Datenschutz & EU-Hosting
Wie Kasimir DSGVO-Konformität, EU-Hosting und Datensouveränität umsetzt — von selbst-gehosteten Modellen bis zur Nicht-EU-Freigabe und Cookie-Einwilligung.
Kasimir wurde von Grund auf für den deutschen Mittelstand gebaut: DSGVO-konform, mit klarer Datensouveränität und einem Standard-Betrieb, bei dem Deine Inhalte die EU nicht verlassen. Diese Seite erklärt, wo Deine Daten verarbeitet werden, wie Du erkennst, welches KI-Modell wohin schreibt, wie Administratoren den Zugriff steuern und welche rechtlichen Bausteine (AVV, Cookie-Einwilligung, Datenschutzerklärung) im Produkt verankert sind.
Das Souveränitäts-Prinzip in Kürze
Kasimir ordnet jedes KI-Modell genau einer von drei „Souveränitäts-Stufen" zu. Diese Einstufung steuert, ob Daten die EU verlassen — und sie ist überall im Produkt sichtbar.
Stufe | Bedeutung | Wo verarbeitet | Daten verlässt EU? |
|---|---|---|---|
| Läuft auf Kasimir-eigenen Servern — die souveränste Option, Standard | EU (Hetzner, Deutschland) | Nein |
| EU-Region, aber über einen Auftragsverarbeiter | EU (Azure AI Foundry / Microsoft) | Nein |
| Verarbeitung außerhalb der EU — nur per Opt-in freigeschaltet | Außerhalb der EU (z. B. xAI/USA, DeepSeek/China) | Ja |
Standard ist maximale Souveränität. Das voreingestellte Chat-Modell (Gemma) ist selbst gehostet und läuft ausschließlich auf der EU-Infrastruktur in Deutschland. Nicht-EU-Modelle sind technisch deaktiviert, bis ein Administrator sie ausdrücklich freigibt.
Wo Deine Daten leben
Der Kern von Kasimir läuft im Eigenbetrieb auf Servern in Deutschland (Hetzner, Falkenstein). Dort liegen:
Datenbank, Anmeldung und Sitzungen — selbst gehostetes Supabase (
api.kasimir.ai)Datei-Speicher — hochgeladene Dokumente, Chat-Anhänge und Audio-Aufnahmen
KI-Routing — der LiteLLM-Proxy, über den jede Chat- und Embedding-Anfrage läuft
Vektor-Embeddings —
BAAI/bge-m3, ebenfalls selbst gehostetAudio-Transkription —
faster-whisperfür die Sprach- und Meeting-FunktionenWeb-Suche — eine selbst betriebene SearXNG-Instanz (keine Anfragen an US-Suchdienste)
Einige Funktionen nutzen externe Auftragsverarbeiter mit Standardvertragsklauseln: Cloudflare (CDN, DDoS-Schutz, TLS, Bot-Schutz via Turnstile), SendGrid/Twilio (transaktionale E-Mails) und — nur nach Einwilligung — Google Analytics. Die vollständige Liste mit Rechtsgrundlagen findest Du in der Datenschutzerklärung unter /privacy.
Alle Verbindungen zu Kasimir sind TLS-verschlüsselt (erkennbar am Schloss-Symbol und https:// in der Adresszeile). Auf Origin- wie auf Edge-Ebene.
Die Souveränitäts-Stufe im Chat erkennen
Du musst kein Wissen über Anbieter mitbringen — Kasimir zeigt die Datenverarbeitung direkt am Modell an.
Im Modell-Auswahlmenü
Klickst Du im Chat-Composer auf die Modell-Auswahl, trägt jedes Modell ein Badge:
Ein grünes Badge
EUfür selbst gehostete und EU-Cloud-ModelleEin bernsteinfarbenes Badge
Nicht-EUfür Modelle, die Daten außerhalb der EU verarbeiten
Fährst Du mit der Maus über ein Modell, öffnet sich ein Detail-Panel mit Anbieter, Kontextfenster, Bildverständnis und einem Abschnitt Datenverarbeitung. Dort steht im Klartext, wo die Daten landen:
Auf Kasimir-eigenen Servern in der EU verarbeitet(Schild-Symbol, grün)In der EU verarbeitet · Azure AI Foundry (Microsoft)(EU-Globus-Symbol, blau)Außerhalb der EU verarbeitet – Daten verlassen die EU(Warndreieck, bernstein)
Im Composer-Hinweis
Hast Du ein Nicht-Selbst-gehostetes Modell ausgewählt, blendet der Composer zusätzlich einen Hinweis ein:
Für EU-Cloud-Modelle:
Verarbeitung in der EU via Azure Foundry (Microsoft)Für Nicht-EU-Modelle (Warnton):
Achtung: Verarbeitung außerhalb der EU – Daten verlassen die EU
Beim Standard-Modell (selbst gehostet) erscheint bewusst kein Hinweis — hier ist alles souverän.
Nicht-EU-Modelle: Opt-in pro Unternehmen
Stärkere internationale Modelle (z. B. Grok von xAI oder DeepSeek) können nützlich sein, verarbeiten Daten aber außerhalb der EU. Deshalb sind sie in Kasimir standardmäßig komplett ausgeblendet und müssen pro Unternehmen freigeschaltet werden.
So schaltest Du sie frei (nur Administratoren)
Öffne
Verwaltung→Chat-Einstellungen.Aktiviere das Kontrollkästchen
Nicht-EU-Modelle erlauben.Speichern.
Der Hinweistext macht die Konsequenz unmissverständlich: „Erlaubt stärkere Modelle außerhalb der EU (z. B. Grok/xAI USA, DeepSeek China). Dabei verlassen Chat-Daten die EU — nicht DSGVO-souverän. Standardmäßig aus."
Solange diese Option aus ist, erscheinen Nicht-EU-Modelle weder im Auswahlmenü noch lassen sie sich über die API ansprechen. Diese Sperre ist doppelt abgesichert: Das Auswahlmenü blendet die Modelle aus, und der Server lehnt jede manuell konstruierte Anfrage an ein Nicht-EU-Modell mit Fehler 403 ab. Es gibt keinen Weg, die Sperre als normaler Nutzer zu umgehen.
Was die Freigabe ändert
Ist Nicht-EU-Modelle erlauben aktiv, erscheinen die freigegebenen Modelle für alle Mitarbeitenden im Auswahlmenü — jeweils mit dem Nicht-EU-Badge und dem Composer-Warnhinweis. Die Entscheidung, ein solches Modell für eine bestimmte Konversation zu nutzen, trifft dann der einzelne Nutzer bewusst. Selbst gehostete und EU-Cloud-Modelle bleiben jederzeit verfügbar und sind weiterhin die Voreinstellung.
Auftragsverarbeitungs-Vertrag (AVV)
Für den produktiven Einsatz mit echten Personendaten schließt Du mit Kasimir einen Auftragsverarbeitungs-Vertrag (AVV) nach Art. 28 DSGVO. Dieser ist direkt im Produkt hinterlegt.
Öffne
Verwaltung→AVV.Der Vertrag ist mit Deinen Unternehmensdaten vorbefüllt und vollständig lesbar.
Über
Als HTML herunterladensicherst Du eine Kopie für Deine Unterlagen.Zum Abschließen setzt Du das Häkchen bei der Bestätigungserklärung und klickst
AVV jetzt akzeptieren.
Nach der Annahme zeigt die Seite Status Akzeptiert mit Name, E-Mail, Zeitstempel und Versionsnummer der unterzeichnenden Person.
Den AVV kann ausschließlich der/die Inhaber:in des Unternehmens-Accounts akzeptieren — alle anderen Administratoren sehen den Vertrag, aber statt der Schaltfläche den Hinweis, dass nur die Inhaber:in unterzeichnen darf. Bis zur Annahme weist die Seite darauf hin, dass die Unterzeichnung vor der produktiven Nutzung mit echten Personendaten erforderlich ist.
Cookies & Einwilligung
Kasimir setzt nur das Nötigste ohne Einwilligung und lädt alles Weitere erst nach Deiner aktiven Zustimmung — nach TTDSG und DSGVO.
Drei Cookie-Kategorien
Kategorie | Inhalt | Einwilligung nötig? |
|---|---|---|
| Anmelde-Sitzung, Sprach-Auswahl, Dark Mode | Nein (immer aktiv) |
| Google Analytics — pseudonyme Reichweitenmessung | Ja |
| derzeit keine Tools aktiv | Ja |
So funktioniert das Banner
Beim ersten Besuch erscheint der Banner Wir respektieren deine Privatsphäre mit drei gleichwertigen Optionen: Alle akzeptieren, Ablehnen und Einstellungen. Über Einstellungen öffnest Du die feingranularen Schalter pro Kategorie — die nicht notwendigen sind dabei nicht vorangekreuzt.
Google Analytics wird erst nach Deiner Zustimmung überhaupt geladen — vorher findet keine Übermittlung an Google statt und es wird kein _ga-Cookie gesetzt. Widerrufst Du Deine Einwilligung später über Cookie-Einstellungen, werden die Analytics-Cookies sofort gelöscht.
Deine Entscheidung wird in einem First-Party-Cookie (kasimir_consent) gespeichert und gilt rund ein halbes Jahr. Du kannst sie jederzeit über den Link Cookie-Einstellungen (z. B. im Footer) erneut öffnen und ändern.
Deine Rechte und weitere Informationen
Die vollständige Datenschutzerklärung unter /privacy listet alle Verarbeitungen, Rechtsgrundlagen, Auftragsverarbeiter, Speicherfristen und Deine Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch, Beschwerde) gemäß DSGVO auf. Chat-Inhalte und generierte Texte kannst Du zudem jederzeit selbst löschen. Für Datenschutzanfragen ist support@kasimir.ai zuständig; Verantwortlicher ist die Viedev GmbH.