Datenschutzerklärung
Stand: 2026-06-08
Diese Erklärung beschreibt, welche personenbezogenen Daten HELGA verarbeitet, zu welchem Zweck, auf welcher Rechtsgrundlage und an welche Dritte sie unter Umständen weitergegeben werden. Sie ergänzt die Impressums-Angaben.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO:
HELGA Assistenz UG (haftungsbeschränkt)
vertreten durch Geschäftsführer Tim Oberstebrink
Wupperstraße 41
40219 Düsseldorf
Deutschland
E-Mail: buero@gibs-helga.de
Die Eintragung der Gesellschaft ins Handelsregister ist beantragt (GmbH in Gründung).
2. Welche Daten HELGA verarbeitet
2.1 Account-Daten
- E-Mail-Adresse (für Login + Benachrichtigungen)
- Passwort-Hash (Argon2id, niemals Klartext)
- Anzeigename (optional, freiwillig)
- Helga-Post-Adresse (
<name>@helga.email) — vom User selbst gewählt
2.2 Inhalts-Daten
HELGA verarbeitet die von Dir hochgeladenen oder per E-Mail zugestellten Dokumente sowie die daraus erkannten Daten:
- Originaldateien (PDF, Bilder, Mail-RFC822-Rohbytes)
- Aus dem Dokument extrahierter Text (OCR / Volltext)
- Erkannte Stammdaten (Absender, Empfänger, Kategorie, Frist, Kernaussage)
- Verknüpfungen zu „Schreibtischen" (Personen, Firmen, Immobilien aus Deinem Aktenschrank)
- Notizen + Chat-Verläufe pro Vorgang und Brief
2.3 Technische Daten
- IP-Adresse beim Zugriff (Server-Log, 14 Tage Aufbewahrung)
- User-Agent + Session-Cookie
- Zeitstempel von Logins und API-Aufrufen
3. Verschlüsselung
HELGA arbeitet mit tenant-eigenen Verschlüsselungs-Schlüsseln (DEKs). Sensible Felder (Brief-Inhalte, Kernaussagen, Schreibtisch-Namen, E-Mail-Adressen, Notizen, Chat-Verläufe) liegen in der Datenbank ausschließlich verschlüsselt (AES-GCM-SIV). Der DEK wird mit einem Master-Key (KEK) auf dem Server gewrappt. Wer den DB-Server angreift, ohne Zugriff auf den KEK zu haben, bekommt unleserliche Bytes.
Datei-Uploads (Originaldateien, Vorschauen, Roh-Captures) werden ebenfalls auf Applikationsebene mit dem Tenant-DEK verschlüsselt, bevor sie auf das Server-Volume geschrieben werden. Eine zusätzliche Disk-Verschlüsselung (LUKS) ist nicht aktiv; der Schutz erfolgt bewusst auf Anwendungsebene, weil die Schlüssel dort tenant-gebunden und granular widerrufbar sind.
Übertragungen zwischen Browser und Server sowie zwischen Server und externen Diensten (Mistral, Stripe, Mail-Smarthost) sind durchgehend TLS-verschlüsselt (HTTPS bzw. SMTP-STARTTLS).
4. Empfänger / Auftragsverarbeiter
HELGA nutzt folgende Dienstleister im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO:
4.1 Hosting
- Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Hosting der Application-Server und der Datenbank. Standort des Rechenzentrums: Nürnberg / Falkenstein (Deutschland).
4.2 KI-Verarbeitung
-
Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich.
Einziger LLM-Anbieter von HELGA. Verarbeitung von Brief-Volltexten
und Stammdaten zur Klassifikation, Empfänger-Erkennung,
Frist-Erkennung, Antwort-Entwürfen und Chat-Antworten. Endpoint
ausschließlich:
https://api.mistral.ai. HELGA setzt diesen Endpoint per Konfigurations-Hardlock fest; ein Wechsel auf einen anderen LLM-Anbieter oder eine andere Region ist nur über eine bewusste Code-Anpassung möglich. Übertragene Anfragen werden bei Mistral laut deren Geschäftsbedingungen nicht für Modell-Training verwendet (API-Default „no training"). - Mistral-Subprozessoren: Mistral betreibt die API-Infrastruktur über eigene EU-Subprozessoren (u.a. Amazon Web Services Region Frankfurt und Google Cloud Region Belgien). Detaillierte Liste und Verträge: siehe Mistrals eigene Datenschutz- und Sub-Processor-Übersicht.
-
Cloudflare, Inc., 101 Townsend Street, San Francisco,
CA 94107, USA — als Subprozessor von Mistral. Anfragen an
api.mistral.aiwerden über das Cloudflare-Edge-Netzwerk geroutet; der DNS-Eintrag löst aktuell auf einen Cloudflare-Server in der Region Frankfurt auf. Cloudflare kann dabei Verbindungs- Metadaten (IP, TLS-Handshake, Request-Header) und — abhängig von Mistrals TLS-Konfiguration — auch Request-Inhalte temporär verarbeiten. Da Cloudflare Inc. eine US-Gesellschaft ist, greift Art. 44 DSGVO (Drittlandsübermittlung); abgesichert über EU-Standardvertragsklauseln zwischen Mistral und Cloudflare.
4.3 Bezahlabwicklung
- Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Verarbeitung von Zahlungsdaten (Kreditkarte, SEPA). Stripe ist selbst Verantwortlicher für die Bezahldaten; HELGA bekommt nie die vollständige Kartennummer zu sehen.
4.4 E-Mail-Versand und -Empfang
-
Eingehende E-Mails (z.B. an
<name>@helga.email) werden direkt vom HELGA-eigenen Postfix-Server auf der Hetzner-Infrastruktur angenommen und verarbeitet. -
Ausgehende E-Mails (z.B. Bestätigungen, Briefings, Passwort-Resets)
werden über den von Hetzner Online GmbH bereitgestellten
SMTP-Smarthost
mail.your-server.deversendet (verschlüsselt via SMTP-STARTTLS, authentifiziert per SMTP-AUTH). Hetzner ist hier Auftragsverarbeiter im Sinne von Art. 28 DSGVO; der Smarthost ist Teil des Hetzner-Hostings (gleiche Rechtsgrundlage, gleiches Rechenzentrum in Deutschland). - Keine sonstigen externen Mail-Provider (kein Mailgun, SendGrid, Postmark, Amazon SES o.ä.) sind beteiligt.
5. Rechtsgrundlagen
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): für die Bereitstellung der HELGA-Funktionen und die Bezahlabwicklung.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Server-Logs, Anti-Missbrauch, technische Sicherheit.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): bei optionalen Funktionen wie Reminder-E-Mails (kann jederzeit widerrufen werden in „Mein Konto").
- Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrungspflichten gem. GoBD/AO bei bezahlpflichtigen Rechnungen.
5.1 Drittlandsübermittlung (Art. 44ff DSGVO)
HELGA betreibt seine eigene Infrastruktur (Application-Server, Datenbank, Mail-Server, Datei-Volumes) ausschließlich in der EU (Hetzner Deutschland). Die KI-Verarbeitung läuft bei Mistral AI in Frankreich.
Eine Übermittlung an Drittländer findet ausschließlich mittelbar statt, weil Mistral AI als Subprozessor das Cloudflare-Edge-Netzwerk (Cloudflare Inc., USA) zur Bereitstellung des API-Endpunkts nutzt. Diese Konstellation ist abgesichert durch EU-Standardvertragsklauseln zwischen Mistral und Cloudflare. HELGA hat keinen direkten Vertrag mit Cloudflare.
Eine Übermittlung von Bezahldaten an Stripe Payments Europe Ltd. (Irland) erfolgt innerhalb der EU; Stripe kann seinerseits Unter-Subprozessoren in Drittländern einsetzen — Details siehe Stripes Datenschutzangaben.
6. Speicherdauer
- Aktive Konten: solange der Account besteht.
- Gelöschte Konten: physische Löschung aller Tenant-Daten innerhalb von 30 Tagen. Die Helga-Post-Adresse bleibt 12 Monate in Quarantäne (kein Re-Vergeben), um Identitäts- Übernahmen zu verhindern.
- Backups: verschlüsselte Snapshots, Aufbewahrung 14 tägliche / 8 wöchentliche / 12 monatliche Versionen. Backups werden bei Konto-Löschung NICHT rückwirkend bereinigt; sie laufen entsprechend dem Retention-Schedule aus.
- Server-Logs: 14 Tage rotation, danach gelöscht.
7. Deine Rechte
Du hast jederzeit das Recht auf:
- Auskunft über die zu Dir gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Deines Kontos und Deiner Daten (Art. 17 DSGVO). Unter „Mein Konto → Konto löschen" mit einem Klick verfügbar.
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit: GoBD-konformer ZIP-Export aller Schreibtische und Briefe unter „Mein Konto → Daten-Export" (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde
(Art. 77 DSGVO). Für den Sitz von HELGA in Düsseldorf zuständig:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf
E-Mail: poststelle@ldi.nrw.de
Web: www.ldi.nrw.de
8. Cookies
HELGA verwendet ausschließlich ein technisches Session-Cookie zur Authentifizierung. Keine Tracking-, Werbe- oder Analyse-Cookies. Keine Einbettung externer Skripte zur Verhaltensanalyse.
9. Keine automatisierte Entscheidung im Einzelfall
HELGA gibt KI-gestützte Vorschläge (Frist-Erkennung, Vorgang-Anlage, Antwort-Entwürfe), trifft aber keine rechtsverbindlichen Entscheidungen für Dich. Du entscheidest, ob ein Vorschlag übernommen wird (Art. 22 DSGVO findet keine Anwendung).
10. Änderungen dieser Erklärung
Wir passen diese Erklärung an, wenn sich die zugrundeliegenden Verarbeitungen ändern (z.B. neue Auftragsverarbeiter). Über wesentliche Änderungen informieren wir per E-Mail an die im Account hinterlegte Adresse.
11. Kontakt für Datenschutz-Anfragen
buero@gibs-helga.de
(oder per Post an die Anschrift in Punkt 1.)