DSGVO-konforme KI.
Warum die meisten Tools es nicht sind und wie Namulai damit umgeht.
DSGVO-Konformität ist kein Siegel, das ein KI-Anbieter sich selbst verleiht. Es ist ein Bündel von Pflichten nach der Verordnung (EU) 2016/679, das Rechtsgrundlage, Datenminimierung, Speicherbegrenzung, Transparenz und die Rechte der betroffenen Person abdeckt. Die meisten universellen KI-Tools wurden gebaut, bevor diese Pflichten ernst genommen wurden. Namulai wurde danach gebaut. Diese Seite legt klar dar, was wir tun, was wir an Auftragsverarbeiter delegieren und wo die Grenzen tatsächlich verlaufen.
Was die DSGVO von einem KI-Tool tatsächlich verlangt
Die Verordnung (EU) 2016/679 ist keine Schlagwort-Checkliste. Sie verlangt eine Rechtsgrundlage für die Verarbeitung (Art. 6), Zweckbindung (Art. 5 Abs. 1 lit. b), Datenminimierung (Art. 5 Abs. 1 lit. c), Speicherbegrenzung (Art. 5 Abs. 1 lit. e) und eine klare Verantwortungskette über Verantwortliche und Auftragsverarbeiter (Art. 24 bis 28).
Für einen KI-Assistenten konkret bedeutet das: Warum wird der Prompt gespeichert? Wie lange? Wird er zum Re-Trainieren eines Modells genutzt, und auf welcher Grundlage? Wer sind die Auftragsverarbeiter, wo sitzen sie, und gibt es einen Übermittlungsmechanismus für Verkehr, der den EWR verlässt? Diese Fragen stellt eine kompetente Datenschutzbeauftragte vor der Freigabe — und das sind die richtigen.
Wo die meisten großen KI-Tools schwächeln
Die Schwächen häufen sich. Kostenlose Verbraucherstufen verwenden Prompts standardmäßig zur Modellverbesserung, mit tief in den Einstellungen vergrabenem Opt-out. Standard-Auftragsverarbeitungsverträge fehlen oder sind nur in Enterprise-Tarifen verfügbar. Listen der Auftragsverarbeiter sind vage oder unveröffentlicht. Speicherfristen werden in Marketingtexten beschrieben, nicht im Vertrag.
Nichts davon macht die Tools zwingend rechtswidrig, aber es schiebt die Compliance-Last auf die Kundin. Eine Solo-Beraterin oder ein Fünf-Personen-Studio hat selten Zeit oder Hebel, das auszuverhandeln. Das Ergebnis ist ein leises Abdriften von Mandantendaten in Systeme, deren Rechtsgrundlage nie sauber etabliert wurde.
Wie Namulai damit umgeht
Namulai agiert als Verantwortlicher für Kontodaten und als Auftragsverarbeiter für die Inhalte Ihrer Gespräche. Kontodaten, Nachrichtenverlauf und Abrechnungsmetadaten liegen in MongoDB auf einer einzelnen Hetzner-VM in Falkenstein, Deutschland. Es gibt kein Analytics-Warehouse, keine zweite Kopie in einer anderen Region, keine Schattendatenbank.
Rechtsgrundlage ist die vertragliche Notwendigkeit nach Art. 6 Abs. 1 lit. b für den Dienst selbst und Einwilligung nach Art. 6 Abs. 1 lit. a für optionale Analyse. Wir trainieren keine Modelle auf Ihren Prompts. Inferenz wird über OpenRouter geroutet, dessen anbieterseitige Speicherung standardmäßig deaktiviert ist. Konto und Daten lassen sich aus den Einstellungen exportieren und löschen; die zugrunde liegenden Datensätze werden über MongoDB-TTL-Indizes innerhalb von 30 Tagen gelöscht.
Wo EU-Hosting und DSGVO-Nähe auseinanderdriften
Namulai ist kein reiner EU-only-Stack, und etwas anderes zu behaupten wäre irreführend. OpenRouter routet viele Modelle über EU-Endpunkte, wenn der Anbieter das unterstützt; einige Modelle werden jedoch ausschließlich aus US-Infrastruktur bedient. Wählen Sie eines dieser Modelle, verlässt der Prompt für die Dauer dieser einen Anfrage den EWR.
Diese Übermittlung ist durch Standardvertragsklauseln und anbieterseitige Zusagen abgedeckt — dieselbe rechtliche Basis, auf der die meisten Enterprise-SaaS-Lösungen nach Schrems II stehen. Sie ist rechtmäßig, aber nicht dasselbe wie nie Frankfurt zu verlassen. Wir machen die Unterscheidung im Modellauswähler sichtbar, statt sie zu verstecken, damit Sie bewusst entscheiden können.
Was das für EU-Unternehmen und Freiberufler heißt
Wenn Sie Mandantendaten unter Berufsverschwiegenheit, Gesundheitsdaten, juristische Akten oder anderes verarbeiten, das unter besondere Kategorien nach Art. 9 fällt, sollten Sie dieses Material nicht in einen kostenlosen Verbraucher-Chatbot kopieren. Die Rechtsgrundlage wackelt, und ein Audit-Trail existiert nicht.
Namulai bietet eine besser verteidigbare Position: einen einzelnen EU-gehosteten Verantwortlichen, eine veröffentlichte Liste der Auftragsverarbeiter, kein Training auf Prompts und die Möglichkeit, sensible Arbeit auf EU-geroutete Modelle zu beschränken. Das ersetzt keine eigene DSFA und macht aus einem Art.-9-Anwendungsfall keine Routine. Es heißt aber, dass für den Großteil einer Arbeitswoche die Compliance-Geschichte eine ist, die Sie tatsächlich erzählen können.
DSGVO und KI, häufige Fragen
Ist Namulai Verantwortlicher oder Auftragsverarbeiter?
Beides, je nach Daten. Für Ihre Kontoinformationen, Abrechnungsdaten und Authentifizierungs-Metadaten, die wir zum Betrieb des Dienstes benötigen, sind wir Verantwortlicher. Für die Inhalte Ihrer Gespräche mit den Modellen handeln wir als Auftragsverarbeiter in Ihrem Auftrag und routen die Anfrage über unseren Sub-Auftragsverarbeiter OpenRouter.
Schließen Sie eine Auftragsverarbeitungsvereinbarung ab?
Ja, auf Anfrage für zahlende Kundinnen. Die AVV folgt der nach Art. 28 erwarteten Struktur, listet die beteiligten Auftragsverarbeiter (OpenRouter, Stripe Payments Europe Ltd., E-Mail-Anbieter), nennt die verarbeiteten Datenkategorien und enthält die Standardvertragsklauseln für jede Übermittlung von Gesprächsinhalten an Modell-Endpunkte außerhalb des EWR.
Was ist die Rechtsgrundlage für die Verarbeitung meiner Prompts?
Vertragliche Notwendigkeit nach Art. 6 Abs. 1 lit. b der Verordnung (EU) 2016/679. Ohne den Prompt zu verarbeiten, können wir den abonnierten Dienst nicht erbringen. Optionale Analyse, sofern aktiviert, stützt sich auf Einwilligung nach Art. 6 Abs. 1 lit. a, die Sie jederzeit widerrufen können, ohne den Vertrag selbst zu berühren.
Wie lange speichern Sie meinen Gesprächsverlauf?
Solange Ihr Konto aktiv ist, damit Sie zurückkehren können. Wenn Sie Ihr Konto in den Einstellungen löschen, werden Gesprächsverlauf und Konto-Datensatz über TTL-Indizes innerhalb von 30 Tagen aus MongoDB entfernt. Verschlüsselte Datenbank-Backups werden in einem rollenden 24-Stunden-Fenster gehalten und im normalen Betrieb überschrieben.
Ein verteidigbarer KI-Workflow für EU-Teams, ohne Enterprise-Overhead.
Namulai kostenlos testen30 Tage kostenlos testen · danach 19,80€/Monat · jederzeit kündbar