Datenschutz & Datensouveränität
Unsere Datenschutz-Garantie
Souveränität ist bei uns kein bloßes Verkaufsargument – wir betreiben kein “Sovereignty-Washing” oder Cloudwashing. Echte Datensouveränität und strenger Datenschutz sind seit Stunde null Hauptteil der DNA von Octopus AI. Wir haben die Plattform speziell für den Mittelstand im deutschsprachigen Raum entwickelt, um modernste KI-Nutzung ohne Kompromisse bei der Sicherheit zu ermöglichen.
Das Wichtigste auf einen Blick
- Software “Made in Germany” – Octopus AI wird in Deutschland entwickelt, betreut und rechtlich verantwortet. Wir bieten ein sicheres, heimisches Fundament für die Nutzung globaler und europäischer KI-Technologie.
- Hosting bei Hetzner statt US-Hyperscaler – Wir hosten unsere Plattform bewusst nicht bei amerikanischen Cloud-Giganten, sondern bei Hetzner in Deutschland. Die drei wichtigsten Vorteile für dich:
- Schutz vor dem US CLOUD Act: Keine rechtlichen Hintertüren für ausländische Behörden; deine Daten unterliegen rein europäischem Recht.
- Echte technologische Unabhängigkeit: Keine versteckten Abhängigkeiten (Vendor Lock-in) von Big-Tech-Konzernen.
- Nachhaltigkeit & Effizienz: Die Rechenzentren werden zu 100 % mit Ökostrom betrieben und arbeiten extrem ressourcenschonend.
- Drei Nutzungsmodi für maximale Flexibilität:
- DSGVO-Modus (Standard): Entsprechend der europäischen Datenschutz-Grundverordnung für den sicheren geschäftlichen Alltag.
- EU-Modus: Höchste DSGVO-Konformität mit garantierter, vollständiger Datenverarbeitung physisch innerhalb der EU.
- Global-Modus (Frontier): Zugang zu den weltweit besten Modellen ohne geografische Einschränkungen (für unkritische Daten).
- Kein Modell-Training mit deinen Daten – Weder deine Eingaben noch generierte Antworten werden jemals zum Training von KI-Modellen verwendet. Deine Chat-Verläufe, Wissensbasen und Dateien werden ausschließlich auf unseren eigenen Servern gespeichert.
- Volle Transparenz pro Modell – Für jedes KI-Modell ist der Status (Kosten, DSGVO, Zero Data Retention, Standard-Eignung) jederzeit in der Übersichtstabelle einsehbar.
- Strikte Datentrennung & Verschlüsselung – Jeder Workspace ist logisch strikt von anderen getrennt (Mandantentrennung). Alle Daten werden bei der Übertragung und Speicherung nach höchsten Enterprise-Standards verschlüsselt.
- EU AI Act Ready – Octopus AI ist als KI-Plattform konzipiert, die es Unternehmen leicht macht, die Transparenz- und Dokumentationspflichten der neuen europäischen KI-Verordnung (EU AI Act) einzuhalten.
Der Datenfluss erklärt
Wenn du eine Nachricht im Chat sendest, durchläuft sie folgenden Weg:
1. Sichere Eingabe
Deine Nachricht wird ab dem ersten Zeichen durch TLS-Verschlüsselung geschützt übertragen – vergleichbar mit einem abhörsicheren Tunnel zwischen deinem Browser und unseren Servern in Deutschland.
2. Aufbereitung auf der Plattform
Unser Server bereitet deine Anfrage vor und reichert sie mit relevantem Kontext an:
- Chatverlauf – Die bisherige Konversation wird mitgesendet, damit die KI den Zusammenhang versteht
- Wissensbasen – Falls relevant, werden passende Inhalte aus deinen Wissensbasen hinzugefügt
- Persönliche Einstellungen – Deine Präferenzen (Anrede, Tonalität, Expertise-Level) fließen mit ein
3. Anfrage an das KI-Modell
Das aufbereitete Datenpaket wird über eine sichere API-Schnittstelle an das gewählte KI-Modell gesendet. Das Modell verarbeitet die Anfrage und sendet die Antwort zurück.
Entscheidend: Kein KI-Anbieter verwendet deine Daten zum Training. Bei Modellen mit Zero Data Retention werden die Daten nach der Verarbeitung sofort verworfen — der genaue Status ist pro Modell in der Übersichtstabelle einsehbar.
4. Sichere Speicherung
Die Antwort kehrt zu unserer Plattform zurück. Dein gesamter Chatverlauf wird auf unseren Servern in Deutschland gespeichert, damit du jederzeit darauf zugreifen kannst. Dabei sorgt Row-Level-Security (RLS) in der Datenbank dafür, dass jeder Workspace wie ein eigener, abgeschlossener Tresor funktioniert. Nutzer eines anderen Workspaces können niemals auf deine Daten zugreifen.
5. Auslieferung an dich
Die fertige Antwort wird erneut TLS-verschlüsselt an deinen Browser übermittelt und angezeigt.
Die vier Datenschutz-Stufen
Jedes KI-Modell — ob Chat- oder Bildmodell — ist mit einer Datenschutz-Stufe gekennzeichnet. So siehst du bei der Modellauswahl immer, unter welchen Bedingungen deine Daten verarbeitet werden.
| Stufe | Was bedeutet das? | Datenverarbeitung | Für wen geeignet? |
|---|---|---|---|
| EU-Souverän | EU-Anbieter auf EU-Infrastruktur. Volle Datenkontrolle innerhalb der EU, kein Zugriff durch Drittländer möglich | Ausschließlich in der EU | Regulierte Branchen (Gesundheit, Finanzen, Recht), höchste Compliance-Anforderungen |
| DSGVO | Internationaler Anbieter, aber Verarbeitung auf EU-Servern. Auftragsverarbeitungsvertrag (AVV) garantiert DSGVO-Konformität, kein Datentransfer in Drittländer | Ausschließlich in der EU | Geschäftsdaten, personenbezogene Daten, vertrauliche Informationen |
| DSGVO (DPF) | Internationaler Anbieter mit EU-US Data Privacy Framework Zertifizierung. Daten können in den USA verarbeitet werden, der Angemessenheitsbeschluss der EU-Kommission sichert die DSGVO-Konformität | EU oder USA (DPF-zertifiziert) | Geschäftsdaten und personenbezogene Daten — DSGVO-konform, aber ohne EU-Verarbeitungsgarantie |
| Global | Kein EU-Serverstandort und keine DPF-Zertifizierung. Keine Garantie für DSGVO-konforme Verarbeitung | Weltweit, kein Schutzrahmen | Allgemeine Anfragen ohne sensible oder personenbezogene Daten |
Was darf ich mit welcher Stufe?
EU-Souverän, DSGVO und DSGVO (DPF) — Hier kannst du arbeiten mit:
- Personenbezogenen Daten (Namen, Adressen, E-Mails)
- Vertraulichen Geschäftsdaten (Finanzen, Strategie, Verträge)
- Kunden- und Mitarbeiterdaten
Hinweis: Bei DSGVO (DPF)-Modellen verlassen die Daten zwar nicht die EU-Rechtsordnung (dank Angemessenheitsbeschluss), können aber physisch in den USA verarbeitet werden. Für regulierte Branchen (Gesundheit, Finanzen, Recht) empfehlen wir EU-Souverän, da branchenspezifische Vorgaben oft über die DSGVO hinausgehen.
Global — Geeignet für:
- Allgemeine Textarbeit (Zusammenfassungen, Übersetzungen, Brainstorming)
- Öffentlich verfügbare Informationen
- Kreative Aufgaben ohne sensible Inhalte
Tipp für Administratoren: Du kannst in den Modell-Einstellungen gezielt nur DSGVO-konforme Modelle für deinen Workspace aktivieren und globale Modelle deaktivieren.
EU-US Data Privacy Framework (DPF)
Das EU-US Data Privacy Framework ist ein Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023. Er stellt fest, dass DPF-zertifizierte US-Unternehmen ein angemessenes Datenschutzniveau bieten — ein Datentransfer an diese Unternehmen ist damit DSGVO-konform, auch wenn die Verarbeitung in den USA stattfindet.
Was bedeutet das für die Modellauswahl?
Modelle mit der Stufe DSGVO (DPF) werden von DPF-zertifizierten Anbietern betrieben (z.B. Google, Microsoft, Amazon Web Services). Die Daten können physisch in den USA verarbeitet werden, unterliegen aber dem gleichen rechtlichen Schutzrahmen wie bei EU-Verarbeitung.
Unterschied zu DSGVO (EU-Verarbeitung)
| DSGVO | DSGVO (DPF) | |
|---|---|---|
| Rechtsgrundlage | AVV + EU-Serverstandort | AVV + DPF-Angemessenheitsbeschluss |
| Datenverarbeitung | Ausschließlich in der EU | EU oder USA |
| DSGVO-konform? | Ja | Ja |
| Empfehlung | Alle Anwendungsfälle | Alle Anwendungsfälle — bei besonders sensiblen Daten EU-Verarbeitung bevorzugen |
Zero Data Retention & Kein Training
Kein Training
Alle KI-Anbieter sind vertraglich verpflichtet, deine Daten nicht zum Training ihrer Modelle zu verwenden. Das gilt für sämtliche Modelle — unabhängig von der Datenschutz-Stufe. Weder deine Eingaben noch die generierten Antworten fließen in das Training ein.
Zero Data Retention (ZDR)
„Zero Data Retention” bedeutet: Deine Daten werden vom KI-Anbieter nach der Verarbeitung sofort gelöscht — es findet keine temporäre Speicherung statt.
Der ZDR-Status ist pro Modell in der Übersichtstabelle einsehbar. Bei Modellen ohne ZDR kann eine temporäre Speicherung beim Anbieter stattfinden (z.B. für Missbrauchserkennung), die Daten werden aber nicht zum Training verwendet.
Datenschutz-Status der KI-Modelle
Die folgende Tabelle zeigt den Datenschutz-Status aller verfügbaren Modelle — inklusive Standort, Datenschutz-Stufe, Training-Status und Zero Data Retention:
Chat-Modelle
| Modell | Datenschutz | Kein Training | Zero Data Retention |
|---|---|---|---|
| OpenAI | |||
| GPT-5.1 (thinking) Paris, Frankreich | DSGVO | Ja | — |
| GPT-5.5 Global - kein Serverstandort garantiert | Global | Ja | — |
| GPT-5.4 Paris, Frankreich | DSGVO | Ja | — |
| GPT-OSS 120B Mäntsälä, Finnland | EU-Souverän | Ja | Ja |
| Anthropic | |||
| Claude Opus 4.7 EU (mehrere Standorte) | DSGVO | Ja | Ja |
| Claude Opus 4.6 EU (mehrere Standorte) | DSGVO | Ja | Ja |
| Claude Sonnet 4.6 EU (mehrere Standorte) | DSGVO | Ja | Ja |
| Claude Haiku 4.5 EU (mehrere Standorte) | DSGVO | Ja | Ja |
| Gemini 2.5 Pro Niederlande | DSGVO | Ja | Ja |
| Gemini 2.5 Flash Niederlande | DSGVO | Ja | Ja |
| Gemini 3.1 Pro Global - kein Serverstandort garantiert | DSGVO (DPF) | Ja | Ja |
| Gemini 3 Flash Global - kein Serverstandort garantiert | DSGVO (DPF) | Ja | Ja |
| Gemini 3.1 Flash Lite Global - kein Serverstandort garantiert | DSGVO (DPF) | Ja | Ja |
| ZhipuAI | |||
| GLM 5 US Central | Global | Ja | Ja |
| GLM 5.1 Global - kein Serverstandort garantiert | Global | Ja | Ja |
| Qwen (Alibaba) | |||
| Qwen3.5 397B Thinking US Central | Global | Ja | Ja |
| Moonshot AI | |||
| Kimi K2.5 Mäntsälä, Finnland | EU-Souverän | Ja | Ja |
| Kimi K2.6 Global - kein Serverstandort garantiert | Global | Ja | Ja |
| DeepSeek | |||
| DeepSeek V3.2 US Central | Global | Ja | Ja |
| xAI | |||
| Grok 4 USA | Global | Ja | — |
| Grok 4.1 Fast USA | Global | Ja | — |
| Mistral AI | |||
| Mistral Large 3 Paris, Frankreich | EU-Souverän | Ja | — |
Bildmodelle
| Modell | Datenschutz | Kein Training | Zero Data Retention |
|---|---|---|---|
| Gemini 3 Pro (Nano Banana Pro) Global - kein Serverstandort garantiert | DSGVO (DPF) | Ja | Ja |
| Gemini 3.1 Flash (Nano Banana 2) Niederlande | DSGVO | Ja | Ja |
| Imagen 4 Ultra Niederlande | DSGVO | Ja | Ja |
| Black Forest Labs | |||
| FLUX.2 Pro Paris, Frankreich | DSGVO | Ja | — |
| FLUX.2 Flex Paris, Frankreich | DSGVO (DPF) | Ja | — |
| OpenAI | |||
| GPT Image 1.5 Stockholm, Schweden | DSGVO | Ja | — |
Zero Data Retention für Microsoft Azure OpenAI wurde beantragt.
Wo werden meine Daten gespeichert?
| Datentyp | Speicherort | Verschlüsselung |
|---|---|---|
| Datenbank (Chat-Verläufe, Benutzerkonten) | Falkenstein, Deutschland | TLS (in transit), Secrets/Tokens AES-verschlüsselt |
| Wissensbasen (Dokumente) | Falkenstein, Deutschland | TLS (in transit) |
| Vektordatenbank (RAG-Suche) | Falkenstein, Deutschland | TLS (in transit) |
| Dateien & Bilder (S3-Speicher) | Frankfurt, Deutschland | AES-256 Client-Side Encryption (CSE, at rest) |
| Backups | Helsinki, Finnland | AES-256 (at rest) |
| Bei KI-Anbietern | Abhängig vom Modell — siehe Übersichtstabelle | TLS (in transit) |
Alle Daten werden auf unserer Infrastruktur in Deutschland gespeichert. Backups liegen in Helsinki (EU) und sind AES-256-verschlüsselt. Die KI-Anbieter erhalten nur die zur Verarbeitung nötigen Informationen — ob und wie lange diese beim Anbieter zwischengespeichert werden, hängt vom Modell ab (siehe Übersichtstabelle).
Sicherheitsmaßnahmen
Verschlüsselte Übertragung
Alle Verbindungen zwischen deinem Browser und unseren Servern sind durch TLS-Verschlüsselung geschützt. Das gilt sowohl für deine Eingaben als auch für die Antworten der KI.
Verschlüsselte Speicherung
Alle Dateien werden vor dem Upload mit AES-256 Client-Side Encryption (CSE) verschlüsselt — die Verschlüsselung erfolgt auf unserer Plattform, bevor die Daten den Speicheranbieter erreichen. Der Speicheranbieter hat keinen Zugriff auf die Inhalte. Backups sind ebenfalls AES-256-verschlüsselt.
Mandantentrennung
Jeder Workspace ist vollständig isoliert. Durch Row-Level-Security in der Datenbank ist sichergestellt, dass kein Zugriff auf Daten anderer Workspaces möglich ist — auch nicht versehentlich.
Authentifizierung
- Passwort-basierte Anmeldung oder Microsoft SSO
- Optionale Zwei-Faktor-Authentifizierung (MFA), erzwingbar durch Administratoren
- Sichere Session-Verwaltung
EU AI Act & Regulatorische Einordnung
Der EU AI Act (KI-Verordnung der EU) reguliert die Entwicklung und den Einsatz von Künstlicher Intelligenz in Europa. Da Octopus AI für den professionellen Einsatz im Mittelstand und bei Konzernen konzipiert ist, haben wir die Architektur so gewählt, dass sie Unternehmen bei der Einhaltung der KI-Verordnung aktiv unterstützt:
- Keine “Hochrisiko-KI” im Standard: Octopus AI ist als KI-Plattform (General-Purpose AI) konzipiert. Die reguläre Nutzung als digitaler Assistent, für Textarbeit, Bildgenerierung oder RAG (Wissenssuche) fällt nicht in die Kategorie der meldepflichtigen Hochrisiko-KI-Systeme (wie z. B. biometrische Überwachung oder KI im Bewerbermanagement).
- Transparenz durch Design: Die Plattform macht jederzeit transparent, dass Nutzer mit einer KI interagieren. Für die generierten Inhalte gilt bei uns das Prinzip der nachvollziehbarkeit.
- Vorteil durch Aggregation: Als Betreiber der Plattform binden wir die KI-Modelle über APIs ein. Die strengen Auflagen des AI Acts bezüglich Trainingsdaten, Copyrights und Energieverbrauch (für GPAI-Modelle) müssen von den Herstellern der Modelle (OpenAI, Google, Mistral etc.) nachgewiesen werden. Wir schützen euch vor direkten Abhängigkeiten.
- Nachweis der Lieferkette: Insbesondere durch unsere transparenten Modelle der Stufe EU-Souverän können Unternehmen lückenlos nachweisen, welche Technologie wo betrieben wird.
Hinweis: Wenn Kunden Octopus AI über unsere API tief in eigene, potenziell kritische Geschäftsprozesse integrieren, obliegt die finale Risikobewertung nach dem AI Act dem integrierenden Unternehmen.
Häufige Fragen
Werden meine Daten zum KI-Training verwendet?
Nein. Alle KI-Anbieter sind vertraglich verpflichtet, deine Daten nicht zum Training zu verwenden. Dies ist in unserem Auftragsverarbeitungsvertrag (AVV) festgelegt.
Was ist der Unterschied zwischen EU-Souverän, DSGVO und DSGVO (DPF)?
- EU-Souverän: Der Anbieter ist ein europäisches Unternehmen und die gesamte Infrastruktur steht unter EU-Kontrolle. Daten bleiben ausschließlich in der EU.
- DSGVO: Der Anbieter ist ein internationales Unternehmen (z.B. OpenAI, Google), das die Verarbeitung auf EU-Servern durchführt und per AVV an die DSGVO gebunden ist. Daten bleiben ausschließlich in der EU.
- DSGVO (DPF): Der Anbieter ist DPF-zertifiziert. Daten können in den USA verarbeitet werden, sind aber durch den Angemessenheitsbeschluss der EU-Kommission DSGVO-konform geschützt.
Kann mein Administrator meine Chats lesen?
Nein. Administratoren können Nutzungsstatistiken einsehen (z.B. Anzahl der Nachrichten), haben aber keinen Zugriff auf Chat-Inhalte.
Was passiert bei einem Modellwechsel mit meinen Daten?
Dein Chatverlauf bleibt vollständig erhalten. Er wird auf unseren Servern gespeichert und dem neuen Modell bei Bedarf zur Verfügung gestellt. Beim vorherigen Anbieter werden keine Daten zum Training verwendet — ob eine temporäre Speicherung stattfindet, hängt vom ZDR-Status des Modells ab.
Kann ich meine Daten löschen lassen?
Ja. Du kannst einzelne Chats jederzeit selbst löschen. Für eine vollständige Datenlöschung wende dich an deinen Administrator.
Darf ich personenbezogene Daten mit globalen Modellen verarbeiten?
Nein. Personenbezogene Daten sollten ausschließlich mit Modellen der Stufe EU-Souverän, DSGVO oder DSGVO (DPF) verarbeitet werden. Bei Modellen der Stufe Global fehlt ein rechtlicher Schutzrahmen für den Datentransfer — die Verarbeitung personenbezogener Daten ist damit nicht DSGVO-konform.