Datenschutzerklärung

8.1 Chat-Funktion (n8n, Requesty / claude-haiku-4-5@europe-west1)

Beschreibung: Unsere Website bietet eine Chat-Funktion, über die Sie Anfragen stellen können. Die Verarbeitung Ihrer Eingaben erfolgt über unsere selbst gehostete n8n-Instanz (Hostinger, Serverstandort Frankfurt, Deutschland). Zur Generierung der Antworten wird das KI-Modell claude-haiku-4-5@europe-west1 über die Requesty API (LLM-Gateway) eingebunden.

Anbieter KI-Verarbeitung (LLM-Gateway): Requesty Ltd., 71-75 Shelton Street, Covent Garden, London WC2H 9JQ, United Kingdom. Wir nutzen ausschließlich den EU-Endpoint router.eu.requesty.ai. Die Verarbeitung erfolgt vollständig innerhalb der EU (AWS-Rechenzentrum Frankfurt, eu-central-1) sowie auf dem nachgelagerten Modell-Endpoint in der Region europe-west1 (Belgien, EU). Requesty ist mit den Data-Policy-Einstellungen „Zero Data Retention“ und „Not used for training“ konfiguriert: Eingaben werden weder dauerhaft gespeichert noch für Trainingszwecke verwendet (SOC 2 Type II zertifiziert; DPA verfügbar).

Verarbeitete Daten: Chat-Eingaben (Inhaltsdaten), technische Sitzungsdaten (Cookie ft_chat_session zur Aufrechterhaltung des Gesprächsverlaufs während der Browser-Sitzung) sowie der Gesprächsverlauf der aktuellen Sitzung im Local Storage des Browsers (ft_chat_messages). Der Local Storage wird ausschließlich lokal in Ihrem Browser gespeichert und nicht an Server übertragen. Er wird nach maximal 14 Tagen automatisch invalidiert; zusätzlich können Sie ihn jederzeit manuell über die Einstellungen Ihres Browsers löschen. Zur Absicherung gegen Missbrauch wird die IP-Adresse der anfragenden Verbindung temporär im Arbeitsspeicher des Servers für Rate Limiting verwendet; sie wird nicht persistent gespeichert und nicht an Dritte weitergegeben.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation); bei vertragsbezogenen Anfragen Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: Chat-Verläufe werden in unserer Supabase-Datenbank (siehe Abschnitt 8.2) gespeichert und automatisch nach 14 Tagen vollständig gelöscht (technisch umgesetzt über einen täglichen pg_cron-Job). Der Local Storage bleibt bis zur manuellen Löschung oder dem Löschen der Browser-Daten erhalten.

Verwendungszweck der gespeicherten Chat-Verläufe: Die in Supabase gespeicherten Chat-Verläufe werden genutzt, um die Qualität und Genauigkeit der Chat-Antworten zu verbessern. Sofern aus einem Chat ein konkreter Kundenkontakt oder ein Erstgespräch entsteht, kann der zugehörige Verlauf zur besseren Beratung im weiteren Gesprächsverlauf herangezogen werden. Zu diesem Zweck werden Chat-Verläufe täglich automatisiert in unsere interne NocoDB-Datenbank (selbst gehostet, Hostinger, Frankfurt, DE) übertragen und dort für maximal 14 Tage gespeichert. Die Übertragung erfolgt sessionbasiert; eine direkte Zuordnung zu einer natürlichen Person ist ohne zusätzliche Informationen nicht möglich.

Internationale Datenübermittlung: Die eigentliche Verarbeitung der Chat-Eingaben durch das LLM erfolgt innerhalb der EU. Vertragspartner für das Gateway ist Requesty Ltd. mit Sitz im Vereinigten Königreich; für das UK besteht ein Angemessenheitsbeschluss der Europäischen Kommission (zuletzt verlängert, Art. 45 DSGVO), sodass keine zusätzlichen Garantien erforderlich sind. Sollte der Angemessenheitsbeschluss künftig entfallen, werden wir unverzüglich auf EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als Transfermechanismus umstellen.

8.2 Chat-Memory (Supabase)

Anbieter: Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992 (Muttergesellschaft mit US-Bezug). Die von uns genutzte Datenbankinstanz wird in Stockholm, Schweden (EU) betrieben.

Beschreibung: Wir nutzen Supabase als Postgres-Datenbank zur Speicherung des Chat-Gesprächsverlaufs (Chat-Memory). Jede Chat-Sitzung erhält eine eigene, zufällig generierte Session-ID. Der Chat-Agent hat ausschließlich Zugriff auf den Verlauf der eigenen Sitzung – eine Einsicht in andere Gesprächsverläufe ist technisch ausgeschlossen.

Garantien für die internationale Datenübermittlung: Obwohl die Datenbankinstanz in der EU (Stockholm) betrieben wird, ist Supabase, Inc. ein Unternehmen mit Sitz außerhalb der EU. Die Nutzung erfolgt auf Grundlage der von Supabase bereitgestellten Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie des Supabase Data Processing Addendum (DPA). Ergänzend greifen technische Schutzmaßnahmen (Verschlüsselung at rest und in transit, restriktive Zugriffskontrolle, automatische Löschung nach max. 14 Tagen), die das Risiko eines unbefugten Zugriffs auf ein Minimum reduzieren. Es werden ausschließlich pseudonymisierte Chat-Verläufe ohne direkte Personenzuordnung gespeichert.

Rechtsgrundlagen: § 25 Abs. 2 Nr. 2 TTDSG (technisch erforderlich); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und zuverlässiger Chat-Funktion).

Speicherdauer: Chat-Verläufe werden maximal 14 Tage in der Supabase-Datenbank vorgehalten und anschließend durch einen automatisierten Löschjob (pg_cron) endgültig entfernt. Täglich werden die Verläufe der letzten 24 Stunden sessionbasiert in unsere selbst gehostete NocoDB-Instanz (Hostinger, Frankfurt, DE) übertragen, um die Chat-Qualität zu analysieren. Auch dort erfolgt eine automatische Löschung nach 14 Tagen. Verwendungszwecke siehe Abschnitt 8.1.

Weitere Informationen: Supabase Privacy Policy

8.3 Chat-Analyse (NocoDB – self-hosted)

Beschreibung: Zur weitergehenden Analyse und kontinuierlichen Verbesserung unseres Chat-Assistenten Alex werden Chat-Verläufe täglich automatisiert aus der Supabase-Datenbank (siehe Abschnitt 8.2) sessionbasiert in unsere selbst gehostete NocoDB-Instanz übertragen. NocoDB ist eine Open-Source-Datenbankanwendung, die auf unserem Hostinger VPS (Serverstandort: Frankfurt, Deutschland, EU) betrieben wird. Die Analyse dient ausschließlich der Qualitätsverbesserung der Chat-Antworten – es findet keine Weitergabe an Dritte statt. Eine direkte Zuordnung zu einer natürlichen Person ist ohne zusätzliche Informationen nicht möglich.

Verarbeitete Daten: Pseudonymisierte Chat-Verläufe (Session-ID, Nachrichteninhalte, Zeitstempel).

Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung und Qualitätssicherung der Chat-Funktion).

Speicherdauer: Die Chat-Verläufe werden nach maximal 14 Tagen durch eine automatisierte Löschroutine endgültig entfernt.

Internationale Datenübermittlung: Keine – Serverstandort Frankfurt, Deutschland (EU).

8.4 Spracheingabe / Transkription (n8n, Requesty / voxtral-mini-latest)

Beschreibung: Im Chat steht optional eine Sprach-Eingabe zur Verfügung. Beim Aktivieren des Mikrofon-Buttons fragt Ihr Browser via Web-Standard (MediaRecorder API) Ihre Erlaubnis zum Mikrofon-Zugriff ab. Die Aufnahme erfolgt ausschließlich lokal in Ihrem Browser und wird auf maximal 60 Sekunden begrenzt. Nach Beenden der Aufnahme wird die Audiodatei (Format: WebM/Opus) einmalig über einen gesicherten HTTPS-Endpunkt an unsere selbst gehostete n8n-Instanz (Hostinger, Frankfurt, DE) übertragen und von dort zur Transkription an den EU-Endpoint von Requesty weitergeleitet. Als Modell wird mistral/voxtral-mini-latest (Mistral AI, Frankreich/EU) verwendet. Das zurückgegebene Transkript wird in das Eingabefeld eingefügt; Sie können es vor dem Absenden frei bearbeiten.

Anbieter KI-Verarbeitung (LLM-Gateway): Requesty Ltd., London, UK. Ausschließlich EU-Endpoint router.eu.requesty.ai (AWS Frankfurt, eu-central-1). Konfiguration: „Zero Data Retention“ und „Not used for training“ (siehe Abschnitt 8.1).

Anbieter Modell: Mistral AI, 75008 Paris, Frankreich. Voxtral wird über die Mistral-API innerhalb der EU bereitgestellt.

Verarbeitete Daten: Audiodaten (Sprachaufnahme bis 60 Sekunden), abgeleitetes Transkript (Inhaltsdaten). Zur Absicherung gegen Missbrauch wird die IP-Adresse der anfragenden Verbindung temporär im Arbeitsspeicher des Servers für Rate Limiting verwendet; sie wird nicht persistent gespeichert und nicht an Dritte weitergegeben.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Spracheingabe als optionale Ergänzung der Chat-Funktion). Die Browser-seitige Mikrofonfreigabe ist eine technische Voraussetzung für die Nutzung der Spracheingabe; sie wird nicht als datenschutzrechtliche Einwilligung im Sinne von Art. 6 Abs. 1 lit. a DSGVO herangezogen. Die Nutzung der Spracheingabe ist vollständig freiwillig – die Chat-Funktion ist jederzeit auch per Texteingabe nutzbar.

Speicherdauer: Die Audiodatei wird ausschließlich transient verarbeitet – sie wird weder bei n8n noch bei Requesty/Mistral persistent gespeichert. Sie verlässt Ihren Browser erst nach Beenden der Aufnahme, wird sofort transkribiert und anschließend verworfen. Das resultierende Transkript folgt der Speicherdauer des Chat-Verlaufs (siehe Abschnitt 8.2: max. 14 Tage in Supabase).

Internationale Datenübermittlung: Keine Drittlandübermittlung – gesamte Verarbeitung (n8n in Frankfurt, Requesty EU-Endpoint Frankfurt, Mistral EU) findet innerhalb der EU statt. Für Requesty Ltd. (UK) gelten die Ausführungen aus Abschnitt 8.1.

Weitere Informationen: Mistral AI Privacy Policy