Zum Inhalt springen

KI-Chatbot Datenschutzerklärung

Stand: 2026-03-09

Datenschutzhinweise zur Chatbot-Plattform (Yuupless AI)

Diese Datenschutzhinweise informieren über die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Betrieb und der Nutzung der Chatbot-Plattform „Yuupless AI”.

1) Verantwortlicher / Datenschutzkontakt

Ebeling Raßloff Yuupless GbR

Forggenseestr. 89

87672 Roßhaupten

cheerio@yuupless.com

+49 15678 289884

2) Rollenverteilung (Kunden als Verantwortliche / Yuupless als Auftragsverarbeiter)

Wenn Betreiber von Websites oder digitalen Angeboten („Kunden”) den Yuupless-Chatbot auf ihrer Website einbinden, sind diese Kunden in der Regel Verantwortliche im Sinne der DSGVO.

Yuupless AI verarbeitet Chat-Inhalte und zugehörige Daten als Auftragsverarbeiter im Auftrag des jeweiligen Kunden (Art. 28 DSGVO).

3) Zweck der Verarbeitung

Die Verarbeitung erfolgt insbesondere zu folgenden Zwecken:

  • Technische Bereitstellung und Betrieb der Chatbot-Funktion

  • Beantwortung von Nutzeranfragen über den Chatbot (Web, WhatsApp)

  • KI-gestützte Beantwortung von Telefonanrufen (Voice AI)

  • Versand von E-Mails im Auftrag des Kunden (z. B. Zusammenfassungen, Buchungslinks, Angebote)

  • Verwaltung von Kontaktdaten für die Gäste-Kommunikation

  • Übergabe von Gesprächen an menschliche Mitarbeiter (Human Handoff)

  • Missbrauchs- und Angriffserkennung (z. B. Schutz vor Spam)

  • Technische Fehleranalyse und Qualitätssicherung

4) Welche Daten werden verarbeitet?

Je nach Nutzung und Konfiguration können insbesondere folgende Daten verarbeitet werden:

4.1 Chat-Inhalte

  • Nachrichten der Nutzer:innen (Texteingaben)

  • Antworten des Chatbots

  • Konversationsverlauf

4.2 Metadaten / Nutzungsdaten

  • Datum und Uhrzeit der Nutzung

  • Chat-/Sitzungs-ID (technische Kennung zur Zuordnung der Konversation)

  • Referrer-/Parent-URL bei Einbettung (falls übertragen)

4.3 Technische Daten

  • IP-Adresse (wird bei der Verbindung technisch übermittelt; eine dauerhafte Speicherung erfolgt grundsätzlich nicht, soweit nicht aus Sicherheitsgründen im Einzelfall erforderlich)

  • Browser-/Geräteinformationen (z. B. User-Agent), sofern übertragen

4.4 WhatsApp-Daten

  • Telefonnummer des Nutzers (verschlüsselt gespeichert)

  • Nachrichteninhalte und Gesprächsverlauf

  • Sitzungsdaten (technische Kennung, 24-Stunden-Session)

  • Zeitstempel und Nachrichtenstatus (gesendet, zugestellt, gelesen)

4.5 Telefondaten (Voice AI)

  • Telefonnummer des Anrufers (verschlüsselt gespeichert)

  • Gesprächstranskript (automatische Verschriftlichung des Gesprächs)

  • Anrufdauer, Zeitstempel (Beginn/Ende), Anrufstatus

  • Während des Gesprächs ausgeführte Aktionen (z. B. Buchungsanfragen)

  • Hinweis: Audioaufnahmen der Gespräche werden nicht gespeichert

4.6 E-Mail-Daten

  • E-Mail-Adresse des Empfängers (verschlüsselt gespeichert)

  • Name (sofern angegeben, verschlüsselt gespeichert)

  • Nachrichteninhalte (Betreff, Text)

  • Versandstatus (gesendet, zugestellt, fehlgeschlagen)

4.7 Kontaktdaten

Sofern konfiguriert, können Kontaktdaten von Nutzer:innen gespeichert werden, um die Kommunikation zu ermöglichen und zu verbessern:

  • E-Mail-Adresse, Telefonnummer, Name (jeweils verschlüsselt, AES-256-CBC)

  • Quelle des Kontakts (z. B. Web-Chat, WhatsApp, manuell)

  • Kategorisierung / Tags (z. B. Buchungsanfrage, Stammgast)

  • Einwilligungsstatus und -zeitpunkt (Consent-Tracking)

  • Zustellstatus und -historie

5) Hinweis zu sensiblen Daten

Bitte übermitteln Sie über den Chat keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) und keine Daten Dritter (z. B. Gesundheitsdaten, Ausweisdokumente, Fotos von Personen).

Wenn solche Inhalte dennoch übermittelt werden, werden diese wie andere Chat-Inhalte verarbeitet; eine automatische Erkennung/Löschung kann technisch nicht in jedem Fall gewährleistet werden.

6) Speicherung auf Endgeräten (Cookies & Local Storage)

Für den Betrieb und die komfortable Nutzung der Chat-Funktion können Informationen auf dem Endgerät der Nutzer:innen gespeichert werden.

6.1 Technisch notwendige Cookies (Embed-Session)

Beim Laden des eingebetteten Chatbots kann ein technisch notwendiges Cookie gesetzt werden:

  • Name: yuupless_embed_session

  • Zweck: Absicherung der Einbettung, Missbrauchsschutz sowie Autorisierung der Chat-API-Aufrufe

  • Eigenschaften: HttpOnly, in Produktion SameSite=None; Secure

  • Speicherdauer: 60 Minuten

  • Rechtsgrundlage (Endgerät): § 25 Abs. 2 TDDDG

  • Rechtsgrundlage (DSGVO): Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. b DSGVO

6.2 Local Storage

Je nach Konfiguration können z. B. Chat-Verläufe, UI-Einstellungen und pseudonyme Kennungen im Local Storage gespeichert werden (z. B. zur Wiederaufnahme einer Konversation).

7) Serverseitige Speicherung / Speicherdauer

Chat-Inhalte und zugehörige Metadaten werden serverseitig gespeichert, um die Konversation zu ermöglichen und Support-/Qualitätszwecke umzusetzen.

Speicherdauer:

  • Chat-Verläufe / Nachrichten (Web, WhatsApp): 90 Tage nach der letzten Interaktion

  • Telefon-Transkripte: 90 Tage nach dem Anruf

  • E-Mail-Versandprotokolle: 90 Tage

  • Kontaktdaten: bis zum Widerruf der Einwilligung bzw. auf Löschanfrage; ohne Löschanfrage maximal 24 Monate nach letztem Kontakt

  • Technische Sicherheits-/Betriebsdaten (z. B. Rate-Limit/Fehlersignale): bis zu 7 Tage; Hosting-/Server-Logs können abhängig vom eingesetzten Hosting-Anbieter länger gespeichert werden

Hinweis: Eine Löschung lokaler Browserdaten betrifft nur das Endgerät. Serverseitige Daten bleiben davon unberührt.

8) KI-Verarbeitung / Empfänger (KI-Anbieter)

Zur automatisierten Antwortgenerierung können externe KI-Dienstleister eingesetzt werden (z. B. OpenAI API). Welche Modelle konkret eingesetzt werden, hängt von der Konfiguration ab.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bearbeitung von Anfragen) bzw. Art. 6 Abs. 1 lit. f DSGVO (effiziente Kommunikation/Service).

Sofern eine Einwilligung erforderlich ist: Art. 6 Abs. 1 lit. a DSGVO.

Hinweis zu Drittlandtransfers: Je nach Anbieter und Konfiguration kann eine Verarbeitung außerhalb der EU/des EWR (z. B. USA) nicht ausgeschlossen werden. In diesem Fall erfolgt die Übermittlung unter Einsatz geeigneter Garantien gemäß Art. 44 ff. DSGVO (z. B. EU-Standardvertragsklauseln).

9) Kein Training von KI-Modellen

Chat-Inhalte werden nicht zum Training von KI-Modellen verwendet.

Eine Optimierung der Chat-Konfiguration (z. B. Prompting, Systemanweisungen, Kontextaufbereitung) kann jedoch erfolgen.

10) WhatsApp-Kommunikation

Über die Plattform können Kunden ihren Chatbot auch über WhatsApp erreichbar machen. Nutzer:innen können dem Chatbot per WhatsApp schreiben und erhalten automatisch Antworten. Zudem kann der Chatbot aktiv Nachrichten an Nutzer:innen senden (z. B. Zusammenfassungen, Buchungslinks, Angebote).

10.1 Eingehende Nachrichten (Nutzer → Chatbot)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/Durchführung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Gästekommunikation).

Die Verarbeitung erfolgt über Twilio Inc. (USA) als Auftragsverarbeiter. WhatsApp-Sitzungen haben eine Dauer von 24 Stunden. Nachrichten außerhalb dieses Fensters erfordern vorab genehmigte Nachrichtenvorlagen.

10.2 Ausgehende Nachrichten (Chatbot → Nutzer)

Transaktionale Nachrichten (z. B. Chat-Zusammenfassungen, Buchungsbestätigungen): Art. 6 Abs. 1 lit. b DSGVO.

Marketing-Nachrichten (z. B. Angebote, Aktivitätstipps, Follow-ups): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Der Versand von Marketing-Nachrichten erfolgt nur nach ausdrücklicher Einwilligung im Double-Opt-In-Verfahren. Jede Marketing-Nachricht enthält eine Abmeldemöglichkeit.

Drittlandtransfer: Twilio Inc. verarbeitet Daten in den USA. Die Übermittlung erfolgt auf Basis von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

11) Telefon / Voice AI

Über die Plattform können Kunden KI-gestützte Telefonanrufe anbieten. Eingehende Anrufe werden von einem KI-Agenten entgegengenommen und automatisch beantwortet.

11.1 KI-Transparenzhinweis (EU AI Act)

Gemäß Art. 50 Abs. 1 der EU-Verordnung über Künstliche Intelligenz (EU AI Act) werden Anrufer zu Beginn des Gesprächs darüber informiert, dass sie mit einem KI-System sprechen.

11.2 Verarbeitete Daten und Rechtsgrundlagen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Die Telefonnummer des Anrufers wird verschlüsselt gespeichert. Gespräche werden automatisch transkribiert (Verschriftlichung). Audioaufnahmen der Gespräche werden nicht gespeichert.

11.3 Auftragsverarbeiter

Für die Telefonie-Infrastruktur wird Twilio Inc. (USA) eingesetzt. Für die Spracherkennung, Sprachsynthese und KI-Gesprächsführung wird ElevenLabs Inc. (USA) eingesetzt.

Beide Dienstleister verarbeiten Daten in den USA. Die Übermittlung erfolgt jeweils auf Basis von EU-Standardvertragsklauseln (SCCs) bzw. Auftragsverarbeitungsvereinbarungen.

11.4 Weiterleitung an menschliche Mitarbeiter

Bei Bedarf können Anrufe an menschliche Mitarbeiter weitergeleitet werden. In diesem Fall wird der Gesprächskontext übertragen, um eine nahtlose Kommunikation zu ermöglichen.

12) E-Mail-Versand

Über die Plattform kann der Chatbot im Auftrag des Kunden E-Mails an Nutzer:innen versenden (z. B. Gesprächszusammenfassungen, Buchungslinks, Angebote).

Rechtsgrundlage für transaktionale E-Mails: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/Durchführung).

Rechtsgrundlage für Marketing-E-Mails: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Marketing-E-Mails werden nur nach Double-Opt-In-Bestätigung versendet und enthalten stets einen Abmeldelink.

Der E-Mail-Versand erfolgt über SMTP-Dienste, die vom jeweiligen Kunden oder von Yuupless bereitgestellt werden. Jede E-Mail enthält ein Impressum gemäß § 5 TMG/DDG.

13) Kontaktspeicherung und Einwilligung

Zur Ermöglichung der kanalübergreifenden Kommunikation können Kontaktdaten von Nutzer:innen gespeichert werden.

13.1 Technische Schutzmaßnahmen

Personenbezogene Kontaktdaten (E-Mail-Adresse, Telefonnummer, Name) werden mit AES-256-CBC verschlüsselt gespeichert. Für Suchabfragen werden deterministische SHA-256-Hashes verwendet, sodass eine Suche möglich ist, ohne die verschlüsselten Daten entschlüsseln zu müssen.

13.2 Einwilligung und Double Opt-In

Für den Marketing-Versand (E-Mail, WhatsApp) wird eine ausdrückliche Einwilligung im Double-Opt-In-Verfahren eingeholt. Der Einwilligungszeitpunkt und die Einwilligungsart werden revisionssicher dokumentiert.

Die Einwilligung kann jederzeit widerrufen werden – über den Abmeldelink in jeder Nachricht oder durch Kontaktaufnahme mit dem Verantwortlichen.

13.3 Löschung

Kontaktdaten werden auf Löschanfrage (Art. 17 DSGVO) oder nach Ablauf der Aufbewahrungsfrist (maximal 24 Monate nach letztem Kontakt) gelöscht. Eine Löschung umfasst auch die zugehörigen Kommunikationsprotokolle.

14) Kanalwechsel und Übergabe an Mitarbeiter (Handoff)

Die Plattform ermöglicht den Wechsel zwischen Kommunikationskanälen (z. B. Web-Chat → WhatsApp, Web-Chat → Telefon) sowie die Übergabe von Gesprächen an menschliche Mitarbeiter.

Bei einem Kanalwechsel wird der bisherige Gesprächskontext tokenbasiert übertragen (einmalig verwendbar, 15 Minuten gültig). Nutzer:innen werden über die Kontextübertragung informiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer nahtlosen Gästekommunikation).

15) KI-Transparenzhinweis (EU AI Act)

Gemäß Art. 50 Abs. 1 der EU-Verordnung über Künstliche Intelligenz (KI-Verordnung / EU AI Act) informiert Yuupless AI Nutzer:innen darüber, dass sie mit einem KI-System interagieren.

Dieser Hinweis erfolgt kanalspezifisch:

  • Web-Chat: Kennzeichnung als KI-Assistent in der Benutzeroberfläche

  • WhatsApp: Hinweis in der Willkommensnachricht

  • Telefon: Verbale Ansage zu Gesprächsbeginn

16) Hosting, Datenbank und Infrastruktur (EU/Frankfurt)

Die technische Bereitstellung der Plattform erfolgt über Hosting- und Infrastruktur-Dienstleister. Nach aktueller Konfiguration werden Rechenzentrumsregionen innerhalb der EU/EWR (z. B. Frankfurt am Main) genutzt.

17) Analytics (optional, PostHog EU)

Sofern Analytics aktiviert ist und eine entsprechende Einwilligung erteilt wurde, kann PostHog zur Messung und Verbesserung der Nutzung eingesetzt werden (EU Endpoint).

Rechtsgrundlagen:

  • Endgerät: § 25 Abs. 1 TDDDG (Einwilligung)

  • DSGVO: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

18) Auftragsverarbeitung / Unterauftragsverarbeiter

Je nach Konfiguration können folgende Kategorien von Dienstleistern eingesetzt werden:

  • Hosting-Anbieter (z. B. Vercel Inc., USA – EU-Region Frankfurt)

  • Datenbank-Anbieter

  • KI-Anbieter (z. B. OpenAI, USA – Standardvertragsklauseln)

  • Telefonie-/Messaging-Anbieter (z. B. Twilio Inc., USA – Standardvertragsklauseln)

  • Sprach-KI-Anbieter (z. B. ElevenLabs Inc., USA – Auftragsverarbeitungsvereinbarung)

  • Analytics-Anbieter (z. B. PostHog, EU)

  • SMTP-/E-Mail-Anbieter (je nach Kundenkonfiguration)

Mit den eingesetzten Dienstleistern bestehen Vereinbarungen zur Auftragsverarbeitung nach Art. 28 DSGVO, soweit erforderlich. Für Dienstleister mit Sitz in den USA werden EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO eingesetzt.

19) Betroffenenrechte

Betroffene Personen haben – unter den gesetzlichen Voraussetzungen – folgende Rechte:

  • Auskunft (Art. 15 DSGVO)

  • Berichtigung (Art. 16 DSGVO)

  • Löschung (Art. 17 DSGVO)

  • Einschränkung der Verarbeitung (Art. 18 DSGVO)

  • Datenübertragbarkeit (Art. 20 DSGVO)

  • Widerspruch (Art. 21 DSGVO)

  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Anfragen können an die in Abschnitt 1 genannten Kontaktdaten gerichtet werden. Für Anfragen bezüglich der Datenverarbeitung durch einen konkreten Chatbot-Betreiber wenden Sie sich bitte direkt an den jeweiligen Verantwortlichen (Website-Betreiber).

20) Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO).

Yuupless
yuupless web development and graphic design bomb icon
© Yuupless 2026. All rights reserved

cheerio[ät]yuupless.com

LinksImprintPrivacy