Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist der Betreiber der Kasaio-Plattform. Kontaktdaten finden Sie im Impressum.

2. Welche Daten wir erheben

Bei der Nutzung von Kasaio werden folgende Daten verarbeitet:

2.1 Registrierungsdaten

• E-Mail-Adresse
• Name
• Passwort (verschlüsselt)
• Organisationsname

2.2 Nutzungsdaten

• IP-Adresse
• Browser und Gerätetyp
• Zugriffszeitpunkt
• Aufgerufene Seiten

2.3 Inhaltsdaten

Alle Daten, die Sie in der Plattform eingeben (Mitgliederdaten, Projekte, Finanzdaten, Dokumente etc.) werden in Ihrem Auftrag als Auftragsverarbeitung gespeichert.

3. Zweck der Datenverarbeitung

Die Daten werden verarbeitet zur:

• Bereitstellung der Plattform-Funktionen
• Authentifizierung und Kontosicherheit
• Kommunikation mit Nutzern
• Verbesserung des Services
• Erfüllung rechtlicher Pflichten
• KI-gestützte Verarbeitung (z.B. Dokumenten-Extraktion, Buchungsvorschläge, Übersetzungen) — ausschließlich durch IONOS AI Model Hub (Berlin, Deutschland). Details siehe §11a.

4. Rechtsgrundlagen

Die Verarbeitung erfolgt auf Basis von:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, wo erforderlich)
• Art. 28 DSGVO (Auftragsverarbeitung)

5. Datenweitergabe

Ihre Daten werden nur an Dritte weitergegeben, wenn:

• Sie ausdrücklich eingewilligt haben
• Dies zur Vertragserfüllung erforderlich ist
• Eine gesetzliche Verpflichtung besteht

Wir nutzen ausschließlich Auftragsverarbeiter mit Verarbeitung in Deutschland bzw. der EU. Es werden keine Daten an US-Unternehmen oder in US-Jurisdiktionen übermittelt. Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Eine vollständige Übersicht finden Sie in §11b.

6. Speicherdauer

Ihre Daten werden gespeichert, solange Ihr Konto aktiv ist. Nach Kündigung werden Daten gemäß den gesetzlichen Aufbewahrungsfristen (in der Regel 6-10 Jahre für buchhalterische Unterlagen) aufbewahrt und danach gelöscht.

7. Ihre Rechte

Sie haben folgende Rechte:

• Auskunft: Sie können Auskunft über Ihre gespeicherten Daten verlangen
• Berichtigung: Sie können die Korrektur unrichtiger Daten verlangen
• Löschung: Sie können die Löschung Ihrer Daten verlangen
• Einschränkung: Sie können die Einschränkung der Verarbeitung verlangen
• Datenübertragbarkeit: Sie können Ihre Daten in einem gängigen Format erhalten
• Widerspruch: Sie können der Verarbeitung widersprechen
• Beschwerde: Sie können sich bei einer Aufsichtsbehörde beschweren

8. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein:

• SSL/TLS-Verschlüsselung für alle Datenübertragungen
• Verschlüsselte Speicherung sensibler Daten
• Regelmäßige Sicherheitsupdates
• Zugriffsbeschränkungen und Protokollierung (Audit-Log)
• Regelmäßige Backups
• Zertifizierungen unserer Auftragsverarbeiter: BSI C5 Type 2 und BSI IT-Grundschutz (IONOS-Infrastruktur), ISO 27001 (Hetzner, Supabase, IONOS).
• Multi-Tenant-Isolation auf Datenbank-Ebene per Row Level Security (RLS): Daten verschiedener Organisationen sind technisch voneinander getrennt.
• Datenklassifikation K1/K2/K3 mit zusätzlichem Alias-System für Entwicklungs- (K2) und Gesundheits-/Vorfallsdaten (K3): personenbezogene Daten werden vor sensiblen Verarbeitungsschritten durch deterministische Pseudonyme (z.B. „K-2024-001") ersetzt.

9. Cookies und lokaler Speicher

Kasaio verwendet ausschliesslich technisch notwendige Cookies fuer die Authentifizierung und Session-Verwaltung. Diese sind fuer den Betrieb der Plattform erforderlich (§25 Abs. 2 Nr. 2 TTDSG) und koennen nicht deaktiviert werden:

• sb-*-auth-token, sb-refresh-token — Supabase Auth-Session (HttpOnly, Secure, SameSite=Lax)

9.1 Lokaler Browser-Speicher

Im Local Storage Ihres Browsers wird unter dem Schluessel kasaio.cookie_consent Ihre einmalige Bestaetigung des Cookie-Hinweises gespeichert, damit der Banner nicht erneut erscheint. Dieser Wert wird nicht an unseren Server uebertragen und kann jederzeit durch Loeschen der Browser-Daten zurueckgesetzt werden.

9.2 Keine Tracking-Cookies

Kasaio setzt keine Tracking-Cookies, keine Werbe-Cookies und keine Analyse-Dienste wie Google Analytics oder Facebook Pixel ein. Es findet kein Pixel-Tracking, Fingerprinting oder Cross-Site-Tracking statt.

10. Änderungen

Diese Datenschutzerklärung kann bei Bedarf aktualisiert werden. Wesentliche Änderungen werden Ihnen per E-Mail oder über die Plattform mitgeteilt.

11a. Künstliche Intelligenz (KI)

Kasaio nutzt KI-Modelle zur Unterstützung bei wiederkehrenden Aufgaben. Die Verarbeitung erfolgt ausschließlich beim KI-Anbieter IONOS SE (Berlin, Deutschland) über das Produkt IONOS AI Model Hub. Eine Verarbeitung außerhalb der EU findet nicht statt; insbesondere werden keine Daten an US-Anbieter übermittelt.

KI-gestützte Funktionen

• Klassifikation und Datenextraktion aus PDF-Dokumenten und Bildern (z.B. Förderbescheide, Rechnungen, Belege, Workshop-Pläne, Teilnehmerlisten)
• Automatisierte Buchungsvorschläge im Banking-Modul
• Übersetzungen und stilistische Textverbesserung (Newsletter, Mitteilungen)
• Spracherkennung (Sprache eines eingegebenen Textes)
• Hilfe-Chatbot („Kodi") basierend auf öffentlichen Hilfe-Artikeln

Eingesetzte Modelle

Über IONOS AI Model Hub werden quelloffene Modelle wie Llama 3.1/3.3, Mistral-Small-24B, gpt-oss-120b, LightOnOCR-2 und FLUX.1-schnell betrieben — vollständig auf IONOS-Infrastruktur in Deutschland.

Schutz Ihrer Daten beim KI-Einsatz

• Keine Speicherung der Inhalte beim KI-Anbieter: IONOS protokolliert die übermittelten Inhalte nicht und nutzt sie nicht zu Trainingszwecken (vertraglich zugesichert im AVV).
• Pseudonymisierung (K1-Alias-Pipeline): Bei PII-relevanten Calls (z.B. Teilnehmerlisten) werden Klarnamen vor der Übertragung durch deterministische Tokens (z.B. „PERSON_001", „EMAIL_002") ersetzt. Die Zuordnung Token ↔ Klarname erfolgt ausschließlich serverseitig in unserem Auftragsverarbeitungs-Prozess und wird nicht an die KI übergeben.
• Keine US-Sub-Processors: Sämtliche Inferenz findet in IONOS-Rechenzentren in Berlin statt. Es gibt keine Weiterleitung an US-Anbieter.
• Auditierung (ai_usage): Jeder KI-Aufruf wird intern protokolliert (Organisation, Funktion, Token-Anzahl, Erfolg/Fehler). Inhalte werden NICHT protokolliert. Das Logging dient ausschließlich der Fair-Use- und Kostenkontrolle.
• Human-in-the-loop: Bei sensiblen Vorgängen (Förderanträge, Belege, Berichte zu Kindern) gilt: KI-Vorschläge werden niemals automatisch übernommen — eine Bestätigung durch eine berechtigte Person ist erforderlich.

Rechtsgrundlage

Die KI-Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Plattform). Eine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO findet nicht statt.

Widerspruchsrecht

KI-Funktionen sind für jede Organisation deaktivierbar. Wenden Sie sich hierzu an den Administrator Ihrer Organisation oder an unseren Datenschutzbeauftragten (siehe §11).

11b. Auftragsverarbeitung & Sub-Processors

Mit allen folgenden Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Die Verarbeitung erfolgt ausschließlich in Deutschland bzw. der EU. Keine Weitergabe an US-Unternehmen oder in US-Jurisdiktionen.

Eine aktualisierte Liste der Auftragsverarbeiter wird auf dieser Seite veröffentlicht. Wesentliche Änderungen werden mit mindestens 14 Tagen Vorlauf per E-Mail an die Administrator:innen Ihrer Organisation angekündigt.

11. Kontakt

Bei Fragen zum Datenschutz wenden Sie sich bitte an unseren Datenschutzbeauftragten unter der im Impressum angegebenen Adresse.