WebsitePlatform Login

Datenschutzerklärung

Datenschutzerklärung für die meinGPT Plattform gemäß DSGVO

Datenschutzerklärung

Stand: 01. Juni 2025

1. Verantwortlicher

SelectCode GmbH
Bahnhofstr. 15
82024 Taufkirchen
Deutschland

Kontakt:
E-Mail: datenschutz@meingpt.com
Telefon: +49 89 54198646
Website: https://meingpt.com

Geschäftsführung: Florian Baader, Reiner Conrad

Datenschutzbeauftragter:
heyData GmbH
Schützenstr. 5
10117 Berlin
E-Mail: datenschutz@heydata.eu

Zuständige Aufsichtsbehörde:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach

2. Übersicht der Verarbeitungen

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung unserer B2B KI-Plattform meinGPT.

Wichtiger Hinweis für Unternehmenskunden: Als Administrator sind Sie verantwortlich für die datenschutzkonforme Nutzung innerhalb Ihrer Organisation, insbesondere bei der Verarbeitung von Mitarbeiterdaten. Eine Datenschutz-Folgenabschätzung (DPIA) kann erforderlich sein.

Verarbeitete Datenarten

  • Bestandsdaten (Namen, Firmenadressen, Handelsregisterdaten)
  • Kontaktdaten (geschäftliche E-Mail, Telefonnummern)
  • Inhaltsdaten (KI-Chat-Eingaben, hochgeladene Dokumente, API-Anfragen)
  • Nutzungsdaten (Zugriffzeiten, Funktionsnutzung, API-Calls)
  • Meta-/Kommunikationsdaten (IP-Adressen, Browser-Informationen)
  • Vertragsdaten (Vertragsgegenstand, Laufzeit, Lizenzmodell)
  • Zahlungsdaten (Rechnungsadresse, Zahlungshistorie via Stripe)
  • Mitarbeiter-Metadaten (aggregierte Nutzungsstatistiken, niemals Inhalte)
  • Newsletter-/Webinar-Daten (Anmeldungen, Teilnahmelisten)

Betroffene Personen

  • Administratoren und Hauptansprechpartner von Kundenunternehmen
  • Endnutzer (Mitarbeiter unserer Geschäftskunden)
  • API-Nutzer und Entwickler
  • Newsletter-Abonnenten
  • Webinar-Teilnehmer
  • Website-Besucher

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b) DSGVO: Vertragserfüllung und vorvertragliche Anfragen
  • Art. 6 Abs. 1 lit. f) DSGVO: Berechtigte Interessen (z.B. IT-Sicherheit, Betrugsprävention)
  • Art. 6 Abs. 1 lit. a) DSGVO: Einwilligung (für optionale Funktionen)
  • Art. 6 Abs. 1 lit. c) DSGVO: Rechtliche Verpflichtungen

4. Zwecke der Datenverarbeitung

4.1 Bereitstellung der meinGPT-Plattform

Verarbeitete Daten:

  • Registrierungsdaten (Name, E-Mail, Unternehmen)
  • Anmeldedaten
  • Chat-Verläufe und KI-Interaktionen
  • Hochgeladene Dateien und Dokumente

Zweck:

  • Bereitstellung der KI-Services
  • Speicherung von Chat-Verläufen
  • Dokumentenverarbeitung
  • Workflow-Automatisierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung)

Speicherdauer:

  • Chat-Verläufe: 12 Monate nach letzter Aktivität
  • Hochgeladene Dokumente: 12 Monate nach Upload
  • Automatische Löschung nach Ablauf

4.2 Benutzerverwaltung und Authentifizierung

Verarbeitete Daten:

  • E-Mail-Adresse
  • Passwort (verschlüsselt)
  • IP-Adresse bei Anmeldung
  • Sitzungsdaten

Zweck:

  • Sichere Authentifizierung
  • Verwaltung von Zugriffsrechten
  • Multi-Faktor-Authentifizierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO

Speicherdauer:

  • Während der Vertragslaufzeit
  • 30 Tage nach Vertragsende (Karenzzeit)
  • Danach vollständige Löschung

4.3 Abrechnung und Zahlungsabwicklung

Verarbeitete Daten:

  • Firmendaten und Rechnungsadresse
  • Ansprechpartner für Rechnungen
  • Zahlungshistorie
  • Credit-Verbrauch und Nutzungsvolumen
  • Transaktionsdaten über Stripe

Zweck:

  • Abrechnung der genutzten Services
  • Buchhaltung und Steuererklärungen
  • Bonitätsprüfung bei Großkunden
  • Betrugsverhinderung

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. c) DSGVO (Rechtliche Verpflichtung)
  • Art. 6 Abs. 1 lit. f) DSGVO (Berechtigte Interessen für Betrugsprävention)

Speicherdauer: 10 Jahre gemäß § 147 AO und § 257 HGB

4.4 Mitarbeiter-Nutzungsanalysen (B2B)

ACHTUNG Datenschutz-Risiko: Die Verarbeitung von Mitarbeiter-Nutzungsdaten ist datenschutzrechtlich hochsensibel. Administratoren müssen vor Aktivierung dieser Funktionen eine eigene Rechtsgrundlage schaffen (z.B. Betriebsvereinbarung).

Verarbeitete Daten:

  • Aggregierte Nutzungsstatistiken (Anzahl Chats, Token-Verbrauch)
  • Workflow-Nutzung pro Abteilung
  • KEINE Chatinhalte oder individuelle Auswertungen
  • Anonymisierte Leistungsindikatoren

Zweck:

  • Lizenzmanagement für Unternehmenskunden
  • Abteilungsweise Nutzungsübersicht
  • ROI-Analysen für KI-Einsatz

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung mit Unternehmen)
  • Art. 88 DSGVO i.V.m. § 26 BDSG (Beschäftigtendatenschutz - Verantwortung beim Kunden)

Speicherdauer:

  • Maximal 6 Monate
  • Automatische Löschung älterer Daten
  • Nur aggregierte Daten, keine Einzelpersonen-Auswertung

Datenschutzgarantien:

  • Keine Einzelauswertungen möglich
  • Mindestgruppengröße von 5 Personen
  • Opt-out-Möglichkeit für Unternehmen
  • Privacy-by-Default: Funktion ist standardmäßig deaktiviert

5. Empfänger und Kategorien von Empfängern

5.1 KI-Modell-Anbieter

Je nach gewähltem Datenschutz-Level werden Ihre Daten an folgende Kategorien von Anbietern übermittelt:

Level 1 - EU Only:

  • Ausschließlich EU-Anbieter (z.B. Mistral AI, Aleph Alpha)
  • Keine Datenübermittlung außerhalb der EU

Level 2 - EU Hosting:

  • Anbieter mit Servern in der EU
  • Inkl. EU-Töchter von US-Konzernen (z.B. Microsoft Azure)

Level 3 - Worldwide mit DPF:

  • Zusätzlich US-Anbieter mit Data Privacy Framework Zertifizierung
  • OpenAI, Anthropic, Google, Microsoft Azure

Level 4 - Worldwide + PII Filter:

  • Alle Anbieter mit automatischer Filterung personenbezogener Daten

Die konkrete Liste der Anbieter für Ihr gewähltes Level finden Sie in Ihrem Auftragsverarbeitungsvertrag (AVV).

5.2 Infrastruktur-Dienstleister

  • Hetzner Online GmbH (Hosting, Deutschland)
    • Zweck: Server-Hosting, Datenbanken, Storage
    • Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO
    • Serverstandort: Deutschland (Nürnberg, Falkenstein)
    • ISO 27001 zertifiziert

5.3 Weitere Dienstleister

DPO-Hinweis: Für alle nachfolgenden Dienstleister müssen aktuelle Auftragsverarbeitungsverträge vorliegen. Bei US-Anbietern ist die DPF-Zertifizierung zu prüfen.

Zahlungsabwicklung

  • Stripe (USA/Irland)
    • Zweck: Zahlungsabwicklung, Rechnungsstellung
    • Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO
    • Drittlandtransfer: ✅ EU-Niederlassung (Stripe Technology Europe Ltd., Dublin)
    • Schutzmaßnahmen: EU-Datenverarbeitung möglich, DPF-zertifiziert

Support & Helpdesk

  • ProductLane GmbH (Deutschland) ✅
    • Zweck: Kundenservice, Support-Tickets
    • Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO
    • Sitz: München, Deutschland
    • EU-Datenverarbeitung: Garantiert

Marketing & Kommunikation

  • Loops (USA)
    • Zweck: Newsletter-Versand, Marketing-E-Mails
    • Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung)
    • Double-Opt-In: Implementiert
    • Drittlandtransfer: Standardvertragsklauseln + zusätzliche Schutzmaßnahmen

Formulare & Umfragen

  • Tally (Belgien) ✅
    • Zweck: Formulare, Umfragen, Anmeldungen
    • Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO
    • EU-Datenverarbeitung garantiert

Webinare & Online-Events

  • Microsoft Teams (USA/EU)
    • Zweck: Webinar-Durchführung
    • Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung)
    • Besonderheit: EU-Datencenter verfügbar, aber Teilnehmerdaten können in USA verarbeitet werden

Integrationen

  • Google Workspace (USA/EU)
  • Microsoft 365 (USA/EU)
    • Zweck: Optional durch Kunden aktivierbare Integrationen
    • Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO
    • Hinweis: Kunden müssen eigene DPAs mit diesen Anbietern haben

6. Drittlandtransfers

Bei Nutzung von KI-Modellen außerhalb der EU (Level 3 und 4) erfolgen Datenübermittlungen in Drittländer auf Basis folgender Garantien:

  • EU-US Data Privacy Framework (für US-Anbieter)
  • Standardvertragsklauseln der EU-Kommission
  • Ihre explizite Einwilligung bei Level 4

Bei Drittlandtransfers besteht trotz Schutzmaßnahmen ein Restrisiko, da die Rechtslage in Drittländern von EU-Standards abweichen kann.

7. Keine Verwendung für KI-Training

Wichtige Garantie: Ihre Daten werden von uns und unseren Auftragsverarbeitern nicht für das Training von KI-Modellen verwendet. Dies ist vertraglich mit allen Anbietern vereinbart.

8. Ihre Rechte als betroffene Person

Sie haben folgende Rechte:

8.1 Auskunftsrecht (Art. 15 DSGVO)

Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen.

8.2 Berichtigungsrecht (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten verlangen.

8.3 Löschungsrecht (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen ("Recht auf Vergessenwerden").

8.4 Einschränkungsrecht (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.

8.5 Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.

8.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten widersprechen.

8.7 Widerrufsrecht bei Einwilligung

Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.

8.8 Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

So können Sie Ihre Rechte ausüben:

9. Cookies und Tracking

Wir verwenden nur technisch notwendige Cookies:

  • Session-Cookies: Zur Aufrechterhaltung Ihrer Anmeldung
    • Laufzeit: Bis zum Schließen des Browsers
    • Zweck: Authentifizierung
  • Präferenz-Cookies: Für Ihre Einstellungen (Sprache, Theme)
    • Laufzeit: 12 Monate
    • Zweck: Benutzererfahrung

Keine Tracking-Cookies: Wir verwenden keine Analyse- oder Marketing-Cookies.

10. Speicherfristen im Überblick

Administrator-gesteuerte Aufbewahrung (B2B)

Volle Kontrolle für Ihre Organisation: Als B2B-Plattform ermöglichen wir Ihren Administratoren, Aufbewahrungsfristen gemäß Ihren Unternehmensrichtlinien, Compliance-Anforderungen und geschäftlichen Bedürfnissen selbst festzulegen.

Verfügbare Retention-Optionen

DatentypAdmin-OptionenStandard (wenn nicht konfiguriert)Hinweise
Geschäftsdaten
Chat-Verläufe & KI-Interaktionen30 Tage bis unbegrenzt12 MonateAdmin wählbar per Kategorie
Hochgeladene Dokumente30 Tage bis unbegrenzt12 MonateSeparate Einstellung möglich
Workflow-Daten30 Tage bis unbegrenzt12 MonateAbhängig von Geschäftsprozessen
Technische Daten
API-Logs7-90 Tage30 TageFür Debugging & Abrechnung
Sicherheitslogs (IP-Adressen)7-180 Tage90 TageCompliance-Anforderungen beachten
Nicht konfigurierbar
Rechnungsdaten10 Jahre (gesetzlich)-§ 147 AO, § 257 HGB
Vertragsdaten6 Jahre nach Ende-Verjährungsfristen
Account-BasisdatenVertragslaufzeit + 30 Tage-Wiederherstellungsperiode

So funktioniert die Admin-Kontrolle

  1. Globale Policies: Unternehmensweite Standardeinstellungen
  2. Kategoriebasiert: Unterschiedliche Fristen für verschiedene Datentypen
  3. Abteilungsspezifisch: Optional verschiedene Policies pro Abteilung
  4. Compliance-Dashboard:
    • Übersicht aller Retention-Einstellungen
    • Warnungen bei ungewöhnlich langen Fristen
    • Audit-Log aller Änderungen

Rechtliche Verantwortung

Wichtig für Administratoren: Als Organisation sind Sie verantwortlich für:

  • Die Einhaltung anwendbarer Datenschutzgesetze
  • Die Festlegung angemessener Aufbewahrungsfristen
  • Die Information Ihrer Mitarbeiter über die Retention-Policies
  • Die regelmäßige Überprüfung der Notwendigkeit (insbesondere bei "unbegrenzt")

Unser gemeinsames Verantwortungsmodell:

  • Ihre Organisation (Verantwortlicher): Bestimmt Zwecke und Dauer der Datenverarbeitung
  • meinGPT (Auftragsverarbeiter): Stellt sichere Infrastruktur und Compliance-Tools bereit
  • Rechtsgrundlage: Art. 28 DSGVO - Wir handeln ausschließlich auf Ihre Weisung

Empfehlungen nach Branche

BrancheEmpfohlene Chat-RetentionBegründung
Finanzdienstleister5-7 JahreRegulatorische Anforderungen (MiFID II, etc.)
Gesundheitswesen3-10 JahrePatientendokumentation, MDR
Öffentlicher Sektor2-5 JahreArchivierungspflichten
Tech/Software6-18 MonateProjektzyklen, Support
Beratung2-5 JahreProjektdokumentation

Zusätzliche Features

  • Legal Hold: Daten von Löschung ausschließen für rechtliche Verfahren
  • Selective Retention: Einzelne wichtige Chats/Dokumente länger aufbewahren
  • Auto-Archivierung: Ältere Daten in kostengünstigeren Speicher verschieben
  • Löschbenachrichtigungen: Optional 30 Tage vor automatischer Löschung
  • Datenexport: Jederzeit vollständiger Export Ihrer Daten

Hinweis: Mitarbeiter können jederzeit die Löschung ihrer personenbezogenen Daten beantragen, sofern keine gesetzlichen Aufbewahrungspflichten oder legitimen Geschäftsinteressen entgegenstehen.

Technische Umsetzung der Löschung

  • Sofortige Löschung: Auf Anfrage innerhalb von 72 Stunden
  • Automatische Löschung: Nach Ablauf der konfigurierten Frist
  • Kaskadierte Löschung: Inklusive Backups (max. 30 Tage)
  • Löschprotokoll: Nachweis der erfolgten Löschung für Compliance

11. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen (TOMs) ein:

  • Ende-zu-Ende-Verschlüsselung
  • Regelmäßige Sicherheitsaudits
  • ISO 27001 konforme Prozesse
  • 24/7 Monitoring
  • Incident Response Team

Details finden Sie unter: Technische und Organisatorische Maßnahmen

12. Newsletter und Marketing-Kommunikation

12.1 Newsletter-Versand

Verarbeitete Daten:

  • E-Mail-Adresse
  • Name und Unternehmen
  • Zeitpunkt der Anmeldung
  • IP-Adresse bei Anmeldung
  • Öffnungs- und Klickverhalten

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung)

Double-Opt-In:

  • Bestätigungs-E-Mail erforderlich
  • Protokollierung des Anmeldezeitpunkts
  • Nachweis der Einwilligung wird gespeichert

Widerruf: Jeder Newsletter enthält einen Abmeldelink. Alternativ: E-Mail an datenschutz@meingpt.com

Dienstleister: Loops (USA, Standardvertragsklauseln)

12.2 Webinare

Verarbeitete Daten:

  • Anmeldedaten (Name, E-Mail, Unternehmen)
  • Teilnahmedaten
  • Chat-Beiträge während des Webinars
  • Bei Aufzeichnung: Bild und Ton (nur mit separater Einwilligung)

Rechtsgrundlage:

  • Teilnahme: Art. 6 Abs. 1 lit. b) DSGVO
  • Aufzeichnung: Art. 6 Abs. 1 lit. a) DSGVO (separate Einwilligung)

Hinweise:

  • Kamera kann deaktiviert werden
  • Aufzeichnungen nur mit vorheriger Ankündigung
  • Löschung der Teilnehmerdaten nach 6 Monaten
  • Aufzeichnungen werden nach 3 Monaten gelöscht

13. API-Services

Besonderheiten für API-Nutzer:

  • Erweiterte Logging-Zeiträume für Debugging (bis zu 30 Tage)
  • Log-Rotation: Automatische Löschung nach 30 Tagen
  • Verpflichtung zur datenschutzkonformen Nutzung
  • Separater Data Processing Agreement erforderlich
  • Webhooks: Verantwortung für Empfänger-Endpunkte beim Kunden

14. Minderjährigenschutz

Unsere B2B-Dienste richten sich ausschließlich an Unternehmen und deren volljährige Mitarbeiter. Eine Nutzung durch Personen unter 18 Jahren ist nicht gestattet.

15. Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version finden Sie stets auf unserer Website. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.

16. Kontakt

Bei Fragen zum Datenschutz wenden Sie sich bitte an:

Datenschutzbeauftragter:
heyData GmbH
Schützenstr. 5
10117 Berlin
E-Mail: datenschutz@heydata.eu