Väth & Schmidt · Wissensagent
Datenschutzhinweis
Stand: 2026-04-28 · zurück zur Anmeldung
1. Verantwortlicher
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten in diesem Portal ist:
VÄTH & SCHMIDT GmbH
Heilbronner Straße 150
70191 Stuttgart
Geschäftsführung: Dr. Cornelius Väth, Dr. Jan-Simon Schmidt
Handelsregister: HRB 755028, Amtsgericht Stuttgart
USt-IdNr.: DE303810028
Datenschutzbeauftragter (DSB) der VÄTH & SCHMIDT GmbH: [noch zu ergänzen — falls bestellt: Name + Kontakt; falls nicht bestellt: Hinweis „Ein DSB ist nicht bestellt, da die gesetzlichen Schwellen nach § 38 BDSG nicht überschritten sind“].
2. Auftragsverarbeiter
Den technischen Betrieb des Portals erbringt im Auftrag der VÄTH & SCHMIDT GmbH als Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) auf Basis eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO:
Exponentieller Wandel GmbH
Peterssteinweg 14
04107 Leipzig
Geschäftsführer: David Borst
Handelsregister: HRB 45037, Amtsgericht Leipzig
USt-IdNr.: DE460380961
Kontakt:
david@exponentiellerwandel.de
· Tel. +49 151 61639090
Bei der Exponentieller Wandel GmbH ist kein Datenschutzbeauftragter bestellt, da die gesetzlichen Voraussetzungen nach § 38 BDSG sowie Art. 37 DSGVO nicht erfüllt sind. Anfragen zum Datenschutz richten Sie bitte an david@exponentiellerwandel.de .
3. Welche Daten wir verarbeiten
Bei Nutzung des Portals werden folgende personenbezogene Daten verarbeitet:
- Anfrage-Inhalt (eingegebene Frage- und Antwort-Texte im Wissensagent-Chat)
- Hochgeladene PDF-Dokumente (Leistungsverzeichnisse, Nachträge — nur während der Verarbeitung, danach automatische Löschung; siehe Speicherdauer)
- Anfrage-Hash (SHA-256, dauerhaft für Statistiken)
- Antwort-Metadaten (Modus, Trefferqualität, Latenz, Token-Kosten)
- Browser-User-Agent (anonymisiert)
- IP-Adresse (sofort gehasht, Klarwert wird nicht gespeichert)
- Login-Zeitpunkt + Consent-Version (für Audit nach Art. 7 Abs. 1 DSGVO)
- Server-Logfiles (Zeitstempel, abgerufene URL, HTTP-Status, anonymisierte IP — von Cloudflare zur Erkennung technischer Störungen und Angriffe gespeichert; Aufbewahrungsdauer bei Cloudflare maximal 30 Tage)
4. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|---|---|
| Beantwortung Ihrer Anfragen / Verarbeitung Ihrer Uploads | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — durch Häkchen bei der Anmeldung) |
| Sicherung und Bereitstellung des Portals (TLS, Logfiles, Captcha) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Portalbetrieb) |
| Verbesserung der Wissensbasis (anonymisierte Hashes + Metadaten) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Qualitätssicherung) |
| Audit-Trail Login + Consent | Art. 6 Abs. 1 lit. c DSGVO (Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2) |
Die Einwilligung kann jederzeit per E-Mail an david@exponentiellerwandel.de mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
5. Sub-Prozessoren
Die Exponentieller Wandel GmbH bedient sich folgender weiterer Auftragsverarbeiter (Subunternehmer i. S. d. Art. 28 Abs. 2 DSGVO):
| Anbieter | Funktion | Sitz |
|---|---|---|
| Cloudflare, Inc. | Hosting der Portal-Frontend-Pages, DDoS-Schutz, Captcha (Turnstile), Server-Logfiles | San Francisco, USA |
| Hetzner Online GmbH |
Hosting der selfhosted Workflow-Automatisierung (n8n unter
b0-01.cstmr.flowmode.pro) und der
selfhosted Datenbank (Supabase) für Wissensbasis und Audit-Logs
— jeweils auf Servern im Rechenzentrum Nürnberg
| Sitz: Gunzenhausen, Deutschland · Server: Nürnberg, Deutschland |
| Google LLC | KI-Sprachmodell Gemini für die Beantwortung von Anfragen | Mountain View, USA |
| OpenAI, L.L.C. | KI-Sprachmodell GPT als Zweit-Quelle bei der Extraktion von Leistungsverzeichnissen und Nachträgen | San Francisco, USA |
Mit allen genannten Sub-Prozessoren bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Eine Änderung der Liste wird vor Wirksamkeit angekündigt; Sie haben das Recht, einer Änderung aus wichtigem datenschutzrechtlichen Grund zu widersprechen.
6. Drittlandtransfer
Cloudflare, Google und OpenAI haben ihren Hauptsitz in den Vereinigten Staaten von Amerika (USA). Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023). Cloudflare, Google und OpenAI sind nach diesem Framework zertifiziert. Die DPF-Zertifizierung kann unter dataprivacyframework.gov geprüft werden.
Ergänzend wurden mit allen US-Sub-Prozessoren EU-Standardvertragsklauseln (SCC, EU-Beschluss 2021/914) abgeschlossen, die im Falle einer Aussetzung des Data Privacy Framework als Rückfall-Rechtsgrundlage dienen.
7. Cookies
Das Portal setzt ausschließlich technisch notwendige Cookies ein. Eine Einwilligung nach § 25 Abs. 1 TDDDG ist nicht erforderlich, da diese Cookies für den vom Nutzer ausdrücklich gewünschten Telemediendienst zwingend erforderlich sind (§ 25 Abs. 2 Nr. 2 TDDDG). Es findet kein Tracking, keine Reichweitenmessung und keine Profilbildung statt.
| Cookie | Zweck | Lebensdauer |
|---|---|---|
__Host-vs_session | Aufrechterhaltung der Anmeldung (HMAC-signiert, HttpOnly, Secure, SameSite=Strict) | 8 Stunden |
cf_* (Cloudflare) | Captcha-Verifikation (Turnstile) und Bot-Schutz | je nach Zweck, max. 30 Tage |
8. Speicherdauer
- Anfrage-Inhalt im Wissensagent: 30 Tage rolling (automatische Löschung)
- Hochgeladene PDF-Dokumente: nur während der Verarbeitung (typischerweise < 10 Min), danach sofortige Löschung
- Statistik-Hashes (SHA-256): 12 Monate
- Login-Audit (Zeitpunkt, Consent-Version, IP-Hash, User-Agent): 30 Tage
- Server-Logfiles bei Cloudflare: maximal 30 Tage
- Session-Cookie: 8 Stunden nach Ausstellung, danach automatischer Logout
9. Ihre Rechte
Ihnen stehen die folgenden Rechte gegenüber der VÄTH & SCHMIDT GmbH (Verantwortlicher) zu:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Recht auf Widerspruch (Art. 21 DSGVO)
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft
Anfragen zur Ausübung dieser Rechte richten Sie bitte direkt an die VÄTH & SCHMIDT GmbH (Anschrift siehe Abschnitt 1) oder an die Exponentieller Wandel GmbH als Auftragsverarbeiter unter david@exponentiellerwandel.de (Anfragen werden an die VÄTH & SCHMIDT GmbH weitergeleitet).
10. Beschwerderecht
Sie haben unbeschadet anderweitiger Rechtsbehelfe das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen (Art. 77 DSGVO), insbesondere bei der für den Sitz der VÄTH & SCHMIDT GmbH zuständigen Behörde:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Königstraße 10a, 70173 Stuttgart
11. Keine automatisierte Entscheidung
Es findet keine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt. KI-generierte Antworten sind ein Recherche-Hilfsmittel; jede daraus folgende Entscheidung erfordert eine menschliche Prüfung durch eine fachkundige Person.
12. Verbot personenbezogener Daten in Anfragen
Bitte geben Sie in Anfragen oder hochgeladenen Dokumenten KEINE Klarnamen, E-Mail-Adressen, Aktenzeichen, Projektnamen mit Personenbezug oder Telefonnummern Dritter ein. Diese würden sowohl in unseren Logs als auch an die Sub-Prozessoren Google bzw. OpenAI übermittelt. Bei versehentlichem Verstoß bitte unverzüglich per E-Mail an david@exponentiellerwandel.de für eine sofortige Löschung melden.