Start
KI für das DRK
Nutzen
Für Verbände
Preise
Wissen
Abonnieren
Neuigkeiten
Kontakt
Alle Portale:
DRK-Service DRK-Einkaufsportal Rotkreuzshop DRK-Intern DRK-Mitgliederbrief DRK-Assist DRK-Printshop
DRK Assist
|

Datenschutzhinweis DRK-Assist

Stand: 04.06.2026 | Version 5.0

Diese Datenschutzhinweise ergänzen die allgemeine Datenschutzerklärung der DRK-Service GmbH produktspezifisch für DRK-Assist. Allgemeine Informationen zu Verantwortlichem, Datenschutzbeauftragtem, technischen und organisatorischen Schutzmaßnahmen, allgemeinen Speicher- und Löschfristen sowie Ihren Betroffenenrechten entnehmen Sie bitte der allgemeinen Datenschutzerklärung. Die vorliegenden Hinweise beschreiben ausschließlich die DRK-Assist-spezifischen Verarbeitungsvorgänge.

1. Anwendungsbereich und Doppelrolle

Diese Hinweise betreffen zwei unterschiedliche Verarbeitungskontexte:

Vertragsabschluss und Accountverwaltung (Ziffer 2–4): DRK-Service GmbH ist hier Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Sie verarbeitet die Daten der beauftragenden Person und der eingerichteten Nutzerinnen und Nutzer in eigener datenschutzrechtlicher Verantwortung.

Laufender Betrieb von DRK-Assist (Nutzung der Anwendung): Soweit DRK-Service GmbH im Rahmen des Betriebs personenbezogene Daten verarbeitet, die der Kunde (Ihre Organisation) eingibt oder veranlasst, handelt DRK-Service GmbH als Auftragsverarbeiter gemäß Art. 28 DSGVO. Verantwortlicher ist in diesem Fall Ihre Organisation. Die Rechtsgrundlagen und Pflichten zur Information der Nutzerinnen und Nutzer obliegen insoweit dem Kunden.

2. Verarbeitungstätigkeiten im Bestellprozess

2.1 Wege des Vertragsabschlusses

Der Abschluss einer DRK-Assist-Abo-Lizenz ist auf zwei Wegen möglich:

  • Über den Rotkreuzshop (rotkreuzshop.de): Onlinebestellung mit elektronischer Zahlungsabwicklung (s. Ziffer 2.3). Mit Absenden der Bestellung und Bestätigung der Nutzungsbedingungen wird gleichzeitig die Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO wirksam abgeschlossen (s. Ziffer 2.2). Ein gesonderter Schritt ist nicht erforderlich; der Zugang wird nach Vertragsschluss unverzüglich bereitgestellt.
  • Direkte Beauftragung bei DRK-Service GmbH: Vertragsabschluss per Angebotsanforderung und schriftlicher Auftragserteilung, analog zu anderen Digital-Dienstleistungsverträgen der DRK-Service GmbH. In diesem Fall entfällt die Verarbeitung über den Rotkreuzshop; die Vertrags- und Rechnungsdaten werden direkt in der Buchhaltung (Microsoft Business Central) verarbeitet. Die Vereinbarung zur Auftragsverarbeitung ist Bestandteil der Vertragsunterlagen.

2.2 Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO)

Die Nutzungsbedingungen für DRK-Assist enthalten einen dedizierten Abschnitt zur Auftragsverarbeitung, der die Pflichtinhalte gemäß Art. 28 Abs. 3 DSGVO vollständig abbildet. Mit Abschluss des Nutzungsvertrags – auf welchem der in Ziffer 2.1 genannten Wege auch immer – wird die Vereinbarung zur Auftragsverarbeitung als integraler Bestandteil dieses Vertrags wirksam. Eine gesonderte Unterzeichnung oder ein separates Dokument ist nicht erforderlich.

Die Vereinbarung zur Auftragsverarbeitung regelt insbesondere:

  • Gegenstand, Dauer und Art der Verarbeitung
  • Zweck der Verarbeitung und Kategorien personenbezogener Daten
  • Pflichten und Rechte des Verantwortlichen (Kunden) sowie des Auftragsverarbeiters (DRK-Service GmbH)
  • Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
  • Einsatz von Unterauftragsverarbeitern (insbesondere Microsoft Azure)
  • Weisungsgebundenheit, Vertraulichkeit, Unterstützungspflichten und Löschung nach Vertragsende

Die jeweils gültige Fassung der Nutzungsbedingungen einschließlich des Abschnitts zur Auftragsverarbeitung ist unter https://www.drkservice.de/compliance/drk-assist/nutzungsbedingungen abrufbar.

2.3 Vertragsdaten

Im Rahmen des Vertragsabschlusses – unabhängig vom gewählten Weg – werden folgende Daten verarbeitet:

  • Vorname, Nachname der beauftragenden Person
  • E-Mail-Adresse (für Auftragsbestätigung, Rechnungsversand, Kommunikation)
  • Organisation / Einrichtungsname und Anschrift
  • Funktion / Abteilung (optional)
  • Bestätigungsnachweis Vertragsabschluss (Zeitstempel; bei Online-Bestellung zusätzlich IP-Adresse)

Zweck: Vertragsabschluss, Rechnungsstellung, Erbringung der vereinbarten SaaS-Leistung, Erfüllung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten gemäß §§ 147 AO, 257 HGB; Nachweis AVV-Abschluss gemäß Art. 28 DSGVO).

Speicherdauer: Vertragsdaten werden für die Dauer des Vertragsverhältnisses sowie für die gesetzliche Aufbewahrungsfrist von zehn Jahren aufbewahrt. Der AVV-Nachweis wird für die Vertragsdauer zuzüglich drei Jahren gespeichert. Danach erfolgt die Löschung.

2.4 Zahlungsabwicklung

Der Rotkreuzshop bietet folgende Zahlungswege an:

Der Rotkreuzshop bietet folgende Zahlungswege an:

PayPal: Bei Zahlung über PayPal werden die für die Transaktion erforderlichen Daten an PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxemburg, übermittelt. PayPal verarbeitet diese Daten in eigener datenschutzrechtlicher Verantwortung. DRK-Service GmbH speichert lediglich den Zahlungsstatus sowie die transaktionsbezogene Referenznummer.

Vorkasse und Kauf auf Rechnung: Diese Zahlungswege werden vollständig über die interne Buchhaltung der DRK-Service GmbH (Microsoft Business Central) abgewickelt. Dabei werden alle für die Rechnungsstellung und Zahlungsüberwachung erforderlichen Daten (insbesondere Name, Anschrift, Rechnungsbetrag, Bankverbindung bei Vorkasse) in Business Central verarbeitet und gespeichert.

Kartenzahlungen bei Messen und im Showroom (SumUp)

Bei Kartenzahlungen im Rahmen von Messen, Veranstaltungen oder in unserem Showroom nutzt DRK-Service GmbH den Zahlungsdienst SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irland. SumUp verarbeitet die für die Transaktion erforderlichen Zahlungsdaten (Karteninformationen, Betrag, Zeitstempel) in eigener datenschutzrechtlicher Verantwortung. DRK-Service GmbH speichert lediglich den Zahlungsstatus sowie die transaktionsbezogene Referenznummer für Buchhaltungszwecke. Weitere Informationen zur Datenverarbeitung durch SumUp finden Sie unter: https://sumup.de/datenschutz.

Rechtsgrundlage (alle Zahlungswege): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).

Speicherdauer: Rechnungs- und Zahlungsdaten werden gemäß §§ 147 AO, 257 HGB für zehn Jahre aufbewahrt.

3. Accounteinrichtung und Nutzerverwaltung

Die Accountverwaltung für DRK-Assist erfolgt über die DRK-Benutzerverwaltung. Berechtigungen werden dort durch den Kunden (Administratorinnen und Administratoren der jeweiligen DRK-Einrichtung) gepflegt und per Single Sign-On (SSO) einschließlich der zugewiesenen Rechtegruppe an DRK-Assist übertragen. DRK-Service GmbH legt keine eigenständigen Nutzeraccounts in DRK-Assist an.

Im Rahmen der Accountverwaltung und SSO-Übertragung werden folgende Datenkategorien verarbeitet:

  • E-Mail-Adresse (Benutzername / Login)
  • Vorname, Nachname
  • Zugehörigkeit zur Organisation des Kunden
  • Rolle / Berechtigungsgruppe
  • Zeitpunkt der Kontoerstellung, letzte Anmeldung

Zweck: Bereitstellung der vereinbarten SaaS-Leistung, Zugriffssteuerung, Authentifizierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Kunden).

Speicherdauer: Bis zur Kündigung des Vertrags bzw. Anforderung der Kontolöschung durch den Kunden; anschließend Löschung innerhalb von 30 Tagen.

Hinweis: Die DRK-Benutzerverwaltung wird als eigenständiges System betrieben. Für die darin stattfindende Datenverarbeitung gelten die Datenschutzhinweise der DRK-Benutzerverwaltung. Die Pflege der Nutzerberechtigungen und die Information der betroffenen Nutzerinnen und Nutzer obliegen dem Kunden als Verantwortlichem.

Sofern Nutzerdaten ausnahmsweise nicht über die DRK-Benutzerverwaltung, sondern durch direkte Übermittlung einer Nutzerliste an DRK-Service GmbH eingerichtet werden, werden die betroffenen Personen gesondert gemäß Art. 14 DSGVO informiert (abrufbar unter: https://www.drkservice.de/compliance/drk-assist/datenschutzhinweis).

4. DRK-Assist-spezifische Verarbeitungsvorgänge im Betrieb

4.1 Protokollierung / Tracing (Langfuse)

Zur Qualitätssicherung und Fehlerbehebung werden Nutzungsinteraktionen über den Monitoring-Dienst Langfuse (self-hosted auf der DRK-Service-eigenen Azure-Umgebung) anonymisiert protokolliert. Die Protokolldaten werden als personenbezogene Daten behandelt und entsprechend geschützt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemqualität und -sicherheit).

Speicherdauer: Protokolldaten werden nach 90 Tagen automatisch gelöscht.

4.2 Administratorzugriff des Kunden auf Chatverläufe

Der Kunde kann über eine geschützte Administrationsoberfläche Einsicht in die Chatverläufe der Berechtigten Nutzerinnen und Nutzer nehmen, soweit diese nicht im Rahmen einer Private Session geführt wurden. Private Sessions werden nicht serverseitig gespeichert.

Wichtiger Hinweis: Die datenschutzrechtliche Zulässigkeit dieser Einsichtnahme – insbesondere im Beschäftigtenkontext gemäß § 26 BDSG – sowie die Information der betroffenen Nutzerinnen und Nutzer liegen in der Verantwortung des Kunden als Verantwortlichem.

4.3 KI-Transparenz / EU AI Act

DRK-Assist ist ein KI-System im Sinne der Verordnung (EU) 2024/1689 (EU AI Act) mit begrenztem Risiko (Art. 50 AI Act). DRK-Service GmbH erfüllt die anwendbaren Transparenzpflichten, insbesondere die Kennzeichnung KI-generierter Inhalte. Antworten von DRK-Assist werden automatisiert durch KI generiert und können unvollständig oder fehlerhaft sein.

5. Empfänger und Weitergabe an Dritte

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, soweit dies zur Vertragserfüllung erforderlich ist oder eine gesetzliche Verpflichtung besteht:

Empfänger

Zweck

Rechtsgrundlage

Ort

Microsoft Ireland Operations Ltd.

Hosting auf Microsoft Azure (EU Data Boundary, Region Germany West Central)

Art. 28 DSGVO (AVV mit Microsoft)

EU / EWR

PayPal (Europe) S.à r.l. et Cie, S.C.A. – Zahlungsabwicklung bei Auswahl der Zahlungsart PayPal – Art. 6 Abs. 1 lit. b DSGVO – EU/EWR

Zahlungsabwicklung

Art. 6 Abs. 1 lit. b DSGVO

[EU/EWR – prüfen]

Steuerberater / Buchhaltung DRK-Service GmbH

Buchhaltung, Rechnungslegung

Art. 6 Abs. 1 lit. c DSGVO

Deutschland

Zuständige Aufsichtsbehörden

Bei gesetzlicher Verpflichtung

Art. 6 Abs. 1 lit. c DSGVO

Deutschland

 

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/des EWR findet nicht statt. Microsoft Azure wird ausschließlich im Rahmen der EU Data Boundary betrieben.

6. Betroffenenrechte und Beschwerderecht

Für die Ausübung Ihrer Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch gemäß Art. 15–21 DSGVO) sowie Informationen zum Beschwerderecht bei der zuständigen Aufsichtsbehörde verweisen wir auf unsere allgemeine Datenschutzerklärung.

Anfragen zu DRK-Assist richten Sie bitte direkt an: datenschutz@drkservice.de

7. Aktualität und Änderungen

Diese Datenschutzhinweise haben den Stand Juni 2026. Bei Änderungen der Verarbeitungstätigkeiten oder der Rechtslage wird die jeweils aktuelle Fassung unter https://www.drkservice.de/compliance/drk-assist/datenschutzhinweis veröffentlicht.