ZM-I KI GmbH
ZM-I
AEC
Anmelden
DSGVO + BDSG

Datenschutzerklärung

Stand: 2026-05-21 · DSGVO + BDSG-konform

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Keyvan Hardani, ZM-I AEC, E-Mail: hardani@hotmail.de. Anschrift auf Anfrage.

2. Welche Daten wir verarbeiten

  • Public-Bereich (/, /tools/*, /loesungen, /preise, /about): keine Personendaten, keine Cookies.
  • Premium-Bereich (/app/*): E-Mail, Name (optional), Passwort-Hash (Argon2id), Session-Token (HMAC-SHA256), Login-Zeitpunkt, IP-Adresse beim Login.
  • Hochgeladene Statik-Dokumente und KI-Findings — strikt mandantengetrennt (Multi-Tenant + Postgres Row-Level-Security).
  • Audit-Log: jede KI-Antwort mit Prompt-Hash, Output-Hash, Token-Counts, Modell-Version (Art. 30 DSGVO ROPA).

3. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Premium-Nutzer mit Abonnement.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — Betrugsabwehr, Logging Login-Versuche.
  • Art. 6 Abs. 1 lit. c DSGVO — Audit-Log nach EU AI Act + DSGVO Art. 30.

4. KI-Verarbeitung (EU AI Act)

Wir betreiben die ZM-I KI On-Prem in Deutschland — keine Daten verlassen die EU. Modell: Qwen 3.6, betrieben mit vLLM auf eigener GPU-Infrastruktur. Risk-Stufe nach EU AI Act: Limited Risk (Transparenz-Pflicht, keine Hochrisiko-Anwendung). Jede KI-Antwort hat einen Disclaimer und wird im Audit-Log mit Prompt-Hash protokolliert.

5. Speicherdauer

  • Sessions: 24 Stunden ab letztem Login.
  • Audit-Log: 10 Jahre (vergleichbar HGB-Aufbewahrungspflicht, Compliance-Nachweis).
  • Hochgeladene Dokumente: bis zur Löschung durch Nutzer + 30 Tage Backup-Reservierung.
  • Account: bis Kündigung + 30 Tage Karenz, dann harte Löschung.

6. Ihre Rechte (Art. 15–22 DSGVO)

Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch. Anfrage per E-Mail an hardani@hotmail.de. Beschwerde bei der zuständigen Aufsichtsbehörde (BayLDA in Bayern).

7. Auftragsverarbeitung

Unsere Server stehen physisch bei ZM-I (Deutschland) sowie in EU-Rechenzentren (Hetzner, Falkenstein/Nürnberg). Wir setzen keine US-Dienste mit Personendaten ein. Für Premium-Nutzer schließen wir auf Wunsch einen Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO) ab.

8. Cookies + Tracking

Wir setzen ein einziges technisch notwendiges Session-Cookie nach erfolgreichem Login. Kein Tracking, kein Analytics, keine Werbung. Public-Pages funktionieren komplett ohne Cookies.