DEEN

Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Philip Hilgendorf
Bachstr. 2
53115 Bonn
Telefon: 01575 7146184
E-Mail: philip@philip-hilgendorf.com

Im Folgenden „Liefertreu“, „wir“ oder „der Anbieter“ genannt.

2. Überblick über die Verarbeitung

Liefertreu ist eine Software-as-a-Service-Lösung (SaaS), die Unternehmen bei der Erfüllung ihrer Sorgfaltspflichten nach dem Lieferkettensorgfaltspflichtengesetz (LkSG) unterstützt. Im Rahmen dieser Dienstleistung verarbeiten wir personenbezogene Daten in zwei unterschiedlichen Rollen:

  • Als Verantwortlicher für die Daten unserer Kunden (z. B. Account-Daten, Rechnungsdaten, Nutzungsdaten der Plattform).
  • Als Auftragsverarbeiter im Sinne von Art. 28 DSGVO für Daten, die unsere Kunden über Lieferanten, deren Ansprechpartner oder sonstige Dritte in die Software eingeben (z. B. Lieferanten-Stammdaten, Fragebogen-Antworten, hochgeladene Zertifikate). Für diese Verarbeitung schließen wir mit jedem Kunden einen separaten Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ab.

Diese Datenschutzerklärung informiert über die Verarbeitung, für die wir selbst als Verantwortlicher auftreten, sowie allgemein über die technischen und organisatorischen Grundlagen der Auftragsverarbeitung.

3. Hosting und Serverstandort

Unsere Anwendung sowie die zugehörige Datenbank werden auf Servern innerhalb der Europäischen Union betrieben. Es werden ausschließlich Hosting- und Infrastrukturdienstleister eingesetzt, die ihre Server in der EU (insb. Region Frankfurt am Main, Deutschland) betreiben oder die EU-Standardvertragsklauseln gemäß Art. 46 DSGVO mit uns vereinbart haben.

4. Verarbeitung personenbezogener Daten durch Künstliche Intelligenz (KI)

Ein zentraler Bestandteil unserer Software ist die automatisierte, KI-gestützte Auswertung von Lieferanten-Fragebögen sowie die automatisierte Prüfung hochgeladener Zertifikate. Wir legen besonderen Wert auf Transparenz bei diesem Verarbeitungsschritt.

4.1 Eingesetzte Modelle und Dienstleister

Für die KI-gestützte Auswertung nutzen wir die folgenden Sprachmodelle, die über die Vermittlungsplattform OpenRouter, Inc. angebunden werden:

  • GPT-OSS-20B (Open-Weight-Modell)
  • GPT-4o-mini (OpenAI)

Diese Modelle kommen ausschließlich bei folgenden Verarbeitungsvorgängen zum Einsatz:

  • Automatisierte inhaltliche Auswertung der von Lieferanten ausgefüllten Selbstauskunfts-Fragebögen (z. B. Plausibilitätsprüfung von Freitextantworten, Ableitung eines Risiko-Hinweises).
  • Automatisiertes Auslesen und Prüfen hochgeladener Zertifikate (z. B. Erkennung von Zertifikatstyp, Ablaufdatum und Firmenname aus dem Dokument).

4.2 Datenschutzkonfiguration (Zero Data Retention)

Die Anbindung an die genannten Modelle erfolgt mit folgenden datenschutzrelevanten Einstellungen:

  • Zero Data Retention (ZDR): Die angefragten Modellanbieter sind so konfiguriert, dass Anfrageinhalte (Prompts) und die zurückgegebenen Antworten nach Verarbeitung der Anfrage nicht dauerhaft gespeichert werden. Es findet kein Training der Modelle mit den übermittelten Daten statt.
  • EU-Hosting-Einstellung: Die Verarbeitung wird, soweit durch den jeweiligen Modellanbieter technisch unterstützt, bevorzugt über Infrastruktur mit EU-Bezug geleitet.

Wir weisen darauf hin, dass die vollständige, vertraglich zugesicherte Verarbeitung ausschließlich innerhalb der EU (sogenanntes EU-In-Region-Routing) bei manchen Modellanbietern von zusätzlichen Vereinbarungen abhängen kann. Wir aktualisieren diese Erklärung, sobald sich an der technischen oder vertraglichen Konfiguration etwas ändert.

Auch wenn durch die Zero-Data-Retention-Einstellung keine inhaltliche Speicherung der Prompts erfolgt, können beim Vermittlungsdienst OpenRouter sowie bei den Modellanbietern technische Metadaten der Anfrage (z. B. Token-Anzahl, Zeitstempel, Antwortdauer) zu Abrechnungs- und Sicherheitszwecken kurzzeitig verarbeitet werden.

4.3 Rechtsgrundlage und Transparenz

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b und f DSGVO (Vertragserfüllung bzw. berechtigtes Interesse an einer effizienten Bearbeitung) bzw. im Verhältnis zu unseren Kunden auf Grundlage des jeweiligen Auftragsverarbeitungsvertrags.

Die automatisierte Auswertung führt zu einer Einschätzung (z. B. einem Risiko-Hinweis oder Compliance-Score), die jedoch keine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO darstellt. Die finale Bewertung und Entscheidung über die Konsequenzen verbleibt stets bei unserem Kunden als datenschutzrechtlich Verantwortlichem im Verhältnis zu seinen Lieferanten.

5. Welche Daten wir verarbeiten

5.1 Daten unserer Vertragspartner (Kunden)

  • Stammdaten: Firmenname, Ansprechpartner, Anschrift, E-Mail-Adresse, Telefonnummer
  • Account- und Nutzungsdaten: Login-Daten, IP-Adresse, Zeitpunkt der Nutzung, gespeicherte Einstellungen
  • Abrechnungsdaten: Rechnungsanschrift, Zahlungsinformationen (soweit über einen Zahlungsdienstleister abgewickelt)

5.2 Daten, die im Auftrag unserer Kunden verarbeitet werden

  • Lieferanten-Stammdaten (Firmenname, Land, Branche, Ansprechpartner, Kontaktdaten)
  • Antworten aus Selbstauskunfts-Fragebögen
  • Hochgeladene Zertifikate und Nachweisdokumente
  • Kommunikationsverlauf (z. B. Erinnerungs-E-Mails, Status der Bearbeitung)

Diese Daten werden ausschließlich im Auftrag und nach Weisung unserer Kunden verarbeitet. Betroffene Personen (z. B. Mitarbeitende eines Lieferanten) wenden sich bei Fragen zur Verarbeitung dieser Daten bitte direkt an das jeweilige Kundenunternehmen, das als datenschutzrechtlich Verantwortlicher fungiert.

6. Weitere eingesetzte Dienstleister (Auftragsverarbeiter)

Zur Erbringung unserer Dienstleistung setzen wir folgende Kategorien von Subunternehmern ein, mit denen jeweils Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO bestehen:

  • Hosting- und Infrastrukturanbieter (Datenbank- und Serverbetrieb, EU-Region)
  • E-Mail-Versanddienstleister (Versand von Fragebögen, Erinnerungen und Benachrichtigungen)
  • KI-Vermittlungsdienst OpenRouter, Inc. sowie die darüber angebundenen Modellanbieter (siehe Ziffer 4)

Eine aktuelle und vollständige Liste aller eingesetzten Subunternehmer stellen wir unseren Kunden im Rahmen des Auftragsverarbeitungsvertrags zur Verfügung.

7. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben. Im Rahmen der Auftragsverarbeitung richtet sich die Speicherdauer nach den Weisungen unserer Kunden sowie den vertraglichen Vereinbarungen im jeweiligen AVV.

8. Ihre Rechte als betroffene Person

Soweit wir als Verantwortlicher handeln, haben Sie folgende Rechte:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Zur Ausübung dieser Rechte wenden Sie sich an die in Ziffer 1 genannten Kontaktdaten. Ihnen steht zudem ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde zu, z. B. bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

9. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO, um Ihre Daten gegen Manipulation, Verlust, Zerstörung oder unberechtigten Zugriff zu schützen. Dazu zählen unter anderem Verschlüsselung der Datenübertragung (TLS/SSL), Zugriffsbeschränkungen sowie regelmäßige Sicherheitsüberprüfungen.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienstleistung bzw. der eingesetzten KI-Modelle und Dienstleister anzupassen. Es gilt jeweils die zum Zeitpunkt Ihres Besuchs aktuelle Fassung.