Muss ich meine Mitarbeiter über Genesis informieren?

Ja. Gemäß Art. 13 DSGVO müssen Sie Ihre Mitarbeiter über die Verarbeitung informieren. Genesis läuft lokal – der Hersteller hat keinen Zugriff.

Datenschutz-Leitfaden

Genesis datenschutzkonform betreiben.

Checkliste, Konfigurationshilfe und Muster-Verarbeitungsverzeichnis für Ihren Betrieb.

1. Ihre Verantwortung als Betreiber

Als Betreiber von Genesis sind Sie der Verantwortliche im Sinne der DSGVO (Art. 4 Nr. 7). Sie entscheiden, welche Daten in Genesis verarbeitet werden, wer Zugriff hat und welche KI-Anbieter genutzt werden.

Kraichgau KI ist kein Auftragsverarbeiter — wir liefern Ihnen die Software, haben aber keinen Zugriff auf Ihre Daten. Details dazu in unserem Datenschutz-Whitepaper.

2. Checkliste: Datenschutzkonformer Betrieb

Vor der Inbetriebnahme

Server-Standort festlegen: Deutschland/EU empfohlen Verschlüsselung aktivieren: HTTPS für alle Verbindungen, verschlüsseltes Dateisystem Zugriffsrechte konfigurieren: Nur berechtigte Mitarbeiter erhalten Zugang Backup-Konzept erstellen: Regelmäßige Sicherung der Datenbank und Dateien Plugin „Doppelte Sicherheit“ aktivieren (empfohlen bei externer KI)

AV-Verträge, die Sie abschließen müssen

Vertragspartner	Wann erforderlich	Hinweis
LLM-Anbieter (Mistral, OpenAI etc.)	Wenn externer KI-Anbieter genutzt wird	AV nach Art. 28 DSGVO beim Anbieter prüfen
Hosting-Provider	Wenn Genesis in einer Cloud gehostet wird	Standard-AV des Hosters abschließen
Kraichgau KI	Nur bei Fernwartung/Support mit Systemzugriff	Schlanker AV wird von uns bereitgestellt

Nicht erforderlich:

Kein AV mit Kraichgau KI für den Normalbetrieb
Kein AV mit LLM-Anbietern bei ausschließlich lokalen KI-Modellen (Ollama)

3. Plugin „Doppelte Sicherheit“ konfigurieren

Wenn Sie externe KI-Anbieter nutzen, sollten Sie das Plugin „Doppelte Sicherheit“ aktivieren:

Admin-Bereich → Plugins → „Doppelte Sicherheit“ aktivieren

Benutzergruppen zuweisen, für die Anonymisierung aktiv sein soll

Testen: Text mit Personennamen eingeben und Anonymisierung prüfen

Was wird anonymisiert?

✓ Personennamen ✓ Adressen ✓ Geburtsdaten ✓ Aktenzeichen ✓ E-Mail-Adressen ✓ Telefonnummern ✓ IBAN / Kontonummern ✓ Weitere sensible Daten

Die Anonymisierung erfolgt lokal auf Ihrem Server durch eine lokale KI. Erst der anonymisierte Text wird an den externen KI-Anbieter gesendet. Die Antwort wird anschließend automatisch de-anonymisiert.

4. Verarbeitungsverzeichnis (Muster)

Fügen Sie Genesis in Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO ein:

Feld	Inhalt
Bezeichnung	Genesis KI-Plattform
Verantwortlicher	[Ihre Firma/Kanzlei]
Zweck	KI-gestützte Recherche, Dokumentenanalyse, Wissensmanagement, Kommunikation
Rechtsgrundlage	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Betroffene Personen	Mitarbeiter, ggf. Mandanten/Kunden (bei Dokumentenverarbeitung)
Datenkategorien	Namen, Kontaktdaten, ggf. Falldaten (je nach Nutzung)
Empfänger	Externer KI-Anbieter (nur anonymisiert), sonst keine
Drittlandtransfer	Je nach KI-Anbieter (entfällt bei lokalen Modellen)
Löschfristen	Nach Weisung des Verantwortlichen
TOM	Verschlüsselung, Zugriffskontrolle, lokaler Betrieb, Anonymisierung

5. Datenschutz-Folgenabschätzung (DSFA)

Eine DSFA nach Art. 35 DSGVO kann erforderlich sein bei besonders sensiblen Daten:

Szenario	DSFA?	Begründung
Kanzlei mit Mandantendaten	Ja	Berufsgeheimnis (§ 203 StGB)
Arztpraxis mit Patientendaten	Ja	Gesundheitsdaten (Art. 9 DSGVO)
KMU mit Geschäftsdaten	In der Regel nein	Keine besondere Risikokategorie
Behörde / Kommune	Ja	Umfangreiche Verarbeitung

Risikobewertung

Risiko	Bewertung	Maßnahme
Unbefugter Zugriff	Gering	RLS, HTTPS, Firewall
Datenverlust	Gering	Backup-Konzept
Datenabfluss an KI-Anbieter	Mittel	Plugin „Doppelte Sicherheit“
Datenabfluss an Hersteller	Kein Risiko	Architekturbedingt ausgeschlossen

6. Informationspflichten gegenüber Mitarbeitern

Informieren Sie Ihre Mitarbeiter gemäß Art. 13 DSGVO. Muster-Text:

„Wir setzen die Software Genesis als KI-gestütztes Wissensmanagement-Tool ein. Die Software läuft auf unserem eigenen Server. Chatverläufe und hochgeladene Dokumente werden ausschließlich lokal gespeichert. Bei Nutzung externer KI-Modelle werden Anfragen automatisch anonymisiert. Der Software-Hersteller hat keinen Zugriff auf Ihre Daten.“

7. Empfehlungen für Kanzleien

Für Rechtsanwaltskanzleien gelten besondere Anforderungen (Berufsgeheimnis, § 203 StGB, BRAO). Siehe auch unser DSGVO-Konformitätsdokument:

Plugin „Doppelte Sicherheit“ ist Pflicht bei Nutzung externer KI-Anbieter Lokale KI-Modelle bevorzugen für besonders sensible Fälle Zugriff auf Mandantsakten beschränken: Nur berechtigte Anwälte/Mitarbeiter Kein Klartext in KI-Anfragen bei deaktivierter Anonymisierung Regelmäßige Prüfung: Stichprobenartig Anonymisierung kontrollieren

8. Weiterführende Dokumente

Datenschutz-Whitepaper – Architektur und Datenhoheit im Detail
DSGVO-Konformität – Alle DSGVO-Artikel im Detail erfüllt
Datenschutz-Vergleich – Genesis vs. ChatGPT & Copilot
Sicherheitskonzept – Technische Sicherheitsmaßnahmen
Kostenlose Beratung – Persönliche Datenschutz-Beratung vereinbaren

Bei Fragen: info@kraichgau-ki.de oder 07253 988973
Stand: April 2026 · Version 1.0

Häufige Fragen zum datenschutzkonformen Betrieb

Ja. Gemäß Art. 13 DSGVO müssen Sie Ihre Mitarbeiter über die Verarbeitung informieren. Ein Muster-Text steht in diesem Leitfaden unter Punkt 6. Genesis läuft lokal – der Hersteller hat keinen Zugriff.

Das hängt von Ihrer Branche ab. Kanzleien, Arztpraxen und Behörden sollten eine DSFA durchführen. Für KMU mit Geschäftsdaten ist sie in der Regel nicht erforderlich. Details in unserem DSGVO-Konformitätsdokument.

Aktivieren Sie das Plugin „Doppelte Sicherheit“ bei externer KI-Nutzung, bevorzugen Sie lokale KI-Modelle für sensible Fälle und beschränken Sie den Zugriff auf Mandantsakten. Weitere Infos: Genesis für Rechtsanwälte.