Ein Compliance-Tool, das die Kommunikation anderer auf Rechtskonformität prüft, steht selbst unter erhöhter Beobachtung. Wenn die eigenen Server in den USA stehen, kann das Produkt prinzipiell funktionieren, aber für europäische Kunden entsteht ein Dilemma. US-Cloud-Act erlaubt amerikanischen Behörden den Zugriff auf Daten, die auf Servern US-amerikanischer Anbieter liegen, unabhängig vom physischen Standort. EU-US-Datentransfer-Abkommen wie das EU-US Data Privacy Framework ändern daran grundsätzlich nichts.
Für ein Tool, das potenziell sensible Kommunikationsdaten, interne Analysen und Kundeninformationen verarbeitet, ist das ein strukturelles Risiko. Wir haben uns deshalb von Anfang an für eine konsequent europäische Infrastruktur entschieden.
GreenClaims Manager wird auf Infrastruktur betrieben, die durchgängig in Deutschland und damit innerhalb der EU liegt. Wir nutzen keine US-amerikanischen Cloud-Dienste für den Betrieb der Plattform, kein AWS, kein Microsoft Azure, kein Google Cloud. Keine amerikanischen CDNs für die Auslieferung von Inhalten.
Diese Entscheidung ist bewusst: Unabhängig vom jeweils geltenden EU-US-Datentransfer-Abkommen wollen wir nicht davon abhängig sein. Politische Abkommen ändern sich, juridische Auslegungen ebenso, eine Infrastruktur, die durchgängig in der EU liegt, bleibt davon weitgehend unberührt.
Der GreenClaims Manager läuft auf dedizierten Servern bei der Hetzner Online GmbH, einem deutschen Rechenzentrumsbetreiber mit Standorten in Deutschland und Finnland. Hetzner unterliegt deutschem und europäischem Recht, nicht dem US Cloud Act.
Server-IP: 5.9.146.5
Sie können dies selbst nachvollziehen: Eine Abfrage bei ipinfo.io oder whois.com bestätigt Hetzner als Betreiber mit Standort Deutschland. Wer eigenständig verifizieren möchte, dass keine US-Infrastruktur im Spiel ist, kann das mit öffentlichen Tools tun.
Alle Scan-Ergebnisse, Findings, Compliance-Reports und Nutzerdaten werden verschlüsselt auf diesen Servern gespeichert. Es gibt keine Replikation in US-Rechenzentren.
Wenn Sie eine Domain scannen, crawlt GreenClaims Manager die öffentlich erreichbaren Seiten dieser Domain. Dieser Crawling-Prozess läuft auf der Hetzner-Infrastruktur, die Seiteninhalte verlassen dabei nicht den europäischen Rechtsraum.
Die gecrawlten Inhalte werden analysiert und die Scan-Ergebnisse verschlüsselt in Deutschland gespeichert. Nur Sie und die von Ihnen eingeladenen Teammitglieder haben Zugriff auf Ihre Scan-Daten. Administratoren der Plattform haben keinen Einblick in Ihre Inhaltsdaten.
Sie können Scan-Daten jederzeit löschen. Auf Wunsch exportieren wir Ihre Daten und entfernen sie nach einer definierten Frist aus den Live-Systemen. Backup-Richtzeiten betragen 30 Tage, danach sind auch Backups endgültig gelöscht.
Sie haben nun gelesen, wo Ihre Daten liegen und wie der Scan-Prozess abläuft. Überzeugen Sie sich selbst: Starten Sie einen Scan Ihrer Domain und verfolgen Sie, wie die Analyse auf Hetzner-Servern in Deutschland läuft.
Überprüfen Sie jetzt kostenfrei Ihre eigene Webseite..
Kostenlos · Keine Kreditkarte · Ergebnisse in 10-15 Min.
Weiter mit der Frage, was bei der Claim-Bewertung an externe APIs übertragen wird:
Für die algorithmische Bewertung einzelner Umweltaussagen setzen wir auf externe Analyse-APIs, konkret: OpenAI und Anthropic (Claude). Diese APIs sind spezialisiert auf die Mustererkennung in natürlichsprachigem Text und erreichen eine Präzision, die mit rein regelbasierten Systemen nicht abbildbar ist.
Ausschließlich einzelne, isolierte Umwelt-Claims, also die konkrete Textaussage wie „100 % klimaneutral". Diese werden ohne Ihren Firmennamen, ohne URL-Kontext, ohne umliegende Inhalte an die Analyse-API übergeben.
Keine kompletten Seiteninhalte, keine ganzen Dokumente, kein Seitenkontext, keine Metadaten Ihrer Domain. Wir übertragen bewusst nur das Minimum, das für die Bewertung nötig ist.
Sowohl OpenAI als auch Anthropic haben in ihren API-Nutzungsbedingungen und Data Processing Agreements festgelegt, dass API-Daten nicht für das Training von Modellen verwendet werden. Wir haben diese Vereinbarungen vorab geprüft und sie sind Grundlage unserer Nutzung.
Wenn Sie GreenClaims Manager im geschäftlichen Kontext nutzen, schließen wir mit Ihnen einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ab. Für Enterprise-Kunden erstellen wir individuelle AVVs auf Anfrage, die an interne Compliance-Vorgaben angepasst sind.
"DSGVO-konform" ist ein Anspruch, der oft behauptet, selten spezifiziert wird. Konkret bedeutet das für GreenClaims Manager:
Verantwortlich im Sinne der DSGVO ist die Papoo Software & Media GmbH. Unseren Datenschutzbeauftragten erreichen Sie unter datenschutz@greenclaimsmanager.com. Bei konkreten Fragen zur Datenverarbeitung antworten wir in der Regel innerhalb von 5 Werktagen.
Für ein Compliance-Tool ist die Infrastruktur nicht nur ein technisches Detail, sondern Teil der Leistung. US-Cloud-Infrastruktur bedeutet prinzipiell Cloud-Act-Exposition, und damit ein Risiko, das europäische Kunden nicht tragen müssen. Unsere Entscheidung für durchgängig deutsche Server bei Hetzner, minimierte Datenübertragung an Analyse-APIs und klare Löschprozesse ist kein Marketing, sondern die Konsequenz aus dem Produktversprechen.
Auf Hetzner-Servern mit Standort Deutschland (Frankfurt/Helsinki). Die IP-Adresse 5.9.146.5 lässt sich über öffentliche Whois-Dienste verifizieren.
Nein. Weder nutzen wir Ihre Daten für eigenes Modell-Training, noch erlauben wir unseren API-Anbietern (OpenAI, Anthropic) die Nutzung zum Training. Diese Vereinbarungen sind vertraglich fixiert.
Für Enterprise-Kunden bieten wir eine Konfiguration an, die ausschließlich regelbasierte Analyse nutzt, ohne externe API-Aufrufe. Die Erkennungsgüte ist bei bestimmten Mustern geringer, aber für viele Anwendungsfälle ausreichend. Sprechen Sie uns an.
Wir löschen alle Ihre Daten innerhalb von 30 Tagen aus den Live-Systemen. Backups werden nach weiteren 30 Tagen überschrieben. Ein Export vorab ist möglich, wir stellen Ihre Daten als maschinenlesbares JSON bereit.
Dieser Artikel gibt unsere technische Infrastruktur und unsere internen Richtlinien wieder. Er stellt keine Rechtsberatung dar. Für eine rechtliche Bewertung Ihrer konkreten Situation empfehlen wir, einen auf Datenschutzrecht spezialisierten Anwalt hinzuzuziehen.