Adressaten: Kunden, deren Einkauf und deren Datenschutzbeauftragte (DSB). Dieses Paket übergeben wir, wenn ein Kunde den AVV, die dokumentierten technischen und organisatorischen Maßnahmen (TOM), die Liste der Unterauftragsverarbeiter, das Datenschutz- bzw. Löschkonzept und unsere Prozesse zur Erfüllung von Betroffenenrechten anfordert. Wir führen ein internes Evidenzpaket, das an ISO-27001-Controls (Annex A) ausgerichtet ist; eine ISO-Zertifizierung besteht zum heutigen Stand nicht. Das Paket ist auf Anfrage verfügbar. Beide Dokumente werden synchron gehalten.Documentation Index
Fetch the complete documentation index at: https://docs.genie-app.de/llms.txt
Use this file to discover all available pages before exploring further.
Separate Annex-Dokumente. Die folgenden Inhalte sind zusätzlich als eigenständig versendbare Annexe verfügbar — geeignet für Einkaufs-, DSB- oder Audit-Prozesse, in denen nur ein Teilaspekt geprüft wird:
- Annex A — Liste der Unterauftragsverarbeiter (entspricht §4)
- Annex B — Technische und organisatorische Maßnahmen (TOM) (entspricht §6 + §7)
- Annex C — AI Data Processing Addendum (bündelt §1.1, §4 Standardpfad, §5.4, §5.6)
Hinweis: Felder zur juristischen Firmierung in §0 sind aktuell mit
[TBD] markiert und werden vor Versand an einen konkreten Kunden ausgefüllt. Bitte vor Weitergabe prüfen.- Über uns — Firmierung und Verantwortliche
- Rollenmodell — Verantwortlicher und Auftragsverarbeiter
- Auftragsverarbeitungsvertrag (AVV) — Mustervereinbarung
- High-Level-Architektur und Datenflüsse
- Unterauftragsverarbeiter — wen wir einsetzen und wofür
- Verarbeitete Daten, betroffene Personen, Zwecke
- Technische Maßnahmen (TOM nach Art. 32 DSGVO)
- Organisatorische Maßnahmen
- Datenschutz- und Löschkonzept
- Erfüllung von Betroffenenrechten
- Wie wir die tatsächliche Löschung sicherstellen
- Kontakte und Änderungsmitteilungen
0. Über uns — Firmierung und Verantwortliche
- Vollständige juristische Firmierung:
[TBD] - Anschrift:
[TBD] - Vertretungsberechtigte:
[TBD] - Handelsregister:
[TBD — HRB / Amtsgericht] - USt-IdNr.:
[TBD] - Datenschutzbeauftragte: Claire Fahmy (
privacy@genie-app.de) - EU-Representative (Art. 27 DSGVO): nicht erforderlich — Sitz in der EU
- Hauptansprechpartner Security / Privacy:
privacy@genie-app.de/security@genie-app.de
1. Rollenmodell — Verantwortlicher und Auftragsverarbeiter
Genie verarbeitet personenbezogene Daten in mehreren klar getrennten Rollen:- Auftragsverarbeiter im Sinne von Art. 28 DSGVO — für Daten, die unmittelbar im Rahmen der Genie-Dienste anfallen (Identitäts- und Profildaten, Chat- und Projektinhalte, kundenseitige Konfigurationen, weisungsgebundene Betriebsverarbeitung). Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist der Kunde. Rechtsgrundlage und Pflichten siehe §2 (AVV).
- Eigene Verantwortlichkeit von Genie für eingegrenzte Zwecke. Soweit Genie personenbezogene Daten zur Erfüllung eigener gesetzlicher Verpflichtungen, zur Abrechnung, zur Gewährleistung der Sicherheit und Integrität der Plattform, zur Missbrauchsprävention oder zur Durchsetzung eigener Rechtsansprüche verarbeitet, erfolgt dies in eigener Verantwortlichkeit gemäß Art. 4 Nr. 7 DSGVO. Dies betrifft insbesondere steuer- und handelsrechtliche Aufbewahrungspflichten, Sicherheits- und Audit-Logs, Incident-Response-Prozesse, Missbrauchserkennung sowie Compliance- und Nachweispflichten. Die jeweiligen Rechtsgrundlagen sind in §5.3 dokumentiert.
- Kundeneigene Supabase-Projekte — weisungsgebundene Verarbeitung. Inhalte kundeneigener Supabase-Projekte verarbeitet Genie grundsätzlich nicht zu eigenen Zwecken und agiert insoweit ausschließlich weisungsgebunden. Der Kunde bleibt Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Genie hält ausschließlich Management-API-Credentials und hat keine operative Sichtbarkeit auf den Inhalt dieser Datenbanken. Soweit technische Administrations- oder Supportzugriffe erforderlich sind, erfolgen diese ausschließlich auf dokumentierte Weisung des Verantwortlichen oder zur Vertragserfüllung; sie sind zugriffsprotokolliert (§6.1, §7.6) und unterliegen dem Vier-Augen-Prinzip nach §7.7.
1.1 Shared Responsibility — Verantwortungsabgrenzung Kunde / Genie
Genie stellt die Plattform und die zugrunde liegenden Verarbeitungsfunktionen bereit. Der Kunde bleibt verantwortlich für die Rechtmäßigkeit der in seine Projekte eingebrachten Inhalte, Datenkategorien und Verarbeitungszwecke. Das umfasst insbesondere:- Inhalte und Datenkategorien, die der Kunde über Prompts, Uploads, eigene Datenmodelle oder Edge Functions verarbeitet;
- die Auswahl und Konfiguration optionaler LLM-Anbieter im jeweiligen Workspace (§4);
- Datenflüsse zwischen kundeneigenen Edge Functions und Drittsystemen;
- die Bewertung, ob die jeweilige Verarbeitung eine DSFA (§5.6) oder eine ausdrückliche Einwilligung der Betroffenen erfordert;
- die Information der eigenen Endnutzer nach Art. 13 / 14 DSGVO.
2. Auftragsverarbeitungsvertrag (AVV) — Mustervereinbarung
Unseren Standard-AVV stellen wir auf Anfrage anprivacy@genie-app.de als gegengezeichnete PDF bereit. Die folgende Vorlage entspricht inhaltlich dieser PDF und kann durch den DSB des Kunden vorab geprüft werden.
2.1 Vertragsparteien
- Verantwortlicher: der im Genie-Bestellformular benannte Kunde.
- Auftragsverarbeiter: die im Genie-Bestellformular benannte Genie-Gesellschaft (siehe §0).
2.2 Gegenstand und Dauer der Verarbeitung
Verarbeitung personenbezogener Daten zum Zweck der Erbringung des Genie-Dienstes gemäß Bestellformular. Der AVV läuft für die Laufzeit des zugrunde liegenden Hauptvertrags und endet mit der Löschung der Kundendaten gemäß §8.2.3 Art und Zweck der Verarbeitung
Betrieb einer gehosteten Anwendungsentwicklungsplattform: Identität, Projekthosting, LLM-gestützte Codegenerierung, Deployment in ein kundeneigenes Supabase-Projekt, Observability und Kundensupport. Verarbeitungen in eigener Verantwortlichkeit von Genie (insbesondere Abrechnung, steuer- und handelsrechtliche Aufbewahrung, Sicherheits- und Audit-Logs, Incident Response, Missbrauchsprävention) sind nicht Gegenstand dieses AVV; siehe §1 und §5.3.2.4 Art der personenbezogenen Daten und Kategorien betroffener Personen
Siehe §5 dieses Dokuments; dieser Abschnitt ist durch Verweis Bestandteil des AVV.2.5 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter:- verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen (Bestellformular, dieser AVV und Tickets über
privacy@genie-app.degelten als dokumentierte Weisungen); - verpflichtet alle zur Verarbeitung befugten Personen zur Vertraulichkeit;
- setzt die TOM nach §6 um und hält sie aktuell;
- setzt Unterauftragsverarbeiter nur gemäß §4 ein und kündigt das Hinzunehmen oder Ersetzen mindestens 30 Tage vorher an (Widerspruchsrecht nach Art. 28 Abs. 2 DSGVO);
- unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten nach §9;
- unterstützt bei Sicherheitsvorfällen, DSFA und vorheriger Konsultation gemäß Art. 28 Abs. 3 lit. f DSGVO;
- löscht oder gibt nach Wahl des Verantwortlichen alle personenbezogenen Daten bei Vertragsende zurück (§8 / §10);
- stellt alle zum Nachweis der Einhaltung erforderlichen Informationen bereit und ermöglicht Audits nach §2.7.
2.6 Unterauftragsverarbeiter
Aufgeführt in §4. Die zum Zeitpunkt der Unterzeichnung gültige Liste ist die vereinbarte Ausgangslage; nachfolgende Änderungen erfolgen nach dem 30-Tage-Verfahren oben.2.7 Auditrechte
Der Verantwortliche kann die Einhaltung des AVV prüfen:- durch Einsicht in dieses Dokument und das verlinkte, an ISO-27001-Controls ausgerichtete Evidenzpaket;
- durch Anforderung der aktuellen SOC-2-Type-II- oder gleichwertigen Auditberichte unserer Unterauftragsverarbeiter;
- soweit verfügbar, durch Bereitstellung standardisierter Security- und Datenschutz-Questionnaires (z. B. CAIQ, SIG Lite, VSA) und Evidenzdokumente (Pentest-Zusammenfassungen, ISO-27001-aligniertes Evidenzpaket, AVVs der Subprozessoren) auf Anfrage über
privacy@genie-app.de; - einmal pro Kalenderjahr durch ein Vor-Ort- oder Remote-Audit mit mindestens 30 Tagen Vorlauf, auf Kosten des Verantwortlichen, zu üblichen Geschäftszeiten und vorbehaltlich einer beiderseits akzeptierten Geheimhaltungsvereinbarung; bei begründetem Anlass (z. B. Sicherheitsvorfall mit Kundenbezug) auch außerplanmäßig.
2.8 Internationale Datenübermittlungen
Die primäre Verarbeitung erfolgt in AWS eu-central-1 (Deutschland). Übermittlungen an Unterauftragsverarbeiter außerhalb EU/EWR (z. B. LLM-Anbieter in den USA) erfolgen auf Grundlage der EU-Standardvertragsklauseln (2021/914) und, soweit anwendbar, des EU–US Data Privacy Framework. Teams-Konten / Workspaces — EU-Datenhaltung: Für Kunden mit einem Teams-Plan ist die Verarbeitung und Speicherung personenbezogener Nutzerdaten so konfiguriert, dass sie innerhalb der EU stattfindet. Sofern ein Dienst eine deutsche Region anbietet (z. B. AWS eu-central-1, Deutschland), wird diese bevorzugt genutzt. LLM-Inferenz für Teams-Nutzer wird über AWS Bedrock (eu-central-1) geroutet; im Rahmen dieser Konfiguration ist nicht vorgesehen, dass Prompts und Completions die EU verlassen.2.9 Haftung und Laufzeit
Gemäß zugrunde liegendem Bestellformular. Kündigung, anwendbares Recht und Gerichtsstand folgen ebenfalls dem Bestellformular.3. High-Level-Architektur und Datenflüsse
Die folgende Übersicht beschreibt, welche Komponenten im Betrieb der Genie-Plattform zusammenwirken und welche Daten zwischen ihnen fließen. Detaillierte Regions- und Compliance-Angaben pro Unterauftragsverarbeiter siehe §4.| Komponente | Region | Verschlüsselung in Transit | Verschlüsselung at Rest | Drittland-Mechanismus |
|---|---|---|---|---|
| Cloudflare (Edge / WAF) | Globales Edge-Netz, primär EU-PoPs | TLS 1.2+ | n/a | DPA / SCC / DPF, soweit Drittlandtransfer stattfindet |
| Vercel Functions | EU (Deutschland) | TLS 1.2+ | Plattform-managed | n/a |
| Auth0 | EU-Tenant | TLS 1.2+ | Plattformseitig | n/a |
| AWS Aurora / DynamoDB / S3 / KMS | eu-central-1 (Deutschland) | TLS 1.2+ | AWS KMS / SSE | n/a |
| AWS Bedrock | eu-central-1 (Deutschland) | TLS 1.2+ | AWS-Posture | n/a |
| Supabase (kundeneigen) | EU (Deutschland) für Teams; sonst vom Kunden gewählt | TLS 1.2+ | Plattformseitig | n/a, sofern EU |
| Resend | EU | TLS 1.2+ | Plattformseitig | n/a |
| Braintrust | EU-Region | TLS 1.2+ | Plattformseitig | SCC, soweit anwendbar |
| LLM-Anbieter (Anthropic / OpenAI / Vertex / Mistral / xAI / Perplexity / Replicate / Voyage) | EU-Default (über Bedrock und EU-Endpoints); US ausschließlich bei direkter Nutzung von Anthropic oder OpenAI (Starter / Genie-Pläne) | TLS 1.2+ | Plattformseitig | SCC (2021/914), EU–US Data Privacy Framework wo verfügbar |
| Stripe | EU mit US-Submetadaten | TLS 1.2+ | PCI-Scope bei Stripe | SCC für US-Submetadaten |
4. Unterauftragsverarbeiter — wen wir einsetzen und wofür
Für jeden gelisteten Unterauftragsverarbeiter liegt ein unterzeichneter AVV bzw. liegen Standardvertragsklauseln vor. Die Tabelle hier ist die kundenseitige Sicht.Standardpfad und Drittlandsstrategie
Genie verarbeitet personenbezogene Daten standardmäßig in der EU. Für DSGVO-sensible Konstellationen — insbesondere für Teams-Workspaces und alle größeren Unternehmenskunden — gilt:- EU-only-Standard (Teams). LLM-Inferenz für Teams-Konten ist so konfiguriert, dass sie über AWS Bedrock (
eu-central-1, Deutschland) geroutet wird. Im Rahmen dieser Konfiguration werden Prompts und Completions nach unserem Kenntnisstand nicht außerhalb der EU verarbeitet. Die übrigen Kerndienste (AWS Aurora, S3, DynamoDB, KMS, Auth0, Vercel Functions, Resend, Supabase-Provisionierung) sind ebenfalls EU-resident. Wir empfehlen diesen Pfad als Enterprise- und DSGVO-Standardpfad. - Vertragliche Zusagen zu No-Training-on-Inputs. Soweit LLM-Anbieter produktive Kundendaten erhalten, liegen uns vertragliche Zusagen zu Zero-Data-Retention bzw. No-Training-on-Inputs vor (Anthropic, OpenAI, AWS Bedrock, Google Vertex). Diese Zusagen sind durch die jeweiligen DPAs und Provider-Statements abgesichert; auditierbare Nachweise (DPA-Auszüge, Provider-Statements) werden auf Anfrage über
privacy@genie-app.debereitgestellt. Für Google Vertex ist die einschlägige Zusage öffentlich im Google Cloud Data Processing Addendum (CDPA) dokumentiert, das Google Cloud Platform einschließlich Vertex AI umfasst (Stand: Juni 2026). - US-Anbieter — optionaler Opt-in, nicht der Default. Anthropic und OpenAI (außerhalb von Bedrock), Perplexity, Replicate, Hugging Face, xAI sowie ggf. Voyage werden ausschließlich für Starter- / Genie-Pläne oder nach expliziter Aktivierung durch den Kunden in den Projekteinstellungen verwendet. Für Teams-Kunden sind sie nicht der Default-Pfad und können vollständig deaktiviert werden (siehe „Provider-Deaktivierung” unten).
- Drittlandtransfer-Grundlagen. Übermittlungen außerhalb EU/EWR erfolgen auf Basis der EU-Standardvertragsklauseln (Modul 2 / 3, Durchführungsbeschluss 2021/914) sowie, soweit anwendbar, des EU–US Data Privacy Framework. Für jeden US-Provider mit Zugriff auf personenbezogene Daten liegt ein internes Transfer Impact Assessment (TIA) gemäß EDSA-Empfehlungen 01/2020 vor. TIAs werden mindestens jährlich und anlassbezogen aktualisiert (z. B. bei wesentlichen Änderungen der US-Überwachungsgesetzgebung). Zusammenfassungen der TIAs werden auf Anfrage bereitgestellt.
- Datenminimierung bei Drittlandtransfer. Übermittelt werden ausschließlich die für die Inferenz erforderlichen Prompt- und Completion-Daten. Stabile interne Identifier werden, soweit technisch möglich, vor Übermittlung gegen Pseudonyme ersetzt; produktive Nutzeridentitäten (E-Mail, Klarname, Auth0-IDs) sollen nach unserer Implementierung kein Bestandteil der LLM-Payloads sein. Klartext-Secrets, MCP-Credentials und Billing-Bodies sind durch dokumentierte Filter- und Logging-Regeln aus den Payloads ausgeschlossen (§6.1).
- Provider-Deaktivierung. Kunden können in den Workspace-Einstellungen einzelne LLM-Anbieter deaktivieren. Teams-Kunden können den Provider-Scope auf „EU-only / AWS Bedrock” beschränken; in dieser Konfiguration werden Anfragen an US-Anbieter technisch unterbunden. Eine zentrale Übersicht aktiver Provider pro Workspace ist in den Admin-Einstellungen einsehbar.
Eingesetzte Unterauftragsverarbeiter
Die folgenden Dienste sind direkt in den Betrieb der Genie-Plattform und der Nutzer-Apps eingebunden. Sie verarbeiten personenbezogene Daten von Endnutzern.| # | Unterauftragsverarbeiter | Was er für uns tut | Datenkategorien | Region | Compliance |
|---|---|---|---|---|---|
| 1 | Auth0 (Okta) | Föderierte Identität, OIDC-Anmeldung (Passwort / Social / SSO). Wir sehen und speichern das Passwort nie. | E-Mail, Name, Auth0-Benutzer-ID, IP bei Anmeldung, MFA-Faktoren | EU | SOC 2 Type II, ISO 27001 |
| 2 | Stripe | Abonnementabrechnung, Zahlungsmittel, Rechnungen, Steuer. Der PCI-Scope liegt vollständig bei Stripe; wir sehen die PAN nie. | Name, E-Mail, Rechnungsanschrift, Zahlungsmittel-Token, Rechnungspositionen | EU | PCI DSS L1, SOC 1/2 |
| 3 | Braintrust | LLM-Observability — Traces, Evals, Prompt-Versionen. 30 Tage Retention. Es werden ausschließlich AI-bezogene Spans exportiert (filterAISpans). Teams-Workspaces werden vom Trace-Export automatisch ausgeschlossen (siehe §5.4). | Prompts, Completions, Traces | EU | SOC 2 Type II |
| 4 | AWS (Aurora Postgres, S3, DynamoDB, Lambda, CloudFront, KMS, Secrets Manager, CodeBuild) | Primäre Anwendungsinfrastruktur: relationale DB, Objektspeicher, Key-Value-Store, CDN, Secret-Storage, Build-Runner. | Alle Anwendungsdaten; verschlüsselte Kundensecrets | eu-central-1 (Deutschland) | ISO 27001, SOC 1/2/3, C5, FedRAMP |
| 5 | Supabase | Pro-Kunde-Postgres + Edge Functions für die eigene App des Kunden. Wir halten ausschließlich Management-API-Credentials. Teams-Workspaces werden standardmäßig in der EU (Deutschland) provisioniert. | Alles, was der Kunde in seine App einspeist | EU (Deutschland) für Teams; sonst vom Kunden wählbar | SOC 2 Type II |
| 6 | Cloudflare | CDN, WAF, DNS, Custom-Hostname-Routing, Worker für Tenant-Routing. Cloudflare verarbeitet insbesondere Request-Metadaten und Sicherheitsereignisse (WAF-Events) zur Bereitstellung von CDN-, DNS- und WAF-Funktionen. Edge-Termination erfolgt primär an EU-PoPs. AVV und EU-SCCs liegen vor; die EU Data Boundary von Cloudflare wird, soweit für unsere Dienste anwendbar, genutzt. | TLS-Traffic, Request-Metadaten, IP, Custom-Hostnames, WAF-Sicherheitsereignisse | Globales Edge-Netz, primär EU-PoPs | ISO 27001, SOC 2 |
| 7 | Vercel | Hosting der Genie-Webanwendung, OpenTelemetry-Bridge. Request-Routing erfolgt automatisch zum nächstgelegenen Server; Serverless Functions laufen in Deutschland. | Request-Metadaten, Telemetrie, Build-Logs | EU (Deutschland) | SOC 2 Type II |
| 8 | Anthropic | LLM-Inferenz für Genie-Agentenfunktionen und LLM-Proxy (Starter / Genie-Pläne). Vertragliche Zero-Retention-Zusage. Teams-Nutzer werden im Standardpfad über AWS Bedrock (eu-central-1) geroutet; eine direkte Datenübermittlung an Anthropic ist in dieser Konfiguration nicht vorgesehen. | Prompts und Completions | US (SCC) — nur Starter / Genie-Pläne | SOC 2 Type II |
| 9 | AWS Bedrock | LLM-Inferenz geroutet über unseren AWS-Account. Standard-LLM-Anbieter für alle Teams-Nutzer — die Region-Konfiguration ist darauf ausgelegt, dass Prompts und Completions innerhalb der EU verarbeitet werden. | Prompts und Completions | eu-central-1 (Deutschland) | Erbt AWS-Posture |
| 10 | OpenAI | LLM-Inferenz für Nicht-Teams-Konten. Vertragliche Zero-Data-Retention-Zusage. | Prompts und Completions | US (SCC) — nur Starter / Genie-Pläne | SOC 2 Type II |
| 11 | Google Vertex AI | Optionaler LLM-Anbieter (Gemini) und Embeddings. Verarbeitung unter dem Google Cloud Data Processing Addendum (CDPA). | Prompts und Completions | EU-Region verfügbar | ISO 27001, SOC 1/2/3 |
| 12 | Mistral / xAI / Replicate / Voyage / Perplexity | Optionale LLM- und Embedding-Anbieter, pro Projekt wählbar. | Prompts, Completions, Embeddings | Je Anbieter; SCC bei Drittländern | SOC 2 (jeweils) |
| 13 | Resend | Transaktionale E-Mails (Proxy für Kunden-Edge-Functions). | Empfängeradresse, Betreff und Inhalt | EU | SOC 2 Type II |
| 14 | Hugging Face | Inferenz-Proxy-Ziel für Kunden-ML-Features. Wird ausschließlich aktiviert, wenn der Nutzer dies explizit konfiguriert. | Prompts / Eingaben aus Kunden-Edge-Functions | US (SCC); EU-Endpoint wo verfügbar | SOC 2 Type II |
5. Verarbeitete Daten, betroffene Personen, Zwecke
Bestandteil des AVV (§2.4).5.1 Kategorien betroffener Personen
- Endnutzer des Kundenaccounts (natürliche Personen, die sich bei Genie anmelden).
- Empfänger von E-Mails, die der Kunde über seine Edge Functions per Resend-Proxy versendet.
- Besucher kundengehosteter Anwendungen (nur insoweit der Kunde deren Daten in seinem eigenen Supabase-Projekt erfasst — diese Daten sind für Genie nicht sichtbar, siehe §1).
5.2 Kategorien personenbezogener Daten
| Kategorie | Beispiele | Speicherort |
|---|---|---|
| Identität & Profil | E-Mail, Anzeigename, Avatar-URL | AWS; Auth0 |
| Authentifizierungs-Metadaten | Anmelde-IP, MFA-Faktoren, letzter Login | Auth0 |
| Abrechnung | Name, Rechnungsadresse, Zahlungsmittel-Token, Rechnungen, Steuer-ID | Stripe; AWS |
| Vom Nutzer erstellte Inhalte | Chatnachrichten, Prompts, Datei-Uploads, generierter Quellcode, Projektmetadaten | AWS |
| Betriebstelemetrie | Fehlermeldungen, Timings, LLM-Traces, Request-Logs | AWS; Braintrust (30 Tage) |
| Push & Benachrichtigungen | Web-Push-Endpoints, Subscription-Metadaten | AWS |
| Audit-Trail | Workspace-Activity-Log: wer hat wann was getan | AWS (append-only) |
| Vom Kunden eingebrachte Secrets | MCP-Credentials, API-Keys | AWS (verschlüsselt) |
| Empfängerdaten ausgehender E-Mails | Empfängeradresse, Betreff, Inhalt | Resend (transaktional) |
| LLM-Payloads | Prompts und Completions aus Genie-Funktionen und Kunden-Edge-Functions | Der für das Projekt gewählte LLM-Anbieter (siehe §4) |
5.3 Zwecke und Rechtsgrundlagen
Soweit Genie als Auftragsverarbeiter tätig ist, bestimmt der Kunde die Rechtsgrundlage. Die folgende Übersicht beschreibt ergänzend typische Zwecke sowie Verarbeitungen, bei denen Genie eigenständig Verantwortlicher ist (vgl. §1). Die Interessensabwägungen zu Verarbeitungen auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) sind intern dokumentiert und werden im Rahmen des AVV-Onboardings auf Anfrage bereitgestellt.| Zweck | Rechtsgrundlage |
|---|---|
| Erbringung des Genie-Dienstes gemäß Bestellformular | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Identität, Authentifizierung und Zugangskontrolle | Art. 6 Abs. 1 lit. b DSGVO; ergänzend Art. 6 Abs. 1 lit. f DSGVO (Account-Sicherheit) |
| LLM-gestützte Codegenerierung und Chat | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Deployment und Betrieb kundeneigener Anwendungen auf Supabase | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Abrechnung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Steuerliche und handelsrechtliche Aufbewahrung (Rechnungen, Steuerdaten) | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung; §§ 147 AO, 257 HGB) |
| Betriebstelemetrie / Fehlerdiagnose | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Verfügbarkeit und Qualität des Dienstes) |
| AI-Traces / LLM-Observability (Braintrust, §5.4) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Betrieb und Sicherheit der KI-Funktionen) |
| Sicherheitsmonitoring und Missbrauchsprävention | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Integrität und Verfügbarkeit, Erwägungsgrund 49 DSGVO) |
| Audit-Trail / Workspace-Activity-Log | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachvollziehbarkeit und Missbrauchsprävention) |
| Incident Response, forensische Analyse | Art. 6 Abs. 1 lit. f DSGVO; ergänzend Art. 6 Abs. 1 lit. c DSGVO (Mitwirkungspflichten nach Art. 33 / 34 DSGVO) |
| Erfüllung von Betroffenenrechten (§9) | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung aus Art. 12 ff. DSGVO) |
| Optionale Funktionen mit Einwilligungsanker (z. B. ausdrücklich aktivierte Provider, Marketing-Mailings) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung; widerrufbar nach Art. 7 Abs. 3 DSGVO) |
5.4 Umgang mit LLM-Daten
- Modelltraining. Wir nutzen produktive Kundendaten nicht zum Modelltraining. Soweit unsere LLM-Anbieter vertragliche Zusagen zu Zero-Data-Retention bzw. No-Training-on-Inputs abgegeben haben (Anthropic, OpenAI, AWS Bedrock, Google Vertex), sind diese Zusagen in den jeweiligen DPAs / Provider-Statements dokumentiert; auditierbare Auszüge stellen wir auf Anfrage bereit. Für Google Vertex ist diese Zusage öffentlich im Google Cloud Data Processing Addendum (CDPA) einsehbar, das Vertex AI umfasst (Stand: Juni 2026). Für Teams-Pläne ist die Inferenz so konfiguriert, dass sie über AWS Bedrock (
eu-central-1) läuft; ein direkter Datenfluss an Anthropic oder OpenAI ist in dieser Konfiguration nicht vorgesehen. - Prompt-Leakage-Prävention. Der Prompt-Kontext wird strikt auf den jeweiligen Nutzer und sein Projekt eingegrenzt; eine projektübergreifende Verarbeitung in einer gemeinsamen LLM-Session findet nicht statt. Datenbankzugriffe sind durch Row-Level Security und nutzerskopierte Anwendungskontexte abgesichert (siehe §6.1).
- Embeddings. In der Genie-Infrastruktur werden derzeit keine Embeddings persistiert. Sofern Kunden über Edge Functions in ihrem eigenen Supabase-Projekt Embeddings erzeugen oder ablegen, liegt deren Speicherung in der Verantwortung des Kunden (siehe §1).
- LLM-Traces (Braintrust).
- Zweck. Qualitätsüberwachung, Regressionserkennung und Debugging der LLM-gestützten Funktionen. Eine Nutzung zu Profiling-, Marketing- oder Trainingszwecken erfolgt nicht.
- Teams-Ausschluss. Workspaces mit Teams-Plan sind technisch so konfiguriert, dass sie vom Trace-Export an Braintrust ausgeschlossen sind. Spans aus Teams-Workspaces werden im Rahmen dieser Konfiguration nicht an Braintrust übermittelt; die Konfiguration ist im Code dokumentiert und Bestandteil der Code-Review-Pflicht (§6.2).
- Datenminimierung. Für die übrigen Pläne werden ausschließlich AI-bezogene Spans exportiert (
filterAISpans); allgemeine Anwendungs- oder Request-Logs, Klartext-Secrets, MCP-Credentials und Billing-Bodies sind durch dokumentierte Filterregeln ausgeschlossen. Stabile interne Identifier werden vor Übermittlung pseudonymisiert. - Zweckbindung und Retention. Traces werden ausschließlich für die oben genannten Zwecke verarbeitet; Retention 30 Tage, danach automatisierte Löschung.
- Rechtsgrundlage. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Betrieb und Sicherheit der KI-Funktionen; Interessensabwägung dokumentiert, §5.3).
- Zugriffsbeschränkung. Zugriff auf Traces ist ausschließlich Personen mit dokumentierter Produktivberechtigung möglich, MFA-geschützt, rollenbasiert (§7.7) und vollständig protokolliert (§6.1, §7.6).
- Drittland. Braintrust wird in der EU-Region betrieben; soweit für einzelne Sub-Komponenten anwendbar, liegen Standardvertragsklauseln vor.
- Provider-Deaktivierung. Optionale LLM-Anbieter (Mistral, xAI, Replicate, Voyage, Perplexity, Hugging Face) werden nur dann aktiviert, wenn der Kunde sie in seinen Projekteinstellungen explizit konfiguriert.
5.5 Datenschutzprinzipien (Art. 5 und Art. 25 DSGVO)
Genie setzt die Grundsätze des Art. 5 DSGVO im Design der Plattform um:- Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Es werden nur die für den jeweiligen Zweck erforderlichen Datenkategorien erhoben (§5.2). Sensible Felder (Klartext-Secrets, MCP-Credentials, Billing-Bodies, PII) sind durch dokumentierte Filter- und Logging-Regeln aus Logs, Telemetrie und LLM-Traces ausgeschlossen (§6.1, §5.4). Bei Drittlandtransfer werden Identifier pseudonymisiert (§4 Standardpfad).
- Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO). Verarbeitungszwecke und zugehörige Rechtsgrundlagen sind in §5.3 dokumentiert. Eine Weiterverarbeitung zu nicht kompatiblen Zwecken findet nicht statt; insbesondere werden produktive Kundendaten nicht zu Trainings-, Profiling- oder Marketingzwecken verwendet.
- Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Pro Kategorie definierte Aufbewahrungsfristen (§8.2) werden technisch durchgesetzt: TTLs auf transientem State, Workflow-getriebene Löschung (§10.1), zeitlich begrenzte Backup-Retention.
- Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO). Verschlüsselung in Transit und at Rest, signierte Tokens, signierte Webhooks und Append-only-Audit-Logs (§6.1, §6.2).
- Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Dieses Paket, das Evidenzpaket nach §2.7 sowie das Dateninventar nach §10.3 sind die zentralen Nachweisinstrumente.
- Privacy by Design und by Default (Art. 25 DSGVO). Datenschutzanforderungen sind in den Standard-Entwicklungs- und Review-Prozessen verankert (§6.2 Change Management). Neue Speicher oder Unterauftragsverarbeiter werden gemäß §10.3 nur über die Dateninventar-Eingangskontrolle aufgenommen, die u. a. Zweck, Rechtsgrundlage, Aufbewahrung und Drittlandstatus festlegt. Default-Einstellungen sind datenschutzfreundlich (EU-Routing aktiviert, optionale Provider deaktiviert).
- Need-to-know. Zugriffe auf produktive Kundendaten erfolgen ausschließlich rollenbasiert und anlassbezogen (§7.6, §7.7).
- Minimale Retention. Im Zweifel gilt die kürzere Frist; ausgenommen sind gesetzliche Aufbewahrungspflichten (Steuer, HGB).
5.6 Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
Eine generelle Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) durch den Auftragsverarbeiter besteht nach Art. 35 DSGVO nicht; die DSFA-Pflicht trifft den jeweiligen Verantwortlichen. Genie unterstützt den Verantwortlichen bei der Erstellung und Pflege seiner DSFA durch:- die in diesem Paket dokumentierten Datenkategorien, Verarbeitungszwecke, Rechtsgrundlagen und TOM,
- Bereitstellung weiterer Detail-Informationen auf Anfrage (z. B. konkrete LLM-Provider-Konfiguration, Drittlandtransfer-Mechanismen, Subprozessor-Compliance-Berichte, TIA-Zusammenfassungen).
6. Technische Maßnahmen (TOM, Art. 32 DSGVO)
Dokumentiert nach Art. 32 DSGVO. Wir haben technische und organisatorische Maßnahmen implementiert, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste sicherzustellen.6.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b)
| Maßnahme | Umsetzung |
|---|---|
| Zutritts- / Zugangskontrolle — Identität | Föderierte Identität über Auth0 (OIDC). Authentifizierungstokens sind kryptographisch signiert; die Signatur wird serverseitig vor jeder Sitzungsentscheidung verifiziert. Es werden keine Passwörter in der Anwendung gespeichert. |
| Zugriffskontrolle — Autorisierung | Row-Level Security auf Datenbankebene. Jede Anfrage läuft in einem nutzerskopierten Kontext; Policies entscheiden über Datensichtbarkeit. |
| Least Privilege — Entwickler | Produktivzugriffe werden rollenbasiert vergeben und mindestens quartalsweise überprüft. Änderungen an sicherheitsrelevanten Codepfaden erfordern eine dokumentierte Freigabe durch eine zweite Person. |
| Least Privilege — Infrastruktur | AWS-IAM-Rollen pro Dienst zugeschnitten; Secrets ausschließlich im Secrets Manager. |
| Verschlüsselung der Übertragung | TLS 1.2+ terminiert an der Cloudflare- / AWS-Edge. HSTS aktiv. |
| Verschlüsselung at Rest — Infrastruktur | Alle Datenbanken und Speicher-Dienste sind at-rest-verschlüsselt (AWS KMS). |
| Verschlüsselung at Rest — Secrets | Kundensecrets werden vor dem Speichern Ende-zu-Ende-verschlüsselt. Versionierte Schlüssel für unterbrechungsfreie Rotation; jährliche Rotation. |
| Secret-Hygiene in CI | Automatisierter Secret-Scan bei jedem Code-Push; Push-Protection auf der Source-Hosting-Plattform aktiviert. |
| Log-Verbot für sensible Felder | Klartext-Secrets, MCP-Credentials, vollständige Billing-Request-Bodies und PII dürfen nicht geloggt werden. |
6.2 Integrität (Art. 32 Abs. 1 lit. b)
| Maßnahme | Umsetzung |
|---|---|
| Append-only-Audit-Log | Der Workspace-Activity-Log ist technisch gegen nachträgliche Änderung oder Löschung geschützt; Anonymisierung nur durch den kontrollierten Account-Löschjob. |
| Signierte Tokens | Authentifizierungstokens sind kryptographisch signiert; Manipulation wird zurückgewiesen. |
| Signierte Webhooks | Stripe- und Auth0-Webhook-Signaturen werden vor jeder Statusänderung verifiziert. |
| Change Management | Änderungen an produktionsrelevanten Systemen erfordern einen dokumentierten Review- und Freigabeprozess durch eine zweite Person. Verpflichtende automatisierte Checks (Tests, Secret-Scan, Dependency-Scan) müssen vor dem Merge erfolgreich sein. |
6.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b)
| Maßnahme | Umsetzung |
|---|---|
| Backups | Aurora Point-in-Time-Recovery, 35 Tage Retention. S3-Versionierung auf den Buckets mit Kundeninhalten. |
| Multi-AZ | Aurora und DynamoDB sind in eu-central-1 standardmäßig Multi-AZ. |
| DDoS / WAF | Cloudflare WAF vor allen kundenseitigen Endpunkten. |
| Workflow-Durabilität | Lang laufende Jobs laufen auf einer durablen Workflow-Runtime, die Host-Restarts und Deploys übersteht. |
6.4 Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c)
- Aurora-PITR (35 Tage) wird mindestens quartalsweise in Staging geübt.
- Disaster-Recovery-Runbook liegt im privaten Ops-Repo; RPO ≤ 5 min, RTO ≤ 4 h für die Genie-Control-Plane. Kundenseitige Supabase-Projekte erben Supabases eigene DR-Posture.
- Über die rein technische Wiederherstellung hinaus ist der Kommunikations- und Eskalationsprozess im Business Continuity Plan (§6.9) beschrieben.
6.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a)
- Der Audit-Trail wird bei Account-Löschung in place anonymisiert — der gesetzliche Nachweis bleibt erhalten, ohne PII zu speichern.
- Der Nachweis der Löschung wird pseudonymisiert geführt, ohne den Identifier selbst aufzubewahren.
6.6 Regelmäßige Überprüfung (Art. 32 Abs. 1 lit. d)
| Maßnahme | Frequenz |
|---|---|
| Automatisierte Tests bei jeder Codeänderung | pro Commit |
| Abhängigkeits-Vuln-Scan | pro Commit |
| Secret-Scan | pro Commit |
| Penetrationstest | jährlich (extern) |
| SEV-1-Tabletop-Übung | jährlich |
| Access-Review | quartalsweise |
| Unterauftragsverarbeiter- / AVV-Review | jährlich |
| Schlüsselrotation | jährlich oder bei Verdacht auf Kompromittierung |
| Backup-Restore-Übung | quartalsweise |
6.7 Vulnerability- und Patch-Management
- Kontinuierliches Dependency-Scanning bei jedem Commit (siehe §6.6); Befunde werden zentral nachverfolgt.
- Kritikalitätsklassifizierung erkannter Schwachstellen nach CVSS v3.1 mit folgenden Ziel-Behebungsfristen:
| Kritikalität | CVSS-Bereich | Ziel-Behebungsfrist |
|---|---|---|
| Critical | ≥ 9.0 | ≤ 7 Tage, priorisiertes Patching |
| High | 7.0 – 8.9 | ≤ 30 Tage |
| Medium | 4.0 – 6.9 | ≤ 90 Tage |
| Low | < 4.0 | bündelweise im regulären Releasezyklus |
- Out-of-Band-Releases für Critical-Findings sind möglich; sie folgen einem verkürzten, jedoch ebenfalls dokumentierten Review-Pfad (siehe §6.2).
- Externer Penetrationstest jährlich (Bestand, vgl. §6.6); identifizierte Findings werden nach derselben Kritikalitätsmatrix bearbeitet.
6.8 Vorfall-Reaktion (Art. 33 / 34 DSGVO)
- 24/7-On-Call-Rotation; Triage-SLA 30 Minuten.
- Betroffene Kunden werden unverzüglich informiert, sobald hinreichend gesicherte Erkenntnisse über einen meldepflichtigen Vorfall vorliegen. Die 72-Stunden-Frist gegenüber der zuständigen Aufsichtsbehörde wird vom Verantwortlichen eingehalten; wir stellen die nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen unverzüglich bereit.
- Vollständiger Lebenszyklus, Beweissicherung und Post-Mortem-Kadenz sind intern dokumentiert und werden bei Audits auf Anfrage bereitgestellt.
6.9 Business Continuity Plan
Abgrenzung: §6.3 beschreibt technische Redundanz, §6.4 die technische Wiederherstellbarkeit. Der Business Continuity Plan ergänzt dies um die organisatorische Ausfall- und Kommunikationsorganisation.- Ausfallorganisation. 24/7-On-Call-Rotation mit definiertem Eskalationspfad (On-Call → Incident Commander → Executive Sponsor).
- Kommunikationsprozesse. Status-Updates an betroffene Kunden über
status.genie-app.deund per E-Mail an den hinterlegten Hauptkontakt. Sicherheitsrelevante Meldungen zusätzlich übersecurity@genie-app.de(siehe §11). - Verantwortlichkeiten. Der Incident Commander koordiniert die technische Wiederherstellung; der Privacy Lead bewertet Meldepflichten gemäß Art. 33 / 34 DSGVO; der Executive Sponsor entscheidet über externe Kommunikation.
- Übung. Die jährliche SEV-1-Tabletop-Übung (siehe §6.6) deckt sowohl die DR- als auch die BCP-Kommunikationsprozesse ab.
6.10 Auftragskontrolle / Unterauftragsverarbeiter (Art. 28 DSGVO)
Siehe §2.6 / §4: SOC-2-Report oder gleichwertig eingeholt, AVV unterzeichnet, Register jährlich überprüft, 30 Tage Vorlauf vor Aufnahme oder Wechsel eines Unterauftragsverarbeiters.7. Organisatorische Maßnahmen
Ergänzend zu den technischen Maßnahmen in §6 sind die folgenden organisatorischen Maßnahmen implementiert.7.1 Security Awareness und Trainings
Mitarbeitende mit Zugriff auf produktive Systeme oder Kundendaten durchlaufen ein Security- und Datenschutz-Training beim Onboarding sowie regelmäßige Auffrischungen. Spezialisierte Trainings (z. B. sicheres Coding) ergänzen die Basis.7.2 Vertraulichkeit, NDAs und Joiner-Mover-Leaver
Alle Mitarbeitenden sind vertraglich zur Vertraulichkeit verpflichtet. Onboarding, Rollenwechsel und Offboarding folgen einem dokumentierten Prozess, der das Vergeben, Anpassen und Entziehen von Zugriffsrechten regelt. Berechtigungen werden bei Ausscheiden unverzüglich entzogen.7.3 Asset- und Endpoint-Management
Unternehmensgeräte werden zentral inventarisiert und verwaltet. Verschlüsselung der Festplatte, Bildschirmsperre, automatische Updates und Endpoint-Schutz sind verpflichtend.7.4 Lieferanten- und Drittparteienmanagement
Unterauftragsverarbeiter werden vor Einsatz auf datenschutz- und sicherheitsrelevante Anforderungen geprüft (SOC-2- bzw. ISO-27001-Berichte, AVV, ggf. SCC). Bestand siehe §4. Jährliches Re-Assessment (siehe §6.6).7.5 Zugangs- und Passwort-Policy, MFA
Identitätsbasierte Anmeldungen erfolgen über einen zentralen Identity Provider mit erzwungener Multi-Faktor-Authentifizierung für alle Mitarbeitendenkonten und insbesondere für jeden Produktivzugriff. Passwortanforderungen entsprechen anerkannten Standards (NIST SP 800-63B).7.6 Mitarbeiterzugriffe auf Kundendaten
Zugriffe auf produktive Kundendaten erfolgen ausschließlich nach dem Need-to-know-Prinzip, sind rollenbasiert vergeben, MFA-geschützt und werden protokolliert. Break-Glass-Zugriffe sind technisch möglich, werden vor oder unverzüglich nach dem Zugriff dokumentiert, vom Privacy Lead nachgehalten und im quartalsweisen Access-Review (siehe §6.6) überprüft. Es existiert keine generelle Leseberechtigung auf Kundendaten ohne dokumentierten Anlass.7.7 Internes Berechtigungs- und Rollenkonzept
Zur Umsetzung der Anforderungen aus Art. 32 DSGVO sowie §6.1 (Least Privilege) ist ein dokumentiertes Rollenmodell etabliert. Die folgenden Rollen verfügen über klar abgegrenzte Berechtigungsprofile; Zuweisungen werden zentral im Identity Provider verwaltet, beim Onboarding / Rollenwechsel / Offboarding (§7.2) angepasst und im quartalsweisen Access-Review (§6.6) überprüft.| Rolle | Aufgabenbereich | Zugriff auf produktive Kundendaten | Freigabe / Vier-Augen |
|---|---|---|---|
| Engineering | Entwicklung, Code-Reviews, Deployments | Kein direkter Lesezugriff auf produktive Inhalte. Schreibender Zugriff nur über automatisierte Pipelines mit Code-Review-Pflicht. | Verpflichtender Peer-Review für sicherheitsrelevante Pfade (§6.2) |
| Site Reliability / SRE | Betrieb, Monitoring, Incident Response | Lesezugriff auf Betriebsmetriken und anonymisierte Telemetrie. Zugriff auf Klartext-Kundendaten nur über Break-Glass. | Eskalations- und Genehmigungsprozess für Break-Glass |
| Customer Support | Bearbeitung von Kundenanfragen | Zugriff auf Profil- und Abrechnungsdaten nach ticketbasierter Anlassdokumentation. Kein generischer Zugriff auf Chatinhalte oder Uploads. | Ticketbezogene Dokumentation; Privacy-Lead-Stichprobe |
| Privacy Lead | DSAR-Bearbeitung, Datenschutzkoordination, Audit-Aufsicht | Lese- und Bearbeitungszugriff im Rahmen der DSAR-Bearbeitung (§9). | Vier-Augen-Prinzip bei Account-Löschungen und Massenexporten |
| Security Officer | Vorfalluntersuchung, forensische Analyse | Anlassbezogen, dokumentiert; im Vorfall vollumfänglich nach §6.8. | Dokumentations- und Berichtspflicht an Geschäftsführung |
| Break-Glass | Notfall-Zugriff bei kritischen Vorfällen | Vollumfänglich für die Dauer des Vorfalls; zeitlich limitiert. | Aktivierung erfordert Zwei-Personen-Freigabe (Incident Commander + Privacy/Security Lead); vollständige Sitzungsaufzeichnung; nachgelagerter Review im quartalsweisen Access-Review |
| Audit / Compliance | Stichproben, Evidenzpaket-Pflege | Lesender Zugriff auf Audit-Logs, keine Bearbeitungsrechte. | n/a |
8. Datenschutz- und Löschkonzept
Wir löschen auf drei Granularitäten und end-to-end auditierbar. Produktive Löschungen werden innerhalb der DSGVO-Frist von 30 Tagen angestoßen und abgeschlossen, soweit keine gesetzlichen Aufbewahrungspflichten oder Backup-Retentionen entgegenstehen (siehe §8.2 und §10.5).8.1 Inventar — wo liegen personenbezogene Daten
- AWS — Primäre Datenhaltung: Nutzerprofile, Projekte, Chatnachrichten, Uploads, Secrets, Audit-Logs, Deployment-Metadaten, transiente Workflow-Zustände.
- Auth0 — Authentifizierungsdaten (E-Mail, MFA-Faktoren, Anmelde-IP).
- Stripe — Abrechnungsdaten (Name, Adresse, Zahlungsmittel-Token, Rechnungen).
- Supabase — Kundeneigene App-Datenbank (Inhalt liegt in der Verantwortung des Kunden, siehe §1).
- Braintrust — LLM-Traces und Observability-Daten (30 Tage Retention; Teams-Workspaces ausgeschlossen, §5.4).
- Resend — Transaktionale E-Mails (Empfängeradresse, Inhalt).
8.2 Aufbewahrungsfristen
| Kategorie | Aufbewahrung | Rechtsgrundlage |
|---|---|---|
| Account-Profil | Lebensdauer des Accounts, dann Löschung nach §8.3 | Erforderlich zum Betrieb |
| Workspace-Activity-Log | Unbefristet, anonymisiert bei Account-Löschung | Art. 6 Abs. 1 lit. f — Audit & Missbrauchsprävention |
| Fehler-Datensätze | 90 Tage | Betriebliches Debugging |
| Abrechnungsdaten (gespiegelt von Stripe) | 7 Jahre | Steuerliche / gesetzliche Aufbewahrung (HGB / AO) |
| Anwendungs-Logs / LLM-Traces (Braintrust) | 30 Tage | Observability |
| Datenbank-Backups (AWS PITR) | 35 Tage | Disaster Recovery |
| Vom Kunden eingebrachte Secrets | Bis zur Löschung des zugehörigen Projekts | Kundeneigentum |
| MCP-OAuth-Handshake-Zustand | ca. 10 min TTL | Transient |
| Pending File Edits (DynamoDB-TTL) | 1 Stunde | Transient |
| LLM-Proxy-Usage-Datensätze | 90 Tage | Abrechnungsabgleich; anschließend aggregiert |
8.3 Account-Löschung (Art. 17 DSGVO)
Wird vom Kunden in/account/settings ausgelöst und durch Tippen der E-Mail bestätigt. Die Orchestrierung läuft als durabler Workflow (deleteAccountWorkflow) und übersteht Abstürze und Deploys.
- Pre-Flight (synchron). Session prüfen, doppelte Anfragen deduplizieren, Löschjob mit 14-Tage-Vorlauf anlegen.
- Deaktivierung (sofort, reversibel). Anmeldung blockieren, laufende Subscriptions auf Ablauf zum Periodenende setzen, kundenseitige Datenbank pausieren.
- 14-Tage-Karenzfrist. Der Kunde kann in den Settings abbrechen.
- Irreversible Kaskade (in dieser Reihenfolge):
- Alle laufenden Hintergrundprozesse für diesen Nutzer abbrechen.
- Alle Projekte des Nutzers vollständig löschen.
- Gespeicherte Dateien und Uploads entfernen; CDN-Cache invalidieren.
- Alle Datenbankeinträge in Abhängigkeitsreihenfolge löschen; Audit-Log-Einträge anonymisieren.
- Externe Konten bei Stripe, Supabase und Auth0 kündigen.
- Audit. Pseudonymisierter Löschnachweis wird gespeichert (kein personenbezogener Identifier).
8.4 Projekt-Löschung
Gleiche Workflow-Form, 7-Tage-Karenzfrist, auf ein einzelnes Projekt beschränkt.8.5 Gezielte Datensatz-Löschung
Der Kunde kann die Löschung bestimmter Datensätze verlangen (eine einzelne hochgeladene Datei, ein einzelner Chat-Thread, eine Push-Subscription) ohne Account-weite Löschung. Anfragen überprivacy@genie-app.de oder Support-Ticket.
8.6 Propagation an Unterauftragsverarbeiter
Jede externe Kündigung hat einen dokumentierten Endpunkt und idempotentes Retry-with-Backoff. Fehler werden in Admin-Tools sichtbar. Etwaige externe Reste werden durch §10 erfasst.8.7 Löschung auf dokumentierte Weisung des Verantwortlichen
Über die im Self-Service angebotenen Löschpfade (§8.3 – §8.5) hinaus führen wir Löschungen auch auf dokumentierte Weisung des Verantwortlichen aus. Solche Weisungen sind AVV-Bestandteil (§2.5):- Eingang und Identitätsprüfung. Schriftliche oder ticketbasierte Anweisung über
privacy@genie-app.dedurch eine im Bestellformular benannte Ansprechperson; Identitätsprüfung gemäß §9.1. - Scope-Varianten.
- Tenant-/Workspace-Löschung — vollständige Entfernung eines Workspaces inklusive aller zugehörigen Projekte, Uploads und Audit-Anonymisierung.
- Teil-Löschung — gezielte Entfernung einzelner Datenkategorien (z. B. bestimmte Uploads, bestimmte Chat-Threads, bestimmte Push-Subscriptions) auf Verlangen des Verantwortlichen.
- Betroffenenspezifische Löschung — Löschung aller einer betroffenen Person zuordenbaren Daten auf Weisung des Verantwortlichen.
- Ausführung. Über denselben durablen Workflow wie die Self-Service-Löschung (§10.1). Idempotente Schritte, Retry-with-Backoff, Propagation an Subprozessoren (§8.6). Vier-Augen-Prinzip durch den Privacy Lead (§7.7).
- Support- und Eskalationsprozess. Der Eingang wird innerhalb von 3 Werktagen bestätigt; die Bearbeitung wird mit Ticket-ID nachverfolgt. Bei Rückfragen erfolgt direkte Abstimmung mit der benannten Ansprechperson des Verantwortlichen.
- Nachweisbarkeit. Der Verantwortliche erhält eine schriftliche Vollzugsbestätigung mit pseudonymisiertem Löschnachweis (§10.6). Auf Anfrage stellen wir eine Nachweiszusammenfassung im Rahmen der AVV-Berichtspflichten bereit.
- SLA. Ausführung innerhalb der DSGVO-Frist von 30 Tagen; schneller, sofern die Karenzfrist nach §8.3 vom Verantwortlichen verkürzt wird oder es sich um eine Teil-Löschung handelt.
9. Erfüllung von Betroffenenrechten
| Recht (DSGVO) | Mechanismus | SLA |
|---|---|---|
| Art. 15 — Auskunft | Self-Service in der App für Profil, Projekte, Abrechnungshistorie. Vollständiger strukturierter Export über privacy@genie-app.de. | 30 Tage |
| Art. 16 — Berichtigung | Profilfelder in der App editierbar. Abrechnungsdaten über das Stripe-Customer-Portal. Sonstige Felder über privacy@genie-app.de. | Profil / Abrechnung sofort; ticketbasierte Felder 30 Tage |
| Art. 17 — Löschung | Self-Service in /account/settings (§8.3). Auch per privacy@genie-app.de möglich. | Innerhalb von 14 Tagen ausgelöst |
| Art. 18 — Einschränkung | Account-weite Deaktivierung blockiert Anmeldung und pausiert Verarbeitung ohne Löschung. | Innerhalb von 14 Tagen |
| Art. 20 — Datenübertragbarkeit | Gleiches Paket wie Art. 15, in maschinenlesbarem JSON. | 30 Tage |
| Art. 21 — Widerspruch | privacy@genie-app.de. | 30 Tage |
| Art. 22 — Automatisierte Entscheidungen | Wir treffen keine rechtsverbindlichen Entscheidungen auf automatisierter Basis. LLM-Ausgaben sind Vorschläge und werden erst durch eine menschliche Handlung wirksam. | n/a |
| Art. 7 Abs. 3 — Widerruf der Einwilligung | Einwilligungselemente sind in den Account-Settings schaltbar; Widerruf wird beim Speichern wirksam. | Sofort |
| Beschwerde bei einer Aufsichtsbehörde | Betroffene können ihre lokale Datenschutzaufsicht anrufen. Federführende Behörde für EU-Kunden: Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Deutschland). | n/a |
9.1 Identitätsprüfung vor Auskunft
Auskunfts- und Löschungsanfragen außerhalb der App werden erst nach Verifikation der Kontrolle über die hinterlegte E-Mail-Adresse beantwortet (Challenge-Link) oder, bei reinen Abrechnungsanfragen, über eine Stripe-Customer-Portal-Session.9.2 Dokumentation der DSAR-Bearbeitung
Das interne Runbook zur Bearbeitung von DSAR liegt im privaten Ops-Repo. Jede DSAR-Anfrage wird mit Ticket-ID, Eingangsdatum, Identitätsprüfung, Bearbeitungsschritten, beteiligten Systemen und Abschlussdatum dokumentiert. Auf Anfrage erhält der Verantwortliche eine Zusammenfassung des Bearbeitungsstands und der durchgeführten Maßnahmen.10. Wie wir die tatsächliche Löschung sicherstellen
10.1 Durable Orchestrierung
Löschungen laufen als Workflow mit At-least-once-Ausführung und Crash-Resume. Die 14-Tage-Karenzfrist ist ein Workflow-sleep — eine geplante Löschung kann uns über Deploys hinweg nicht verloren gehen. Jeder externe Aufruf ist in Retry-with-Backoff eingehüllt.
10.2 Idempotente Schritte
Jeder Schritt ist so entworfen, dass er gefahrlos erneut ausgeführt werden kann. Eine erneute vollständige Löschung ist ein No-op; eine erneute Teil-Löschung vollendet die fehlenden Teile.10.3 Inventargetrieben, nicht featuregetrieben
Das Dateninventar ist die Quelle der Wahrheit. Neue Datenspeicher oder Unterauftragsverarbeiter müssen im selben Schritt ins Inventar aufgenommen werden.10.4 Cache- und CDN-Invalidierung
Nach dem Löschen der Dateien werden alle CDN-Caches invalidiert, sodass gelöschte Inhalte nicht mehr abrufbar sind.10.5 Backups bewusst berücksichtigt
Datenbank-Backups behalten gelöschte Daten noch 35 Tage. Während der Backup-Retention sind die Daten nicht produktiv zugänglich und werden nicht aktiv verarbeitet; ein Zugriff erfolgt ausschließlich im Rahmen eines kontrollierten Disaster-Recovery-Vorgangs (§6.4) und nur durch berechtigte SRE-Rollen (§7.7). Bei einer Wiederherstellung wird der Löschjob unmittelbar erneut ausgeführt. Nach 35 Tagen sind die Daten auch aus den Backups verschwunden.10.6 Audit-Beleg
Für jede abgeschlossene Löschung wird ein pseudonymisierter Nachweis mit Zeitstempel gespeichert — beantwortet „habt ihr diesen Betroffenen gelöscht?” ohne den Identifier selbst aufzubewahren (Art. 17 + Art. 5 Abs. 2 DSGVO).10.7 Behandlung des Append-only-Audit-Logs
Der Audit-Log ist technisch append-only. Zur Erfüllung von Löschanfragen werden betroffene Einträge in-place anonymisiert: alle personenbezogenen Felder werden durch Platzhalter ersetzt. Dieser Vorgang ist ausschließlich dem automatisierten Löschjob vorbehalten.10.8 TTLs auf transientem State
Kurzlebige Zeilen werden durch die TTL des Stores selbst entfernt, auch wenn ein Löschjob sie übersehen hätte.10.9 Periodische Verifikation
Quartalsweise prüfen wir gelöschte Accounts stichprobenartig auf Rückstände bei allen Unterauftragsverarbeitern. Die Prüfung wird intern dokumentiert.11. Kontakte und Änderungsmitteilungen
- Datenschutz / DSAR / AVV-Anfragen:
privacy@genie-app.de - Sicherheitsmeldungen:
security@genie-app.de - Mitteilungen über Wechsel von Unterauftragsverarbeitern: Kunden erhalten mindestens 30 Tage vor Beginn der Verarbeitung durch einen neuen Unterauftragsverarbeiter eine E-Mail. Widersprüche nach Art. 28 Abs. 2 DSGVO werden über
privacy@genie-app.debearbeitet. - Dokumentenversion: Dieses Paket wird jährlich und bei jeder wesentlichen Änderung der Liste der Unterauftragsverarbeiter oder der TOM überprüft.