# Datenschutzerklärung für den Qognio Bot-Service

**Informationen gemäß Art. 13 und 14 DSGVO**

**Stand:** April 2026

---

## 1. Verantwortlicher und Auftragsverarbeiter

### 1.1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten im Rahmen der Nutzung des Qognio Bot-Service ist der jeweilige **Auftraggeber** (Ihr Arbeitgeber bzw. die Organisation, die den Dienst bereitstellt):

_[Kundenname]_
_[Anschrift]_
_[Datenschutzbeauftragter/Ansprechpartner: Kontaktdaten]_

### 1.2 Auftragsverarbeiter

Die technische Bereitstellung und den Betrieb des Bot-Service übernimmt als Auftragsverarbeiter:

**Finn Malte Hinrichsen**
fmhconsulting · Qognio
Gärtnerstraße 105
20253 Hamburg

E-Mail: datenschutz@qognio.com
Telefon: +49 176 88499977

Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrages (AVV) gemäß Art. 28 DSGVO.

---

## 2. Welche Daten werden verarbeitet?

Im Rahmen der Nutzung des Qognio Bot-Service werden folgende personenbezogene Daten verarbeitet:

### 2.1 Daten, die Sie direkt eingeben

| Datenkategorie | Beschreibung |
|---------------|-------------|
| **Konversationsdaten** | Ihre Eingaben (Prompts), Fragen und Anfragen an den KI-Assistenten sowie die generierten Antworten |
| **Dokumentendaten** | Von Ihnen hochgeladene Dokumente und deren Inhalte |

### 2.2 Daten, die automatisch erhoben werden

| Datenkategorie | Beschreibung |
|---------------|-------------|
| **Nutzungsdaten** | Zeitstempel der Nutzung, Dauer der Interaktion |
| **Technische Daten** | Pseudonymisierte IP-Adresse, Browsertyp (sofern webbasierter Zugang) |
| **Authentifizierungsdaten** | Nutzername, Anmeldezeitpunkte |

### 2.3 Daten, die über Sie eingegeben werden können

Abhängig vom Einsatzzweck des Bot-Service (z. B. HR-Bereich) können durch andere Nutzer des Dienstes personenbezogene Daten über Sie eingegeben werden, beispielsweise:

- Stammdaten (Name, Anrede)
- Kontaktdaten (E-Mail, Telefon)
- Beschäftigungsdaten (Position, Abteilung)
- Bewerbungsdaten (Lebenslauf, Qualifikationen)

---

## 3. Zwecke und Rechtsgrundlagen der Verarbeitung

| Zweck | Rechtsgrundlage |
|-------|----------------|
| Bereitstellung und Betrieb des KI-Assistenten | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Beantwortung Ihrer Anfragen durch den KI-Assistenten | Art. 6 Abs. 1 lit. b DSGVO |
| Durchführung des Beschäftigungsverhältnisses (HR-Kontext) | § 26 Abs. 1 BDSG i. V. m. Art. 88 DSGVO |
| Durchführung des Bewerbungsverfahrens | § 26 Abs. 1 BDSG |
| Systemprotokollierung und IT-Sicherheit | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit und Verfügbarkeit des Dienstes) |
| Qualitätssicherung und Fehlerbehebung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Verbesserung der Dienstqualität) |

**Wichtig:** Der KI-Assistent wird **nicht** für automatisierte Einzelentscheidungen im Sinne von Art. 22 DSGVO eingesetzt. Alle Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung (z. B. Einstellungsentscheidungen, Beförderungen) werden von Menschen getroffen. Die KI-Ausgaben dienen ausschließlich der Unterstützung und Entscheidungsvorbereitung.

---

## 4. Empfänger der Daten

### 4.1 Interne Empfänger

Ihre Daten sind für die vom Verantwortlichen (Auftraggeber) autorisierten Nutzer des Bot-Service zugänglich, soweit dies für den jeweiligen Verarbeitungszweck erforderlich ist. Eine mandantengetrennte Zugriffskontrolle stellt sicher, dass nur berechtigte Personen Zugriff haben.

### 4.2 Auftragsverarbeiter

Die technische Verarbeitung erfolgt durch fmhconsulting · Qognio als Auftragsverarbeiter. Der Zugriff auf Ihre Daten durch den Auftragsverarbeiter ist auf das für die technische Bereitstellung und Wartung des Dienstes erforderliche Minimum beschränkt.

### 4.3 Weitergabe an Dritte

Ihre inhaltlichen Daten (Konversationen, Dokumente, Bot-Konfigurationen) werden **nicht** an sonstige Dritte weitergegeben, verkauft oder für andere Zwecke verwendet.

Für die **Zahlungsabwicklung (Billing)** setzt Qognio den Unterauftragsverarbeiter **Stripe Payments Europe, Ltd.** (Dublin, Irland) ein. Stripe erhält zur Durchführung von Abonnements und Rechnungsstellung die hierfür erforderlichen Stamm- und Zahlungsdaten. Kreditkartendaten werden ausschließlich durch Stripe (PCI-DSS Level 1 zertifiziert) entgegengenommen und nicht an Qognio übertragen. Details siehe **Dokument 03 (Unterauftragsverarbeiter-Verzeichnis)**.

---

## 5. Datenübermittlung in Drittländer

Konversationen, Bot-Daten und KI-Inferenz werden durch Qognio selbst ausschließlich auf Servern im **eigenen Rechenzentrum in Schleswig-Holstein (Deutschland)** verarbeitet und gespeichert. Der Auftragsverarbeiter nutzt **keine externen Cloud-Dienste** (kein AWS, Azure, GCP, Oracle oder vergleichbare Anbieter) für den Bot- und KI-Betrieb.

Im Rahmen der Zahlungsabwicklung durch Stripe kann es technisch bedingt zu einer Übermittlung von Stamm- und Zahlungsdaten in die USA kommen. Grundlage dieses Transfers ist der Angemessenheitsbeschluss der EU-Kommission unter dem **EU-US Data Privacy Framework (DPF)** (Art. 45 DSGVO); ergänzend sind **Standardvertragsklauseln (SCC, Art. 46 Abs. 2 lit. c DSGVO)** Teil des Stripe-AVV.

Soweit der Verantwortliche (Auftraggeber) optionale **Content-Connectoren** zu Dropbox oder Microsoft SharePoint aktiviert (siehe Abschnitt 6a), kann hierdurch ein Datenfluss in die USA entstehen. Dropbox, Inc. und Microsoft Corporation sind jeweils unter dem EU-US Data Privacy Framework zertifiziert; ergänzend gelten Standardvertragsklauseln nach Art. 46 DSGVO. Connectoren zu IMAP-Mailboxen des Verantwortlichen bzw. zu öffentlichen Web-Inhalten lösen keine zusätzliche Auftragsverarbeiter-Beziehung über Qognio hinaus aus.

**Playground / externe KI-Provider (optional, nur auf Initiative des Nutzers):**
Im Qognio Playground kann der Nutzer seines Tarifs optional externe KI-Provider (z.B. OpenRouter, OpenAI, Anthropic) aktivieren oder eigene API-Keys hinterlegen („Bring Your Own Key"). In diesen Fällen werden die Eingaben des Nutzers an den jeweils ausgewählten Drittland-Provider übermittelt, was den Datenschutzbestimmungen des gewählten Providers unterliegt. Der Nutzer wird vor Aktivierung transparent hierüber informiert; ohne diese aktive Auswahl erfolgt kein Transfer an externe KI-Provider.

---

## 6. Einsatz von Künstlicher Intelligenz

### 6.1 Eingesetztes KI-System

Der Bot-Service nutzt ein Large Language Model (LLM) der Modellreihe **Qwen 3.5** (122 Milliarden Parameter) zur Verarbeitung und Beantwortung Ihrer Anfragen. Das Modell wird auf **eigener, dedizierter Hardware** des Auftragsverarbeiters in Deutschland betrieben (Self-Hosted).

### 6.2 Kein Training mit Ihren Daten

Das KI-Modell wird **nicht** mit Ihren Daten trainiert oder fine-getuned. Ihre Eingaben dienen ausschließlich der **Inferenz** — das heißt, der Generierung einer Antwort auf Ihre konkrete Anfrage. Ihre Daten fließen nicht in die Modellgewichte ein und beeinflussen nicht die Antworten des Modells für andere Nutzer.

### 6.3 Keine mandantenübergreifende Verarbeitung

Konversationen verschiedener Mandanten (Organisationen) werden strikt getrennt verarbeitet und gespeichert. Es gibt keine gemeinsame Nutzung von Konversationskontexten zwischen verschiedenen Mandanten.

### 6.4 Transparenzhinweis

Sämtliche Antworten des Dienstes werden als **KI-generiert** gekennzeichnet. KI-generierte Inhalte können Fehler enthalten und sollten vor der Verwendung für Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung von Menschen überprüft werden.

---

## 6a. Verbindbare Datenquellen (Content-Connectoren)

Der Qognio Bot-Service bietet dem Verantwortlichen (Auftraggeber) die Möglichkeit, pro Bot optional externe Datenquellen — sogenannte **Content-Connectoren** — anzubinden, aus denen der Bot Dokumente in seine Wissensbasis übernimmt. Ob und welche Datenquellen verbunden werden, entscheidet ausschließlich der Verantwortliche.

### 6a.1 Unterstützte Connector-Typen

| Connector-Typ | Anbieter / Quelle | Verarbeitungsort | Hinweis |
|---------------|-------------------|------------------|---------|
| **Dropbox** | Dropbox, Inc., USA | USA (Drittland) — Dropbox ist unter dem EU-US Data Privacy Framework zertifiziert; zusätzlich gelten Standardvertragsklauseln (Art. 46 DSGVO) | Nur vom Verantwortlichen ausdrücklich freigegebene Ordner werden gelesen |
| **Microsoft SharePoint / Microsoft Graph** | Microsoft Corporation, USA (EU-Vertretung: Microsoft Ireland Operations Ltd.) | EU-Datacenter (Standard) oder USA, abhängig von der M365-Konfiguration des Verantwortlichen; Microsoft ist unter dem EU-US Data Privacy Framework zertifiziert; zusätzlich Standardvertragsklauseln (Art. 46 DSGVO) | Nur vom Verantwortlichen ausgewählte Sites/Drives werden gelesen |
| **E-Mail-Connector (IMAP)** | Vom Verantwortlichen beauftragter Mail-Provider | Abhängig vom Mail-Provider des Verantwortlichen | Der Mail-Provider ist kein Unterauftragsverarbeiter von Qognio; die datenschutzrechtliche Beziehung zum Mail-Provider regelt der Verantwortliche |
| **HTTP-Web-Crawler** | Öffentlich verfügbare Webseiten bzw. vom Verantwortlichen benannte URLs | Abhängig von der Quelle | Kein Zugriff auf passwortgeschützte Inhalte; der Verantwortliche verantwortet die Zulässigkeit des Abrufs |

### 6a.2 Was passiert technisch?

- Aktivierung eines Connectors erfolgt durch den Verantwortlichen über einen OAuth-Consent-Flow bzw. die Eingabe von IMAP-Zugangsdaten im Portal
- Zugangsdaten (Access-Token, Refresh-Token, IMAP-Passwort) werden **verschlüsselt** (AES-256-GCM) im Qognio-Backend gespeichert
- Abgerufene Dokumente werden in der Wissensbasis des jeweiligen Bots indexiert und stehen ausschließlich diesem Bot zur Verfügung — keine mandantenübergreifende Nutzung
- Der Verantwortliche kann einen Connector jederzeit widerrufen; dabei werden Tokens und indexierte Dokumente aus dem Qognio-Backend entfernt

### 6a.3 Drittland-Transfer bei Dropbox und Microsoft

Bei Nutzung von Dropbox bzw. Microsoft SharePoint kann ein Transfer personenbezogener Daten in die USA stattfinden. Rechtsgrundlage hierfür ist der Angemessenheitsbeschluss der EU-Kommission unter dem **EU-US Data Privacy Framework (DPF)** gemäß Art. 45 DSGVO sowie ergänzend **Standardvertragsklauseln** gemäß Art. 46 Abs. 2 lit. c DSGVO. Details zu diesen Unterauftragsverarbeitern sind in **Dokument 03 (Unterauftragsverarbeiter-Verzeichnis)** dokumentiert.

### 6a.4 Verantwortlichkeit für die Auswahl der Quellen

Die Entscheidung, welche Ordner, Postfächer oder URLs an einen Bot angebunden werden, trifft ausschließlich der **Verantwortliche** (Auftraggeber). Der Verantwortliche stellt sicher, dass für die jeweiligen Datenbestände eine geeignete Rechtsgrundlage (z. B. Einwilligung, § 26 BDSG, berechtigtes Interesse) besteht und dass keine unzulässigen personenbezogenen Daten indexiert werden. Qognio unterstützt hierbei durch Minimal-Scope-Defaults und Audit-Protokolle, übernimmt jedoch keine inhaltliche Prüfung der freigegebenen Datenbestände.

---

## 7. Speicherdauer

| Datenkategorie | Speicherdauer | Begründung |
|---------------|-------------|-----------|
| Konversationsdaten | **90 Tage** nach Erstellung (individuell anpassbar) | Qualitätssicherung, Nachvollziehbarkeit |
| Hochgeladene Dokumente | **90 Tage** nach letztem Zugriff | Funktionalität des Dienstes |
| Nutzerstammdaten | **30 Tage** nach Vertragsende | Vertragsabwicklung |
| Bewerberdaten | **6 Monate** nach Abschluss des Bewerbungsverfahrens | Gesetzliche Frist (§ 15 Abs. 4 AGG, § 61b ArbGG) |
| Systemlogs | **180 Tage** | IT-Sicherheit, Nachweispflichten |
| Sicherungskopien | **30 Tage** (rollierend) | Verfügbarkeit |

Nach Ablauf der Speicherdauer werden Ihre Daten automatisiert und unwiderruflich gelöscht. Einzelheiten regelt das Löschkonzept (Anlage 3 zum AVV).

---

## 8. Ihre Rechte

Sie haben als betroffene Person folgende Rechte, die Sie gegenüber dem **Verantwortlichen** (Ihrem Arbeitgeber / der bereitstellenden Organisation) geltend machen können:

| Recht | Rechtsgrundlage | Beschreibung |
|-------|----------------|-------------|
| **Auskunft** | Art. 15 DSGVO | Sie können Auskunft darüber verlangen, welche personenbezogenen Daten über Sie verarbeitet werden. |
| **Berichtigung** | Art. 16 DSGVO | Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen. |
| **Löschung** | Art. 17 DSGVO | Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. |
| **Einschränkung** | Art. 18 DSGVO | Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen. |
| **Datenübertragbarkeit** | Art. 20 DSGVO | Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. |
| **Widerspruch** | Art. 21 DSGVO | Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. |
| **Keine automatisierte Einzelentscheidung** | Art. 22 DSGVO | Sie haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden. |

### Ansprechpartner für die Ausübung Ihrer Rechte

Bitte wenden Sie sich zur Ausübung Ihrer Rechte an den **Verantwortlichen** (Ihren Arbeitgeber / die bereitstellende Organisation). Der Auftragsverarbeiter (Qognio) unterstützt den Verantwortlichen bei der Erfüllung Ihrer Rechte.

---

## 9. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Die für den Auftragsverarbeiter zuständige Aufsichtsbehörde ist:

**Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit**
Ludwig-Erhard-Straße 22, 7. OG
20459 Hamburg

E-Mail: mailbox@datenschutz.hamburg.de
Telefon: +49 40 428 54 4040
Website: https://datenschutz-hamburg.de

Sie können sich auch an die für den Verantwortlichen (Ihren Arbeitgeber) zuständige Aufsichtsbehörde wenden.

---

## 10. Pflicht zur Bereitstellung der Daten

Die Bereitstellung Ihrer personenbezogenen Daten bei der Nutzung des Bot-Service ist weder gesetzlich noch vertraglich vorgeschrieben. Die Eingabe personenbezogener Daten in den KI-Assistenten erfolgt freiwillig. Ohne die Eingabe von Daten kann der Bot-Service jedoch seine Funktion nicht oder nur eingeschränkt erfüllen.

---

## 11. Automatisierte Entscheidungsfindung und Profiling

Es findet **keine automatisierte Entscheidungsfindung** im Sinne von Art. 22 Abs. 1 DSGVO statt. Der KI-Assistent generiert Vorschläge und Informationen, die ausschließlich der Entscheidungsunterstützung dienen. Endgültige Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung werden stets von Menschen getroffen.

Ein Profiling im Sinne von Art. 4 Nr. 4 DSGVO findet nicht statt.

---

## 12. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann bei Änderungen des Dienstes oder der Rechtslage aktualisiert werden. Über wesentliche Änderungen wird der Verantwortliche (Auftraggeber) informiert, der seinerseits die betroffenen Personen informiert.

---

**Stand:** April 2026

---

_Diese Datenschutzerklärung bezieht sich auf den Qognio Bot-Service und ist Bestandteil des Dokumentensets zum Auftragsverarbeitungsvertrag (AVV)._