Rechtliches · DSGVO

Datenschutzerklärung

Version 2.1 · Stand: Juli 2025 · gemäß DSGVO, BDSG · Server: Deutschland/EU

🔒 DSGVO-konform 🇩🇪 Server Deutschland/EU ✅ Art. 13/14 DSGVO 📋 BDSG

Inhaltsverzeichnis

1. Verantwortliche Stelle
2. Grundsätze der Verarbeitung
3. Verarbeitete Datenkategorien
4. KI-Verarbeitung (PROVA)
5. Drittanbieter & Unterauftragsverarbeiter
6. Drittlandtransfers
7. Ihre Rechte als Betroffene
8. Cookies & Tracking
9. Datensicherheit
10. Speicherfristen
11. Minderjährige
12. Änderungen

1. Verantwortliche Stelle

Verantwortlicher im Sinne der DSGVO für die Verarbeitung personenbezogener Daten auf dieser Plattform ist:

PROVA-Systems GmbH

Musterstraße 1 · 10115 Berlin · Deutschland

E-Mail: datenschutz@prova-systems.de

Telefon: +49 30 123 456

Handelsregister: HRB 12345 B (Amtsgericht Berlin-Charlottenburg)

Datenschutzbeauftragter

Unser betrieblicher Datenschutzbeauftragter ist erreichbar unter: dsb@prova-systems.de

2. Grundsätze der Datenverarbeitung

Unsere Datenschutz-Garantien: Alle primären Daten werden auf Servern in Deutschland und der EU (AWS Frankfurt / Irland) verarbeitet und gespeichert. Kundendaten werden nicht für das Training von KI-Modellen genutzt. Es besteht ein vollständiger Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO mit allen Unterauftragsverarbeitern.

Wir verarbeiten personenbezogene Daten gemäß den Grundsätzen der Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität/Vertraulichkeit (Art. 5 DSGVO). Eine Verarbeitung erfolgt ausschließlich auf Basis einer Rechtsgrundlage nach Art. 6 DSGVO.

3. Verarbeitete Datenkategorien und Zwecke

Datenkategorie	Beispiele	Zweck	Rechtsgrundlage
Kontodaten	Name, E-Mail, Passwort (Hash), Berufsbezeichnung	Vertragserfüllung, Login, Kontozugang	Art. 6 Abs. 1 lit. b DSGVO
Professionelle Daten	IHK-Zertifikat, Qualifikationen, Sachgebiet	Gutachtenerstellung, Briefkopf	Art. 6 Abs. 1 lit. b DSGVO
Rechnungsdaten	Adresse, USt-ID, Zahlungsweg	Abrechnung, Buchhaltung, gesetzl. Pflicht	Art. 6 Abs. 1 lit. b, c DSGVO
Gutachteninhalte	Sprachdiktate, Texte, Schadensdaten, Fotos	PROVA-Analyse, PDF-Erstellung	Art. 6 Abs. 1 lit. b DSGVO
Audiodaten	Sprachaufnahmen (temporär)	Transkription (PROVA Voice Engine)	Art. 6 Abs. 1 lit. b DSGVO
Nutzungsdaten	Log-Daten, IP-Adresse, Browser, Gerätetyp	Sicherheit, Fehleranalyse, Betrieb	Art. 6 Abs. 1 lit. f DSGVO
Kommunikationsdaten	Support-E-Mails, Chat-Nachrichten	Kundenbetreuung, Supportleistungen	Art. 6 Abs. 1 lit. b DSGVO
Freigabe-Daten	E-Mail-Adressen von Kunden des Nutzers	Versendung von Freigabe-Links	Art. 6 Abs. 1 lit. b DSGVO

4. KI-Verarbeitung (PROVA Analyse-Engine)

4.1 PROVA Analyse-Engine (Textgenerierung)

Für die KI-gestützte Erstellung von Gutachteninhalten nutzt PROVA eine proprietär konfigurierte KI-Analyse-Engine (PROVA), die auf Basis des OpenAI API-Dienstes betrieben wird. Der Einsatz erfolgt über den OpenAI Enterprise/Business-Tarif, der vertraglich ausschließt, dass Kundendaten für das Training von KI-Modellen verwendet werden.

Hinweis Drittlandtransfer: Gutachteninhalte werden zur KI-Verarbeitung temporär an OpenAI-Server in den USA übertragen. Dies erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Übertragene Daten werden von OpenAI nach Verarbeitung nicht dauerhaft gespeichert und nicht für Modelltraining verwendet (vertraglich garantiert).

Wir empfehlen, in Freitextfeldern keine Daten besonderer Kategorien nach Art. 9 DSGVO (z.B. Gesundheitsdaten, biometrische Daten) einzugeben, die nicht für die Gutachtenerstellung erforderlich sind.

4.2 PROVA Voice Engine (Spracherkennung)

Für die Transkription von Sprachdiktaten wird die PROVA Voice Engine eingesetzt. Audiodaten werden nach der Transkription automatisch und unwiderruflich gelöscht. Es findet keine dauerhafte Speicherung von Audiodaten statt.

5. Drittanbieter & Unterauftragsverarbeiter

Wir setzen folgende Unterauftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge (AVV) bzw. Data Processing Agreements (DPA):

Anbieter	Leistung	Sitz / Hosting	Datenschutz-niveau
Airtable Inc.	Datenbank-Backend: Strukturierung und Verwaltung von Gutachtendaten, Workflow-Daten, Nutzerdaten	USA · San Francisco, CA Hosting: AWS US-East / EU möglich	EU-SCCs + DPA
Make.com (Celonis SE)	Workflow-Automatisierung: Datenverbindung zwischen PROVA-Plattform, Airtable und PROVA	EU · Prag, Tschechien DSGVO-Jurisdiktion	DSGVO + AVV
OpenAI, Inc.	KI-Textgenerierung und Sprachverarbeitung für die PROVA Analyse-Engine	USA · San Francisco, CA EU-Datenverarbeitung optional	EU-SCCs + DPA
Stripe Inc.	Zahlungsabwicklung (Kreditkarte, SEPA-Lastschrift). Kreditkartendaten werden ausschließlich von Stripe verarbeitet (PCI-DSS Level 1)	USA / Irland · Dublin EU-reguliert (Stripe Europe)	DSGVO (EU-Tochter)
Amazon Web Services (AWS EMEA)	Cloud-Infrastruktur, primäre Datenspeicherung, CDN, Backup	EU · Frankfurt (eu-central-1) Luxemburg (EMEA HQ)	DSGVO + AVV
Google Workspace	Interne geschäftliche E-Mail-Kommunikation des PROVA-Teams (keine Kundendaten)	USA / EU-Datenprozessierung	EU-SCCs + DPA

      Airtable als Daten-Backend: Airtable dient als strukturiertes Backend für die Verwaltung von Gutachtendaten. Daten werden dort in mandantengetrennten Bases gespeichert. Mit Airtable besteht ein DPA inkl. EU-SCCs. Auf Anfrage können Enterprise-Kunden eine EU-only Datenspeicheroption aktivieren.
    

      Make.com als Automatisierungsplattform: Make.com verbindet die verschiedenen Systemkomponenten der PROVA-Plattform. Da Make.com seinen Hauptsitz in der EU (Tschechien) hat, ist kein Drittlandtransfer erforderlich. Verarbeitete Daten sind auf die für den jeweiligen Workflow notwendigen Mindestfelder beschränkt.
    

6. Drittlandtransfers (Art. 44 ff. DSGVO)

Für folgende Anbieter mit Sitz in Drittländern (USA) ohne EU-Angemessenheitsbeschluss werden Datenübermittlungen auf Basis der EU-Standardvertragsklauseln (Beschluss 2021/914/EU) durchgeführt:

Airtable Inc. (USA): EU-SCCs abgeschlossen; Transfer Impact Assessment (TIA) durchgeführt; vertragliche Einschränkung auf Verarbeitungszweck; Datenverschlüsselung at-rest und in-transit
OpenAI, Inc. (USA): EU-SCCs + DPA abgeschlossen; Pseudonymisierung von Gutachtendaten vor Übertragung soweit möglich; vertragliche No-Training-Garantie; Daten werden nicht dauerhaft gespeichert
Google Workspace (USA): EU-SCCs abgeschlossen; beschränkt auf interne Kommunikation, keine Gutachten- oder Kundendaten

Das EU-US Data Privacy Framework (Adequacy Decision, Juli 2023) wird beobachtet; soweit Anbieter zertifiziert sind, kann es als zusätzliche Schutzmaßnahme herangezogen werden.

7. Ihre Rechte als Betroffene Person

Sie haben als betroffene Person folgende Rechte nach der DSGVO. Zur Ausübung dieser Rechte wenden Sie sich an: datenschutz@prova-systems.de

Recht	Inhalt	Frist unserer Antwort
Auskunft (Art. 15)	Information über Ihre gespeicherten Daten, Verarbeitungszwecke, Empfänger	30 Tage
Berichtigung (Art. 16)	Korrektur unrichtiger oder Vervollständigung unvollständiger Daten	30 Tage
Löschung (Art. 17)	„Recht auf Vergessenwerden" bei Wegfall des Verarbeitungsgrunds	30 Tage
Einschränkung (Art. 18)	Einschränkung der Verarbeitung in bestimmten Fällen	30 Tage
Datenübertragbarkeit (Art. 20)	Herausgabe Ihrer Daten in maschinenlesbarem Format (JSON/CSV)	30 Tage
Widerspruch (Art. 21)	Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen	Unverzüglich
Beschwerde (Art. 77)	Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde (Berliner Beauftragte für Datenschutz, www.datenschutz-berlin.de)	—

8. Cookies & Tracking

8.1 Technisch notwendige Cookies

Wir verwenden ausschließlich technisch notwendige Cookies für die Funktion der Plattform (Session-Management, Authentifizierung, CSRF-Schutz). Diese Cookies erfordern keine Einwilligung gemäß §25 Abs. 2 TTDSG.

8.2 Kein Tracking / keine Werbung

Wir setzen keine Tracking-Cookies, Analyse-Cookies (z.B. Google Analytics) oder Werbe-Cookies ein. Es findet kein Cross-Site-Tracking statt.

8.3 Web Fonts

Wir laden Google Fonts über die Google Fonts API. Dabei werden technisch bedingt IP-Adresse und Browser-Informationen an Google übermittelt (Basis: Art. 6 Abs. 1 lit. f DSGVO / berechtigtes Interesse an Darstellungsqualität). Alternative: Die Fonts können durch Nutzung über einen lokalen Browser-Cache geladen werden.

9. Datensicherheit

Wir setzen gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen ein:

Verschlüsselung: Alle Daten werden AES-256 verschlüsselt gespeichert (at-rest) und ausschließlich über TLS 1.2+ übertragen (in-transit)
Zugriffskontrolle: Rollenbasiertes Zugriffskonzept (RBAC); Zwei-Faktor-Authentifizierung optional für alle Konten
Passwort-Sicherheit: Passwörter werden als bcrypt-Hash (Cost Factor 12) gespeichert — Klartext-Passwörter verlassen niemals Ihre Endgeräte
Mandantentrennung: Strikte logische Isolation aller Kundendaten auf Datenbankebene
Backups: Tägliche automatisierte Backups mit 30-Tage-Aufbewahrung in geografisch getrennten EU-Rechenzentren
Penetrationstests: Jährliche externe Sicherheitsprüfungen durch unabhängige Dritte
Datenpannen-Management: 24/7-Notfall-Hotline; Meldung an Auftraggeber innerhalb von 24 Stunden nach Entdeckung

10. Speicherfristen und Löschkonzept

Datenkategorie	Speicherfrist	Begründung
Kontodaten	Dauer der Vertragsbeziehung + 3 Jahre	Vertragliche Pflichten, Verjährungsfristen
Rechnungsdaten	10 Jahre	§147 AO (steuerrechtliche Aufbewahrungspflicht)
Gutachteninhalte	Dauer der Vertragsbeziehung; nach Kündigung 60 Tage	Vertragserfüllung; Exportmöglichkeit für Kunden
Audiodaten (Sprachdiktate)	Sofortige Löschung nach Transkription	Datenminimierung
Log-Daten	12 Monate	Sicherheit, Fehleranalyse
Support-Kommunikation	3 Jahre nach letztem Kontakt	Dokumentation, Qualitätssicherung
Backup-Daten	30 Tage (Rolling-Backup)	Disaster Recovery

Nach Ablauf der Speicherfrist werden Daten automatisiert und sicher gelöscht (gemäß BSI-Empfehlungen für sichere Datenlöschung, mehrfaches Überschreiben). Auf Anfrage erhalten Kunden eine schriftliche Löschbestätigung.

11. Minderjährige

Unsere Plattform richtet sich ausschließlich an Unternehmer i.S.d. §14 BGB. Die Nutzung durch Minderjährige unter 18 Jahren ist nicht gestattet. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Rechtslage, der Verarbeitungstätigkeiten oder der eingesetzten Dienste anzupassen. Über wesentliche Änderungen werden registrierte Nutzer per E-Mail informiert (mindestens 30 Tage vor Inkrafttreten). Die aktuelle Version ist stets unter prova-systems.de/legal/datenschutz abrufbar.