Rechtliches & Compliance
Datenschutzerklärung
Stand: 13. März 2026. Keine Tracking-Cookies, kein Google Analytics, keine Weitergabe zu Werbezwecken.
Compliance Status
GDPR Verified 2026
1. Verantwortlicher
Sebastian Danksin
SDD Studios
Wilonstraße 76
72072 Tübingen
E-Mail: datenschutz@sdd-studios.de
2. Hosting
Plattform (botcore.app): Die Plattform wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet. Die Datenverarbeitung findet ausschließlich in Deutschland statt. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO.
Marketing-Website (botcore.chat): Diese Website wird über Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) als Edge-CDN ausgeliefert. Vercel verarbeitet dabei technische Zugriffsdaten (IP-Adresse, Zeitstempel, angeforderte Seite). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an performantem Hosting). Vercel ist unter dem EU-US Data Privacy Framework zertifiziert. Formular-Daten (Newsletter, Kontakt, Downloads) werden über Supabase Edge Functions verarbeitet, gehostet in Frankfurt (EU).
3. Marketing-Website (botcore.chat)
3.1 Newsletter
Wenn Sie sich für unseren Newsletter anmelden, erheben wir Ihre E-Mail-Adresse. Die Anmeldung wird in unserer Datenbank (Supabase, EU/Frankfurt) gespeichert und der Kontakt in Brevo (Sendinblue SAS, Frankreich) für den E-Mail-Versand angelegt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Sie können den Newsletter jederzeit über den Abmelde-Link in jeder E-Mail oder über botcore.chat/abmelden abbestellen.
3.2 Kontaktformular
Wenn Sie uns über das Kontaktformular schreiben, erheben wir: Name (optional), E-Mail-Adresse, Betreff und Ihre Nachricht. Die Daten werden in unserer Datenbank (Supabase, EU/Frankfurt) gespeichert. Wir erhalten eine Benachrichtigung per E-Mail über Brevo. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beantwortung von Anfragen).
3.3 Content-Downloads (Whitepaper, Guides)
Wenn Sie ein kostenloses Dokument herunterladen, erheben wir Ihre E-Mail-Adresse und das gewählte Dokument. Der Download-Link wird Ihnen per E-Mail zugestellt (Brevo). Ihr Kontakt wird gleichzeitig für den Newsletter registriert (Einwilligung über Checkbox). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können sich jederzeit abmelden.
3.4 Marketing-E-Mails
Nach Registrierung für ein BotCore-Konto (Trial oder Abo) erhalten Sie automatisierte E-Mail-Sequenzen mit Produkt-Tipps, Onboarding-Hilfe und Feature-Hinweisen. Diese werden über Brevo (Sendinblue SAS, Frankreich/EU) versendet. Der Absender ist sebastian@botcore.chat oder support@botcore.chat.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenbindung, § 7 Abs. 3 UWG — Bestandskundenprivileg). Sie können sich in jeder E-Mail mit einem Klick abmelden.
3.5 Abmelde-Seite
Auf der Abmelde-Seite (botcore.chat/abmelden) erheben wir nur Ihre E-Mail-Adresse und optional einen Abmeldegrund. Die Abmeldung wird in unserer Datenbank gespeichert und bei jedem zukünftigen E-Mail-Versand geprüft. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — Umsetzung des Widerrufsrechts).
4. Plattform (botcore.app)
4.1 Registrierung & Login
Bei der Registrierung erfassen wir: E-Mail-Adresse, Firmenname und ein temporäres Passwort. Das Passwort wird als bcrypt-Hash gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Beim Login erstellen wir einen JWT-Token (1h Gültigkeit) zur Authentifizierung. Der Token wird im localStorage des Browsers gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
4.2 Zahlungsabwicklung
Zahlungen werden über Stripe Inc. abgewickelt. Wir speichern lediglich die Stripe Customer-ID und Abonnement-Informationen. Kreditkartendaten werden ausschließlich von Stripe verarbeitet. Stripe kann beim Checkout eigene Cookies setzen (funktional + Betrugsprävention). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
4.3 Nutzungsanalyse
Wir erfassen aggregierte Nutzungsstatistiken (Nachrichten-Anzahl, Token-Verbrauch, Antwortzeiten) pro Bot. Diese Daten sind nicht auf einzelne Personen zurückführbar. Es werden keine externen Analytics-Tools (Google Analytics, Matomo o.ä.) eingesetzt.
5. Chat-Widget (Besucher-Daten)
Wenn jemand den Chatbot auf einer Kunden-Website nutzt, verarbeiten wir nur das Nötigste:
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| IP-Adresse (als SHA-256 Hash) | Session-Zuordnung, Missbrauchsschutz | Art. 6 Abs. 1 lit. f DSGVO |
| Chat-Nachrichten | Antwortgenerierung durch KI | Art. 6 Abs. 1 lit. a/f DSGVO |
| Session-Token | Zuordnung des Gesprächs | Art. 6 Abs. 1 lit. f DSGVO |
| User-Agent (als Hash) | Session-Zuordnung | Art. 6 Abs. 1 lit. f DSGVO |
Speicherdauer: Chat-Daten werden automatisch nach der eingestellten Frist gelöscht (Standard: 30 Tage). IP-Adressen werden zu keinem Zeitpunkt im Klartext gespeichert — nur als nicht rückrechenbarer Hash.
KI-Verarbeitung: Ihre Chat-Nachrichten werden verschlüsselt (TLS) an ein KI-Sprachmodell gesendet, damit der Bot antworten kann. Standard ist Google Gemini; der Bot-Betreiber kann alternativ OpenAI, Anthropic, Groq, Mistral (EU) oder Vertex AI wählen. Wichtig: Kein Anbieter nutzt Ihre Nachrichten zum Training von KI-Modellen. Auch BotCore selbst trainiert keine KI mit Kundendaten.
5.1 Voice-Channel (optional)
Manche Bots bieten einen Sprach-Kanal an. Wenn Sie mit dem Bot sprechen (statt tippen), wird Ihre Stimme in Echtzeit verarbeitet: Deepgram, Inc. (US) wandelt Ihre Sprache in Text um, Microsoft Azure wandelt die Bot-Antwort in Sprache um, koordiniert über Vapi, Inc. (US). Audio-Daten werden nur in Echtzeit verarbeitet und nicht dauerhaft gespeichert.
5.2 WhatsApp-Channel (optional)
Manche Bots sind auch über WhatsApp erreichbar. Meta (WhatsApp) verarbeitet Metadaten (z.B. Telefonnummer, Zeitstempel) gemäß seiner eigenen Datenschutzrichtlinie. Die Nachrichteninhalte selbst werden von BotCore wie normale Chat-Nachrichten verarbeitet — mit denselben Schutzmaßnahmen wie oben beschrieben.
6. Lead-Erfassung
Besucher können über ein optionales Kontaktformular im Widget folgende Daten hinterlassen:
- Name (Pflichtfeld)
- E-Mail-Adresse (Pflichtfeld)
- Telefonnummer (optional)
- Firmenname (optional)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Besuchers). Lead-Daten werden bis zur manuellen Löschung durch den Verantwortlichen gespeichert.
7. Cookies & Consent
7.1 Cookies
| Name | Zweck | Dauer | Typ |
|---|---|---|---|
| bc-consent-{tenantId} | Speicherung der DSGVO-Einwilligung des Widget-Besuchers | 1 Jahr | Strictly Necessary |
Dieses Cookie speichert ausschließlich den Consent-Status und ist als „strictly necessary" gem. ePrivacy-Richtlinie einzustufen — es bedarf keiner vorherigen Einwilligung.
7.2 Browser-Speicher
| Name | Zweck | Dauer | Speicherort |
|---|---|---|---|
| bc-session-{tenantId} | Session-Token für Chat-Zuordnung | Tab-Schließung | sessionStorage |
| token | JWT-Authentifizierung (Admin-Dashboard) | Bis Logout / 1h Expiry | localStorage |
7.3 Drittanbieter-Cookies
Beim Stripe-Checkout können Cookies von Stripe gesetzt werden (Betrugsprävention, funktional).
7.4 Keine Tracking-Cookies
BotCore setzt auf der Marketing-Website (botcore.chat) den Cookie-Consent-Manager CCM19 der Papoo Software & Media GmbH, Auguststr. 4, 53229 Bonn, Deutschland, ein. CCM19 ermöglicht die Verwaltung Ihrer Cookie-Einwilligungen gem. Art. 7 DSGVO und § 25 TDDDG. CCM19 setzt ein eigenes Cookie zur Speicherung Ihrer Consent-Entscheidung. Die Datenverarbeitung findet in Deutschland statt.
8. KI-Transparenz (EU AI Act Art. 50)
BotCore setzt KI-Systeme ein, die Texte generieren (sog. General Purpose AI). Gemäß Art. 50 der EU-KI-Verordnung informieren wir:
-
KI-Einsatz: Chat-Antworten werden von einem KI-Sprachmodell (Google Gemini, alternativ OpenAI, Anthropic Claude, Groq, Mistral oder Vertex AI) generiert, nicht von einem Menschen
-
Transparenz: Besucher werden im Widget-Consent-Banner über den KI-Einsatz informiert
-
Kein Training: Kundendaten und Chat-Nachrichten werden weder von BotCore noch von den LLM-Anbietern zum Training verwendet
-
Kein Prompt-Caching: Die eingesetzten LLM-APIs speichern keine Prompts über die API-Anfrage hinaus
-
Keine automatisierte Einzelentscheidung: Keine automatisierte Entscheidungsfindung gem. Art. 22 DSGVO — der Chatbot gibt Informationen, trifft keine rechtsverbindlichen Entscheidungen
-
Kein Hochrisiko-Einsatz: BotCore ist nicht für Anwendungen gemäß Annex III der EU-KI-Verordnung vorgesehen
9. Webanalyse & Marketing
9.1 Webanalyse (Matomo)
Wir planen den Einsatz von Matomo (self-hosted) zur Webanalyse. Matomo wird auf unseren eigenen Servern in Deutschland betrieben. IP-Adressen werden anonymisiert (mindestens 2 Byte). Im Cookieless-Modus ist kein Cookie-Consent erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Website-Optimierung). Dieser Abschnitt wird aktiviert, sobald Matomo implementiert ist.
9.2 Google Ads & Search Console
Wir planen den Einsatz von Google Ads (Conversion-Tracking) und der Google Search Console. Das Google Ads Tag erfasst Conversion-Events (z.B. Trial-Registrierung) zur Kampagnenoptimierung. Es wird nur nach Einwilligung über CCM19 geladen (Google Consent Mode v2). Google Search Console verarbeitet keine personenbezogenen Daten von Website-Besuchern. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Dieser Abschnitt wird aktiviert, sobald Google Ads implementiert ist.
9.3 Meta Pixel & Conversions API
Wir planen den Einsatz des Meta Pixels (Facebook/Instagram) und der Meta Conversions API zur Messung von Werbeanzeigen. Das Meta Pixel wird nur nach Einwilligung über CCM19 geladen. Die Conversions API kann serverseitig Conversion-Events senden. Anbieter: Meta Platforms Ireland Ltd., Merrion Road, Dublin 4, Irland. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Dieser Abschnitt wird aktiviert, sobald Meta Ads implementiert sind.
9.4 LinkedIn Insight Tag
Wir planen den Einsatz des LinkedIn Insight Tags zur Messung von LinkedIn-Kampagnen. Das Tag wird nur nach Einwilligung über CCM19 geladen. Anbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Dieser Abschnitt wird aktiviert, sobald LinkedIn Ads implementiert sind.
9.5 Google Tag Manager
Wir planen den Einsatz des Google Tag Managers (GTM) zur zentralen Verwaltung aller Marketing-Tags. GTM selbst erhebt keine personenbezogenen Daten und setzt keine Cookies. Die über GTM eingebundenen Tags (Google Ads, Meta Pixel, LinkedIn) werden durch CCM19 consent-gesteuert. Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Dieser Abschnitt wird aktiviert, sobald GTM implementiert ist.
9.6 SalesViewer
Wir planen den Einsatz von SalesViewer zur Identifizierung von Unternehmen, die unsere Website besuchen. SalesViewer erkennt Firmennamen anhand öffentlich verfügbarer Netzwerkinformationen — es werden keine personenbezogenen Daten einzelner Besucher erhoben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an B2B-Vertrieb). Dieser Abschnitt wird aktiviert, sobald SalesViewer implementiert ist.
10. Empfänger / Auftragsverarbeiter
| Dienstleister | Zweck | Standort | Transfer |
|---|---|---|---|
| Hetzner Online GmbH | Plattform-Hosting (botcore.app) | Deutschland | — |
| Vercel Inc. | Website-Hosting (botcore.chat) | Global (Edge) | DPF + SCCs |
| Supabase Inc. | Datenbank, Edge Functions (Formulare, Tracking) | EU (Frankfurt) | — |
| Sendinblue SAS (Brevo) | Transaktionale & Marketing-E-Mails, CRM, Newsletter | Frankreich (EU) | — |
| Stripe Inc. | Zahlungsabwicklung | EU/US | DPF + SCCs |
| Cloudflare, Inc. | DNS, DDoS-Schutz, CDN | US | DPF + SCCs |
| CCM19 (Papoo Software & Media GmbH) | Cookie-Consent-Management | Deutschland | — |
| Google LLC (AI Studio / Gemini API) | KI-Antwortgenerierung | US | DPF |
| Mistral AI SAS | LLM-Antwortgenerierung (optional, EU-Modell) | Frankreich (EU) | — |
| OpenAI, Inc. | LLM-Antwortgenerierung (optional) | US | DPF |
| Anthropic, PBC | LLM-Antwortgenerierung (optional) | US | DPF |
| Groq, Inc. | LLM via LPU (optional) | US | DPF |
| n8n (self-hosted) | Workflow-Automation (Self-Hosted) | Deutschland (Hetzner) | — |
| Vapi, Inc. | Voice-Orchestrierung (optional) | US | DPF + SCCs |
| Meta Platforms Ireland Ltd. | WhatsApp Business API (optional) | Irland/US | DPF + SCCs |
| Deepgram, Inc. | Speech-to-Text via Vapi (optional) | US | DPF |
| Microsoft Azure (Microsoft Corp.) | Voice-Synthese via Vapi (optional) | Global | DPF + SCCs |
Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge gem. Art. 28 DSGVO bzw. Standardvertragsklauseln (SCCs) für Drittlandtransfers.
11. Ihre Rechte
Sie können jederzeit verlangen, dass wir:
-
Auskunft geben (Art. 15): Welche Daten wir über Sie gespeichert haben
-
Daten korrigieren (Art. 16): Wenn etwas nicht stimmt
-
Daten löschen (Art. 17): Das sogenannte „Recht auf Vergessenwerden"
-
Verarbeitung einschränken (Art. 18): Wenn Sie die Nutzung begrenzen möchten
-
Daten exportieren (Art. 20): In einem maschinenlesbaren Format (JSON)
-
Widerspruch einlegen (Art. 21): Gegen die Verarbeitung Ihrer Daten
-
Einwilligung widerrufen (Art. 7 Abs. 3): Jederzeit, ohne Angabe von Gründen
So erreichen Sie uns: datenschutz@sdd-studios.de
Tipp für Bot-Betreiber: Im Admin-Dashboard können Sie Session-Daten direkt selbst exportieren und löschen — ohne Wartezeit.
12. Hinweis für BotCore-Kunden (Widget-Betreiber)
Wenn Sie BotCore als Chatbot auf Ihrer Website einsetzen, sind Sie datenschutzrechtlich Verantwortlicher für die Verarbeitung der Daten Ihrer Website-Besucher. Bitte integrieren Sie folgenden Abschnitt in Ihre eigene Datenschutzerklärung:
Muster-Text (kopierbar)
Wir setzen auf unserer Website den KI-Chatbot-Service BotCore (botcore.app, Betreiber: Sebastian Danksin, SDD Studios) als Auftragsverarbeiter gem. Art. 28 DSGVO ein. Bei der Nutzung des Chatbots werden folgende Daten verarbeitet: Chat-Nachrichten, IP-Adresse (pseudonymisiert als SHA-256 Hash), Session-Token und ein Consent-Cookie (bc-consent, 1 Jahr, strictly necessary). Die Verarbeitung erfolgt auf Servern in Deutschland (Hetzner Online GmbH). Zur Antwortgenerierung werden Nachrichten verschlüsselt an ein KI-Sprachmodell (Google Gemini, OpenAI oder Anthropic Claude) übermittelt; eine Nutzung zum KI-Training findet nicht statt. Chat-Daten werden nach 30 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundensupport). Weitere Informationen: botcore.app/datenschutz
13. Aufsichtsbehörde
Zuständige Aufsichtsbehörde:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de