Diese Datenschutzerklärung gilt für das KI-Chat-Widget von RSTCode und die damit verbundene SaaS-Plattform. Sie richtet sich an die Betreiber (Geschäftskunden), die das Widget einbinden, sowie an die Endnutzer (Besucher der Kundenwebsites).
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO für das KI-Chat-Widget ist:
Hinweis für Geschäftskunden: Wenn Sie das Widget auf Ihrer Website einbinden, sind Sie als Betreiber Ihrer Website selbst Verantwortlicher für die Datenverarbeitung Ihrer Besucher. RSTCode agiert als Auftragsverarbeiter. Bitte schließen Sie mit uns einen Auftragsverarbeitungsvertrag (AVV) ab.
2. Welche Daten werden verarbeitet?
2.1 Chat-Metadaten
Beim Einsatz des Widgets werden folgende technische Metadaten verarbeitet und auf unserem EU-Server gespeichert:
| Datenkategorie | Inhalt | Zweck | Speicherort |
|---|
| Session-ID |
Anonyme, zufällig generierte Kennung (keine Personenbeziehbarkeit) |
Zuordnung von Nachrichten innerhalb einer Chat-Sitzung |
EU-Server (ALL-INKL, DE) |
| Zeitstempel |
Datum und Uhrzeit der Chat-Anfrage |
Statistik, Fehleranalyse |
EU-Server (ALL-INKL, DE) |
| Client-ID |
Kennung der einbindenden Website |
Zuordnung zum richtigen Kundenkonto |
EU-Server (ALL-INKL, DE) |
Wichtig: Chat-Inhalte (der Text der Nachrichten) werden von RSTCode nicht gespeichert. Sie werden ausschließlich zur KI-Verarbeitung an Anthropic übermittelt (siehe 2.2) und danach nicht persistiert.
2.2 Nachrichteninhalte (Übermittlung an Anthropic)
Der Text der Chat-Nachrichten wird zur KI-gestützten Beantwortung an Anthropic PBC, San Francisco, USA übermittelt. Anthropic betreibt die Claude KI-API.
- Verarbeitungszweck: KI-gestützte Beantwortung von Benutzeranfragen
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) sowie Art. 46 DSGVO (geeignete Garantien bei Drittlandübermittlung)
- Drittlandübermittlung: USA – gesichert durch Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO
- Anthropic Datenschutz: https://www.anthropic.com/legal/privacy
Hinweis an Endnutzer: Bitte übermitteln Sie keine sensiblen personenbezogenen Daten (z.B. Passwörter, Kreditkartennummern, Gesundheitsdaten) über das Chat-Widget, da diese Daten zur KI-Verarbeitung in die USA übertragen werden.
2.3 Hochgeladene Dokumente
Wenn Kunden (Betreiber) Dokumente zur Wissenserweiterung des KI-Agenten hochladen, werden diese auf unserem EU-Server gespeichert und zur KI-Verarbeitung an Anthropic übermittelt. Diese Daten unterliegen dem abgeschlossenen AVV.
2.4 Browser-Session (kein Tracking)
Das Widget verwendet ausschließlich den sessionStorage des Browsers für:
- Die anonyme Session-ID (für Chat-Kontinuität innerhalb eines Browser-Tabs)
- Den Gesprächsverlauf (nur im aktiven Tab, wird beim Schließen des Tabs gelöscht)
- Den DSGVO-Hinweis-Status (ob der Nutzer den Datenschutzhinweis bestätigt hat)
Es werden keine Cookies gesetzt, kein Tracking durchgeführt und keine Daten dauerhaft im Browser gespeichert.
3. Rechtsgrundlagen der Verarbeitung
| Verarbeitung | Rechtsgrundlage |
|---|
| Bereitstellung der SaaS-Plattform für Kunden |
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Chat-Metadaten (Statistik, Fehleranalyse) |
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Systemoptimierung) |
| Übermittlung von Chat-Inhalten an Anthropic |
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i.V.m. Art. 46 DSGVO (SCCs) |
4. Auftragsverarbeiter
RSTCode arbeitet mit folgenden Auftragsverarbeitern zusammen:
Die Übermittlung an Anthropic in die USA erfolgt auf Basis von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
5. Speicherdauer
- Chat-Metadaten: Werden nach spätestens 90 Tagen automatisch gelöscht
- Chat-Inhalte: Werden von RSTCode nicht dauerhaft gespeichert; die Übermittlung an Anthropic erfolgt ausschließlich zur Live-Verarbeitung
- Kundendaten (Betreiber): Für die Dauer des Vertragsverhältnisses, danach innerhalb von 30 Tagen gelöscht; gesetzliche Aufbewahrungsfristen (z.B. Buchführungspflichten 7 Jahre) bleiben unberührt
- Browser-sessionStorage: Wird automatisch beim Schließen des Browser-Tabs gelöscht
6. Rechte der Betroffenen
Als betroffene Person haben Sie folgende Rechte:
- Auskunft (Art. 15 DSGVO): Information darüber, welche Daten wir über Sie verarbeiten
- Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
- Löschung (Art. 17 DSGVO): Löschung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung Ihrer Daten
- Datenübertragbarkeit (Art. 20 DSGVO): Erhalt Ihrer Daten in maschinenlesbarem Format
- Widerspruch (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: kontakt@rstcode.at
Wir beantworten Anfragen innerhalb von 30 Tagen.
7. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren:
- Österreichische Datenschutzbehörde (DSB)
- Barichgasse 40-42, 1030 Wien
- Website: https://dsb.gv.at
- E-Mail: dsb@dsb.gv.at
8. Datensicherheit
RSTCode trifft angemessene technische und organisatorische Maßnahmen (TOM) zum Schutz Ihrer Daten:
- Verschlüsselte Datenübertragung via HTTPS/TLS
- Zugriffsbeschränkungen auf Produktivsysteme
- Regelmäßige Sicherheitsupdates
- Hosting ausschließlich auf zertifizierten EU-Servern
- Keine dauerhaft Speicherung von Chat-Inhalten
9. Änderungen dieser Datenschutzerklärung
RSTCode behält sich vor, diese Datenschutzerklärung bei Änderungen der gesetzlichen Anforderungen oder der eingesetzten Dienste anzupassen. Die aktuelle Version ist stets unter rstcode.at/ki-chat/legal/datenschutz-de.html abrufbar.