1. Verantwortlichkeit und Datenschutzbeauftragter

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist die:

Hinweis zur Gemeinsamen Verantwortlichkeit (Art. 26 DSGVO)

Die Chatsense GbR betreibt das Kernangebot "Chatsense" (chatsense.net) sowie das Produkt "Roadsy" (roadsy.de). Für bestimmte Verarbeitungsvorgänge, insbesondere die zentrale Verwaltung von Kundendaten, die technische Analyse und die übergreifende Beantwortung von Supportanfragen, handeln wir als gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO.

Wir haben in einer Vereinbarung über die gemeinsame Verantwortlichkeit festgelegt, wer von uns welche datenschutzrechtlichen Verpflichtungen erfüllt. Wesentlicher Inhalt dieser Vereinbarung ist, dass die Chatsense GbR als zentrale Anlaufstelle für die Geltendmachung Ihrer Betroffenenrechte (siehe Punkt 2) dient, unabhängig davon, welches unserer Angebote Sie nutzen.

Datenschutzbeauftragter

Wir haben für unser Unternehmen einen Datenschutzbeauftragten benannt.

2. Ihre Rechte als betroffene Person

Sie haben als betroffene Person nach der DSGVO umfassende Rechte. Wir möchten Sie über diese Rechte aufklären:

• Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende Daten verarbeitet werden; ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese Daten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Vervollständigung oder die Berichtigung Sie betreffender unrichtiger Daten zu verlangen.
• Recht auf Löschung ("Recht auf Vergessenwerden") (Art. 17 DSGVO): Sie haben das Recht zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, sofern einer der gesetzlichen Gründe zutrifft.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, eine Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.
• Recht auf Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft zu widerrufen.
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden Daten gegen die DSGVO verstößt.

Um Ihre Rechte geltend zu machen, können Sie sich jederzeit an uns oder unseren Datenschutzbeauftragten wenden.

3. Datenverarbeitung auf unseren Websites

Bei jedem Aufruf unserer Websites erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners.

a) Bereitstellung der Website (Server-Logfiles)

Bei der rein informatorischen Nutzung unserer Website erheben wir Daten, die Ihr Browser an unseren Server übermittelt (sog. Server-Logfiles).

Verarbeitete Daten: IP-Adresse, Datum und Uhrzeit der Anfrage, Browsertyp und -version, verwendetes Betriebssystem, Website, von der Sie auf uns gelangt sind (Referrer URL).

Zweck: Gewährleistung eines reibungslosen Verbindungsaufbaus und der Systemsicherheit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Unser berechtigtes Interesse an der Gewährleistung eines sicheren und funktionsfähigen Betriebs unserer Website).

Speicherdauer: Logfiles werden aus Sicherheitsgründen (z.B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) für eine Dauer von maximal 7 Tagen gespeichert und danach gelöscht.

b) Kontaktaufnahme (E-Mail / Formular)

Wenn Sie per E-Mail oder Kontaktformular mit uns in Kontakt treten, werden die von Ihnen mitgeteilten Daten (Ihre E-Mail-Adresse, ggf. Ihr Name und Ihre Telefonnummer) von uns gespeichert, um Ihre Fragen zu beantworten.

Zweck: Bearbeitung Ihrer Anfrage

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung zur Anbahnung oder Erfüllung eines Vertrags) oder Art. 6 Abs. 1 lit. f DSGVO (Unser berechtigtes Interesse an der Beantwortung allgemeiner Anfragen).

Speicherdauer: Wir löschen die in diesem Zusammenhang anfallenden Daten, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten (z.B. 6 oder 10 Jahre nach HGB/AO) bestehen.

Datenverarbeitung unserer Geschäftskunden (Vertragserfüllung)

Wenn Sie sich als Geschäftskunde bei uns registrieren, um unsere Dienstleistungen (z.B. den Chatbot) zu nutzen, verarbeiten wir Ihre personenbezogenen Daten (z.B. Name, E-Mail-Adresse, Vertrags- und Zahlungsdaten) zur Anbahnung, Durchführung und Abwicklung des Vertragsverhältnisses.

Rechtsgrundlage: Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen).

Speicherung & Technik: Für die technische Abwicklung und Speicherung nutzen wir spezialisierte Dienstleister. Details hierzu finden Sie im nachfolgenden Abschnitt "Hosting, Sicherheit & KI-Technologie".

Kommunikation via WhatsApp, Facebook Messenger & Instagram

Wir bieten Ihnen die Möglichkeit, uns über die Messaging-Dienste WhatsApp, Facebook Messenger oder Instagram (Direct Messages) zu kontaktieren. Hierbei nutzen wir die technischen Schnittstellen (Business APIs) der Meta Platforms Ireland Ltd. (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland).

Datenverarbeitung: Wenn Sie uns über diese Plattformen schreiben, werden Ihre Telefonnummer (bei WhatsApp) bzw. Ihre Nutzer-ID (bei Facebook/Instagram), Ihr Profilname, Ihr Profilbild sowie der Inhalt Ihrer Nachricht an uns übermittelt.

Meta als Verantwortlicher: Bitte beachten Sie, dass Meta auf seinen eigenen Plattformen auch Daten zu eigenen Zwecken erhebt (z. B. Metadaten zur Nutzung, Werbeprofile), auf die wir keinen Einfluss haben.

Serverstandort: Die Verarbeitung erfolgt in einer global verteilten Infrastruktur von Meta (u. a. in der EU und den USA).

Drittlandtransfer: Im Rahmen der technischen Abwicklung können Daten an den Mutterkonzern Meta Platforms Inc. in die USA übermittelt werden. Dies ist durch das EU-US Data Privacy Framework (DPF) abgesichert, für das Meta zertifiziert ist.

Rechtsgrundlage: Die Nutzung dieser Kanäle ist freiwillig. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung durch Kontaktaufnahme (Art. 6 Abs. 1 lit. a DSGVO) sowie zur Bearbeitung Ihrer Anfrage (Art. 6 Abs. 1 lit. b DSGVO).

Datenschutzerklärung des Anbieters: Meta-Datenschutzrichtlinie

4. Cookies, Consent-Management und TDDDG

Unsere Websites verwenden ausschließlich Technologien, die für den Betrieb, die Sicherheit und die Funktionalität der Seite technisch zwingend erforderlich sind. Wir setzen keine Cookies zu Analyse-, Marketing- oder Tracking-Zwecken ein. Auf ein Consent-Management-Tool (Cookie-Banner) wird daher verzichtet.

Eingesetzte Technologien

Wir nutzen Technologien (z.B. Cookies, Local Storage oder Session-Tokens), um:

• Den Login-Status im geschützten Kundenbereich zu speichern (Session-Management).
• Die Sicherheit der Website zu gewährleisten und Angriffe abzuwehren (z.B. durch Cloudflare).
• Ihre Spracheinstellungen oder Ansichtspräferenzen zu speichern.

Rechtsgrundlage: Der Zugriff auf Ihr Endgerät erfolgt auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG (unbedingte technische Erforderlichkeit). Die anschließende Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an der sicheren und fehlerfreien Bereitstellung des Online-Angebots).

5. Hosting, Sicherheit & KI-Technologie (Chatbot & Backend)

Wir bieten Ihnen auf unseren Websites einen KI-basierten Chatbot an, um Ihre Anfragen interaktiv zu beantworten. Für den Betrieb, die Absicherung und die Funktionalität unserer Website und dieser Chatbots nutzen wir spezialisierte Technologiepartner.

Wir haben mit allen genannten Anbietern Verträge zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen, um sicherzustellen, dass Ihre Daten geschützt und weisungsgebunden verarbeitet werden.

Rechtsgrundlage: Die Nutzung dieser technischen Infrastruktur erfolgt auf Basis unseres berechtigten Interesses an einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots (Art. 6 Abs. 1 lit. f DSGVO). Die Verarbeitung Ihrer Eingaben im Chatbot erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder zur Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO).

a) Cloudflare

Wir nutzen Dienste der Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA).

Zweck: Cloudflare fungiert als Content Delivery Network (CDN) und Sicherheitsbarriere (Web Application Firewall). Der Datenverkehr (z.B. IP-Adressen, technische Protokolle) wird über das Netzwerk von Cloudflare geleitet, um Ladezeiten zu verkürzen und Angriffe (z.B. DDoS) abzuwehren.

Serverstandort: Wir haben die Dienste so konfiguriert, dass die Verarbeitung bevorzugt über Serverinfrastruktur in Deutschland bzw. der EU erfolgt.

Drittlandtransfer: Cloudflare ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert, was ein angemessenes Datenschutzniveau für Datenübermittlungen in die USA garantiert.

Datenschutzerklärung: Cloudflare Privacy Policy

b) Supabase

Wir nutzen die Dienste der Supabase Inc. (970 Toa Payoh North, Singapore).

Zweck: Speicherung von Chat-Verläufen, Account-Daten, Vektoren, Website-Inhalte für den Web-Crawler und das RAG-System und Authentifizierungsfunktionen.

Serverstandort: Wir haben vertraglich festgelegt, dass alle persistenten Daten physisch im Rechenzentrum in Frankfurt am Main (Deutschland) (AWS-Infrastruktur) gespeichert werden ("Data Residency").

Drittlandtransfer: Da Supabase aktuell nicht in der DPF-Liste geführt wird, stützen wir den Datentransfer (z.B. für Wartungszugriffe aus den USA) auf die EU-Standardvertragsklauseln (SCCs). Wir setzen zusätzlich technische Maßnahmen wie Row-Level-Security (RLS) und Verschlüsselung ein.

Datenschutzerklärung: Supabase Privacy Policy

c) Google Auth

Wir bieten Ihnen die Möglichkeit, sich mit Ihrem Google-Konto bei unserem Dienst anzumelden. Dienstanbieter ist die Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland).

Funktionsweise: Wenn Sie diese Funktion nutzen, wird eine Verbindung zu den Servern von Google hergestellt. Dabei erhält Google Kenntnis darüber, dass Sie sich mit Ihrer IP-Adresse bei uns anmelden. Gleichzeitig erhalten wir von Google Ihre E-Mail-Adresse und Profilinformationen (Name, Profilbild), um Ihr Benutzerkonto zu erstellen.

Serverstandort: Die Verarbeitung erfolgt in einer global verteilten Infrastruktur (u. a. in der EU und den USA).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Klick auf den Button) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Drittlandtransfer: Google verarbeitet Daten auch in den USA. Google ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.

Datenschutzerklärung: Google-Datenschutzerklärung

d) MongoDB

Wir nutzen die Dienste der MongoDB Inc. (1633 Broadway, 38th Floor, New York, NY 10019, USA).

Zweck: Verwaltung interner Benutzerkonten (z.B. für den Zugang zum Adminbereich). Die Anmeldung für das interne Adminpanel erfolgt ausschließlich über Google OAuth.

Serverstandort: Die Daten werden physisch auf Servern in Deutschland gehostet.

Drittlandtransfer: MongoDB ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.

Datenschutzerklärung: MongoDB Privacy Policy

e) OpenAI

Die Intelligenz unserer Chatbots basiert auf der API von OpenAI OpCo LLC (1455 3rd St, San Francisco, CA 94158, USA).

Zweck: Verarbeitung von Texteingaben (Prompts) zur Generierung von Antworten.

Datenschutz & Training: Wir nutzen die Business-Schnittstelle ("Enterprise API"). OpenAI verwendet die über diese Schnittstelle gesendeten Daten nicht zum Training seiner KI-Modelle ("Zero-Training-Policy"). Die Daten werden nach einer kurzen Haltedauer (Retention Period von 30 Tagen) gelöscht.

Drittlandtransfer: OpenAI ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.

Datenschutzerklärung: OpenAI Datenschutzerklärung

6. Interne Verwaltung & Organisation

Microsoft OneDrive for Business

Zur Verwaltung von Verträgen, Angeboten und für unsere interne Organisation nutzen wir Cloud-Dienste der Microsoft Ireland Operations Ltd. (OneDrive for Business).

Zweck: Speicherung interner Geschäftsunterlagen.

Serverstandort: Die Daten werden auf Servern in der EU gespeichert.

Drittlandtransfer: Soweit Daten in die USA übermittelt werden (z.B. an den Mutterkonzern Microsoft Corp.), stützt sich dies auf das EU-US Data Privacy Framework (DPF).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung zur Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an einer effizienten und sicheren Dokumentenverwaltung).

Datenschutzerklärung: Microsoft-Datenschutzbestimmungen

Zoho

Für unseren geschäftlichen E-Mail-Verkehr sowie den automatisierten Versand von Systembenachrichtigungen (z. B. Lead-Bestätigungen) nutzen wir die Dienste der Zoho Corporation B.V. (Beneluxlaan 4B, 3527 HS Utrecht, Niederlande).

Zweck: Verwaltung von E-Mail-Postfächern, Empfang und Versand von Nachrichten sowie technischer Versand von Transaktions-E-Mails (SMTP).

Serverstandort: Die Daten werden in Rechenzentren innerhalb der Europäischen Union (EU) gehostet.

Drittlandtransfer: Soweit im Rahmen von Support- oder Wartungsarbeiten ein Zugriff durch den Mutterkonzern (Zoho Corporation Pvt. Ltd., Indien / USA) erfolgt, ist dies durch Standardvertragsklauseln (SCCs) sowie ergänzende Sicherheitsmaßnahmen abgesichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an einer effizienten Kommunikationsinfrastruktur) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung per E-Mail).

Datenschutzerklärung: Zoho Zusammenfassung unserer Datenschutzrichtlinie

7. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 17. Dezember 2025. Wir behalten uns vor, die Datenschutzerklärung zu gegebener Zeit zu aktualisieren, um den Datenschutz zu verbessern und/oder an geänderte Behördenpraxis oder Rechtsprechung anzupassen.