Logo
✕ Schließen

Datenschutz

Datenschutz- und DSGVO-Konformität

1. Hosting und Datenverarbeitung

Die Anwendung wird über die Infrastruktur von Cloudflare betrieben. Die Speicherung und Verarbeitung der Anwendungs- und Falldaten erfolgt auf Servern innerhalb der Europäischen Union. Die für die Kernanalyse eingesetzten KI-Dienste verarbeiten Daten ausschließlich innerhalb der EU. Für die Abrufung aktueller Lageberichte wird ausschließlich das Herkunftsland (kein Personenbezug) an einen weiteren Dienst übermittelt (siehe Abschnitt 3).

2. Art und Umfang der verarbeiteten Daten

Es werden ausschließlich die zur Fallbearbeitung erforderlichen Daten verarbeitet. Persönlich identifizierende Angaben werden nach Möglichkeit pseudonymisiert. Für die KI-Analyse werden nur die strukturierten Intake-Daten (z. B. Herkunftsland, Asylinstanz, Schutzgründe) übermittelt – keine Klarnamen, keine Metadaten (z. B. IP-Adressen, Benutzernamen).

3. Einsatz von KI-Diensten

Fallkompass nutzt folgende externe Dienste:

  • Fallanalyse, Klientenblatt und Help-Chat: Microsoft Azure OpenAI Service (EU-Region). Mit Microsoft besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
  • Aktuelle politische Lageeinschätzung: Perplexity AI (USA). Es wird ausschließlich der Name des Herkunftslandes übermittelt – ohne jeglichen Personenbezug. Da keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO übertragen werden, ist keine Drittlandübermittlung im datenschutzrechtlichen Sinne gegeben.

Übermittelte Inhalte werden ausschließlich für die jeweilige Analyse verwendet und nicht zur Weiterentwicklung oder zum Training von KI-Modellen genutzt.

Die Datenübertragung erfolgt verschlüsselt (TLS 1.2 oder höher).

4. Rechtsgrundlage der Verarbeitung

Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) gegenüber den nutzenden Organisationen. Die Kernanalyse (Azure OpenAI) findet ausschließlich innerhalb der EU statt. Die Übermittlung des Herkunftslandes an Perplexity AI (USA) betrifft keine personenbezogenen Daten und unterliegt daher nicht den Anforderungen der Drittlandübermittlung nach Art. 44 ff. DSGVO.

5. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • Transportverschlüsselung (TLS)
  • Zugriffsbeschränkung auf Organisationsebene
  • Rollen- und Rechtekonzept
  • Protokollierung von Zugriffen
  • Pseudonymisierungskonzept
  • Mandantentrennung auf Datenbankebene
  • EU-ansässige KI-Dienstleister für die Kernanalyse (Microsoft Azure OpenAI, EU-Rechenzentren)
  • Minimalprinzip bei externer Datenübermittlung (nur nicht-personenbezogenes Herkunftsland an Perplexity AI)

6. Datenspeicherung und Löschung

Falldaten werden ausschließlich für die Dauer der Nutzung durch die jeweilige Organisation gespeichert. Löschungen können von berechtigten Nutzer:innen vorgenommen werden. Nach Beendigung der Nutzung werden die Daten gemäß vertraglicher Vereinbarung gelöscht.