Zum Inhalt springen
KSKlar

Datenschutzinformationen zur KI-Analyse

KSKlar nutzt künstliche Intelligenz zur automatischen Klassifikation von Rechnungen hinsichtlich der Künstlersozialabgabe. Hier erfahren Sie, welche Daten dabei verarbeitet werden und welche Rechte Sie haben.

Wie die KI-Analyse funktioniert

Die Analyse Ihrer Rechnungen erfolgt in zwei getrennten Schritten, die jeweils unterschiedliche Daten verarbeiten:

Schritt 1: Texterkennung (OCR)

Wenn Sie eine PDF-Rechnung hochladen, wird das gesamte Dokument an Mistral AI zur Texterkennung (OCR) übermittelt. Das ist technisch notwendig, um den Text aus dem PDF zu extrahieren. Das bedeutet: Alle Daten, die in der Rechnung enthalten sind (einschließlich IBAN, Steuernummer, Adresse etc.), werden im Rahmen der OCR-Verarbeitung an Mistral AI gesendet.

  • Mistral AI verwendet Ihre Daten nicht für das Training ihrer KI-Modelle (vertraglich im Data-Processing-Agreement zugesichert, entsprechende Workspace-Einstellung ist aktiviert).
  • Die von Mistral AI verarbeiteten OCR-Anfragen werden maximal 30 Tage gespeichert (zur Missbrauchserkennung und Fehlerdiagnose, branchenüblicher Standard laut Mistral-Datenschutzerklärung) und anschließend automatisch gelöscht.
  • Bei manueller Eingabe (ohne PDF) entfällt dieser Schritt vollständig.

Schritt 2: KSK-Klassifikation

Für die eigentliche KSK-Klassifikation werden nur minimierte Daten an Mistral AI gesendet. Ein serverseitiges Whitelist-Schema (DSG-05) stellt technisch sicher, dass ausschließlich diese Felder übermittelt werden:

  • Lieferantname
  • Stadt (nur Ort, keine vollständige Adresse)
  • Rechnungsdatum
  • Nettobetrag
  • Bruttobetrag
  • Leistungsbeschreibung
  • Rechtsform des Lieferanten

Sensible Daten wie IBAN, Steuernummer, Telefonnummer oder E-Mail-Adresse werden in diesem Schritt technisch ausgeschlossen — sie können nicht an die Klassifikations-KI gesendet werden.

An wen werden die Daten gesendet

Beide Verarbeitungsschritte nutzen Dienste von Mistral AI, einem französischen Unternehmen mit Sitz in Paris, Frankreich (Europäische Union).

  • Kein Drittlandtransfer: Die Datenverarbeitung erfolgt innerhalb der EU.
  • Keine Nutzung für KI-Training: Mistral AI verwendet Ihre OCR- und Klassifikationsanfragen nicht, um ihre KI-Modelle zu trainieren (vertraglich im Data-Processing-Agreement nach Art. 28 DSGVO zugesichert).
  • Standard-Speicherdauer 30 Tage: Anfragen werden bei Mistral AI maximal 30 Tage zur Missbrauchserkennung und Fehlerdiagnose vorgehalten, anschließend automatisch gelöscht (branchenüblicher Standard laut Mistral-Datenschutzerklärung). Eine vertragliche Zero-Retention-Option (sofortige Löschung nach jeder Anfrage) ist bei Mistral nur über einen Enterprise-Vertrag verfügbar und als Upgrade-Pfad nach Wachstum der Nutzerbasis vorgesehen.
  • Datenminimierung als primärer Schutz: Durch unseren technischen Whitelist-Filter (Schritt 2) gelangen identifizierende Daten wie IBAN, Steuernummer, Telefonnummer oder E-Mail-Adresse gar nicht erst an die Klassifikations-KI — sie können also auch nicht im Rahmen der 30-tägigen Speicherung betroffen sein.

Datenminimierung bei der Klassifikation

Die folgenden sensiblen Daten werden bei der KSK-Klassifikation (Schritt 2) technisch ausgeschlossen — ein serverseitiges Schema verhindert ihre Übermittlung:

  • IBAN und Bankverbindung
  • BIC
  • Steuernummer
  • Umsatzsteuer-IdNr
  • Vollständige Adresse (nur Stadt wird gesendet)
  • Telefonnummer
  • E-Mail-Adresse

Hinweis zur OCR: Bei der Texterkennung (Schritt 1) werden diese Daten im Rahmen des gesamten PDF-Dokuments verarbeitet. Mistral AI verwendet sie nicht für KI-Training und löscht sie gemäß ihrer Datenschutzerklärung spätestens nach 30 Tagen automatisch.

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die KI-gestützte Klassifikation von Rechnungen wird vor der ersten Nutzung im Consent-Dialog aktiv eingewilligt; ohne diese Einwilligung lässt sich der Dienst auch ohne KI-Analyse mit manueller Klassifikation in der UI nutzen.

Vor der erstmaligen Nutzung der KI-Analyse muss ein Administrator oder Eigentümer der Organisation die KI-Analyse ausdrücklich aktivieren.

Widerruf (Art. 7 Abs. 3 DSGVO): Die Einwilligung kann jederzeit mit Wirkung für die Zukunft in den Einstellungen widerrufen werden. Bei Widerruf wird die KI-Klassifikation deaktiviert; bereits klassifizierte Rechnungen bleiben unverändert (Art. 17 Abs. 3 lit. b DSGVO i. V. m. § 257 HGB, § 147 AO).

Speicherdauer

  • OCR-extrahierter Text: Wird für eine erneute Klassifikation gespeichert und bei Account-Löschung vollständig gelöscht.
  • Klassifikationsergebnisse: Werden zusammen mit der Rechnung aufbewahrt.
  • Steuerrelevante Daten:10 Jahre Aufbewahrungspflicht gemäß § 257 HGB.
  • Rohdaten der OCR-Verarbeitung bei Mistral AI: Mistral AI speichert OCR- und Klassifikations-Anfragen maximal 30 Tage (zur Missbrauchserkennung und Fehlerdiagnose, branchenüblicher Standard laut Mistral-Datenschutzerklärung), anschließend automatische Löschung. Mistral AI verwendet die Daten nicht für KI-Training (vertraglich im Data-Processing-Agreement zugesichert).

Ihre Rechte

Nach der DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Recht auf Datenportabilität (Art. 20 DSGVO)
Kontakt: datenschutz@ksklar.de

KSKlar bietet Informationen und Berechnungen zur Künstlersozialabgabe. Dies stellt keine Rechts- oder Steuerberatung dar.

Zurück zur Startseite