Datenschutzerklärung
Diese Erklärung informiert nach Art. 13 DSGVO darüber, welche personenbezogenen Daten beim Betrieb der Consensia-Plattform durch den Anbieter verarbeitet werden.
1. Verantwortlicher
Verantwortlich für die in dieser Erklärung beschriebene Verarbeitung ist der im Impressum genannte Anbieter.
2. Rolle des Anbieters
Consensia ist eine read-only-Plattform, die bereits bestehende Dokumente einer Organisation auswertet und erklärt. Für die Inhalte der jeweiligen Organisation (Mandant) ist die Organisation selbst der datenschutzrechtlich Verantwortliche; der Anbieter handelt insoweit als Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungs vertrags. Diese Datenschutzerklärung betrifft ausschließlich die eigene Verarbeitung des Anbieters (Aufruf der Website, Anmeldung, Kontaktaufnahme, technische Protokolle).
3. Verarbeitete Daten, Zwecke und Rechtsgrundlagen
- Konto & Anmeldung: E-Mail-Adresse und Anmeldedaten zur Bereitstellung des Zugangs — Art. 6 Abs. 1 lit. b und f DSGVO.
- Transaktions-E-Mails (z. B. Passwort-Zurücksetzen, Anmelde-Links): zur Durchführung des Zugangs — Art. 6 Abs. 1 lit. b und f DSGVO. Ein Öffnungs- und Klick-Tracking findet nicht statt.
- Technische Protokolle (Server-Logs): zur Sicherstellung von Betrieb und Sicherheit — Art. 6 Abs. 1 lit. f DSGVO. Protokolle enthalten keine personenbezogenen Inhaltsdaten.
Es werden keine Werbe- oder Tracking-Cookies gesetzt; eingesetzt werden ausschließlich technisch notwendige Sitzungs-Cookies.
4. Empfänger und Auftragsverarbeiter
Zur Erbringung des Dienstes werden die folgenden Dienstleister als Auftragsverarbeiter eingesetzt. Die Übersicht wird zentral gepflegt und ist mit den Angaben im Datenraum-Bereich identisch:
Hosting & Datenbank
✓ EU / EWRHetzner Online GmbH · Deutschland (Falkenstein / Nürnberg)
Anwendung und Datenbank laufen ausschließlich in deutschen Rechenzentren.
Datei-Speicher
✓ EU / EWRHetzner Object Storage · Deutschland
Hochgeladene Dokumente liegen S3-kompatibel in Deutschland.
KI-Textanalyse
✓ EU / EWRMistral AI · EU (Frankreich)
Beschluss- und Themen-Extraktion über ein EU-gehostetes Modell (ADR-0004). Texte werden vor dem Versand sanitisiert (ADR-0008).
E-Mail-Versand
✓ EU / EWRMailjet SAS (Sinch-Gruppe) · EU (Frankreich)
Transaktions-Mails wie Passwort-Reset. Versand-Kern in der EU; einzelne Sub-Auftragsverarbeiter verarbeiten in Drittländern, abgesichert über EU-Standardvertragsklauseln. Open-/Click-Tracking ist deaktiviert.
Sub-Auftragsverarbeiter (7)
- Google Cloud France SARL — Cloud-Rechenzentrum (Versand-Kern)EU (Deutschland & Belgien) · ✓ EU / EWR
- Mailjet SAS (Sinch-Gruppe) — Support, Deployment, ProvisioningEU (Frankreich) · ✓ EU / EWR
- Google LLC — Hosting & InfrastrukturUSA / EU · Drittland-Bezug
- Atlassian Corporation — Support-Ticket- / Incident-SystemUSA & EU · Drittland-Bezug
- Stripe Payments Europe, Ltd. — Abrechnung (Billing)USA, EU (Irland) · Drittland-Bezug
- Zendesk, Inc. — Kundensupport-PlattformUSA, EU, APAC · Drittland-Bezug
- Mailgun Technologies, Inc. (Sinch-Gruppe) — Support, Deployment, ProvisioningUSA · Drittland-Bezug
- Google Cloud France SARL — Cloud-Rechenzentrum (Versand-Kern)
5. Datenübermittlung in Drittländer
Hosting (Hetzner) und KI-Textanalyse (Mistral AI) erfolgen ausschließlich innerhalb der EU/des EWR. Beim E-Mail-Versand verarbeiten einzelne Sub-Auftragsverarbeiter in Drittländern; diese Übermittlungen sind über EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) abgesichert. Die jeweilige Einordnung ist in der Übersicht oben gekennzeichnet.
6. KI-gestützte Analyse
Zur Extraktion und Erläuterung von Beschlüssen und Themen setzen wir einen Sprachmodell-Anbieter mit Serverstandort in der EU (Mistral AI, Frankreich) ein, mit dem ein Auftragsverarbeitungsvertrag (AVV) besteht. Eine Verwendung Ihrer Daten zu Trainingszwecken findet nicht statt.
Als zusätzliche technische Schutzmaßnahme werden bekannte Klarnamen aus der Mitgliederliste vor der Übermittlung an das Sprachmodell durch Platzhalter ersetzt.
Die Analyse trifft keine rechtlichen oder vergleichbar erheblichen Entscheidungen, sondern liefert quellengebundene, als abgeleitet gekennzeichnete Hinweise.
7. Speicherdauer
Personenbezogene Daten werden gelöscht, sobald der Zweck ihrer Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Konto- und Inhaltsdaten werden mit Beendigung des Vertragsverhältnisses bzw. auf Weisung der verantwortlichen Organisation gelöscht.
8. Ihre Rechte
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21 DSGVO). Wenden Sie sich hierzu an die im Impressum genannte Kontaktadresse.
Ihnen steht zudem ein Beschwerderecht bei einer Datenschutz- Aufsichtsbehörde zu. Zuständig ist die Landesbeauftragte für den Datenschutz Niedersachsen.
Stand dieser Erklärung: laufender Betrieb. Bei Änderungen der Datenverarbeitung wird diese Seite aktualisiert.