DSGVO
Wie DARION AI die DSGVO umsetzt: Rechtsgrundlagen nach Art. 6 und 9, Pflichtinformationen nach Art. 13, Löschpflicht nach Art. 17, Tenant-Isolation und Datenexport.
DSGVO
DARION AI ist als Auftragsverarbeiter aufgesetzt. Du bleibst Verantwortlicher für die Daten in deinem Workspace, wir liefern die technische und organisatorische Grundlage. Diese Seite zeigt dir, welche Pflichten wir konkret abbilden und wo deine Mitwirkung gefragt ist.
Rechtsgrundlagen nach Art. 6 DSGVO
Die Plattform unterstützt die folgenden Rechtsgrundlagen pro Datenkategorie:
| Datenkategorie | Typische Grundlage | Anmerkung |
|---|---|---|
| Stammdaten der Workspace-Nutzer | Art. 6 Abs. 1 lit. b (Vertrag) | Erforderlich für die Bereitstellung. |
| Buchhaltung, Belege, Rechnungen | Art. 6 Abs. 1 lit. c (Rechtspflicht) | GoBD und Abgabenordnung. |
| Kontakte aus dem CRM | Art. 6 Abs. 1 lit. f (Berechtigtes Interesse) | Interessenabwägung wird dokumentiert. |
| Newsletter, Marketing-Sequenzen | Art. 6 Abs. 1 lit. a (Einwilligung) | Double-Opt-in, Widerruf jederzeit. |
| Voice-Aufzeichnungen (Modul opt-in) | Art. 6 Abs. 1 lit. a + Einwilligung des Anrufers | Ansage und Consent im Workflow. |
| KI-Helfer-Auswertungen | Art. 6 Abs. 1 lit. f | Auf eigene Workspace-Daten beschränkt. |
Besondere Kategorien nach Art. 9
Sensible Daten (z. B. Gesundheits- oder Gewerkschaftszugehörigkeit) erfordern eine zusätzliche Grundlage nach Art. 9 Abs. 2. DARION speichert keine Gesundheitsdaten als Default. Falls dein Use-Case besondere Kategorien umfasst, kontaktiere uns vor der Aktivierung des betroffenen Moduls.
Pflichtinformationen nach Art. 13
Beim Onboarding bekommst du eine vorbefüllte Datenschutzerklärung mit:
- Identität von DARION (DARC Management UG, Gevelsberg, HRB 12894).
- Zwecke der Verarbeitung pro Modul.
- Rechtsgrundlage pro Datenkategorie.
- Speicherdauer (siehe Tabelle unten).
- Empfänger (Sub-Auftragsverarbeiter, siehe AVV-Anlage).
- Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit).
- Beschwerderecht bei der Aufsichtsbehörde.
Speicherdauer
| Datenart | Aufbewahrung |
|---|---|
| Buchhaltungsbelege | 10 Jahre (GoBD) |
| Handelsbriefe, Verträge | 6 Jahre |
| CRM-Kontakte ohne weitere Grundlage | bis zum Widerruf, max. 3 Jahre nach letztem Kontakt |
| Audit-Logs | 2 Jahre, danach Aggregation |
| Voice-Aufzeichnungen | bis zur Aufgabenerledigung, max. 90 Tage, danach automatische Löschung |
| Backups | rollend 30 Tage |
Löschpflicht nach Art. 17
Du kannst eine Betroffenen-Löschung pro Person aus dem CRM oder HR-Modul auslösen. Der Vorgang:
- Du markierst die Person als "DSGVO-Löschung".
- Das System maskiert personenbezogene Felder sofort in allen verknüpften Datensätzen.
- Rechtlich erforderliche Pflichtdaten (z. B. Rechnungen) bleiben mit Sperrvermerk erhalten.
- Nach 30 Tagen erfolgt der harte Löschvorgang in Anwendungs-DB und Backups via Crypto-Shredding: der tenant-spezifische Sub-Key wird in Infisical entfernt, die Daten in archivierten Backups sind danach unentschlüsselbar.
- Eine Bestätigung mit Vorgangs-Nummer landet im Audit-Trail.
Tenant-Isolation
- Single-Database-Multi-Tenant mit PostgreSQL Row-Level Security.
- Jede Tabelle mit Tenant-Bezug trägt eine
tenant_id-Spalte. - FastAPI-Middleware setzt die Postgres-Session-Variable
app.tenant_idaus dem Keycloak-Token. - RLS-Policies erzwingen
tenant_id = current_setting('app.tenant_id')auf JEDE Query. - Kein gemeinsamer Cache zwischen Workspaces, Redis-Keys sind tenant-präfixiert.
- Self-Pen-Tests prüfen Cross-Tenant-Zugriffe wöchentlich automatisiert.
Verschlüsselung
- TLS 1.3 für allen Transit.
- LUKS auf Disk-Ebene für DB-, MQ- und Storage-Server.
- Application-Level Encryption für sensible Felder (z. B. Voice-Consent-Daten, Webhook-Secrets) per SQLAlchemy
EncryptedTypemit per-Tenant HKDF-Sub-Keys. - MinIO SSE-KMS für Dateien (Belege, Consent-PDFs, Exporte).
- Crypto-Shredding als zentrale Löschgarantie.
Auftragsverarbeitungsvertrag (AVV)
Den AVV unterzeichnest du beim ersten Workspace-Anlegen. Anlage 1 listet:
- Hetzner Online (Server-Hosting, DE)
- Cloudflare (Edge-WAF und DDoS-Schutz)
- Stripe (Zahlungen, EU-Datenresidenz)
- Brevo (Transaktions-E-Mail, FR)
- Twilio (Voice-Modul, opt-in)
- Anthropic via AWS Bedrock Frankfurt (KI-Fallback, opt-in)
Eigene Sub-Auftragsverarbeiter (z. B. dein Steuerberater) trägst du in den Workspace-Einstellungen ein.
Datenexport (Art. 20)
- Vollexport als ZIP mit JSON und PDF, einmal pro Quartal kostenlos.
- Selektiver Export pro Modul jederzeit über die Modul-Ansicht.
- API-Export via authentifiziertem Endpunkt für eigene BI-Tools.
- Exporte landen verschlüsselt in MinIO mit 7-Tage-Ablauf und werden per E-Mail signalisiert.
Verwandt
- NIS2: Sicherheitsmaßnahmen über DSGVO hinaus.
- Audit-Trail: Was wir protokollieren.
- Berechtigungen: Wer Löschungen auslösen darf.
- Architektur: Technische Details zur Tenant-Isolation.