[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"blog-post-de-/gdpr-audit-what-we-closed":3},{"page":4,"surround":262},{"id":5,"title":6,"authors":7,"badge":10,"body":11,"date":251,"description":252,"extension":253,"heroOrder":254,"image":255,"meta":256,"navigation":257,"path":258,"seo":259,"stem":260,"__hash__":261},"blog_de/blog/gdpr-audit-what-we-closed.md","Wir haben unser DSGVO-Audit abgeschlossen. Das haben wir tatsächlich erledigt.",[8],{"name":9},"The Mind.com Team","Sovereignty",{"type":12,"value":13,"toc":235},"minimark",[14,18,33,36,43,46,51,56,73,77,84,88,95,99,105,109,131,135,153,157,168,170,174,177,187,189,193,229,232],[15,16,6],"h1",{"id":17},"wir-haben-unser-dsgvo-audit-abgeschlossen-das-haben-wir-tatsächlich-erledigt",[19,20,21,22,27,28,32],"p",{},"Vor einigen Wochen haben wir geschrieben, dass ",[23,24,26],"a",{"href":25},"/blog/gdpr-compliant-video-conferencing","\"DSGVO-konform\" auf der Startseite eines Videotools weniger bedeutet, als man denkt"," — dass die DSGVO eine Reihe von Pflichten für ",[29,30,31],"em",{},"Sie"," als Verantwortlichen festlegt, bei deren Erfüllung ein Anbieter Sie entweder unterstützt oder die er stillschweigend bei Ihnen liegen lässt. Der ehrliche Weg, diese Aussage zu untermauern, ist, die Arbeit auf unserer Seite zu leisten und sie Punkt für Punkt offenzulegen.",[19,34,35],{},"Genau das haben wir getan. Wir haben die InterMIND-Codebasis vollständig gegen die Pflichten auditiert, die uns als Auftragsverarbeiter treffen, haben jede Lücke geschlossen, hinter der Code stand, und jeden Punkt am laufenden Produkt verifiziert. Dieser Beitrag ist der Abschlussbericht — kein Siegel, sondern eine Checkliste mit unseren Antworten.",[19,37,38,39,42],{},"Wir behaupten bewusst nicht \"100% DSGVO-zertifiziert\". Die DSGVO ist kein Zertifikat, das man besteht — und wir winken kein ISO-Siegel, das wir noch nicht haben. Was wir ",[29,40,41],{},"sagen können",": Die architektonischen und prozessualen Pflichten, die ein DSB durcharbeitet, haben jetzt konkrete, nachprüfbare Antworten, jede einzelne gegen den laufenden Code geprüft.",[44,45],"hr",{},[47,48,50],"h2",{"id":49},"was-wir-geschlossen-haben","Was wir geschlossen haben",[52,53,55],"h3",{"id":54},"recht-auf-löschung-art-17-die-kaskade-läuft-wirklich","Recht auf Löschung (Art. 17) — die Kaskade läuft wirklich",[19,57,58,59,63,64,68,69,72],{},"Wenn Sie Ihr Konto löschen, wird es nicht nur deaktiviert. ",[60,61,62],"code",{},"POST /api/user/delete-account"," führt eine echte Kaskade aus: Sie löscht Ihre Meetings → Teilnehmer, Nachrichten, Konferenzen, Transkriptionen; sie räumt Ihre Storage-Blobs ",[65,66,67],"strong",{},"vor"," der Datenbank-Kaskade aus Tigris ab, damit nichts verwaist zurückbleibt — Chat-Anhänge ",[29,70,71],{},"und"," Videoaufnahme-Dateien, beide Spalten; und sie kündigt Ihre Stripe-Abonnements und löscht den Stripe-Kunden. Löschung auf Abruf gibt es ebenfalls — ein Kanal oder eine Nachricht aus der UI entfernt, und sie ist weg. Anonyme (Gast-)Konten haben ihren eigenen Lösch-Endpunkt plus einen Hintergrund-Sweep alle 6 Stunden, unter einem überwachten Cron. Das Audit hat hier eine Lücke aufgedeckt — Aufnahme-Blobs, die die Datenbank-Kaskade entfernt, die der Speicher aber behalten hat — und wir haben sie geschlossen: Die Löschung hinterlässt jetzt nichts mehr im Objektspeicher.",[52,74,76],{"id":75},"aufbewahrung-art-51e-ein-dokumentiertes-kriterium","Aufbewahrung (Art. 5(1)(e)) — ein dokumentiertes Kriterium",[19,78,79,80,83],{},"Art. 5(1)(e) verlangt kein automatisches Time-to-Live. Er verlangt ein ",[65,81,82],{},"definiertes Aufbewahrungskriterium",". Unseres ist jetzt in der Datenschutzerklärung festgeschrieben: Daten werden aufbewahrt, bis Sie oder Ihr Team-Eigentümer sie löschen, und das Löschen Ihres Kontos entfernt alles. Das ist dasselbe Modell, nach dem Kollaborationstools wie Slack und Notion arbeiten — Persistenz ist das erwartete Verhalten, und Sie behalten die Kontrolle darüber. Das Kriterium ist ausdrücklich genannt, nicht impliziert.",[52,85,87],{"id":86},"analyse-einwilligung-art-67-opt-out-standardmäßig","Analyse-Einwilligung (Art. 6/7) — Opt-out standardmäßig",[19,89,90,91,94],{},"Ein Usercentrics-Einwilligungsbanner (EU-Besuchern angezeigt) steuert die Analyse, und PostHog ist mit ",[60,92,93],{},"opt_out_capturing_by_default: true"," ausgeliefert — nichts wird erfasst, bevor die Einwilligung erteilt ist, nicht umgekehrt.",[52,96,98],{"id":97},"datenübertragbarkeit-art-20-ein-echter-export","Datenübertragbarkeit (Art. 20) — ein echter Export",[19,100,101,104],{},[60,102,103],{},"GET /api/user/export"," erstellt eine ZIP-Datei Ihrer Meetings, Nachrichten, Aufnahmen und Übersetzungen, mit einem 7-tägigen Download-Fenster und automatischer Bereinigung. Auskunft, Löschung und Übertragbarkeit sind Werkzeuge, die funktionieren, keine Versprechen in einer Richtlinie.",[52,106,108],{"id":107},"keine-meeting-inhalte-erreichen-ein-in-den-usa-ansässiges-modell","Keine Meeting-Inhalte erreichen ein in den USA ansässiges Modell",[19,110,111,112,115,116,119,120,123,124,130],{},"Der größte Datenfluss aus Meeting-Inhalten — die Live-Übersetzung von Sprache und Chat — läuft auf ",[65,113,114],{},"unserer eigenen Engine in Frankreich",", niemals über ein LLM eines Drittanbieters. Die KI-Schritte nach dem Meeting, die ",[29,117,118],{},"tatsächlich"," ein Allzweckmodell verwenden (der Digest, die generativen Aktionen des Notiz-Editors), laufen auf ",[65,121,122],{},"EU-gehostetem Mistral mit Zero-Data-Retention",", so hart angepinnt, dass die Anfrage fehlschlägt, statt auf einen Nicht-ZDR- oder US-Host zurückzufallen. Wir haben außerdem Teilnehmernamen und Äußerungstexte aus den Konferenz-Browserprotokollen entfernt, die die PostHog-Session-Recording sonst erfassen könnte. Die vollständige Karte Anbieter für Anbieter finden Sie in ",[23,125,127],{"href":126},"/blog/where-one-intermind-meeting-actually-runs",[29,128,129],{},"Wo ein InterMIND-Meeting tatsächlich läuft",".",[52,132,134],{"id":133},"transparenz-unterauftragsverarbeiter-und-verarbeitungsverzeichnis-veröffentlicht","Transparenz — Unterauftragsverarbeiter und Verarbeitungsverzeichnis, veröffentlicht",[19,136,137,138,142,143,147,148,152],{},"Die ",[23,139,141],{"href":140},"/legal/subprocessors","Liste der Unterauftragsverarbeiter"," ist live, mit dem, was jeder Anbieter tut und wo er ansässig ist — nicht \"auf Anfrage erhältlich\". Dahinter steht ein Verzeichnis von Verarbeitungstätigkeiten (ROPA), aufgebaut aus dem Live-Schema: 11 Verarbeitungsvorgänge, die Sicherheitsmaßnahmen für jeden sowie die Lösch- und Übertragbarkeitspfade. Unsere ",[23,144,146],{"href":145},"/privacy","Datenschutzerklärung"," und ",[23,149,151],{"href":150},"/terms","AGB"," laufen jetzt unter unserer eigenen Rechtspersönlichkeit, mit der tatsächlichen Verarbeitungskette beschrieben.",[52,154,156],{"id":155},"eu-laufzeitumgebung-angepinnt-nicht-versprochen","EU-Laufzeitumgebung — angepinnt, nicht versprochen",[19,158,159,160,163,164,130],{},"Jeder Laufzeit-Hop, den ein Meeting nimmt, liegt in der EU: App und APIs auf Vercel Frankfurt, der Meeting-Server auf Fly Paris, Anwendungsdaten in Neon Postgres (AWS Frankfurt), Fehler auf Sentry EU, Analyse auf PostHog EU, E-Mail über Resend Irland. Objektspeicher auf Tigris ist jetzt ",[65,161,162],{},"auf EU-Regionen angepinnt"," (Frankfurt + Amsterdam) — jeder neue Schreibvorgang landet in der EU, unabhängig davon, wo sich der Nutzer befindet. Die vollständige Architektur finden Sie auf unserer ",[23,165,167],{"href":166},"/docs/security","Sicherheitsseite",[44,169],{},[47,171,173],{"id":172},"warum-das-für-ihre-beschaffung-relevant-ist","Warum das für Ihre Beschaffung relevant ist",[19,175,176],{},"Für die meisten EU-Käufer — deutscher Mittelstand, regulierte Teams mit Standard-DSGVO-AVV — hat die Frage nach der Datenresidenz jetzt eine direkte Antwort: Die Daten verlassen die EU zur Laufzeit nicht, die Löschung funktioniert, das Aufbewahrungskriterium ist genannt und die Liste der Unterauftragsverarbeiter liegt auf dem Tisch. Das ist ein deutlich kürzeres Gespräch als \"Wir melden uns bei Ihnen, wo die Daten landen.\"",[19,178,179,180,183,184,130],{},"Für die französische ",[29,181,182],{},"souveraineté numérique"," und SecNumCloud-konforme Beschaffung ist der Unternehmenssitz des Anbieters selbst ein Kriterium — ein tiefergehendes Gespräch über die Bereitstellungstopologie, das wir lieber ehrlich führen, als zu viel zu versprechen. Und das eine, was wir nicht tun werden, ist mit einem ISO-Zertifikat zu winken, das wir noch nicht haben: Zertifizierungen stehen auf der Roadmap, aber unsere Antwort auf die Checkliste ist ",[65,185,186],{},"architektonisch und heute nachprüfbar",[44,188],{},[47,190,192],{"id":191},"sehen-sie-es-selbst","Sehen Sie es selbst",[194,195,196,203,208,221],"ul",{},[197,198,199,202],"li",{},[23,200,201],{"href":25},"DSGVO-konforme Videokonferenz: die vollständige DSB-Checkliste"," — die sieben Punkte, zu denen Sie jeden Anbieter Stellung beziehen lassen sollten, und wo Zoom steht.",[197,204,205,207],{},[23,206,129],{"href":126}," — die Anbieterkarte, mit benannten Lücken.",[197,209,210,213,214,213,217,213,219],{},[23,211,212],{"href":166},"Sicherheit & Datenschutz"," · ",[23,215,216],{"href":140},"Unterauftragsverarbeiter",[23,218,146],{"href":145},[23,220,151],{"href":150},[197,222,223,228],{},[23,224,226],{"href":225},"/demo",[60,227,225],{}," — führen Sie die live laufende, EU-gehostete, mehrsprachige Pipeline mit Ihrem eigenen Audio aus.",[19,230,231],{},"DSGVO-Compliance ist kein Siegel, das man kauft — es ist Arbeit, die man leistet und vorzeigen kann. Das ist unsere, Punkt für Punkt. Wenn Ihr DSB eine Antwort braucht, die dieser Beitrag nicht gibt, schreiben Sie uns.",[19,233,234],{},"— The Mind.com Team",{"title":236,"searchDepth":237,"depth":238,"links":239},"",2,3,[240,249,250],{"id":49,"depth":237,"text":50,"children":241},[242,243,244,245,246,247,248],{"id":54,"depth":238,"text":55},{"id":75,"depth":238,"text":76},{"id":86,"depth":238,"text":87},{"id":97,"depth":238,"text":98},{"id":107,"depth":238,"text":108},{"id":133,"depth":238,"text":134},{"id":155,"depth":238,"text":156},{"id":172,"depth":237,"text":173},{"id":191,"depth":237,"text":192},"2026-06-21","Das Siegel 'DSGVO-konform' eines Anbieters bedeutet nichts ohne die Arbeit dahinter. Wir haben unsere eigene Codebasis vollständig gegen die DSGVO-Pflichten auditiert, die einen Auftragsverarbeiter treffen — Löschung, Aufbewahrung, Unterauftragsverarbeiter, EU-Laufzeitumgebung — und hier ist jeder einzelne Punkt, den wir geschlossen haben, im Code verifiziert.","md",null,"/blog/gdpr-audit-what-we-closed.svg",{},true,"/blog/gdpr-audit-what-we-closed",{"title":6,"description":252},"blog/gdpr-audit-what-we-closed","wqIdsFLUB3fnxLUCB2IPywKmTw2F9XSj02fqUvHlk28",[254,263],{"title":264,"path":265,"stem":266,"description":267,"children":-1},"Sprechen Sie in Ihrer eigenen Stimme – in einer Sprache, die Sie nicht beherrschen","/blog/own-voice-translation","blog/own-voice-translation","Die meisten Live-Übersetzungstools ersetzen Sie durch einen einzigen roboterhaften Sprecher. InterMIND bewahrt Ihre Stimme: Jeder Teilnehmer hört die Übersetzung in der eigenen Stimme des Sprechers. So funktioniert die Kaskade – und warum die Stimmprobe nirgendwo gespeichert wird."]