Zum Hauptinhalt springen
Zurück zur Registrierung

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist der Betreiber der Kasaio-Plattform. Kontaktdaten finden Sie im Impressum.

2. Welche Daten wir erheben

Bei der Nutzung von Kasaio werden folgende Daten verarbeitet:

2.1 Registrierungsdaten

  • E-Mail-Adresse
  • Name
  • Passwort (verschlüsselt)
  • Organisationsname

2.2 Nutzungsdaten

  • IP-Adresse
  • Browser und Gerätetyp
  • Zugriffszeitpunkt
  • Aufgerufene Seiten

2.3 Inhaltsdaten

Alle Daten, die Sie in der Plattform eingeben (Mitgliederdaten, Projekte, Finanzdaten, Dokumente etc.) werden in Ihrem Auftrag als Auftragsverarbeitung gespeichert.

3. Zweck der Datenverarbeitung

Die Daten werden verarbeitet zur:

  • Bereitstellung der Plattform-Funktionen
  • Authentifizierung und Kontosicherheit
  • Kommunikation mit Nutzern
  • Verbesserung des Services
  • Erfüllung rechtlicher Pflichten
  • KI-gestützte Verarbeitung (z.B. Dokumenten-Extraktion, Buchungsvorschläge, Übersetzungen) — ausschließlich durch IONOS AI Model Hub (Berlin, Deutschland). Details siehe §11a.

4. Rechtsgrundlagen

Die Verarbeitung erfolgt auf Basis von:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, wo erforderlich)
  • Art. 28 DSGVO (Auftragsverarbeitung)

5. Datenweitergabe

Ihre Daten werden nur an Dritte weitergegeben, wenn:

  • Sie ausdrücklich eingewilligt haben
  • Dies zur Vertragserfüllung erforderlich ist
  • Eine gesetzliche Verpflichtung besteht

Wir nutzen ausschließlich Auftragsverarbeiter mit Verarbeitung in Deutschland bzw. der EU. Es werden keine Daten an US-Unternehmen oder in US-Jurisdiktionen übermittelt. Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Eine vollständige Übersicht finden Sie in §11b.

6. Speicherdauer

Ihre Daten werden gespeichert, solange Ihr Konto aktiv ist. Nach Kündigung werden Daten gemäß den gesetzlichen Aufbewahrungsfristen (in der Regel 6-10 Jahre für buchhalterische Unterlagen) aufbewahrt und danach gelöscht.

7. Ihre Rechte

Sie haben folgende Rechte:

  • Auskunft: Sie können Auskunft über Ihre gespeicherten Daten verlangen
  • Berichtigung: Sie können die Korrektur unrichtiger Daten verlangen
  • Löschung: Sie können die Löschung Ihrer Daten verlangen
  • Einschränkung: Sie können die Einschränkung der Verarbeitung verlangen
  • Datenübertragbarkeit: Sie können Ihre Daten in einem gängigen Format erhalten
  • Widerspruch: Sie können der Verarbeitung widersprechen
  • Beschwerde: Sie können sich bei einer Aufsichtsbehörde beschweren

8. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein:

  • SSL/TLS-Verschlüsselung für alle Datenübertragungen
  • Verschlüsselte Speicherung sensibler Daten
  • Regelmäßige Sicherheitsupdates
  • Zugriffsbeschränkungen und Protokollierung (Audit-Log)
  • Regelmäßige Backups
  • Zertifizierungen unserer Auftragsverarbeiter: BSI C5 Type 2 und BSI IT-Grundschutz (IONOS-Infrastruktur), ISO 27001 (Hetzner, Supabase, IONOS).
  • Multi-Tenant-Isolation auf Datenbank-Ebene per Row Level Security (RLS): Daten verschiedener Organisationen sind technisch voneinander getrennt.
  • Datenklassifikation K1/K2/K3 mit zusätzlichem Alias-System für Entwicklungs- (K2) und Gesundheits-/Vorfallsdaten (K3): personenbezogene Daten werden vor sensiblen Verarbeitungsschritten durch deterministische Pseudonyme (z.B. „K-2024-001") ersetzt.

9. Cookies

Kasaio verwendet nur technisch notwendige Cookies für die Authentifizierung und Session-Verwaltung. Diese Cookies sind für den Betrieb der Plattform erforderlich und können nicht deaktiviert werden.

10. Änderungen

Diese Datenschutzerklärung kann bei Bedarf aktualisiert werden. Wesentliche Änderungen werden Ihnen per E-Mail oder über die Plattform mitgeteilt.

11a. Künstliche Intelligenz (KI)

Kasaio nutzt KI-Modelle zur Unterstützung bei wiederkehrenden Aufgaben. Die Verarbeitung erfolgt ausschließlich beim KI-Anbieter IONOS SE (Berlin, Deutschland) über das Produkt IONOS AI Model Hub. Eine Verarbeitung außerhalb der EU findet nicht statt; insbesondere werden keine Daten an US-Anbieter übermittelt.

KI-gestützte Funktionen

  • Klassifikation und Datenextraktion aus PDF-Dokumenten und Bildern (z.B. Förderbescheide, Rechnungen, Belege, Workshop-Pläne, Teilnehmerlisten)
  • Automatisierte Buchungsvorschläge im Banking-Modul
  • Übersetzungen und stilistische Textverbesserung (Newsletter, Mitteilungen)
  • Spracherkennung (Sprache eines eingegebenen Textes)
  • Hilfe-Chatbot („Kodi") basierend auf öffentlichen Hilfe-Artikeln

Eingesetzte Modelle

Über IONOS AI Model Hub werden quelloffene Modelle wie Llama 3.1/3.3, Mistral-Small-24B, gpt-oss-120b, LightOnOCR-2 und FLUX.1-schnell betrieben — vollständig auf IONOS-Infrastruktur in Deutschland.

Schutz Ihrer Daten beim KI-Einsatz

  • Keine Speicherung der Inhalte beim KI-Anbieter: IONOS protokolliert die übermittelten Inhalte nicht und nutzt sie nicht zu Trainingszwecken (vertraglich zugesichert im AVV).
  • Pseudonymisierung (K1-Alias-Pipeline): Bei PII-relevanten Calls (z.B. Teilnehmerlisten) werden Klarnamen vor der Übertragung durch deterministische Tokens (z.B. „PERSON_001", „EMAIL_002") ersetzt. Die Zuordnung Token ↔ Klarname erfolgt ausschließlich serverseitig in unserem Auftragsverarbeitungs-Prozess und wird nicht an die KI übergeben.
  • Keine US-Sub-Processors: Sämtliche Inferenz findet in IONOS-Rechenzentren in Berlin statt. Es gibt keine Weiterleitung an US-Anbieter.
  • Auditierung (ai_usage): Jeder KI-Aufruf wird intern protokolliert (Organisation, Funktion, Token-Anzahl, Erfolg/Fehler). Inhalte werden NICHT protokolliert. Das Logging dient ausschließlich der Fair-Use- und Kostenkontrolle.
  • Human-in-the-loop: Bei sensiblen Vorgängen (Förderanträge, Belege, Berichte zu Kindern) gilt: KI-Vorschläge werden niemals automatisch übernommen — eine Bestätigung durch eine berechtigte Person ist erforderlich.

Rechtsgrundlage

Die KI-Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Plattform). Eine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO findet nicht statt.

Widerspruchsrecht

KI-Funktionen sind für jede Organisation deaktivierbar. Wenden Sie sich hierzu an den Administrator Ihrer Organisation oder an unseren Datenschutzbeauftragten (siehe §11).

11b. Auftragsverarbeitung & Sub-Processors

Mit allen folgenden Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Die Verarbeitung erfolgt ausschließlich in Deutschland bzw. der EU. Keine Weitergabe an US-Unternehmen oder in US-Jurisdiktionen.

AuftragsverarbeiterZweckRegion
Hetzner Online GmbHAnwendungs-HostingFalkenstein/Nürnberg, DE
Supabase Inc.Datenbank, Auth, Storage (AWS eu-central-1)Frankfurt, DE
IONOS SEKI-Verarbeitung (AI Model Hub), E-MailBerlin, DE
LettermintNewsletter-VersandEU

Eine aktualisierte Liste der Auftragsverarbeiter wird auf dieser Seite veröffentlicht. Wesentliche Änderungen werden mit mindestens 14 Tagen Vorlauf per E-Mail an die Administrator:innen Ihrer Organisation angekündigt.

11. Kontakt

Bei Fragen zum Datenschutz wenden Sie sich bitte an unseren Datenschutzbeauftragten unter der im Impressum angegebenen Adresse.