Datenschutzerklärung

Aktualisiert am 8. Juli 2026

Wir sind eine Integrationsebene auf Basis von Google Vertex AI Search. Suche, Antwortgenerierung und Indexierung laufen auf der Infrastruktur von Google Cloud. Diese Erklärung beschreibt, welche Daten verarbeitet werden, wer wofür verantwortlich ist und wie die Rechte betroffener Personen gewahrt werden.

Rollen: Wer ist Verantwortlicher, wer ist Auftragsverarbeiter

Der Website-Betreiber, der das Widget einbindet, ist der Verantwortliche für die Daten seiner Besucher und für den Inhalt seiner Website. Wir handeln als Auftragsverarbeiter im Auftrag des Betreibers, und Google Cloud ist Unterauftragsverarbeiter (Verarbeitung innerhalb von Vertex AI / Gemini). Für das eigene Konto des Betreibers (E-Mail, Zahlungen) sind wir der Verantwortliche.

Darüber hinaus verarbeiten wir den Anfragetext von Besuchern in begrenztem Umfang für eigene Zwecke — Qualitätskennzahlen und Missbrauchsschutz; in diesem eng begrenzten Teil handeln wir als eigenständig Verantwortlicher. Rechtsgrundlage ist unser berechtigtes Interesse (Art. 6(1)(f) GDPR) daran, den Dienst betriebsbereit, sicher und korrekt zu halten; wir haben eine Abwägung der berechtigten Interessen (LIA) durchgeführt, und dieses Interesse überwiegt nicht die Betroffenenrechte.

Zahlungen werden von Paddle als Merchant of Record abgewickelt: In Bezug auf die Zahlungstransaktion handelt Paddle als Merchant of Record und als eigenständig Verantwortlicher für Zahlungsdaten, nicht als unser Unterauftragsverarbeiter.

Welche Daten verarbeitet werden

  • Website-Inhalte — die öffentlichen Seiten des Betreibers werden indexiert, damit Antworten auf ihnen beruhen können.
  • Besucheranfragen — der Fragetext wird zur Erstellung einer Antwort an Google Vertex/Gemini übermittelt.
  • Technische Daten des Besuchers — die IP-Adresse wird nur vorübergehend im Arbeitsspeicher zum Zweck des Missbrauchsschutzes und der Ratenbegrenzung verarbeitet und wird nicht gespeichert, weder in Protokollen noch in einer Datenbank (Grundsatz der Datenminimierung).
  • Nutzungskennzahlen — Anzahl der Anfragen und Antwortqualität (keine Inhalte über das erforderliche Maß hinaus).
  • Betreiberkonto — E-Mail- und Abrechnungsdaten (Zahlungen werden von Paddle als Merchant of Record abgewickelt; wir speichern keine Kartendaten).

Unsere öffentliche Website kann Analyse-Cookies verwenden — diese werden nur mit Ihrer Einwilligung gesetzt; Einzelheiten finden Sie in der Cookie-Richtlinie.

Daten von Kindern. Der Dienst ist ein B2B-Produkt und richtet sich nicht an Kinder unter 16 Jahren.

Wo und wie Daten verarbeitet werden

Antwortgenerierung und Indexierung laufen in der gewählten Google-Cloud-Region gemäß den Enterprise-Bedingungen von Google; für Kunden aus der EU wird standardmäßig eine EU-Region gewählt. Gemäß diesen Bedingungen verwendet Google die an Vertex AI und die Gemini API übermittelten Daten nicht zum Training seiner Modelle. Auch wir verwenden Ihre Inhalte oder Anfragen nicht zum Training von Modellen.

Der Betreiber des Dienstes ist in Israel niedergelassen. Übermittlungen personenbezogener Daten aus der EU nach Israel stützen sich auf den Angemessenheitsbeschluss der Europäischen Kommission für Israel; Übermittlungen an die Dienste von Google unterliegen dem Cloud Data Processing Addendum von Google und, soweit erforderlich, den Standard Contractual Clauses (SCC) und/oder dem EU-US Data Privacy Framework.

KI-Transparenz. Antworten werden von künstlicher Intelligenz auf Grundlage indexierter Inhalte erstellt; die Widget-Oberfläche weist darauf hin, dass die KI antwortet, und Antworten enthalten Links zu ihren Quellen.

Unterauftragsverarbeiter

  • Google Cloud — Vertex AI Search (Discovery Engine) und Gemini — Indexierung, Suche und Antwortgenerierung; die Verarbeitung unterliegt dem Cloud Data Processing Addendum von Google. Für die Daten von Kunden aus der EU wird standardmäßig eine EU-Region verwendet.
  • Google Cloud Storage — Zwischenspeicherung extrahierter Texte für den Import in den Index (in derselben Region).

Paddle verarbeitet Abonnements und Zahlungen als Merchant of Record und handelt in dieser Rolle als eigenständig Verantwortlicher und nicht als Unterauftragsverarbeiter.

Eine aktuelle Liste der Unterauftragsverarbeiter ist auf Anfrage erhältlich. Wir informieren im Voraus über geplante Änderungen unserer Unterauftragsverarbeiter und räumen die Möglichkeit ein, dagegen Widerspruch einzulegen.

Speicherdauer

Speicherfristen:

  • IP-Adressen der Besucherwerden nicht gespeichert: Sie werden nur vorübergehend im Arbeitsspeicher zum Missbrauchsschutz verarbeitet und unmittelbar nach Bearbeitung der Anfrage verworfen.
  • Anfragetext der Besucher — 90 days, danach wird er anonymisiert oder gelöscht; aggregierte Kennzahlen ohne personenbezogene Daten können länger aufbewahrt werden.
  • Indexierungsartefakte im Zwischenspeicher — werden planmäßig gelöscht, in der Regel innerhalb von 7 days.
  • Website-Index — solange das Projekt aktiv ist; wird ein Projekt geschlossen, werden der Index und die zugehörigen Ressourcen gelöscht.
  • Kontodaten des Betreibers — solange das Konto aktiv ist; nach der Schließung werden sie gelöscht, vorbehaltlich gesetzlicher Aufbewahrungsfristen (zum Beispiel im Bereich Buchhaltung und Steuern).

Betroffenenrechte (GDPR / CCPA / israelisches PPL)

Betroffene Personen können Auskunft über ihre Daten, deren Berichtigung, Löschung oder Einschränkung der Verarbeitung verlangen und der Verarbeitung widersprechen; nach der CCPA — Kenntnis der Datenkategorien verlangen, Löschung beantragen und einem „Verkauf" widersprechen (wir verkaufen keine Daten). Da der Betreiber in Israel niedergelassen ist, gilt zudem das Protection of Privacy Law (PPL) in der durch Amendment 13 geänderten Fassung: Rechte auf Auskunft und Berichtigung, Transparenzpflichten sowie die Meldung schwerwiegender Sicherheitsvorfälle an die Aufsichtsbehörde.

So stellen Sie eine Anfrage (DSAR). Anfragen zu Daten von Besuchern sind an den Website-Betreiber als Verantwortlichen zu richten — wir unterstützen ihn dabei als Auftragsverarbeiter (Auffinden und Löschen von Daten, Bereinigung von Protokollen, Löschung des Projekts). Anfragen zu Daten des Betreiberkontos senden Sie bitte über das Kontaktformular an uns oder an den Datenschutzkontakt (siehe Abschnitt „Kontakt"). Wir beantworten Anfragen innerhalb der gesetzlich vorgesehenen Fristen (nach der GDPR in der Regel innerhalb von one month).

Wir können zwingende Pflichten aus GDPR/CCPA/PPL nicht vertraglich abbedingen — die Verantwortlichkeit richtet sich nach dem Gesetz.

Sicherheit

Daten werden über TLS übertragen; der Zugriff über Service-Accounts folgt dem Prinzip der geringsten Rechte. Anfragen werden bereinigt und ratenbegrenzt, bevor ein kostenpflichtiger Dienst aufgerufen wird (Schutz vor Injection und Denial-of-Wallet). Projekte sind isoliert: Jedes läuft gegen seinen eigenen Index. Zur Erkennung von Bots und Missbrauch verwenden wir Google reCAPTCHA Enterprise, das die Interaktionssignale des Besuchers gemäß den Datenschutzbestimmungen von Google verarbeitet.

Im Falle eines schwerwiegenden Sicherheitsvorfalls, der personenbezogene Daten betrifft, informieren wir die zuständige Behörde (in Israel die Privacy Protection Authority, PPA) sowie, soweit gesetzlich vorgeschrieben, die betroffenen Personen und den Website-Betreiber innerhalb der geltenden Fristen.

Kontakt

Betreiber des Dienstes (Verantwortlicher): [Operator name], osek Nr. [osek no.] — ein in Israel niedergelassenes Einzelunternehmen (osek). Adresse: [address].

Datenschutzkontakt: [privacy@DOMAIN] oder über das Kontaktformular. Anfragen betroffener Personen zum Betreiberkonto richten Sie bitte an diesen Kontakt; bei Daten von Besuchern wenden Sie sich an den Website-Betreiber als Verantwortlichen (siehe „Betroffenenrechte").

Die in eckigen Klammern stehenden Angaben werden vor dem kommerziellen Start ergänzt.