Datenschutzerklärung
Stand: 2026-05-11 Rechtsgrundlagen: DSGVO, BDSG, TDDDG, KI-Verordnung (EU) 2024/1689
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:
Bernhard Fasold Ellen-Gottlieb-Straße 7 79106 Freiburg im Breisgau Deutschland
E-Mail: datenschutz@bejofa.chat Telefon: +49 7621 7097930
bejofa.chat wird als freiberufliche Tätigkeit betrieben. Es handelt sich nicht um eine juristische Person.
2. Überblick über die Datenverarbeitung
bejofa.chat ist eine KI-gestützte Plattform, die Ihnen den Zugang zu Sprachmodellen (Large Language Models, LLMs) verschiedener Anbieter ermöglicht. Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung von bejofa.chat.
Transparenzhinweis: Bei der Nutzung von bejofa.chat interagieren Sie mit KI-Systemen. Alle Antworten werden von künstlicher Intelligenz generiert, nicht von einem Menschen. Die KI-generierten Antworten werden in der Oberfläche als solche gekennzeichnet. Dieser Hinweis erfolgt vorsorglich im Hinblick auf Art. 50 Abs. 1 KI-Verordnung (EU) 2024/1689, dessen Pflichten ab dem 2. August 2026 gelten.
3. Hosting und technische Infrastruktur
3.1 Serverstandort
bejofa.chat wird auf einem dedizierten Server der Hetzner Online GmbH in Deutschland betrieben.
Verarbeitete Daten: IP-Adresse, Zugriffszeitpunkt, angeforderte Ressource, Browsertyp, Betriebssystem.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen). Das berechtigte Interesse besteht in der Bereitstellung und Absicherung der Plattform.
Speicherdauer: Zugriffsprotokolleinträge werden nach 7 Tagen automatisch gelöscht.
Auftragsverarbeiter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. AVV gemäß Art. 28 DSGVO abgeschlossen.
3.2 Content Delivery und TLS
Die Verbindung zu bejofa.chat erfolgt ausschließlich über TLS (HTTPS). Caddy als Reverse Proxy terminiert die TLS-Verbindung auf dem Server in Deutschland.
3.3 Backup
Backups werden verschlüsselt auf einer Hetzner Storage Box in Deutschland gespeichert. Backup-Daten werden verschlüsselt über SFTP übertragen und mittels Restic mit AES-256 verschlüsselt gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Datensicherheit).
4. Registrierung und Konto
4.1 Kontoerstellung
Für die Nutzung von bejofa.chat ist ein Benutzerkonto erforderlich. Bei der Registrierung werden folgende Daten erhoben:
- E-Mail-Adresse (als Benutzername und für die Authentifizierung)
- Zeitpunkt der Registrierung
Optional:
- Anzeigename
Es wird kein Passwort gespeichert. Die Authentifizierung erfolgt über Magic-Link (einmaliger Anmeldelink per E-Mail).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
4.2 Wiederherstellungs-Passphrase
Bei der erstmaligen Anmeldung wird Ihnen eine Wiederherstellungs- Passphrase angezeigt. Diese dient als Notfallzugang, falls Sie keinen Zugriff auf Ihre E-Mail-Adresse haben. Die Passphrase wird als kryptografischer Hash (argon2id) gespeichert. Wir können die Passphrase nicht im Klartext einsehen oder wiederherstellen.
4.3 Sitzungsverwaltung
Nach erfolgreicher Anmeldung wird ein Sitzungs-Token erzeugt, das in einem HTTP-Only-Cookie gespeichert wird.
Gespeicherte Daten pro Sitzung: Sitzungs-ID, Token-Hash, IP-Adresse, User-Agent-Hash, Erstellungszeitpunkt, letzte Aktivität.
Speicherdauer: Die Sitzung läuft nach 7 Tagen ab. Bei Inaktivität wird die letzte Aktivität nachgeführt. Abgelaufene Sitzungen werden automatisch gelöscht (30 Tage nach Ablauf).
4.4 Transaktionale E-Mails
Für den Versand von Anmelde-Links und abrechnungsbezogenen E-Mails nutzen wir Mailjet SAS (Sinch Group), 13 rue Boissy d'Anglas, 75008 Paris, Frankreich.
Verarbeitete Daten: E-Mail-Adresse, Zustellstatus, Zeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
AVV gemäß Art. 28 DSGVO abgeschlossen. Verarbeitung in der EU.
Speicherdauer: Daten zur Zustellverfolgung (Zustellstatus, Zeitstempel sowie die Empfänger-Adresse, gespeichert als kryptografischer Hash und nicht im Klartext) werden automatisch spätestens nach 90 Tagen gelöscht. Zustellversuche zu sicherheitskritischen Benachrichtigungen werden zur Störungsabwehr und Nachweisführung bis zu 24 Monate aufbewahrt (Art. 6 Abs. 1 lit. f DSGVO). Eine automatische Löschroutine setzt diese Fristen durch.
4.5 Eignungsprüfung und Rechnungsadresse
bejofa.chat steht Verbraucherinnen und Verbrauchern mit einer Rechnungsadresse in Deutschland offen. Bei der Registrierung bestätigen Sie Ihre Zugangsberechtigung und geben eine Rechnungsadresse an. Diese Angaben brauchen wir, um den auf Deutschland beschränkten Zugang zu prüfen und um handels- und steuerrechtliche Pflichten bei der kostenpflichtigen Nutzung zu erfüllen.
Verarbeitete Daten: Name, Rechnungsadresse, Ihre Bestätigung der Zugangsberechtigung.
Die Rechnungsadresse wird mit AES-256-GCM verschlüsselt gespeichert. Der Betreiber kann sie im laufenden Betrieb nicht einsehen. Eine Entschlüsselung erfolgt nur über einen gesonderten, protokollierten Betreiber-Vorgang, etwa zur Rechnungsstellung oder zur Erfüllung gesetzlicher Pflichten.
Geben Sie Daten ein, ohne die Registrierung abzuschließen, werden diese unbestätigten Angaben nach 30 Minuten automatisch gelöscht. Eine Löschroutine setzt diese Frist durch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen).
Speicherdauer: Die Rechnungsadresse speichern wir verschlüsselt, solange Ihr Konto besteht. Löschen Sie Ihr Konto, entfernen wir die Verknüpfung zwischen der Adresse und Ihrem Konto. Die verschlüsselte Rechnungsadresse selbst bewahren wir zur Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten (§ 257 HGB, § 147 AO) zehn Jahre auf; Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung). Nach Ablauf der Frist wird sie gelöscht.
5. Einsatz von KI-Sprachmodellen (Large Language Models)
5.1 Beschreibung und Umfang der Verarbeitung
bejofa.chat ermöglicht Ihnen den Zugang zu KI-Sprachmodellen verschiedener Anbieter. Wenn Sie eine Nachricht (Prompt) in den Chat eingeben, wird diese an den von Ihnen gewählten KI-Anbieter übermittelt, dort verarbeitet und die Antwort an Sie zurückgespielt.
Folgende Datenkategorien werden verarbeitet:
- Ihre Texteingaben (Prompts)
- Die von der KI erzeugten Antworten
- Von Ihnen hochgeladene Dateien und daraus extrahierte Inhalte, soweit Sie die Upload-Funktion nutzen
- Metadaten: Zeitstempel, verwendetes Modell, Anzahl der verarbeiteten Tokens, Kosten
- Technische Daten: Session-Kennung
Nicht verarbeitet werden:
- Ihre Chat-Inhalte werden in der Produktivumgebung nicht in Protokolldateien (Logs) gespeichert. Protokolliert werden ausschließlich Metadaten (Zeitstempel, Nutzer-ID, Modell, Token-Anzahl, Kosten, Status).
- Die reguläre Administrationsrolle hat keinen Klartext-Zugriff auf Chat-Inhalte (Admin Blindness). Notfall- und Systemzugriffe auf Infrastruktur- oder Datenbankebene sind organisatorisch beschränkt und werden nicht für Supporteinsicht in Chat-Inhalte genutzt. Eine technische Sperre auch für solche Infrastruktur- und Datenbankzugriffe (Ende-zu-Ende-Verschlüsselung) ist als künftige Ausbaustufe geplant.
5.2 Rechtsgrundlage
Die Verarbeitung Ihrer Eingaben durch Übermittlung an KI-Sprachmodelle erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Bereitstellung von KI-gestütztem Chat ist der wesentliche Vertragsgegenstand. Ohne die Übermittlung Ihrer Eingaben an KI-Anbieter kann der vertraglich geschuldete Dienst nicht erbracht werden.
Die Speicherung Ihres Chatverlaufs erfolgt ebenfalls auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, da die Möglichkeit, vergangene Gespräche einzusehen und fortzuführen, Bestandteil des vertraglichen Leistungsumfangs ist. Sie können einzelne Chats oder Ihren gesamten Chatverlauf jederzeit löschen.
5.3 Empfänger und Auftragsverarbeiter
Ihre Eingaben werden je nach Modellauswahl an folgende KI-Anbieter als Auftragsverarbeiter (Art. 28 DSGVO) übermittelt:
| Anbieter | Modelle | Sitz | Verarbeitungsort | AVV |
|---|---|---|---|---|
| Mistral AI | Mistral Small (latest), Mistral Medium 3.5 | Paris, Frankreich | EU | Ja (Art. 28 DSGVO) |
| Anthropic | Claude Haiku 4.5, Claude Sonnet 4.6, Claude Opus 4.8 | San Francisco, USA | USA | Ja (SCCs Modul 2) |
| OpenAI | GPT-5.4 nano, GPT-5.4 mini, GPT-5.4, GPT-5.5 | San Francisco, USA | USA / global | Ja (SCCs Modul 2) |
Für die Übermittlung in die USA (Anthropic, OpenAI) stützen wir uns auf Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO in den jeweiligen Datenverarbeitungs- vereinbarungen. Soweit für den konkreten Anbieter eine aktuelle Zertifizierung nach dem EU-U.S. Data Privacy Framework dokumentiert ist, kann diese zusätzlich herangezogen werden.
Sie können in der Modellauswahl erkennen, wo Ihre Daten verarbeitet werden. Modelle mit EU-Verarbeitung sind entsprechend gekennzeichnet.
5.4 Speicherdauer
Chat-Inhalte: Bis zu Ihrer Löschung oder Kontolöschung.
Metadaten (Token-Verbrauch, Kosten): 10 Jahre gemäß steuerrechtlicher Aufbewahrungspflichten (§ 147 AO, § 257 HGB). Nach Kontolöschung werden diese Daten pseudonymisiert (Nutzer-ID entfernt).
Bei den KI-Anbietern: Die Anbieter können Ihre Eingaben und Antworten standardmäßig bis zu 30 Tage zur Missbrauchserkennung (Abuse Monitoring) verarbeiten. Je nach Anbieter, Endpoint und Dateityp können vertragliche oder sicherheitsbezogene Ausnahmen gelten, etwa bei rechtlichen Aufbewahrungspflichten oder festgestellten Richtlinienverstößen. Die Daten werden nach den derzeitigen Anbieterinformationen nicht für das Training von KI-Modellen verwendet, sofern keine ausdrückliche Opt-in-Freigabe erfolgt. Im Einzelnen:
Anbieter Speicherdauer Training Standort Mistral AI Bis zu 30 Tage (Abuse Monitoring) Nein EU (Frankreich) Anthropic Bis zu 30 Tage (Standard-Retention; Ausnahmen für Missbrauchs-/Rechtsfälle möglich) Nein USA OpenAI Bis zu 30 Tage (Abuse Monitoring; Ausnahmen etwa für Datei-/Bildeingaben und Rechtsfälle möglich) Nein USA / global Wir arbeiten daran, bei allen Anbietern Zero Data Retention (0 Tage Speicherung) zu aktivieren. Der aktuelle Status wird in der Modellauswahl für jedes Modell angezeigt.
5.5 Dateiuploads
Wenn Sie Dateien hochladen, werden diese zur Bearbeitung Ihrer Anfrage verarbeitet und je nach gewähltem Modell an den jeweiligen KI-Anbieter übermittelt. Unterstützt werden nur Dateitypen, die das gewählte Modell verarbeiten kann. Die Plattform begrenzt Uploads derzeit auf maximal 3 Dateien pro Nachricht und 25 MB pro Datei.
Verarbeitete Daten: Dateiinhalt, Dateiname, Dateigröße, MIME-Typ, technische Speicherkennung sowie der aus der Datei extrahierte oder für das KI-Modell aufbereitete Inhalt.
Speicherung: Dateimetadaten werden zusammen mit der jeweiligen Nachricht gespeichert. Die Dateien selbst werden in einem S3-kompatiblen Objektspeicher abgelegt. Bei Löschung des Chats, des betreffenden Threads oder des Kontos werden auch die zugehörigen Dateiobjekte gelöscht, soweit keine technische Störung im Objektspeicher entgegensteht. Solche Störungen werden intern protokolliert und nachbearbeitet.
5.6 Internetsuche (Web-Suche) — geplant, noch nicht aktiv
Hinweis (Stand 2026-06-18): Diese Funktion ist vorbereitet, aber noch nicht freigeschaltet. Sie wird erst aktiv, nachdem die datenschutzrechtliche Prüfung abgeschlossen ist. Bis dahin findet keine native Internetsuche statt.
Einzelne KI-Modelle können künftig eine Live-Internetsuche durchführen, um Fragen zu aktuellen Ereignissen mit Quellenangaben zu beantworten. Wenn Sie ein solches such-fähiges Modell wählen und eine Frage stellen, die aktuelles Wissen erfordert, formuliert das Modell des Anbieters eine Suchanfrage und sendet sie an einen externen Suchdienst:
- für GPT-Modelle (OpenAI) an Microsoft Bing (USA),
- für Mistral-Modelle an Brave Search (USA).
Diese Suchanfrage wird vom KI-Modell des Anbieters gebildet und kann Teile Ihrer Eingabe, des Gesprächsverlaufs oder angehängter Dateien enthalten. Den genauen Inhalt der Anfrage bestimmt das Modell des Anbieters; wir können ihn nicht kontrollieren. Der Suchdienst ist ein Unterauftragsverarbeiter des jeweiligen KI-Anbieters — die Anfrage erreicht ihn im Rahmen des Vertrags und der Übermittlungsgarantien (Standardvertragsklauseln) dieses Anbieters; bejofa.chat hat keinen eigenen Vertrag mit Bing oder Brave.
Was gespeichert wird: Aus den Suchtreffern speichern wir ausschließlich
Quelle und Titel ({url, title}) zusammen mit der Antwort, damit die zitierten
Quellen nachvollziehbar bleiben. Wir speichern nicht die Suchanfrage selbst,
keine Textauszüge der Trefferseiten und keine weiteren Suchdetails.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an aktuellen, mit Quellen belegten Antworten) — für diese optionale Such-Funktion, abgegrenzt von der vertraglichen Grundlage (Art. 6 Abs. 1 lit. b) der eigentlichen Chat-Verarbeitung.
Ihre Kontrolle: Die Internetsuche ist standardmäßig pro Modell ausgeschaltet. Sie entsteht nur, wenn Sie ein ausdrücklich als such-fähig gekennzeichnetes Modell wählen. Vor der ersten tatsächlichen Suche weisen wir Sie gesondert darauf hin, dass Ihre Anfrage an einen externen US-Suchdienst übermittelt wird, und Sie können stattdessen ein Modell ohne Suche wählen. Eine US-Übermittlung Ihrer Eingaben findet bei such-fähigen US-Modellen ohnehin bereits durch den Modellaufruf selbst statt (siehe Abschnitt 5.3); die Suche fügt den Suchdienst als zusätzlichen Empfänger hinzu.
6. Erkennung personenbezogener Daten (Privacy Shield)
6.1 Beschreibung
bejofa.chat setzt ein automatisches Erkennungssystem ein, das Ihre Eingaben vor der Übermittlung an KI-Anbieter auf möglicherweise enthaltene personenbezogene Daten prüft (z.B. IBAN-Nummern, Ausweisnummern, Kreditkartennummern, Sozialversicherungsnummern, Steueridentifikationsnummern, Telefonnummern, E-Mail-Adressen).
Dieses System warnt Sie lediglich. Es blockiert Ihre Eingaben nicht. Die Entscheidung, Daten dennoch zu senden, liegt bei Ihnen.
Die Erkennung erfolgt clientseitig auf Ihrem Endgerät. In keinem Fall werden erkannte Muster gespeichert oder an Dritte übermittelt.
6.2 Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen). Unser berechtigtes Interesse besteht im Schutz Ihrer personenbezogenen Daten vor versehentlicher Übermittlung an Drittanbieter.
Sie können das Privacy Shield in Ihren Einstellungen deaktivieren.
6.3 Speicherdauer
Keine. Die Erkennung erfolgt zustandslos.
7. Tresormodus — Vorankündigung
bejofa.chat wird in einer späteren Version einen Tresormodus anbieten, der den maximalen Datenschutz gewährleistet:
- Ausschließlich KI-Modelle auf eigener Infrastruktur in Deutschland. Keine Daten werden an externe KI-Anbieter übermittelt.
- Keine serverseitige Speicherung von Chat-Inhalten.
Dieser Modus ist derzeit nicht verfügbar. Sobald er aktiviert wird, wird diese Datenschutzerklärung entsprechend aktualisiert.
8. Token-Erfassung und Abrechnung
8.1 Beschreibung
bejofa.chat erfasst für jede KI-Interaktion den Token-Verbrauch für die nutzungsbasierte Abrechnung.
Erfasste Daten: Token-Anzahl (Eingabe und Ausgabe), Modell, berechnete Kosten in EUR, Zeitstempel, Verarbeitungsstatus.
Ausdrücklich nicht erfasst: Inhalte Ihrer Eingaben oder KI-Antworten.
8.2 Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung) für die steuerrechtliche Aufbewahrung.
8.3 Speicherdauer
10 Jahre (§ 147 AO, § 257 HGB). Bei Kontolöschung wird der Personenbezug entfernt (Nutzer-ID auf NULL gesetzt).
9. Zahlungsabwicklung
Für die Zahlungsabwicklung nutzen wir Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande.
bejofa.chat verwendet ein Prepaid-Guthabensystem. Sie laden Guthaben in den auf der Plattform angebotenen Beträgen auf. Derzeit stehen feste Beträge von 5 EUR und 10 EUR sowie eigene Beträge von 11 EUR bis 99 EUR zur Verfügung. Die nutzungsabhängigen Kosten werden vom Guthaben abgezogen.
Verarbeitete Daten: E-Mail-Adresse, Zahlungsmethode, Transaktionsbetrag, Zeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Mollie verarbeitet die für die Zahlungsabwicklung erforderlichen personenbezogenen Daten nach eigenen Angaben als eigenständiger Verantwortlicher. Ein AVV gemäß Art. 28 DSGVO ist für diese Zahlungsabwicklung daher nicht der passende Vertragsmechanismus. Die Verarbeitung erfolgt in der EU.
Wir speichern keine Zahlungsinstrumentdaten (z.B. Kreditkarten- nummern). Diese werden ausschließlich bei Mollie verarbeitet.
Speicherdauer: bejofa.chat bewahrt die Aufzeichnungen über Zahlungstransaktionen (Betrag, Zeitpunkt, pseudonyme Zuordnung) zur Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten (§ 257 HGB, § 147 AO) zehn Jahre auf; Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung). Bei Löschung Ihres Kontos wird der Personenbezug dieser Aufzeichnungen entfernt, soweit die gesetzliche Aufbewahrungspflicht dem nicht entgegensteht. Mollie speichert die bei ihr als eigenständiger Verantwortlicher verarbeiteten Daten nach eigenen Vorgaben.
10. Sicherheitsmaßnahmen
10.1 Prompt-Injection-Abwehr
bejofa.chat setzt Sicherheitsmechanismen ein, um Manipulationsversuche (Prompt Injection) zu erkennen. Verarbeitet wird die Kategorie des erkannten Musters (als Aufzählungswert), nicht der Inhalt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit Erwägungsgrund 49 DSGVO (Netz- und Informationssicherheit).
10.2 Rate Limiting
Zum Schutz der Plattform werden Anfragen pro Zeiteinheit begrenzt. Dabei wird die gehashte IP-Adresse und Session-ID verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: Zähler werden in Redis vorgehalten und verfallen automatisch nach dem Zeitfenster (max. 1 Stunde).
10.3 Audit-Protokollierung
Sicherheitsrelevante Aktionen (Anmeldung, Kontoänderungen, Zahlungen) werden in einem Audit-Log erfasst.
Erfasste Daten: Aktion, Nutzer-ID, IP-Adresse, Zeitstempel, technische Metadaten. Ausdrücklich nicht erfasst: Chat-Inhalte (datenbankbasierte Constraint-Prüfung verhindert dies).
IP-Adressen im Audit-Log werden nach 7 Tagen anonymisiert (letztes Oktett IPv4 / letzte 80 Bit IPv6 maskiert).
Speicherdauer: 1 Jahr, danach automatische Löschung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Netz- und Informationssicherheit).
11. Feedback und Support
Sie können über die Hilfe- und Feedback-Funktion Nachrichten an den Betreiber senden. Diese Nachrichten sind ausdrücklich für die Bearbeitung durch den Betreiber bestimmt und können von berechtigten Operatoren eingesehen werden.
Verarbeitete Daten: Inhalt der Feedback-Nachricht, Kategorie, Zeitpunkt, Nutzer-ID, E-Mail-Adresse und Anzeigename.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, soweit die Bearbeitung für Unterstützung im Rahmen des Nutzungsvertrages erforderlich ist, im Übrigen Art. 6 Abs. 1 lit. f DSGVO (Verbesserung und sicherer Betrieb der Plattform).
Speicherdauer: Feedback-Nachrichten werden automatisch spätestens 2 Jahre nach Absenden gelöscht. Unabhängig davon werden sie spätestens bei Löschung Ihres Kontos entfernt. Beide Fristen werden durch eine automatische Löschroutine technisch durchgesetzt — sie sind nicht nur zugesagt, sondern erzwungen.
Antworten des Betreibers auf eingegangenes Feedback erfolgen, sofern wir reagieren, als Direktnachricht im In-App-Posteingang (siehe § 12.4).
12. In-App-Posteingang
Der In-App-Posteingang ist ein einseitiger Benachrichtigungskanal vom Betreiber an Sie als Nutzer. Sie selbst senden in diesem Kanal keine Nachrichten — Rückfragen senden Sie über die Hilfe- und Feedback-Funktion (§ 11). Der Posteingang wird Ihnen in der Plattform-Oberfläche unter „Hilfe" angezeigt; ein Mail-Symbol in der Seitenleiste zeigt ungelesene Nachrichten an.
12.1 Nachrichten an Sie
Im Posteingang verarbeiten wir Nachrichten, die wir Ihnen zustellen. Es gibt zwei Arten:
- Mitteilungen an alle Nutzer (funktions- und sicherheitsrelevante Hinweise, geplante Wartung, Vertrags- und Leistungsänderungen, Änderungen bei Auftragsverarbeitern).
- Direktnachrichten an Sie persönlich — entweder anlassbezogen vom Betreiber oder als Antwort auf von Ihnen gesendetes Feedback (siehe § 12.4).
Verarbeitete Daten: Nachrichten-ID, Zeitpunkt des Versands, Betreff, Nachrichtentext, Adressierungstyp (an alle / an Sie persönlich), bei Direktnachrichten die Verknüpfung mit Ihrer Nutzer-Kennung.
Absenderbezeichnung: Nachrichten werden Ihnen stets unter dem festen Absender „bejofa.chat" angezeigt. Eine individuelle Mitarbeiter-Identität wird Ihnen nicht ausgewiesen.
Empfänger / Übermittlung: Die Nachrichten verbleiben auf unserer Infrastruktur bei Hetzner Online GmbH in Deutschland. Sie werden nicht an Drittanbieter oder KI-Anbieter übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Information über Leistungsänderungen und Bearbeitung von Anfragen sind Teil der geschuldeten Leistung); hilfsweise Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Information unserer Nutzer) für rein produktbezogene Mitteilungen an alle Nutzer.
Speicherdauer: Sichtbar in Ihrer Posteingangs-Ansicht ist eine Nachricht maximal 90 Tage nach dem Zeitpunkt, zu dem Sie sie gelesen haben; danach wird sie aus Ihrer Ansicht automatisch ausgeblendet. In der Datenbank bleibt die Nachricht darüber hinaus bestehen, bis Sie Ihr Konto löschen. Bei Kontolöschung werden Direktnachrichten an Sie sowie Ihr zugehöriger Lesestatus und Ausblende-Status (§ 12.2, § 12.3) kaskadierend mit entfernt. Mitteilungen an alle Nutzer können als nicht nutzerspezifische Systemmitteilungen bestehen bleiben — eine Zuordnung zu Ihrem Konto besteht nach der Löschung nicht mehr.
Transparenzhinweis zur Differenz Ansicht / Export: Wenn Sie eine Daten-Auskunft nach Art. 15 DSGVO oder einen Datenexport nach Art. 20 DSGVO anfordern, enthält das Ergebnis auch Posteingang-Nachrichten, die in der Oberfläche bereits ausgeblendet sind (90-Tage-Fenster oder von Ihnen über den Papierkorb dauerhaft ausgeblendete Mitteilungen, siehe § 12.3). Dies entspricht unserer Pflicht zur vollständigen Auskunft. Ihre Rechte nach Art. 15-21 DSGVO bestehen unverändert (§ 16).
Hinweis zu besonderen Kategorien (Art. 9 DSGVO): Der Nachrichtentext wird vom Betreiber verfasst. Wir vermeiden organisatorisch, in Antworten auf Ihr Feedback besondere Kategorien personenbezogener Daten (etwa Gesundheits- oder Religionsangaben), die Sie uns mitgeteilt haben, im Antworttext zu wiederholen — wir verweisen stattdessen abstrakt auf Ihre Anfrage. Siehe ergänzend § 13.
12.2 Lesestatus
Damit Ihnen der Posteingang korrekt anzeigen kann, welche Nachrichten neu sind, speichern wir pro Nachricht und Nutzer, ob und wann Sie diese geöffnet haben.
Verarbeitete Daten: Ihre Nutzer-Kennung, die Nachrichten-Kennung, Zeitpunkt des Lesens, gegebenenfalls Zeitpunkt des Ausblendens (siehe § 12.3). Der Lesestatus erfasst ausschließlich „Nachricht geöffnet" — keine Verweildauer, kein Klick- oder Scrollverhalten innerhalb der Nachricht.
Sichtbarkeit Ihres Lesestatus für den Betreiber:
- Bei Direktnachrichten an Sie kann der Betreiber einsehen, ob Sie die Nachricht geöffnet haben (Zustand: gelesen / ungelesen). Dies dient ausschließlich der Bearbeitung Ihres jeweiligen Vorgangs (z.B. um zu erkennen, ob unsere Antwort auf Ihr Feedback Sie erreicht hat). Eingesehen wird nur dieser binäre Status, nicht der Zeitpunkt und keine sonstigen Detaildaten.
- Bei Mitteilungen an alle Nutzer sieht der Betreiber Ihren individuellen Lesestatus nicht. Es wird lediglich eine aggregierte Anzahl der Leser angezeigt, und auch das nur, wenn die Mitteilung mindestens zehn Empfänger hatte. Bei weniger als zehn Empfängern wird die Anzahl aus Datenschutzgründen nicht ausgewiesen (k-Anonymität).
Empfänger / Übermittlung: Hetzner Online GmbH (DB, Deutschland). Keine Übermittlung an Dritte. Keine Drittlandübermittlung. Die reguläre Administrationsrolle hat auf die zugrunde liegende Tabelle keinen direkten Lesezugriff (Erweiterung des Admin-Blindness-Prinzips aus § 17); Zugriffe für die beiden vorgenannten Zwecke laufen über zweckgebundene technische Funktionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — der Lesestatus ist funktionaler Bestandteil des Posteingangs).
Speicherdauer: Der Lesestatus bleibt an die jeweilige Nachricht gekoppelt; siehe Speicherdauer in § 12.1 (90 Tage in Ihrer Ansicht, darüber hinaus bis Kontolöschung in der Datenbank). Auch hier gilt die in § 12.1 erläuterte Differenz zwischen Ansicht und Daten-Auskunft nach Art. 15/20 DSGVO.
Protokollierung: Wenn Sie eine Nachricht öffnen, vermerken wir das Ereignis zusätzlich in unserem Sicherheits-Protokoll (Audit-Log, § 10.3). Protokolliert werden ausschließlich Ereignistyp, Ihre Nutzer-Kennung, die Nachrichten-Kennung und der Zeitpunkt — keine Betreff- und keine Inhaltsdaten. Speicherdauer dieses Protokoll- Eintrags: ein Jahr (§ 10.3).
12.3 Papierkorb (manuelles Ausblenden von Mitteilungen)
Sie können einzelne Mitteilungen an alle Nutzer aus Ihrer Posteingangs-Ansicht ausblenden („Papierkorb"). Dabei wird in Ihrem persönlichen Lesestatus-Eintrag (§ 12.2) der Zeitpunkt des Ausblendens vermerkt; der Inhalt der Mitteilung selbst bleibt unverändert.
Datenkategorie: Zeitpunkt des Ausblendens (pro Nachricht und Nutzer).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bestandteil der Posteingangs-Funktion).
Einschränkungen:
- Direktnachrichten an Sie sowie Antworten auf Ihr Feedback (§ 12.4) können Sie nicht ausblenden. Sie sollen Informationen, die wir Ihnen persönlich gesendet haben, nicht unabsichtlich verlieren.
- Eine bereits ausgeblendete Mitteilung kann in der aktuellen Version nicht über die Oberfläche wieder eingeblendet werden. Eine Wiederherstellungs-Funktion ist für eine spätere Version vorgesehen.
Abgrenzung zu Löschung: Das Ausblenden ist keine Löschung im Sinne von Art. 17 DSGVO. Die Mitteilung verschwindet aus Ihrer Ansicht; der Ausblendevermerk zu Ihrem Konto bleibt bis zur Konto-Löschung gespeichert. Die allgemeine Mitteilung selbst kann darüber hinaus als nicht nutzerspezifische Systemmitteilung gemäß § 12.1 bestehen bleiben. Eine ausgeblendete Mitteilung erscheint weiterhin in einer Daten-Auskunft nach Art. 15 DSGVO bzw. in einem Datenexport nach Art. 20 DSGVO — versehen mit dem Zeitpunkt des Ausblendens. Wenn Sie eine vollständige Entfernung wünschen, nutzen Sie bitte die Konto-Löschung (§ 16.3).
Protokollierung: Das Ausblenden wird in unserem Sicherheits-Protokoll (Audit-Log, § 10.3) als eigenes Ereignis vermerkt. Protokolliert werden ausschließlich Ereignistyp, Ihre Nutzer-Kennung, die Nachrichten-Kennung und der Zeitpunkt — keine Betreff- und keine Inhaltsdaten. Speicherdauer ein Jahr (§ 10.3).
12.4 Antworten auf Feedback
Wenn Sie uns über die Hilfe- und Feedback-Funktion (§ 11) eine Anfrage gesendet haben, können wir Ihnen darauf eine Direktnachricht im Posteingang zustellen. Diese Antwort ist intern technisch mit Ihrer ursprünglichen Feedback-Anfrage verknüpft, damit der Bezug für Sie und für uns nachvollziehbar bleibt; die Antwort wird Ihnen in der Oberfläche unmittelbar bei Ihrer ursprünglichen Anfrage angezeigt.
Verarbeitete Daten: Inhalt der Antwort (vom Betreiber verfasst), Zeitpunkt, technische Verknüpfung mit der Feedback-Anfrage (Feedback-Kennung), Ihre Nutzer-Kennung als Empfänger. Die übrigen Datenkategorien entsprechen § 12.1.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Antwort auf Ihre Anfrage ist Teil der Feedback-Bearbeitung, siehe § 11).
Speicherdauer: Wie in § 12.1.
Besonderheiten:
- Pro Feedback-Anfrage senden wir Ihnen höchstens eine Antwort (technisch erzwungen). Wenn Sie weitere Rückfragen haben, senden Sie bitte eine neue Anfrage über die Hilfe- und Feedback-Funktion.
- Sie können auf die Antwort nicht innerhalb des Posteingangs antworten. Mehrteilige Konversationen sind für eine spätere Version vorgesehen.
- Die Antwort selbst können Sie nicht ausblenden (vgl. § 12.3).
Protokollierung: Den Versand einer Antwort vermerken wir in unserem Sicherheits-Protokoll (Audit-Log, § 10.3). Dort werden ausschließlich technische Kennungen (Nachrichten-Kennung, Feedback-Kennung, Empfänger-Nutzer-Kennung) erfasst — niemals der Inhalt Ihrer ursprünglichen Anfrage und niemals der Inhalt unserer Antwort. Technische Schutzmaßnahmen verhindern, dass Inhalte der Anfrage oder Antwort im Audit-Log gespeichert werden.
13. Besondere Kategorien personenbezogener Daten
bejofa.chat ist nicht darauf ausgelegt, besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO zu erheben. Bitte geben Sie insbesondere keine Gesundheitsdaten, Angaben zur rassischen oder ethnischen Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, Gewerkschafts- zugehörigkeit, genetischen oder biometrischen Daten oder Daten zum Sexualleben oder zur sexuellen Orientierung ein, soweit dies für Ihre Anfrage nicht zwingend erforderlich ist.
Wenn Sie solche Daten dennoch eingeben, werden sie technisch wie sonstige Chat-Inhalte verarbeitet, um Ihre Anfrage zu beantworten. Für solche Fälle ist vor einem produktiven Einsatz rechtlich zu prüfen, ob eine ausdrückliche Einwilligung, eine andere Ausnahme nach Art. 9 Abs. 2 DSGVO oder eine technische Unterbindung erforderlich ist.
14. KI-Transparenz und KI-Kompetenz
14.1 Transparenzpflichten (Art. 50 KI-Verordnung)
Wir informieren Sie vorsorglich im Hinblick auf Art. 50 Abs. 1 KI-Verordnung darüber, dass Sie bei der Nutzung von bejofa.chat mit KI-Systemen interagieren:
- Ein dauerhafter Hinweis kennzeichnet die KI-Interaktion
- Jede KI-Antwort ist mit KI-Symbol und Modellname versehen
Die Pflichten aus Art. 50 KI-Verordnung gelten ab dem 2. August 2026.
14.2 KI-Kompetenz (Art. 4 KI-Verordnung)
KI-Sprachmodelle haben Eigenschaften, die Sie berücksichtigen sollten:
- Halluzinationen: KI-Modelle können faktisch falsche Informationen überzeugend formulieren.
- Keine Wissensgrenzen-Erkennung: Modelle können plausibel klingende Antworten fabrizieren, wenn ihnen Wissen fehlt.
- Aktualität: Trainingsdaten haben einen Wissens-Stichtag.
- Statistisch, nicht verstehend: KI verarbeitet Sprache statistisch, nicht im menschlichen Sinne.
15. Cookies und lokale Speicherung
bejofa.chat verwendet ausschließlich technisch notwendige Cookies:
| Cookie | Zweck | Dauer |
|---|---|---|
| mh_session | Sitzungsverwaltung | 7 Tage |
Es werden keine Tracking-Cookies, Analyse-Cookies oder Cookies Dritter eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO.
15.1 Lokale Speicherung (localStorage und sessionStorage)
bejofa.chat nutzt den lokalen Speicher Ihres Browsers für technisch erforderliche oder von Ihnen ausgelöste Funktionen. Dazu gehören insbesondere:
- Benutzereinstellungen (z.B. gewähltes Modell, Theme, Darstellungspräferenzen, Hinweistafeln)
- Zwischenspeicherung einzelner Nachrichten beim Wechsel zwischen Seiten oder bei unterbrochener Verbindung
- Offline-Warteschlange: Nachrichteninhalte, Chat-ID, Thread-ID, gewähltes Modell, Zeitstempel und clientseitige Nachrichten-ID, damit eine Nachricht nach Wiederherstellung der Verbindung gesendet werden kann
Diese Daten verlassen Ihr Endgerät nicht, solange sie nur lokal gespeichert sind. Nachrichten aus der Offline-Warteschlange werden erst bei erfolgreicher erneuter Verbindung an den Server übermittelt. Bei Abmeldung oder Kontolöschung werden lokale Daten gelöscht, soweit dies technisch im verwendeten Browser möglich ist.
16. Ihre Rechte als betroffene Person
Sie haben folgende Rechte gemäß DSGVO:
16.1 Auskunftsrecht (Art. 15 DSGVO)
Sie können jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
16.2 Recht auf Berichtigung (Art. 16 DSGVO)
Sie können die Berichtigung unrichtiger Daten verlangen. Ihren Anzeigenamen können Sie direkt in den Einstellungen ändern.
16.3 Recht auf Löschung (Art. 17 DSGVO)
Sie können die Löschung Ihrer Daten verlangen. Die Löschung erfolgt kaskadierend über alle Datenspeicher. Steuerrechtlich aufbewahrungspflichtige Metadaten werden pseudonymisiert (Nutzer-ID entfernt).
Funktionen zur Selbstlöschung:
- Einzelne Chats löschen
- Gesamtes Konto löschen (inkl. aller zugehörigen Daten)
16.4 Recht auf Einschränkung (Art. 18 DSGVO)
Sie können die Einschränkung der Verarbeitung verlangen.
16.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format (JSON) exportieren. Der Export umfasst insbesondere: Kontodaten, Chatverlauf, Einstellungen, Feedback-Anfragen (§ 11), Posteingang-Nachrichten einschließlich Lesestatus und Ausblende-Status (§ 12 — auch in der UI bereits ausgeblendete Mitteilungen) sowie abrechnungsbezogene Metadaten, soweit diese exportierbar und auskunftspflichtig sind.
16.6 Widerspruchsrecht (Art. 21 DSGVO)
Sie können gegen die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) jederzeit Widerspruch einlegen.
16.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
16.8 Beschwerderecht (Art. 77 DSGVO)
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) Heilbronner Straße 35 70191 Stuttgart poststelle@lfdi.bwl.de https://www.baden-wuerttemberg.datenschutz.de
17. Datensicherheit
Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:
- Verschlüsselung: TLS für alle Verbindungen, AES-256 für Backups
- Zugriffskontrolle: Row Level Security (RLS) auf Datenbankebene — jeder Nutzer sieht nur eigene Daten. Admin Blindness: die reguläre Administrationsrolle hat keinen Klartext-Zugriff auf Chat-Inhalte
- Netzwerksicherheit: Dedizierte Firewall, kein öffentlich erreichbarer Datenbankzugang
- Secrets-Management: Verschlüsselte Speicherung aller Zugangsdaten (SOPS + Age)
- Containerisierung: Rootless-Container für alle Anwendungskomponenten
18. Empfänger und Auftragsverarbeiter
Aktuelle Liste der wesentlichen Empfänger und Auftragsverarbeiter:
| Empfänger | Rolle | Dienst | Datenzugriff | Region | Speicherdauer | Training | AVV / Mechanismus |
|---|---|---|---|---|---|---|---|
| Hetzner Online GmbH | Auftragsverarbeiter | Server-Hosting | Alle Daten (verschlüsselt) | DE | Bis Löschung | — | Ja |
| Mollie B.V. | Eigenständiger Verantwortlicher | Zahlungsabwicklung | Zahlungsmetadaten | NL (EU) | Gemäß Mollie-Informationen | — | Kein AVV; eigenständige Verantwortlichkeit |
| Mailjet SAS | Auftragsverarbeiter | Transaktionale E-Mails | E-Mail-Adressen | EU | Gemäß Mailjet-AGB | — | Ja |
| Mistral AI | Auftragsverarbeiter | KI-Sprachmodell | Chat-Inhalte (pro Anfrage) | EU | Bis zu 30 Tage | Nein | Ja |
| Anthropic PBC | Auftragsverarbeiter | KI-Sprachmodell | Chat-Inhalte (pro Anfrage) | USA | Bis zu 30 Tage; Ausnahmen möglich | Nein | Ja (SCCs) |
| OpenAI Inc. | Auftragsverarbeiter | KI-Sprachmodell (4 Modelle) | Chat-Inhalte (pro Anfrage) | USA / global | Bis zu 30 Tage; Ausnahmen möglich | Nein | Ja (SCCs) |
19. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Über wesentliche Änderungen informieren wir Sie per E-Mail mindestens 14 Tage vor Inkrafttreten.
Die aktuelle Version ist stets unter bejofa.chat/datenschutz abrufbar.
Letzte Aktualisierung: 2026-05-11 (NOTIF-01: neuer § 12 In-App-Posteingang mit § 12.1 Nachrichten / § 12.2 Lesestatus / § 12.3 Papierkorb / § 12.4 Antworten auf Feedback; nachfolgende Paragraphen §§ 13-19 um +1 fortgeschrieben; § 11 Schlusssatz mit Querverweis auf § 12.4 ergänzt. Codex-Review-Fixes 2026-05-11: § 12.2 + § 12.3 Audit-Log-Hinweis für Lese-/Ausblende-Ereignisse ergänzt; § 12.1 Broadcast-Löschfrist präzisiert (Broadcasts bleiben als nicht-nutzerspezifische Systemmitteilungen bestehen); § 12.1 Beispielliste enger gefasst (sicherheits-/vertragsrelevant); § 12.4 Audit-Wording vereinfacht; § 16.5 Export-Aufzählung um Feedback + Posteingang erweitert; § 16.8 LfDI-Adresse aktualisiert auf Heilbronner Str. 35, 70191 Stuttgart, poststelle@lfdi.bwl.de — verifiziert via baden-wuerttemberg.datenschutz.de. Codex-Plateau-Iter 2 (Δ +7, Score 91/100, STOPP-Empfehlung): § 12.3 Wording-Klärung — Ausblendevermerk bleibt bis Konto-Löschung, Mitteilung selbst kann als nicht nutzerspezifische Systemmitteilung gemäß § 12.1 fortbestehen.)