DSGVO & TDDDG · EU-souverän

Datenschutzerklärung

Diese Erklärung informiert Sie nach Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) sowie nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) darüber, wie wir personenbezogene Daten auf der Website ventagent.com und in der Ventagent-Plattform verarbeiten — und wie unser EU-souveränes Architekturprinzip den Umfang dieser Verarbeitung bewusst klein hält.

Entwurf — vom Betreiber zu vervollständigen.

Dieser Text ist ein KI-gestützt erstellter Entwurf und stellt keine Rechtsberatung dar. Alle in eckigen Klammern markierten Angaben (z. B. [Name des Betreibers]) sind vom Betreiber zu ergänzen und an die tatsächlich eingesetzten Dienste, Tools und Verarbeitungsprozesse anzupassen. Eine Standardvorlage genügt den gesetzlichen Anforderungen nicht. Vor Veröffentlichung ist dieser Text anwaltlich prüfen zu lassen.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und sonstiger datenschutzrechtlicher Bestimmungen ist:

[Name des Betreibers / Firma]

[Anschrift — Straße, Hausnummer]

[PLZ, Ort, Land]

vertreten durch: [Geschäftsführung / vertretungsberechtigte Person]

Registergericht und Registernummer: [Registergericht + HRB-Nr.]
Umsatzsteuer-Identifikationsnummer: [USt-IdNr.]

E-Mail: [E-Mail-Adresse]
Telefon: [Telefonnummer]

2. Datenschutzbeauftragte:r

Sofern ein:e Datenschutzbeauftragte:r bestellt ist, erreichen Sie diese:n unter: [Name und Kontaktdaten der/des Datenschutzbeauftragten — z. B. E-Mail]. Besteht keine gesetzliche Pflicht zur Bestellung (Art. 37 DSGVO) und ist niemand benannt, entfällt dieser Abschnitt; Anfragen richten Sie dann an den unter Ziffer 1 genannten Verantwortlichen.

3. Datensparsamkeit durch EU-souveräne Architektur

Ventagent ist so gebaut, dass möglichst wenige personenbezogene Daten zentral verarbeitet werden. Für die Einordnung der nachfolgenden Verarbeitungstätigkeiten sind drei Grundsätze wichtig:

Connector-Modus (sensible Daten bleiben bei Ihnen)
Im Primärbetrieb arbeiten die Agenten über einen Connector direkt an Ihrem System mit Ihren Daten. Ventagent sieht und verarbeitet diese Inhaltsdaten nicht; lediglich governte Steuer- und Audit-Metadaten werden zentral verarbeitet. Setzen Sie die Plattform als Geschäftskunde für die Verarbeitung von Daten Ihrer eigenen Betroffenen ein, sind regelmäßig Sie der Verantwortliche und wir Ihr Auftragsverarbeiter (Art. 28 DSGVO) — Einzelheiten regelt der separate Auftragsverarbeitungsvertrag.
Datenklassen-Routing & Anonymisierung
Jede Verarbeitung wird einer Datenklasse zugeordnet. Sensible bzw. personenbezogene Daten (Klasse „SENSITIVE_PII“) bleiben lokal und werden nicht an Cloud-Modelle übermittelt. Vor einem etwaigen Cloud-Egress werden Inhalte anonymisiert.
Kein Vendor-Lock-in / BYOK
Standardmäßig läuft ein lokales, EU-souveränes Modell. Ein externer KI-Anbieter wird nur eingebunden, wenn Sie dies aktiv wählen — etwa mit Ihrem eigenen Schlüssel („Bring Your Own Key“). In diesem Fall bestimmen Sie den Empfänger und es gelten dessen Datenschutzhinweise zusätzlich.
Agententeam bleibt im Mandanten
Zieht ein Agent zur Bearbeitung einer fachfremden Teilaufgabe einen Kollegen-Agenten hinzu (Funktion „Agententeam“), geschieht dies ausschließlich innerhalb Ihres Mandanten. Es gelten unverändert das Datenklassen-Routing und die Souveränitätsregeln; sensible Daten („SENSITIVE_PII“) bleiben auch zwischen den Agenten lokal. Jeder Teambeitrag wird im Ergebnis transparent ausgewiesen.

4. Verarbeitungstätigkeiten im Einzelnen

Zweck, Rechtsgrundlage (Art. 6 DSGVO) und Speicherdauer je Verarbeitung. Die konkreten Fristen und eingesetzten Dienste sind vom Betreiber zu prüfen und zu ergänzen.

Server-Logfiles (Bereitstellung der Website)

Verarbeitete Daten: IP-Adresse (gekürzt/anonymisiert, soweit möglich), Datum und Uhrzeit des Zugriffs, abgerufene URL/Datei, übertragene Datenmenge, Statuscode, Referrer-URL, Browsertyp und Betriebssystem.
Zweck: Auslieferung der Website, Gewährleistung von Stabilität und Sicherheit (Abwehr und Aufklärung von Angriffen), technische Administration.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, störungsfreien Betrieb).
Speicherdauer: [Speicherdauer Logfiles, z. B. 7–30 Tage], danach Löschung bzw. Anonymisierung; längere Aufbewahrung nur bei sicherheitsrelevanten Vorfällen zur Aufklärung.

Kontaktaufnahme (E-Mail, Kontaktformular)

Verarbeitete Daten: Name, E-Mail-Adresse, Inhalt der Anfrage und alle freiwillig übermittelten Angaben; ggf. Telefonnummer.
Zweck: Bearbeitung und Beantwortung Ihrer Anfrage sowie zugehörige Anschlusskommunikation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anfragen (vorvertragliche Maßnahmen); im Übrigen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
Speicherdauer: Bis zur abschließenden Bearbeitung der Anfrage; darüber hinaus, soweit gesetzliche Aufbewahrungsfristen (z. B. handels-/steuerrechtlich) bestehen.

Registrierung & Nutzerkonto (Auth)

Verarbeitete Daten: Anmeldedaten (E-Mail/Benutzername), Authentifizierungsmerkmale, Organisations-/Mandanten-Zuordnung, Rollen, Zeitstempel von An-/Abmeldungen.
Zweck: Bereitstellung und Absicherung des Zugangs zum Portal, Identitäts- und Sitzungsverwaltung (OpenID Connect), Verwaltung der Berechtigungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherheit der Anmeldung).
Speicherdauer: Für die Dauer des Vertrags-/Nutzungsverhältnisses; nach Beendigung Löschung vorbehaltlich gesetzlicher Aufbewahrungspflichten.

Nutzung der Plattform (Nutzungs- & Abrechnungsdaten)

Verarbeitete Daten: Protokolle ausgeführter Aktionen (Audit), genutztes Modell-Profil und Datenklasse je Lauf, Nutzungs-/Verbrauchsdaten (z. B. Tokens, Ereignisse) zur Abrechnung der nutzungsbasierten Mietgebühr, Freigabe-/Genehmigungsvorgänge.
Zweck: Erbringung der vertraglich geschuldeten Leistung, nachvollziehbare Protokollierung (Nachweis/Revisionssicherheit), Abrechnung und Missbrauchs-/Budgetkontrolle.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), für Protokollierung und Sicherheit zusätzlich Art. 6 Abs. 1 lit. f DSGVO; soweit gesetzlich vorgeschrieben Art. 6 Abs. 1 lit. c DSGVO.
Speicherdauer: Für die Dauer der Vertragsbeziehung; Abrechnungs- und Nachweisdaten bis zum Ablauf der gesetzlichen Aufbewahrungsfristen.

Agententeam (governte Delegation zwischen Agenten)

Verarbeitete Daten: Das von einem Agenten als fachfremd erkannte Teilsegment Ihrer Anfrage, das innerhalb desselben Mandanten an einen Kollegen-Agenten übergeben wird, sowie Nachweis-Metadaten der Delegation (beteiligter Agent, Grund der Hinzuziehung, herangezogene Quellen, Güte-Siegel je Beitrag). Das Datenklassen-Routing gilt unverändert; als „SENSITIVE_PII“ eingestufte Daten bleiben lokal und werden nicht an Cloud-Modelle übermittelt.
Zweck: Bearbeitung von Anfragen, die eine fachfremde Teilaufgabe enthalten, durch governte Hinzuziehung eines fachlich passenden Agenten desselben Mandanten; transparente Ausweisung jedes Teambeitrags und einzelne Erfassung der Teilschritte (Nachweis/Abrechnung). Die Reichweite steuern Sie über die Vertrauens-Stufe.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erbringung der vertraglich geschuldeten Leistung); für Protokollierung und transparente Nachvollziehbarkeit zusätzlich Art. 6 Abs. 1 lit. f DSGVO. Eine mandantenübergreifende Datenweitergabe findet nicht statt.
Speicherdauer: Wie bei den Nutzungs- und Nachweisdaten: für die Dauer der Vertragsbeziehung, Nachweisdaten bis zum Ablauf der gesetzlichen Aufbewahrungsfristen.

5. Cookies, lokale Speicherung & Reichweitenmessung

Das Speichern von Informationen auf Ihrem Endgerät oder der Zugriff darauf erfolgt nach § 25 TDDDG. Für technisch nicht zwingend erforderliche Cookies und Technologien holen wir vor dem Setzen Ihre Einwilligung ein (Opt-in); diese ist jederzeit mit Wirkung für die Zukunft widerrufbar. Ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) reicht hierfür nicht aus.

Technisch notwendig (einwilligungsfrei)

Erforderlich für den Betrieb, z. B. Session- bzw. Authentifizierungs-Cookie und das Speichern Ihrer Cookie-Auswahl. Grundlage: § 25 Abs. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO (bzw. lit. b bei eingeloggter Nutzung). [Liste der notwendigen Cookies: Name, Zweck, Speicherdauer]

Einwilligungspflichtig (falls eingesetzt)

Statistik-/Reichweitenmessung, Marketing oder Drittanbieter-Inhalte werden nur nach Einwilligung geladen (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO). [Falls eingesetzt: Tool, Anbieter, Zweck, Speicherdauer, Drittlandbezug — sonst diesen Block entfernen.]

Ihre Einwilligungseinstellungen können Sie jederzeit über [Cookie-Einstellungen / Consent-Banner] anpassen oder widerrufen.

6. Empfänger & Auftragsverarbeiter

Personenbezogene Daten geben wir nur weiter, soweit dies erforderlich ist. Eingesetzte Dienstleister verarbeiten Daten weisungsgebunden in unserem Auftrag (Art. 28 DSGVO). Die folgenden Kategorien sind vom Betreiber konkret zu benennen:

Kategorie	Hinweis
Hosting & Infrastruktur	Betrieb der Server und der Datenbank in der EU. [Name/Anschrift Hosting-Anbieter, z. B. Hetzner Online GmbH] — Auftragsverarbeitung nach Art. 28 DSGVO.
Identitäts-/Anmeldedienst (Auth)	Verwaltung von Konten und Anmeldung über OpenID Connect (EU-betreibbar). [Anbieter/Betreiber des Identitätsdienstes, z. B. Zitadel-Instanz] — Auftragsverarbeitung nach Art. 28 DSGVO.
Zahlungsdienstleister	Abwicklung der nutzungsbasierten Abrechnung. [Name des Zahlungsdienstleisters, z. B. Mollie/Stripe] — eigene Datenschutzhinweise des Anbieters beachten.
KI-Modell-Anbieter (nur bei ausdrücklicher Wahl)	Im Standardbetrieb wird ein lokales, EU-souveränes Modell genutzt; ein externer Modell-Anbieter wird nur eingebunden, wenn Sie dies aktiv konfigurieren (z. B. über Ihren eigenen Schlüssel/BYOK). Welcher Anbieter dann Empfänger ist, bestimmen Sie. [Liste der wählbaren Anbieter / vom Kunden gewählter Anbieter]
Weitere Dienstleister	Z. B. für Fehlerüberwachung, Backup oder Versand transaktionaler E-Mails, soweit eingesetzt. [Auflistung der tatsächlich eingesetzten Dienste].

7. Übermittlung in Drittländer

Ventagent ist auf eine Verarbeitung innerhalb der EU/des EWR ausgelegt; im Standardbetrieb findet keine Übermittlung in Drittländer statt. Sollte im Einzelfall eine Übermittlung in ein Drittland erfolgen — etwa weil Sie selbst einen außereuropäischen KI- oder sonstigen Anbieter wählen — geschieht dies nur auf einer zulässigen Grundlage nach Kapitel V DSGVO: bei Vorliegen eines Angemessenheitsbeschlusses (Art. 45 DSGVO) oder auf Basis geeigneter Garantien wie den EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), ggf. ergänzt um zusätzliche Schutzmaßnahmen. [Konkrete Drittland-Empfänger, Zielland und Garantie hier benennen, sofern zutreffend.]

8. KI-gestützte Verarbeitung & Transparenz

Die Plattform setzt KI-Systeme ein, um die angebotenen Leistungen zu erbringen. Wir weisen transparent darauf hin, dass Sie mit einem KI-System interagieren (Art. 50 KI-VO / EU AI Act). Soweit personenbezogene Daten in diese Verarbeitung einfließen, gelten die in dieser Erklärung genannten Rechtsgrundlagen — insbesondere Art. 6 Abs. 1 lit. b DSGVO, wenn der Einsatz der KI als Arbeitswerkzeug zur Vertragserfüllung erforderlich ist.

Keine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO: Rechtlich verbindliche oder mit erheblicher Außenwirkung verbundene Schritte (z. B. Budget-, Vertrags-, Personal- oder Löschentscheidungen) trifft das System nicht selbst. Solche Schritte werden lediglich vorbereitet und bleiben einer menschlichen Freigabe vorbehalten („Human-in-the-Loop“).

KI-gestützte Erstellung, Letztverantwortung beim Kunden: Die fachlichen Inhalte der Agenten sind KI-gestützt erstellt und geprüft, jedoch ohne menschliche Fachabnahme. Die fachliche und rechtliche Letztverantwortung für die Nutzung der Ergebnisse trägt der einsetzende Kunde.

9. Ihre Rechte als betroffene Person

Ihnen stehen nach der DSGVO insbesondere die folgenden Rechte zu. Zur Ausübung genügt eine formlose Nachricht an die unter Ziffer 1 genannten Kontaktdaten. Bestimmte Daten können Sie zudem direkt im Portal einsehen, exportieren oder löschen (z. B. eigenes Wissen, Nachweis-/ Audit-Übersicht).

Auskunft (Art. 15)

Sie können Auskunft über die zu Ihrer Person verarbeiteten Daten verlangen.

Berichtigung (Art. 16)

Sie können die Berichtigung unrichtiger oder die Vervollständigung Ihrer Daten verlangen.

Löschung (Art. 17)

Sie können die Löschung Ihrer Daten verlangen, soweit keine Aufbewahrungspflichten oder sonstige Ausnahmen entgegenstehen.

Einschränkung (Art. 18)

Sie können die Einschränkung der Verarbeitung verlangen.

Datenübertragbarkeit (Art. 20)

Sie können die Sie betreffenden Daten in einem strukturierten, gängigen, maschinenlesbaren Format erhalten.

Widerspruch (Art. 21)

Sie können der Verarbeitung auf Grundlage berechtigter Interessen aus Gründen Ihrer besonderen Situation widersprechen.

10. Widerruf von Einwilligungen & Widerspruchsrecht

Haben Sie in eine Verarbeitung eingewilligt (Art. 6 Abs. 1 lit. a DSGVO), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Soweit wir Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen (Art. 21 DSGVO).

11. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet anderweitiger Rechtsbehelfe steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Zuständig ist in der Regel die Aufsichtsbehörde am Sitz des Verantwortlichen: [zuständige Aufsichtsbehörde des Betreibers — Bundesland/Land, Anschrift, Website].

12. Erforderlichkeit der Bereitstellung

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich generell vorgeschrieben. Für den Abschluss und die Durchführung eines Nutzungsvertrags sowie zur Beantwortung von Anfragen sind bestimmte Angaben (z. B. Kontakt-/Anmeldedaten) jedoch erforderlich; ohne diese können wir die jeweilige Leistung nicht oder nicht vollständig erbringen.

13. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen (Art. 32 DSGVO), um Ihre Daten gegen Verlust, Missbrauch und unbefugten Zugriff zu schützen — u. a. Transportverschlüsselung (TLS), Mandanten-Isolation, token-basierte Authentifizierung, Zugriffs- und Berechtigungskontrollen, lückenlose Protokollierung (Audit) sowie tenant-isolierte Verwahrung von Schlüsseln und Connector-Zugängen. Die Maßnahmen werden fortlaufend an den Stand der Technik angepasst.

14. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald Änderungen der Verarbeitung oder der Rechtslage dies erfordern. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.

Stand: [Datum der letzten Aktualisierung]