Personenbezogene Daten (Name, Alter, Geschlecht) werden in einer separaten Datenschicht verarbeitet und nie an das Sprachmodell übermittelt. Die KI sieht ausschließlich anonymisierte Inhalte. Die Trennung erfolgt vor jeder Verarbeitung – nicht nachträglich.

Bevor offene Antworten an die KI gehen, werden potenzielle Identifikatoren (Namen, Orte, Organisationen) automatisch erkannt und maskiert. Das System nutzt Named Entity Recognition, um auch indirekte Identifikatoren zu erkennen.

Provider: Microsoft Azure OpenAI Service. Serverstandort: swedencentral (Schweden, EU). Azure OpenAI ist ein EU Data Boundary Service – Kundendaten werden innerhalb der EU/EFTA gespeichert und verarbeitet. Missbrauchsüberwachung erfolgt ausschließlich durch Microsoft-Personal im EWR.

Die Foundation-Modelle speichern keine Prompts, keine Antworten und keine Kundendaten. Nach jeder Anfrage wird der Kontext gelöscht. Daten werden nicht für das Training verwendet. OpenAI hat keinen Zugriff auf Kundendaten und ist kein Unterauftragsverarbeiter.

Jeder Score im Ergebnis-Report hat eine dokumentierte Begründung mit konkreten Textstellen aus dem Interview. Das System dokumentiert: welche Aussagen zu welchem Skalenwert führten, die Konfidenz der Bewertung und den vollständigen Gesprächsverlauf.

Auftragsverarbeitervertrag nach Art. 28 DSGVO auf Anfrage. Microsoft Data Protection Addendum (DPA). EU-Standardvertragsklauseln (SCCs, Modul 3 Processor-to-Processor). EU-U.S. Data Privacy Framework-Zertifizierung. TOMs nach ISO 27001, 27002 und 27018.

Kein Profiling, keine Emotionserkennung, keine biometrische Analyse. KI-generierte Inhalte werden als solche gekennzeichnet. Kundendaten werden at rest und in transit verschlüsselt. Der Verantwortliche im Sinne der DSGVO ist der jeweilige Kunde; IR&C agiert als Auftragsverarbeiter.