Datenschutzerklärung

DSGVO-konform
🔒 Datenschutz hat Priorität: Transparente Verarbeitung nach DSGVO – Stand März 2026

Inhaltsverzeichnis

  1. Verantwortliche Stelle
  2. Welche Daten wir verarbeiten
  3. Cookies & Session-Daten
  4. Zweck & Rechtsgrundlage
  5. Speicherdauer
  6. Drittanbieter & Auftragsverarbeiter
  7. Weitergabe von Daten
  8. Server-Logdaten
  9. Sicherheit
  10. KI-gestützte Verarbeitung
  11. Ihre Rechte
  12. Verantwortlichkeit & AVV
  13. Beschwerderecht
  14. Datenschutzkonzept
🏢 1. Verantwortliche Stelle

Der Schutz personenbezogener Daten hat bei ClariAssist hohe Priorität. Die Plattform wurde so konzipiert, dass ausschließlich die Daten verarbeitet werden, die für den Betrieb des Chat-Services notwendig sind.

Verantwortliche Stelle im Sinne der DSGVO:

ClariAssist
Verantwortliche Stelle:
Siehe Impressum dieser Website

E-Mail (allgemein): kontakt@clariassist.de
E-Mail (Datenschutz): datenschutz@clariassist.de

⚠️ Da ClariAssist seinen Sitz in Luxemburg hat, ist die zuständige Datenschutzaufsichtsbehörde die Commission Nationale pour la Protection des Données (CNPD), Luxemburg (cnpd.public.lu).
Art. 12–14 DSGVO Informationspflichten Transparenzgebot
📋 2. Welche Daten wir verarbeiten

Bei der Nutzung des Chat-Widgets können folgende Kategorien personenbezogener Daten verarbeitet werden:

💬 Kommunikationsdaten

  • Inhalte der Chatnachrichten
  • Zeitpunkt der Anfrage
  • Sitzungs-ID (pseudonym)
  • Freiwillig übermittelte Kontaktdaten (Name, E-Mail, Telefon)

🖥️ Technische Daten

  • IP-Adressen werden zur Sicherstellung des Betriebs und zur Missbrauchserkennung temporär gespeichert.
  • Browser-Typ und -Version
  • Betriebssystem
  • Referrer-URL
  • Zeitzone / Sprache

👤 Account-Daten (Kunden)

  • Vor- und Nachname
  • E-Mail-Adresse
  • Passwort-Hash (bcrypt)
  • 2FA-Daten (TOTP-Secret verschlüsselt)
  • Login-Zeitstempel

📊 Nutzungsdaten

  • Chat-Statistiken (Anzahl Nachrichten, Antwortzeiten)
  • Lead-Informationen (Name, E-Mail, Telefon)
  • Session-Aktivität

Keine besonderen Kategorien: ClariAssist erhebt keine Daten gemäß Art. 9 DSGVO (Gesundheitsdaten, Biometrie, politische Meinungen etc.).

🍪 3. Cookies & Session-Daten

ClariAssist verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Marketing-Cookies eingesetzt.

🔐 Session-Cookie (Dashboard)

  • Name: __Host-session
  • Zweck: Authentifizierung angemeldeter Nutzer
  • Laufzeit: 24 Stunden
  • HttpOnly, Secure, SameSite=Lax

⚡ Widget Session-Token

  • Gespeichert im Arbeitsspeicher (kein persistenter Cookie)
  • Zweck: Zuordnung der Chat-Session
  • Laufzeit: 15 Minuten Inaktivität
  • Enthält keine personenbezogenen Daten

Die Rechtsgrundlage für technisch notwendige Cookies ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb) sowie § 25 Abs. 2 Nr. 2 TDDDG.

⚖️ 4. Zweck der Verarbeitung & Rechtsgrundlage

Verarbeitungszwecke

  • Bereitstellung des Chat-Services
  • Beantwortung von Kundenanfragen
  • Erkennung und Abwehr von Missbrauch
  • Authentifizierung und Accountverwaltung
  • Vertragserfüllung mit B2B-Kunden
  • Qualitätssicherung und Fehleranalyse

Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b – Vertragserfüllung
  • Art. 6 Abs. 1 lit. c – Rechtliche Verpflichtung
  • Art. 6 Abs. 1 lit. f – Berechtigtes Interesse (Sicherheit, Betrieb)
  • Art. 6 Abs. 1 lit. a – Einwilligung (wo erforderlich)

Soweit die Verarbeitung auf berechtigtem Interesse beruht, wurde eine Interessenabwägung durchgeführt. Das Interesse am sicheren, zuverlässigen Betrieb überwiegt die Einschränkung der betroffenen Personen, da nur die minimal notwendigen Daten verarbeitet werden.

Art. 6 DSGVO Zweckbindung Datensparsamkeit
🗓️ 5. Speicherdauer
Datenkategorie Speicherdauer Löschmechanismus
Chat-Nachrichten Max. 30 Tage Automatische Löschung
Server-Logs (system_logs) Max. 90 Tage Automatische Löschung / manuell
Login-Versuche 90 Tage Automatische Löschung
Session-Tokens 24 Stunden Automatisch bei Ablauf
Account-Daten Bis zur Kündigung + 30 Tage Auf Anfrage sofort
Leads Bis zur Löschung durch Kunden Im Dashboard löschbar
Redis-Session-Daten 15 Minuten (Inaktivität) Automatischer TTL-Ablauf

Nach Ablauf der Speicherfrist werden Daten automatisch gelöscht oder unwiderruflich anonymisiert.

🔗 6. Drittanbieter & Auftragsverarbeiter

ClariAssist setzt folgende Drittanbieter ein, mit denen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO bestehen:

Anbieter Zweck Datenübermittlung Datenschutz
Hosting-Anbieter
Avoro GmbH		 Server-Hosting, Datenbankbetrieb EU / EWR AVV geschlossen
KI-Sprachmodell
OpenAI API		 Generierung von Chat-Antworten Ggf. USA (SCCs) Datenschutzseite
Strato AG (SMTP) Transaktionale E-Mails (Bestätigung, 2FA) EU (Deutschland) AVV vorhanden
Redis
Session-Speicher		 Temporäre Session-Daten, Rate-Limiting Lokal / EU Keine personenbez. Daten
⚠️ Drittlandstransfer: Soweit Daten in Länder außerhalb des EWR übermittelt werden (z. B. USA), erfolgt dies nur auf Basis geeigneter Garantien gemäß Art. 44 ff. DSGVO – insbesondere EU-Standardvertragsklauseln (SCCs) und ggf. einem Angemessenheitsbeschluss der EU-Kommission.
🚫 7. Weitergabe von Daten

Personenbezogene Daten werden grundsätzlich nicht an unbeteiligte Dritte weitergegeben. Eine Übermittlung erfolgt ausschließlich in folgenden Fällen:

  • an Auftragsverarbeiter gemäß Abschnitt 6 (technisch notwendig)
  • bei gesetzlicher Verpflichtung (z. B. Behördenanfragen)
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
  • mit ausdrücklicher Einwilligung der betroffenen Person

Ein Verkauf von Daten an Dritte findet nicht statt.

🖧 8. Server-Logdaten

Zur Sicherstellung des Betriebs, Erkennung von Angriffen und Fehleranalyse werden in der Tabelle system_logs folgende Daten gespeichert:

  • IP-Adresse des Anfragenden
  • Zeitstempel der Anfrage
  • Aufgerufener Endpunkt und HTTP-Methode
  • HTTP-Statuscode und Antwortdauer
  • Quelle und Art des Ereignisses (z. B. Login, Scraper, Chat)
  • Browser / User-Agent

Speicherdauer: Logdaten werden nach spätestens 90 Tagen automatisch gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit und Missbrauchserkennung).

🔒 9. Sicherheit der Daten

⚙️ Technische Maßnahmen

  • TLS-Verschlüsselung (HTTPS)
  • bcrypt-Passwort-Hashing (12 Rounds)
  • 2-Faktor-Authentifizierung (TOTP + E-Mail)
  • CSRF-Token-Schutz
  • Rate-Limiting & IP-Blocking
  • Strikte CSP-Header
  • Session-Hijacking-Erkennung

🏛️ Organisatorische Maßnahmen

  • Minimale Datenhaltung (Datensparsamkeit)
  • Zugriffsrechte nach Need-to-know
  • Regelmäßige Sicherheitsüberprüfungen
  • Automatische Session-Ablaufzeiten
  • Audit-Logging sicherheitskritischer Aktionen
Art. 32 DSGVO TOMs Stand der Technik
🤖 10. KI-gestützte Verarbeitung

Der Chat-Service verwendet ein KI-Sprachmodell zur automatischen Generierung von Antworten. Dabei werden Chatnachrichten an den KI-Anbieter übermittelt, um kontextrelevante Antworten zu erzeugen.

Kein KI-Training: Die im Chat übermittelten Inhalte werden nicht zum Training von KI-Modellen verwendet. Mit dem KI-Anbieter besteht ein entsprechender Auftragsverarbeitungsvertrag, der dies ausschließt.

Keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung gemäß Art. 22 DSGVO findet statt. Der Chatbot unterstützt lediglich die Kommunikation, trifft keine rechtsverbindlichen Entscheidungen.

Transparenz: Nutzer des Widgets können erkennen, dass sie mit einem automatisierten System interagieren.

Art. 22 DSGVO Keine Profilerstellung Kein KI-Training
11. Ihre Rechte als betroffene Person

Als betroffene Person stehen Ihnen folgende Rechte zu:

Betroffenenrechte

  • Art. 15 – Auskunftsrecht
  • Art. 16 – Recht auf Berichtigung
  • Art. 17 – Recht auf Löschung
  • Art. 18 – Recht auf Einschränkung
  • Art. 20 – Recht auf Datenübertragbarkeit
  • Art. 21 – Widerspruchsrecht
  • Art. 7 Abs. 3 – Widerruf einer Einwilligung

Wie Sie Ihre Rechte ausüben

Anfragen richten Sie bitte an:

datenschutz@clariassist.de

Wir reagieren innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO). Bei komplexen Anfragen kann diese Frist um weitere 2 Monate verlängert werden.

Hinweis: Nutzen Sie den Chat über die Website eines unserer Kunden, ist primär dieses Unternehmen als Verantwortlicher Ansprechpartner. Wir helfen gerne bei der Weiterleitung.

📝 12. Verantwortlichkeit & Auftragsverarbeitung

Für Endnutzer, die den Chatbot auf der Website eines Unternehmens nutzen, ist primär dieses Unternehmen datenschutzrechtlich verantwortlich. Es entscheidet über Zweck und Umfang der Datenverarbeitung.

ClariAssist als Auftragsverarbeiter: ClariAssist stellt die technische Plattform bereit und verarbeitet Daten ausschließlich im Auftrag und nach Weisung der eingesetzten Unternehmen (Art. 28 DSGVO).

Auftragsverarbeitungsvertrag (AVV): Unternehmen, die ClariAssist einsetzen, schließen mit uns einen AVV gemäß Art. 28 DSGVO ab. Dieser regelt die datenschutzkonforme Verarbeitung im Auftrag und ist auf Anfrage erhältlich unter: datenschutz@clariassist.de

🏛️ 13. Beschwerderecht & Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer Daten zu beschweren (Art. 77 DSGVO).

Zuständige Aufsichtsbehörde (Sitz von ClariAssist):
Commission Nationale pour la Protection des Données (CNPD)
15, Boulevard du Jazz, L-4370 Belvaux, Luxembourg
cnpd.public.lu

Alternativ können Sie sich auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts oder Arbeitsplatzes wenden.

🛡️ 14. Unser Datenschutzkonzept

ClariAssist wurde nach dem Prinzip Privacy by Design entwickelt: Datenschutz ist kein Nachgedanke, sondern von Anfang an in die Architektur integriert.

Konkret bedeutet das: minimale Datenhaltung, pseudonyme Session-IDs, keine Tracking-Cookies, automatische Löschfristen und verschlüsselte Übertragung aller Daten.

Art. 25 DSGVO Privacy by Design Privacy by Default Datensparsamkeit Pseudonymisierung
Letzte Aktualisierung: März 2026 – Version 2.0