Datenschutzerklärung für den Qognio Bot-Service
Informationen gemäß Art. 13 und 14 DSGVO
Stand: April 2026
1. Verantwortlicher und Auftragsverarbeiter
1.1 Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten im Rahmen der Nutzung des Qognio Bot-Service ist der jeweilige Auftraggeber (Ihr Arbeitgeber bzw. die Organisation, die den Dienst bereitstellt):
[Kundenname] [Anschrift] [Datenschutzbeauftragter/Ansprechpartner: Kontaktdaten]
1.2 Auftragsverarbeiter
Die technische Bereitstellung und den Betrieb des Bot-Service übernimmt als Auftragsverarbeiter:
Finn Malte Hinrichsen fmhconsulting · Qognio Gärtnerstraße 105 20253 Hamburg
E-Mail: datenschutz@qognio.com Telefon: +49 176 88499977
Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrages (AVV) gemäß Art. 28 DSGVO.
2. Welche Daten werden verarbeitet?
Im Rahmen der Nutzung des Qognio Bot-Service werden folgende personenbezogene Daten verarbeitet:
2.1 Daten, die Sie direkt eingeben
| Datenkategorie | Beschreibung |
|---|---|
| Konversationsdaten | Ihre Eingaben (Prompts), Fragen und Anfragen an den KI-Assistenten sowie die generierten Antworten |
| Dokumentendaten | Von Ihnen hochgeladene Dokumente und deren Inhalte |
2.2 Daten, die automatisch erhoben werden
| Datenkategorie | Beschreibung |
|---|---|
| Nutzungsdaten | Zeitstempel der Nutzung, Dauer der Interaktion |
| Technische Daten | Pseudonymisierte IP-Adresse, Browsertyp (sofern webbasierter Zugang) |
| Authentifizierungsdaten | Nutzername, Anmeldezeitpunkte |
2.3 Daten, die über Sie eingegeben werden können
Abhängig vom Einsatzzweck des Bot-Service (z. B. HR-Bereich) können durch andere Nutzer des Dienstes personenbezogene Daten über Sie eingegeben werden, beispielsweise:
- Stammdaten (Name, Anrede)
- Kontaktdaten (E-Mail, Telefon)
- Beschäftigungsdaten (Position, Abteilung)
- Bewerbungsdaten (Lebenslauf, Qualifikationen)
3. Zwecke und Rechtsgrundlagen der Verarbeitung
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung und Betrieb des KI-Assistenten | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Beantwortung Ihrer Anfragen durch den KI-Assistenten | Art. 6 Abs. 1 lit. b DSGVO |
| Durchführung des Beschäftigungsverhältnisses (HR-Kontext) | § 26 Abs. 1 BDSG i. V. m. Art. 88 DSGVO |
| Durchführung des Bewerbungsverfahrens | § 26 Abs. 1 BDSG |
| Systemprotokollierung und IT-Sicherheit | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit und Verfügbarkeit des Dienstes) |
| Qualitätssicherung und Fehlerbehebung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Verbesserung der Dienstqualität) |
Wichtig: Der KI-Assistent wird nicht für automatisierte Einzelentscheidungen im Sinne von Art. 22 DSGVO eingesetzt. Alle Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung (z. B. Einstellungsentscheidungen, Beförderungen) werden von Menschen getroffen. Die KI-Ausgaben dienen ausschließlich der Unterstützung und Entscheidungsvorbereitung.
4. Empfänger der Daten
4.1 Interne Empfänger
Ihre Daten sind für die vom Verantwortlichen (Auftraggeber) autorisierten Nutzer des Bot-Service zugänglich, soweit dies für den jeweiligen Verarbeitungszweck erforderlich ist. Eine mandantengetrennte Zugriffskontrolle stellt sicher, dass nur berechtigte Personen Zugriff haben.
4.2 Auftragsverarbeiter
Die technische Verarbeitung erfolgt durch fmhconsulting · Qognio als Auftragsverarbeiter. Der Zugriff auf Ihre Daten durch den Auftragsverarbeiter ist auf das für die technische Bereitstellung und Wartung des Dienstes erforderliche Minimum beschränkt.
4.3 Weitergabe an Dritte
Ihre inhaltlichen Daten (Konversationen, Dokumente, Bot-Konfigurationen) werden nicht an sonstige Dritte weitergegeben, verkauft oder für andere Zwecke verwendet.
Für die Zahlungsabwicklung (Billing) setzt Qognio den Unterauftragsverarbeiter Stripe Payments Europe, Ltd. (Dublin, Irland) ein. Stripe erhält zur Durchführung von Abonnements und Rechnungsstellung die hierfür erforderlichen Stamm- und Zahlungsdaten. Kreditkartendaten werden ausschließlich durch Stripe (PCI-DSS Level 1 zertifiziert) entgegengenommen und nicht an Qognio übertragen. Details siehe Dokument 03 (Unterauftragsverarbeiter-Verzeichnis).
5. Datenübermittlung in Drittländer
Konversationen, Bot-Daten und KI-Inferenz werden durch Qognio selbst ausschließlich auf Servern im eigenen Rechenzentrum in Schleswig-Holstein (Deutschland) verarbeitet und gespeichert. Der Auftragsverarbeiter nutzt keine externen Cloud-Dienste (kein AWS, Azure, GCP, Oracle oder vergleichbare Anbieter) für den Bot- und KI-Betrieb.
Im Rahmen der Zahlungsabwicklung durch Stripe kann es technisch bedingt zu einer Übermittlung von Stamm- und Zahlungsdaten in die USA kommen. Grundlage dieses Transfers ist der Angemessenheitsbeschluss der EU-Kommission unter dem EU-US Data Privacy Framework (DPF) (Art. 45 DSGVO); ergänzend sind Standardvertragsklauseln (SCC, Art. 46 Abs. 2 lit. c DSGVO) Teil des Stripe-AVV.
Soweit der Verantwortliche (Auftraggeber) optionale Content-Connectoren zu Dropbox oder Microsoft SharePoint aktiviert (siehe Abschnitt 6a), kann hierdurch ein Datenfluss in die USA entstehen. Dropbox, Inc. und Microsoft Corporation sind jeweils unter dem EU-US Data Privacy Framework zertifiziert; ergänzend gelten Standardvertragsklauseln nach Art. 46 DSGVO. Connectoren zu IMAP-Mailboxen des Verantwortlichen bzw. zu öffentlichen Web-Inhalten lösen keine zusätzliche Auftragsverarbeiter-Beziehung über Qognio hinaus aus.
Playground / externe KI-Provider (optional, nur auf Initiative des Nutzers): Im Qognio Playground kann der Nutzer seines Tarifs optional externe KI-Provider (z.B. OpenRouter, OpenAI, Anthropic) aktivieren oder eigene API-Keys hinterlegen („Bring Your Own Key”). In diesen Fällen werden die Eingaben des Nutzers an den jeweils ausgewählten Drittland-Provider übermittelt, was den Datenschutzbestimmungen des gewählten Providers unterliegt. Der Nutzer wird vor Aktivierung transparent hierüber informiert; ohne diese aktive Auswahl erfolgt kein Transfer an externe KI-Provider.
6. Einsatz von Künstlicher Intelligenz
6.1 Eingesetztes KI-System
Der Bot-Service nutzt ein Large Language Model (LLM) der Modellreihe Qwen 3.5 (122 Milliarden Parameter) zur Verarbeitung und Beantwortung Ihrer Anfragen. Das Modell wird auf eigener, dedizierter Hardware des Auftragsverarbeiters in Deutschland betrieben (Self-Hosted).
6.2 Kein Training mit Ihren Daten
Das KI-Modell wird nicht mit Ihren Daten trainiert oder fine-getuned. Ihre Eingaben dienen ausschließlich der Inferenz — das heißt, der Generierung einer Antwort auf Ihre konkrete Anfrage. Ihre Daten fließen nicht in die Modellgewichte ein und beeinflussen nicht die Antworten des Modells für andere Nutzer.
6.3 Keine mandantenübergreifende Verarbeitung
Konversationen verschiedener Mandanten (Organisationen) werden strikt getrennt verarbeitet und gespeichert. Es gibt keine gemeinsame Nutzung von Konversationskontexten zwischen verschiedenen Mandanten.
6.4 Transparenzhinweis
Sämtliche Antworten des Dienstes werden als KI-generiert gekennzeichnet. KI-generierte Inhalte können Fehler enthalten und sollten vor der Verwendung für Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung von Menschen überprüft werden.
6a. Verbindbare Datenquellen (Content-Connectoren)
Der Qognio Bot-Service bietet dem Verantwortlichen (Auftraggeber) die Möglichkeit, pro Bot optional externe Datenquellen — sogenannte Content-Connectoren — anzubinden, aus denen der Bot Dokumente in seine Wissensbasis übernimmt. Ob und welche Datenquellen verbunden werden, entscheidet ausschließlich der Verantwortliche.
6a.1 Unterstützte Connector-Typen
| Connector-Typ | Anbieter / Quelle | Verarbeitungsort | Hinweis |
|---|---|---|---|
| Dropbox | Dropbox, Inc., USA | USA (Drittland) — Dropbox ist unter dem EU-US Data Privacy Framework zertifiziert; zusätzlich gelten Standardvertragsklauseln (Art. 46 DSGVO) | Nur vom Verantwortlichen ausdrücklich freigegebene Ordner werden gelesen |
| Microsoft SharePoint / Microsoft Graph | Microsoft Corporation, USA (EU-Vertretung: Microsoft Ireland Operations Ltd.) | EU-Datacenter (Standard) oder USA, abhängig von der M365-Konfiguration des Verantwortlichen; Microsoft ist unter dem EU-US Data Privacy Framework zertifiziert; zusätzlich Standardvertragsklauseln (Art. 46 DSGVO) | Nur vom Verantwortlichen ausgewählte Sites/Drives werden gelesen |
| E-Mail-Connector (IMAP) | Vom Verantwortlichen beauftragter Mail-Provider | Abhängig vom Mail-Provider des Verantwortlichen | Der Mail-Provider ist kein Unterauftragsverarbeiter von Qognio; die datenschutzrechtliche Beziehung zum Mail-Provider regelt der Verantwortliche |
| HTTP-Web-Crawler | Öffentlich verfügbare Webseiten bzw. vom Verantwortlichen benannte URLs | Abhängig von der Quelle | Kein Zugriff auf passwortgeschützte Inhalte; der Verantwortliche verantwortet die Zulässigkeit des Abrufs |
6a.2 Was passiert technisch?
- Aktivierung eines Connectors erfolgt durch den Verantwortlichen über einen OAuth-Consent-Flow bzw. die Eingabe von IMAP-Zugangsdaten im Portal
- Zugangsdaten (Access-Token, Refresh-Token, IMAP-Passwort) werden verschlüsselt (AES-256-GCM) im Qognio-Backend gespeichert
- Abgerufene Dokumente werden in der Wissensbasis des jeweiligen Bots indexiert und stehen ausschließlich diesem Bot zur Verfügung — keine mandantenübergreifende Nutzung
- Der Verantwortliche kann einen Connector jederzeit widerrufen; dabei werden Tokens und indexierte Dokumente aus dem Qognio-Backend entfernt
6a.3 Drittland-Transfer bei Dropbox und Microsoft
Bei Nutzung von Dropbox bzw. Microsoft SharePoint kann ein Transfer personenbezogener Daten in die USA stattfinden. Rechtsgrundlage hierfür ist der Angemessenheitsbeschluss der EU-Kommission unter dem EU-US Data Privacy Framework (DPF) gemäß Art. 45 DSGVO sowie ergänzend Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Details zu diesen Unterauftragsverarbeitern sind in Dokument 03 (Unterauftragsverarbeiter-Verzeichnis) dokumentiert.
6a.4 Verantwortlichkeit für die Auswahl der Quellen
Die Entscheidung, welche Ordner, Postfächer oder URLs an einen Bot angebunden werden, trifft ausschließlich der Verantwortliche (Auftraggeber). Der Verantwortliche stellt sicher, dass für die jeweiligen Datenbestände eine geeignete Rechtsgrundlage (z. B. Einwilligung, § 26 BDSG, berechtigtes Interesse) besteht und dass keine unzulässigen personenbezogenen Daten indexiert werden. Qognio unterstützt hierbei durch Minimal-Scope-Defaults und Audit-Protokolle, übernimmt jedoch keine inhaltliche Prüfung der freigegebenen Datenbestände.
7. Speicherdauer
| Datenkategorie | Speicherdauer | Begründung |
|---|---|---|
| Konversationsdaten | 90 Tage nach Erstellung (individuell anpassbar) | Qualitätssicherung, Nachvollziehbarkeit |
| Hochgeladene Dokumente | 90 Tage nach letztem Zugriff | Funktionalität des Dienstes |
| Nutzerstammdaten | 30 Tage nach Vertragsende | Vertragsabwicklung |
| Bewerberdaten | 6 Monate nach Abschluss des Bewerbungsverfahrens | Gesetzliche Frist (§ 15 Abs. 4 AGG, § 61b ArbGG) |
| Systemlogs | 180 Tage | IT-Sicherheit, Nachweispflichten |
| Sicherungskopien | 30 Tage (rollierend) | Verfügbarkeit |
Nach Ablauf der Speicherdauer werden Ihre Daten automatisiert und unwiderruflich gelöscht. Einzelheiten regelt das Löschkonzept (Anlage 3 zum AVV).
8. Ihre Rechte
Sie haben als betroffene Person folgende Rechte, die Sie gegenüber dem Verantwortlichen (Ihrem Arbeitgeber / der bereitstellenden Organisation) geltend machen können:
| Recht | Rechtsgrundlage | Beschreibung |
|---|---|---|
| Auskunft | Art. 15 DSGVO | Sie können Auskunft darüber verlangen, welche personenbezogenen Daten über Sie verarbeitet werden. |
| Berichtigung | Art. 16 DSGVO | Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen. |
| Löschung | Art. 17 DSGVO | Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. |
| Einschränkung | Art. 18 DSGVO | Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen. |
| Datenübertragbarkeit | Art. 20 DSGVO | Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. |
| Widerspruch | Art. 21 DSGVO | Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. |
| Keine automatisierte Einzelentscheidung | Art. 22 DSGVO | Sie haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden. |
Ansprechpartner für die Ausübung Ihrer Rechte
Bitte wenden Sie sich zur Ausübung Ihrer Rechte an den Verantwortlichen (Ihren Arbeitgeber / die bereitstellende Organisation). Der Auftragsverarbeiter (Qognio) unterstützt den Verantwortlichen bei der Erfüllung Ihrer Rechte.
9. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Die für den Auftragsverarbeiter zuständige Aufsichtsbehörde ist:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Ludwig-Erhard-Straße 22, 7. OG 20459 Hamburg
E-Mail: mailbox@datenschutz.hamburg.de Telefon: +49 40 428 54 4040 Website: https://datenschutz-hamburg.de
Sie können sich auch an die für den Verantwortlichen (Ihren Arbeitgeber) zuständige Aufsichtsbehörde wenden.
10. Pflicht zur Bereitstellung der Daten
Die Bereitstellung Ihrer personenbezogenen Daten bei der Nutzung des Bot-Service ist weder gesetzlich noch vertraglich vorgeschrieben. Die Eingabe personenbezogener Daten in den KI-Assistenten erfolgt freiwillig. Ohne die Eingabe von Daten kann der Bot-Service jedoch seine Funktion nicht oder nur eingeschränkt erfüllen.
11. Automatisierte Entscheidungsfindung und Profiling
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 Abs. 1 DSGVO statt. Der KI-Assistent generiert Vorschläge und Informationen, die ausschließlich der Entscheidungsunterstützung dienen. Endgültige Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung werden stets von Menschen getroffen.
Ein Profiling im Sinne von Art. 4 Nr. 4 DSGVO findet nicht statt.
12. Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung kann bei Änderungen des Dienstes oder der Rechtslage aktualisiert werden. Über wesentliche Änderungen wird der Verantwortliche (Auftraggeber) informiert, der seinerseits die betroffenen Personen informiert.
Stand: April 2026
Diese Datenschutzerklärung bezieht sich auf den Qognio Bot-Service und ist Bestandteil des Dokumentensets zum Auftragsverarbeitungsvertrag (AVV).