GreenClaims Manager und Datenschutz: Unsere Infrastruktur im Überblick

GreenClaims Manager und Datenschutz: Unsere Infrastruktur im Überblick

Warum die Infrastruktur für ein Compliance-Tool entscheidend ist

Ein Compliance-Tool, das die Kommunikation anderer auf Rechtskonformität prüft, steht selbst unter erhöhter Beobachtung. Wenn die eigenen Server in den USA stehen, kann das Produkt prinzipiell funktionieren, aber für europäische Kunden entsteht ein Dilemma. US-Cloud-Act erlaubt amerikanischen Behörden den Zugriff auf Daten, die auf Servern US-amerikanischer Anbieter liegen, unabhängig vom physischen Standort. EU-US-Datentransfer-Abkommen wie das EU-US Data Privacy Framework ändern daran grund­sätzlich nichts.

Für ein Tool, das potenziell sensible Kommunikationsdaten, interne Analysen und Kundeninformationen verarbeitet, ist das ein strukturelles Risiko. Wir haben uns deshalb von Anfang an für eine konsequent europäische Infrastruktur entschieden.

Unsere Grundposition

GreenClaims Manager wird auf Infrastruktur betrieben, die durchgängig in Deutschland und damit innerhalb der EU liegt. Wir nutzen keine US-amerikanischen Cloud-Dienste für den Betrieb der Plattform, kein AWS, kein Microsoft Azure, kein Google Cloud. Keine amerikanischen CDNs für die Auslieferung von Inhalten.

Diese Entscheidung ist bewusst: Unabhängig vom jeweils geltenden EU-US-Datentransfer-Abkommen wollen wir nicht davon abhängig sein. Politische Abkommen ändern sich, juridische Auslegungen ebenso, eine Infrastruktur, die durchgängig in der EU liegt, bleibt davon weitgehend unberührt.

Unsere Infrastruktur, nachvollziehbar

Der GreenClaims Manager läuft auf dedizierten Servern bei der Hetzner Online GmbH, einem deutschen Rechenzentrumsbetreiber mit Standorten in Deutschland und Finnland. Hetzner unterliegt deutschem und europäischem Recht, nicht dem US Cloud Act.

Server-IP: 5.9.146.5

Sie können dies selbst nachvollziehen: Eine Abfrage bei ipinfo.io oder whois.com bestätigt Hetzner als Betreiber mit Standort Deutschland. Wer eigenständig verifizieren möchte, dass keine US-Infrastruktur im Spiel ist, kann das mit öffentlichen Tools tun.

Alle Scan-Ergebnisse, Findings, Compliance-Reports und Nutzerdaten werden verschlüsselt auf diesen Servern gespeichert. Es gibt keine Replikation in US-Rechenzentren.

Was beim Website-Scan mit Ihren Daten passiert

Crawling auf EU-Infrastruktur

Wenn Sie eine Domain scannen, crawlt GreenClaims Manager die öffentlich erreichbaren Seiten dieser Domain. Dieser Crawling-Prozess läuft auf der Hetzner-Infrastruktur, die Seiteninhalte verlassen dabei nicht den europäischen Rechtsraum.

Verschlüsselte Speicherung

Die gecrawlten Inhalte werden analysiert und die Scan-Ergebnisse verschlüsselt in Deutschland gespeichert. Nur Sie und die von Ihnen eingeladenen Teammitglieder haben Zugriff auf Ihre Scan-Daten. Administratoren der Plattform haben keinen Einblick in Ihre Inhaltsdaten.

Löschmöglichkeiten

Sie können Scan-Daten jederzeit löschen. Auf Wunsch exportieren wir Ihre Daten und entfernen sie nach einer definierten Frist aus den Live-Systemen. Backup-Richtzeiten betragen 30 Tage, danach sind auch Backups endgültig gelöscht.

Zwischenfrage: Selbst testen, deutsche Infrastruktur erleben

Sie haben nun gelesen, wo Ihre Daten liegen und wie der Scan-Prozess abläuft. Überzeugen Sie sich selbst: Starten Sie einen Scan Ihrer Domain und verfolgen Sie, wie die Analyse auf Hetzner-Servern in Deutschland läuft.

Überprüfen Sie jetzt kostenfrei Ihre eigene Webseite..

Kostenlos · Keine Kreditkarte · Ergebnisse in 10-15 Min.

Weiter mit der Frage, was bei der Claim-Bewertung an externe APIs übertragen wird:

Bewertung einzelner Claims: Was an externe Anbieter übertragen wird, und was nicht

Warum externe APIs genutzt werden

Für die algorithmische Bewertung einzelner Umweltaussagen setzen wir auf externe Analyse-APIs, konkret: OpenAI und Anthropic (Claude). Diese APIs sind spezialisiert auf die Mustererkennung in natürlichsprachigem Text und erreichen eine Präzision, die mit rein regelbasierten Systemen nicht abbildbar ist.

Was übertragen wird

Ausschließlich einzelne, isolierte Umwelt-Claims, also die konkrete Textaussage wie „100 % klimaneutral". Diese werden ohne Ihren Firmennamen, ohne URL-Kontext, ohne umliegende Inhalte an die Analyse-API übergeben.

Was nicht übertragen wird

Keine kompletten Seiteninhalte, keine ganzen Dokumente, kein Seitenkontext, keine Metadaten Ihrer Domain. Wir übertragen bewusst nur das Minimum, das für die Bewertung nötig ist.

Kein Modell-Training mit Ihren Daten

Sowohl OpenAI als auch Anthropic haben in ihren API-Nutzungsbedingungen und Data Processing Agreements festgelegt, dass API-Daten nicht für das Training von Modellen verwendet werden. Wir haben diese Vereinbarungen vorab geprüft und sie sind Grundlage unserer Nutzung.

Auftragsverarbeitungsvertrag (AVV)

Wenn Sie GreenClaims Manager im geschäftlichen Kontext nutzen, schließen wir mit Ihnen einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ab. Für Enterprise-Kunden erstellen wir individuelle AVVs auf Anfrage, die an interne Compliance-Vorgaben angepasst sind.

DSGVO-konform, konkret

"DSGVO-konform" ist ein Anspruch, der oft behauptet, selten spezifiziert wird. Konkret bedeutet das für GreenClaims Manager:

  • Datenminimierung (Art. 5): Wir erfassen nur Daten, die für die Funktionsfähigkeit der Plattform und die Analyse zwingend erforderlich sind.
  • Speicherbegrenzung (Art. 5): Scan-Daten werden nach 90 Tagen gelöscht, sofern Sie nichts anderes konfigurieren.
  • Verschlüsselung (Art. 32): Daten werden at rest (AES-256) und in transit (TLS 1.3) verschlüsselt.
  • Recht auf Auskunft (Art. 15): Sie können jederzeit einen Export Ihrer Daten anfordern.
  • Recht auf Löschung (Art. 17): Sie können die Löschung Ihrer Daten verlangen, ohne Angabe von Gründen.

Verantwortliche Stelle und Kontakt

Verantwortlich im Sinne der DSGVO ist die Papoo Software & Media GmbH. Unseren Datenschutzbeauftragten erreichen Sie unter datenschutz@greenclaimsmanager.com. Bei konkreten Fragen zur Datenverarbeitung antworten wir in der Regel innerhalb von 5 Werktagen.

Fazit: Infrastruktur als Compliance-Entscheidung

Für ein Compliance-Tool ist die Infrastruktur nicht nur ein technisches Detail, sondern Teil der Leistung. US-Cloud-Infrastruktur bedeutet prinzipiell Cloud-Act-Exposition, und damit ein Risiko, das europäische Kunden nicht tragen müssen. Unsere Entscheidung für durchgängig deutsche Server bei Hetzner, minimierte Datenübertragung an Analyse-APIs und klare Löschprozesse ist kein Marketing, sondern die Konsequenz aus dem Produktversprechen.

Häufige Fragen

Wo stehen die Server physisch?

Auf Hetzner-Servern mit Standort Deutschland (Frankfurt/Helsinki). Die IP-Adresse 5.9.146.5 lässt sich über öffentliche Whois-Dienste verifizieren.

Werden meine Scan-Daten für das Training von Modellen verwendet?

Nein. Weder nutzen wir Ihre Daten für eigenes Modell-Training, noch erlauben wir unseren API-Anbietern (OpenAI, Anthropic) die Nutzung zum Training. Diese Vereinbarungen sind vertraglich fixiert.

Kann ich die Plattform ohne externe API-Aufrufe nutzen?

Für Enterprise-Kunden bieten wir eine Konfiguration an, die ausschließlich regelbasierte Analyse nutzt, ohne externe API-Aufrufe. Die Erkennungsgüte ist bei bestimmten Mustern geringer, aber für viele Anwendungsfälle ausreichend. Sprechen Sie uns an.

Was passiert, wenn ich mein Konto lösche?

Wir löschen alle Ihre Daten innerhalb von 30 Tagen aus den Live-Systemen. Backups werden nach weiteren 30 Tagen überschrieben. Ein Export vorab ist möglich, wir stellen Ihre Daten als maschinenlesbares JSON bereit.

Disclaimer

Dieser Artikel gibt unsere technische Infrastruktur und unsere internen Richtlinien wieder. Er stellt keine Rechtsberatung dar. Für eine rechtliche Bewertung Ihrer konkreten Situation empfehlen wir, einen auf Datenschutzrecht spezialisierten Anwalt hinzuzuziehen.


Back to top