihre Rechte verletzen, können Sie sich beschweren bei:

Landesbeauftragte für Datenschutz Baden-Württemberg
Postfach 10 29 32
70025 Stuttgart
📧 poststelle@lfdi.bwl.de
🌐 www.lfdi.bwl.de

8. KI-Verarbeitung und Besonderheiten

8.1 Wie funktioniert die KI-Verarbeitung?

1. Dokumenten-Upload: Sie laden ein Dokument hoch (PDF, Word, etc.)
2. Chunking: Das Dokument wird in kleinere Textabschnitte zerlegt
3. Embedding: Jeder Abschnitt wird in einen numerischen Vektor konvertiert
4. Speicherung: Die Vektoren werden in einer Datenbank gespeichert
5. Abfrage: Sie stellen eine Frage → die KI sucht relevante Abschnitte
6. Generierung: Ein LLM generiert eine Antwort basierend auf den Dokumenten

8.2 Halluzinationen und Fehler

9. Datenschutz für Minderjährige

Unsere Plattform ist nicht für Personen unter 16 Jahren bestimmt. Wir erheben bewusst keine Daten von Minderjährigen.

10. Externe Links und Drittanbieter

Diese Datenschutzerklärung gilt nur für wissensnavigator.info und app.wissensnavigator.info.

Drittanbieter-Services:

• Manus AI (LLM): Deutschland — Datenschutzvertrag unterzeichnet
• Hetzner (Hosting): Deutschland — Datenschutzvertrag unterzeichnet
• Cloudflare (CDN/DDoS): USA — Standard Contractual Clauses (SCC) unterzeichnet

11. Sicherheitsvorfälle (Data Breach Notification)

Falls Ihre Daten kompromittiert werden:

1. Benachrichtigung: Sie werden innerhalb von 72 Stunden benachrichtigt
2. Behörden: Wir benachrichtigen die zuständige Aufsichtsbehörde
3. Transparenz: Wir erklären, welche Daten betroffen sind und welche Maßnahmen wir ergreifen

12. Compliance und Zertifizierungen

• ✅ DSGVO-konform: Vollständige Einhaltung der EU-Datenschutzrichtlinie
• ✅ Deutsche Infrastruktur: Alle Server in Deutschland (Hetzner)
• ✅ Regelmäßige Audits: Externe Sicherheitsprüfungen
• ✅ Incident Response Plan: Dokumentiertes Verfahren für Sicherheitsvorfälle
• ✅ Datenschutzverträge: Alle Dienstleister unterzeichnen DPA (Art. 28 DSGVO)