1. Einleitung
Diese Datenschutzerklärung beschreibt, wie Reva („der Dienst“), bereitgestellt von x-idra.de („wir“, „uns“), Daten verarbeitet, wenn es als Microsoft-Teams-Bot für das Release Management eingesetzt wird. Reva ist mit Datenschutz als Kernprinzip entwickelt — Ihre Daten bleiben in Ihrer Infrastruktur.
Reva ist eine On-Premise-Lösung. Die gesamte Datenverarbeitung erfolgt ausschließlich innerhalb der Infrastruktur Ihrer Organisation. Wir betreiben keinen Cloud-Dienst und erhalten oder speichern Ihre Daten nicht.
2. Datenverarbeitung
Reva verarbeitet die folgenden Datenkategorien innerhalb Ihrer Infrastruktur:
- Konversationsdaten: Nachrichten zwischen Nutzern und dem Reva-Bot in Microsoft Teams. Gespeichert in Ihrer lokalen Datenbank.
- Nutzeridentität: Microsoft-Teams-Anzeigenamen und, falls konfiguriert, zugeordnete Release-/Jira-Benutzernamen. Verwendet ausschließlich für Request-Routing und Tool-Autorisierung.
- Release- & Issue-Daten: Informationen, die von Ihren Digital.ai-Release- und Jira-Cloud-Instanzen über MCP-Verbindungen (Model Context Protocol) abgerufen werden.
- Sitzungsdaten: Temporärer Sitzungsstatus in Ihrer lokalen Redis-Instanz. Wird automatisch gelöscht.
3. On-Premise-Architektur
Reva wird als Docker-Compose-Stack innerhalb Ihres Netzwerks bereitgestellt. Die gesamte Verarbeitungspipeline — einschließlich KI-Inferenz über ein lokales LLM — läuft auf Ihrer Hardware. Es werden keine Daten an externe KI-Dienste oder Cloud-APIs gesendet.
Externe Netzwerkverbindungen sind beschränkt auf:
- Microsoft Bot Framework: Erforderlich für das Senden und Empfangen von Teams-Nachrichten. Authentifiziert über Azure AD JWT-Validierung.
- Digital.ai Release: Ihre Release-Instanz (nur ausgehende API-Aufrufe).
- Jira Cloud: Ihre Jira-Instanz (nur ausgehende API-Aufrufe).
4. DSGVO
Als On-Premise-Deployment ist Ihre Organisation der Verantwortliche (Data Controller). Reva unterstützt die Einhaltung der DSGVO:
- Datenminimierung: Es werden nur Daten verarbeitet, die für Release-Management-Operationen erforderlich sind.
- Kein individuelles Monitoring: Reva verfolgt, vergleicht oder berichtet nicht über individuelle Nutzeraktivitäten oder -leistungen. Aktivitätszusammenfassungen sind stets anonymisiert.
- Datenportabilität: Alle Daten werden in einer Standarddatenbank gespeichert — vollständig exportierbar.
- Recht auf Löschung: Konversationsdaten können direkt aus der Datenbank gelöscht werden.
- Keine Drittland-Übermittlung: Personenbezogene Daten werden nicht an uns oder Dritte übermittelt.
5. BetrVG (Betriebsverfassungsgesetz)
Reva ist so konzipiert, dass es den Anforderungen des Betriebsverfassungsgesetzes entspricht:
- Es existieren keine Funktionen zur Überwachung individueller Mitarbeiterleistung oder -verhaltens.
- Aktivitätsprotokolle und Berichte verwenden anonymisierte Beschreibungen („ein Teammitglied“) anstatt Handlungen namentlich genannten Personen zuzuordnen.
- Team- und Rollenabfragen beschränken sich auf organisatorische Informationen (z. B. wer einem Release-Team zugeordnet ist) — dies ist zulässig, da es sich um Organisationsdaten und nicht um Überwachung handelt.
6. Zugangsdaten-Sicherheit
Alle sensiblen Zugangsdaten (API-Tokens, Datenbankpasswörter, LDAP-Bind-Passwörter) werden über Docker Secrets verwaltet und zur Laufzeit als Dateien eingebunden. Zugangsdaten sind in der Anwendungskonfiguration als SecretStr typisiert, wodurch sie niemals geloggt oder im Klartext serialisiert werden.
7. Datenaufbewahrung
Die Datenaufbewahrung wird von Ihrer Organisation gesteuert:
- Konversationsverläufe werden in der Datenbank ohne automatische Ablaufzeit gespeichert — Ihr DBA steuert die Aufbewahrung.
- Redis-Sitzungsdaten verfallen automatisch basierend auf konfigurierten TTL-Werten.
- Datenbank-Backups (falls konfiguriert) folgen dem Backup-Zeitplan und der Aufbewahrungsrichtlinie Ihrer Organisation.
8. Website
Diese Website (reva.x-idra.de) ist eine statische Informationsseite. Alle Schriftarten werden lokal bereitgestellt — es werden keine Daten an Drittanbieter-Dienste (wie z. B. Google Fonts) übermittelt. Es werden keine Cookies gesetzt.
Wir verwenden Umami, ein datenschutzfreundliches, quelloffenes Web-Analyse-Tool, das auf unserer eigenen Infrastruktur betrieben wird. Umami erfasst:
- Seitenaufrufe (welche Seiten besucht werden, Referrer-URL)
- Browsertyp und Betriebssystem (aus dem User-Agent-Header)
- Herkunftsland (abgeleitet aus der IP-Adresse, die anschließend verworfen wird)
Umami verwendet keine Cookies, erhebt keine personenbezogenen Daten und verfolgt keine einzelnen Nutzer über Sitzungen hinweg. IP-Adressen werden nicht gespeichert. Alle Daten sind aggregiert und können nicht auf einzelne Besucher zurückgeführt werden. Die Analysedaten werden ausschließlich auf unserem eigenen Server gespeichert und nicht an Dritte weitergegeben.
9. Kontaktaufnahme per E-Mail
Wenn Sie uns per E-Mail kontaktieren — sei es für eine Demo-Anfrage (info@x-idra.de), für Datenschutzanfragen (privacy@x-idra.de) oder für rechtliche Angelegenheiten (legal@x-idra.de) — verarbeiten wir die von Ihnen übermittelten personenbezogenen Daten. Dies umfasst in der Regel Ihre E-Mail-Adresse, Ihren Namen und den Nachrichteninhalt.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für Demo-Anfragen und vorvertragliche Anfragen; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für allgemeine Anfragen.
- Zweck: Wir verwenden diese Daten ausschließlich zur Beantwortung Ihrer Anfrage und, im Falle von Demo-Anfragen, zur Vereinbarung und Durchführung der Demonstration.
- Aufbewahrung: Ihre Daten werden nach Zweckerfüllung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. handels- oder steuerrechtliche) entgegenstehen.
- Keine Weitergabe: Ihre Daten werden nicht an Dritte weitergegeben.
10. Kontakt
Für Fragen zu dieser Datenschutzerklärung oder zu Datenschutzthemen kontaktieren Sie uns unter: