Datenschutzerklärung

Der Schutz deiner personenbezogenen Daten ist uns sehr wichtig. In dieser Datenschutzerklärung informieren wir dich transparent über die Verarbeitung deiner Daten gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

1. Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher im Sinne der DSGVO:

Chatbot-X
Europaplatz 2
10557 Berlin, Deutschland
E-Mail: service@host-x.de
Telefon: +49 30 456789

Für Fragen zum Datenschutz erreichst du uns unter der oben genannten E-Mail-Adresse mit dem Betreff "Datenschutz".

2. Umfang der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienstleistungen erforderlich ist oder du uns deine Einwilligung erteilt hast.

2.1 Chat-Service (ohne Registrierung)

Erhobene Daten:

  • Benutzername: Von dir frei gewählter Name zur Identifikation im Chat
  • Chat-Nachrichten: Textuelle Inhalte deiner Konversation
  • Zeitstempel: Datum und Uhrzeit jeder Nachricht
  • IP-Adresse: Zur Sicherheit und Spam-Prävention (gehashed gespeichert)
  • Socket-ID: Technische Session-Kennung für Echtzeit-Kommunikation
  • Spracheinstellung (Locale): Für personalisierte Inhalte (z.B. "de", "en", "es")
  • User-ID: Eindeutige, persistente Client-Kennung (generiert durch Browser)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und technischem Betrieb)

Speicherdauer: 90 Tage nach letzter Aktivität, danach automatische Löschung

2.2 Registrierte Benutzerkonten

Erhobene Daten:

  • Benutzername: Eindeutiger Login-Name
  • Passwort: Sicher mit bcrypt gehasht (niemals im Klartext gespeichert)
  • E-Mail-Adresse: Für Account-Verwaltung und Support
  • Profilbild: Optional hochgeladen (max. 2 MB, Formate: JPG, PNG, GIF)
  • Rechnungsdaten (optional): Firma, USt-IdNr., Vor-/Nachname, Adresse, Telefon
  • Produkt-/Tarifauswahl: Gewähltes Abonnement
  • Channel-Zuordnung: Zugewiesene Chat-Bereiche
  • Account-Status: Aktiv/Inaktiv

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung, z.B. Rechnungsstellung)

Speicherdauer: Solange dein Account aktiv ist, plus gesetzliche Aufbewahrungsfristen (z.B. 10 Jahre für Rechnungsdaten gemäß § 147 AO)

2.3 Operator-Accounts

Erhobene Daten:

  • Operator-Name: Anzeigename im Chat
  • Channel-Zuordnung: Zugewiesene Chat-Bereiche
  • Operator-Typ: Mensch oder KI-Bot
  • Profilbild: Optional hochgeladen
  • Status: Aktiv/Inaktiv

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Solange der Operator-Account aktiv ist

2.4 Kontaktformular

Erhobene Daten:

  • Name: Dein vollständiger Name (2-100 Zeichen)
  • E-Mail-Adresse: Für Rückantworten
  • Nachricht: Textinhalt (10-2000 Zeichen)
  • Zeitstempel: Zeitpunkt der Absendung
  • IP-Adresse: Zur Spam-Prävention (gehashed)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenservice) oder Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Formularabsendung)

Speicherdauer: 90 Tage nach Bearbeitung deiner Anfrage

2.5 Server-Logs

Automatisch erhobene Daten:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • Browser-Typ und Version
  • Betriebssystem
  • Referrer-URL
  • HTTP-Statuscode

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit, Fehlerdiagnose und Missbrauchsprävention)

Speicherdauer: 14 Tage, danach automatische Löschung

3. Cookies und lokale Speicherung

3.1 Cookies

Technisch notwendige Cookies:

  • adminToken: Authentifizierung für Admin-Panel (JWT, verschlüsselt), Gültigkeit: 24 Stunden
  • Session-Cookie: Express-Session-Management, Gültigkeit: Browsersitzung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (technisch notwendig für Vertragserfüllung)

3.2 LocalStorage

  • chatbot_locale: Gespeicherte Spracheinstellung (z.B. "de", "en", "es")
  • userId: Persistente Client-ID für Session-Wiederherstellung

3.3 SessionStorage

  • customerId: Temporäre User-ID während der Session
  • operator: Name des aktuellen Operators
  • room: Aktiver Chat-Channel
  • currentChannel: Ausgewählter Channel im Operator-Dashboard

Hinweis: Du kannst Cookies in deinen Browser-Einstellungen jederzeit löschen oder blockieren. LocalStorage und SessionStorage können über die Browser-Entwicklertools gelöscht werden. Beachte, dass dies die Funktionalität unserer Dienste einschränken kann.

4. Weitergabe von Daten an Dritte

4.1 OpenAI API (KI-Verarbeitung)

Verarbeitete Daten: Chat-Nachrichten (Text), Benutzername, Spracheinstellung

Zweck: KI-gestützte Antwortgenerierung mittels GPT-5-Mini-Modell

Empfänger: OpenAI LLC, 3180 18th Street, San Francisco, CA 94110, USA

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 49 Abs. 1 lit. b DSGVO (Drittlandtransfer zur Vertragserfüllung)

Datenschutzniveau: OpenAI ist EU-US Data Privacy Framework zertifiziert. Details: openai.com/privacy

Speicherdauer bei OpenAI: 30 Tage zur Missbrauchsprävention, keine Verwendung für Modelltraining (gemäß OpenAI API-Bedingungen)

4.2 E-Mail-Versand (SMTP)

Verarbeitete Daten: Name, E-Mail-Adresse, Nachricht (nur bei Kontaktformular)

Zweck: Zustellung von Kontaktanfragen

Empfänger: service@host-x.de (interner Posteingang)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenservice)

4.3 Hosting-Provider

Anbieter: [Hosting-Anbieter einfügen]

Standort: Deutschland/EU

Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung)

Hinweis: Mit unserem Hosting-Provider besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

4.4 Keine weiteren Drittanbieter

Wir setzen bewusst keine Tracking-Tools (Google Analytics, Facebook Pixel, etc.), Werbenetzwerke oder Social-Media-Plugins ein. Deine Daten werden nicht für Marketing oder Profiling verwendet.

5. RAG (Retrieval Augmented Generation)

Verarbeitete Daten: Crawling und Speicherung von öffentlich zugänglichen Inhalten deiner Website (Texte, Überschriften, Metadaten)

Zweck: Verbesserung der KI-Antworten durch kontextspezifisches Wissen

Speicherort: SQLite-Datenbank auf unserem Server (Deutschland/EU)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Löschung: Du kannst jederzeit die Löschung von gecrawlten Inhalten beantragen.

6. Deine Rechte (DSGVO Art. 15-22)

Du hast jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO): Welche Daten wir über dich speichern
  • Berichtigung (Art. 16 DSGVO): Korrektur falscher Daten
  • Löschung (Art. 17 DSGVO): "Recht auf Vergessenwerden"
  • Einschränkung (Art. 18 DSGVO): Sperrung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO): Export deiner Daten in maschinenlesbarem Format
  • Widerspruch (Art. 21 DSGVO): Gegen Verarbeitung auf Basis berechtigter Interessen
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit ohne Angabe von Gründen

So machst du deine Rechte geltend: Sende eine E-Mail an service@host-x.de mit dem Betreff "DSGVO-Anfrage". Wir antworten innerhalb von 30 Tagen.

Beschwerderecht: Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (z.B. beim Berliner Beauftragten für Datenschutz und Informationsfreiheit).

7. Datensicherheit

Technische und organisatorische Maßnahmen:

  • SSL/TLS-Verschlüsselung: Alle Verbindungen über HTTPS
  • Passwort-Hashing: bcrypt mit Salting (keine Klartext-Speicherung)
  • IP-Hashing: IP-Adressen werden nicht im Klartext gespeichert
  • Prepared Statements: Schutz vor SQL-Injection
  • Rate-Limiting: Schutz vor Brute-Force-Angriffen
  • Input-Validierung: Alle Eingaben werden serverseitig geprüft
  • Zugriffsbeschränkung: Admin-Bereiche mit JWT-Authentifizierung
  • Regelmäßige Updates: Sicherheitspatches für alle Komponenten

8. Speicherdauer (Übersicht)

Datentyp Speicherdauer
Chat-Nachrichten (anonym) 90 Tage
User-Sessions 90 Tage
Registrierte Accounts Bis zur Löschung des Accounts
Rechnungsdaten 10 Jahre (§ 147 AO)
Kontaktformular 90 Tage nach Bearbeitung
Server-Logs 14 Tage
Profilbilder Bis zur manuellen Löschung
RAG-Dokumente Bis zur Deaktivierung des Channels

9. Automatisierte Entscheidungsfindung

Wir setzen keine rein automatisierten Entscheidungsverfahren gemäß Art. 22 DSGVO ein. KI-generierte Antworten dienen ausschließlich der Unterstützung, finale Entscheidungen trifft immer ein Mensch.

10. Kinder und Jugendliche

Unser Dienst richtet sich an Personen ab 16 Jahren. Wenn wir feststellen, dass wir Daten von Minderjährigen unter 16 Jahren ohne Einwilligung der Eltern verarbeitet haben, werden diese unverzüglich gelöscht.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslage oder Funktionsumfänge anzupassen. Die aktuelle Version findest du stets unter dieser URL. Wesentliche Änderungen werden per E-Mail angekündigt (bei registrierten Benutzern).

12. Kontakt und Datenschutzanfragen

Allgemeine Anfragen:
E-Mail: service@host-x.de
Telefon: +49 30 456789

Datenschutzspezifische Anfragen (DSGVO-Anfragen):
E-Mail: service@host-x.de
Betreff: "DSGVO-Anfrage" oder "Datenschutz"

Transparenz-Versprechen: Wir verkaufen niemals deine Daten. Wir verwenden sie ausschließlich zur Erbringung unserer Dienstleistungen und löschen sie fristgerecht.

Stand: 20. November 2025