Datenschutzerklärung
Datenschutzerklärung für die meinGPT Plattform gemäß DSGVO
Datenschutzerklärung
Stand: 01. Juni 2025
1. Verantwortlicher
SelectCode GmbH
Bahnhofstr. 15
82024 Taufkirchen
Deutschland
Kontakt:
E-Mail: datenschutz@meingpt.com
Telefon: +49 89 54198646
Website: https://meingpt.com
Geschäftsführung: Florian Baader, Reiner Conrad
Datenschutzbeauftragter:
heyData GmbH
Schützenstr. 5
10117 Berlin
E-Mail: datenschutz@heydata.eu
Zuständige Aufsichtsbehörde:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
2. Übersicht der Verarbeitungen
Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung unserer B2B KI-Plattform meinGPT.
Wichtiger Hinweis für Unternehmenskunden: Als Administrator sind Sie verantwortlich für die datenschutzkonforme Nutzung innerhalb Ihrer Organisation, insbesondere bei der Verarbeitung von Mitarbeiterdaten. Eine Datenschutz-Folgenabschätzung (DPIA) kann erforderlich sein.
Verarbeitete Datenarten
- Bestandsdaten (Namen, Firmenadressen, Handelsregisterdaten)
- Kontaktdaten (geschäftliche E-Mail, Telefonnummern)
- Inhaltsdaten (KI-Chat-Eingaben, hochgeladene Dokumente, API-Anfragen)
- Nutzungsdaten (Zugriffzeiten, Funktionsnutzung, API-Calls)
- Meta-/Kommunikationsdaten (IP-Adressen, Browser-Informationen)
- Vertragsdaten (Vertragsgegenstand, Laufzeit, Lizenzmodell)
- Zahlungsdaten (Rechnungsadresse, Zahlungshistorie via Stripe)
- Mitarbeiter-Metadaten (aggregierte Nutzungsstatistiken, niemals Inhalte)
- Newsletter-/Webinar-Daten (Anmeldungen, Teilnahmelisten)
Betroffene Personen
- Administratoren und Hauptansprechpartner von Kundenunternehmen
- Endnutzer (Mitarbeiter unserer Geschäftskunden)
- API-Nutzer und Entwickler
- Newsletter-Abonnenten
- Webinar-Teilnehmer
- Website-Besucher
3. Rechtsgrundlagen
Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b) DSGVO: Vertragserfüllung und vorvertragliche Anfragen
- Art. 6 Abs. 1 lit. f) DSGVO: Berechtigte Interessen (z.B. IT-Sicherheit, Betrugsprävention)
- Art. 6 Abs. 1 lit. a) DSGVO: Einwilligung (für optionale Funktionen)
- Art. 6 Abs. 1 lit. c) DSGVO: Rechtliche Verpflichtungen
4. Zwecke der Datenverarbeitung
4.1 Bereitstellung der meinGPT-Plattform
Verarbeitete Daten:
- Registrierungsdaten (Name, E-Mail, Unternehmen)
- Anmeldedaten
- Chat-Verläufe und KI-Interaktionen
- Hochgeladene Dateien und Dokumente
Zweck:
- Bereitstellung der KI-Services
- Speicherung von Chat-Verläufen
- Dokumentenverarbeitung
- Workflow-Automatisierung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung)
Speicherdauer:
- Chat-Verläufe: 12 Monate nach letzter Aktivität
- Hochgeladene Dokumente: 12 Monate nach Upload
- Automatische Löschung nach Ablauf
4.2 Benutzerverwaltung und Authentifizierung
Verarbeitete Daten:
- E-Mail-Adresse
- Passwort (verschlüsselt)
- IP-Adresse bei Anmeldung
- Sitzungsdaten
Zweck:
- Sichere Authentifizierung
- Verwaltung von Zugriffsrechten
- Multi-Faktor-Authentifizierung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO
Speicherdauer:
- Während der Vertragslaufzeit
- 30 Tage nach Vertragsende (Karenzzeit)
- Danach vollständige Löschung
4.3 Abrechnung und Zahlungsabwicklung
Verarbeitete Daten:
- Firmendaten und Rechnungsadresse
- Ansprechpartner für Rechnungen
- Zahlungshistorie
- Credit-Verbrauch und Nutzungsvolumen
- Transaktionsdaten über Stripe
Zweck:
- Abrechnung der genutzten Services
- Buchhaltung und Steuererklärungen
- Bonitätsprüfung bei Großkunden
- Betrugsverhinderung
Rechtsgrundlage:
- Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung)
- Art. 6 Abs. 1 lit. c) DSGVO (Rechtliche Verpflichtung)
- Art. 6 Abs. 1 lit. f) DSGVO (Berechtigte Interessen für Betrugsprävention)
Speicherdauer: 10 Jahre gemäß § 147 AO und § 257 HGB
4.4 Mitarbeiter-Nutzungsanalysen (B2B)
ACHTUNG Datenschutz-Risiko: Die Verarbeitung von Mitarbeiter-Nutzungsdaten ist datenschutzrechtlich hochsensibel. Administratoren müssen vor Aktivierung dieser Funktionen eine eigene Rechtsgrundlage schaffen (z.B. Betriebsvereinbarung).
Verarbeitete Daten:
- Aggregierte Nutzungsstatistiken (Anzahl Chats, Token-Verbrauch)
- Workflow-Nutzung pro Abteilung
- KEINE Chatinhalte oder individuelle Auswertungen
- Anonymisierte Leistungsindikatoren
Zweck:
- Lizenzmanagement für Unternehmenskunden
- Abteilungsweise Nutzungsübersicht
- ROI-Analysen für KI-Einsatz
Rechtsgrundlage:
- Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung mit Unternehmen)
- Art. 88 DSGVO i.V.m. § 26 BDSG (Beschäftigtendatenschutz - Verantwortung beim Kunden)
Speicherdauer:
- Maximal 6 Monate
- Automatische Löschung älterer Daten
- Nur aggregierte Daten, keine Einzelpersonen-Auswertung
Datenschutzgarantien:
- Keine Einzelauswertungen möglich
- Mindestgruppengröße von 5 Personen
- Opt-out-Möglichkeit für Unternehmen
- Privacy-by-Default: Funktion ist standardmäßig deaktiviert
5. Empfänger und Kategorien von Empfängern
5.1 KI-Modell-Anbieter
Je nach gewähltem Datenschutz-Level werden Ihre Daten an folgende Kategorien von Anbietern übermittelt:
Level 1 - EU Only:
- Ausschließlich EU-Anbieter (z.B. Mistral AI, Aleph Alpha)
- Keine Datenübermittlung außerhalb der EU
Level 2 - EU Hosting:
- Anbieter mit Servern in der EU
- Inkl. EU-Töchter von US-Konzernen (z.B. Microsoft Azure)
Level 3 - Worldwide mit DPF:
- Zusätzlich US-Anbieter mit Data Privacy Framework Zertifizierung
- OpenAI, Anthropic, Google, Microsoft Azure
Level 4 - Worldwide + PII Filter:
- Alle Anbieter mit automatischer Filterung personenbezogener Daten
Die konkrete Liste der Anbieter für Ihr gewähltes Level finden Sie in Ihrem Auftragsverarbeitungsvertrag (AVV).
5.2 Infrastruktur-Dienstleister
- Hetzner Online GmbH (Hosting, Deutschland)
- Zweck: Server-Hosting, Datenbanken, Storage
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO
- Serverstandort: Deutschland (Nürnberg, Falkenstein)
- ISO 27001 zertifiziert
5.3 Weitere Dienstleister
DPO-Hinweis: Für alle nachfolgenden Dienstleister müssen aktuelle Auftragsverarbeitungsverträge vorliegen. Bei US-Anbietern ist die DPF-Zertifizierung zu prüfen.
Zahlungsabwicklung
- Stripe (USA/Irland)
- Zweck: Zahlungsabwicklung, Rechnungsstellung
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO
- Drittlandtransfer: ✅ EU-Niederlassung (Stripe Technology Europe Ltd., Dublin)
- Schutzmaßnahmen: EU-Datenverarbeitung möglich, DPF-zertifiziert
Support & Helpdesk
- ProductLane GmbH (Deutschland) ✅
- Zweck: Kundenservice, Support-Tickets
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO
- Sitz: München, Deutschland
- EU-Datenverarbeitung: Garantiert
Marketing & Kommunikation
- Loops (USA)
- Zweck: Newsletter-Versand, Marketing-E-Mails
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung)
- Double-Opt-In: Implementiert
- Drittlandtransfer: Standardvertragsklauseln + zusätzliche Schutzmaßnahmen
Formulare & Umfragen
- Tally (Belgien) ✅
- Zweck: Formulare, Umfragen, Anmeldungen
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO
- EU-Datenverarbeitung garantiert
Webinare & Online-Events
- Microsoft Teams (USA/EU)
- Zweck: Webinar-Durchführung
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung)
- Besonderheit: EU-Datencenter verfügbar, aber Teilnehmerdaten können in USA verarbeitet werden
Integrationen
- Google Workspace (USA/EU)
- Microsoft 365 (USA/EU)
- Zweck: Optional durch Kunden aktivierbare Integrationen
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO
- Hinweis: Kunden müssen eigene DPAs mit diesen Anbietern haben
6. Drittlandtransfers
Bei Nutzung von KI-Modellen außerhalb der EU (Level 3 und 4) erfolgen Datenübermittlungen in Drittländer auf Basis folgender Garantien:
- EU-US Data Privacy Framework (für US-Anbieter)
- Standardvertragsklauseln der EU-Kommission
- Ihre explizite Einwilligung bei Level 4
Bei Drittlandtransfers besteht trotz Schutzmaßnahmen ein Restrisiko, da die Rechtslage in Drittländern von EU-Standards abweichen kann.
7. Keine Verwendung für KI-Training
Wichtige Garantie: Ihre Daten werden von uns und unseren Auftragsverarbeitern nicht für das Training von KI-Modellen verwendet. Dies ist vertraglich mit allen Anbietern vereinbart.
8. Ihre Rechte als betroffene Person
Sie haben folgende Rechte:
8.1 Auskunftsrecht (Art. 15 DSGVO)
Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen.
8.2 Berichtigungsrecht (Art. 16 DSGVO)
Sie können die Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten verlangen.
8.3 Löschungsrecht (Art. 17 DSGVO)
Sie können die Löschung Ihrer personenbezogenen Daten verlangen ("Recht auf Vergessenwerden").
8.4 Einschränkungsrecht (Art. 18 DSGVO)
Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
8.5 Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
8.6 Widerspruchsrecht (Art. 21 DSGVO)
Sie können der Verarbeitung Ihrer Daten widersprechen.
8.7 Widerrufsrecht bei Einwilligung
Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.
8.8 Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
So können Sie Ihre Rechte ausüben:
- Self-Service-Portal: https://app.meingpt.com/settings/privacy
- Alternativ:
- E-Mail an: datenschutz@heydata.eu
- Bearbeitungsfrist: maximal 1 Monat
9. Cookies und Tracking
Wir verwenden nur technisch notwendige Cookies:
- Session-Cookies: Zur Aufrechterhaltung Ihrer Anmeldung
- Laufzeit: Bis zum Schließen des Browsers
- Zweck: Authentifizierung
- Präferenz-Cookies: Für Ihre Einstellungen (Sprache, Theme)
- Laufzeit: 12 Monate
- Zweck: Benutzererfahrung
Keine Tracking-Cookies: Wir verwenden keine Analyse- oder Marketing-Cookies.
10. Speicherfristen im Überblick
Administrator-gesteuerte Aufbewahrung (B2B)
Volle Kontrolle für Ihre Organisation: Als B2B-Plattform ermöglichen wir Ihren Administratoren, Aufbewahrungsfristen gemäß Ihren Unternehmensrichtlinien, Compliance-Anforderungen und geschäftlichen Bedürfnissen selbst festzulegen.
Verfügbare Retention-Optionen
Datentyp | Admin-Optionen | Standard (wenn nicht konfiguriert) | Hinweise |
---|---|---|---|
Geschäftsdaten | |||
Chat-Verläufe & KI-Interaktionen | 30 Tage bis unbegrenzt | 12 Monate | Admin wählbar per Kategorie |
Hochgeladene Dokumente | 30 Tage bis unbegrenzt | 12 Monate | Separate Einstellung möglich |
Workflow-Daten | 30 Tage bis unbegrenzt | 12 Monate | Abhängig von Geschäftsprozessen |
Technische Daten | |||
API-Logs | 7-90 Tage | 30 Tage | Für Debugging & Abrechnung |
Sicherheitslogs (IP-Adressen) | 7-180 Tage | 90 Tage | Compliance-Anforderungen beachten |
Nicht konfigurierbar | |||
Rechnungsdaten | 10 Jahre (gesetzlich) | - | § 147 AO, § 257 HGB |
Vertragsdaten | 6 Jahre nach Ende | - | Verjährungsfristen |
Account-Basisdaten | Vertragslaufzeit + 30 Tage | - | Wiederherstellungsperiode |
So funktioniert die Admin-Kontrolle
- Globale Policies: Unternehmensweite Standardeinstellungen
- Kategoriebasiert: Unterschiedliche Fristen für verschiedene Datentypen
- Abteilungsspezifisch: Optional verschiedene Policies pro Abteilung
- Compliance-Dashboard:
- Übersicht aller Retention-Einstellungen
- Warnungen bei ungewöhnlich langen Fristen
- Audit-Log aller Änderungen
Rechtliche Verantwortung
Wichtig für Administratoren: Als Organisation sind Sie verantwortlich für:
- Die Einhaltung anwendbarer Datenschutzgesetze
- Die Festlegung angemessener Aufbewahrungsfristen
- Die Information Ihrer Mitarbeiter über die Retention-Policies
- Die regelmäßige Überprüfung der Notwendigkeit (insbesondere bei "unbegrenzt")
Unser gemeinsames Verantwortungsmodell:
- Ihre Organisation (Verantwortlicher): Bestimmt Zwecke und Dauer der Datenverarbeitung
- meinGPT (Auftragsverarbeiter): Stellt sichere Infrastruktur und Compliance-Tools bereit
- Rechtsgrundlage: Art. 28 DSGVO - Wir handeln ausschließlich auf Ihre Weisung
Empfehlungen nach Branche
Branche | Empfohlene Chat-Retention | Begründung |
---|---|---|
Finanzdienstleister | 5-7 Jahre | Regulatorische Anforderungen (MiFID II, etc.) |
Gesundheitswesen | 3-10 Jahre | Patientendokumentation, MDR |
Öffentlicher Sektor | 2-5 Jahre | Archivierungspflichten |
Tech/Software | 6-18 Monate | Projektzyklen, Support |
Beratung | 2-5 Jahre | Projektdokumentation |
Zusätzliche Features
- ✅ Legal Hold: Daten von Löschung ausschließen für rechtliche Verfahren
- ✅ Selective Retention: Einzelne wichtige Chats/Dokumente länger aufbewahren
- ✅ Auto-Archivierung: Ältere Daten in kostengünstigeren Speicher verschieben
- ✅ Löschbenachrichtigungen: Optional 30 Tage vor automatischer Löschung
- ✅ Datenexport: Jederzeit vollständiger Export Ihrer Daten
Hinweis: Mitarbeiter können jederzeit die Löschung ihrer personenbezogenen Daten beantragen, sofern keine gesetzlichen Aufbewahrungspflichten oder legitimen Geschäftsinteressen entgegenstehen.
Technische Umsetzung der Löschung
- Sofortige Löschung: Auf Anfrage innerhalb von 72 Stunden
- Automatische Löschung: Nach Ablauf der konfigurierten Frist
- Kaskadierte Löschung: Inklusive Backups (max. 30 Tage)
- Löschprotokoll: Nachweis der erfolgten Löschung für Compliance
11. Datensicherheit
Wir setzen umfangreiche technische und organisatorische Maßnahmen (TOMs) ein:
- Ende-zu-Ende-Verschlüsselung
- Regelmäßige Sicherheitsaudits
- ISO 27001 konforme Prozesse
- 24/7 Monitoring
- Incident Response Team
Details finden Sie unter: Technische und Organisatorische Maßnahmen
12. Newsletter und Marketing-Kommunikation
12.1 Newsletter-Versand
Verarbeitete Daten:
- E-Mail-Adresse
- Name und Unternehmen
- Zeitpunkt der Anmeldung
- IP-Adresse bei Anmeldung
- Öffnungs- und Klickverhalten
Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung)
Double-Opt-In:
- Bestätigungs-E-Mail erforderlich
- Protokollierung des Anmeldezeitpunkts
- Nachweis der Einwilligung wird gespeichert
Widerruf: Jeder Newsletter enthält einen Abmeldelink. Alternativ: E-Mail an datenschutz@meingpt.com
Dienstleister: Loops (USA, Standardvertragsklauseln)
12.2 Webinare
Verarbeitete Daten:
- Anmeldedaten (Name, E-Mail, Unternehmen)
- Teilnahmedaten
- Chat-Beiträge während des Webinars
- Bei Aufzeichnung: Bild und Ton (nur mit separater Einwilligung)
Rechtsgrundlage:
- Teilnahme: Art. 6 Abs. 1 lit. b) DSGVO
- Aufzeichnung: Art. 6 Abs. 1 lit. a) DSGVO (separate Einwilligung)
Hinweise:
- Kamera kann deaktiviert werden
- Aufzeichnungen nur mit vorheriger Ankündigung
- Löschung der Teilnehmerdaten nach 6 Monaten
- Aufzeichnungen werden nach 3 Monaten gelöscht
13. API-Services
Besonderheiten für API-Nutzer:
- Erweiterte Logging-Zeiträume für Debugging (bis zu 30 Tage)
- Log-Rotation: Automatische Löschung nach 30 Tagen
- Verpflichtung zur datenschutzkonformen Nutzung
- Separater Data Processing Agreement erforderlich
- Webhooks: Verantwortung für Empfänger-Endpunkte beim Kunden
14. Minderjährigenschutz
Unsere B2B-Dienste richten sich ausschließlich an Unternehmen und deren volljährige Mitarbeiter. Eine Nutzung durch Personen unter 18 Jahren ist nicht gestattet.
15. Änderungen der Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version finden Sie stets auf unserer Website. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.
16. Kontakt
Bei Fragen zum Datenschutz wenden Sie sich bitte an:
Datenschutzbeauftragter:
heyData GmbH
Schützenstr. 5
10117 Berlin
E-Mail: datenschutz@heydata.eu