Rechtliches

Datenschutzerklärung

Stand: 2026-04-17

Cognario befindet sich derzeit in einer geschlossenen Beta-Phase. Der Zugang erfolgt ausschließlich auf Einladung. Die im Folgenden beschriebene Verarbeitung personenbezogener Daten ist dadurch in Umfang und Nutzerkreis begrenzt.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:

X-Concapps GmbH
Bismarckplatz 7
45657 Recklinghausen
Deutschland

Geschäftsführer: Birgit Großhanten, Jonah Großhanten

E-Mail: info@x-concapps.com
Telefon: 0157-37312502

Einen externen Datenschutzbeauftragten haben wir bislang nicht bestellt. Datenschutzanfragen werden von der Geschäftsführung bearbeitet. Sie erreichen uns dafür unter der oben genannten E-Mail-Adresse.

2. Arten der verarbeiteten Daten

Bei der Nutzung von Cognario verarbeiten wir folgende Kategorien personenbezogener Daten:

  • Stammdaten von Administrator:innen: Name, E-Mail-Adresse, verschlüsseltes Passwort, Unternehmenszugehörigkeit.
  • Stammdaten von Mitarbeitenden, die durch den jeweiligen Arbeitgeber angelegt werden: Name, E-Mail-Adresse, Rolle bzw. Jobprofil, Abteilung.
  • Interview-Inhalte: Text- und Sprachantworten, die während der Unterhaltung mit dem KI-Interviewer „Cogni" entstehen, sowie die daraus erzeugten Transkripte.
  • Bewertungs- und Auswertungsdaten: Dimensionsscores, Rubrik-Bewertungen, Zusammenfassungen und abgeleitete Lernempfehlungen.
  • Technische Zugangsdaten: Authentifizierungs-Token für Mitarbeitendenlinks, Session-Cookies.
  • Einwilligungsdaten: Zeitstempel und Versionsnummer der Einwilligung, die vor jedem Interview erfasst werden.
  • Kommunikationsdaten: Inhalte von Einladungs-E-Mails sowie Zustellprotokolle.
  • Server-Logdaten: IP-Adresse, User-Agent, angefragte URL, Zeitstempel.

3. Kategorien der betroffenen Personen

  • Administrator:innen von Kundenunternehmen, die Cognario im Auftrag ihres Arbeitgebers nutzen.
  • Mitarbeitende dieser Kundenunternehmen, die durch ihren Arbeitgeber zu einem Interview eingeladen werden.
  • Besucher:innen der öffentlichen Website.

4. Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

  • Bereitstellung des Cognario-Dienstes gegenüber dem Kundenunternehmen, insbesondere Durchführung, Auswertung und Dokumentation der KI-Readiness-Interviews.
  • Authentifizierung und Absicherung des Zugangs für Administrator:innen sowie tokenbasierter Zugang für Mitarbeitende.
  • Erzeugung, Speicherung und Bereitstellung der Auswertungsberichte für berechtigte Administrator:innen des jeweiligen Kundenunternehmens.
  • Versand transaktionaler E-Mails, insbesondere Einladungen zu Interviews.
  • Gewährleistung der Betriebssicherheit, Fehleranalyse und Missbrauchsprävention.
  • Erfüllung gesetzlicher Pflichten.

Eine Nutzung der Daten für Werbe- oder Marketingzwecke findet nicht statt. Es erfolgt kein Profiling im Sinne des Art. 22 DSGVO mit rechtlicher Wirkung gegenüber den Mitarbeitenden.

5. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung der vertraglich vereinbarten Leistungen gegenüber dem Kundenunternehmen. Soweit wir dabei Daten von Mitarbeitenden des Kundenunternehmens verarbeiten, erfolgt dies im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO im Auftrag des Arbeitgebers.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Vor jedem Interview holen wir eine ausdrückliche Einwilligung der Mitarbeitenden in die Verarbeitung ihrer Interview-Antworten ein. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen): Sicherstellung des sicheren und stabilen Betriebs unserer Systeme, Abwehr missbräuchlicher Nutzung sowie Erstellung anonymisierter Server-Logs.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Soweit gesetzliche Aufbewahrungs- oder Mitwirkungspflichten bestehen.

6. Empfänger von Daten

Personenbezogene Daten werden ausschließlich an Empfänger weitergegeben, soweit dies zur Erbringung des Dienstes erforderlich ist. Folgende Auftragsverarbeiter und Dienstleister sind eingebunden:

  • Hetzner Online GmbH, Gunzenhausen, Deutschland: Bereitstellung der Serverinfrastruktur. Sämtliche Anwendungs- und Datenbankserver stehen in Deutschland.
  • Anthropic, PBC, San Francisco, USA: Verarbeitung der Interview-Antworten zur Generierung der Antworten des KI-Interviewers (Modell „Claude Haiku") sowie zur rubrikbasierten Auswertung (Modell „Claude Sonnet"). Die Übermittlung beschränkt sich auf die für die Inferenz erforderlichen Textinhalte. Nach den API-Bedingungen von Anthropic werden über die API übermittelte Inhalte nicht für das Training von Modellen verwendet.
  • OpenAI, L.L.C., San Francisco, USA: Transkription von Sprachaufnahmen („Whisper") sowie Sprachsynthese der Stimme des KI-Interviewers („Text-to-Speech"). Nach den API-Bedingungen von OpenAI werden über die API übermittelte Inhalte nicht für das Training von Modellen verwendet.
  • Strato AG, Berlin, Deutschland: Versand transaktionaler E-Mails über den SMTP-Server smtp.strato.de.
  • Let's Encrypt (Internet Security Research Group), USA: Ausstellung und Erneuerung von TLS-Zertifikaten. Eine Übermittlung personenbezogener Daten findet hierbei nicht statt; es handelt sich um ein technisches Zertifikatsverfahren auf Domainebene.

Innerhalb unseres Unternehmens erhalten nur diejenigen Personen Zugriff auf personenbezogene Daten, die diesen für die genannten Zwecke benötigen.

7. Datenübermittlung in Drittländer

Anthropic und OpenAI verarbeiten Daten auch auf Servern in den USA. Für die Übermittlung in die USA haben wir folgende Garantien vorgesehen:

  • Abschluss von Standardvertragsklauseln der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO mit den jeweiligen Anbietern.
  • Vertragliche Zusicherung, dass über die API übermittelte Inhalte nicht zum Training der Modelle verwendet werden.
  • Technische und organisatorische Maßnahmen wie Transportverschlüsselung.

Die übrigen Auftragsverarbeiter (Hetzner, Strato) verarbeiten die Daten ausschließlich innerhalb der Europäischen Union.

8. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.

  • Interview-Transkripte, Bewertungsdaten und Berichte: Während der Beta-Phase werden diese Daten unbefristet aufbewahrt, solange das Kundenunternehmen Cognario nutzt. Für den produktiven Betrieb ist eine Standard-Aufbewahrungsfrist von einem Jahr vorgesehen, die vertraglich mit dem jeweiligen Kundenunternehmen angepasst werden kann.
  • Stammdaten von Administrator:innen und Mitarbeitenden: bis zur Löschung des zugehörigen Kontos bzw. bis zur Beendigung des Vertragsverhältnisses mit dem Kundenunternehmen.
  • Einwilligungsnachweise: für die Dauer der Beweissicherungspflicht, in der Regel drei Jahre nach Widerruf oder Ablauf.
  • Einladungs-E-Mails und Zustellprotokolle: bis zu 90 Tage, danach Löschung.
  • Server-Logs: wenige Tage; eine längere Aufbewahrung erfolgt nur, soweit dies zur Abwehr konkreter Sicherheitsvorfälle erforderlich ist.

Auf Weisung des Kundenunternehmens löschen oder exportieren wir die verarbeiteten Daten jederzeit, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

9. Rechte der betroffenen Personen

Sie haben gegenüber uns die folgenden Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO).
  • Recht auf Berichtigung (Art. 16 DSGVO).
  • Recht auf Löschung (Art. 17 DSGVO).
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO).
  • Recht auf Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO).
  • Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Soweit Cognario Daten im Auftrag eines Kundenunternehmens verarbeitet (Art. 28 DSGVO), richten Sie Betroffenenrechte bitte in erster Linie an Ihren Arbeitgeber als Verantwortlichen. Wir unterstützen den Verantwortlichen bei der Erfüllung dieser Anfragen.

Unabhängig davon haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für uns ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2-4, 40213 Düsseldorf.

10. Auftragsverarbeitung (Art. 28 DSGVO)

Im Verhältnis zu unseren Kundenunternehmen tritt Cognario als Auftragsverarbeiter auf. Das jeweilige Kundenunternehmen ist Verantwortlicher im Sinne der DSGVO für die von seinen Mitarbeitenden verarbeiteten Daten; Cognario verarbeitet diese Daten ausschließlich auf dokumentierte Weisung des Kundenunternehmens.

Vor Aufnahme der Verarbeitung schließen wir mit jedem Kundenunternehmen einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Der AVV regelt unter anderem Gegenstand, Dauer und Zweck der Verarbeitung, die Einbindung von Unterauftragsverarbeitern, die technisch-organisatorischen Maßnahmen und die Unterstützung bei Betroffenenanfragen. Der aktuelle AVV sowie die Liste der Unterauftragsverarbeiter werden Kundenunternehmen auf Anfrage bereitgestellt.

11. Cookies und lokaler Speicher

Wir verwenden Cookies und vergleichbare Technologien ausschließlich, soweit dies für den Betrieb der Anwendung technisch erforderlich ist. Konkret kommen zum Einsatz:

  • cognario-locale: speichert die von Ihnen gewählte Sprache (Deutsch oder Englisch). Keine personenbezogene Auswertung.
  • Session-Cookies der Supabase-Authentifizierung: halten die Anmeldung von Administrator:innen während einer Sitzung aufrecht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Wir setzen keine Analyse-Cookies, keine Tracking-Pixel, kein Retargeting und keine Cookies oder Skripte Dritter für Marketingzwecke ein.

12. Server-Logs

Beim Aufruf unserer Systeme werden automatisch technische Informationen übertragen und kurzzeitig in Server-Logs gespeichert. Dazu gehören:

  • IP-Adresse des zugreifenden Systems
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene URL bzw. API-Route
  • User-Agent des Browsers oder Clients
  • HTTP-Statuscode und übertragene Datenmenge

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Gewährleistung eines sicheren und stabilen Betriebs. Die Logs werden wenige Tage gespeichert und anschließend automatisch gelöscht, sofern nicht im Einzelfall ein konkreter Sicherheitsvorfall eine längere Aufbewahrung erforderlich macht.

13. SSL/TLS-Verschlüsselung

Sämtliche Verbindungen zu Cognario werden ausschließlich über TLS 1.2 oder neuer verschlüsselt. Wir verwenden Zertifikate von Let's Encrypt, die automatisch erneuert werden. Zugriffe ohne TLS werden automatisch auf die verschlüsselte Verbindung umgeleitet.

14. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald sich die zugrunde liegende Verarbeitung oder die rechtlichen Rahmenbedingungen ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar. Wesentliche Änderungen kommunizieren wir gegenüber Administrator:innen zusätzlich per E-Mail.

15. Kontakt für Datenschutzanfragen

Für Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder zum Widerruf von Einwilligungen erreichen Sie uns unter:

X-Concapps GmbH
Bismarckplatz 7
45657 Recklinghausen
Deutschland

E-Mail: info@x-concapps.com

Wir antworten auf datenschutzrechtliche Anfragen innerhalb von 30 Tagen.