Datenschutzhinweise für xpandAI workspace

Stand: 2026-06-08  |  Version: v1.0

1. Zweck dieser Hinweise

Diese Hinweise beschreiben die Verarbeitung personenbezogener Daten bei Nutzung von xpandAI workspace.

Sie ergänzen die allgemeine Website-Datenschutzerklärung. Die Website-Datenschutzerklärung betrifft insbesondere Websitebesuch, Cookies, Kontaktformulare, Marketing und allgemeine Kommunikation. Diese Workspace-Hinweise betreffen Registrierung, Nutzung der Plattform, Modellpfade, Chatdaten, Uploads, Wissensspeicher, Support und Sicherheit.

2. Rollen

xpand verarbeitet personenbezogene Daten teils in eigener Verantwortlichkeit und teils im Auftrag des Kunden.

Eigene Verantwortlichkeit von xpand besteht insbesondere für:

  • Registrierung und Vertragsverwaltung
  • Paket- und Nutzerverwaltung
  • Abrechnung
  • Sicherheit des Plattformbetriebs
  • Supportkommunikation
  • Missbrauchsvermeidung
  • gesetzliche Aufbewahrungspflichten

Auftragsverarbeitung kann vorliegen, soweit Kunden oder deren Nutzer personenbezogene Daten in den Workspace einbringen und xpand diese Daten zur Bereitstellung der Plattformfunktionen nach Weisung des Kunden verarbeitet. Hierfür gilt der Auftragsverarbeitungsvertrag als Anlage zu den AGB.

3. Verarbeitete Daten

Je nach Nutzung können verarbeitet werden:

  • Accountdaten, z. B. Name, E-Mail-Adresse, Organisation, Rolle
  • Vertrags- und Paketdaten
  • Login- und technische Nutzungsdaten
  • Prompts, Chatverläufe und KI-Ausgaben
  • hochgeladene Dateien und daraus extrahierte Inhalte
  • Wissensspeicher, Index- und Vektordaten
  • Assistenten- und Systemprompt-Konfigurationen, soweit ein Assistent genutzt wird
  • Supportanfragen
  • technische Logs und Sicherheitsdaten

4. Zwecke der Verarbeitung

Die Daten werden verarbeitet für:

  • Bereitstellung des Workspace
  • Authentifizierung und Berechtigungssteuerung
  • Paket- und Modellpfadsteuerung
  • Verarbeitung von Prompts und Dateien
  • Bereitstellung von KI-Ausgaben
  • Speicherung von Chatverläufen und Wissensspeichern, soweit aktiviert
  • Support, Fehleranalyse und Sicherheit
  • Missbrauchsvermeidung
  • Abrechnung und Vertragsverwaltung
  • Erfüllung gesetzlicher Pflichten

5. Modellpfade und Regionen

Je nach Paket werden unterschiedliche Modellpfade genutzt:

PaketModellpfadeVerarbeitung
Basicdeutsche Modellpfade, insbesondere openai/gpt-oss-120b über IONOSDeutschland, sofern keine Zusatzfunktionen aktiviert sind
Plusdeutsche und europäische Modellpfade, insbesondere Azure Datenzonenstandard (EUR) und Mistral, soweit freigeschaltetDeutschland / EU bzw. EU-Verarbeitungszone
Prodeutsche, europäische und internationale Modellpfadeje nach Modellpfad Deutschland, EU oder Drittland

Plus nutzt Azure Datenzonenstandard (EUR), Mistral und weitere EU-Modellpfade, soweit freigeschaltet. Pro kann weiterhin internationale Modellpfade enthalten.

6. Internationale Modellpfade

Bei Nutzung des Pro-Pakets können Daten an internationale Modellanbieter übermittelt werden, z. B. OpenAI, Anthropic/Claude, Google/Gemini, OpenRouter oder weitere Anbieter, soweit diese freigeschaltet sind.

Die Auswahl eines internationalen oder US-bezogenen Modellpfads kann eine Übermittlung personenbezogener Daten in ein Drittland auslösen. Nutzer sollten solche Modellpfade nur verwenden, wenn dies für den jeweiligen Zweck erforderlich und kundenseitig freigegeben ist.

Bei der Nutzung von Assistenten können neben der Eingabe des Nutzers auch die für den Assistenten hinterlegten Systemanweisungen und Kontextvorgaben an den jeweiligen Modellanbieter übermittelt werden. Datei-Uploads und Wissensspeicherinhalte können übermittelt werden, soweit sie für die jeweilige Anfrage oder Assistentenfunktion herangezogen werden.

Die Details ergeben sich aus:

7. Support und Einsicht in Inhalte

Eine allgemeine inhaltliche Kontrolle von Chatverläufen, Prompts oder Dateien findet nicht statt.

Eine Einsichtnahme durch xpand erfolgt nur, soweit dies für Support, Fehleranalyse, Sicherheit, Missbrauchsvermeidung, Vertragserfüllung oder aufgrund einer dokumentierten Weisung bzw. Freigabe des Kunden erforderlich ist.

Zugriffe werden auf berechtigte Personen beschränkt, die zur Vertraulichkeit verpflichtet sind.

8. Privacy-Filter

Soweit pro Nachricht aktiviert, kann ein Privacy-Filter bestimmte erkannte Muster in Nutzer-Eingabetexten vor Weiterleitung an Modellanbieter maskieren. Der Filter ist eine technische Zusatzmaßnahme und keine Garantie, dass personenbezogene Daten nicht an Modellanbieter übermittelt werden.

Der Filter erfasst insbesondere keine Datei-Uploads, Wissensspeicherinhalte, Systemanweisungen von Assistenten oder bereits erzeugte Antworten.

9. Speicherdauer und Löschung

Workspace-Daten werden während der aktiven Nutzung gespeichert, damit Kunden und Nutzer auf ihre Chats, Uploads, Wissensspeicher und Arbeitsergebnisse zugreifen können.

Workspace-Daten wie Chats, Uploads und Wissensspeicher werden nicht laufend automatisch gelöscht. Nach Kündigung, Vertragsende oder dokumentierter Weisung werden sie gelöscht oder exportiert, soweit dies technisch möglich ist und keine gesetzlichen Aufbewahrungspflichten oder berechtigten Sicherheits- und Nachweiszwecke entgegenstehen.

Backups können für einen begrenzten Zeitraum fortbestehen und werden im regulären Backup-Zyklus gelöscht oder überschrieben.

10. Empfänger

Empfänger können insbesondere sein:

  • Hostinganbieter
  • Zahlungsdienstleister
  • Authentifizierungs- und Pluginanbieter, soweit personenbezogene Daten übermittelt werden
  • Modellanbieter je Paket und Modellpfad
  • Support- und Betriebsdienstleister

Die Details ergeben sich aus der Subprozessorenliste.

11. Rechte betroffener Personen

Betroffene Personen haben nach Maßgabe der DSGVO insbesondere Rechte auf:

  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch
  • Beschwerde bei einer Aufsichtsbehörde

Soweit Daten im Auftrag eines Kunden verarbeitet werden, ist der Kunde erster Ansprechpartner für Betroffenenrechte. xpand unterstützt den Kunden im Rahmen des AVV.