← Zur Datenschutzerklärung

Datenschutzhinweise zur KI-gestützten Verarbeitung von Kundendaten

Ergänzung zur allgemeinen Datenschutzerklärung · Stand: Juni 2026 · nach DSGVO

Diese Hinweise ergänzen die allgemeine Datenschutzerklärung und betreffen die Verarbeitung personenbezogener Daten im Rahmen der Auftragsbearbeitung mit KI-gestützten Systemen.

1. Verantwortlicher

Vladimir Gerner – Gerner Engineering (GerEX)
Maximilian-Kolbe-Str. 4, 49377 Vechta, Deutschland
E-Mail: kontakt@ger-ex.de

2. Gegenstand und Zweck der KI-Verarbeitung

Im Rahmen der Auftragsabwicklung kann es vorkommen, dass personenbezogene Daten mit KI-gestützten Systemen verarbeitet werden, etwa um:

• Inhalte aus Anrufen, Sprachmemos, Meetings und Notizen zu strukturieren und zusammenzufassen,
• daraus Aufgaben, To-dos und Projektschritte abzuleiten und zu organisieren,
• Texte, Anforderungen und technische Dokumente zu analysieren und aufzubereiten,
• wiederkehrende Arbeitsabläufe zu automatisieren.

Betroffen sein können dabei z.B. Kontakt- und Kommunikationsdaten, Inhalts- und Projektdaten sowie sonstige Angaben, die Sie uns im Rahmen der Zusammenarbeit übermitteln. Zweck ist ausschließlich die ordnungsgemäße und effiziente Erbringung der vereinbarten Leistungen.

3. Rechtsgrundlagen

Die Verarbeitung erfolgt auf Grundlage von:

• Art. 6 Abs. 1 lit. b DSGVO – Erfüllung des Vertrags bzw. Durchführung vorvertraglicher Maßnahmen,
• Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an einer effizienten, qualitativ hochwertigen Leistungserbringung und Prozessautomatisierung,
• soweit erforderlich Art. 6 Abs. 1 lit. a DSGVO – Ihre Einwilligung.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nicht ohne gesonderte Rechtsgrundlage in KI-Systeme eingegeben.

4. Eingesetzte Dienste und Auftragsverarbeitung

Für die KI-gestützte Verarbeitung werden – je nach Aufgabe – externe Dienste eingesetzt, die als Auftragsverarbeiter im Sinne von Art. 28 DSGVO tätig werden. Mit diesen Anbietern bestehen entsprechende Verträge zur Auftragsverarbeitung.

• Deepgram (Deepgram, Inc., San Francisco, USA) – Transkription von Sprachaufnahmen (Speech-to-Text) über die Deepgram-API.
• Mistral AI (Mistral AI SAS, Paris, Frankreich) – KI-Sprachmodelle über die Mistral-API; Verarbeitung standardmäßig innerhalb der EU.
• Google Gemini (Google Ireland Ltd., Dublin / Google LLC, USA) – KI-Sprachmodelle über die Gemini-API.
• n8n – Orchestrierung der Arbeitsabläufe auf einem selbst betriebenen Server.

Daneben erfolgt ein Teil der Verarbeitung – etwa Transkription und Textanalyse – lokal auf eigener Infrastruktur mit quelloffenen Modellen, ohne Übermittlung an Dritte.

Nach den vertraglichen Vereinbarungen zur Auftragsverarbeitung werden die übermittelten Daten ausschließlich zur Erbringung der jeweiligen Leistung verarbeitet und nicht für das Training der KI-Modelle verwendet. Eine etwaige kurzzeitige Speicherung erfolgt ausschließlich zur Missbrauchs- und Sicherheitsüberwachung und wird anschließend gelöscht.

5. Übermittlung in Drittländer

Je nach eingesetztem Dienst erfolgt die Verarbeitung innerhalb oder außerhalb der EU:

• Mistral AI – Verarbeitung standardmäßig innerhalb der EU (Frankreich).
• Deepgram – Verarbeitung in den USA, abgesichert über die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) nebst zusätzlichen Schutzmaßnahmen; auf Wunsch steht ein EU-Endpunkt zur Verfügung.
• Google Gemini – Verarbeitung u.a. in den USA, abgesichert über den Angemessenheitsbeschluss EU-US Data Privacy Framework (Art. 45 DSGVO), unter dem Google LLC zertifiziert ist, sowie ergänzend die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
• Lokale Verarbeitung – keine Übermittlung an Dritte.

6. Keine ausschließlich automatisierte Entscheidung

Die KI-Systeme dienen der Unterstützung und Vorbereitung. Eine ausschließlich automatisierte Entscheidung im Einzelfall mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO findet nicht statt; wesentliche Entscheidungen trifft stets ein Mensch.

7. Datenminimierung und Sicherheit

Es werden nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet. Wo möglich, werden Daten vor der KI-Verarbeitung pseudonymisiert oder reduziert. Es werden angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO getroffen.

8. Speicherdauer

Personenbezogene Daten werden nur so lange verarbeitet und gespeichert, wie es für die Erbringung der Leistung erforderlich ist oder gesetzliche Aufbewahrungsfristen es vorschreiben. Danach werden sie gelöscht.

9. Ihre Rechte

Ihnen stehen die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21 DSGVO) zu. Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

10. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist:
Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover, lfd.niedersachsen.de