Datenschutzerklärung

1. Verantwortlicher

Chester Roussos
Klarweg 27
85399 Hallbergmoos
Deutschland
E-Mail: chesterroussos.business@gmail.com
Telefon: 0172 1686476

Diese Datenschutzerklärung gilt für die Website www.chatvise.de und den daran gekoppelten SaaS-Dienst „Chatvise“ (Plattform und Chatbot-Dienst).

---

2. Grundsätze der Datenverarbeitung und Freiwilligkeit der Bereitstellung

Wir verarbeiten personenbezogene Daten im Einklang mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG, § 25).

Eine Verarbeitung erfolgt nur, wenn mindestens eine der folgenden Rechtsgrundlagen vorliegt:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung oder vorvertragliche Maßnahmen)
• Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Verpflichtungen)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Die jeweils einschlägige Rechtsgrundlage wird bei den einzelnen Verarbeitungsvorgängen angegeben.

Freiwilligkeit der Bereitstellung:
Soweit in dieser Datenschutzerklärung nicht abweichend angegeben, ist die Bereitstellung personenbezogener Daten weder gesetzlich noch vertraglich vorgeschrieben. Bestimmte Angaben können jedoch erforderlich sein, um einen Vertrag zu schließen oder bestimmte Funktionen unserer Website oder Plattform bereitzustellen.
In diesen Fällen wird dies gesondert kenntlich gemacht.

Begriffsbestimmung:
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

---

3. Besuch der Website

Beim Aufruf unserer Website werden durch unseren Infrastruktur-Provider Amazon Web Services (AWS), Region eu-central-1 (Frankfurt) technisch notwendige Verbindungs- und Sicherheitsdaten verarbeitet.

Verarbeitete Daten:

• IP-Adresse
• Datum und Uhrzeit des Zugriffs
• aufgerufene Seiten bzw. Ressourcen
• Browser- und Betriebssysteminformationen

Zweck der Verarbeitung:
Sicherstellung eines stabilen und sicheren Betriebs der Website sowie Abwehr von Angriffen und Missbrauch.

Rechtsgrundlage:
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb der Website).

Speicherung:
Die Server-Log-Daten werden nur für einen begrenzten Zeitraum gespeichert und anschließend gelöscht, sofern keine sicherheitsrelevante Auswertung erforderlich ist.

---

4. Nutzung des Chatvise-Chatbots auf dieser Website und bei Kunden

4.1 Chatvise-KI-Chatbot auf dieser Website (eigene Nutzung)

Über die Chat-Funktion können Besucher mit uns in Kontakt treten, Fragen stellen oder Informationen zu unseren Produkten und Dienstleistungen abrufen.

Verarbeitete Daten:

• Chatnachrichten (Freitexteingaben)
• freiwillig eingegebene Angaben (z. B. Name, E-Mail-Adresse, Telefonnummer)
• Datum und Uhrzeit der Anfrage
• technische Metadaten (z. B. gekürzte IP-Adresse, Browsertyp, Spracheinstellung)

Herkunft der Daten:
Die personenbezogenen Daten werden ausschließlich direkt von Ihnen im Rahmen der Nutzung des Chatbots eingegeben. Eine automatisierte Anreicherung mit Daten aus externen Quellen erfolgt nicht.

Zweck der Verarbeitung:
Bearbeitung von Kunden- und Interessentenanfragen, Bereitstellung von Produkt- und Leistungsinformationen sowie Verbesserung unserer Kommunikationsprozesse.

Rechtsgrundlage:
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation und Informationsbereitstellung).
Soweit Ihre Anfrage auf den Abschluss oder die Durchführung eines Vertrages gerichtet ist, erfolgt die Verarbeitung zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

KI-gestützte Verarbeitung:
Zur Generierung von Antworten wird eine KI-API (z. B. OpenAI) eingesetzt. Hierbei werden die im Chat eingegebenen Inhalte automatisiert verarbeitet.
Nach unserer vertraglichen Konfiguration erfolgt keine Nutzung der übermittelten Inhalte zu Trainingszwecken („Zero-Data-Retention“).
Es findet keine automatisierte Entscheidungsfindung mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne des Art. 22 DSGVO statt.

Empfänger und Drittlandübermittlung:
Zur technischen Bereitstellung des Chatbots setzen wir Auftragsverarbeiter und Unterauftragsverarbeiter ein.
Soweit im Rahmen der KI-Verarbeitung eine Übermittlung personenbezogener Daten in Drittländer (z. B. USA) erfolgt, geschieht dies unter Beachtung der Art. 44 ff. DSGVO auf Grundlage geeigneter Garantien, insbesondere EU-Standardvertragsklauseln (SCC) oder eines Angemessenheitsbeschlusses (z. B. EU-US Data Privacy Framework).

Speicherung und Löschung:
Chatnachrichten werden spätestens nach 30 Tagen automatisch gelöscht, sofern keine längere Speicherung zur Bearbeitung der Anfrage erforderlich ist.
Die Speicherung erfolgt auf Servern innerhalb der Europäischen Union (z. B. AWS-Region Frankfurt).
Backups werden ausschließlich zur Systemsicherung vorgehalten und nach Ablauf der vorgesehenen Rotation überschrieben.

---

4.2 Chatvise-KI-Chatbot bei Kunden (Auftragsverarbeitung)

Unsere Kunden können den Chatvise-Chatbot auf ihren eigenen Websites einbinden.

Rolle und Verantwortlichkeit:

• Der jeweilige Websitebetreiber ist Verantwortlicher im Sinne der DSGVO.
• Chester Roussos (Chatvise), Klarweg 27, 85399 Hallbergmoos, ist Auftragsverarbeiter gemäß Art. 28 DSGVO und verarbeitet personenbezogene Daten ausschließlich nach dokumentierter Weisung des jeweiligen Verantwortlichen.
• Ein Auftragsverarbeitungsvertrag (AV-Vertrag) wird beim Anlegen eines Kundenkontos automatisch geschlossen und ist im Dashboard abrufbar.

Verarbeitete Daten bei Einbindung durch Kunden:

• Chatnachrichten (Freitexteingaben der Websitebesucher)
• bereitgestellte Produkt- oder Unternehmensinformationen (z. B. Namen, Beschreibungen, Preise)
• optionale Angaben (z. B. E-Mail-Adresse, falls vom Kunden aktiviert)
• Zeitstempel einer Einwilligung im Datenschutz-Hinweis (sofern aktiviert)
• interne IDs und technische Protokolldaten (z. B. Chat-ID, Antwortzeiten)

Herkunft der Daten:
Die personenbezogenen Daten stammen grundsätzlich von den jeweiligen Websitebesuchern, die diese im Rahmen der Nutzung des Chatbots selbst eingeben. Eine eigenständige Datenerhebung oder Anreicherung durch Chatvise erfolgt nicht.

Zweck der Verarbeitung:
Die Verarbeitung erfolgt ausschließlich zur technischen Bereitstellung und zum Betrieb des Chatbots im Auftrag des jeweiligen Verantwortlichen, insbesondere zur automatisierten Beantwortung von Besucheranfragen, zur Bereitstellung unternehmensspezifischer Informationen (einschließlich Produktempfehlungen) sowie zur Qualitätssicherung und Funktionsanalyse.

Rechtsgrundlage:
Die Verarbeitung erfolgt im Rahmen der Auftragsverarbeitung gemäß Art. 28 DSGVO auf Weisung des jeweiligen Verantwortlichen.
Die datenschutzrechtliche Rechtsgrundlage gegenüber den betroffenen Personen (z. B. Art. 6 Abs. 1 lit. a oder lit. f DSGVO) wird vom jeweiligen Websitebetreiber festgelegt.

KI-gestützte Verarbeitung:
Zur Generierung von Antworten wird eine KI-API (z. B. OpenAI) eingesetzt. Hierbei werden die im Chat eingegebenen Inhalte automatisiert verarbeitet.
Nach unserer vertraglichen Konfiguration erfolgt keine Nutzung der übermittelten Inhalte zu Trainingszwecken („Zero-Data-Retention“).
Es findet keine automatisierte Entscheidungsfindung mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne des Art. 22 DSGVO durch Chatvise statt.

Empfänger und Drittlandübermittlung:
Zur technischen Bereitstellung des Dienstes setzt Chatvise Auftragsverarbeiter und Unterauftragsverarbeiter ein. Soweit im Rahmen der KI-Verarbeitung eine Übermittlung personenbezogener Daten in Drittländer (z. B. USA) erfolgt, geschieht dies unter Beachtung der Art. 44 ff. DSGVO auf Grundlage geeigneter Garantien, insbesondere EU-Standardvertragsklauseln (SCC) oder eines Angemessenheitsbeschlusses (z. B. EU-US Data Privacy Framework).

Speicherung und Löschung:
Die Speicherdauer richtet sich nach den Einstellungen des jeweiligen Verantwortlichen im Kunden-Dashboard.
Chatdaten können nach definierten Fristen automatisch gelöscht oder jederzeit manuell entfernt werden.
Backups auf Servern innerhalb der Europäischen Union (z. B. AWS-Region Frankfurt) werden ausschließlich zur Systemsicherung vorgehalten und nach Ablauf der vorgesehenen Rotation überschrieben.

---

5. Registrierung und Nutzung der Plattform

Bei der Erstellung eines Kundenkontos und der Nutzung des Dashboards werden folgende Daten verarbeitet:

Verarbeitete Daten:

• Name
• E-Mail-Adresse
• Login- und Authentifizierungsdaten (z. B. User-ID, Geräte- und Sitzungsinformationen über Supabase Auth)
• Zeitpunkte von Registrierung und Logins
• Zustimmungen zu AGB, Datenschutzerklärung und AV-Vertrag (jeweils mit Zeitstempel und eindeutiger Kennung)
• Zahlungsinformationen (z. B. Zahlungs-ID, Abo-Plan, Planwechsel) über Stripe

Herkunft der Daten:
Die Daten werden im Rahmen der Registrierung und Nutzung der Plattform direkt durch den jeweiligen Nutzer bereitgestellt oder im Rahmen technischer Authentifizierungsprozesse automatisch erzeugt.

Zweck der Verarbeitung:
Bereitstellung und Verwaltung des Kundenkontos, Abrechnung, Rollen- und Rechtemanagement sowie Bereitstellung des jeweiligen Funktionsumfangs der Plattform.

Rechtsgrundlage:
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrages).

Speicherung und Löschung:
Kontodaten werden bis zur Löschung des Kundenkontos gespeichert.
Abrechnungsrelevante Unterlagen werden entsprechend gesetzlicher Aufbewahrungspflichten gespeichert.

---

6. Zahlungsabwicklung (Stripe)

Zur Abwicklung von Zahlungen setzen wir Stripe Payments Europe Ltd., Dublin (Irland) ein.

Verarbeitete Daten:

• Name
• E-Mail-Adresse
• Zahlungsinformationen (z. B. Zahlungs-Token, Transaktionsdaten)
• Abonnement- und Rechnungsinformationen

Zweck der Verarbeitung:
Durchführung von Zahlungen, Verwaltung von Abonnements sowie Abrechnung unserer Leistungen.

Rechtsgrundlage:
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrages).

Empfänger und Drittlandübermittlung:
Nach gültigen Datenschutzmechanismen (z. B. EU-Standardvertragsklauseln / DPF). Weitere Informationen: https://stripe.com/privacy

---

7. System-E-Mails und Passwort-Reset

Zur Bereitstellung transaktionaler E-Mails (z. B. Systembenachrichtigungen) setzen wir Resend ein.
Authentifizierungsprozesse sowie Passwort-Resets erfolgen über Supabase Auth.

Verarbeitete Daten:

• E-Mail-Adresse
• technische Identifikationsdaten (z. B. User-ID)
• Zeitstempel von Systemvorgängen

Zweck der Verarbeitung:
Bereitstellung sicherer Authentifizierungsprozesse, Versand systemrelevanter Benachrichtigungen sowie Sicherstellung der Kontofunktionalität.

Rechtsgrundlage:
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrages).

---

8. Datei-Uploads und Verarbeitung von Unternehmens- und Produktdaten

Kunden können Dokumente (z. B. PDFs) sowie eigene Unternehmens- und Produktinformationen in das Dashboard hochladen.

Verarbeitete Daten:

• hochgeladene Dokumente
• Unternehmens- und Produktinformationen
• ggf. enthaltene personenbezogene Daten

Herkunft der Daten:
Die Daten werden durch den jeweiligen Kunden im Rahmen der Nutzung der Plattform bereitgestellt.

Zweck der Verarbeitung:
Bereitstellung und Konfiguration des Chatbots sowie Generierung unternehmensspezifischer Antworten auf Basis der bereitgestellten Inhalte. Eine Nutzung zu eigenen Zwecken (z. B. Marketing, Analyse oder Weitergabe) erfolgt nicht.

Rechtsgrundlage:
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrages).

Speicherung:
Die Speicherung erfolgt bis zur Löschung durch den Kunden oder bis zur Beendigung des Vertragsverhältnisses. Informationen zu eingesetzten Dienstleistern finden Sie unter Ziffer 12 dieser Datenschutzerklärung.

---

9. Interaktive KI-Tools (Prompt-Generator und DSGVO-Checker)

Auf unserer Website stellen wir interaktive KI-gestützte Tools zur Verfügung, darunter einen Prompt-Generator für KI- und Chatbot-Anwendungen sowie einen DSGVO-Checker zur Selbsteinschätzung datenschutzrechtlicher Konstellationen.

Verarbeitete Daten:

• Inhalte der eingegebenen Texte und Antworten
• freiwillig bereitgestellte Angaben
• technische Metadaten (z. B. Zeitstempel, gekürzte IP-Adresse, Browserinformationen)

Herkunft der Daten:
Die Daten werden ausschließlich durch die jeweilige nutzende Person im Rahmen der Eingabe in das jeweilige Tool bereitgestellt.

Zweck der Verarbeitung:
Bereitstellung der jeweiligen Tool-Funktion, automatisierte Generierung von Textvorschlägen sowie strukturierte Auswertung eingegebener Informationen. Die Nutzung der Tools dient ausschließlich der inhaltlichen Unterstützung und stellt keine Rechts- oder Fachberatung dar.

Rechtsgrundlage:
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung interaktiver Funktionen und KI-gestützter Inhalte).

KI-gestützte Verarbeitung:
Zur Generierung der Inhalte wird eine KI-API (z. B. OpenAI) eingesetzt. Die eingegebenen Inhalte werden automatisiert verarbeitet.
Nach unserer vertraglichen Konfiguration erfolgt keine Nutzung der übermittelten Inhalte zu Trainingszwecken („Zero-Data-Retention“).
Es findet keine automatisierte Entscheidungsfindung mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne des Art. 22 DSGVO statt.

Empfänger und Drittlandübermittlung:
Soweit im Rahmen der KI-Verarbeitung eine Übermittlung personenbezogener Daten in Drittländer (z. B. USA) erfolgt, geschieht dies unter Beachtung der Art. 44 ff. DSGVO auf Grundlage geeigneter Garantien, insbesondere EU-Standardvertragsklauseln (SCC) oder eines Angemessenheitsbeschlusses (z. B. EU-US Data Privacy Framework).

Speicherung:
Die eingegebenen Inhalte werden grundsätzlich nur so lange gespeichert, wie dies zur technischen Bereitstellung erforderlich ist, und anschließend automatisiert gelöscht.

---

10. Anmeldung zur kostenlosen Beratung

Auf unserer Website besteht die Möglichkeit, sich für eine kostenlose Erstberatung anzumelden.

Verarbeitete Daten:

• Name
• Firmenname
• Telefonnummer
• ggf. weitere freiwillig angegebene Informationen

Herkunft der Daten:
Die Daten werden im Rahmen der Anmeldung direkt durch die jeweilige Person bereitgestellt.

Zweck der Verarbeitung:
Einmalige Kontaktaufnahme zur Prüfung, ob und in welchem Umfang unsere Leistungen für das jeweilige Unternehmen geeignet sind.

Rechtsgrundlage:
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Anfrage der betroffenen Person).

Speicherung und Löschung:
Sofern kein Vertragsverhältnis zustande kommt, werden die Daten nach Abschluss der Kontaktprüfung gelöscht.
Kommt ein Vertragsverhältnis zustande, erfolgt die weitere Verarbeitung im Rahmen des jeweiligen Vertragsverhältnisses.

---

11. Initiativ-Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir die von Ihnen übermittelten personenbezogenen Daten.

Verarbeitete Daten:

• E-Mail-Adresse
• Name
• Inhalte der Nachricht
• ggf. weitere freiwillig bereitgestellte Angaben

Herkunft der Daten:
Die Daten werden im Rahmen Ihrer Kontaktaufnahme direkt durch Sie bereitgestellt.

Zweck der Verarbeitung:
Bearbeitung und Beantwortung Ihrer Anfrage sowie gegebenenfalls Durchführung vorvertraglicher oder vertraglicher Maßnahmen.

Rechtsgrundlage:

• Art. 6 Abs. 1 lit. b DSGVO, sofern die Anfrage im Zusammenhang mit einem bestehenden oder zukünftigen Vertragsverhältnis steht
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sachgerechter Kommunikation), sofern kein Vertragsbezug besteht

Speicherung und Löschung:
Die Daten werden nach abschließender Bearbeitung Ihrer Anfrage gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen oder ein Vertragsverhältnis zustande kommt.

---

12. Cookies und Endgerätezugriffe (§ 25 TDDDG)

12.1 Technisch notwendige Cookies

Für den Betrieb der Plattform und des Chatbots werden technisch notwendige Endgerätezugriffe vorgenommen, insbesondere für:

• Authentifizierung und Sitzungsverwaltung
• Echtzeit-Kommunikation im Chat
• Datei-Uploads (z. B. PDFs, Bilder)
• Sicherheits- und Stabilitätsfunktionen
• Speicherung Ihrer Cookie-Einwilligung

Diese Zugriffe sind gemäß § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei, da sie zwingend erforderlich sind, um den ausdrücklich gewünschten Dienst bereitzustellen.

12.2 Analyse- und Marketing-Cookies (nur mit Einwilligung)

Mit Ihrer ausdrücklichen Einwilligung setzen wir folgende Technologien ein:

Google Tag Manager (GTM)
Wir verwenden Google Tag Manager, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. GTM selbst setzt keine Cookies, sondern ermöglicht die Verwaltung anderer Tracking-Tools.

Meta Pixel (Facebook Pixel)
Zur Messung der Wirksamkeit unserer Werbeanzeigen auf Facebook und Instagram setzen wir das Meta Pixel ein, einen Dienst der Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland.

Das Meta Pixel erfasst insbesondere:

• Seitenaufrufe und besuchte Seiten
• Interaktionen (z. B. Formulareinsendungen, Registrierungen)
• Kaufabschlüsse und deren Wert

Rechtsgrundlage:
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Diese Cookies werden nur aktiviert, wenn Sie in unserem Cookie-Banner auf „Alle akzeptieren“ klicken.
Ohne Ihre Einwilligung werden keine Marketing- oder Analyse-Cookies gesetzt.

12.3 Ihre Einwilligung verwalten

Bei Ihrem ersten Besuch unserer Website erscheint ein Cookie-Banner, über das Sie Ihre Einwilligung erteilen oder ablehnen können.

Ihre Wahlmöglichkeiten:

• „Alle akzeptieren“: Alle Cookies werden aktiviert (technisch notwendige + Analyse/Marketing)
• „Nur Notwendige“: Nur technisch notwendige Cookies werden verwendet
• Einwilligung widerrufen: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die gespeicherten Website-Daten in Ihrem Browser löschen (localStorage) und die Seite neu laden. Das Cookie-Banner erscheint dann erneut.

12.4 Google Consent Mode v2

Wir nutzen Google Consent Mode v2, um sicherzustellen, dass Tracking-Technologien erst nach Ihrer Einwilligung aktiviert werden. Standardmäßig sind alle Marketing- und Analysefunktionen deaktiviert, bis Sie aktiv zustimmen.

Datenübermittlung in Drittländer:
Eine Übermittlung von Daten an Google (USA) und Meta (USA) erfolgt nur nach Ihrer Einwilligung und auf Basis der EU-Standardvertragsklauseln (SCC) sowie des EU-US Data Privacy Framework (DPF).

Weitere Informationen:

Google: https://policies.google.com/privacy
Meta: https://www.facebook.com/privacy/policy

---

13. Empfänger und Unterauftragsverarbeiter

Zur Bereitstellung des Dienstes setzt Chatvise sorgfältig ausgewählte Auftragsverarbeiter und Unterauftragsverarbeiter ein.

Eingesetzte Dienstleister:

• Amazon Web Services (AWS) – Hosting & Infrastruktur (EU-Region Frankfurt, eu-central-1)
• Supabase – Authentifizierung, Session-Management, Plattform-Services (EU-Region projektspezifisch)
• Prisma (Prisma Accelerate) – Datenbank-Verbindungsproxy (keine eigenständige Inhaltsverarbeitung)
• OpenAI – KI-API zur Antwortgenerierung
• Stripe Payments Europe Ltd. – Zahlungsabwicklung und Abonnementverwaltung
• Resend – Versand transaktionaler E-Mails
• Uploadcare – Datei-Uploads (z. B. PDFs, Bilder, Logos)
• Ably Realtime – Echtzeit-Kommunikation für Chat-Funktionen
• Google Ireland Limited – Google Tag Manager (Tag-Verwaltung, nur mit Einwilligung)
• Meta Platforms Ireland Limited – Meta Pixel (Marketing-Analyse, nur mit Einwilligung)

Datenübermittlungen in Drittländer:
Sofern bei einzelnen Dienstleistern eine Verarbeitung außerhalb der EU/des EWR nicht ausgeschlossen werden kann (z. B. bei Support- oder Infrastrukturzugriffen), erfolgt diese ausschließlich unter Einhaltung der Art. 44 ff. DSGVO, insbesondere durch:

• EU-Standardvertragsklauseln (SCC)
• EU-US Data Privacy Framework (DPF), soweit anwendbar
• Angemessenheitsbeschlüsse (z. B. Vereinigtes Königreich)

Mit allen eingesetzten Auftrags- und Unterauftragsverarbeitern bestehen entsprechende datenschutzrechtliche Vereinbarungen gemäß Art. 28 DSGVO. Änderungen der eingesetzten Dienstleister werden in geeigneter Weise bekanntgegeben.

---

14. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Zum Schutz personenbezogener Daten treffen wir geeignete technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO.

Verschlüsselung:

• TLS-/SSL-Verschlüsselung sämtlicher Datenübertragungen
• Verschlüsselte Speicherung von Daten („at rest“)

Zugriffsschutz:

• Rollenbasiertes Zugriffssystem (z. B. Admin / Agent)
• Gesicherte Authentifizierung über Supabase Auth
• Optionale Zwei-Faktor-Authentifizierung (2FA)

Integrität und Nachvollziehbarkeit:

• Protokollierung sicherheitsrelevanter Kontoänderungen

Verfügbarkeit und Stabilität:

• Regelmäßige Datensicherungen
• Infrastruktur-Monitoring zur Erkennung von Störungen und sicherheitsrelevanten Ereignissen

Die Maßnahmen werden unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs und der Zwecke der Verarbeitung regelmäßig überprüft und bei Bedarf angepasst.

---

15. Speicherdauern und Löschung

Wir verarbeiten personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Plattform- und Kontodaten:
Kontodaten werden bis zur Löschung des Kundenkontos gespeichert oder spätestens 12 Monate nach Vertragsende entfernt, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Abrechnungsunterlagen:
Rechnungs- und abrechnungsrelevante Unterlagen werden entsprechend den gesetzlichen Aufbewahrungsfristen gespeichert.

Chat-Daten:
Chat-Daten werden entsprechend dem im Dashboard festgelegten Löschintervall (30 / 60 / 90 / 180 / 360 Tage) automatisch gelöscht.

Backups:
Datensicherungen (Backups) werden gemäß internen Rotationsverfahren gespeichert und nach Ablauf der vorgesehenen Sicherungszyklen überschrieben.

---

16. Rechte der betroffenen Personen

Sie haben im Rahmen der gesetzlichen Vorgaben insbesondere folgende Rechte:

• Auskunft gemäß Art. 15 DSGVO
• Berichtigung gemäß Art. 16 DSGVO
• Löschung gemäß Art. 17 DSGVO
• Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
• Datenübertragbarkeit gemäß Art. 20 DSGVO
• Widerspruch gegen die Verarbeitung gemäß Art. 21 DSGVO
• Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte können Sie sich an folgende E-Mail-Adresse wenden:

chesterroussos.business@gmail.com

Beschwerderecht bei einer Aufsichtsbehörde:
Sie haben zudem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.
Zuständig ist beispielsweise:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach

---

17. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird bei Änderungen der Technik, Dienstleister oder Rechtslage angepasst.
Die jeweils aktuelle Fassung ist jederzeit unter chatvise.de/rechtliches/datenschutz abrufbar.