Datenschutzerklärung

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben Ihnen einen Überblick, was mit Ihren personenbezogenen Daten geschieht, wenn Sie diese Website besuchen. Personenbezogen sind alle Daten, mit denen Sie persönlich identifiziert werden können.

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO i. V. m. § 38 BDSG nicht bestellt, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei datenschutzrechtlichen Anfragen wenden Sie sich direkt an: info@bot-agent.de

3. Verantwortlicher

Stanislav Tonkich
Richard-Wagner-Str. 33
94060 Pocking, Deutschland
E-Mail: info@bot-agent.de
Telefon: siehe Impressum

4. Hosting

Diese Website wird bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet. Der Serverstandort ist Nürnberg, Deutschland (Rechenzentrum nbg1). Bei Aufruf der Website werden automatisch Informationen (IP-Adresse, Browsertyp, Betriebssystem, Referrer URL, Uhrzeit) in Server-Log-Dateien erfasst. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technisch fehlerfreier Darstellung). Die Datenverarbeitung des Hostings erfolgt ausschließlich auf Servern in Deutschland. Ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO wurde mit Hetzner geschlossen.

5. Erhobene Daten und Speicherfristen

Bei der Nutzung von Bot-Agent werden folgende Daten verarbeitet:

  • Kontaktdaten (Name, E-Mail, Telefon) bei Registrierung und Kontaktaufnahme
  • Unternehmensdaten (Firmenname, Rechtsform, Branche) zur B2B-Verifikation
  • Zahlungsdaten (via Stripe, nicht bei uns gespeichert)
  • Nutzungsdaten (aufgerufene Seiten, Zeitstempel) via Server-Logs (7 Tage)
  • Business-DNA-Daten (Firmeninformationen für die Automatisierungen) — für Vertragsdauer + 90 Tage
  • Rechnungs- und Vertragsdaten — 10 Jahre gemäß § 147 AO
  • n8n Workflow-Logs — 30 Tage, danach automatisch gelöscht
  • Newsletter-/Drip-Daten (Brevo) — bis Widerruf, anschl. 3 Jahre Sperrliste (Nachweispflicht)
  • Eingabedaten der kostenlosen Online-Tools — 30 Tage in den Tool-Logs
  • Lead-Datensätze in EspoCRM — bis Widerruf, max. 24 Monate Inaktivität

6. Rechtsgrundlagen

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO, § 147 AO).

7. KI-Einsatz und Datenverarbeitung durch Dritte

Zur Erbringung unserer Dienstleistungen (KI-gestützte Automatisierungen, Content-Erstellung) setzen wir KI-Systeme ein. Im Rahmen dieser Nutzung werden Geschäftsdaten an folgende Auftragsverarbeiter übermittelt:

  • Anthropic, PBC – San Francisco, USA – DPA + Standardvertragsklauseln (SCC)
  • OpenAI, Inc. – San Francisco, USA – DPA + Standardvertragsklauseln (SCC)
  • Google LLC – Mountain View, USA – DPA + Standardvertragsklauseln (SCC)

Es werden ausschließlich Geschäftsdaten verarbeitet (Firmenname, Business-DNA, Marketingkennzahlen). Personenbezogene Daten Ihrer Endkunden werden nicht an KI-Systeme übermittelt.

Drittlandtransfer: Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Gemäß Art. 50 der EU-KI-Verordnung (Verordnung (EU) 2024/1689) weisen wir transparent auf den KI-Einsatz hin. Die KI dient als automatisiertes Hilfsmittel – nicht als alleinige Entscheidungsinstanz.

8. Weitere Auftragsverarbeiter (Infrastruktur & Versand)

8.1 Externe Auftragsverarbeiter (Art. 28 DSGVO)

Neben den unter Ziffer 6 genannten KI-Anbietern setzen wir folgende externe Auftragsverarbeiter ein. Mit jedem besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO:

  • Hetzner Online GmbH – Gunzenhausen / Nürnberg, Deutschland – Hosting + Server-Infrastruktur (inkl. Datenbank und der selbst betriebenen Anwendungen aus Ziffer 8.2). Alle Daten verbleiben in Deutschland (kein Drittlandtransfer).
  • Sendinblue SAS (Brevo) – Paris, Frankreich (EU) – E-Mail-Marketing, Newsletter mit Double-Opt-In, automatisierte E-Mail-Sequenzen sowie Versand der PDF-Berichte aus den kostenlosen Online-Tools. Verarbeitung ausschließlich in EU-Rechenzentren – kein Drittlandtransfer. AVV vorhanden.
  • Stripe Payments Europe Ltd. – Dublin, Irland (mit US-Mutter Stripe, Inc.) – Zahlungsabwicklung (Kreditkarte, SEPA). Zahlungsdaten werden direkt bei Stripe verarbeitet und nicht auf unseren Servern gespeichert. DPA + SCC.
  • Resend (Plus Five Five, Inc.) – San Francisco, USA – Versand transaktionaler Plattform-E-Mails (Bestellbestätigungen, Rechnungen, System-Benachrichtigungen). DPA + SCC.
  • Sentry (Functional Software, Inc.) – San Francisco, USA, mit EU-Region in Frankfurt – Fehler- und Performance-Monitoring der Anwendung. Es werden technische Logdaten erfasst, keine Klartext-Geschäftsdaten. DPA + SCC.

8.2 Selbst betriebene Anwendungen (keine externe Auftragsverarbeitung)

Folgende Anwendungen werden durch uns selbst auf der eigenen Server-Infrastruktur (siehe Hetzner Online GmbH unter Ziffer 8.1) betrieben. Sie stellen keine externe Auftragsverarbeitung im Sinne des Art. 28 DSGVO dar – wir sind zugleich Betreiber dieser Anwendungen. Die zugrunde liegende Infrastruktur (Server, Speicher, Netzwerk) ist über den AVV mit Hetzner abgedeckt:

  • Selbst betriebenes CRM-System (Open-Source, gehostet auf unserem Hetzner-Server in Deutschland) – Lead- und Kontakt-Management.
  • Selbst betriebene Workflow-Automatisierung (Open-Source, gehostet auf unserem Hetzner-Server in Deutschland) – Datenflüsse zwischen Kontaktformularen, Tools, externem E-Mail-Dienst und CRM; Lead-Scoring; Drip-Versand-Steuerung; Auto-Ops-Monitoring.

8a. Kostenlose Online-Tools (Diagnose-Module)

Auf eigenen Subdomains von bot-agent.de stellen wir mehrere kostenlose Online-Diagnose-Module bereit (z. B. Automation-Check, Agent-Readiness-Check, Chatbot-Check, DSGVO-Check, ROI-Check). Sie dienen als vorvertragliche Informations- und Bewertungs-Hilfen für Geschäftskunden („Lead-Magneten“) und stehen ausschließlich Unternehmern im Sinne des § 14 BGB zur Verfügung.

Funktionsweise: Der Nutzer gibt geschäftliche Daten ein (Branche, Geschäftsbereich, ggf. konkrete Use Cases). Die Eingabedaten werden serverseitig analysiert. Anschließend gibt der Nutzer seine geschäftliche E-Mail-Adresse an, um den vollständigen PDF-Bericht zu erhalten. Der Bericht wird über unseren externen EU-ansässigen E-Mail-Marketing-Dienst (siehe Ziffer 8.1) als E-Mail-Anhang versandt; ein Lead-Datensatz wird in unserem selbst betriebenen CRM-System (siehe Ziffer 8.2) angelegt und über unsere selbst betriebene Workflow-Automatisierung gegebenenfalls einer Drip-Sequenz zugeführt (nach gesondertem Double-Opt-In).

Datenkategorien: geschäftliche Eingabedaten (Branche, Bereich, Use Cases); geschäftliche E-Mail-Adresse; optional: Firmenname, Ansprechpartner; technisch: IP-Adresse, Zeitstempel, User-Agent (Rate-Limit-/Missbrauchs-Schutz).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen); für weiterführende E-Mail-Sequenzen: Art. 6 Abs. 1 lit. a DSGVO (gesonderter Double-Opt-In); für Rate-Limit-/Missbrauchsschutz: Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: Tool-Eingabedaten werden nach 30 Tagen aus den Tool-Logs gelöscht. Der Lead-Datensatz in EspoCRM bleibt bis zum Widerruf bzw. spätestens 24 Monaten Inaktivität gespeichert.

Sicherheitsmaßnahmen: Honeypot-Feld zur Bot-Abwehr, Rate-Limit (max. 10 Analysen / 3 PDF-Anfragen pro Minute und IP), HTTPS-only.

KI-Transparenz (Art. 50 EU AI Act):Module mit KI-Komponente werden im erzeugten PDF-Bericht entsprechend gekennzeichnet („KI-gestützt erstellt · fachlich geprüft“).

Bei Drittlandtransfers (USA) liegen jeweils EU-Standardvertragsklauseln (Beschluss 2021/914) vor. Eine vollständige, jederzeit aktuelle Liste der Auftragsverarbeiter kann über die im Impressum hinterlegte Kontaktadresse angefordert werden.

9. Cookies, Google Tag Manager und Google Analytics 4

Diese Website verwendet Cookies nur mit Ihrer ausdrücklichen Einwilligung (Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO). Beim ersten Besuch wird ein Cookie-Banner angezeigt. Erst nach Zustimmung werden Analyse-Cookies gesetzt. Technisch notwendige Speichertechnologien werden für die Funktionalität der Website eingesetzt und bedürfen keiner Einwilligung (§ 25 Abs. 2 Nr. 2 TDDDG). Ihre Cookie-Einstellungen können Sie jederzeit über das Cookie-Banner widerrufen.

Google Tag Manager

Diese Website nutzt den Google Tag Manager (GTM) der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. GTM setzt selbst keine Cookies und verarbeitet keine personenbezogenen Daten direkt, sondern lädt nach Ihrer ausdrücklichen Einwilligung weitere Tags (z.B. Google Analytics). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung).

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO: Mit Google Ireland Limited wurde ein Auftragsverarbeitungsvertrag (Data Processing Addendum) abgeschlossen, einsehbar unter business.safety.google/adsprocessorterms. Google LLC ist zertifiziert unter dem EU-US Data Privacy Framework (DPF, Adequacy Decision der EU-Kommission vom 10.07.2023). Zusätzlich liegen EU-Standardvertragsklauseln (SCC, Beschluss 2021/914) vor.

Google Analytics 4

Über den Google Tag Manager wird Google Analytics 4 (GA4) der Google Ireland Limited eingebunden. GA4 erfasst anonymisierte Nutzungsdaten (Seitenaufrufe, Verweildauer, Geräteinformationen). Die IP-Anonymisierung ist aktiviert. Die Datenerfassung erfolgt erst nach Ihrer Einwilligung über das Cookie-Banner. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit widerrufen.

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO: Für die Nutzung von Google Analytics 4 wurde ein Auftragsverarbeitungsvertrag mit Google Ireland Limited abgeschlossen (Google Ads Data Processing Terms). Die Datenverarbeitung erfolgt in Rechenzentren der Region Europa (europe-west). Für Drittlandtransfer in die USA gelten das EU-US Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln (SCC, Beschluss 2021/914). Die Google-Zertifizierung im DPF ist einsehbar unter dataprivacyframework.gov/list.

10. Ihre Rechte als betroffene Person (Betroffenenrechte nach DSGVO)

Als von der Datenverarbeitung betroffene Person stehen Ihnen die folgenden Betroffenenrechte zu. Insbesondere haben Sie ein Auskunftsrecht (Art. 15 DSGVO), ein Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO) sowie ein Widerspruchsrecht (Art. 21 DSGVO). Sie haben jederzeit das Recht auf:

  • Auskunftsrecht / Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Recht auf Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Bitte wenden Sie sich dazu an: info@bot-agent.de. Wir bearbeiten Ihre Anfrage innerhalb von 30 Tagen.

11. Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

12. Externe Links

Unser Angebot enthält Links zu externen Webseiten. Wir haben keinen Einfluss auf deren Inhalt und Datenschutzpraktiken. Bitte lesen Sie die jeweiligen Datenschutzerklärungen der verlinkten Seiten.

13. KI-Transparenz nach Art. 50 EU AI Act

Bot-Agent setzt KI-Systeme (u.a. Anthropic, OpenAI, Google) zur Erstellung von Automatisierungen und Inhalten ein. Im Einklang mit Art. 50 EU AI Act (Verordnung (EU) 2024/1689) wird der KI-Einsatz transparent gemacht:

  • Im Footer dieser Website: KI-Hinweis nach Art. 50 EU AI Act
  • In allen generierten Inhalten: Kennzeichnung als KI-generiert
  • Der Kunde prüft und verantwortet alle generierten Inhalte vor der Veröffentlichung

Die KI-Systeme dienen als automatisiertes Hilfsmittel. Die inhaltliche Letztverantwortung liegt beim jeweiligen Kunden.

14. Datenschutzvorfallälle (DSGVO Art. 33/34)

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, melden wir den Vorfall der zuständigen Aufsichtsbehörde (BayLDA) unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO). Bei voraussichtlich hohem Risiko werden die betroffenen Personen ebenfalls unverzüglich benachrichtigt (Art. 34 DSGVO).

15. Hinweis zur B2B-Ausrichtung

Bot-Agent erbringt seine Leistungen ausschließlich gegenüber Unternehmern (§ 14 BGB). Diese Datenschutzerklärung beschreibt die Verarbeitung von Geschäftsdaten der Auftraggeber sowie der Kontaktdaten der Ansprechpartner (natürliche Personen, die in Vertretung des Unternehmens handeln). Es werden keine personenbezogenen Daten von Verbrauchern verarbeitet.

Stand: Mai 2026