Einsatz eines KI-gestützten Chatbots
Beschreibung und Zweck der Verarbeitung
Auf unserer Website setzen wir einen KI-gestützten Chatbot ein. Der Chatbot dient dazu, Ihnen allgemeine Informationen rund um den Führerscheinerwerb zu geben und Ihnen die Möglichkeit zu bieten, einen unverbindlichen Beratungstermin anzufragen.
Der Chatbot verwendet künstliche Intelligenz (KI) zur Generierung seiner Antworten. Die Antworten des Chatbots können ungenau oder unvollständig sein und stellen keine rechtsverbindliche Beratung dar. Für verbindliche Informationen wenden Sie sich bitte direkt an unser Sekretariat.
Der Chatbot wird als Software-as-a-Service (SaaS) durch unseren Dienstleister Al Saad / Menden GbR, Gretescher Weg 69, 49084 Osnabrück, auf deren Infrastruktur betrieben. Wir haben mit diesem Dienstleister einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen.
Welche Daten werden erhoben?
Im Rahmen der Chatbot-Nutzung werden folgende Daten verarbeitet:
- Chat-Nachrichten: Der Inhalt Ihrer Nachrichten wird zur Generierung einer Antwort verarbeitet.
- Name: Sofern Sie Ihren Namen im Chat nennen, wird dieser für die persönliche Ansprache und ggf. für eine Terminanfrage verwendet.
- E-Mail-Adresse: Sofern Sie eine Terminanfrage stellen, wird Ihre E-Mail-Adresse für die Terminbestätigung per E-Mail benötigt.
- Telefonnummer (optional): Falls Sie Ihre Telefonnummer angeben, wird diese für eine mögliche Rückrufvereinbarung gespeichert.
- Session-ID: Eine zufällig generierte Kennung zur Zuordnung Ihres Gesprächsverlaufs. Die Kennung selbst enthält keine Klardaten; da sie jedoch im System mit Ihren Chat- oder ggf. Terminanfrage-Daten verknüpft sein kann, behandeln wir sie als pseudonymes Datum im Sinne von Art. 4 Nr. 5 DSGVO.
- Kenntnisnahme-Protokoll: Wenn Sie den Datenschutzhinweis im Chat-Widget bestätigen („Verstanden, Chat starten“), wird ein Protokolleintrag mit Session-ID und Zeitstempel gespeichert. Dies dient dem Nachweis, dass Sie über die Datenverarbeitung informiert wurden (Art. 5 Abs. 2 DSGVO).
Der Chatbot selbst setzt keine eigenen Cookies und speichert keine IP-Adressen in der Chatbot-Datenbank. Zur Abwehr von Missbrauch (z. B. übermäßig vielen Anfragen) wird Ihre IP-Adresse lediglich kurzzeitig im Arbeitsspeicher geprüft und nicht dauerhaft gespeichert (Art. 6 Abs. 1 lit. f DSGVO). Unabhängig davon können technische Server- und Provider-Logs (z. B. Reverse-Proxy, Hosting-Anbieter) Verbindungsdaten einschließlich IP-Adressen kurzfristig enthalten; diese werden ausschließlich zu Sicherheits-, Stabilitäts- und Fehleranalyse-Zwecken verarbeitet und nicht zur Nutzeranalyse verwendet. Standort- oder Gerätedaten werden nicht erhoben. Das Chat-Widget speichert keine Informationen auf Ihrem Endgerät (weder Cookies noch Local Storage noch Session Storage); die Sitzungs-Kennung besteht lediglich flüchtig im Arbeitsspeicher Ihres Browsers für die Dauer des Seitenaufrufs und wird mit dem Schließen oder Neuladen der Seite verworfen. Ein einwilligungspflichtiger Endgerätezugriff nach § 25 TDDDG findet daher nicht statt (kein Cookie-Banner für den Chatbot erforderlich). Eine Analyse Ihres Nutzungsverhaltens findet nicht statt. Bitte beachten Sie, dass der Webserver oder andere Dienste auf dieser Website unabhängig davon technische Zugriffsdaten verarbeiten können — siehe hierzu die übrigen Abschnitte dieser Datenschutzerklärung.
Rechtsgrundlage (Art. 6 DSGVO)
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Die Verarbeitung Ihrer Chat-Nachrichten zur Beantwortung Ihrer Fragen erfolgt auf Grundlage unseres berechtigten Interesses an einer effizienten und zeitgemäßen Kundenbetreuung. Sie öffnen den Chat aktiv und senden Ihre Nachricht freiwillig. Eine dokumentierte Interessenabwägung (Legitimate Interest Assessment) liegt vor.
- Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen): Sofern Sie einen Beratungstermin anfragen, werden Ihre Kontaktdaten (Name, E-Mail, ggf. Telefonnummer) zur Durchführung dieser vorvertraglichen Anfrage verarbeitet.
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Die Sicherheitsprotokollierung (z. B. Erkennung von Missbrauch) sowie die Kenntnisnahme-Protokollierung erfolgen auf Grundlage unseres berechtigten Interesses an einem sicheren Betrieb und der Erfüllung unserer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).
Datenschutzmaßnahmen bei der KI-Verarbeitung
Zum Schutz Ihrer Daten werden besondere technische Maßnahmen eingesetzt:
- Pseudonymisierung (Art. 25 DSGVO): E-Mail-Adressen und Telefonnummern werden vor der Übermittlung an den KI-Dienst automatisch erkannt und durch Platzhalter ersetzt. Dadurch werden diese Kontaktdaten regelmäßig nicht an den KI-Dienst übermittelt. Ihr Name wird an den KI-Dienst übermittelt, damit der Chatbot Sie persönlich ansprechen kann. Der KI-Dienst verwendet Ihre Daten nicht zum Training von KI-Modellen (vertragliche Zusicherung von Microsoft).
- Verschlüsselung: Alle Daten werden verschlüsselt übertragen (HTTPS/TLS).
- Mandantentrennung: Ihre Daten sind technisch von den Daten anderer Fahrschulen getrennt, die denselben SaaS-Dienst nutzen.
- Verarbeitung durch den KI-Anbieter: Der KI-Dienst (Microsoft Azure OpenAI, EU-Region) verwendet Ihre Nachrichten nicht für das Training von KI-Modellen. Zur Erkennung von Missbrauch kann Microsoft die übermittelten (pseudonymisierten) Inhalte bis zu 30 Tage verschlüsselt speichern; eine Einsichtnahme durch autorisiertes Microsoft-Personal erfolgt nur bei konkretem Missbrauchsverdacht. Eine darüber hinausgehende dauerhafte Speicherung findet nicht statt.
Empfänger der Daten und Auftragsverarbeiter
Für den Betrieb des Chatbots setzt unser Dienstleister (Al Saad / Menden GbR) folgende Unterauftragsverarbeiter ein. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO, die zwischen Al Saad / Menden GbR und den jeweiligen Anbietern abgeschlossen wurden:
| Anbieter | Funktion | Serverstandort | Übermittlungsgrundlage |
|---|---|---|---|
| Hostinger International Ltd. (Zypern, EU) | Server-Hosting und E-Mail-Versand | EU | EU-Region; keine planmäßige Drittlandübermittlung. Etwaige supportbedingte Drittlandzugriffe nur nach Maßgabe des Hostinger-DPA/SCCs (Art. 46 DSGVO) |
| Microsoft Ireland Operations Ltd. (Irland, EU) | KI-Sprachverarbeitung (Azure OpenAI) | EU (Sweden Central) | EU-Region; keine planmäßige Drittlandübermittlung. Etwaige Drittlandzugriffe (z. B. Support durch Microsoft Corp., USA) nur nach Maßgabe des Microsoft-DPA/SCCs (Art. 46 DSGVO) |
| Supabase, Inc. (USA) | Datenbank (PostgreSQL) | EU West (Irland) | EU-Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c) + ergänzende Schutzmaßnahmen |
Die Speicherung und Verarbeitung erfolgt primär in EU-Rechenzentren. Bei Supabase, Inc. (Unternehmenssitz USA) kann ein administrativer Drittlandsbezug — z. B. supportbedingter Zugriff durch Mitarbeitende in den USA — nicht vollständig ausgeschlossen werden; dieser ist über die unten genannten EU-Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO) und ergänzende technische und organisatorische Schutzmaßnahmen abgesichert.
Im Fall von Supabase, Inc. (Unternehmenssitz USA) erfolgt die Absicherung der Übermittlung über die EU-Standardvertragsklauseln (SCCs) der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Ein Angemessenheitsbeschluss (Art. 45 DSGVO) wird nicht in Anspruch genommen, da Supabase nicht unter dem EU-US Data Privacy Framework zertifiziert ist. Eine Kopie der geeigneten Garantien (SCCs) können Sie bei uns unter den oben genannten Kontaktdaten anfordern; der Text der Standardvertragsklauseln ist zudem öffentlich auf der Website der Europäischen Kommission verfügbar (Art. 13 Abs. 1 lit. f DSGVO).
Eine Übermittlung Ihrer Daten an Dritte zu Werbe- oder sonstigen Zwecken findet nicht statt.
Speicherdauer
| Datenart | Speicherdauer |
|---|---|
| Terminanfragen (Name, E-Mail, Termin) | Bis zur Durchführung des Beratungstermins, max. 30 Tage |
| Chat-Verlauf | 30 Tage |
| Session-Daten | 30 Tage nach letzter Aktivität |
| Sicherheitsprotokolle | 30 Tage |
| Kenntnisnahme-Protokoll (Datenschutzhinweis) | 30 Tage |
Nach Ablauf der Speicherdauer werden die Daten in den produktiven Datenbeständen automatisch gelöscht. Backups: Aus Gründen der Ausfallsicherheit werden technische Backups des Datenbanksystems durch unseren Datenbank-Anbieter (Supabase, EU West/Irland) für einen begrenzten Zeitraum vorgehalten. In Backups können bereits gelöschte Daten für diesen Zeitraum noch enthalten sein. Backups werden ausschließlich zur Wiederherstellung im Ausfall- oder Störungsfall verwendet, nicht zur aktiven Verarbeitung. Nach einer Wiederherstellung werden abgelaufene Daten erneut durch das Löschverfahren bereinigt.
Ihre Rechte
Sie haben gemäß der DSGVO folgende Rechte:
- Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die über Sie gespeicherten Daten verlangen.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Korrektur unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen („Recht auf Vergessenwerden“).
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Basis berechtigten Interesses jederzeit widersprechen. Wir stellen die Verarbeitung dann ein, sofern keine zwingenden schutzwürdigen Gründe vorliegen. Den Chat können Sie jederzeit schließen.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:
Fahrschule Wiener
Charlottenstraße 49
88045 Friedrichshafen
E-Mail: info@fahrschulewiener.de
Telefon: 07541 7611
Erforderlichkeit und automatisierte Entscheidungen (Art. 13 Abs. 2 lit. e+f DSGVO)
Allgemeine Fragen können ohne Angabe personenbezogener Daten gestellt werden. Für eine Terminanfrage sind Name und E-Mail erforderlich; Telefonnummer ist freiwillig. Eine automatisierte Entscheidungsfindung oder Profiling (Art. 22 DSGVO) findet nicht statt.
KI-Transparenz (EU AI Act Art. 50)
Dieser Chatbot verwendet ein KI-System (Large Language Model) zur Generierung von Antworten. Sie interagieren mit einem KI-System, nicht mit einem menschlichen Gesprächspartner. Wenn Sie eine persönliche Beratung durch einen Menschen wünschen, wenden Sie sich bitte direkt an unsere Mitarbeiterinnen und Mitarbeiter.
Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
https://www.baden-wuerttemberg.datenschutz.de