# Verzeichnis von Verarbeitungstätigkeiten (VVT)

**gemäß Art. 30 Abs. 2 DSGVO — Auftragsverarbeiter**

**Auftragsverarbeiter:** fmhconsulting · Qognio — Finn Malte Hinrichsen
**Stand:** April 2026
**Version:** 1.0

---

## 1. Angaben zum Auftragsverarbeiter

| Feld | Angabe |
|------|--------|
| Name / Firma | Finn Malte Hinrichsen, fmhconsulting · Qognio |
| Anschrift | Gärtnerstraße 105, 20253 Hamburg |
| USt-IdNr. | DE281644997 |
| Kontakt | info@qognio.com, +49 176 88499977 |
| Ansprechpartner Datenschutz | Finn Malte Hinrichsen, datenschutz@qognio.com |
| Datenschutzbeauftragter | Nicht bestellt (§ 38 BDSG — Voraussetzungen nicht erfüllt) |
| Vertreter (Art. 30 Abs. 2 lit. a) | Nicht anwendbar (Niederlassung in der EU) |

---

## 2. Verzeichnis der Verarbeitungstätigkeiten

### VT-01: Bereitstellung des KI-Bot-Service (Inferenz)

| Feld | Angabe |
|------|--------|
| **Bezeichnung** | Bereitstellung und Betrieb des KI-gestützten Assistenzsystems |
| **Verantwortlicher (Auftraggeber)** | _[Kundenname]_ — gemäß jeweiligem AVV |
| **Kategorien von Verarbeitungen** | Erheben, Speichern, Auslesen, Verwenden, Offenlegen durch Übermittlung (an den Auftraggeber), Löschen |
| **Beschreibung** | Entgegennahme von Nutzeranfragen (Prompts), Verarbeitung durch das Self-Hosted LLM (Qwen 3.5, 122B), Generierung und Rückgabe von Antworten. Die Verarbeitung erfolgt ausschließlich zur Inferenz — kein Training oder Fine-Tuning mit Kundendaten. |
| **Kategorien betroffener Personen** | Mitarbeitende des Auftraggebers, Bewerberinnen und Bewerber, Kunden/Geschäftspartner des Auftraggebers, sonstige Personen (je nach Eingabe des Auftraggebers) |
| **Kategorien personenbezogener Daten** | Stammdaten, Kontaktdaten, Beschäftigungsdaten, Kommunikationsdaten (Konversationsverläufe), Dokumentendaten, Bewerbungsdaten, Nutzungsdaten |
| **Empfänger der Daten** | Auftraggeber (über verschlüsselte Schnittstelle); keine weiteren Empfänger |
| **Übermittlung in Drittland** | **Nein** — gesamte Verarbeitung in Deutschland (Rechenzentrum Schleswig-Holstein) |
| **Löschfristen** | Konversationsdaten: 90 Tage (Standard); Nutzerdaten: 30 Tage nach Vertragsende — vgl. Löschkonzept (Anlage 3 zum AVV) |
| **TOMs** | Gemäß Anlage 1 zum AVV (TOMs) |

---

### VT-02: Speicherung von Konversationsdaten

| Feld | Angabe |
|------|--------|
| **Bezeichnung** | Speicherung von Konversationsverläufen und zugehörigen Metadaten |
| **Verantwortlicher (Auftraggeber)** | _[Kundenname]_ — gemäß jeweiligem AVV |
| **Kategorien von Verarbeitungen** | Speichern, Organisieren, Auslesen, Löschen |
| **Beschreibung** | Persistente Speicherung der Konversationsverläufe (Eingaben und Ausgaben) in einer mandantengetrennten PostgreSQL-Datenbank zur Nachvollziehbarkeit, Qualitätssicherung und Funktionalität des Dienstes. |
| **Kategorien betroffener Personen** | Alle Personen, deren Daten in Konversationen eingegeben werden |
| **Kategorien personenbezogener Daten** | Kommunikationsdaten, Nutzungsdaten (Zeitstempel, pseudonymisierte Nutzerkennung), ggf. in Konversationen enthaltene Stamm-, Kontakt-, Beschäftigungs- und Bewerbungsdaten |
| **Empfänger der Daten** | Auftraggeber (Einsicht in eigene Konversationsdaten); keine weiteren Empfänger |
| **Übermittlung in Drittland** | **Nein** |
| **Löschfristen** | 90 Tage nach Erstellung (Standard, individuell anpassbar) — vgl. Löschkonzept (Anlage 3) |
| **TOMs** | Verschlüsselung (TLS 1.3, LUKS), Mandantentrennung, Zugriffskontrolle — vgl. Anlage 1 |

---

### VT-03: Nutzerverwaltung

| Feld | Angabe |
|------|--------|
| **Bezeichnung** | Verwaltung von Nutzerkonten und Berechtigungen |
| **Verantwortlicher (Auftraggeber)** | _[Kundenname]_ — gemäß jeweiligem AVV |
| **Kategorien von Verarbeitungen** | Erheben, Speichern, Anpassen, Auslesen, Löschen |
| **Beschreibung** | Anlegen, Verwalten und Löschen von Nutzerkonten des Auftraggebers für den Zugang zum Bot-Service. Verwaltung von Rollen und Berechtigungen. |
| **Kategorien betroffener Personen** | Mitarbeitende des Auftraggebers mit Zugang zum Bot-Service |
| **Kategorien personenbezogener Daten** | Nutzername, E-Mail-Adresse, Rolle/Berechtigung, Erstellungsdatum, letzter Login |
| **Empfänger der Daten** | Auftraggeber (Administration); keine weiteren Empfänger |
| **Übermittlung in Drittland** | **Nein** |
| **Löschfristen** | 30 Tage nach Vertragsende — vgl. Löschkonzept (Anlage 3) |
| **TOMs** | MFA, RBAC, Verschlüsselung — vgl. Anlage 1 |

---

### VT-04: Dokumentenverarbeitung

| Feld | Angabe |
|------|--------|
| **Bezeichnung** | Verarbeitung hochgeladener Dokumente |
| **Verantwortlicher (Auftraggeber)** | _[Kundenname]_ — gemäß jeweiligem AVV |
| **Kategorien von Verarbeitungen** | Erheben, Speichern, Auslesen, Verwenden, Löschen |
| **Beschreibung** | Entgegennahme, temporäre Speicherung und Analyse von Dokumenten, die vom Auftraggeber bzw. dessen Nutzern hochgeladen werden (z. B. Lebensläufe, Arbeitsverträge, Richtliniendokumente). |
| **Kategorien betroffener Personen** | Personen, deren Daten in hochgeladenen Dokumenten enthalten sind |
| **Kategorien personenbezogener Daten** | Sämtliche in den Dokumenten enthaltenen personenbezogenen Daten (je nach Dokumenteninhalt) |
| **Empfänger der Daten** | Auftraggeber; keine weiteren Empfänger |
| **Übermittlung in Drittland** | **Nein** |
| **Löschfristen** | 90 Tage nach letztem Zugriff — vgl. Löschkonzept (Anlage 3) |
| **TOMs** | Verschlüsselung, Mandantentrennung, Zugriffskontrolle — vgl. Anlage 1 |

---

### VT-05: Logging und Monitoring

| Feld | Angabe |
|------|--------|
| **Bezeichnung** | System- und Anwendungsprotokollierung |
| **Verantwortlicher (Auftraggeber)** | Auftragnehmer (eigene berechtigte Interessen: IT-Sicherheit, Verfügbarkeit, Nachweispflichten) |
| **Kategorien von Verarbeitungen** | Erheben, Speichern, Auslesen, Löschen |
| **Beschreibung** | Erstellung und Speicherung von System-, Zugriffs- und Audit-Logs zur Gewährleistung der IT-Sicherheit, zur Erkennung von Anomalien und zur Erfüllung von Nachweispflichten. Logs werden in append-only-Dateien geschrieben. |
| **Kategorien betroffener Personen** | Nutzer des Bot-Service, Administratoren |
| **Kategorien personenbezogener Daten** | Pseudonymisierte Nutzerkennungen, Zeitstempel, IP-Adressen (pseudonymisiert), Aktionstypen, Fehlermeldungen |
| **Empfänger der Daten** | Auftragnehmer (Systemadministration); Auftraggeber auf Anfrage (mandantenspezifische Logs) |
| **Übermittlung in Drittland** | **Nein** |
| **Löschfristen** | 180 Tage — vgl. Löschkonzept (Anlage 3) |
| **TOMs** | Append-only-Logs, Zugriffsbeschränkung, Verschlüsselung — vgl. Anlage 1 |

---

### VT-06: Backup und Wiederherstellung

| Feld | Angabe |
|------|--------|
| **Bezeichnung** | Datensicherung und Wiederherstellung |
| **Verantwortlicher (Auftraggeber)** | Auftragnehmer (Pflicht gemäß Art. 32 Abs. 1 lit. c DSGVO) |
| **Kategorien von Verarbeitungen** | Speichern, Einschränken, Löschen |
| **Beschreibung** | Tägliche automatisierte Sicherung aller Mandantendaten an einen geographisch getrennten Standort (innerhalb Deutschlands). Verschlüsselte Speicherung der Backups. Rollierendes Löschverfahren (30 Tage). |
| **Kategorien betroffener Personen** | Alle im Rahmen der anderen Verarbeitungstätigkeiten betroffenen Personen |
| **Kategorien personenbezogener Daten** | Alle im Rahmen der anderen Verarbeitungstätigkeiten verarbeiteten Datenkategorien |
| **Empfänger der Daten** | Keine (Backups dienen ausschließlich der Wiederherstellung) |
| **Übermittlung in Drittland** | **Nein** |
| **Löschfristen** | 30 Tage (rollierend) — vgl. Löschkonzept (Anlage 3) |
| **TOMs** | Verschlüsselung (LUKS), geographische Trennung, Zugriffsbeschränkung, quartalsweise Restore-Tests — vgl. Anlage 1 |

---

## 3. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 2 lit. d DSGVO)

Eine detaillierte Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO findet sich in **Anlage 1 zum AVV (TOMs)**. Zusammenfassend:

| Schutzziel | Maßnahmen (Auswahl) |
|-----------|---------------------|
| **Vertraulichkeit** | TLS 1.3, WireGuard VPN, LUKS Full-Disk Encryption, MFA, RBAC, Mandantentrennung (Container + DB), Vertraulichkeitsverpflichtung |
| **Integrität** | Audit-Logging (append-only), Eingabekontrolle, Input-/Output-Filterung |
| **Verfügbarkeit** | Tägliche Backups, geographisch getrennte Backup-Speicherung, 24/7-Monitoring, USV, RTO 4h / RPO 24h |
| **Belastbarkeit** | Containerisierte Architektur, Ressourcenlimitierung, DDoS-Schutz (Traefik) |
| **Überprüfbarkeit** | Jährliche Audits, quartalsweise Backup-Tests, DSFA, Incident-Response-Plan |

---

## 4. Unterauftragsverarbeiter (Art. 30 Abs. 2 lit. b, c DSGVO)

Die Kern-Verarbeitungsleistungen des Bot-Service erfolgen **ausschließlich auf eigener Infrastruktur** im Rechenzentrum Schleswig-Holstein. Für die Zahlungsabwicklung (Billing) wird ein Unterauftragsverarbeiter eingesetzt:

| Unterauftragsverarbeiter | Zweck | Rechtsgrundlage Drittlandtransfer |
|--------------------------|-------|-----------------------------------|
| **Stripe Payments Europe, Ltd.** (Dublin, IE) | Abwicklung von Zahlungen, Abo-Management, Rechnungsstellung | EU-US Data Privacy Framework (Art. 45 DSGVO) + Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) |

Einzelheiten und Datenkategorien: Anlage 2 zum AVV (Dokument 03, Verzeichnis der Unterauftragsverarbeiter).

---

## 5. Übermittlungen in Drittländer (Art. 30 Abs. 2 lit. c DSGVO)

Sämtliche Bot- und KI-Inferenz-Verarbeitungen finden ausschließlich in **Deutschland (Schleswig-Holstein)** statt. Im Rahmen der Zahlungsabwicklung durch Stripe kann es zu einer Datenübermittlung in die USA kommen; diese ist durch den EU-US Data Privacy Framework (Angemessenheitsbeschluss, Art. 45 DSGVO) und ergänzende Standardvertragsklauseln (Art. 46 DSGVO) abgesichert.

**Playground / externe Modellprovider (optional):** Wenn der Betreiber im Qognio Playground explizit externe Modelle (z.B. OpenRouter) aktiviert oder eigene API-Keys hinterlegt („Bring Your Own Key"), können Eingaben an den jeweils gewählten Drittland-Provider übermittelt werden. In diesem Fall fungiert der Betreiber selbst als Verantwortlicher gegenüber dem externen Provider; Qognio klärt den Betreiber hierüber vor Aktivierung auf.

---

## 6. Überprüfung und Aktualisierung

**(1)** Dieses Verzeichnis wird mindestens **jährlich** sowie bei wesentlichen Änderungen der Verarbeitungstätigkeiten überprüft und aktualisiert.

**(2)** Das Verzeichnis wird der zuständigen Aufsichtsbehörde auf Anfrage gemäß Art. 30 Abs. 4 DSGVO zur Verfügung gestellt.

---

**Letzte Überprüfung:** April 2026
**Nächste planmäßige Überprüfung:** April 2027

---

_Erstellt gemäß Art. 30 Abs. 2 DSGVO für den Auftragsverarbeiter fmhconsulting · Qognio._