ChatBlitz
Kostenlos testen
DeutschEnglish
Rechtliches

Datenschutzerklärung

Gemäß DSGVO und BDSG · Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

VebiSoft · Inhaber Vebi Fejzuli
Ernst-Heinkel-Straße 14
71404 Korb (Rems-Murr-Kreis), Deutschland
E-Mail: info@vebisoft.com
Telefon: +49 176 32223663

ChatBlitz ist ein Produkt der VebiSoft (Inhaber Vebi Fejzuli).

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich zu den nachfolgend beschriebenen Zwecken. Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) und, soweit eine Einwilligung erforderlich ist, Art. 6 Abs. 1 lit. a DSGVO. Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

3. Server-Log-Dateien (Vercel-Hosting)

Beim Aufruf unserer Website erhebt unser Hosting-Anbieter Vercel automatisch Informationen, die der Browser an den Server übermittelt:

  • IP-Adresse des anfragenden Geräts (anonymisiert nach 14 Tagen)
  • Datum und Uhrzeit der Anfrage
  • Browser-Typ und -Version
  • Betriebssystem
  • Referrer-URL und aufgerufene Seite

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Stabilität). Speicherdauer: 14 Tage.

4. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies (Session, Spracheinstellung). Es erfolgt kein Tracking, keine Werbe-Cookies und kein Profiling.

5. ChatBlitz-Service: Verarbeitung von WhatsApp-Nachrichten

ChatBlitz ist ein KI-basierter WhatsApp-Assistent, der für unsere Geschäftskunden WhatsApp-Nachrichten automatisiert beantwortet. Bei der Nutzung des Dienstes werden folgende personenbezogene Daten verarbeitet:

a) Daten unserer Geschäftskunden (B2B):

  • Name, Geschäftsadresse, E-Mail-Adresse, Telefonnummer
  • Rechnungs- und Zahlungsdaten
  • Konfiguration des KI-Assistenten und Wissensdaten
  • Login-Daten und Authentifizierung (E-Mail, Google OAuth, Facebook OAuth)

b) Daten der Endkunden unserer Geschäftskunden (Personen, die Nachrichten an die WhatsApp-Nummer unseres Kunden senden):

  • Telefonnummer (von WhatsApp übermittelt)
  • WhatsApp-Profilname (sofern öffentlich)
  • Inhalt der ausgetauschten Nachrichten (Text, Medien)
  • Zeitstempel und Konversationsverlauf

Rechtsgrundlage:

  • Für Geschäftskunden: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Für Endkunden: Auftragsverarbeitung gem. Art. 28 DSGVO im Auftrag unserer Geschäftskunden, die ihrerseits eine eigene Rechtsgrundlage benötigen (z. B. Einwilligung des Endkunden gem. § 7 UWG / Art. 6 DSGVO).

5a. Transparenz nach EU-KI-Verordnung (AI Act)

Gemäß Art. 50 der EU-Verordnung über künstliche Intelligenz (KI-VO / AI Act) weisen wir ausdrücklich darauf hin: Endkunden, die über WhatsApp mit unseren Geschäftskunden kommunizieren, interagieren zunächst mit einem KI-Assistenten. Ein entsprechender Hinweis wird zu Beginn jeder Konversation eingeblendet, beispielsweise:

„Hinweis: Sie kommunizieren zunächst mit einem KI-Assistenten. Bei Bedarf kann ein Mensch übernehmen."

Die Geschäftskunden sind vertraglich verpflichtet, diese Transparenz gegenüber ihren Endkunden sicherzustellen.

6. WhatsApp Business Platform (Meta) — eigenständiger Anbieter

Für die Übermittlung von Nachrichten nutzen wir die WhatsApp Business Platform (Cloud API) der Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland.

Meta ist kein Auftragsverarbeiter im Sinne von Art. 28 DSGVO, sondern ein eigenständiger Anbieter (selbstständig Verantwortlicher) im Sinne von Art. 4 Nr. 7 DSGVO. Meta verarbeitet Nachrichteninhalte, Metadaten und Telefonnummern für eigene Zwecke gemäß den WhatsApp-Nutzungsbedingungen und der WhatsApp-Datenschutz­richtlinie. Die Nutzung der WhatsApp Business Platform setzt voraus, dass Geschäftskunden und Endkunden die Bedingungen von Meta akzeptieren. Auf den Umfang der Datenverarbeitung durch Meta haben wir keinen Einfluss.

Maßgeblich sind die Bedingungen und Hinweise von Meta:

Die Datenübermittlung kann auch in Drittländer (außerhalb der EU/EWR) erfolgen. Meta beruft sich hierfür auf Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie das EU-US Data Privacy Framework. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO.

7. KI-Verarbeitung (Azure OpenAI Frankfurt)

Zur automatisierten Generierung von Antworten nutzen wir den Azure OpenAI Service, betrieben von Microsoft Ireland Operations Limited, in der Region Frankfurt (Germany West Central), Deutschland.

Folgende Daten werden an Azure OpenAI übermittelt:

  • Eingehende Nachrichteninhalte (Text)
  • Konfigurierte Bot-Anweisungen („System Prompt")
  • Begrenzter Konversationskontext zur Generierung relevanter Antworten

Wichtige Sicherheitsmerkmale:

  • Verarbeitung in der EU-Region Frankfurt (Germany West Central) nach aktueller Konfiguration 🇩🇪
  • Verschlüsselte Übertragung (TLS 1.3)
  • Mit Microsoft besteht ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO
  • Eine vertraglich garantierte „Zero Data Retention" (vollständiger Verzicht auf jegliche Zwischenspeicherung) besteht nicht für alle Modelle und Regionen gleichermaßen und ist abhängig von den jeweils zwischen ChatBlitz und Microsoft vereinbarten Konditionen. Standardmäßig kann Microsoft Eingaben und Ausgaben kurzzeitig zur Missbrauchsprüfung speichern (Abuse Monitoring), sofern diese Funktion nicht ausgeschlossen wurde.

Unabhängig davon gilt: Deine Daten werden NICHT für das Training von KI-Modellen verwendet. Microsoft trainiert seine Foundation-Modelle nicht mit Kundendaten des Azure OpenAI Service. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und Art. 28 DSGVO.

8. Datenspeicherung (Supabase, EU-Region)

Wir speichern Konversationsdaten, Konfigurationen und Geschäftskundendaten in einer verschlüsselten PostgreSQL-Datenbank, betrieben von Supabase Inc. (970 Toa Payoh North, Singapur). Der primäre Datenstandort ist die EU-Region Frankfurt 🇩🇪.

Mit Supabase besteht ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO, einschließlich Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO. Supabase ist ein US-amerikanisches Unternehmen; Support- und Engineering-Tätigkeiten sowie einzelne Sub-Auftragsverarbeiter können in Drittländern (u. a. USA) ansässig sein. Eine absolute Drittlandfreiheit kann daher nicht garantiert werden. Für die Datenspeicherung und Verarbeitung im regulären Betrieb wird die EU-Region genutzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 28 DSGVO und Art. 46 DSGVO.

9. Hosting (Vercel)

Die ChatBlitz-Webanwendung wird gehostet bei Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). Die Funktionsausführung erfolgt in EU-Regionen. Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzender Schutzmaßnahmen (EU-US Data Privacy Framework). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

9a. Vercel Web Analytics

Diese Website nutzt Vercel Web Analytics, einen datenschutzfreundlichen Analysedienst der Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA), um aggregierte Informationen über Seitenaufrufe, Herkunftsländer, verwendete Geräte und die Nutzung der Website zu erhalten. Die Auswertung dient ausschließlich der technischen Verbesserung, Reichweitenmessung und Optimierung unseres Online-Angebots. Vercel Web Analytics verwendet nach Angaben des Anbieters keine Cookies für werbliche Zwecke und erstellt keine personenbezogenen Nutzerprofile für Cross-Site-Tracking.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Analyse, Sicherheit und Verbesserung unseres Online-Angebots. Ein Cookie-Einwilligungsbanner ist für Vercel Web Analytics nicht erforderlich, da keine werblichen Cookies oder Cross-Site-Profile erstellt werden. Sollten zukünftig Tracking-Tools wie Google Analytics, Meta Pixel oder Werbenetzwerke eingesetzt werden, werden diese erst nach ausdrücklicher Einwilligung geladen.

Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzend des EU-US Data Privacy Framework.

10. E-Mail-Routing (Cloudflare)

Für die Zustellung von E-Mails an info@chatblitz.de und ähnliche Adressen nutzen wir Email Routing von Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA). Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

11. Facebook Login for Business (OAuth)

Für die Authentifizierung unserer Geschäftskunden nutzen wir „Facebook Login for Business" der Meta Platforms Ireland Limited. Beim Login werden folgende Daten übermittelt:

  • Facebook User ID
  • Name und E-Mail-Adresse (sofern freigegeben)
  • Zugriffstoken zur Verwaltung der WhatsApp Business Account-Assets

Diese Daten werden ausschließlich zur Authentifizierung und zur Verwaltung der WhatsApp-Integration verwendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

12. Sub-Processor-Liste (Auftragsverarbeiter)

Wir setzen folgende Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein:

  • Microsoft Ireland Operations Ltd. — Azure OpenAI Service; Verarbeitungsort: Frankfurt 🇩🇪.
  • Supabase Inc. — Datenbank, Authentifizierung und Storage; Verarbeitungsort: Frankfurt 🇩🇪.
  • Vercel Inc. — Hosting der Webanwendung und Webanalyse (Vercel Web Analytics); Verarbeitungsort: EU-Regionen 🇪🇺.
  • Cloudflare, Inc. — Email Routing; Standort USA, Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
  • Resend Inc. — Versand transaktionaler E-Mails; Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
  • Sentry Inc. — Fehler- und Performance-Monitoring; Standort USA (Sentry.io, San Francisco), Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Verarbeitete Daten: Fehlerprotokolle, technische Metadaten, ggf. anonymisierte Nutzerkennungen.

Hinweis zu Meta Platforms Ireland Ltd.: Meta ist hinsichtlich der WhatsApp Business Platform (Cloud API) kein Auftragsverarbeiter im Sinne von Art. 28 DSGVO, sondern eigenständig Verantwortlicher (Art. 4 Nr. 7 DSGVO). Näheres siehe Abschnitt 6 dieser Datenschutzerklärung.

Eine aktualisierte Liste stellen wir auf Anfrage zur Verfügung.

13. Speicherdauer

  • WhatsApp-Konversationen: bis zu 12 Monate, danach automatisch gelöscht
  • Wissensdaten (FAQs, Dokumente): bis zur Löschung durch den Kunden
  • Account-Daten: nach Löschanforderung 30 Tage Soft-Delete, anschließend vollständige Entfernung
  • Rechnungs- und steuerrelevante Daten: gemäß § 147 AO bzw. § 257 HGB bis zu 10 Jahre
  • Server-Logs: 14 Tage; Sicherheits-Logs: 30 Tage

14. Rechte der betroffenen Personen

Du hast jederzeit folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Berichtigungsrecht (Art. 16 DSGVO)
  • Löschungsrecht (Art. 17 DSGVO) — siehe Datenlöschung
  • Einschränkungsrecht (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)
  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Ein Daten-Export als JSON ist direkt im Dashboard möglich. Anfragen sende bitte an info@vebisoft.com.

15. Beschwerderecht bei der Aufsichtsbehörde

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Königstraße 10a, 70173 Stuttgart
Telefon: 0711 / 615541-0
E-Mail: poststelle@lfdi.bwl.de
baden-wuerttemberg.datenschutz.de

16. Auftragsverarbeitungsvertrag (AVV)

Mit jedem Geschäftskunden (B2B) schließen wir verpflichtend einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Der AVV ist fester Bestandteil des Hauptvertrages und gilt mit Vertragsabschluss als geschlossen. Eine aktuelle Fassung steht im Dashboard zum Download bereit.

17. Besonders schützenswerte / sensible Daten

ChatBlitz ist ein allgemeines B2B-Kommunikationswerkzeug und nach Art. 9 DSGVO nicht standardmäßig für die Verarbeitung besonderer Kategorien personenbezogener Daten ausgelegt. Dies betrifft insbesondere:

  • Gesundheitsdaten (Arzt-/Patientenkommunikation, Diagnosen, Rezepte)
  • Mandanten- und Berufsgeheimnisdaten von Rechtsanwälten und Notaren (§ 203 StGB)
  • Steuerberatungs- und Wirtschaftsprüferdaten (§ 203 StGB / § 57 StBerG)
  • Versicherungs- und Schadensdaten mit Gesundheitsbezug
  • Daten zu religiöser, ethnischer, sexueller oder politischer Orientierung
  • Biometrische Daten und genetische Daten

Geschäftskunden aus reglementierten Berufsfeldern (Ärzte, Praxen, Rechtsanwälte, Steuerberater, Versicherungsmakler etc.) dürfen ChatBlitz für die Verarbeitung derartiger Daten nur dann einsetzen, wenn hierfür eine gesonderte schriftliche Vereinbarung mit ChatBlitz besteht (insbesondere ergänzender AVV mit Berufsgeheimnis­schutz, Konfiguration der Wissensdatenbank, Auswahl der Sub-Auftragsverarbeiter, Zugriffs­beschränkungen). Endkunden ist von der Übermittlung solcher Daten über den Bot ausdrücklich abzuraten — der KI-Assistent ist nicht für Diagnosen, Rechts- oder Steuerberatung im Einzelfall vorgesehen. Geschäftskunden sind verpflichtet, in ihrer Bot-Konfiguration und Endkunden­kommunikation entsprechende Hinweise vorzusehen.

Erfolgt eine Verarbeitung sensibler Daten ohne entsprechende Zusatzvereinbarung, liegt die Verantwortung allein beim jeweiligen Geschäftskunden als datenschutzrechtlich Verantwortlichem (Art. 4 Nr. 7 DSGVO).

18. Datensicherheit

Die Übertragung erfolgt verschlüsselt über TLS 1.3. API-Schlüssel und Zugangstoken werden serverseitig mit AES-256-GCM verschlüsselt gespeichert.

19. Aktualität und Änderung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen abbildet.

© 2026 VebiSoft — Inhaber Vebi Fejzuli. Alle Rechte vorbehalten.