Datenschutzinformationen zur Nutzung von InnoGPT

Dieses Dokument beschreibt umfassend die datenschutzrelevanten Abläufe, technischen und organisatorischen Maßnahmen sowie die Grundsätze der Datenverarbeitung bei der Nutzung der InnoGPT-Plattform. Die Darstellung richtet sich an Datenschutzbeauftragte, Compliance-Verantwortliche und andere fachlich verantwortliche Personen in Organisationen, die InnoGPT einsetzen oder dessen Einsatz prüfen.

1. Grundlagen und Verantwortlichkeiten

Zweck und Anwendungsbereich

Das vorliegende Dokument beschreibt die datenschutzrelevanten Verarbeitungsvorgänge der InnoGPT-Plattform in ihrer Funktion als technische Infrastruktur für KI-Dienste. InnoGPT fungiert dabei als Auftragsverarbeiter nach Art. 28 DSGVO für die von Kunden eingegebenen oder hochgeladenen Inhalte.

Der Anwendungsbereich umfasst ausschließlich die technischen Verarbeitungen, die InnoGPT zur Bereitstellung der Plattform-Funktionalitäten durchführt. Dies beinhaltet die Übertragung, temporäre Verarbeitung und Speicherung von Nutzerinhalten, die Bereitstellung der KI-Schnittstellen sowie die Implementierung von Sicherheits- und Löschfunktionen.

Wichtiger Hinweis zur Verantwortlichkeit: Die inhaltliche Verantwortung für alle von Nutzern eingegebenen Texte, hochgeladenen Dateien und generierten Inhalte liegt ausschließlich beim jeweiligen Kunden als Verantwortlichem nach Art. 4 Nr. 7 DSGVO. InnoGPT verarbeitet diese Inhalte ausschließlich weisungsgebunden im Rahmen der technischen Dienstleistung.

Kategorien verarbeiteter personenbezogener Daten

InnoGPT verarbeitet die folgenden Kategorien von Daten, die von Nutzern eigenverantwortlich in die Plattform eingegeben oder hochgeladen werden:

Von Nutzern eingegebene Inhaltsdaten: Sämtliche Texteingaben (Prompts), hochgeladene Dokumente und Dateien, benutzerdefinierte Erinnerungen und Notizen. Die Eingabe erfolgt freiwillig durch den Nutzer; InnoGPT erhebt diese Daten nicht aktiv.

Systemgenerierte Daten: Von KI-Modellen generierte Antworten auf Nutzeranfragen, Chat-Verläufe, die sich aus der Interaktion zwischen Nutzer und System ergeben.

Technische Betriebsdaten: Metadaten wie Zeitstempel von Interaktionen, verwendete KI-Modelle, Workspace-Konfigurationen, Session-Daten, Browser-Informationen und Verbindungsparameter, die für den technischen Betrieb der Plattform erforderlich sind.

Nutzerverwaltungsdaten: Vor- und Nachname, E-Mail-Adresse, Workspace-Zugehörigkeit, Benutzerrolle und -berechtigungen, Login-Zeitstempel, die für die Bereitstellung des Dienstes erforderlich sind.

Hinweis: Welche personenbezogenen Daten in den Nutzerinhalten enthalten sind, liegt außerhalb der Kontrolle von InnoGPT und in der alleinigen Verantwortung des Kunden als Verantwortlichem.

Verantwortlichkeiten und Rollenverteilung

InnoGPT als Auftragsverarbeiter: InnoGPT fungiert für alle von Nutzern eingegebenen oder hochgeladenen Inhalte als Auftragsverarbeiter nach Art. 28 DSGVO. Die Verarbeitung erfolgt ausschließlich weisungsgebunden zur Bereitstellung der technischen Plattform-Funktionalitäten. InnoGPT hat weder Einfluss auf Art, Umfang noch Zweck der in den Nutzerinhalten enthaltenen personenbezogenen Daten.

Kunde als Verantwortlicher: Der Kunde ist als Verantwortlicher nach Art. 4 Nr. 7 DSGVO für alle Inhalte verantwortlich, die seine Nutzer in die Plattform eingeben oder hochladen. Dies umfasst die Bestimmung von Zwecken und Mitteln der Verarbeitung, die Sicherstellung gültiger Rechtsgrundlagen, die Einhaltung der Grundsätze nach Art. 5 DSGVO sowie die Erfüllung von Informationspflichten gegenüber betroffenen Personen.

Auftragsverarbeitungsvertrag: Die Zusammenarbeit zwischen InnoGPT und dem Kunden wird durch einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geregelt, der die technischen und organisatorischen Maßnahmen, Weisungsbefugnisse, Löschverpflichtungen und Auditrechte detailliert festlegt.

Nutzerverantwortung und Compliance-Verpflichtungen

Rechtmäßigkeit der Nutzerinhalte: Nutzer sind ausschließlich selbst dafür verantwortlich, dass alle von ihnen eingegebenen oder hochgeladenen Inhalte den geltenden datenschutzrechtlichen Bestimmungen entsprechen. Dies umfasst insbesondere das Vorliegen gültiger Rechtsgrundlagen für die Verarbeitung personenbezogener Daten sowie die Einhaltung der Grundsätze der Datenminimierung und Zweckbindung.

Erforderliche Einwilligungen und Informationen: Vor der Eingabe personenbezogener Daten Dritter müssen Nutzer sicherstellen, dass alle erforderlichen Einwilligungen vorliegen oder andere Rechtsgrundlagen erfüllt sind. Ebenso müssen betroffene Personen ordnungsgemäß über die Verarbeitung informiert worden sein.

Datenschutz-Folgenabschätzung: Kunden sind verpflichtet zu prüfen, ob für ihre geplante Nutzung der Plattform eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist. InnoGPT stellt hierfür die erforderlichen technischen Informationen zur Verfügung, die rechtliche Bewertung obliegt jedoch dem Kunden.

Dokumentationspflichten: Kunden müssen ihre Verarbeitungstätigkeiten ordnungsgemäß dokumentieren und ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO führen, das auch die Nutzung von InnoGPT umfasst.

Haftungsausschlüsse und Nutzungsbeschränkungen

Haftungsausschluss für Nutzerinhalte: InnoGPT übernimmt keine Verantwortung für die Rechtmäßigkeit, Richtigkeit oder Angemessenheit von Nutzerinhalten. Die Plattform fungiert als technisches Werkzeug; die inhaltliche und rechtliche Verantwortung liegt ausschließlich beim Nutzer bzw. Kunden.

Ausschluss der Inhaltsprüfung: InnoGPT führt keine systematische Überprüfung von Nutzerinhalten auf ihre datenschutzrechtliche Zulässigkeit durch. Automatisierte Sicherheitsprüfungen dienen ausschließlich dem Schutz der technischen Infrastruktur, nicht der rechtlichen Compliance-Überwachung.

Nutzungsbeschränkungen: Die Nutzung der Plattform für rechtswidrige Zwecke, insbesondere die Verarbeitung personenbezogener Daten ohne gültige Rechtsgrundlage, ist untersagt. Verstöße können zur sofortigen Sperrung des Accounts führen.

Meldepflichten: InnoGPT informiert Kunden unverzüglich über alle Datenschutzverletzungen, die verarbeitete Inhalte betreffen könnten. Die Bewertung der Erheblichkeit und die Meldung an Aufsichtsbehörden sowie betroffene Personen obliegt dem Kunden als Verantwortlichem. InnoGPT unterstützt bei der Aufklärung technischer Aspekte und stellt relevante Informationen zur Verfügung.

Grenzen der technischen Unterstützung: Die von InnoGPT bereitgestellten technischen Funktionen (Export, Löschung, etc.) entbinden den Kunden nicht von seiner Verantwortung als Verantwortlicher. Die rechtliche Bewertung und Entscheidung über die Anwendung von Betroffenenrechten obliegt ausschließlich dem Kunden.

2. Rechtliche Grundlagen und Compliance

DSGVO-Konformität und Verarbeitungsgrundsätze

Die technische Verarbeitung durch InnoGPT erfolgt im vollständigen Einklang mit der Datenschutz-Grundverordnung (DSGVO) und anderen anwendbaren Datenschutzgesetzen. Die Anwendung der DSGVO-Grundsätze erfolgt dabei differenziert je nach Rolle von InnoGPT:

Für technische Plattform-Daten (InnoGPT als Verantwortlicher):

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Die Verarbeitung technischer Daten (Nutzerverwaltung, System-Logs, Metadaten) erfolgt auf eindeutigen Rechtsgrundlagen nach Art. 6 DSGVO. Die Verarbeitung wird transparent dokumentiert und ist nachvollziehbar.

Zweckbindung: Technische Daten werden ausschließlich für die Bereitstellung und den sicheren Betrieb der Plattform verarbeitet.

Datenminimierung: Es werden nur solche technischen Daten verarbeitet, die für den Plattform-Betrieb erforderlich sind.

Für Nutzerinhalte (InnoGPT als Auftragsverarbeiter):

Weisungsgebundene Verarbeitung: Die Verarbeitung von Nutzerinhalten erfolgt ausschließlich nach den Weisungen des Kunden als Verantwortlichem. InnoGPT stellt lediglich die technische Infrastruktur bereit.

Grundsätze-Einhaltung durch Kunden: Die Einhaltung der DSGVO-Grundsätze (Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung) für Nutzerinhalte liegt in der Verantwortung des Kunden. InnoGPT unterstützt diese technisch durch entsprechende Funktionalitäten.

Gemeinsame technische und organisatorische Maßnahmen:

Integrität und Vertraulichkeit: Angemessene technische und organisatorische Maßnahmen gewährleisten die Sicherheit aller Daten gegen unbefugte oder unrechtmäßige Verarbeitung sowie gegen unbeabsichtigten Verlust, Zerstörung oder Schädigung.

Speicherbegrenzung: Automatisierte Löschprozesse und klare Aufbewahrungsregeln werden technisch implementiert und können in Abstimmung mit InnoGPT konfiguriert werden.

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung durch InnoGPT erfolgt auf folgenden Rechtsgrundlagen:

Für technische Dienstleistungen und Nutzerverwaltung:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung der technischen Plattform, Nutzerverwaltung, Systemzugang und grundlegende Funktionalitäten.

• Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen): Systemadministration, Sicherheitsüberwachung, Fehlerdiagnose und Leistungsoptimierung im berechtigten Interesse des ordnungsgemäßen Betriebs.

Für Nutzerinhalte (Auftragsverarbeitung):

• Art. 28 DSGVO: InnoGPT verarbeitet alle von Nutzern eingegebenen oder hochgeladenen Inhalte ausschließlich als Auftragsverarbeiter auf Weisung des Kunden. Die Rechtsgrundlage für diese Verarbeitung muss vom Kunden als Verantwortlichem bestimmt und dokumentiert werden.

Wichtiger Hinweis: Kunden sind verpflichtet, für alle von ihnen in die Plattform eingegebenen personenbezogenen Daten eine gültige Rechtsgrundlage nach Art. 6 DSGVO sicherzustellen und zu dokumentieren.

Betroffenenrechte und deren Umsetzung

Die Umsetzung von Betroffenenrechten nach Art. 15-22 DSGVO teilt sich zwischen InnoGPT und dem Kunden auf:

Verantwortung von InnoGPT (technische Unterstützung):

• Bereitstellung technischer Funktionen zur Datenextraktion, Korrektur und Löschung in der Benutzeroberfläche

• Umsetzung von Löschungsanfragen des Kunden innerhalb von 48 Stunden

• Export von Nutzerdaten in strukturiertem Format (JSON) auf Anfrage des Kunden

• Protokollierung und Dokumentation durchgeführter technischer Maßnahmen

Verantwortung des Kunden (rechtliche Verpflichtung):

• Entgegennahme und rechtliche Beurteilung von Betroffenenanfragen

• Prüfung der Identität und Berechtigung der anfragenden Person

• Entscheidung über Umfang und Art der zu gewährenden Rechte

• Kommunikation mit den betroffenen Personen

• Sicherstellung der rechtmäßigen Verarbeitung im eigenen Verantwortungsbereich

Hinweis: InnoGPT kann Betroffenenanfragen, die sich auf Nutzerinhalte beziehen, nicht selbstständig beantworten, da die rechtliche Verantwortung beim Kunden liegt. Entsprechende Anfragen werden an den Kunden weitergeleitet.

3. Technische Infrastruktur und Sicherheit

Infrastruktur und Hosting-Architektur

Die Kerndatenverarbeitung erfolgt primär in der Bundesrepublik Deutschland über AWS-Rechenzentren in Frankfurt am Main. Das Frontend wird über Vercel gehostet, die Datenbank über Supabase bereitgestellt, beide nutzen AWS-Infrastruktur in Frankfurt. Bei außergewöhnlichen Lastspitzen oder technischen Störungen können temporär andere EU-Regionen genutzt werden.

Die Hosting-Architektur basiert auf cloud-nativen Services mit automatisierter Skalierung und integrierten Failover-Mechanismen. Verfügbarkeit und Datenintegrität werden durch die redundanten Systeme der Cloud-Provider gewährleistet. Sicherheitsupdates und Infrastruktursicherheit liegen in der Verantwortung der jeweiligen Provider (AWS, Vercel, Supabase), die entsprechende Zertifizierungen (ISO 27001, SOC 2 Type II) vorweisen.

Sämtliche Infrastrukturpartner (Vercel, Supabase, AWS) werden ausschließlich im Rahmen von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO eingebunden. Diese Verträge enthalten detaillierte Vorgaben zu technischen und organisatorischen Maßnahmen, Löschverpflichtungen, Auditrechten und Haftungsregelungen.

Verschlüsselung und Sicherheitsmaßnahmen

Übertragungsverschlüsselung: Sämtliche Datenübertragungen zwischen Endgeräten der Nutzer und der Plattform erfolgen über Transport Layer Security (TLS) in der Version 1.3 oder höher. Die Verschlüsselung verwendet starke Cipher-Suites und Perfect Forward Secrecy, um auch bei einer Kompromittierung privater Schlüssel die Vertraulichkeit vergangener Kommunikation zu gewährleisten.

Speicherverschlüsselung: Alle persistenten Daten werden durch die Cloud-Provider (AWS, Vercel, Supabase) mit industry-standard Verschlüsselung (AES-256) gesichert. Die Schlüsselverwaltung erfolgt über die nativen Sicherheitsdienste der jeweiligen Provider (AWS KMS, etc.) mit automatisierten Sicherheitsstandards. Sensible Authentifizierungsdaten und Session-Tokens unterliegen zusätzlichen Schutzmaßnahmen auf Anwendungsebene.

Zugriffskontrolle: Ein mehrstufiges Berechtigungskonzept regelt den Zugriff auf verschiedene Systemebenen. Administrativer Zugriff auf Produktionssysteme erfordert Multi-Faktor-Authentifizierung und ist protokolliert. Privilegierte Zugriffe werden zeitlich begrenzt und unterliegen dem Need-to-know-Prinzip.

Mandantentrennung: Die logische Isolation verschiedener Workspaces erfolgt über Row-Level-Security (RLS) auf Datenbankebene. Jeder Workspace erhält eine eindeutige Mandanten-ID, die in allen relevanten Datensätzen hinterlegt ist. Datenbankabfragen sind so implementiert, dass nur Daten des entsprechenden Mandanten abgerufen werden können.

Steuerung der KI-Modelle und internationale Übermittlungen

Workspace-Administratoren können granular festlegen, welche KI-Modelle für ihr Team verfügbar sind. Für jedes Modell wird transparent der Verarbeitungsort und die Hosting-Kategorie ausgewiesen:

Kategorie 1 - EU-Hosting/EU-Verarbeitung: Modelle, die vollständig innerhalb der Europäischen Union gehostet und verarbeitet werden. Hier findet keine Übermittlung in Drittländer statt.

Kategorie 2 - EU-Hosting/Globale Verarbeitung: Modelle, die primär in der EU gehostet werden, bei denen jedoch bei Lastspitzen eine Verarbeitung in anderen Regionen erfolgen kann. Für solche Übermittlungen bestehen Angemessenheitsbeschlüsse der EU-Kommission oder es werden Standardvertragsklauseln angewendet.

Kategorie 3 - Globales Hosting/Globale Verarbeitung: Modelle, die außerhalb der EU gehostet und verarbeitet werden. Hier erfolgen Übermittlungen in Drittländer auf Basis von Angemessenheitsbeschlüssen oder Standardvertragsklauseln mit zusätzlichen technischen und organisatorischen Maßnahmen.

Kunden können ihre Auswahl basierend auf ihren spezifischen Compliance-Anforderungen treffen.

4. Datenverarbeitung und -fluss

Detaillierte Datenflussbeschreibung

Phase 1 - Nutzeranfrage und Sicherheitsvalidierung: Die Eingabe des Nutzers wird zunächst einer automatisierten Sicherheitsprüfung unterzogen, um potentiell schädliche Inhalte oder Missbrauchsversuche zu identifizieren. Parallel erfolgt eine Authentifizierung und Autorisierung des Nutzers sowie eine Prüfung der Workspace-Berechtigungen.

Phase 2 - Kontextualisierung und Anreicherung: Das System analysiert die Anfrage im Kontext des bisherigen Gesprächsverlaufs. Dabei werden relevante Nachrichten aus der Konversationshistorie sowie passende Inhalte aus den benutzerdefinierten Erinnerungen identifiziert und zusammengestellt. Dieser Prozess erfolgt über semantische Suchverfahren und Machine Learning-Algorithmen zur Relevanzbestimmung.

Phase 3 - Modellauswahl und Übermittlung: Basierend auf der Art der Anfrage und den Workspace-Einstellungen wird das optimale KI-Modell ausgewählt. Das kontextualisierte Datenpaket wird über eine gesicherte API-Schnittstelle an den entsprechenden Modellanbieter übertragen. Dabei werden nur die für die Bearbeitung erforderlichen Daten übermittelt.

Phase 4 - Verarbeitung durch das KI-Modell: Das externe Modell verarbeitet die Anfrage unter Berücksichtigung des übermittelten Kontexts. Der Modellanbieter ist vertraglich zur sofortigen Löschung der Daten nach der Verarbeitung verpflichtet (Zero-Retention-Policy). Eine Nutzung für Trainingszwecke ist ausdrücklich untersagt.

Phase 5 - Antwortverarbeitung und Qualitätskontrolle: Die vom Modell generierte Antwort wird automatisiert auf potentiell problematische Inhalte geprüft. Anschließend erfolgt eine Formatierung für die Darstellung in der Benutzeroberfläche.

Phase 6 - Speicherung und Auslieferung: Die vollständige Konversation wird verschlüsselt in der Datenbank gespeichert, wobei sowohl die ursprüngliche Nutzeranfrage als auch die KI-Antwort erfasst werden. Die Antwort wird anschließend TLS-verschlüsselt an den Browser des Nutzers übertragen und dort angezeigt.

Tool-Integration und erweiterte Verarbeitungsszenarien

Websuche und externe Datenquellen: Wenn das KI-Modell für eine sachgerechte Antwort aktuelle Informationen benötigt, kann es die Ausführung einer Websuche anfordern. Diese erfolgt über isolierte Systeme, die keine Rückschlüsse auf den anfragenden Nutzer oder Workspace zulassen. Die Suchergebnisse werden gefiltert und anonymisiert an das Modell zurückgegeben.

Dokument-Verarbeitung (RAG-System): Hochgeladene Dokumente werden durch ein Retrieval-Augmented-Generation-System verarbeitet. Dabei wird der Dokumentinhalt in semantische Vektoren umgewandelt und in einer gesicherten Vektordatenbank gespeichert. Diese Vektoren ermöglichen es, bei späteren Anfragen relevante Dokumentpassagen zu identifizieren und in den Kontext einzubinden. Die ursprünglichen Dokumente werden verschlüsselt gespeichert.

Hybride Verarbeitungsansätze: Wenn ein KI-Modell native Funktionen zur Dokumentverarbeitung anbietet, können sowohl das interne RAG-System als auch die nativen Funktionen parallel genutzt werden. Dies optimiert die Antwortqualität und -geschwindigkeit. In allen Fällen gelten dieselben Datenschutz- und Sicherheitsstandards.

Speicherung, Aufbewahrung und Löschkonzepte

Aktive Speicherung: Konversationen werden für die kontinuierliche Nutzung durch den Nutzer gespeichert. Die Speicherung erfolgt AES-256-verschlüsselt mit mandantenspezifischer Schlüsselverwaltung. Zugriffe auf gespeicherte Daten werden vollständig protokolliert.

Inaktivitäts-basierte Löschung: Konversationen, die 180 Tage lang nicht abgerufen oder fortgeführt werden, gelten als inaktiv. Diese werden automatisiert identifiziert und unwiderruflich gelöscht.

Sofortlöschung auf Anforderung: Nutzer können jederzeit und selbstständig spezifische Konversationen löschen. Eine Löschung des gesamten Accountswird innerhalb von 48 Stunden durchgeführt und umfasst alle zugehörigen Daten und Metadaten.

Backup und Recovery: Backups werden täglich erstellt und ebenfalls verschlüsselt gespeichert. Die Aufbewahrungsdauer für Backups beträgt maximal 7 Tage, danach erfolgt eine automatische kryptographische Löschung durch Vernichtung der Verschlüsselungsschlüssel.

Zero-Retention-Policy und Vertragsgestaltung

Die Zero-Retention-Policy stellt sicher, dass keine Nutzerinhalte für Trainingszwecke verwendet werden. Diese Zusicherung ist in allen Verträgen mit Modellanbietern verankert:

Vertragsbestandteile: Explizites Verbot der Nutzung übermittelter Daten für Modelltraining, Verpflichtung zur sofortigen Löschung nach Verarbeitung, regelmäßige Auditrechte, Haftungsregelungen bei Verstößen.

Technische Durchsetzung: Zusätzlich zu den vertraglichen Vereinbarungen werden technische Maßnahmen implementiert, die eine zweckfremde Nutzung verhindern. Dazu gehören Datenmarkierung, Übertragungsprotokollierung und automatisierte Compliance-Prüfungen.

Monitoring und Compliance: Regelmäßige Überprüfungen stellen sicher, dass Modellanbieter die Vereinbarungen einhalten. Bei Verstößen greifen definierte Eskalationsverfahren bis hin zur sofortigen Beendigung der Zusammenarbeit.

5. Governance und Partnermanagement

Incident Response und Meldeverfahren

Erkennung: Automatisierte Monitoring-Systeme überwachen kontinuierlich die Systemintegrität und erkennen potentielle Sicherheitsvorfälle in Echtzeit.

Reaktion: Bei einem Incident greift ein definiertes Eskalationsverfahren. Das Incident-Response-Team wird automatisch benachrichtigt und leitet entsprechende Maßnahmen ein.

Meldepflichten: Datenschutzverletzungen werden innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet. Betroffene Personen werden unverzüglich informiert, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.

Dokumentation: Alle Incidents werden vollständig dokumentiert, einschließlich Ursache, Auswirkungen, ergriffene Maßnahmen und Lessons Learned.

Auftragsverarbeiter und Lieferantenkette

Sorgfaltsprüfung: Auftragsverarbeiter werden basierend auf etablierten Zertifizierungen, Compliance-Nachweisen und öffentlich verfügbaren Sicherheitsdokumentationen ausgewählt. Bei Cloud-Providern werden deren industry-standard Zertifizierungen (ISO 27001, SOC 2 Type II) als Qualitätsnachweis herangezogen.

Vertragsgestaltung: Auftragsverarbeitungsverträge enthalten die nach Art. 28 DSGVO erforderlichen Vorgaben zu Sicherheitsmaßnahmen, Löschverpflichtungen, Auditrechten und Unterauftragsverarbeitung.

Drittlandübermittlungen: Übermittlungen an KI-Anbieter außerhalb der EU erfolgen auf Basis von Standardvertragsklauseln mit zusätzlichen technischen und organisatorischen Maßnahmen sowie unter dem EU-U.S. Data Privacy Framework. Kunden werden über alle Drittlandübermittlungen transparent informiert.

Lieferantenkette: Unterauftragsverarbeiter unterliegen denselben Compliance-Anforderungen und werden bei Änderungen entsprechend kommuniziert.

Qualitätssicherung und Zertifizierungen

Interne Sicherheitsrichtlinien: Dokumentierte Informationssicherheits- und Datenschutzrichtlinien regeln alle relevanten Verarbeitungsprozesse und werden regelmäßig überprüft und aktualisiert.

Code Reviews und Sicherheitstests: Sämtlicher produktionsrelevanter Code durchläuft mehrstufige Reviews mit Fokus auf Sicherheit und Datenschutz. Regelmäßige Sicherheitstests validieren die Wirksamkeit der implementierten Maßnahmen.

Infrastruktur-Standards: Die Hosting-Infrastruktur basiert auf etablierten Cloud-Providern mit entsprechenden Zertifizierungen (ISO 27001, SOC 2 Type II, etc.). Durch Auftragsverarbeitungsverträge sind deren Standards auch für InnoGPT bindend.

Kontinuierliches Monitoring: Automatisierte Überwachungssysteme kontrollieren kontinuierlich die Systemintegrität, Verfügbarkeit und Sicherheit der Plattform.

Dokumentation und Prozesse: Alle datenschutz- und sicherheitsrelevanten Prozesse sind vollständig dokumentiert und werden regelmäßig auf Aktualität und Wirksamkeit überprüft.

Schulung und Sensibilisierung: Alle Mitarbeiter mit Zugang zu personenbezogenen Daten durchlaufen regelmäßige Datenschutz- und Sicherheitsschulungen.

6. Kontakt und Support

Kontakt und Ansprechpartner

Datenschutzbeauftragte:

DataGAP GmbH

Herr Markus Altenburg

Bessemerstr. 82, 10. OG Süd

12103 Berlin

Telefon: 030 – 577 10 513

E-Mail: team@datagap.de

Internet: www.datagap.de

Allgemeine Datenschutzfragen:

E-Mail: datenschutz@inno-ki.de  

Technischer Support:

Technische Fragen zur Implementierung und Konfiguration: support@innogpt.de

Letzte Aktualisierung: 12.08.2025

Deine KI für's Unternehmen.
Melde dich bei unserem Ki Newsletter an
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Software
StatusFeature RequestsAffiliate Programm
Ressourcen
Software RoadmapChangelogFeedback Board
Links
KI Blog
Jetzt starten ->
7 Tage kostenfrei testen
Mit Sales sprechen
Social Media
© 2025 Inno KI GmbH. All rights reserved.
DatenschutzImpressum