Verzeichnis von Verarbeitungstätigkeiten (VVT)
gemäß Art. 30 Abs. 2 DSGVO — Auftragsverarbeiter
Auftragsverarbeiter: fmhconsulting · Qognio — Finn Malte Hinrichsen Stand: April 2026 Version: 1.0
1. Angaben zum Auftragsverarbeiter
| Feld | Angabe |
|---|---|
| Name / Firma | Finn Malte Hinrichsen, fmhconsulting · Qognio |
| Anschrift | Gärtnerstraße 105, 20253 Hamburg |
| USt-IdNr. | DE281644997 |
| Kontakt | info@qognio.com, +49 176 88499977 |
| Ansprechpartner Datenschutz | Finn Malte Hinrichsen, datenschutz@qognio.com |
| Datenschutzbeauftragter | Nicht bestellt (§ 38 BDSG — Voraussetzungen nicht erfüllt) |
| Vertreter (Art. 30 Abs. 2 lit. a) | Nicht anwendbar (Niederlassung in der EU) |
2. Verzeichnis der Verarbeitungstätigkeiten
VT-01: Bereitstellung des KI-Bot-Service (Inferenz)
| Feld | Angabe |
|---|---|
| Bezeichnung | Bereitstellung und Betrieb des KI-gestützten Assistenzsystems |
| Verantwortlicher (Auftraggeber) | [Kundenname] — gemäß jeweiligem AVV |
| Kategorien von Verarbeitungen | Erheben, Speichern, Auslesen, Verwenden, Offenlegen durch Übermittlung (an den Auftraggeber), Löschen |
| Beschreibung | Entgegennahme von Nutzeranfragen (Prompts), Verarbeitung durch das Self-Hosted LLM (Qwen 3.5, 122B), Generierung und Rückgabe von Antworten. Die Verarbeitung erfolgt ausschließlich zur Inferenz — kein Training oder Fine-Tuning mit Kundendaten. |
| Kategorien betroffener Personen | Mitarbeitende des Auftraggebers, Bewerberinnen und Bewerber, Kunden/Geschäftspartner des Auftraggebers, sonstige Personen (je nach Eingabe des Auftraggebers) |
| Kategorien personenbezogener Daten | Stammdaten, Kontaktdaten, Beschäftigungsdaten, Kommunikationsdaten (Konversationsverläufe), Dokumentendaten, Bewerbungsdaten, Nutzungsdaten |
| Empfänger der Daten | Auftraggeber (über verschlüsselte Schnittstelle); keine weiteren Empfänger |
| Übermittlung in Drittland | Nein — gesamte Verarbeitung in Deutschland (Rechenzentrum Schleswig-Holstein) |
| Löschfristen | Konversationsdaten: 90 Tage (Standard); Nutzerdaten: 30 Tage nach Vertragsende — vgl. Löschkonzept (Anlage 3 zum AVV) |
| TOMs | Gemäß Anlage 1 zum AVV (TOMs) |
VT-02: Speicherung von Konversationsdaten
| Feld | Angabe |
|---|---|
| Bezeichnung | Speicherung von Konversationsverläufen und zugehörigen Metadaten |
| Verantwortlicher (Auftraggeber) | [Kundenname] — gemäß jeweiligem AVV |
| Kategorien von Verarbeitungen | Speichern, Organisieren, Auslesen, Löschen |
| Beschreibung | Persistente Speicherung der Konversationsverläufe (Eingaben und Ausgaben) in einer mandantengetrennten PostgreSQL-Datenbank zur Nachvollziehbarkeit, Qualitätssicherung und Funktionalität des Dienstes. |
| Kategorien betroffener Personen | Alle Personen, deren Daten in Konversationen eingegeben werden |
| Kategorien personenbezogener Daten | Kommunikationsdaten, Nutzungsdaten (Zeitstempel, pseudonymisierte Nutzerkennung), ggf. in Konversationen enthaltene Stamm-, Kontakt-, Beschäftigungs- und Bewerbungsdaten |
| Empfänger der Daten | Auftraggeber (Einsicht in eigene Konversationsdaten); keine weiteren Empfänger |
| Übermittlung in Drittland | Nein |
| Löschfristen | 90 Tage nach Erstellung (Standard, individuell anpassbar) — vgl. Löschkonzept (Anlage 3) |
| TOMs | Verschlüsselung (TLS 1.3, LUKS), Mandantentrennung, Zugriffskontrolle — vgl. Anlage 1 |
VT-03: Nutzerverwaltung
| Feld | Angabe |
|---|---|
| Bezeichnung | Verwaltung von Nutzerkonten und Berechtigungen |
| Verantwortlicher (Auftraggeber) | [Kundenname] — gemäß jeweiligem AVV |
| Kategorien von Verarbeitungen | Erheben, Speichern, Anpassen, Auslesen, Löschen |
| Beschreibung | Anlegen, Verwalten und Löschen von Nutzerkonten des Auftraggebers für den Zugang zum Bot-Service. Verwaltung von Rollen und Berechtigungen. |
| Kategorien betroffener Personen | Mitarbeitende des Auftraggebers mit Zugang zum Bot-Service |
| Kategorien personenbezogener Daten | Nutzername, E-Mail-Adresse, Rolle/Berechtigung, Erstellungsdatum, letzter Login |
| Empfänger der Daten | Auftraggeber (Administration); keine weiteren Empfänger |
| Übermittlung in Drittland | Nein |
| Löschfristen | 30 Tage nach Vertragsende — vgl. Löschkonzept (Anlage 3) |
| TOMs | MFA, RBAC, Verschlüsselung — vgl. Anlage 1 |
VT-04: Dokumentenverarbeitung
| Feld | Angabe |
|---|---|
| Bezeichnung | Verarbeitung hochgeladener Dokumente |
| Verantwortlicher (Auftraggeber) | [Kundenname] — gemäß jeweiligem AVV |
| Kategorien von Verarbeitungen | Erheben, Speichern, Auslesen, Verwenden, Löschen |
| Beschreibung | Entgegennahme, temporäre Speicherung und Analyse von Dokumenten, die vom Auftraggeber bzw. dessen Nutzern hochgeladen werden (z. B. Lebensläufe, Arbeitsverträge, Richtliniendokumente). |
| Kategorien betroffener Personen | Personen, deren Daten in hochgeladenen Dokumenten enthalten sind |
| Kategorien personenbezogener Daten | Sämtliche in den Dokumenten enthaltenen personenbezogenen Daten (je nach Dokumenteninhalt) |
| Empfänger der Daten | Auftraggeber; keine weiteren Empfänger |
| Übermittlung in Drittland | Nein |
| Löschfristen | 90 Tage nach letztem Zugriff — vgl. Löschkonzept (Anlage 3) |
| TOMs | Verschlüsselung, Mandantentrennung, Zugriffskontrolle — vgl. Anlage 1 |
VT-05: Logging und Monitoring
| Feld | Angabe |
|---|---|
| Bezeichnung | System- und Anwendungsprotokollierung |
| Verantwortlicher (Auftraggeber) | Auftragnehmer (eigene berechtigte Interessen: IT-Sicherheit, Verfügbarkeit, Nachweispflichten) |
| Kategorien von Verarbeitungen | Erheben, Speichern, Auslesen, Löschen |
| Beschreibung | Erstellung und Speicherung von System-, Zugriffs- und Audit-Logs zur Gewährleistung der IT-Sicherheit, zur Erkennung von Anomalien und zur Erfüllung von Nachweispflichten. Logs werden in append-only-Dateien geschrieben. |
| Kategorien betroffener Personen | Nutzer des Bot-Service, Administratoren |
| Kategorien personenbezogener Daten | Pseudonymisierte Nutzerkennungen, Zeitstempel, IP-Adressen (pseudonymisiert), Aktionstypen, Fehlermeldungen |
| Empfänger der Daten | Auftragnehmer (Systemadministration); Auftraggeber auf Anfrage (mandantenspezifische Logs) |
| Übermittlung in Drittland | Nein |
| Löschfristen | 180 Tage — vgl. Löschkonzept (Anlage 3) |
| TOMs | Append-only-Logs, Zugriffsbeschränkung, Verschlüsselung — vgl. Anlage 1 |
VT-06: Backup und Wiederherstellung
| Feld | Angabe |
|---|---|
| Bezeichnung | Datensicherung und Wiederherstellung |
| Verantwortlicher (Auftraggeber) | Auftragnehmer (Pflicht gemäß Art. 32 Abs. 1 lit. c DSGVO) |
| Kategorien von Verarbeitungen | Speichern, Einschränken, Löschen |
| Beschreibung | Tägliche automatisierte Sicherung aller Mandantendaten an einen geographisch getrennten Standort (innerhalb Deutschlands). Verschlüsselte Speicherung der Backups. Rollierendes Löschverfahren (30 Tage). |
| Kategorien betroffener Personen | Alle im Rahmen der anderen Verarbeitungstätigkeiten betroffenen Personen |
| Kategorien personenbezogener Daten | Alle im Rahmen der anderen Verarbeitungstätigkeiten verarbeiteten Datenkategorien |
| Empfänger der Daten | Keine (Backups dienen ausschließlich der Wiederherstellung) |
| Übermittlung in Drittland | Nein |
| Löschfristen | 30 Tage (rollierend) — vgl. Löschkonzept (Anlage 3) |
| TOMs | Verschlüsselung (LUKS), geographische Trennung, Zugriffsbeschränkung, quartalsweise Restore-Tests — vgl. Anlage 1 |
3. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 2 lit. d DSGVO)
Eine detaillierte Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO findet sich in Anlage 1 zum AVV (TOMs). Zusammenfassend:
| Schutzziel | Maßnahmen (Auswahl) |
|---|---|
| Vertraulichkeit | TLS 1.3, WireGuard VPN, LUKS Full-Disk Encryption, MFA, RBAC, Mandantentrennung (Container + DB), Vertraulichkeitsverpflichtung |
| Integrität | Audit-Logging (append-only), Eingabekontrolle, Input-/Output-Filterung |
| Verfügbarkeit | Tägliche Backups, geographisch getrennte Backup-Speicherung, 24/7-Monitoring, USV, RTO 4h / RPO 24h |
| Belastbarkeit | Containerisierte Architektur, Ressourcenlimitierung, DDoS-Schutz (Traefik) |
| Überprüfbarkeit | Jährliche Audits, quartalsweise Backup-Tests, DSFA, Incident-Response-Plan |
4. Unterauftragsverarbeiter (Art. 30 Abs. 2 lit. b, c DSGVO)
Die Kern-Verarbeitungsleistungen des Bot-Service erfolgen ausschließlich auf eigener Infrastruktur im Rechenzentrum Schleswig-Holstein. Für die Zahlungsabwicklung (Billing) wird ein Unterauftragsverarbeiter eingesetzt:
| Unterauftragsverarbeiter | Zweck | Rechtsgrundlage Drittlandtransfer |
|---|---|---|
| Stripe Payments Europe, Ltd. (Dublin, IE) | Abwicklung von Zahlungen, Abo-Management, Rechnungsstellung | EU-US Data Privacy Framework (Art. 45 DSGVO) + Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) |
Einzelheiten und Datenkategorien: Anlage 2 zum AVV (Dokument 03, Verzeichnis der Unterauftragsverarbeiter).
5. Übermittlungen in Drittländer (Art. 30 Abs. 2 lit. c DSGVO)
Sämtliche Bot- und KI-Inferenz-Verarbeitungen finden ausschließlich in Deutschland (Schleswig-Holstein) statt. Im Rahmen der Zahlungsabwicklung durch Stripe kann es zu einer Datenübermittlung in die USA kommen; diese ist durch den EU-US Data Privacy Framework (Angemessenheitsbeschluss, Art. 45 DSGVO) und ergänzende Standardvertragsklauseln (Art. 46 DSGVO) abgesichert.
Playground / externe Modellprovider (optional): Wenn der Betreiber im Qognio Playground explizit externe Modelle (z.B. OpenRouter) aktiviert oder eigene API-Keys hinterlegt („Bring Your Own Key”), können Eingaben an den jeweils gewählten Drittland-Provider übermittelt werden. In diesem Fall fungiert der Betreiber selbst als Verantwortlicher gegenüber dem externen Provider; Qognio klärt den Betreiber hierüber vor Aktivierung auf.
6. Überprüfung und Aktualisierung
(1) Dieses Verzeichnis wird mindestens jährlich sowie bei wesentlichen Änderungen der Verarbeitungstätigkeiten überprüft und aktualisiert.
(2) Das Verzeichnis wird der zuständigen Aufsichtsbehörde auf Anfrage gemäß Art. 30 Abs. 4 DSGVO zur Verfügung gestellt.
Letzte Überprüfung: April 2026 Nächste planmäßige Überprüfung: April 2027
Erstellt gemäß Art. 30 Abs. 2 DSGVO für den Auftragsverarbeiter fmhconsulting · Qognio.