Kontakt
Rechtliches · DSGVO & EU AI Act

Datenschutz
bei People's Group

Zuletzt aktualisiert: 22. April 2026

Diese Richtlinie beschreibt, welche personenbezogenen Daten People's Doctor ApS im Rahmen von People's Group verarbeitet, warum wir sie verarbeiten, wie wir sie schützen und welche Rechte Sie haben. Sie gilt für Besuche auf peoplesgroup.com und die Nutzung der Group-Plattform als souveräne KI-Infrastruktur.

1 Wer wir sind

People's Group ist eine Infrastruktur-Marke für regulierte Branchen, betrieben von People's Doctor ApS, Teglværksvej 2, 5600 Faaborg, Dänemark (Handelsregister-Nr. 40930809).

Sie erreichen uns unter:

2 Rollen — Verantwortlicher und Auftrags-Verarbeiter

People's Group agiert je nach verarbeiteten Daten in zwei Rollen:

Als Verantwortlicher für Daten, die wir von Besuchern auf peoplesgroup.com verarbeiten: Kontaktformular, Support-Korrespondenz, Rechnungsstellung an Group-Kunden und Betriebs-Logs.

Als Auftrags-Verarbeiter für Group-Kunden — typischerweise Banken, Krankenhäuser, Verteidigung und öffentlicher Sektor — die eigene Systeme auf der KI-Infrastruktur von Lab betreiben. Der Kunde ist Verantwortlicher für Endnutzer-Daten, und People's Doctor ApS verarbeitet Daten ausschließlich nach dokumentierter Weisung des Kunden auf Grundlage einer Auftrags-Verarbeitungs-Vereinbarung (DSGVO Art. 28).

Diese Richtlinie deckt die Rolle als Verantwortlicher ab. Für Endnutzer-Daten der Kunden gilt die geschlossene AVV.

3 Welche Daten wir verarbeiten

Wir verarbeiten folgende Kategorien von Daten von Besuchern und Kunden:

  • Kontaktformular: Name, Arbeits-E-Mail, Organisation, Rolle, Branche und Ihre Nachricht an uns.
  • Technische Metadaten: Referrer, Sprach-Präferenz, Zeitstempel, ggf. UTM-Parameter.
  • Session-Daten: anonymisierte Session-ID und Formular-Fluss-Zeit (elapsed_ms) zur Bot-Abwehr.
  • Analytics (nur mit Einwilligung): anonymisierte Nutzungsdaten via Cookie-basiertem Tracking.
  • Kundendaten (für Verträge): Kontaktperson, Rechnungs-Adresse, USt-ID und Zahlungshistorie.

Wir verarbeiten keine besonderen Kategorien personenbezogener Daten (DSGVO Art. 9) über die Webseite. Wenn ein Lab-Kunde solche Daten über die Infrastruktur verarbeitet, regelt dies die AVV.

4 Zweck und Rechtsgrundlage

Jede Datenkategorie wird zu einem bestimmten Zweck auf einer bestimmten Rechtsgrundlage verarbeitet:

  • Kontaktformular — Zweck: Anfragen beantworten und kommerziell nachfassen. Rechtsgrundlage: Einwilligung (DSGVO Art. 6 Abs. 1 lit. a).
  • Technische Metadaten und Session-Daten — Zweck: Betriebssicherheit, Bot-Abwehr und Dokumentation des Zugriffs. Rechtsgrundlage: berechtigtes Interesse (DSGVO Art. 6 Abs. 1 lit. f). Interessenabwägung: Der Schutz von Infrastruktur und Nutzern vor Missbrauch überwiegt das Interesse des einzelnen Besuchers an vollständig fehlender Protokollierung.
  • Analytics — Zweck: Verbesserung der Webseite und Inhalte. Rechtsgrundlage: Einwilligung (DSGVO Art. 6 Abs. 1 lit. a).
  • Kundendaten — Zweck: Erfüllung vertraglicher Pflichten und Buchführung. Rechtsgrundlage: Vertragserfüllung (DSGVO Art. 6 Abs. 1 lit. b) und rechtliche Verpflichtung (lit. c), i.V.m. dem dänischen Buchführungs-Gesetz (5 Jahre Aufbewahrung).

5 KI, Automatisierung und menschliche Kontrolle

People's Group liefert Infrastruktur — keine Entscheidungen. Wenn ein Lab-Kunde KI-Systeme auf unserer Infrastruktur baut, ist der Kunde verantwortlich für die Klassifizierung des Systems unter dem EU AI Act (Verordnung (EU) 2024/1689) und für die erforderlichen Kontrollen, inklusive menschlicher Aufsicht (Art. 14) und Risiko-Bewertung (Art. 9).

Für Besucher auf peoplesgroup.com findet keine automatisierte Entscheidungsfindung nach DSGVO Art. 22 statt. Das Kontaktformular wird manuell von unserem Team bearbeitet.

6 Kein Training auf Kundendaten

Unsere KI-Infrastruktur läuft für Kunden im Inference-only-Modus. Kundendaten werden niemals an externe KI-APIs gesendet — weder an OpenAI, Anthropic, Google noch an andere Drittanbieter — und nicht für Training, Fine-tuning oder Modell-Optimierung verwendet, weder in identifizierbarer, anonymisierter noch aggregierter Form.

Modell-Updates stammen aus externen, dokumentierten Quellen und durchlaufen eine interne Validierung, bevor sie produktiv geschaltet werden.

7 Aufbewahrung und Löschung

Wir bewahren Daten nur so lange auf, wie es für den jeweiligen Zweck erforderlich ist:

DatenkategorieAufbewahrungs-Dauer
Kontaktformular (ohne Vertrag)24 Monate ab Eingang
Kontaktformular (mit Vertrag)Vertragsdauer + 5 Jahre (Buchführungs-Gesetz)
Betriebs-Logs185 Tage
Analytics-DatenLöschung bei Widerruf oder spätestens nach 26 Monaten
Rechnungsdaten5 Jahre (Buchführungs-Gesetz)
Verschlüsselte BackupsFolgen den o.g. Fristen; Löschungs-Anträge werden auf wiederhergestellten Backups erneut angewendet

Die Löschung ist nach Ablauf der Aufbewahrungs-Frist technisch unwiderruflich. Anträge auf frühere Löschung richten Sie an support@peoplesdoctor.com.

8 Sub-Prozessoren

Wir setzen Sub-Prozessoren in folgenden Kategorien ein:

  • Cloud-Hosting von peoplesgroup.com in EU-Region.
  • KI-Compute für die Group-Plattform auf dänischer Infrastruktur.
  • Formular-Handling auf EU-gehosteter Infrastruktur.

Eine aktuelle Liste spezifischer Sub-Prozessoren erhalten Sie auf Anfrage unter support@peoplesdoctor.com. Kunden mit AVV werden über Änderungen mit mindestens 30 Tagen Vorlauf informiert.

9 Daten-Standort

Die Kern-Infrastruktur der Group-Plattform — Compute, Speicher und KI-Inferenz für Kundendaten — läuft ausschließlich auf dänischer Infrastruktur. Kundendaten verlassen die EU nicht.

Diese Webseite (peoplesgroup.com) wird bei einem Anbieter in EU-Region gehostet. Daten aus dem Kontaktformular passieren EU-gehostete Infrastruktur.

10 Übermittlungen außerhalb der EU/EWR

Für den Kern der Group-Plattform: keine Übermittlungen außerhalb der EU/EWR. Kundendaten, KI-Inferenz und Backups bleiben auf dänischer Infrastruktur.

Für das Hosting dieser Webseite nutzen wir einen Anbieter mit Hauptgeschäft außerhalb der EU, jedoch in EU-Region. Betriebs-Metadaten (keine Formular-Daten) können theoretisch über die globale Infrastruktur des Anbieters in die USA übermittelt werden. Solche Übermittlungen sind durch EU-Standardvertrags-Klauseln (SCC) abgesichert. Formular-Daten mit personenbezogenem Inhalt werden ausschließlich auf EU-gehosteter Infrastruktur verarbeitet.

11 Technische und organisatorische Maßnahmen

Wir haben die nach DSGVO Art. 32 angemessenen Maßnahmen für das Risiko getroffen — mit verschärften Kontrollen für regulierte Branchen:

Verschlüsselung:

  • In Transit: TLS 1.2 oder neuer im gesamten Netzwerk-Verkehr.
  • At Rest: Vollverschlüsselung der Datenbank-Server.
  • Backups: AES-256-Verschlüsselung auf separatem EU-Speicher.

Zugriffs-Kontrolle:

  • Rollenbasierte Zugriffs-Kontrolle (RBAC) mit dem Prinzip der geringsten Rechte.
  • MFA/TOTP für jeden privilegierten Zugriff.
  • VPN erforderlich für administrative Zugriffe auf Produktion.
  • Vier-Augen-Prinzip bei Produktions-Änderungen.

Monitoring und Integrität:

  • File-Integrity-Monitoring auf Produktions-Knoten.
  • Zentral gesammelte System-Logs.
  • SHA-256-Hashing kritischer Transaktions-Logs (unveränderbarer Audit-Trail).

Organisatorisch:

  • Personal hat standardmäßig keinen Zugriff auf Kundendaten (No-Access-Support-Modell). Zugriff in konkreten Support-Fällen erfordert die vorherige Zustimmung des Kunden und wird dokumentiert.
  • Verschwiegenheits-Erklärungen für Personal mit Zugriff auf die Produktions-Umgebung.
  • Regelmäßige Sicherheits-Schulungen.

12 Audit und Zertifizierung

Unsere Kontrollen sind nach ISAE 3000 Type 1 geprüft. Der Bericht ist für Kunden und potenzielle Kunden auf Anfrage unter Vertraulichkeits-Vereinbarung verfügbar.

13 Ihre Rechte

Sie haben folgende Rechte nach DSGVO. Der Weg Ihrer Anfrage hängt davon ab, ob wir Ihre Daten als Verantwortlicher (Webseiten-Besuch, Kundenkonto, Rechnungsstellung) oder als Auftrags-Verarbeiter (Kundendaten auf der Group-Plattform) verarbeiten:

  • Auskunft (Art. 15): Bestätigung, ob Daten über Sie verarbeitet werden, und eine Kopie der Daten.
  • Berichtigung (Art. 16): Korrektur unrichtiger Daten.
  • Löschung (Art. 17): Löschung ohne unangemessene Verzögerung bei Vorliegen der Voraussetzungen aus Art. 17 Abs. 1.
  • Einschränkung (Art. 18): Einschränkung der Verarbeitung in bestimmten Situationen.
  • Datenübertragbarkeit (Art. 20): Datenherausgabe in strukturiertem, gängigem und maschinenlesbarem Format.
  • Widerspruch (Art. 21): Widerspruch gegen Verarbeitung auf Grundlage berechtigten Interesses.
  • Widerruf der Einwilligung (Art. 7 Abs. 3): Einwilligungen können mit Wirkung für die Zukunft widerrufen werden.

So üben Sie Ihre Rechte aus:

  • Für Kundendaten auf der Group-Plattform (wir sind Auftrags-Verarbeiter): Kontaktieren Sie die Kunden-Organisation, die den Vertrag geschlossen hat.
  • Für Webseiten-Besuch, Kundenkonto und Rechnungsstellung (wir sind Verantwortlicher): Kontaktieren Sie support@peoplesdoctor.com.

Wir antworten innerhalb von 30 Tagen nach DSGVO Art. 12 Abs. 3. Komplexe Anfragen können unter Angabe von Gründen um bis zu zwei Monate verlängert werden. Wir erheben keine Gebühr, sofern die Anfrage nicht offensichtlich unbegründet oder exzessiv ist (Art. 12 Abs. 5).

14 Sicherheits-Verletzungen

Bei einer Verletzung des Schutzes personenbezogener Daten:

  • Die dänische Datenschutz-Behörde wird innerhalb von 72 Stunden nach Feststellung informiert (DSGVO Art. 33).
  • Betroffene Kunden (Verantwortliche) werden so schnell wie möglich informiert — interner Zielwert 48 Stunden ab Feststellung.
  • Betroffene Personen werden vom Verantwortlichen nach Art. 34 informiert, wenn ein hohes Risiko für deren Rechte und Freiheiten wahrscheinlich ist.

Sicherheits-Vorfälle können gemeldet werden an support@peoplesdoctor.com.

15 Cookies und Website-Tracking

peoplesgroup.com nutzt derzeit ausschließlich streng notwendige Cookies (Session-ID und Sprach-Präferenz). Wir verwenden keine Marketing-Tracker, kein Fingerprinting und kein Cross-Site-Tracking.

Sollten künftig Analytics- oder Marketing-Cookies hinzugefügt werden, wird vor dem Setzen solcher Cookies die Einwilligung über ein Cookie-Banner eingeholt. Die Einwilligung kann jederzeit über „Cookie-Einstellungen" im Fuß der Seite widerrufen werden.

16 Beschwerde bei der Aufsichts-Behörde

Sie können Beschwerde bei der dänischen Datenschutz-Behörde einlegen, wenn Sie unsere Verarbeitung für rechtswidrig halten:

Datatilsynet
Carl Jacobsens Vej 35
2500 Valby, Dänemark
Telefon: +45 33 19 32 00
dt@datatilsynet.dk
www.datatilsynet.dk

Sie müssen sich nicht zuerst an uns wenden, wir laden aber dazu ein, uns vor einer Beschwerde die Gelegenheit zur Klärung zu geben.

17 Änderungen dieser Richtlinie

Wesentliche Änderungen teilen wir registrierten Kunden mindestens 30 Tage vor Wirksamkeit per E-Mail mit. Geringfügige Änderungen (Klarstellungen, aktualisierte Kontaktdaten) können ohne gesonderte Ankündigung veröffentlicht werden.

Frühere Versionen sind auf Anfrage unter support@peoplesdoctor.com erhältlich.