Datenschutz & Datensouveränität
Unsere Datenschutz-Garantie
Octopus AI wurde speziell für den Mittelstand im deutschsprachigen Raum entwickelt. Datenschutz und Datensouveränität sind keine optionalen Extras, sondern Grundprinzipien der Plattform.
Das Wichtigste auf einen Blick
- Serverstandort Deutschland – Alle Daten werden ausschließlich auf Servern in Deutschland gespeichert
- DSGVO-konform – Die Plattform und alle EU-Souverän- und DSGVO-Modelle entsprechen der europäischen Datenschutz-Grundverordnung
- Kein Training mit deinen Daten – Kein KI-Anbieter verwendet deine Eingaben oder Antworten zum Modell-Training
- Deine Daten bleiben bei dir – Chat-Verläufe, Wissensbasen und Dateien werden nur auf unseren Servern gespeichert
- Transparenz pro Modell – Der Datenschutz-Status (DSGVO, Zero Data Retention, Standort) ist für jedes Modell einzeln einsehbar
Der Datenfluss erklärt
Wenn du eine Nachricht im Chat sendest, durchläuft sie folgenden Weg:
1. Sichere Eingabe
Deine Nachricht wird ab dem ersten Zeichen durch TLS-Verschlüsselung geschützt übertragen – vergleichbar mit einem abhörsicheren Tunnel zwischen deinem Browser und unseren Servern in Deutschland.
2. Aufbereitung auf der Plattform
Unser Server bereitet deine Anfrage vor und reichert sie mit relevantem Kontext an:
- Chatverlauf – Die bisherige Konversation wird mitgesendet, damit die KI den Zusammenhang versteht
- Wissensbasen – Falls relevant, werden passende Inhalte aus deinen Wissensbasen hinzugefügt
- Persönliche Einstellungen – Deine Präferenzen (Anrede, Tonalität, Expertise-Level) fließen mit ein
3. Anfrage an das KI-Modell
Das aufbereitete Datenpaket wird über eine sichere API-Schnittstelle an das gewählte KI-Modell gesendet. Das Modell verarbeitet die Anfrage und sendet die Antwort zurück.
Entscheidend: Kein KI-Anbieter verwendet deine Daten zum Training. Bei Modellen mit Zero Data Retention werden die Daten nach der Verarbeitung sofort verworfen — der genaue Status ist pro Modell in der Übersichtstabelle einsehbar.
4. Sichere Speicherung
Die Antwort kehrt zu unserer Plattform zurück. Dein gesamter Chatverlauf wird auf unseren Servern in Deutschland gespeichert, damit du jederzeit darauf zugreifen kannst. Dabei sorgt Row-Level-Security (RLS) in der Datenbank dafür, dass jeder Workspace wie ein eigener, abgeschlossener Tresor funktioniert. Nutzer eines anderen Workspaces können niemals auf deine Daten zugreifen.
5. Auslieferung an dich
Die fertige Antwort wird erneut TLS-verschlüsselt an deinen Browser übermittelt und angezeigt.
Die drei Datenschutz-Stufen
Jedes KI-Modell — ob Chat- oder Bildmodell — ist mit einer Datenschutz-Stufe gekennzeichnet. So siehst du bei der Modellauswahl immer, unter welchen Bedingungen deine Daten verarbeitet werden.
| Stufe | Was bedeutet das? | Datenverarbeitung | Für wen geeignet? |
|---|---|---|---|
| EU-Souverän | EU-Anbieter auf EU-Infrastruktur. Volle Datenkontrolle innerhalb der EU, kein Zugriff durch Drittländer möglich | Ausschließlich in der EU | Regulierte Branchen (Gesundheit, Finanzen, Recht), höchste Compliance-Anforderungen |
| DSGVO | Internationaler Anbieter, aber Verarbeitung auf EU-Servern. Auftragsverarbeitungsvertrag (AVV) garantiert DSGVO-Konformität, kein Datentransfer in Drittländer | Ausschließlich in der EU | Geschäftsdaten, personenbezogene Daten, vertrauliche Informationen |
| Global | Verarbeitung kann außerhalb der EU erfolgen (z.B. USA). Keine Garantie, dass Daten ausschließlich in der EU verarbeitet werden | Weltweit möglich | Allgemeine Anfragen ohne sensible oder personenbezogene Daten |
Was darf ich mit welcher Stufe?
EU-Souverän und DSGVO — Hier kannst du bedenkenlos arbeiten mit:
- Personenbezogenen Daten (Namen, Adressen, E-Mails)
- Vertraulichen Geschäftsdaten (Finanzen, Strategie, Verträge)
- Kunden- und Mitarbeiterdaten
- Daten aus regulierten Bereichen
Global — Geeignet für:
- Allgemeine Textarbeit (Zusammenfassungen, Übersetzungen, Brainstorming)
- Öffentlich verfügbare Informationen
- Kreative Aufgaben ohne sensible Inhalte
Tipp für Administratoren: Du kannst in den Modell-Einstellungen gezielt nur DSGVO-konforme Modelle für deinen Workspace aktivieren und globale Modelle deaktivieren.
Zero Data Retention & Kein Training
Kein Training
Alle KI-Anbieter sind vertraglich verpflichtet, deine Daten nicht zum Training ihrer Modelle zu verwenden. Das gilt für sämtliche Modelle — unabhängig von der Datenschutz-Stufe. Weder deine Eingaben noch die generierten Antworten fließen in das Training ein.
Zero Data Retention (ZDR)
„Zero Data Retention” bedeutet: Deine Daten werden vom KI-Anbieter nach der Verarbeitung sofort gelöscht — es findet keine temporäre Speicherung statt.
Der ZDR-Status ist pro Modell in der Übersichtstabelle einsehbar. Bei Modellen ohne ZDR kann eine temporäre Speicherung beim Anbieter stattfinden (z.B. für Missbrauchserkennung), die Daten werden aber nicht zum Training verwendet.
Datenschutz-Status der KI-Modelle
Die folgende Tabelle zeigt den Datenschutz-Status aller verfügbaren Modelle — inklusive Standort, Datenschutz-Stufe, Training-Status und Zero Data Retention:
Chat-Modelle
| Modell | Datenschutz | Kein Training | Zero Data Retention |
|---|---|---|---|
| OpenAI | |||
| GPT-5.1 Paris, Frankreich | DSGVO | Ja | — |
| GPT-5.1 (thinking) Paris, Frankreich | DSGVO | Ja | — |
| GPT-5.4 Global - kein Serverstandort garantiert | Global | Ja | — |
| Anthropic | |||
| Claude Opus 4.6 EU (mehrere Standorte) | DSGVO | Ja | Ja |
| Claude Sonnet 4.6 EU (mehrere Standorte) | DSGVO | Ja | Ja |
| Claude Haiku 4.5 EU (mehrere Standorte) | DSGVO | Ja | Ja |
| Gemini 2.5 Pro Niederlande | DSGVO | Ja | — |
| Gemini 2.5 Flash Niederlande | DSGVO | Ja | — |
| Gemini 3.1 Pro Global - kein Serverstandort garantiert | Global | Ja | — |
| Gemini 3 Flash Global - kein Serverstandort garantiert | Global | Ja | — |
| ZhipuAI | |||
| GLM 4.7 Mäntsälä, Finnland | EU-Souverän | Ja | Ja |
| Qwen (Alibaba) | |||
| Qwen3 235B Instruct Mäntsälä, Finnland | EU-Souverän | Ja | Ja |
| Qwen3 235B Thinking Mäntsälä, Finnland | EU-Souverän | Ja | Ja |
| Moonshot AI | |||
| Kimi K2.5 Paris, Frankreich | EU-Souverän | Ja | Ja |
| DeepSeek | |||
| DeepSeek V3.2 Mäntsälä, Finnland | EU-Souverän | Ja | Ja |
| xAI | |||
| Grok 4 USA | Global | Ja | — |
| Grok 4.1 Fast USA | Global | Ja | — |
| Mistral AI | |||
| Mistral Large 3 Paris, Frankreich | EU-Souverän | Ja | — |
Bildmodelle
| Modell | Datenschutz | Kein Training | Zero Data Retention |
|---|---|---|---|
| Gemini 3 Pro Global - kein Serverstandort garantiert | Global | Ja | — |
| Imagen 4 Ultra Niederlande | DSGVO | Ja | — |
| Black Forest Labs | |||
| FLUX.2 Pro Paris, Frankreich | DSGVO | Ja | — |
| OpenAI | |||
| GPT Image 1.5 Stockholm, Schweden | DSGVO | Ja | — |
Zero Data Retention für Microsoft Azure OpenAI und Google Vertex AI wurde beantragt.
Wo werden meine Daten gespeichert?
| Datentyp | Speicherort | Verschlüsselung |
|---|---|---|
| Datenbank (Chat-Verläufe, Benutzerkonten) | Falkenstein, Deutschland | TLS (in transit), Secrets/Tokens AES-verschlüsselt |
| Wissensbasen (Dokumente) | Falkenstein, Deutschland | TLS (in transit) |
| Vektordatenbank (RAG-Suche) | Falkenstein, Deutschland | TLS (in transit) |
| Dateien & Bilder (S3-Speicher) | Frankfurt, Deutschland | AES-256 Client-Side Encryption (CSE, at rest) |
| Backups | Helsinki, Finnland | AES-256 (at rest) |
| Bei KI-Anbietern | Abhängig vom Modell — siehe Übersichtstabelle | TLS (in transit) |
Alle Daten werden auf unserer Infrastruktur in Deutschland gespeichert. Backups liegen in Helsinki (EU) und sind AES-256-verschlüsselt. Die KI-Anbieter erhalten nur die zur Verarbeitung nötigen Informationen — ob und wie lange diese beim Anbieter zwischengespeichert werden, hängt vom Modell ab (siehe Übersichtstabelle).
Sicherheitsmaßnahmen
Verschlüsselte Übertragung
Alle Verbindungen zwischen deinem Browser und unseren Servern sind durch TLS-Verschlüsselung geschützt. Das gilt sowohl für deine Eingaben als auch für die Antworten der KI.
Verschlüsselte Speicherung
Alle Dateien werden vor dem Upload mit AES-256 Client-Side Encryption (CSE) verschlüsselt — die Verschlüsselung erfolgt auf unserer Plattform, bevor die Daten den Speicheranbieter erreichen. Der Speicheranbieter hat keinen Zugriff auf die Inhalte. Backups sind ebenfalls AES-256-verschlüsselt.
Mandantentrennung
Jeder Workspace ist vollständig isoliert. Durch Row-Level-Security in der Datenbank ist sichergestellt, dass kein Zugriff auf Daten anderer Workspaces möglich ist — auch nicht versehentlich.
Authentifizierung
- Passwort-basierte Anmeldung oder Microsoft SSO
- Optionale Zwei-Faktor-Authentifizierung (MFA), erzwingbar durch Administratoren
- Sichere Session-Verwaltung
Häufige Fragen
Werden meine Daten zum KI-Training verwendet?
Nein. Alle KI-Anbieter sind vertraglich verpflichtet, deine Daten nicht zum Training zu verwenden. Dies ist in unseren Auftragsverarbeitungsverträgen festgelegt.
Was ist der Unterschied zwischen EU-Souverän und DSGVO?
Beide Stufen garantieren, dass deine Daten ausschließlich in der EU verarbeitet werden. EU-Souverän bedeutet zusätzlich, dass der Anbieter selbst ein europäisches Unternehmen ist und die gesamte Infrastruktur unter EU-Kontrolle steht. Bei DSGVO-Modellen ist der Anbieter ein internationales Unternehmen (z.B. OpenAI, Google), das die Verarbeitung aber auf EU-Servern durchführt und per AVV an die DSGVO gebunden ist.
Kann mein Administrator meine Chats lesen?
Nein. Administratoren können Nutzungsstatistiken einsehen (z.B. Anzahl der Nachrichten), haben aber keinen Zugriff auf Chat-Inhalte.
Was passiert bei einem Modellwechsel mit meinen Daten?
Dein Chatverlauf bleibt vollständig erhalten. Er wird auf unseren Servern gespeichert und dem neuen Modell bei Bedarf zur Verfügung gestellt. Beim vorherigen Anbieter werden keine Daten zum Training verwendet — ob eine temporäre Speicherung stattfindet, hängt vom ZDR-Status des Modells ab.
Kann ich meine Daten löschen lassen?
Ja. Du kannst einzelne Chats jederzeit selbst löschen. Für eine vollständige Datenlöschung wende dich an deinen Administrator.
Darf ich personenbezogene Daten mit globalen Modellen verarbeiten?
Nein. Personenbezogene Daten sollten ausschließlich mit Modellen der Stufe EU-Souverän oder DSGVO verarbeitet werden. Bei globalen Modellen kann die Verarbeitung außerhalb der EU stattfinden, was datenschutzrechtlich problematisch ist.