Vertragliche Grundlagen
DSGVO
EDN-System schließt mit jedem Kunden einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Der AVV regelt Zweck und Dauer der Verarbeitung, Art der Daten, Kategorien betroffener Personen, technische und organisatorische Maßnahmen (TOMs) sowie Unterauftragsverhältnisse.
KI-ANBIETER
Der KI-Anbieter (OpenAI) ist als Unterauftragsverarbeiter im AVV aufgeführt. OpenAI ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Zusätzlich gelten Standardvertragsklauseln (SCCs). Kundendaten werden von OpenAI nicht zu Trainingszwecken verwendet (API-Nutzung, vertraglich zugesichert).
KIRCHLICHES DATENSCHUTZRECHT
Einrichtungen unter katholischer Trägerschaft (z.B. Caritas) unterliegen dem Gesetz über den Kirchlichen Datenschutz (KDG). Einrichtungen unter evangelischer Trägerschaft (z.B. Diakonie) unterliegen dem Datenschutzgesetz der EKD (DSG-EKD).
Die Architektur von SAJA (serverseitige Pseudonymisierung, deutsche Infrastruktur, AVV, dokumentierte TOMs) erfüllt die Anforderungen aller drei Regelwerke. Die Überlappung zwischen DSGVO, KDG und DSG-EKD liegt bei über 95%. Unterschiede betreffen primär die zuständige Aufsichtsbehörde und Meldepflichten.
Wenn Sie unter KDG oder DSG-EKD arbeiten: Sprechen Sie uns an. Wir klären gemeinsam, was Ihr Datenschutzbeauftragter braucht.
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOMS)
Verschlüsselung
TLS 1.2+ für alle Verbindungen, AES-256 für gespeicherte Daten
Mandantentrennung
Row-Level Security in der Datenbank. Träger A sieht keine Daten von Träger B.
Zugangskontrolle
Rollenbasierte Berechtigungen. Fachkräfte sehen ihre Kinder. Leitungen sehen alle.
Löschkonzept
Daten können jederzeit exportiert und gelöscht werden. Nach Vertragsende vollständige Löschung binnen 30 Tagen.
Audit-Trail
Alle Zugriffe und Änderungen nachvollziehbar.