Datenschutzerklärung

Sie haben die Möglichkeit, sich auf unserer Plattform als Nutzerin zu registrieren, um alle Funktionen von ChatPoint nutzen zu können. Im Rahmen der Registrierung erheben wir die notwendigen Daten (wie Name, E-Mail, Telefonnummer und ein Passwort). Die Angabe dieser Informationen ist freiwillig; ohne die als Pflichtfeld gekennzeichneten Daten ist jedoch die Kontoerstellung und Nutzung der Plattform nicht möglich. Wir verwenden die Registrierungsdaten ausschließlich zur Durchführung des Nutzungsverhältnisses und zur Bereitstellung unserer Dienste (Art. 6 Abs. 1 lit. b DSGVO). Für die technische Umsetzung und Verwaltung des Registrierungs- und Login-Prozesses nutzen wir den externen Identitätsdienst Clerk, Inc., 548 Market St, San Francisco, CA 94104, USA. Clerk ist auf sichere Nutzer-Authentifizierung spezialisiert und verarbeitet Ihre Registrierungs- und Login-Daten (z. B. E-Mail-Adresse, Passwort, Auth-Token, Session-Daten) in unserem Auftrag zu diesem Zweck. Mit Clerk haben wir einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen. Clerk ist zudem unter dem EU–U.S. Data Privacy Framework (DPF) zertifiziert und bietet hierdurch ein von der EU-Kommission anerkanntes angemessenes Datenschutzniveau gem. Art. 45 DSGVO. Weitere Details finden Sie in der Datenschutzerklärung von Clerk. Interne Zugriffsbeschränkung: Auf Ihre im Nutzerkonto hinterlegten personenbezogenen Daten haben bei uns nur berechtigte Mitarbeiter Zugriff, die diese zur Erfüllung unserer vertraglichen Pflichten und für Support-Zwecke benötigen (z. B. Kundenservice oder IT-Wartung). Unsere Buchhaltung erhält ggf. Zugriff auf abrechnungsrelevante Informationen, soweit dies zur Rechnungsstellung oder Finanzbuchhaltung nötig ist. Konto löschen: Die Löschung Ihres Benutzerkontos ist jederzeit möglich. Sie können hierzu entweder eine entsprechende Funktion in der Plattform nutzen (sofern vorhanden) oder uns eine Mitteilung an die oben genannten Kontaktadressen senden. Im Falle einer Kontolöschung werden wir sämtliche im Rahmen des Kontos gespeicherten personenbezogenen Daten entfernen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Chat-Inhalte, die Sie erstellt haben, werden entweder ebenfalls gelöscht oder – falls Sie das System innerhalb eines Unternehmens genutzt haben – dem Administrator des Unternehmenskontos zur weiteren Verwaltung überlassen. Nähere Informationen zum Thema Speicherdauer finden Sie in Abschnitt 8 dieser Erklärung.

Soweit wir Dienstleister mit Sitz außerhalb der Europäischen Union bzw. des EWR einsetzen, informieren wir Sie hierüber und treffen gemäß Art. 44 ff. DSGVO besondere Maßnahmen, um ein angemessenes Datenschutzniveau sicherzustellen. Im Rahmen von ChatPoint betrifft dies insbesondere Datenübermittlungen in die USA bei der Nutzung der Dienste Clerk, OpenAI und Twilio. Für Clerk und Twilio liegt durch deren Teilnahme am EU–US Data Privacy Framework ein Angemessenheitsbeschluss der EU-Kommission vor, d. h. Datenübertragungen an diese Unternehmen sind nach Art. 45 DSGVO zulässig. Bei OpenAI und ggf. anderen US-Diensten, die nicht unter dem DPF zertifiziert sind, stützen wir die Übermittlung auf die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO, die vertraglich garantieren, dass ein der EU vergleichbares Datenschutzniveau eingehalten wird. Wo erforderlich, holen wir zudem Ihre Einwilligung ein, bevor personenbezogene Daten in ein Drittland übermittelt werden (Art. 49 Abs. 1 lit. a DSGVO). Sie können bei uns weitergehende Informationen zu den konkreten Garantien für den Drittlandtransfer sowie eine Kopie der vereinbarten Schutzmaßnahmen anfordern (Art. 13 Abs. 1 lit. f DSGVO).

Unsere Website und Plattform verwenden Cookies und ggf. ähnliche Technologien (wie lokale Storage oder Web Beacons), um die Nutzung bestimmter Funktionen zu ermöglichen oder zu analysieren.

7.1 Was sind Cookies?

Cookies sind kleine Textdateien, die auf Ihrem Computer oder Mobilgerät gespeichert werden. Sie helfen uns, Ihre Einstellungen zu speichern und die Nutzung unserer Website zu analysieren.

7.2 Welche Arten von Cookies setzen wir ein?

Wir nutzen aktuell vor allem technisch notwendige Cookies, um den Betrieb unserer Plattform zu gewährleisten. Im Detail:

Notwendige Cookies (technisch erforderlich):

Diese Cookies sind unerlässlich, um grundlegende Funktionen der Plattform und Website bereitzustellen. Dazu zählen beispielsweise Session-Cookies für den Login-Prozess, die Navigation oder den Zugriff auf geschützte Bereiche. Ohne diese Cookies kann die Website/Plattform nicht ordnungsgemäß funktionieren.

Funktionale Cookies:

Diese speichern von Ihnen getroffene Einstellungen (z. B. Spracheinstellungen) oder andere Anpassungen und tragen so zu einer verbesserten Benutzerfreundlichkeit bei. Sie werden ebenfalls nur solange vorgehalten, wie sie für den Zweck notwendig sind (oft bis zum Ende der Sitzung oder bis zur Änderung der Einstellung).

Analyse- und Statistik-Cookies:

Solche Cookies ermöglichen es uns, Informationen über das Nutzungsverhalten auf unserer Website zu sammeln – z. B. welche Seiten besonders häufig besucht werden oder ob Fehlermeldungen auftreten. Dadurch helfen sie uns, unser Angebot zu optimieren. Wir setzen derartige Cookies derzeit nur ein, wenn Sie zuvor Ihre ausdrückliche Einwilligung erteilt haben. (Derzeit wird auf ChatPoint allerdings kein externes Webanalyse-Tool wie Google Analytics o. ä. aktiv verwendet. Sollte sich dies in Zukunft ändern, würden wir vorab Ihre Einwilligung einholen.)

Marketing- und Retargeting-Cookies:

Diese Cookies würden dazu dienen, Nutzern ggf. interessenbezogene Inhalte oder Werbung anzuzeigen, auch außerhalb unserer Website, und stammen häufig von Drittanbietern. Aktuell verwenden wir keine solchen Marketing-Cookies auf unserer Plattform. Falls wir künftig Marketing- oder Werbe-Cookies einsetzen, geschieht dies nur nach Ihrer vorherigen Einwilligung.

Einige Cookies bleiben nur für die Dauer Ihrer Sitzung aktiv (Session-Cookies) und werden danach automatisch gelöscht; andere können über die Sitzung hinaus auf Ihrem Gerät gespeichert bleiben (persistente Cookies), bis sie ein programmiertes Ablaufdatum erreichen oder von Ihnen manuell gelöscht werden.

7.3 Cookie-Einwilligung und Verwaltung:

Technisch nicht notwendige Cookies (insbesondere zu Analyse- oder Marketingzwecken) setzen wir nur mit Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG. Bei Ihrem ersten Besuch – und gegebenenfalls in regelmäßigen Abständen – bitten wir Sie daher ggf. über ein Cookie-Banner um Ihre Zustimmung, falls solche Cookies verwendet werden sollen. Ihre einmal erteilte Einwilligung können Sie jederzeit über unsere Website oder die Browsereinstellungen mit Wirkung für die Zukunft widerrufen (siehe dazu auch Recht auf Widerruf in Abschnitt 10). Die technisch erforderlichen Cookies setzen wir auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), um Ihnen die Website und Dienste sicher und funktional bereitzustellen. Diese Cookies können Sie über die Browser-Einstellungen deaktivieren oder löschen; beachten Sie jedoch, dass dadurch die Nutzung der Plattform eingeschränkt oder unmöglich werden kann. Hinweis: Aktuell kommt noch kein vollumfängliches Consent-Management-Tool (CMP) auf unserer Website zum Einsatz, da wir – wie oben beschrieben – derzeit ausschließlich notwendige Cookies nutzen und auf optionale Tracking-Dienste verzichten. Sollte sich dies ändern (z. B. Einführung von Analysetools), werden wir ein entsprechendes Einwilligungs- und Verwaltungswerkzeug integrieren, um Ihre Präferenzen zu erfassen.

Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie dies zur Erreichung der jeweiligen Verarbeitungszwecke erforderlich ist. Im Einzelnen gelten derzeit folgende Grundsätze:

Nutzungs- und Kontodaten:

Daten, die mit Ihrem Benutzerkonto und der Bereitstellung der Plattform zusammenhängen (z. B. Ihre Registrierungsdaten, Kommunikationsinhalte, Kundendaten, Metadaten), speichern wir für die Dauer Ihres Nutzungsverhältnisses. Derzeit ist keine automatische Löschfrist für diese Daten gesetzt – das heißt, die Speicherung erfolgt vorerst zeitlich unbegrenzt, damit Sie bei langfristiger Nutzung jederzeit auf frühere Inhalte (Chat-Historie etc.) zugreifen können. Auf Wunsch nehmen wir jedoch eine Löschung oder Anonymisierung bestimmter Daten vor, sofern keine rechtlichen Aufbewahrungspflichten entgegenstehen. Sie haben zudem jederzeit die Möglichkeit, Ihr Konto (und damit alle personenbezogenen Daten darin) zu löschen – siehe Abschnitt 4. Zukünftig behalten wir uns vor, geregelte Speicherfristen einzuführen oder ältere Daten zu archivieren/entfernen, um aktuellen Anforderungen oder gesetzlichen Vorgaben gerecht zu werden.

Kommunikationsinhalte über externe Kanäle:

Nachrichten, die über Plattform-Integrationen wie WhatsApp versendet wurden, können beim Empfänger (z. B. auf dessen WhatsApp-Gerät oder -Konto) weiterhin gespeichert bleiben, selbst wenn wir sie bei uns löschen. Darauf haben wir keinen Einfluss. Bei uns gespeicherte Kopien solcher Nachrichten unterliegen jedoch den oben genannten Regelungen und können auf Verlangen entfernt werden. Beachten Sie, dass eine endgültige Löschung in verteilten Systemen und Backups technisch bedingte Zeit in Anspruch nehmen kann.

Kontaktanfragen und Support-Daten:

Informationen aus Kommunikation mit Ihnen außerhalb der Plattform (z. B. Support-E-Mails oder Kontaktformular-Anfragen) werden nach Bearbeitung Ihrer Anfrage routinemäßig gelöscht. Spätestens nach 7 Tagen werden solche Daten entfernt, sofern keine weitere Notwendigkeit zur Speicherung besteht. Ausnahmen gelten, wenn die Korrespondenz in Zusammenhang mit einem Vertragsverhältnis steht oder gesetzliche Aufbewahrungsfristen greifen – dann bewahren wir die relevanten Daten entsprechend den Vorgaben (z. B. 6 bzw. 10 Jahre nach Handels- und Steuerrecht) auf. Während dieser Frist werden die Daten gesperrt und nur für Archiv- bzw. gesetzliche Zwecke weiterverarbeitet. Nach Ablauf der Fristen erfolgt eine automatische Löschung.

Logfiles:

Wie in Abschnitt 2 beschrieben, werden technische Protokolldaten über Website-Zugriffe nur kurzfristig (aktuell bis zu 7 Tage) vorgehalten und dann gelöscht, sofern kein Sicherheitsvorfall eine längere Aufbewahrung erfordert.

Wir treffen umfangreiche technische und organisatorische Maßnahmen (TOMs), um Ihre personenbezogenen Daten vor den Risiken des Verlusts, des Missbrauchs, unbefugter Zugriffe oder unzulässiger Offenlegung zu schützen. Diese Maßnahmen werden entsprechend dem aktuellen Stand der Technik und den regulatorischen Anforderungen regelmäßig überprüft und bei Bedarf angepasst. Zu den wichtigsten Sicherheitsmaßnahmen zählen unter anderem:

Verschlüsselung:

Alle vertraulichen Datenübertragungen zwischen Ihrem Browser/Endgerät und unseren Servern erfolgen verschlüsselt (SSL/TLS-Technologie), um zu verhindern, dass Dritte die Daten mitlesen können. Sensible Daten werden – wo immer möglich – auch in unserer Datenbank verschlüsselt oder pseudonymisiert gespeichert.

Zugriffsbeschränkungen:

Der interne Zugriff auf personenbezogene Daten ist streng auf diejenigen Personen beschränkt, die diesen für ihre Aufgabenerfüllung benötigen (Prinzip der minimalen Rechtevergabe). Mitarbeiter, die mit personenbezogenen Daten arbeiten, sind auf das Datengeheimnis verpflichtet worden und regelmäßig im Datenschutz geschult. Zugriff auf Systeme und Daten ist nur nach Authentifizierung möglich; wo angebracht, kommen Mehr-Faktor-Authentifizierung und regelmäßige Passwortwechsel zum Einsatz.

Datensicherheit und -integrität:

Wir verwenden Firewall- und Monitoring-Systeme, um unsere IT-Infrastruktur vor Angriffen zu schützen, und erstellen regelmäßige Backups, um Daten vor Verlust zu bewahren. Es existieren Verfahren für das Patch-Management (regelmäßige Aktualisierung von Software und Sicherheitspatches) sowie für die Zugriffskontrolle (u. a. Protokollierung von Administratorzugriffen).

Regelmäßige Überprüfung:

Wir führen in angemessenen Abständen Sicherheitsüberprüfungen durch, um die Effektivität der TOMs zu kontrollieren und Schwachstellen zu beheben. Bitte beachten Sie, dass trotz aller Bemühungen kein IT-System absolute Sicherheit bieten kann. Wir verbessern jedoch kontinuierlich unsere Sicherheitsstandards, um Ihre Daten bestmöglich zu schützen.

Als von einer Datenverarbeitung betroffene Person stehen Ihnen nach der DSGVO die folgenden Rechte zu. Zur Ausübung Ihrer Rechte können Sie sich jederzeit über die oben angegebenen Kontaktdaten an uns wenden:

Recht auf Auskunft (Art. 15 DSGVO):

Sie haben das Recht, von uns eine Bestätigung darüber zu erhalten, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, können Sie Auskunft über diese Daten und weitere Informationen zur Verarbeitung (Zwecke, Kategorien, Empfänger, Speicherdauer etc.) verlangen. Sie erhalten auf Wunsch eine Kopie der Daten, die Gegenstand der Verarbeitung sind.

Recht auf Berichtigung (Art. 16 DSGVO):

Sie können unverzüglich die Berichtigung Sie betreffender unrichtiger oder unvollständiger personenbezogener Daten verlangen. Wenn Daten unvollständig sind, haben Sie das Recht auf Vervollständigung (auch mittels einer ergänzenden Erklärung).

Recht auf Löschung (Art. 17 DSGVO):

Sie sind berechtigt, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Dies ist z. B. der Fall, wenn der Verarbeitungszweck weggefallen ist und keine anderweitige Rechtsgrundlage (etwa gesetzliche Aufbewahrungspflichten) mehr besteht, wenn Sie eine erteilte Einwilligung widerrufen und es an einer anderweitigen Berechtigung fehlt, oder wenn wir Daten unrechtmäßig verarbeitet haben. Bitte beachten Sie, dass das Löschungsrecht eingeschränkt sein kann, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO):

Sie haben das Recht, in bestimmten Fällen die Einschränkung der Verarbeitung Ihrer Daten zu verlangen. Beispielsweise können Sie die Nutzung Ihrer Daten vorläufig sperren lassen, solange wir die Richtigkeit Ihrer Angaben überprüfen, oder wenn Sie anstelle einer Löschung (bei unrechtmäßiger Verarbeitung) nur eine eingeschränkte Nutzung wünschen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO):

Sie können verlangen, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Auf Ihren Wunsch – und soweit technisch machbar – werden wir diese Daten auch direkt an einen von Ihnen benannten Dritten übertragen. Dieses Recht gilt, wenn die Verarbeitung auf Ihrer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.

Recht auf Widerspruch (Art. 21 DSGVO):

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, sofern wir diese auf Grundlage von Art. 6 Abs. 1 lit. e oder lit. f DSGVO (öffentliche Aufgabe oder berechtigtes Interesse) verarbeiten. Im Falle Ihres Widerspruchs werden wir Ihre Daten nicht weiterverarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe dafür nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 21 Abs. 1 DSGVO).

Widerspruch gegen Direktwerbung: Falls wir Ihre Daten im Einzelfall für Direktwerbung verwenden sollten, haben Sie das Recht, dieser Nutzung jederzeit ohne Angabe von Gründen zu widersprechen (Art. 21 Abs. 2 DSGVO); im Falle eines Widerspruchs gegen Werbezwecke werden wir die betroffenen Daten nicht mehr dafür verwenden.

Recht auf Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO):

Wenn wir Ihre personenbezogenen Daten auf Grundlage einer von Ihnen erteilten Einwilligung verarbeiten, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs. Nach einem Widerruf werden wir die betroffenen Datenverarbeitungen einstellen, sofern keine andere Rechtsgrundlage eingreift. Beispiele: Sie können eine erteilte Zustimmung zum Erhalt eines Newsletters zurückziehen oder die Einwilligung in optionales Tracking über unsere Cookie-Verwaltung widerrufen (siehe Abschnitt 7.3).

Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO):

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, steht Ihnen das Beschwerderecht zu. Sie können sich damit an eine Datenschutzaufsichtsbehörde wenden, insbesondere in dem EU-Mitgliedstaat Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. In Deutschland ist z. B. für uns die Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zuständig. Die Anschrift lautet: Promenade 27, 91522 Ansbach. Alternativ können Sie auch jede andere zuständige Behörde kontaktieren.

Wir legen großen Wert darauf, Ihre Anliegen und Rechte zeitnah zu bearbeiten. Zur Wahrnehmung Ihrer Rechte können Sie uns formfrei kontaktieren. Bitte beachten Sie, dass wir gegebenenfalls zusätzliche Informationen zur Bestätigung Ihrer Identität anfordern, um unbefugten Zugriff auf Ihre Daten zu verhindern.