GridDatenschutzerklärung

Datenschutzerklärung

Stand: 2026-05-21 · Plattform: Grid

1. Verantwortlicher

Centra.Link GmbH (Marke „Centra.Link”)

Kontakt zur Datenschutzbeauftragten: datenschutz@centra.link (Platzhalter – bitte vor Produktivstart durch tatsächlich benannte DSB ergänzen).

2. Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Basis des unten geführten Verzeichnisses der Verarbeitungstätigkeiten (VVT, Art. 30 DSGVO). Die system-weiten Einträge:

Ausschreibungsplanung – Vorbereitung von IT-Vergaben für Mandanten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Vergabevorbereitung)
Datenkategorien: Nutzerdaten (Name, E-Mail, Rolle), Mandantendaten, Ausschreibungsinhalte, Quellen (Meetings, Mails, Dokumente), Bausteine + Lose
Empfänger: Centra.Link GmbH (Mitarbeitende mit Mandanten-Zuordnung)
Löschfrist: 1095 Tage
KI-Verarbeitung – Themen-/Anforderungs-/Win-Strategie-Extraktion via Anthropic Claude API
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, siehe user_consents.ki_verarbeitung) + Art. 6 Abs. 1 lit. b DSGVO
Datenkategorien: Ausschreibungsinhalte, Quellen-Texte, Themen, Lose
Empfänger: Anthropic, PBC (USA) – Auftragsverarbeiter
⚠ Drittland-Übermittlung. Garantien: EU-Standardvertragsklauseln (SCC) mit Anthropic, PBC (USA). Vertragliche Zusicherung der Nicht-Verwendung von Eingaben für Modell-Training (Zero Retention API).
Löschfrist: 30 Tage
Audit-Trail – Nachvollziehbarkeit von Schreib-Operationen (Compliance, Beweissicherung)
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung: §147 AO, DSGVO Art. 5 Abs. 2) + Art. 6 Abs. 1 lit. f DSGVO
Datenkategorien: User-ID, User-Name, Aktion (CREATE/UPDATE/DELETE), Entity-Typ + ID, Vorher-/Nachher-Snapshot
Empfänger: Centra.Link GmbH (Admin-Rolle)
Löschfrist: 730 Tage

3. KI-Verarbeitung (Anthropic Claude)

Bestimmte Funktionen (Themen-Extraktion, Win-Strategie, KI-Assistent) übertragen Ausschreibungsinhalte an die Anthropic API (Anthropic, PBC, USA). Anthropic verwendet die Eingaben nicht für Modell-Training (Zero-Retention-Vertrag). Die Übermittlung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln.

Wir holen vor jedem KI-Call deine Einwilligung gemäß Art. 7 DSGVO ein (Consent-Modal beim ersten Login, verwaltbar unter /help → 🔒 Datenschutz). Bei Ablehnung bleiben KI-Funktionen deaktiviert; alle anderen Funktionen sind weiterhin verfügbar.

4. Rechte der Betroffenen

  • Auskunft (Art. 15): Download deiner Daten als JSON unter /help → 🔒 Datenschutz → „Meine Daten exportieren”.
  • Berichtigung (Art. 16): direkt im UI (Profil, Tickets, Themen).
  • Löschung (Art. 17): Antrag unter /help → 🔒 Datenschutz → „Konto löschen beantragen”. Ein Admin führt die Anonymisierung aus (Soft-Delete, da FK-Constraints).
  • Widerruf der Einwilligung (Art. 7 Abs. 3): jederzeit unter /help → 🔒 Datenschutz.
  • Beschwerde: bei der zuständigen Aufsichtsbehörde.

5. Technische und organisatorische Maßnahmen

  • TLS in Transit (HTTPS überall)
  • Neon Postgres mit Encryption at Rest, Frankfurt
  • Mandanten-Isolation per WHERE clientId in allen Queries
  • Audit-Log auf allen Schreib-Operationen (24 Monate Aufbewahrung)
  • Rate-Limit 100k Tokens / User / Tag
  • Internal API Keys: SHA-256-Hash in DB, never plain
← zurück zum Dashboard