DSGVO & Compliance

SovrGPT wurde mit dem Anspruch gebaut, ohne Workarounds DSGVO-konform betreibbar zu sein. Wir setzen keine Hyperscaler (AWS, Azure, Google Cloud) direkt ein. Eingesetzte Sub-Auftragsverarbeiter werden ausschließlich in deren EU-Regionen betrieben — der Verarbeitungspfad bleibt physisch in der EU. AVV nach Art. 28 DSGVO und Standardvertragsklauseln liegen vor.

Kurzfassung

Frage	Antwort
Wo werden Daten gespeichert?	In einer EU-Region (verschlüsselt at rest und in transit).
Wo läuft die Modell-Inferenz?	Auf GPU-Hardware in EU-Rechenzentren in mehreren EU-Mitgliedstaaten.
Wo läuft das Frontend?	Auf einer Edge-Plattform mit gepinnter EU-Region.
Werden Hyperscaler genutzt?	Nicht direkt. Einzelne Sub-Auftragsverarbeiter betreiben ihre EU-Regionen ihrerseits auf Hyperscaler-Infrastruktur in der EU — Hyperscaler sind insofern indirekt im Pfad, aber nicht als von uns gewählter Default. Für KI-Inferenz nutzen wir eigene GPU-Hardware in EU-Co-Locations, keinen Hyperscaler.
Wer ist Verantwortlicher?	Du (deine Organisation) für die Inhalte; eNetworkers GmbH (Jena, DE) ist Auftragsverarbeiter.
Wer ist Sub-Auftragsverarbeiter?	Kategorien siehe unten. Die vollständige Liste mit Firmierung, Anschrift und Standort stellen wir auf Anfrage zur Verfügung.
Trainingsdaten-Verwendung?	Keine. Keine deiner Daten werden zu Trainingszwecken verwendet — weder von uns noch von den Modell-Anbietern (alle self-hosted).

Auftragsverarbeitungsvertrag (AVV)

Im Standard-Onboarding für Team-Orgs ist ein AVV nach Art. 28 DSGVO enthalten. Er wird beim Anlegen der Org zur Annahme angezeigt.

Für Enterprise-Verträge passt eNetworkers den AVV an die individuelle Vertragslage an.

Datenflüsse

Browser (User, EU)
   │
   ▼
Web-Frontend (EU-Edge)
   │
   ├── Datenbank & Storage (EU) — Auth, Chats, Org-Daten, verschlüsselte Tokens, Anhänge
   ├── GPU-Inferenz (EU-Rechenzentren) — Modell-Inferenz
   ├── Transaktions-Mail-Versand (EU) — Magic-Link-Mails, System-Benachrichtigungen
   └── Fehler-Telemetrie (DE) — technische Stack-Traces (ohne Klartext-PII)

Kein Datenfluss verlässt zu irgendeinem Zeitpunkt die EU.

Sub-Auftragsverarbeiter (Kategorien)

Wir veröffentlichen hier nur die Kategorien der Empfänger gemäß Art. 13 Abs. 1 lit. e DSGVO. Die vollständige Liste mit Firmierung, Anschrift, Verarbeitungs-Standort und Vertragsgrundlage stellen wir auf schriftliche Anfrage an dsb@landgraf-datenschutz.de zur Verfügung — typischerweise binnen 1–2 Werktagen.

Kategorie	Standort	Zweck	Vertragsbasis
Hosting, CDN, serverlose Functions	EU-Region	Auslieferung Web-App + API-Routen	DPA + SCC
Datenbank, Authentifizierung, Datei-Storage	EU-Region	Persistenz, Login, Anhänge	DPA + SCC
GPU-Inferenz (Serverless)	EU-Rechenzentren in mehreren EU-Mitgliedstaaten	KI-Modell-Inferenz	DPA + SCC
Transaktions-E-Mail-Versand	EU-Region	Magic-Link- und System-Mails	DPA + SCC
Error-Telemetrie	Deutschland	technische Fehlerprotokollierung	DPA + SCC
Web-Suche (optional, opt-in pro Chat)	EU	Brave-Search-Backend	DPA

Welche Daten werden verarbeitet?

Account-Daten: E-Mail, Profil-Felder.
Chat-Inhalte: User-Prompts, Modell-Antworten, Anhänge.
Connector-Daten: nur was der jeweilige Connector explizit lädt (z. B. Notion-Page-Inhalte, GitHub-Issues).
Telemetry: anonymisierte Performance- und Fehler-Telemetrie ohne Klartext-PII.
Logs: Request-Logs (Method, Path, Status, Duration) für 30 Tage. Keine Body-Inhalte in Logs.

Löschung

Chat löschen: Hard-Delete in der Datenbank, Anhänge gleichzeitig aus dem Storage.
Org löschen: Cascading-Delete aller Chats, Connectoren, Tokens, API-Keys. Innerhalb von 30 Tagen wird auch die Backup-Resttabelle bereinigt.
Account löschen: Auf Anfrage per E-Mail an kontakt@e-networkers.de; der Auth-User wird gelöscht und cascadiert in profiles und Org-Mitgliedschaften.

Rechte der betroffenen Person

Auskunft, Berichtigung, Löschung, Datenübertragbarkeit nach Art. 15–20 DSGVO können über das Self-Service-Profil (/settings/profile) ausgeübt werden oder per E-Mail an kontakt@e-networkers.de beantragt werden. Antwort binnen 30 Tagen.