Rechtliches & Compliance
Auftragsverarbeitungsvertrag
Gemäß Art. 28 DSGVO — Version v2.3 — Stand: 13. März 2026.
Art. 28 DSGVO
AVV v2.3
Kurz gesagt: Dieser Vertrag regelt, wie wir mit den Daten Ihrer Website-Besucher umgehen. Ihre Daten bleiben Ihre Daten — wir verarbeiten sie nur in Ihrem Auftrag, sicher und DSGVO-konform.
1. Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten zwischen:
Auftraggeber: Der Kunde (nachfolgend „Verantwortlicher“), der den BotCore-Service nutzt
Auftragnehmer: Sebastian Danksin, SDD Studios, Wilonstraße 76, 72072 Tübingen (nachfolgend „Auftragsverarbeiter“)
Der AVV wird durch die Akzeptanz im BotCore-Admin-Dashboard oder im Rahmen der Registrierung elektronisch geschlossen.
2. Gegenstand und Dauer
Was bedeutet das? Wir verarbeiten Daten, solange Sie BotCore nutzen.
Der Auftragsverarbeiter betreibt den KI-Chatbot-Service „BotCore“ (botcore.app) im Auftrag des Verantwortlichen. Die Verarbeitung dauert so lange wie der Nutzungsvertrag.
Wenn der Vertrag endet, werden alle personenbezogenen Daten gelöscht oder an Sie zurückgegeben (siehe Abschnitt 10).
3. Art und Zweck der Datenverarbeitung
Die Verarbeitung umfasst folgende Datenkategorien:
| Datenkategorie | Zweck | Speicherdauer |
|---|---|---|
| IP-Adressen (als SHA-256 Hash) | Session-Zuordnung, Missbrauchsschutz | Bis Session-Löschung (konfigurierbar) |
| Chat-Nachrichten | KI-gestützte Antwortgenerierung | Bis Session-Löschung (konfigurierbar, Default: 30 Tage) |
| Session-Tokens | Zuordnung von Gesprächen | Bis Session-Löschung |
| Lead-Daten (Name, E-Mail, optional Telefon/Firma) | Kontaktaufnahme durch den Verantwortlichen | Bis manuelle Löschung |
| Consent-Protokolle | Nachweis der Einwilligung | Bis Session-Löschung |
| AI Audit Log | EU AI Act Compliance, Nachvollziehbarkeit | 90 Tage (konfigurierbar) |
4. Betroffene Personen
Betroffene Personen sind die Website-Besucher des Verantwortlichen, die mit dem Chatbot-Widget interagieren, sowie Personen, die über das Lead-Formular Kontaktdaten hinterlassen.
5. Pflichten des Auftragnehmers
Der Auftragsverarbeiter verpflichtet sich:
-
Personenbezogene Daten nur gemäß den Weisungen des Verantwortlichen zu verarbeiten
-
Alle mit der Verarbeitung beschäftigten Personen auf Vertraulichkeit zu verpflichten
-
Geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (s. Abschnitt 8)
-
Den Verantwortlichen innerhalb von 72 Stunden über Datenschutzverletzungen zu informieren (Art. 33 DSGVO)
-
Den Verantwortlichen bei der Erfüllung der Betroffenenrechte zu unterstützen
-
Nach Vertragsende alle Daten zu löschen oder zurückzugeben
6. Auditrecht
Was bedeutet das? Sie dürfen prüfen, ob wir uns an diesen Vertrag halten.
Der Verantwortliche darf die Einhaltung dieses AVV und der technisch-organisatorischen Maßnahmen überprüfen. Der Auftragsverarbeiter stellt dafür alle nötigen Informationen bereit und ermöglicht Prüfungen vor Ort.
Bitte kündigen Sie eine Prüfung mindestens 14 Werktage vorher an.
Alternativ können wir aktuelle Zertifizierungen oder Audit-Berichte vorlegen.
7. Unterauftragnehmer & Drittlandtransfer
Folgende Unterauftragnehmer werden eingesetzt:
| Dienstleister | Zweck | Standort | Transfer |
|---|---|---|---|
| Google LLC (AI Studio / Gemini API) | KI-Sprachmodell (LLM) für Antwortgenerierung | US | EU-US Data Privacy Framework (DPF) |
| Hetzner Online GmbH | Server-Hosting (Cloudron) | Deutschland | — |
| Cloudflare, Inc. | DNS, DDoS-Schutz, CDN | US | DPF + SCCs |
| Mistral AI SAS | LLM-Antwortgenerierung (optional, vom Kunden konfigurierbar) | Frankreich (EU) | — |
| Supabase Inc. | PostgreSQL-Datenbank (pgvector) | EU (Frankfurt, eu-central-1) | — |
| Stripe Inc. | Zahlungsabwicklung | EU/US | DPF + SCCs |
| Vercel Inc. | Website-Hosting (botcore.chat, Edge-CDN) | Global (Edge) | DPF + SCCs |
| CCM19 (Papoo Software & Media GmbH) | Cookie-Consent-Management (botcore.chat) | Deutschland | — |
| Sendinblue SAS (Brevo) | Transaktionale & Marketing-E-Mails, CRM, Newsletter | Frankreich (EU) | — |
| n8n (self-hosted) | Workflow-Automation (Self-Hosted) | Deutschland (Hetzner) | — |
| OpenAI, Inc. | LLM-Antwortgenerierung (optional, vom Kunden konfigurierbar) | US | DPF |
| Anthropic, PBC | LLM-Antwortgenerierung (optional, vom Kunden konfigurierbar) | US | DPF |
| Groq, Inc. | LLM via LPU (optional, vom Kunden konfigurierbar) | US | DPF |
| Vapi, Inc. | Voice-Orchestrierung (optional, nur bei aktiviertem Voice-Channel) | US | DPF + SCCs |
| Meta Platforms Ireland Ltd. | WhatsApp Business API (optional, nur bei aktiviertem WhatsApp-Channel) | Irland/US | DPF + SCCs |
| Deepgram, Inc. | Speech-to-Text via Vapi (optional, nur bei aktiviertem Voice-Channel) | US | DPF |
| Microsoft Azure (Microsoft Corp.) | Voice-Synthese via Vapi (optional, nur bei aktiviertem Voice-Channel) | Global | DPF + SCCs |
Drittlandtransfer: Soweit Daten an Unterauftragnehmer in Drittländern (insb. USA) übermittelt werden, erfolgt dies auf Grundlage des EU-US Data Privacy Framework (DPF) gem. Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 und/oder auf Basis von Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO. Die Google Gemini API verarbeitet Daten in den USA; Google LLC ist unter dem DPF zertifiziert.
Änderungen an der Liste der Unterauftragnehmer werden dem Verantwortlichen vorab mitgeteilt. Der Verantwortliche kann gegen neue Unterauftragnehmer Widerspruch einlegen.
8. Technische und organisatorische Maßnahmen (TOMs)
Verschlüsselung & Transport
-
TLS 1.2+ für alle Verbindungen (API, Widget, Admin-Dashboard)
-
Datenbank-Verbindungen verschlüsselt (SSL)
-
Sensible Felder (API-Keys, Bot-Tokens) AES-256-GCM verschlüsselt in der Datenbank
Pseudonymisierung
-
IP-Adressen werden ausschließlich als SHA-256 Hash gespeichert (kein Klartext)
-
Session-Tokens sind zufällige 32-Byte Hex-Strings
Zugangs- & Zugriffskontrolle
-
JWT-basierte Authentifizierung mit 1h Expiry
-
API-Key-Authentifizierung für Automationen
-
Rollenbasierte Zugriffskontrolle (Admin, Customer-Admin, Customer)
-
Multi-Tenant-Isolation: Jeder Kunde sieht ausschließlich eigene Daten
-
Rate Limiting auf allen Endpunkten (7 unabhängige Rate Limiter)
Automatische Datenlöschung
-
Konfigurierbare Retention Period pro Bot (Default: 30 Tage)
-
Stündlicher Cleanup-Job löscht abgelaufene Sessions
-
AI Audit Log: automatische Bereinigung nach 90 Tagen
-
Error Log: automatische Bereinigung nach 30 Tagen
Audit & Nachvollziehbarkeit
-
DSGVO Audit Log (Consent, Löschung, Export)
-
AI Audit Log (EU AI Act Compliance)
-
Admin Audit Log: alle administrativen Mutationen protokolliert
Verfügbarkeit & Monitoring
-
Server-Standort: Deutschland (Hetzner)
-
Automatisierte Health Checks (DB, API, Memory, Job-Status)
-
Status Page mit 90-Tage-Uptime-Historie
9. KI-spezifische Verarbeitung
Was bedeutet das? Die KI lernt nicht aus Ihren Daten und speichert keine Gespräche dauerhaft.
-
Kein Training: Ihre Daten und Chat-Nachrichten werden NICHT zum Training von KI-Modellen verwendet — weder von BotCore noch von Google, OpenAI oder Anthropic. Alle Anbieter werden über API-Schnittstellen genutzt, die ein Training mit übermittelten Daten vertraglich ausschließen.
-
Kein Prompt-Caching: Die KI-Anbieter speichern keine Gesprächsinhalte über die einzelne Anfrage hinaus.
-
Automatische Löschung: Chat-Nachrichten werden nach der eingestellten Frist gelöscht (Standard: 30 Tage).
-
Transparenz: Besucher werden im Chat-Widget über den KI-Einsatz informiert (EU AI Act Art. 50).
10. Was passiert mit Ihren Daten nach Vertragsende?
Alle Daten werden innerhalb von 30 Tagen vollständig gelöscht.
Vorher können Sie Ihre Daten im JSON-Format exportieren (direkt im Admin-Dashboard).
Auf Wunsch bestätigen wir die Löschung schriftlich.
11. Schlussbestimmungen
Version: v2.3-2026-03-13
Anwendbares Recht: Deutsches Recht
Gerichtsstand: Tübingen
Änderungen dieses AVV bedürfen der Schriftform bzw. der erneuten elektronischen Akzeptanz.
