Zum Hauptinhalt springen
Zum Inhalt springen
MandeaMandeaAlphaEinloggen

Datenschutzerklärung

Gültig für Mandea (mandea.jusera.at)

Das Wichtigste in Kürze

  • · Verarbeitet werden Account-Daten der Mitglieder und Lernfortschrittsdaten innerhalb der jeweiligen Organisation.
  • · Hochgeladene Richtlinieninhalte werden AES-256-GCM verschlüsselt gespeichert – organisationsspezifischer Schlüssel, HKDF-abgeleitet.
  • · KI-Anfragen laufen über Mistral ZDR (Zero Data Retention) – Richtlinieninhalte werden nicht für das Modelltraining verwendet.
  • · Alle Daten werden in der EU gespeichert (Supabase Frankfurt, IONOS Deutschland).
  • · Zwischen Mandea und jeder Organisation wird ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO abgeschlossen.

1) Verantwortliche

Für den Betrieb von Mandea (Auftragsverarbeiter):

Jakob Secklehner · Maroltingergasse 57, 1160 Wien, Österreich
E-Mail: jusera@posteo.at

Für die Daten der eigenen Mitglieder (Verantwortliche):

Die jeweilige Organisation (Tenant), die Mandea für ihre Mitglieder einsetzt. Die Verarbeitung erfolgt auf Basis eines AVV gem. Art. 28 DSGVO.

2) Welche Daten verarbeitet werden

Für jede Datenkategorie sind Zweck, Rechtsgrundlage und Speicherdauer getrennt ausgewiesen.

a) Account-Daten der Mitglieder

Daten
E-Mail-Adresse, gehashtes Passwort, optional ein Anzeigename.
Zweck
Identifikation, Anmeldung und Zuordnung zum Organisationskonto.
Rechtsgrundlage
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); Weisung der verantwortlichen Organisation.
Speicherdauer
Solange das Mitgliedskonto besteht. Nach Löschung vollständige Entfernung innerhalb von 30 Tagen.
Verwaltet durch Supabase Auth.

b) Organisationszugehörigkeit

Daten
Tenant-ID, User-ID, Rolle (owner / admin / learner), Zeitstempel der Zuweisung.
Zweck
Zugriffskontrolle – stellt sicher, dass Mitglieder nur auf Daten ihrer eigenen Organisation zugreifen können.
Rechtsgrundlage
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Speicherdauer
Solange die Mitgliedschaft besteht.
Row Level Security (RLS) auf Datenbankebene verhindert organisationsübergreifende Datenzugriffe.

c) Lernfortschritt & Compliance-Daten

Daten
Beantwortete Fragen, gewählte Antwortoption, Zeitstempel, Trefferquote je Richtlinie.
Zweck
Bereitstellung des Lernfortschritts für das Mitglied und des Compliance-Dashboards für die Organisation.
Rechtsgrundlage
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); Weisung der verantwortlichen Organisation.
Speicherdauer
Solange das Mitgliedskonto besteht. Nach Löschung Entfernung innerhalb von 30 Tagen.
Die Organisation sieht aggregierte Trefferquoten pro Richtlinie. Individualdaten sind nur für Administratoren der eigenen Organisation einsehbar.

d) Hochgeladene Richtlinieninhalte

Daten
Datei (PDF, DOCX, TXT, Markdown), extrahierter Volltext, Abschnittsgliederung, Verarbeitungsstatus, Zeitstempel.
Zweck
Abschnittsextraktion und KI-gestützte Generierung von Quizfragen für die Organisation.
Rechtsgrundlage
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); Weisung der verantwortlichen Organisation.
Speicherdauer
Bis zur manuellen Löschung durch einen Administrator der Organisation oder spätestens mit Auflösung des Organisationskontos.
Richtlinieninhalte werden mit AES-256-GCM verschlüsselt gespeichert; der Schlüssel wird pro Organisation individuell per HKDF abgeleitet. Zur KI-Fragengeneration wird der entschlüsselte Text an Mistral AI (ZDR, siehe Punkt 3) übermittelt.

e) Audit-Protokolle

Daten
Art der Aktion (z. B. Policy-Upload, Fragen-Generierung, Mitgliedsverwaltung), User-ID des Handelnden, Zeitstempel.
Zweck
Nachvollziehbarkeit administrativer Handlungen; Grundlage für den Audit-CSV-Export für Compliance-Zwecke.
Rechtsgrundlage
Berechtigtes Interesse an der Nachvollziehbarkeit sicherheitsrelevanter Aktionen (Art. 6 Abs. 1 lit. f DSGVO).
Speicherdauer
90 Tage, danach automatische Löschung. Bei Kontolöschung wird die User-ID anonymisiert.

f) Server-Logs

Daten
IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Status, User-Agent.
Zweck
Sicherheit, Missbrauchsabwehr, Fehleranalyse.
Rechtsgrundlage
Berechtigtes Interesse am sicheren Betrieb (Art. 6 Abs. 1 lit. f DSGVO).
Speicherdauer
Maximal 30 Tage, danach automatische Rotation.
Keine Auswertung zu Marketingzwecken, keine Verknüpfung mit Account-Daten.

g) Technisch notwendige Browser-Speicherung

Daten
LocalStorage: Anmelde-Token (Supabase Auth). Kein Tracking, keine Analyse-Cookies.
Zweck
Aufrechterhaltung der Anmeldung.
Rechtsgrundlage
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Speicherdauer
Bis zum Logout oder Ablauf der Session.
Mandea verwendet keine Marketing- oder Tracking-Cookies. Es ist kein Cookie-Banner erforderlich.

3) KI-Verarbeitung

Für die Generierung von Quizfragen aus Richtlinieninhalten wird der extrahierte Text an Mistral AI (Frankreich/EU) übermittelt. Mandea setzt standardmäßig Zero Data Retention (ZDR) ein – Richtlinieninhalte werden von Mistral nicht für das Training des Modells verwendet und nach der Verarbeitung nicht gespeichert.

Es werden niemals Account-Daten oder personenbezogene Daten der Mitglieder an die KI übermittelt – ausschließlich der sachliche Inhalt der Richtlinientexte.

Organisationen mit erhöhten Anforderungen können einen eigenen KI-Endpunkt (BYO-LLM, OpenAI-kompatibel) konfigurieren. In diesem Fall gelten die Datenschutzbedingungen des jeweiligen Anbieters.

4) Empfänger personenbezogener Daten

  • IONOS SE (Deutschland)
    Virtueller Server zum Betrieb der Anwendung. Empfängt Server-Logs inkl. IP-Adressen. AVV gem. Art. 28 DSGVO vorhanden.
  • Supabase, Inc. (Hosting-Region Frankfurt/EU)
    Datenbank, Authentifizierung und Storage. Speichert Account-, Lernfortschritts-, Richtlinien- und Audit-Daten. AVV gem. Art. 28 DSGVO vorhanden. Daten ausschließlich auf EU-Servern.
  • Mistral AI (Frankreich/EU)
    Generierung von Quizfragen aus Richtlinieninhalten. Übermittelt werden ausschließlich Richtlinientexte – keine Account- oder Mitgliedsdaten. Zero Data Retention aktiv.

5) Auftragsverarbeitung (AVV)

Da Mandea personenbezogene Daten (Mitglieder-Accounts, Lernfortschritte) im Auftrag der jeweiligen Organisation verarbeitet, ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) gem. Art. 28 DSGVO erforderlich. Weitere Informationen und die Anforderung des AVV: legal/avv.

6) Ihre Rechte

Ihnen stehen nach der DSGVO folgende Rechte zu:

Auskunft
Welche Daten über Sie verarbeitet werden (Art. 15 DSGVO).
Berichtigung
Korrektur unrichtiger Daten (Art. 16 DSGVO).
Löschung
Entfernung Ihrer Daten (Art. 17 DSGVO).
Einschränkung
Einschränkung der Verarbeitung (Art. 18 DSGVO).
Datenübertragbarkeit
Erhalt Ihrer Daten in einem maschinenlesbaren Format (Art. 20 DSGVO).
Widerspruch
Widerspruch gegen Verarbeitungen auf Basis berechtigten Interesses (Art. 21 DSGVO).
Beschwerde
Beschwerde bei einer Datenschutzbehörde, z. B. der Österreichischen Datenschutzbehörde (dsb.gv.at).

Für alle Anliegen genügt eine formlose E-Mail an jusera@posteo.at.

7) Änderungen dieser Datenschutzerklärung

Diese Erklärung wird angepasst, wenn sich die Verarbeitung ändert. Die jeweils aktuelle Fassung ist stets unter dieser URL abrufbar.

Stand: Juni 2026