Alle Portale:
Stand: April 2026 | Version 1.0
Diese Datenschutzhinweise ergänzen die allgemeine Datenschutzerklärung der DRK-Service GmbH produktspezifisch für DRK-Assist. Allgemeine Informationen zu Verantwortlichem, Datenschutzbeauftragtem, technischen und organisatorischen Schutzmaßnahmen, allgemeinen Speicher- und Löschfristen sowie Ihren Betroffenenrechten entnehmen Sie bitte der allgemeinen Datenschutzerklärung. Die vorliegenden Hinweise beschreiben ausschließlich die DRK-Assist-spezifischen Verarbeitungsvorgänge.
Diese Hinweise betreffen zwei unterschiedliche Verarbeitungskontexte:
Bestellprozess und Accountverwaltung (Ziffer 2–4): DRK-Service GmbH ist hier Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Sie verarbeitet die Daten der bestellenden Person und der eingerichteten Nutzerinnen und Nutzer in eigener datenschutzrechtlicher Verantwortung.
Laufender Betrieb von DRK-Assist (Nutzung der Anwendung): Soweit DRK-Service GmbH im Rahmen des Betriebs personenbezogene Daten verarbeitet, die der Kunde (Ihre Organisation) eingibt oder veranlasst, handelt DRK-Service GmbH als Auftragsverarbeiter gemäß Art. 28 DSGVO. Verantwortlicher ist in diesem Fall Ihre Organisation. Die Rechtsgrundlagen und Pflichten zur Information der Nutzerinnen und Nutzer obliegen insoweit dem Kunden.
Im Rahmen der Bestellung einer DRK-Assist-Abo-Lizenz über den Rotkreuzshop werden folgende Daten verarbeitet:
Zweck: Vertragsabschluss, Rechnungsstellung, Erbringung der vereinbarten SaaS-Leistung, Erfüllung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO hinsichtlich des AVV-Abschlusses.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten gemäß §§ 147 AO, 257 HGB; Nachweis AVV-Abschluss gemäß Art. 28 DSGVO).
Speicherdauer: Vertragsdaten werden für die Dauer des Vertragsverhältnisses sowie für die gesetzliche Aufbewahrungsfrist von zehn Jahren aufbewahrt. Der AVV-Nachweis wird für die Vertragsdauer zuzüglich drei Jahren gespeichert. Danach erfolgt die Löschung.
Nach Vertragsschluss richtet DRK-Service GmbH Nutzeraccounts für DRK-Assist ein.
Verarbeitet werden:
Sofern der Kunde Nutzerdaten nicht selbst im System pflegt, sondern DRK-Service GmbH eine Nutzerliste übermittelt, werden betroffene Personen gesondert gemäß Art. 14 DSGVO informiert (Datenschutzhinweis Art. 14 DSGVO, abrufbar unter: https://www.drkservice.de/compliance/drk-assist/datenschutzhinweis
Zweck: Bereitstellung der vereinbarten SaaS-Leistung, Zugriffssteuerung, Authentifizierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Kunden).
Speicherdauer: Bis zur Kündigung des Vertrags bzw. Anforderung der Kontolöschung durch den Kunden; anschließend Löschung innerhalb von 30 Tagen.
2.3 Zahlungsabwicklung
Die Zahlungsabwicklung erfolgt über z.B.Stripe/Mollie/Rechnung-Zahlungsdienstleister.
Zahlungsdaten werden direkt an den Zahlungsdienstleister übermittelt. DRK-Service GmbH speichert lediglich den Zahlungsstatus sowie transaktionsbezogene Referenznummern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Der Zahlungsdienstleister verarbeitet Daten in eigener datenschutzrechtlicher Verantwortung.
Zur Qualitätssicherung und Fehlerbehebung werden Nutzungsinteraktionen über den Monitoring-Dienst Langfuse (self-hosted auf der DRK-Service-eigenen Azure-Umgebung) anonymisiert protokolliert. Die Protokolldaten werden als personenbezogene Daten behandelt und entsprechend geschützt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemqualität und -sicherheit).
Speicherdauer: Protokolldaten werden nach [90 Tagen / X Monaten – eintragen] automatisch gelöscht.
Der Kunde kann über eine geschützte Administrationsoberfläche Einsicht in die Chatverläufe der Berechtigten Nutzerinnen und Nutzer nehmen, soweit diese nicht im Rahmen einer Private Session geführt wurden. Private Sessions werden nicht serverseitig gespeichert.
Wichtiger Hinweis: Die datenschutzrechtliche Zulässigkeit dieser Einsichtnahme – insbesondere im Beschäftigtenkontext gemäß § 26 BDSG – sowie die Information der betroffenen Nutzerinnen und Nutzer liegen in der Verantwortung des Kunden als Verantwortlichem.
DRK-Assist ist ein KI-System im Sinne der Verordnung (EU) 2024/1689 (EU AI Act) mit begrenztem Risiko (Art. 50 AI Act). DRK-Service GmbH erfüllt die anwendbaren Transparenzpflichten, insbesondere die Kennzeichnung KI-generierter Inhalte. Antworten von DRK-Assist werden automatisiert durch KI generiert und können unvollständig oder fehlerhaft sein.
Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, soweit dies zur Vertragserfüllung erforderlich ist oder eine gesetzliche Verpflichtung besteht:
Empfänger | Zweck | Rechtsgrundlage | Ort |
Microsoft Ireland Operations Ltd. | Hosting auf Microsoft Azure (EU Data Boundary, Region Germany West Central) | Art. 28 DSGVO (AVV mit Microsoft) | EU / EWR |
[Zahlungsdienstleister – eintragen] | Zahlungsabwicklung | Art. 6 Abs. 1 lit. b DSGVO | [EU/EWR – prüfen] |
Steuerberater / Buchhaltung DRK-Service GmbH | Buchhaltung, Rechnungslegung | Art. 6 Abs. 1 lit. c DSGVO | Deutschland |
Zuständige Aufsichtsbehörden | Bei gesetzlicher Verpflichtung | Art. 6 Abs. 1 lit. c DSGVO | Deutschland |
Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/des EWR findet nicht statt. Microsoft Azure wird ausschließlich im Rahmen der EU Data Boundary betrieben.
Für die Ausübung Ihrer Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch gemäß Art. 15–21 DSGVO) sowie Informationen zum Beschwerderecht bei der zuständigen Aufsichtsbehörde verweisen wir auf unsere allgemeine Datenschutzerklärung.
Anfragen zu DRK-Assist richten Sie bitte direkt an: [email protected]
Diese Datenschutzhinweise haben den Stand April 2026. Bei Änderungen der Verarbeitungstätigkeiten oder der Rechtslage wird die jeweils aktuelle Fassung unter https://www.drkservice.de/compliance/drk-assist/datenschutzhinweis veröffentlicht.