Datenschutzerklärung
1. Datenschutz auf einen Blick
Die folgenden Hinweise geben Ihnen einen Überblick, was mit Ihren personenbezogenen Daten geschieht, wenn Sie diese Website besuchen. Personenbezogen sind alle Daten, mit denen Sie persönlich identifiziert werden können.
2. Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO i. V. m. § 38 BDSG nicht bestellt, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei datenschutzrechtlichen Anfragen wenden Sie sich direkt an: info@bot-agent.de
3. Verantwortlicher
Stanislav Tonkich
Richard-Wagner-Str. 33
94060 Pocking, Deutschland
E-Mail: info@bot-agent.de
Telefon: siehe Impressum
4. Hosting
Diese Website wird bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet. Der Serverstandort ist Nürnberg, Deutschland (Rechenzentrum nbg1). Bei Aufruf der Website werden automatisch Informationen (IP-Adresse, Browsertyp, Betriebssystem, Referrer URL, Uhrzeit) in Server-Log-Dateien erfasst. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technisch fehlerfreier Darstellung). Die Datenverarbeitung des Hostings erfolgt ausschließlich auf Servern in Deutschland. Ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO wurde mit Hetzner geschlossen.
5. Datenerfassung auf dieser Website
Kontaktformular
Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben (Name, E-Mail, Nachricht, optional: Firmenname, Telefon) zwecks Bearbeitung der Anfrage bei uns gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Die Daten werden gelöscht, sobald der Zweck der Speicherung entfällt.
Server-Log-Dateien
Der Provider erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt: Browsertyp und -version, Betriebssystem, Referrer URL, Hostname, Uhrzeit der Serveranfrage, IP-Adresse. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.
Rechtsgrundlagen (Übersicht)
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO, § 147 AO).
6. KI-Einsatz und Datenverarbeitung durch Dritte
Zur Erbringung unserer Dienstleistungen (KI-gestützte Automatisierungen, Content-Generierung, Workflow-Orchestrierung) setzen wir KI-Systeme und externe Auftragsverarbeiter ein. Im Rahmen dieser Nutzung werden Geschäftsdaten an folgende Auftragsverarbeiter übermittelt:
KI-Werkzeuge (Modell-Anbieter):
- Anthropic, PBC (San Francisco, USA) – KI-Verarbeitung (Claude API), Textanalyse und Generierung; DPA + EU-Standardvertragsklauseln (SCC)
- OpenAI Ireland Ltd. (IE/USA) – KI-Verarbeitung (GPT, DALL-E, Whisper-API); DPA + EU-Standardvertragsklauseln (SCC), Zero-Data-Retention für API-Nutzung
- Google Ireland Ltd. (IE/USA) – KI-Verarbeitung (Gemini-API für ausgewählte Workflows); DPA + EU-Standardvertragsklauseln (SCC)
Infrastruktur und Operations:
- Hetzner Online GmbH (Gunzenhausen / Nürnberg, Deutschland) – Hosting + Server-Infrastruktur, einschließlich der selbst betriebenen Anwendungen (CRM, Workflow-Automatisierung). Alle Daten verbleiben in Deutschland (kein Drittlandtransfer).
- Sendinblue SAS (Brevo)(55 Rue d'Amsterdam, 75008 Paris, Frankreich – EU) – E-Mail-Marketing, Newsletter mit Double-Opt-In, automatisierte E-Mail-Sequenzen sowie Versand der PDF-Berichte aus den kostenlosen Online-Tools. Verarbeitung ausschließlich in EU-Rechenzentren; kein Drittlandtransfer. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wurde mit Brevo abgeschlossen; das Data Processing Agreement ist unter brevo.com/legal/termsofuse einsehbar.
- Selbst betriebenes CRM-System (EspoCRM) (Open-Source, selbst gehostet auf Hetzner-Server in Deutschland) – Lead- und Kontakt-Management (keine externe Auftragsverarbeitung im Sinne des Art. 28 DSGVO – wir sind zugleich Betreiber dieser Anwendung; die zugrunde liegende Infrastruktur ist über den AVV mit Hetzner abgedeckt)
- Selbst betriebene Workflow-Automatisierung (n8n) (Open-Source, selbst gehostet auf Hetzner-Server in Deutschland) – Workflow-Orchestrierung (Lead-Scoring, Drip-Sequenzen, Datenflüsse zwischen Kontaktformularen, Tools, externem E-Mail-Dienst und CRM; technisches Monitoring; keine externe Auftragsverarbeitung)
- Resend (Plus Five Five, Inc.) (San Francisco, USA) – Versand transaktionaler Plattform-E-Mails (Bestellbestätigungen, Rechnungen, System-Benachrichtigungen); DPA + EU-Standardvertragsklauseln (SCC)
- Sentry (Functional Software, Inc.) (San Francisco, USA; Verarbeitung in EU-Region Frankfurt) – Error Monitoring und Performance Tracking; DPA + EU-Standardvertragsklauseln (SCC)
Telefonischer KI-Assistent „BotAgent" (Voice Agent — siehe Ziffer 8):
- Vapi, Inc. (San Francisco, USA) — Voice-AI-Plattform für die telefonische Erstkommunikation (Call-Routing, Gesprächs-Orchestrierung, Speech-to-Text, Audio-Recording-Storage 14 Tage, danach automatische Löschung)
- ElevenLabs, Inc. (New York, USA) — Text-to-Speech-Stimmsynthese für den KI-Assistenten; keine Anrufer-PII wird übertragen — nur der generierte Antwort-Text
- OpenAI Ireland Ltd. (2nd Floor, Textile House, Abbey Street Middle, Dublin 1, Irland – Sub-Prozessor über Vapi, Inc.) – LLM (GPT-4o) für Antwortgenerierung im Voice Agent; Zero-Retention-API, kein Modell-Training auf Kundendaten; EU-Standardvertragsklauseln + EU-US Data Privacy Framework
- sipgate GmbH (Düsseldorf, Deutschland) – VoIP-Telefonie (alleiniger Telefonie-Provider, Geschäfts-Anschluss geplant nach UG-Eintrag); kein Drittlandtransfer
Drittlandtransfer in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie — soweit vorhanden — des EU-US Data Privacy Framework. Mit Vapi und ElevenLabs bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO (Vertragsannahme mit Plattform-Registrierung; vollständige DPA-Texte einsehbar unter vapi.ai/legal/dpa und elevenlabs.io/dpa). Die Telefonie für den Voice Agent erfolgt ausschließlich über die sipgate GmbH (Deutschland) — kein Drittlandtransfer. Details zu Aufbewahrungsdauer und Einwilligungsverfahren siehe Ziffer 8.
Interne Content-Generierung (Blog blog.bot-agent.de):
- OpenRouter, Inc. (Wilmington, DE, USA) — LLM-Gateway für interne Blog-Themen- und Textgenerierung im n8n-Workflow; keine Kunden-/Endkunden-PII wird übertragen — nur Themen, Keywords und Stil-Vorgaben
- KIE.ai (USA) — KI-Bildgenerierung für Blog-Header und Inline-Illustrationen im n8n-Workflow; keine personenbezogenen Daten — nur Text-Prompts
Drittlandtransfer in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Da ausschließlich Geschäftsdaten (Themen, Stil, Bildbeschreibungen) übertragen werden, ist das datenschutzrechtliche Risiko gering.
Zahlungsabwicklung: Aktuell findet keine Zahlungsverarbeitung über die Website statt. Bei Inbetriebnahme des Zahlungssystems wird die Datenschutzerklärung um folgende Auftragsverarbeiter ergänzt — die Information erfolgt vor Aktivierung:
- Mollie B.V. (Amsterdam, Niederlande) — Zahlungsabwicklung (Karten, SEPA, Sofortüberweisung)
- PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxemburg) — PayPal-Zahlungen
- Haufe-Lexware GmbH & Co. KG (Freiburg, Deutschland) — Rechnungsstellung (lexoffice), GoBD-konforme Buchhaltung, DATEV-Export für Steuerberater
Alle drei vorgesehenen Anbieter haben ihren Sitz innerhalb der EU; ein Drittlandtransfer findet nicht statt.
Es werden ausschließlich Geschäftsdaten verarbeitet (Firmenname, Business-DNA, Marketingkennzahlen, Workflow-Konfigurationen). Personenbezogene Daten Ihrer Endkunden werden nicht ohne separate vertragliche Grundlage an KI-Systeme übermittelt. Gemäß Art. 50 der EU-KI-Verordnung (Verordnung (EU) 2024/1689) weisen wir transparent auf den KI-Einsatz hin. Die KI dient als automatisiertes Hilfsmittel – nicht als alleinige Entscheidungsinstanz.
6a. Information über neue Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO)
Sofern wir personenbezogene Daten im Auftrag eines Kunden verarbeiten (Auftragsverarbeitung gemäß Art. 28 DSGVO, geregelt im jeweiligen Auftragsverarbeitungs-Vertrag), informieren wir den Auftraggeber mindestens 10 Tage im Voraus in Textform (E-Mail genügt) über die Beauftragung neuer Unter-Auftragsverarbeiter — insbesondere bei:
- Wechsel oder Ergänzung von KI-Modell-Anbietern (z. B. neuer LLM-Provider für Automatisierungen oder Voice Agent)
- Wechsel oder Ergänzung von Hosting- oder Speicher-Anbietern
- Wechsel oder Ergänzung von E-Mail-, Voice- oder Monitoring-Dienstleistern, soweit diese personenbezogene Daten verarbeiten
- Verlagerung der Verarbeitung in ein anderes Land
Der Auftraggeber kann innerhalb dieser Frist in Textform an datenschutz@bot-agent.de widersprechen, wenn berechtigte Datenschutzbedenken bestehen. Wir bemühen uns nach Treu und Glauben um eine einvernehmliche Lösung. Kommt diese nicht zustande, kann der Auftraggeber den betroffenen Dienstanteil kündigen.
Diese Regelung gilt zusätzlich zu den Informationspflichten aus Art. 13/14 DSGVO gegenüber den betroffenen Personen und ergänzt etwaige Subprozessor-Listen im jeweiligen AVV.
7. Kostenlose Online-Tools (Diagnose-Module)
Auf eigenen Subdomains von bot-agent.de stellen wir mehrere kostenlose Online-Diagnose-Module bereit (z. B. Automation-Check, Agent-Readiness-Check, Chatbot-Check, DSGVO-Check, ROI-Check). Sie dienen als vorvertragliche Informations- und Bewertungs-Hilfen für Geschäftskunden („Lead-Magneten“) und stehen ausschließlich Unternehmern im Sinne des § 14 BGB zur Verfügung.
Funktionsweise: Der Nutzer gibt geschäftliche Daten ein (Branche, Geschäftsbereich, ggf. konkrete Use Cases, Website-URL). Die Eingabedaten werden serverseitig analysiert. Anschließend gibt der Nutzer seine geschäftliche E-Mail-Adresse an, um den vollständigen PDF-Bericht zu erhalten. Der Bericht wird über Brevo als E-Mail-Anhang an die angegebene Adresse versandt; ein Lead-Datensatz wird in unserem selbst betriebenen CRM-System (EspoCRM) angelegt und über die selbst betriebene Workflow-Automatisierung (n8n) gegebenenfalls einer Drip-Sequenz zugeführt (nach gesondertem Double-Opt-In).
Datenkategorien: geschäftliche Eingabedaten (Branche, Bereich, Use Cases, Website-URL, Mitarbeiterzahl-Range); geschäftliche E-Mail-Adresse; optional: Firmenname, Ansprechpartner; technisch: IP-Adresse, Zeitstempel, User-Agent (Rate-Limit-/Missbrauchs-Schutz).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen auf Anfrage des Nutzers); für weiterführende E-Mail-Sequenzen (Drip, Newsletter): Art. 6 Abs. 1 lit. a DSGVO (gesonderter Double-Opt-In erforderlich); für Rate-Limit-/Missbrauchsschutz: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).
Speicherdauer: Tool-Eingabedaten werden nach 30 Tagen aus den Tool-Logs gelöscht. Der Lead-Datensatz in EspoCRM bleibt bis zum Widerruf bzw. spätestens 24 Monaten Inaktivität gespeichert.
Sicherheitsmaßnahmen: Honeypot-Feld zur Bot-Abwehr, Rate-Limit (max. 10 Analysen / 3 PDF-Anfragen pro Minute und IP), ausschließliche Übertragung via HTTPS (TLS), keine Weitergabe der Eingabedaten an Dritte über die in Ziffer 6 genannten Auftragsverarbeiter hinaus.
KI-Transparenz (Art. 50 EU AI Act):Module mit KI-Komponente werden im erzeugten PDF-Bericht entsprechend gekennzeichnet („KI-gestützt erstellt · fachlich geprüft“).
8. Telefonischer KI-Assistent „BotAgent" (Voice Agent)
Unter unserer geschäftlichen Rufnummer setzen wir zur Erstkommunikation einen KI-gestützten Sprachassistenten („BotAgent") ein. Anrufer werden zu Beginn jedes Gesprächs transparent informiert, dass sie mit einem KI-System sprechen (Art. 50 Abs. 1 EU-KI-Verordnung). Der Assistent qualifiziert Interessenten und übergibt komplexe Anfragen an einen menschlichen Ansprechpartner. Der Voice Agent schließt keine Verträge ab und gibt keine rechtsverbindlichen Auskünfte.
Information bei Anrufbeginn (Art. 14 DSGVO): Da die Telefonnummer des Anrufers (Caller-ID) und der Gesprächsinhalt ohne vorherige Eingabe auf der Website erhoben werden, erfolgt die Information nach Art. 14 DSGVO durch eine automatisierte Ansage zu Beginn jedes Anrufs mit folgendem Mindestinhalt: (1) Identität des Verantwortlichen (Stanislav Tonkich / Bot-Agent), (2) Hinweis, dass es sich um ein KI-System handelt (Art. 50 EU AI Act), (3) Zweck der Verarbeitung (Erstqualifikation, Vertragsanbahnung), (4) Rechtsgrundlage (Art. 6 Abs. 1 lit. b DSGVO für die geschäftliche Anbahnung; Art. 6 Abs. 1 lit. a DSGVO für die optionale Audioaufnahme), (5) Hinweis auf die vorliegende Datenschutzerklärung sowie (6) Hinweis auf die Betroffenenrechte (siehe Abschnitt 12).
Was verarbeitet wird:
- Telefonnummer (Caller ID — vom Anrufer selbst übermittelt)
- Gesprächsinhalt als Transkript (Text, nicht dauerhaft als Audiodatei ohne Ihre ausdrückliche Einwilligung)
- Aus dem Gespräch abgeleitete Informationen: Interesse an Tarifen, Branche, Anliegen, Kontaktdaten (E-Mail, Firmenname, Rückrufzeitpunkt)
- Optional und nur mit ausdrücklicher Einwilligung: Audioaufzeichnung des Gesprächs zur Qualitätssicherung
Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) — für die aus dem Gespräch abgeleiteten geschäftsrelevanten Daten (Tarif-Interesse, Branche, Kontaktdaten, Anliegen) sowie für die inhaltliche Zusammenfassung des Anliegens. Diese Daten werden unabhängig von der Audio-Einwilligung verarbeitet, da sie zur Bearbeitung der Anfrage erforderlich sind.
- Art. 6 Abs. 1 lit. a DSGVO + § 201 StGB (Einwilligung) — für Audio-Aufzeichnung und wörtliches Volltext-Transkript zur Qualitätssicherung. Die Einwilligung wird zu Beginn des Gesprächs mündlich erfragt und kann jederzeit widerrufen werden. Bei verweigerter Einwilligung erfolgt keine Audioaufzeichnung und kein Volltext-Transkript; lediglich eine inhaltliche Zusammenfassung der geschäftlich relevanten Punkte wird zur Lead-Bearbeitung gespeichert.
- Art. 50 EU AI Act — KI-Transparenz durch Ansage zu Gesprächsbeginn („Sie sprechen mit einem KI-Assistenten")
Aufbewahrungsdauer:
- Audioaufzeichnungen: 14 Tage automatische Löschung bei Vapi (Pay-As-You-Go-Standard-Retention; keine eigene Kopie wird erstellt)
- Transkripte und Zusammenfassungen: 180 Tage Auto-Delete (begründet durch typischen Verkaufszyklus 60–120 Tage; bei verweigerter Aufzeichnungseinwilligung sofortige Löschung)
- Lead-Daten (Kontaktdaten, Tarif-Interesse, Anliegen): bis zum Widerruf der Verarbeitung bzw. spätestens 24 Monate Inaktivität
- Vapi-Logs (technische Anruf-Metadaten): 30 Tage
Eingesetzte Auftragsverarbeiter:
Vapi, Inc., ElevenLabs, Inc. und OpenAI, Inc. (Sub-Prozessor via Vapi) — alle USA, Standardvertragsklauseln gemäß Art. 46 DSGVO — sowie sipgate GmbH (Düsseldorf, Deutschland — alleiniger Telefonie-Provider, kein Drittlandtransfer). Details siehe Ziffer 6 oben.
Datenschutz-Folgenabschätzung (DPIA): Vor Inbetriebnahme des Voice Agent wurde eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt. Sie identifiziert 11 Risikofelder und dokumentiert die ergriffenen technischen, organisatorischen und vertraglichen Maßnahmen. Das interne Dokument liegt zur Vorlage bei der zuständigen Aufsichtsbehörde (BayLDA) bereit. Eine Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO war nicht erforderlich (Restrisiko nach Maßnahmen: NIEDRIG-MITTEL).
Ihre Rechte: Sie können jederzeit den Widerruf der Aufzeichnungseinwilligung erklären oder Auskunft/Löschung Ihrer gespeicherten Daten verlangen — schriftlich oder per E-Mail an info@bot-agent.de. Wir bearbeiten Ihre Anfrage innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO). Bei Widerruf erfolgt die unverzügliche Löschung der Audio-Aufnahme und des Transkripts in sämtlichen Systemen.
9. Speicherdauer (Übersicht)
Personenbezogene Daten werden nur so lange gespeichert, wie es für die Erfüllung der jeweiligen Zwecke erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO):
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Vertragsdaten (Rechnungen, Aufträge) | Vertragsdauer + 10 Jahre | § 147 AO, § 257 HGB |
| Kommunikationsdaten (E-Mails) | 3 Jahre nach letztem Kontakt | § 195 BGB |
| Business-DNA-Daten (Firmeninformationen) | Vertragsdauer + 90 Tage | Art. 6 Abs. 1 lit. b DSGVO |
| KI-verarbeitete Analyse- und Workflow-Daten | Löschung nach Auftragserstellung bzw. Zero-Retention via API | DPAs der KI-Anbieter |
| Server-Logs (IP, User-Agent, Referrer) | 7 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Google Analytics 4 (nur nach Consent) | 14 Monate | Art. 6 Abs. 1 lit. a DSGVO + § 25 TDDDG |
| Cookie-Consent-Cookie | 12 Monate | § 25 Abs. 2 Nr. 2 TDDDG |
| Resend-Versand-Logs | ~30 Tage | Resend-Standardretention |
| Sentry Error-Events | 30–90 Tage (auto-Löschung) | Sentry-Standardretention |
| Newsletter-/Drip-Daten (Brevo) | Bis Widerruf, anschl. 3 Jahre Sperrliste | Art. 6 Abs. 1 lit. a DSGVO + Nachweispflicht |
| Eingabedaten kostenloser Online-Tools | 30 Tage (Tool-Logs) | Art. 5 Abs. 1 lit. e DSGVO |
| Lead-Datensätze in EspoCRM | Bis Widerruf, max. 24 Monate Inaktivität | Art. 6 Abs. 1 lit. b / lit. f DSGVO |
| n8n-Workflow-Logs | 30 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Voice Agent – Audio-Aufnahmen | 14 Tage (Auto-Delete in Vapi, keine eigene Kopie) | Art. 6 Abs. 1 lit. a DSGVO |
| Voice Agent – Transkripte/Zusammenfassungen | 180 Tage (Auto-Delete) | Art. 6 Abs. 1 lit. b DSGVO |
10. Cookies
Diese Website verwendet Cookies nur mit Ihrer ausdrücklichen Einwilligung (Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO). Beim ersten Besuch wird ein Cookie-Banner angezeigt. Erst nach Zustimmung werden Analyse-Cookies gesetzt. Technisch notwendige Speichertechnologien (localStorage) werden für die Funktionalität der Website eingesetzt und bedürfen keiner Einwilligung (§ 25 Abs. 2 Nr. 2 TDDDG). Ihre Cookie-Einstellungen können Sie jederzeit über das Cookie-Banner widerrufen.
11. Analyse-Tools
Google Tag Manager
Diese Website nutzt den Google Tag Manager (GTM) der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. GTM ist ein technisches Hilfsmittel zur Verwaltung von Website-Tags und setzt selbst keine Cookies. Der GTM-Container wird erst nach Ihrer ausdrücklichen Einwilligung über das Cookie-Banner geladen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung).
Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO: Mit Google Ireland Limited wurde ein Auftragsverarbeitungsvertrag (Data Processing Addendum) abgeschlossen, einsehbar unter business.safety.google/adsprocessorterms. Drittlandtransfer in die USA: Google LLC ist unter dem EU-US Data Privacy Framework (DPF, Adequacy Decision der EU-Kommission vom 10.07.2023) zertifiziert. Zusätzlich liegen EU-Standardvertragsklauseln (SCC, Beschluss 2021/914) vor.
Google Analytics 4
Über den Google Tag Manager wird Google Analytics 4 (GA4) eingebunden. GA4 erfasst anonymisierte Nutzungsdaten (Seitenaufrufe, Verweildauer, Geräteinformationen). Die IP-Anonymisierung ist aktiviert. Die Datenerfassung erfolgt erst nach Ihrer Einwilligung über das Cookie-Banner. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit über das Cookie-Banner widerrufen.
Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO: Für die Nutzung von Google Analytics 4 wurde ein Auftragsverarbeitungsvertrag mit Google Ireland Limited abgeschlossen (Google Ads Data Processing Terms). Die Datenverarbeitung erfolgt in Rechenzentren der Region Europa (europe-west). Für Drittlandtransfer in die USA gilt das EU-US Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln (SCC, Beschluss 2021/914). Die Google-Zertifizierung im DPF ist einsehbar unter dataprivacyframework.gov/list.
11a. Fehler- und Performance-Monitoring (Sentry)
Zur Erkennung, Analyse und Behebung technischer Fehler nutzen wir den Dienst Sentry der Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. Beim Auftreten technischer Fehler werden automatisch folgende Informationen an Sentry übermittelt: Fehlermeldung und Stack Trace, URL der besuchten Seite, Browser-Typ und -Version, Betriebssystem, Bildschirmauflösung und Zeitstempel des Fehlers. Personenbezogene Daten wie IP-Adressen, Cookies oder Eingabefelder werden standardmäßig nicht übertragen (sendDefaultPii: false). Eine optionale Session-Wiederholung wird nur bei Fehlern ausgelöst und maskiert sämtliche Texte, Eingabefelder und Medieninhalte vor der Übertragung.
Datenspeicherung: Die Verarbeitung erfolgt ausschließlich in der EU-Region (Frankfurt am Main, Deutschland). Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wurde mit Sentry abgeschlossen und ist unter sentry.io/legal/dpa einsehbar. Die Datenschutzerklärung von Sentry finden Sie unter sentry.io/privacy.
Speicherdauer: Fehlerdaten werden für maximal 90 Tage gespeichert, Session-Wiederholungen für 30 Tage, anschließend automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer fehlerfreien und sicheren Bereitstellung unserer Website). Sie haben das Recht, dieser Verarbeitung jederzeit zu widersprechen (siehe Abschnitt „Ihre Rechte").
12. Ihre Rechte als betroffene Person (Betroffenenrechte nach DSGVO)
Als von der Datenverarbeitung betroffene Person stehen Ihnen die folgenden Betroffenenrechte zu. Insbesondere haben Sie ein Auskunftsrecht (Art. 15 DSGVO), ein Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO) sowie ein Widerspruchsrecht (Art. 21 DSGVO). Sie haben jederzeit das Recht auf:
- Auskunftsrecht / Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Recht auf Löschung Ihrer Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Widerruf einer Einwilligung jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO). Der Widerruf berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung (Art. 7 Abs. 3 S. 2 DSGVO).
- Keine automatisierte Einzelentscheidung (Art. 22 DSGVO): Wir treffen keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Automatisierte Vorgänge wie Lead-Scoring oder Tarif-Empfehlungen durch n8n-Workflows dienen ausschließlich der internen Priorisierung; die finale Bewertung und Auftragsannahme erfolgt durch den Verantwortlichen persönlich.
Pflicht zur Datenbereitstellung (Art. 13 Abs. 2 lit. e DSGVO): Die Bereitstellung Ihrer Daten bei Nutzung des Kontaktformulars, der Online-Tools oder bei Beauftragung einer Automatisierung ist für die Durchführung vorvertraglicher Maßnahmen bzw. zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Ohne Angabe einer gültigen geschäftlichen E-Mail-Adresse und der jeweils abgefragten geschäftlichen Daten (Business DNA, Plattform-Credentials) ist eine Bearbeitung Ihrer Anfrage bzw. Einrichtung der Automatisierungen nicht möglich. Eine gesetzliche Pflicht zur Datenbereitstellung besteht nicht.
Bitte wenden Sie sich dazu an: info@bot-agent.de. Wir bearbeiten Ihre Anfrage innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).
13. Beschwerderecht
Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de
14. Externe Links
Unser Angebot enthält Links zu externen Webseiten. Wir haben keinen Einfluss auf deren Inhalt und Datenschutzpraktiken. Bitte lesen Sie die jeweiligen Datenschutzerklärungen der verlinkten Seiten.
15. KI-Transparenz nach Art. 50 EU AI Act
Bot-Agent setzt KI-Systeme (u.a. Anthropic, OpenAI, Google) zur Erstellung von Automatisierungen, Inhalten und für den telefonischen KI-Assistenten ein. Im Einklang mit Art. 50 EU AI Act (Verordnung (EU) 2024/1689) wird der KI-Einsatz transparent gemacht:
- Im Footer dieser Website: KI-Hinweis nach Art. 50 EU AI Act
- Im Blog blog.bot-agent.de: Kennzeichnung „KI-unterstützt erstellt · redaktionell geprüft" am Ende jedes Beitrags
- In allen generierten Inhalten: Kennzeichnung als KI-generiert
- Beim Voice Agent: Ansage zu Gesprächsbeginn („Sie sprechen mit einem KI-Assistenten")
- Der Kunde prüft und verantwortet alle generierten Inhalte vor der Veröffentlichung
Die KI-Systeme dienen als automatisiertes Hilfsmittel. Die inhaltliche Letztverantwortung liegt beim jeweiligen Kunden.
16. Datenschutzvorfälle (DSGVO Art. 33/34)
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, melden wir den Vorfall der zuständigen Aufsichtsbehörde (BayLDA) unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO). Bei voraussichtlich hohem Risiko werden die betroffenen Personen ebenfalls unverzüglich benachrichtigt (Art. 34 DSGVO). Wir führen ein internes Incident-Response-Playbook und dokumentieren jeden Vorfall vollständig.
17. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Wir setzen geeignete technische und organisatorische Maßnahmen ein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO). Zu den getroffenen Maßnahmen zählen insbesondere:
- Verschlüsselung der Datenübertragung: Alle Verbindungen zur Website und zu unseren Online-Tools erfolgen ausschließlich über HTTPS (TLS 1.2 / 1.3); HTTP wird automatisch zu HTTPS weitergeleitet.
- Verschlüsselung gespeicherter Daten: Datenbanken (EspoCRM, n8n-Workflows) auf dem Hetzner-Server in Deutschland werden in verschlüsselten Container-Volumes betrieben; API-Credentials der Kunden werden in n8n verschlüsselt abgelegt (n8n-eigene Credential-Verschlüsselung).
- Zugangsbeschränkung: Zugriff auf personenbezogene Daten (CRM, Workflow-Automatisierung, Server) ist auf autorisierte Personen beschränkt und erfordert SSH-Schlüssel-Authentifizierung sowie Zwei-Faktor-Authentifizierung für Verwaltungsoberflächen.
- Datensparsamkeit: Es werden ausschließlich die für den jeweiligen Zweck erforderlichen Daten erhoben und verarbeitet (Art. 5 Abs. 1 lit. c DSGVO).
- Pseudonymisierung: Technische Logs und Fehlerberichte werden vor Übermittlung an externe Dienste (Sentry) von direkten Personenkennzeichen bereinigt (sendDefaultPii: false; Maskierung von Texten und Eingabefeldern in Session-Replays).
- Trennung von Test- und Produktivdaten: Entwicklungs- und Testumgebungen sind logisch und netzwerktechnisch von Produktivsystemen getrennt.
- Backup und Wiederherstellung: Regelmäßige verschlüsselte Datensicherungen auf dem Hetzner-Server (Deutschland); Wiederherstellungs- verfahren werden mindestens jährlich getestet.
- Schutz vor Missbrauch: Rate-Limit auf öffentlichen Endpunkten (Formulare, Tool-APIs, Webhooks), Honeypot-Felder zur Bot-Abwehr, fail2ban auf Server-Ebene, Web Application Firewall.
- Regelmäßige Überprüfung: Sicherheitsmaßnahmen werden mindestens jährlich überprüft, bei Bedarf aktualisiert und in einem internen TOM-Verzeichnis dokumentiert.
- Auftragsverarbeiter-Management: Alle eingesetzten Auftrags- verarbeiter wurden auf Einhaltung geeigneter Sicherheitsstandards geprüft; Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO liegen vor.
Die vollständige interne TOM-Dokumentation ist auf behördliche Anfrage verfügbar (Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht).
18. Hinweis zur B2B-Ausrichtung
Bot-Agent erbringt seine Leistungen ausschließlich gegenüber Unternehmern (§ 14 BGB). Diese Datenschutzerklärung beschreibt die Verarbeitung von Geschäftsdaten der Auftraggeber sowie der Kontaktdaten der Ansprechpartner (natürliche Personen, die in Vertretung des Unternehmens handeln). Es werden keine personenbezogenen Daten von Verbrauchern verarbeitet.
19. Interne Datenschutz-Dokumentation
Über die Pflichtangaben dieser Datenschutzerklärung hinaus führt der Verantwortliche folgende interne Datenschutz-Dokumentation, die auf Anfrage der zuständigen Aufsichtsbehörde (Bayerisches Landesamt für Datenschutzaufsicht, BayLDA) jederzeit vorgelegt werden kann:
- Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO
- Datenschutz-Folgenabschätzung (DPIA) nach Art. 35 DSGVO für die Bot-Agent-Automatisierungs-Plattform (n8n-Workflows, KI-Verarbeitung via OpenAI/Anthropic/Google, Credential-Speicherung des Auftraggebers, Drittlandtransfer in die USA) sowie für den telefonischen KI-Assistenten („BotAgent" Voice Agent)
- Dokumentation der Drittlandtransfers nach Art. 44–49 DSGVO inklusive abgeschlossener EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) und Transfer Impact Assessments
- Übersicht aller Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit gesicherten DPA-PDFs als Evidenz
- Incident-Response-Playbook für Datenschutzverletzungen mit dokumentiertem 72-Stunden-Meldeverfahren nach Art. 33 DSGVO und Benachrichtigungsverfahren nach Art. 34 DSGVO
- EU-AI-Act-Compliance-Assessment nach Verordnung (EU) 2024/1689, insbesondere zu den Transparenzpflichten gemäß Art. 50 EU AI Act
Diese Dokumente werden nicht öffentlich gemacht, um den Schutz der dokumentierten internen Sicherheitsmaßnahmen nicht zu gefährden, sind jedoch jederzeit auf behördliche Anfrage zugänglich (Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht).
Stand: Juni 2026