Stand: 8. März 2026
Sebastian Danksin
SDD Studios
Wilonstraße 76
72072 Tübingen
E-Mail: [email protected]
Diese Plattform wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet. Die Datenverarbeitung findet ausschließlich in Deutschland statt. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO.
Bei der Registrierung erfassen wir: E-Mail-Adresse, Firmenname und ein temporäres Passwort. Das Passwort wird als bcrypt-Hash gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Beim Login erstellen wir einen JWT-Token (1h Gültigkeit) zur Authentifizierung. Der Token wird im localStorage des Browsers gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Zahlungen werden über Stripe Inc. abgewickelt. Wir speichern lediglich die Stripe Customer-ID und Abonnement-Informationen. Kreditkartendaten werden ausschließlich von Stripe verarbeitet. Stripe kann beim Checkout eigene Cookies setzen (funktional + Betrugsprävention). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Wir erfassen aggregierte Nutzungsstatistiken (Nachrichten-Anzahl, Token-Verbrauch, Antwortzeiten) pro Bot. Diese Daten sind nicht auf einzelne Personen zurückführbar. Es werden keine externen Analytics-Tools (Google Analytics, Matomo o.ä.) eingesetzt.
Wenn Besucher das Chat-Widget auf einer Kunden-Website nutzen, verarbeiten wir:
| Datum | Zweck | Rechtsgrundlage |
|---|---|---|
| IP-Adresse (als SHA-256 Hash) | Session-Zuordnung, Missbrauchsschutz | Art. 6 Abs. 1 lit. f DSGVO |
| Chat-Nachrichten | Antwortgenerierung durch KI | Art. 6 Abs. 1 lit. a/f DSGVO |
| Session-Token | Zuordnung des Gesprächs | Art. 6 Abs. 1 lit. f DSGVO |
| User-Agent (als Hash) | Session-Zuordnung | Art. 6 Abs. 1 lit. f DSGVO |
Speicherdauer: Chat-Daten werden automatisch nach der konfigurierten Aufbewahrungsfrist gelöscht (Default: 30 Tage). IP-Adressen werden zu keinem Zeitpunkt im Klartext gespeichert.
KI-Verarbeitung: Chat-Nachrichten werden zur Antwortgenerierung an die Google Gemini API (über Google AI Studio) übermittelt. Je nach Konfiguration des Bot-Betreibers können alternativ die APIs von OpenAI oder Anthropic eingesetzt werden. Die Übermittlung erfolgt verschlüsselt (TLS). Nachrichten werden von keinem der eingesetzten LLM-Anbieter für das Training von KI-Modellen verwendet. Kundendaten werden nicht zum Training eigener KI-Modelle eingesetzt.
Wenn der Bot-Betreiber den Voice-Channel aktiviert hat, werden Spracheingaben über den Dienst Vapi, Inc. (US) verarbeitet. Dabei werden folgende Unterauftragnehmer eingesetzt:
Audio-Daten werden ausschließlich für die Echtzeit-Verarbeitung der Konversation verwendet und nicht dauerhaft bei diesen Anbietern gespeichert. Der transkribierte Text wird wie eine reguläre Chat-Nachricht verarbeitet (siehe oben).
Wenn der Bot-Betreiber den WhatsApp-Channel aktiviert hat, werden Nachrichten über die WhatsApp Business API (Meta Platforms Ireland Ltd., Irland/US) empfangen und beantwortet. Meta verarbeitet dabei Metadaten gemäß seiner eigenen Datenschutzrichtlinie. Die Nachrichteninhalte werden von BotCore wie reguläre Chat-Nachrichten verarbeitet.
Besucher können über ein optionales Kontaktformular im Widget folgende Daten hinterlassen:
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Besuchers). Lead-Daten werden bis zur manuellen Löschung durch den Verantwortlichen gespeichert.
| Name | Zweck | Dauer | Typ |
|---|---|---|---|
bc-consent-{tenantId} | Speicherung der DSGVO-Einwilligung des Widget-Besuchers | 1 Jahr | Strictly Necessary |
Dieses Cookie speichert ausschließlich den Consent-Status (accepted oder declined) und ist als „strictly necessary“ gem. ePrivacy-Richtlinie einzustufen — es bedarf keiner vorherigen Einwilligung.
| Name | Zweck | Dauer | Speicherort |
|---|---|---|---|
bc-session-{tenantId} | Session-Token für Chat-Zuordnung | Tab-Schließung | sessionStorage |
token | JWT-Authentifizierung (Admin-Dashboard) | Bis Logout / 1h Expiry | localStorage |
Beim Stripe-Checkout können Cookies von Stripe gesetzt werden (Betrugsprävention, funktional). Details: Stripe Datenschutzerklärung.
BotCore setzt keine Tracking-, Analytics- oder Werbe-Cookies ein. Es werden keine Drittanbieter-Tracking-Pixel, kein Google Analytics, kein Meta Pixel und keine vergleichbaren Dienste verwendet. Alle Schriftarten werden lokal gehostet (kein Google Fonts CDN).
BotCore setzt KI-Systeme ein, die Texte generieren (sog. General Purpose AI). Gemäß Art. 50 der EU-KI-Verordnung (EU AI Act) informieren wir:
| Dienstleister | Zweck | Standort | Rechtsgrundlage Transfer |
|---|---|---|---|
| Google LLC (AI Studio / Gemini API) | KI-Antwortgenerierung | US | EU-US Data Privacy Framework (DPF) |
| Hetzner Online GmbH | Server-Hosting (Cloudron) | Deutschland | — |
| Supabase Inc. | PostgreSQL-Datenbank | EU (Frankfurt) | — |
| Stripe Inc. | Zahlungsabwicklung | EU/US | DPF + SCCs |
| n8n (self-hosted) | E-Mail-Versand, Workflow-Automation | Deutschland (Hetzner) | — |
| Google LLC (Workspace/Gmail) | E-Mail-Transport via n8n | EU/US | DPF + Google DPA |
| OpenAI, Inc. | LLM-Antwortgenerierung (optional) | US | DPF |
| Anthropic, PBC | LLM-Antwortgenerierung (optional) | US | DPF |
| Vapi, Inc. | Voice-Orchestrierung (optional) | US | DPF + SCCs |
| Meta Platforms Ireland Ltd. | WhatsApp Business API (optional) | Irland/US | DPF + SCCs |
| Deepgram, Inc. | Speech-to-Text via Vapi (optional) | US | DPF |
| Microsoft Azure (Microsoft Corp.) | Voice-Synthese via Vapi (optional) | Global | DPF + SCCs |
Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge gem. Art. 28 DSGVO bzw. Standardvertragsklauseln (SCCs) für Drittlandtransfers.
Sie haben folgende Rechte:
Kontakt für Betroffenenrechte: [email protected]
BotCore bietet technische Unterstützung: Session-Daten können über die DSGVO-Funktionen im Admin-Dashboard exportiert und gelöscht werden.
Wenn Sie BotCore als Chatbot auf Ihrer Website einsetzen, sind Sie datenschutzrechtlich Verantwortlicher für die Verarbeitung der Daten Ihrer Website-Besucher. Bitte integrieren Sie folgenden Abschnitt (oder eine vergleichbare Formulierung) in Ihre eigene Datenschutzerklärung:
Muster-Text (kopierbar):
„Wir setzen auf unserer Website den KI-Chatbot-Service BotCore (botcore.app, Betreiber: Sebastian Danksin, SDD Studios) als Auftragsverarbeiter gem. Art. 28 DSGVO ein. Bei der Nutzung des Chatbots werden folgende Daten verarbeitet: Chat-Nachrichten, IP-Adresse (pseudonymisiert als SHA-256 Hash), Session-Token und ein Consent-Cookie (bc-consent, 1 Jahr, strictly necessary). Die Verarbeitung erfolgt auf Servern in Deutschland (Hetzner Online GmbH). Zur Antwortgenerierung werden Nachrichten verschlüsselt an ein KI-Sprachmodell (Google Gemini, OpenAI oder Anthropic Claude) übermittelt; eine Nutzung zum KI-Training findet nicht statt. [Optional bei Voice-Channel: Für den Sprach-Kanal werden Daten über Vapi, Inc. (Deepgram für Speech-to-Text, Microsoft Azure für Text-to-Speech) verarbeitet.] [Optional bei WhatsApp-Channel: Für den WhatsApp-Kanal werden Nachrichten über die WhatsApp Business API (Meta) verarbeitet.] Chat-Daten werden nach {30{'}'} Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundensupport). Weitere Informationen: botcore.app/datenschutz“
Zuständige Aufsichtsbehörde:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de