Datenschutz & Datensouveränität

Unsere Datenschutz-Garantie

Souveränität ist bei uns kein bloßes Verkaufsargument – wir betreiben kein “Sovereignty-Washing” oder Cloudwashing. Echte Datensouveränität und strenger Datenschutz sind seit Stunde null Hauptteil der DNA von 9brains. Wir haben die Plattform speziell für den Mittelstand im deutschsprachigen Raum entwickelt, um modernste KI-Nutzung ohne Kompromisse bei der Sicherheit zu ermöglichen.

Das Wichtigste auf einen Blick

Software “Made in Germany” – 9brains wird in Deutschland entwickelt, betreut und rechtlich verantwortet. Wir bieten ein sicheres, heimisches Fundament für die Nutzung globaler und europäischer KI-Technologie.
Hosting bei Hetzner statt US-Hyperscaler – Wir hosten unsere Plattform bewusst nicht bei amerikanischen Cloud-Giganten, sondern bei Hetzner in Deutschland. Die drei wichtigsten Vorteile für dich:
1. Schutz vor dem US CLOUD Act: Keine rechtlichen Hintertüren für ausländische Behörden; deine Daten unterliegen rein europäischem Recht.
2. Echte technologische Unabhängigkeit: Keine versteckten Abhängigkeiten (Vendor Lock-in) von Big-Tech-Konzernen.
3. Nachhaltigkeit & Effizienz: Die Rechenzentren werden zu 100 % mit Ökostrom betrieben und arbeiten extrem ressourcenschonend.
Drei Nutzungsmodi für maximale Flexibilität:
- DSGVO-Modus (Standard): Entsprechend der europäischen Datenschutz-Grundverordnung für den sicheren geschäftlichen Alltag.
- EU-Modus: Höchste DSGVO-Konformität mit garantierter, vollständiger Datenverarbeitung physisch innerhalb der EU.
- Global-Modus (Frontier): Zugang zu den weltweit besten Modellen ohne geografische Einschränkungen (für unkritische Daten).
Kein Modell-Training mit deinen Daten – Weder deine Eingaben noch generierte Antworten werden jemals zum Training von KI-Modellen verwendet. Deine Chat-Verläufe, Wissensbasen und Dateien werden ausschließlich auf unseren eigenen Servern gespeichert.
Volle Transparenz pro Modell – Für jedes KI-Modell ist der Status (Kosten, DSGVO, Zero Data Retention, Standard-Eignung) jederzeit in der Übersichtstabelle einsehbar.
Strikte Datentrennung & Verschlüsselung – Jeder Workspace ist logisch strikt von anderen getrennt (Mandantentrennung). Alle Daten werden bei der Übertragung und Speicherung nach höchsten Enterprise-Standards verschlüsselt.
EU AI Act Ready – 9brains ist als KI-Plattform konzipiert, die es Unternehmen leicht macht, die Transparenz- und Dokumentationspflichten der neuen europäischen KI-Verordnung (EU AI Act) einzuhalten.

Der Datenfluss erklärt

Wenn du eine Nachricht im Chat sendest, durchläuft sie folgenden Weg:

1. Sichere Eingabe

Deine Nachricht wird ab dem ersten Zeichen durch TLS-Verschlüsselung geschützt übertragen – vergleichbar mit einem abhörsicheren Tunnel zwischen deinem Browser und unseren Servern in Deutschland.

2. Aufbereitung auf der Plattform

Unser Server bereitet deine Anfrage vor und reichert sie mit relevantem Kontext an:

Chatverlauf – Die bisherige Konversation wird mitgesendet, damit die KI den Zusammenhang versteht
Wissensbasen – Falls relevant, werden passende Inhalte aus deinen Wissensbasen hinzugefügt
Persönliche Einstellungen – Deine Präferenzen (Anrede, Tonalität, Expertise-Level) fließen mit ein

3. Anfrage an das KI-Modell

Das aufbereitete Datenpaket wird über eine sichere API-Schnittstelle an das gewählte KI-Modell gesendet. Das Modell verarbeitet die Anfrage und sendet die Antwort zurück.

Entscheidend: Kein KI-Anbieter verwendet deine Daten zum Training. Bei Modellen mit Zero Data Retention werden die Daten nach der Verarbeitung sofort verworfen. Der genaue Status ist pro Modell in der Übersichtstabelle einsehbar.

4. Sichere Speicherung

Die Antwort kehrt zu unserer Plattform zurück. Dein gesamter Chatverlauf wird auf unseren Servern in Deutschland gespeichert, damit du jederzeit darauf zugreifen kannst. Dabei sorgt Row-Level-Security (RLS) in der Datenbank dafür, dass jeder Workspace wie ein eigener, abgeschlossener Tresor funktioniert. Nutzer eines anderen Workspaces können niemals auf deine Daten zugreifen.

5. Auslieferung an dich

Die fertige Antwort wird erneut TLS-verschlüsselt an deinen Browser übermittelt und angezeigt.

Die vier Datenschutz-Stufen

Jedes KI-Modell, ob Chat- oder Bildmodell, ist mit einer Datenschutz-Stufe gekennzeichnet. So siehst du bei der Modellauswahl immer, unter welchen Bedingungen deine Daten verarbeitet werden.

| Stufe | Was bedeutet das? | Datenverarbeitung | Für wen geeignet? | | --- | --- | --- | --- | | EU-Souverän | EU-Anbieter auf EU-Infrastruktur. Volle Datenkontrolle innerhalb der EU, kein Zugriff durch Drittländer möglich | Ausschließlich in der EU | Regulierte Branchen (Gesundheit, Finanzen, Recht), höchste Compliance-Anforderungen | | DSGVO | Internationaler Anbieter, aber Verarbeitung auf EU-Servern. Auftragsverarbeitungsvertrag (AVV) garantiert DSGVO-Konformität, kein Datentransfer in Drittländer | Ausschließlich in der EU | Geschäftsdaten, personenbezogene Daten, vertrauliche Informationen | | DSGVO (DPF) | Internationaler Anbieter mit EU-US Data Privacy Framework Zertifizierung. Daten können in den USA verarbeitet werden, der Angemessenheitsbeschluss der EU-Kommission sichert die DSGVO-Konformität | EU oder USA (DPF-zertifiziert) | Geschäftsdaten und personenbezogene Daten, DSGVO-konform, aber ohne EU-Verarbeitungsgarantie | | Global | Kein EU-Serverstandort und keine DPF-Zertifizierung. Keine Garantie für DSGVO-konforme Verarbeitung | Weltweit, kein Schutzrahmen | Allgemeine Anfragen ohne sensible oder personenbezogene Daten |

Was darf ich mit welcher Stufe?

EU-Souverän, DSGVO und DSGVO (DPF): Hier kannst du arbeiten mit:

Personenbezogenen Daten (Namen, Adressen, E-Mails)
Vertraulichen Geschäftsdaten (Finanzen, Strategie, Verträge)
Kunden- und Mitarbeiterdaten

Hinweis: Bei DSGVO (DPF)-Modellen verlassen die Daten zwar nicht die EU-Rechtsordnung (dank Angemessenheitsbeschluss), können aber physisch in den USA verarbeitet werden. Für regulierte Branchen (Gesundheit, Finanzen, Recht) empfehlen wir EU-Souverän, da branchenspezifische Vorgaben oft über die DSGVO hinausgehen.

Global: Geeignet für:

Allgemeine Textarbeit (Zusammenfassungen, Übersetzungen, Brainstorming)
Öffentlich verfügbare Informationen
Kreative Aufgaben ohne sensible Inhalte

Tipp für Administratoren: Du kannst in den Modell-Einstellungen gezielt nur DSGVO-konforme Modelle für deinen Workspace aktivieren und globale Modelle deaktivieren.

EU-US Data Privacy Framework (DPF)

Das EU-US Data Privacy Framework ist ein Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023. Er stellt fest, dass DPF-zertifizierte US-Unternehmen ein angemessenes Datenschutzniveau bieten. Ein Datentransfer an diese Unternehmen ist damit DSGVO-konform, auch wenn die Verarbeitung in den USA stattfindet.

Was bedeutet das für die Modellauswahl?

Modelle mit der Stufe DSGVO (DPF) werden von DPF-zertifizierten Anbietern betrieben (z.B. Google, Microsoft, Amazon Web Services). Die Daten können physisch in den USA verarbeitet werden, unterliegen aber dem gleichen rechtlichen Schutzrahmen wie bei EU-Verarbeitung.

Unterschied zu DSGVO (EU-Verarbeitung)

| | DSGVO | DSGVO (DPF) | | --- | --- | --- | | Rechtsgrundlage | AVV + EU-Serverstandort | AVV + DPF-Angemessenheitsbeschluss | | Datenverarbeitung | Ausschließlich in der EU | EU oder USA | | DSGVO-konform? | Ja | Ja | | Empfehlung | Alle Anwendungsfälle | Alle Anwendungsfälle, bei besonders sensiblen Daten EU-Verarbeitung bevorzugen |

Zero Data Retention & Kein Training

Kein Training

Alle KI-Anbieter sind vertraglich verpflichtet, deine Daten nicht zum Training ihrer Modelle zu verwenden. Das gilt für sämtliche Modelle, unabhängig von der Datenschutz-Stufe. Weder deine Eingaben noch die generierten Antworten fließen in das Training ein.

Zero Data Retention (ZDR)

„Zero Data Retention” bedeutet: Deine Daten werden vom KI-Anbieter nach der Verarbeitung sofort gelöscht, es findet keine temporäre Speicherung statt.

Der ZDR-Status ist pro Modell in der Übersichtstabelle einsehbar. Bei Modellen ohne ZDR kann eine temporäre Speicherung beim Anbieter stattfinden (z.B. für Missbrauchserkennung), die Daten werden aber nicht zum Training verwendet.

Datenschutz-Status der KI-Modelle

Die folgende Tabelle zeigt den Datenschutz-Status aller verfügbaren Modelle, inklusive Standort, Datenschutz-Stufe, Training-Status und Zero Data Retention:

Chat-Modelle

Modell	Datenschutz	Kein Training	Zero Data Retention
OpenAI
GPT-5.1 Paris, France	DSGVO	Ja	—
GPT-5.5 Paris, France	DSGVO	Ja	—
GPT-5.4 Paris, France	DSGVO	Ja	—
GPT-5.2 USA (DPF zertifiziert)	Global	Ja	—
GPT-5.4 Mini USA (DPF zertifiziert)	Global	Ja	—
GPT-5.4 Nano USA (DPF zertifiziert)	Global	Ja	—
GPT-OSS 120B Mäntsälä, Finland	EU-Souverän	Ja	Ja
Anthropic
Claude Fable 5 USA	Global	Ja	—
Claude Opus 4.8 EU	DSGVO	Ja	Ja
Claude Opus 4.7 EU	DSGVO	Ja	Ja
Claude Opus 4.6 EU	DSGVO	Ja	Ja
Claude Sonnet 4.6 EU	DSGVO	Ja	Ja
Claude Haiku 4.5 EU	DSGVO	Ja	Ja
Google
Gemini 3.1 Pro USA (DPF zertifiziert)	Global	Ja	Ja
Gemini 3 Flash USA (DPF zertifiziert)	Global	Ja	Ja
Gemini 3.5 Flash EU	DSGVO	Ja	Ja
Gemini 3.1 Flash Lite EU	DSGVO	Ja	Ja
ZhipuAI
GLM 5.1 Lund, Sweden	EU-Souverän	Ja	Ja
GLM 5.2 Mäntsälä, Finland	EU-Souverän	Ja	Ja
nvidia
Nemotron 3 Ultra USA (DPF zertifiziert)	Global	Ja	Ja
Qwen (Alibaba)
Qwen3.5 397B Thinking USA (DPF zertifiziert)	Global	Ja	Ja
Moonshot AI
Kimi K2.6 USA (DPF zertifiziert)	Global	Ja	Ja
minimax
MiniMax M3 Singapore	Global	Ja	Ja
DeepSeek
DeepSeek V4 Pro London (UK)	Global	Ja	Ja
xAI
Grok 4.3 USA (DPF zertifiziert)	Global	Ja	—
Mistral AI
Mistral Large 3 Paris, France	EU-Souverän	Ja	—

Bildmodelle

Modell	Datenschutz	Kein Training	Zero Data Retention
Google
Gemini 3 Pro (Nano Banana Pro) USA (DPF zertifiziert)	Global	Ja	Ja
Gemini 3.1 Flash (Nano Banana 2) Netherlands	DSGVO	Ja	Ja
Imagen 4 Ultra Netherlands	DSGVO	Ja	Ja
Black Forest Labs
FLUX.2 Pro Paris, France	DSGVO	Ja	—
FLUX.2 Flex Paris, France	Global	Ja	—
OpenAI
GPT Image 1.5 Stockholm, Sweden	DSGVO	Ja	—
GPT Image 2 Stockholm, Sweden	Global	Ja	—

Zero Data Retention für Microsoft Azure OpenAI wurde beantragt.

Wo werden meine Daten gespeichert?

| Datentyp | Speicherort | Verschlüsselung | | --- | --- | --- | | Datenbank (Chat-Verläufe, Benutzerkonten) | Falkenstein, Deutschland | TLS (in transit), Secrets/Tokens AES-verschlüsselt | | Wissensbasen (Dokumente) | Falkenstein, Deutschland | TLS (in transit) | | Vektordatenbank (RAG-Suche) | Falkenstein, Deutschland | TLS (in transit) | | Dateien & Bilder (S3-Speicher) | Frankfurt, Deutschland | AES-256 Client-Side Encryption (CSE, at rest) | | Backups | Helsinki, Finnland | AES-256 (at rest) | | Bei KI-Anbietern | Abhängig vom Modell, siehe Übersichtstabelle | TLS (in transit) |

Alle Daten werden auf unserer Infrastruktur in Deutschland gespeichert. Backups liegen in Helsinki (EU) und sind AES-256-verschlüsselt. Die KI-Anbieter erhalten nur die zur Verarbeitung nötigen Informationen. Ob und wie lange diese beim Anbieter zwischengespeichert werden, hängt vom Modell ab (siehe Übersichtstabelle).

Sicherheitsmaßnahmen

Verschlüsselte Übertragung

Alle Verbindungen zwischen deinem Browser und unseren Servern sind durch TLS-Verschlüsselung geschützt. Das gilt sowohl für deine Eingaben als auch für die Antworten der KI.

Verschlüsselte Speicherung

Alle Dateien werden vor dem Upload mit AES-256 Client-Side Encryption (CSE) verschlüsselt. Die Verschlüsselung erfolgt auf unserer Plattform, bevor die Daten den Speicheranbieter erreichen. Der Speicheranbieter hat keinen Zugriff auf die Inhalte. Backups sind ebenfalls AES-256-verschlüsselt.

Mandantentrennung

Jeder Workspace ist vollständig isoliert. Durch Row-Level-Security in der Datenbank ist sichergestellt, dass kein Zugriff auf Daten anderer Workspaces möglich ist, auch nicht versehentlich.

Authentifizierung

Passwort-basierte Anmeldung oder Microsoft SSO
Optionale Zwei-Faktor-Authentifizierung (MFA), erzwingbar durch Administratoren
Sichere Session-Verwaltung

Persönliche Privatsphäre im Workspace

Mandantentrennung schützt deine Daten gegenüber anderen Workspaces. Innerhalb deines eigenen Workspaces gibt es eine zweite Schutzebene: persönliche Inhalte bleiben pro Nutzer privat, auch gegenüber Administratoren. Was wer sehen kann, zeigt diese Übersicht:

| Inhalt | Du selbst | Andere Nutzer | Workspace-Admin | | --- | --- | --- | --- | | Chat-Verläufe | Sichtbar | Nicht sichtbar | Nicht sichtbar | | Persönliche Memory-Notizen | Sichtbar und editierbar | Nicht sichtbar | Nicht sichtbar | | Automatisches Profil (Memory) | Sichtbar (schreibgeschützt) | Nicht sichtbar | Nicht sichtbar | | Persönliche Agenten | Sichtbar | Nicht sichtbar | Nur Existenz, Verbrauch und Status in der Nutzungsanalyse, keine Inhalte | | Chat-Threads mit einem geteilten Agenten | Pro Nutzer privat | Nicht sichtbar | Nicht sichtbar | | Autonome Agent-Runs (Cron, Webhook) | Sichtbar (falls Agent-Zugriff) | Sichtbar (falls Agent-Zugriff) | Sichtbar (falls Agent-Zugriff) | | Persönliche Wissensbasen | Sichtbar | Nur mit explizit zugewiesener Berechtigung | Nur Existenz, keine Inhalte ohne Berechtigung |

Was ein Administrator sieht

Administratoren brauchen einen Überblick, um Lizenzen, Kosten und Compliance zu steuern. Sie sehen deshalb:

Nutzungsstatistiken wie Anzahl der Nachrichten, aktive Tage und das genutzte Modell pro Nutzer
Existenz und Verbrauch von Agenten im Workspace, mit Kostenbegrenzung und Status, um „davonlaufende” Agenten zu erkennen und gegenzusteuern
Autonome Agent-Runs, sofern der Admin Zugriff auf den jeweiligen Agenten hat

Administratoren sehen nicht:

Den Inhalt deiner Chat-Nachrichten
Deine persönlichen Memory-Notizen oder dein automatisches Profil
Deine persönlichen Chat-Threads mit Agenten
Inhalte privater Wissensbasen, für die sie keine Berechtigung haben

Gibt es einen Anonym- oder Privatmodus?

Aktuell nicht. Jeder Chat landet in deinem persönlichen Verlauf und ist für niemanden sonst einsehbar. Eine zusätzliche Option für Sitzungen, die gar nicht erst gespeichert werden, gibt es derzeit nicht.

EU AI Act & Regulatorische Einordnung

Der EU AI Act (KI-Verordnung der EU) reguliert die Entwicklung und den Einsatz von Künstlicher Intelligenz in Europa. Da 9brains für den professionellen Einsatz im Mittelstand und bei Konzernen konzipiert ist, haben wir die Architektur so gewählt, dass sie Unternehmen bei der Einhaltung der KI-Verordnung aktiv unterstützt:

Keine “Hochrisiko-KI” im Standard: 9brains ist als KI-Plattform (General-Purpose AI) konzipiert. Die reguläre Nutzung als digitaler Assistent, für Textarbeit, Bildgenerierung oder RAG (Wissenssuche) fällt nicht in die Kategorie der meldepflichtigen Hochrisiko-KI-Systeme (wie z. B. biometrische Überwachung oder KI im Bewerbermanagement).
Transparenz durch Design: Die Plattform macht jederzeit transparent, dass Nutzer mit einer KI interagieren. Für die generierten Inhalte gilt bei uns das Prinzip der nachvollziehbarkeit.
Vorteil durch Aggregation: Als Betreiber der Plattform binden wir die KI-Modelle über APIs ein. Die strengen Auflagen des AI Acts bezüglich Trainingsdaten, Copyrights und Energieverbrauch (für GPAI-Modelle) müssen von den Herstellern der Modelle (OpenAI, Google, Mistral etc.) nachgewiesen werden. Wir schützen euch vor direkten Abhängigkeiten.
Nachweis der Lieferkette: Insbesondere durch unsere transparenten Modelle der Stufe EU-Souverän können Unternehmen lückenlos nachweisen, welche Technologie wo betrieben wird.

Hinweis: Wenn Kunden 9brains über unsere API tief in eigene, potenziell kritische Geschäftsprozesse integrieren, obliegt die finale Risikobewertung nach dem AI Act dem integrierenden Unternehmen.

Häufige Fragen

Werden meine Daten zum KI-Training verwendet?

Nein. Alle KI-Anbieter sind vertraglich verpflichtet, deine Daten nicht zum Training zu verwenden. Dies ist in unserem Auftragsverarbeitungsvertrag (AVV) festgelegt.

Was ist der Unterschied zwischen EU-Souverän, DSGVO und DSGVO (DPF)?

EU-Souverän: Der Anbieter ist ein europäisches Unternehmen und die gesamte Infrastruktur steht unter EU-Kontrolle. Daten bleiben ausschließlich in der EU.
DSGVO: Der Anbieter ist ein internationales Unternehmen (z.B. OpenAI, Google), das die Verarbeitung auf EU-Servern durchführt und per AVV an die DSGVO gebunden ist. Daten bleiben ausschließlich in der EU.
DSGVO (DPF): Der Anbieter ist DPF-zertifiziert. Daten können in den USA verarbeitet werden, sind aber durch den Angemessenheitsbeschluss der EU-Kommission DSGVO-konform geschützt.

Kann mein Administrator meine Chats lesen?

Nein. Administratoren können Nutzungsstatistiken einsehen (z.B. Anzahl der Nachrichten), haben aber keinen Zugriff auf Chat-Inhalte. Das gilt auch für deine persönlichen Memory-Notizen, dein automatisches Profil und deine privaten Chat-Threads mit Agenten. Details unter Persönliche Privatsphäre im Workspace.

Gibt es einen Anonym- oder Privatmodus?

Was passiert bei einem Modellwechsel mit meinen Daten?

Dein Chatverlauf bleibt vollständig erhalten. Er wird auf unseren Servern gespeichert und dem neuen Modell bei Bedarf zur Verfügung gestellt. Beim vorherigen Anbieter werden keine Daten zum Training verwendet. Ob eine temporäre Speicherung stattfindet, hängt vom ZDR-Status des Modells ab.

Kann ich meine Daten löschen lassen?

Ja. Du kannst einzelne Chats jederzeit selbst löschen. Für eine vollständige Datenlöschung wende dich an deinen Administrator.

Sehe ich, wer auf meine Dateien oder Wissensbeiträge zugegriffen hat?

Ein persönliches Zugriffslog auf der Ebene einzelner Dateien oder Wissenseinträge bietet 9brains heute nicht. Was du als Workspace-Admin siehst, ist die Nutzungsanalyse mit aggregierten Aktivitätsdaten pro Person (Sessions, Nachrichten, Wissensabfragen, Wissens-Beiträge). Für angebundene Integrationen gibt es zusätzlich ein dediziertes Audit-Log pro Integration, das alle Tool-Aufrufe nachvollziehbar macht.

Darf ich personenbezogene Daten mit globalen Modellen verarbeiten?

Nein. Personenbezogene Daten sollten ausschließlich mit Modellen der Stufe EU-Souverän, DSGVO oder DSGVO (DPF) verarbeitet werden. Bei Modellen der Stufe Global fehlt ein rechtlicher Schutzrahmen für den Datentransfer, die Verarbeitung personenbezogener Daten ist damit nicht DSGVO-konform.