---
title: "Datenschutz-Folgenabschätzung (DSFA)"
description: "Stand: 30. Mai 2026"
canonical_url: "https://getminds.ai/legal/de/dsfa"
last_updated: "2026-06-24T15:40:54.081Z"
---

# Datenschutz-Folgenabschätzung (DSFA)

**Stand: 30. Mai 2026**

Diese DSFA gemäß Art. 35 DSGVO bewertet die Datenschutzrisiken der KI-Plattform „Minds" der Art of X UG (haftungsbeschränkt).

## 1. Beschreibung der Verarbeitung

Minds ermöglicht Kunden, synthetische KI-Personas ("Minds"; früher "Sparks") für simulierte Panels, Forschung, kreative Workflows, Voice- und Messaging-Interaktionen, API/MCP-Workflows und optionale Integrationen zu erstellen und zu nutzen.

<table>
<thead>
  <tr>
    <th>
      Kategorie
    </th>
    
    <th>
      Details
    </th>
  </tr>
</thead>

<tbody>
  <tr>
    <td>
      <strong>
        Betroffene Personen
      </strong>
    </td>
    
    <td>
      Mitarbeiter des Verantwortlichen, eingeladene Endnutzer, Personen, deren Daten eingegeben werden, und Personen, die in eingereichten Inhalten, Kalenderereignissen, Nachrichten, Anrufen oder öffentlichen Quellen genannt werden
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        Datenarten
      </strong>
    </td>
    
    <td>
      Kontaktdaten, Zugangsdaten, Nutzungsdaten, Inhalte (Text/Bilder/Audio/Dateien/URLs), Prompts und Ausgaben, Embeddings, API-/OAuth-Tokens, Kalenderereignis- und Teilnehmermetadaten, SMS-/WhatsApp-/Voice-Metadaten, technische Daten, Zahlungsdaten (Stripe)
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        Orte
      </strong>
    </td>
    
    <td>
      Primär EU (DE, SE), USA und andere Drittländer für ausgewählte APIs unter DPF/SCCs, UK für ausgewählte Voice-Dienste
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        Speicherung
      </strong>
    </td>
    
    <td>
      Vertragslaufzeit + Löschung nach 30 Tagen, sofern keine kürzere funktionsspezifische Speicherung, Einwilligungswiderruf, gesetzliche Aufbewahrung oder Audit-/Sicherheitsaufbewahrung gilt
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        Zweck
      </strong>
    </td>
    
    <td>
      KI-Plattformdienste, kundengesteuerte Simulationen, Integrationen, Quellensammlung, Messaging/Voice, Sicherheit und Support. Kein Training allgemeiner Modelle, sofern nicht ausdrücklich opt-in verfügbar und erteilt.
    </td>
  </tr>
  
  <tr>
    <td>
      <strong>
        Technologie
      </strong>
    </td>
    
    <td>
      LLM-APIs (OpenAI, Anthropic, Google), Voice-Dienste (ElevenLabs, Fish Audio, Deepgram), Quellen-/Suchanbieter (Tavily, Firecrawl, Apify, Serper, OCR.space), Integrationen (Google Calendar, Twilio), Infrastruktur (DigitalOcean Frankfurt, Supabase Stockholm), Sicherheit (Cloudflare, TLS 1.2+, AES-256).
    </td>
  </tr>
</tbody>
</table>

## 2. Notwendigkeit und Verhältnismäßigkeit

- **Rechtsgrundlage**: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 28 DSGVO, Art. 6 Abs. 1 lit. a (Einwilligung für Analytics)
- **Zweckbindung**: Verarbeitung nur gemäß AVV. Kein Modelltraining, Marketing oder unautorisierte Weitergabe.
- **Datenminimierung**: UUIDs statt Klarnamen, aggregierte Analysen, automatische Löschung
- **Speicherbegrenzung**: 30-Tage-Löschung nach Vertragsende, 30 Tage Backup-Aufbewahrung

## 3. Risikobewertung

<table>
<thead>
  <tr>
    <th>
      Risiko
    </th>
    
    <th>
      Wahrscheinlichkeit
    </th>
    
    <th>
      Schwere
    </th>
    
    <th>
      Restrisiko
    </th>
    
    <th>
      Maßnahmen
    </th>
  </tr>
</thead>

<tbody>
  <tr>
    <td>
      Unbefugter Zugriff
    </td>
    
    <td>
      Niedrig
    </td>
    
    <td>
      Hoch
    </td>
    
    <td>
      Niedrig
    </td>
    
    <td>
      MFA, RBAC, AES-256, Row-Level Security, scoped und widerrufbare Tokens
    </td>
  </tr>
  
  <tr>
    <td>
      Datenpanne
    </td>
    
    <td>
      Niedrig
    </td>
    
    <td>
      Hoch
    </td>
    
    <td>
      Niedrig
    </td>
    
    <td>
      TLS 1.2+, verschlüsselte Backups, Cloudflare, Incident-Prozess, 48h-Benachrichtigung
    </td>
  </tr>
  
  <tr>
    <td>
      KI-Training mit Kundendaten ohne Weisung
    </td>
    
    <td>
      Sehr niedrig
    </td>
    
    <td>
      Hoch
    </td>
    
    <td>
      Sehr niedrig
    </td>
    
    <td>
      No-Training-Default, Opt-in-Kontrollen, Anbieter-Verträge, ZDR-/No-Retention-Kontrollen wo verfügbar
    </td>
  </tr>
  
  <tr>
    <td>
      Mandantenübergreifender Datenabfluss
    </td>
    
    <td>
      Sehr niedrig
    </td>
    
    <td>
      Kritisch
    </td>
    
    <td>
      Sehr niedrig
    </td>
    
    <td>
      Row-Level Security, Tenant-Prüfungen, automatisierte Tests
    </td>
  </tr>
  
  <tr>
    <td>
      Behördenzugriff (FISA/CLOUD Act)
    </td>
    
    <td>
      Niedrig
    </td>
    
    <td>
      Mittel
    </td>
    
    <td>
      Niedrig
    </td>
    
    <td>
      EU-primäre Infrastruktur, DPF/SCCs, Transferprüfung, Transparenzklausel
    </td>
  </tr>
  
  <tr>
    <td>
      Missbrauch von Stimme, Erscheinungsbild oder geklonter Stimme
    </td>
    
    <td>
      Niedrig
    </td>
    
    <td>
      Hoch
    </td>
    
    <td>
      Mittel
    </td>
    
    <td>
      Einwilligungspflichten, Acceptable-Use-Regeln, Logging, Takedown- und Sperrrechte
    </td>
  </tr>
  
  <tr>
    <td>
      Missbrauch von Kalender-/OAuth-Tokens
    </td>
    
    <td>
      Niedrig
    </td>
    
    <td>
      Hoch
    </td>
    
    <td>
      Niedrig
    </td>
    
    <td>
      Beschränkte Google-Calendar-Berechtigungen, verschlüsselte Tokenspeicherung, Widerruf/Disconnect, Webhook-Cleanup, Audit-Logs
    </td>
  </tr>
  
  <tr>
    <td>
      Unzulässige oder sensible Daten aus öffentlichen Quellen
    </td>
    
    <td>
      Mittel
    </td>
    
    <td>
      Mittel
    </td>
    
    <td>
      Mittel
    </td>
    
    <td>
      Nutzerzusicherungen, Verbote, Quellenlogging, Minimierung, Löschrechte, Provider-Kontrollen
    </td>
  </tr>
  
  <tr>
    <td>
      Lücke bei KI-Transparenz oder Herkunft vor Geltung von Art. 50
    </td>
    
    <td>
      Mittel
    </td>
    
    <td>
      Mittel
    </td>
    
    <td>
      Mittel
    </td>
    
    <td>
      Sichtbare UI-Hinweise jetzt, Generierungsmetadaten, Export-/Provenance-Vorbereitung bis 2. August 2026
    </td>
  </tr>
  
  <tr>
    <td>
      Verfügbarkeitsverlust
    </td>
    
    <td>
      Niedrig
    </td>
    
    <td>
      Mittel
    </td>
    
    <td>
      Niedrig
    </td>
    
    <td>
      Tägliche Backups, PITR, RPO 24h, RTO 8h
    </td>
  </tr>
</tbody>
</table>

## 4. Maßnahmen

- **Technisch**: TLS 1.2+, AES-256, MFA, RBAC, Row-Level Security, EU-Infrastruktur, Langfuse (EU), scoped API-/OAuth-Tokens, Integrations-Audit-Logs
- **Organisatorisch**: Externer DSB (Prof. Dr. Norman Uhlmann), NDAs, Schulungen, 48h-Incident-Response
- **Vertraglich**: AVVs mit allen Unterauftragsverarbeitern, ZDR-Garantien, SCCs, 14-Tage-Vorabbenachrichtigung, FISA-Transparenz

## 5. Konsultation

**DSB**: Prof. Dr. Norman Uhlmann, h3ko Innovations GmbH, Pappelallee 64, 16359 Biesenthal. [privacy@getminds.ai](mailto:privacy@getminds.ai)

**Art. 36**: Vorherige Konsultation nicht erforderlich (Restrisiko nicht „hoch").

**Überprüfung**: Jährlich, bei wesentlichen Änderungen oder auf Anforderung der Aufsichtsbehörde.

---

**Art of X UG (haftungsbeschränkt)** | Köpenicker Straße 145, 10997 Berlin | [privacy@getminds.ai](mailto:privacy@getminds.ai)