Anlage 3 zum AVV: Löschkonzept
gemäß Art. 17 DSGVO i. V. m. Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung)
Auftragnehmer: fmhconsulting · Qognio — Finn Malte Hinrichsen Stand: April 2026
1. Zweck und Geltungsbereich
(1) Dieses Löschkonzept regelt die fristgerechte und vollständige Löschung personenbezogener Daten, die im Rahmen des Qognio Bot-Service im Auftrag des Auftraggebers verarbeitet werden.
(2) Es dient der Umsetzung des Grundsatzes der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) und konkretisiert die Löschpflichten des Auftragnehmers gemäß § 6 Abs. 5 des AVV.
(3) Dieses Konzept gilt für alle personenbezogenen Daten, die im Zusammenhang mit dem Bot-Service erhoben, verarbeitet oder gespeichert werden, einschließlich Konversationsdaten, Nutzerdaten, Protokolldaten und Sicherungskopien.
2. Datenkategorien und Löschfristen
2.1 Übersicht
| Datenkategorie | Beschreibung | Standard-Löschfrist | Rechtsgrundlage der Aufbewahrung | Anpassbar |
|---|---|---|---|---|
| Konversationsdaten | Prompts, Antworten, Konversationsverläufe | 90 Tage nach Erstellung | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | Ja, individuell vereinbar |
| Hochgeladene Dokumente | Vom Nutzer bereitgestellte Dateien | 90 Tage nach letztem Zugriff | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | Ja, individuell vereinbar |
| Nutzerstammdaten | Nutzername, E-Mail, Rolle, Einstellungen | 30 Tage nach Vertragsende | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) | Nein |
| Bewerberdaten | Lebenslaufdaten, Qualifikationen, Anschreiben (sofern über den Bot verarbeitet) | 6 Monate nach Abschluss des Bewerbungsverfahrens | Berechtigtes Interesse, AGG-Frist (§ 15 Abs. 4 AGG: 2 Monate + Sicherheitszuschlag) | Nein (gesetzliche Mindestfrist) |
| Systemlogs | Zugriffsprotokolle, Fehlerprotokolle, Audit-Logs | 180 Tage nach Erstellung | Berechtigtes Interesse, IT-Sicherheit (Art. 6 Abs. 1 lit. f DSGVO) | Nein |
| Sicherungskopien (Backups) | Tägliche automatisierte Backups | 30 Tage (rollierende Löschung) | Berechtigtes Interesse, Verfügbarkeit (Art. 32 Abs. 1 lit. c DSGVO) | Nein |
| Konfigurations- und Metadaten | Bot-Konfigurationen, System Prompts | 30 Tage nach Vertragsende | Vertragserfüllung | Nein |
| Incident-Dokumentation | Vorfallberichte, Analysedaten | 3 Jahre nach Abschluss des Vorfalls | Gesetzliche Aufbewahrungspflicht, Beweissicherung | Nein |
2.2 Erläuterungen zu den Fristen
Konversationsdaten (90 Tage): Die Standardfrist von 90 Tagen ermöglicht es dem Auftraggeber, Konversationsverläufe für Qualitätssicherung, Nachvollziehbarkeit und die Beantwortung von Betroffenenanfragen zu nutzen. Auf Weisung des Auftraggebers kann diese Frist individuell verkürzt oder verlängert werden, wobei eine Verlängerung einer sachlichen Begründung bedarf und im AVV dokumentiert wird.
Bewerberdaten (6 Monate): Die Aufbewahrungsfrist von 6 Monaten berücksichtigt die Klagefrist nach dem Allgemeinen Gleichbehandlungsgesetz (AGG). Gemäß § 15 Abs. 4 AGG müssen Ansprüche innerhalb von zwei Monaten nach Zugang der Ablehnung geltend gemacht werden. Die anschließende gerichtliche Geltendmachung muss innerhalb von drei Monaten erfolgen (§ 61b ArbGG). Die Gesamtfrist von 6 Monaten beinhaltet einen Sicherheitszuschlag für postalische Zustellung und Verfahrensfristen. Diese Frist kann nicht unterschritten werden.
Systemlogs (180 Tage): Die Aufbewahrungsfrist von 180 Tagen dient der Erkennung und Aufklärung von Sicherheitsvorfällen, der Erfüllung gesetzlicher Nachweispflichten und der Unterstützung bei behördlichen Anfragen. Advanced Persistent Threats (APTs) werden häufig erst nach Monaten entdeckt, weshalb eine Aufbewahrungsdauer von unter 180 Tagen nicht angemessen wäre.
3. Löschverfahren
3.1 Reguläre Löschung (automatisiert)
(1) Die Löschung von Konversationsdaten, Logs und Backups erfolgt automatisiert durch einen täglichen Löschprozess (Cron-Job), der die jeweiligen Löschfristen überwacht und Daten nach Fristablauf unwiderruflich entfernt.
(2) Der automatisierte Löschprozess umfasst folgende Schritte:
- Identifikation: Ermittlung aller Datensätze, deren Löschfrist abgelaufen ist
- Validierung: Prüfung, ob gesetzliche Aufbewahrungspflichten der Löschung entgegenstehen
- Löschung: Unwiderrufliche Entfernung der Datensätze aus der Datenbank
- Verifizierung: Bestätigung der erfolgreichen Löschung
- Protokollierung: Dokumentation der Löschung (Datenkategorie, Anzahl Datensätze, Zeitstempel)
(3) Die Löschung auf Datenbankebene erfolgt durch DELETE-Operationen mit anschließendem VACUUM der betroffenen Tabellen, um eine physische Entfernung der Daten sicherzustellen.
3.2 Löschung bei Vertragsende
(1) Bei Beendigung des Hauptvertrages hat der Auftraggeber gemäß § 6 Abs. 5 des AVV das Wahlrecht zwischen Rückgabe und Löschung der Daten. Der Auftraggeber hat dieses Wahlrecht innerhalb von 14 Kalendertagen nach Vertragsende auszuüben.
(2) Bei Wahl der Rückgabe:
- Export aller Konversationsdaten, Konfigurationen und Nutzerdaten in einem gängigen, maschinenlesbaren Format (JSON, CSV)
- Bereitstellung der Exportdateien über einen verschlüsselten Download-Link (Gültigkeit: 7 Tage)
- Anschließende vollständige Löschung aller Daten innerhalb von 30 Tagen
(3) Bei Wahl der Löschung oder bei Nichtausübung des Wahlrechts:
- Vollständige Löschung aller personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen nach Vertragsende
- Dies umfasst: Konversationsdaten, Nutzerdaten, Konfigurationen, Dokumente und mandantenspezifische Backups
(4) Ausgenommen von der sofortigen Löschung sind:
- Systemlogs (Löschung nach Ablauf der 180-Tage-Frist)
- Incident-Dokumentation (Löschung nach Ablauf der 3-Jahres-Frist)
- Daten, deren Aufbewahrung gesetzlich vorgeschrieben ist
3.3 Löschung auf Weisung
(1) Der Auftraggeber kann jederzeit die vorzeitige Löschung einzelner Datensätze oder Datenkategorien weisen. Die Weisung ist schriftlich (auch per E-Mail) zu erteilen.
(2) Der Auftragnehmer führt die Löschung innerhalb von 5 Werktagen nach Eingang der Weisung durch und bestätigt die Löschung schriftlich.
3.4 Löschung auf Antrag Betroffener
(1) Macht eine betroffene Person ihr Recht auf Löschung gemäß Art. 17 DSGVO geltend, leitet der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiter (Art. 28 Abs. 3 Satz 2 lit. e DSGVO).
(2) Die Löschung erfolgt ausschließlich auf Weisung des Auftraggebers, da dieser als Verantwortlicher über die Zulässigkeit der Löschung entscheidet.
4. Löschverfahren nach Datenträgerart
| Datenträger/Medium | Löschverfahren | Standard |
|---|---|---|
| PostgreSQL-Datenbank | DELETE + VACUUM FULL | — |
| Dateisystem (Container-Volumes) | Sichere Löschung mit shred oder Dateisystem-TRIM |
— |
| Backup-Medien | Überschreibung durch rollierendes Backup-Schema (FIFO) | — |
| Datenträger bei Außerbetriebnahme | Kryptographisches Löschen (Zerstörung des LUKS-Schlüssels) oder physische Vernichtung | NIST SP 800-88 |
| RAM/GPU-Speicher | Automatische Bereinigung nach Session-Ende | — |
5. Verantwortlichkeiten
| Rolle | Verantwortlichkeit |
|---|---|
| Auftraggeber (Verantwortlicher) | Festlegung individueller Löschfristen (soweit abweichend vom Standard); Weisung zur Löschung; Entscheidung über Betroffenenanträge; Wahlrecht bei Vertragsende |
| Auftragnehmer — Geschäftsführung (Finn Malte Hinrichsen) | Gesamtverantwortung für die Einhaltung des Löschkonzepts; Freigabe von Änderungen am Löschkonzept |
| Auftragnehmer — Systemadministration | Implementierung und Überwachung der automatisierten Löschprozesse; Durchführung manueller Löschungen; Dokumentation der Löschvorgänge |
6. Dokumentation und Nachweis
(1) Jeder Löschvorgang wird protokolliert. Das Löschprotokoll enthält:
- Datenkategorie
- Anzahl der gelöschten Datensätze
- Mandant (anonymisiert, sofern nicht mandantenspezifisch erforderlich)
- Zeitpunkt der Löschung
- Auslöser (automatisiert / Weisung / Vertragsende / Betroffenenantrag)
- Durchführender (System / Person)
- Bestätigung der erfolgreichen Löschung
(2) Löschprotokolle werden für die Dauer von 3 Jahren aufbewahrt und dem Auftraggeber auf Anfrage zur Verfügung gestellt.
(3) Bei Vertragsende erhält der Auftraggeber eine schriftliche Löschbestätigung, die die vollständige Löschung aller personenbezogenen Daten dokumentiert.
7. Sonderfall: Daten im LLM-Kontext
(1) Das eingesetzte Sprachmodell (Qwen 3.5, 122B Parameter) speichert keine personenbezogenen Daten persistent. Die Verarbeitung erfolgt ausschließlich im Arbeitsspeicher (Inferenz).
(2) Nach Abschluss einer Konversationssession wird der Kontextspeicher des Modells automatisch gelöscht. Es findet kein Training und kein Fine-Tuning mit Kundendaten statt. Personenbezogene Daten werden daher nicht in die Modellgewichte aufgenommen.
(3) Konversationsdaten, die für die Funktionalität des Dienstes in der Datenbank gespeichert werden, unterliegen den unter Abschnitt 2 definierten Löschfristen.
8. Überprüfung und Aktualisierung
(1) Dieses Löschkonzept wird mindestens jährlich sowie bei wesentlichen Änderungen der Verarbeitungstätigkeiten überprüft und bei Bedarf aktualisiert.
(2) Änderungen werden dem Auftraggeber mitgeteilt und als aktualisierte Anlage 3 zum AVV bereitgestellt.
(3) Die Funktionsfähigkeit der automatisierten Löschprozesse wird quartalsweise getestet und dokumentiert.
Letzte Überprüfung: April 2026 Nächste planmäßige Überprüfung: April 2027
Dieses Löschkonzept ist Bestandteil des Auftragsverarbeitungsvertrages (AVV) zwischen den Parteien.