Datenschutzerklärung — SerahrChat
Version 1.1 — gültig ab 19.03.2026
1. Verantwortlicher
Thorsten Ahrens
Serahr — serahr.de
E-Mail: contact@serahr.de
Diese Datenschutzerklärung bezieht sich auf die Website serahrchat.serahr.de und das Software-Produkt SerahrChat.
2. Überblick: Wo werden welche Daten gespeichert?
SerahrChat ist eine Self-Hosted-Lösung. Die meisten Daten verbleiben auf dem Server des Kunden.
| Daten | Speicherort | Zweck |
|---|---|---|
| Hochgeladene Dokumente | Kundenserver | Wissensbasis für den Chatbot |
| Vektor-Index (Embeddings) | Kundenserver (LanceDB) | Semantische Suche |
| Chat-Verläufe | Kundenserver (SQLite) | Analytics, automatisch nach 90 Tagen gelöscht |
| Analytics (aggregiert) | Kundenserver | Nutzungsstatistiken, 90-Tage-Rotation |
| Audit-Log | Kundenserver | Sicherheitsprotokoll, IP-anonymisiert, 90-Tage-Rotation |
| Admin-Zugangsdaten | Kundenserver | Authentifizierung (Argon2-gehashed) |
| Chat-Anfragen (zur Beantwortung) | Vom Kunden gewählter LLM-Anbieter (z.B. OpenRouter, OpenAI, Mistral oder lokal) | KI-Antwortgenerierung — durchgeleitet, nicht dauerhaft gespeichert |
| Dokument-Embeddings (bei Erstellung) | Vom Kunden gewählter Embedding-Anbieter (z.B. OpenAI, OpenRouter oder lokal) | Vektorisierung der Dokumente für semantische Suche — Ergebnis wird lokal auf dem Kundenserver gespeichert |
| Lizenzschlüssel + Instance-ID | Lizenzserver (licence.serahr.de) | Lizenzvalidierung |
| Zahlungsdaten | Stripe | Zahlungsabwicklung (PCI-konform) |
| E-Mail-Adresse | Lizenzserver + Resend | Lizenzkommunikation, Passwort-Reset, Trial-Onboarding |
| Trial-Registrierung | Lizenzserver (licence.serahr.de) | Onboarding-E-Mails während der Testphase |
3. Datenverarbeitung im Detail
3.1 Website-Besuch (serahrchat.serahr.de)
Beim Besuch dieser Website werden durch den Webserver automatisch erhoben:
- IP-Adresse (in Server-Logs, automatische Rotation)
- Browsertyp, Betriebssystem, Referrer-URL
- Datum und Uhrzeit des Zugriffs
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Website). Es werden keine Tracking-Cookies oder Third-Party-Tracker eingesetzt.
3.2 Lizenzerwerb und Zahlung
Beim Kauf einer Lizenz werden verarbeitet:
- E-Mail-Adresse: Für Lizenzzustellung, Rechnungen und Support-Kommunikation. Gespeichert auf dem Lizenzserver (Supabase, EU-Region).
- Zahlungsdaten: Ausschließlich über Stripe verarbeitet (PCI-DSS-zertifiziert). Wir speichern keine Kreditkarten- oder Kontodaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
3.3 Lizenzvalidierung (Phone-Home)
Die SerahrChat-Installation auf dem Kundenserver kontaktiert regelmäßig den Lizenzserver zur Validierung:
- Übermittelte Daten: Instance-ID, Lizenzschlüssel
- Häufigkeit: Maximal einmal pro 7 Tage (lokaler Cache)
- Bei Nichterreichbarkeit: Grace Period — der Chatbot funktioniert weiter
Trial-Registrierung: Nach Abschluss des Setup-Wizards übermittelt die Installation einmalig Instance-ID, E-Mail-Adresse und gewählte Sprache an den Lizenzserver. Während der Testphase signalisiert die Installation alle 12 Stunden, dass der Server noch aktiv ist (nur Instance-ID, keine Nutzungsdaten).
Es werden keine Nutzungsdaten, Dokumenteninhalte oder Chat-Verläufe übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).
3.4 Update-Prüfung
Die Installation prüft automatisch auf neue Versionen über update.serahr.de. Dabei wird ausschließlich die aktuelle Versionsnummer abgeglichen. Es werden keine personenbezogenen Daten übermittelt.
3.5 Chat-Anfragen, Embedding und LLM-Anbieter
Dies ist der wichtigste Punkt für die Datenschutzbewertung:
a) Dokumenten-Embedding (beim Upload):
Wenn der Kunde Dokumente hochlädt, werden diese in Vektoren umgewandelt (Embedding), um eine semantische Suche zu ermöglichen. Der Embedding-Anbieter wird vom Kunden selbst gewählt:
- Externer Anbieter (z.B. OpenAI, OpenRouter): Dokumenteninhalte werden an den gewählten Anbieter übermittelt, um Embedding-Vektoren zu erzeugen. Die resultierenden Vektoren werden lokal auf dem Kundenserver gespeichert (LanceDB).
- Lokale Modelle: Keine externen Datenübertragungen — vollständig lokal auf dem Kundenserver.
b) Chat-Anfragen (bei Nutzung):
Wenn ein Website-Besucher eine Frage im Chatbot stellt, geschieht Folgendes:
- Die Frage wird auf dem Kundenserver verarbeitet
- Relevante Textpassagen aus den hochgeladenen Dokumenten werden per semantischer Suche ermittelt (lokal, LanceDB)
- Frage + relevante Textpassagen werden an den konfigurierten LLM-Anbieter gesendet, um eine Antwort zu generieren
- Die Antwort wird an den Besucher zurückgegeben
Sowohl der LLM-Anbieter als auch der Embedding-Anbieter werden vom Kunden selbst gewählt und konfiguriert (eigener API-Key). Mögliche Anbieter:
- OpenRouter: Vermittlerdienst, leitet Anfragen an verschiedene LLMs weiter (OpenAI, Anthropic, Mistral u.a.). Sitz: USA.
- Direkte Anbieter-APIs: OpenAI (USA), Mistral (Frankreich/EU), Anthropic (USA) u.a.
- Lokale Modelle (Ollama, LMStudio): Keine externen Datenübertragungen — vollständig lokal auf dem Kundenserver.
Hinweis zur DSGVO-Konformität: Die gespeicherten Daten (Dokumente, Chat-Verläufe, Analytics, Embedding-Vektoren) verbleiben vollständig auf dem Kundenserver. Bei externer LLM- oder Embedding-Nutzung werden Daten jedoch an Dritte übermittelt. Für vollständige DSGVO-Konformität empfehlen wir lokale Modelle oder EU-basierte Anbieter. Die Auswahl und Verantwortung liegt beim Kunden.
3.6 E-Mail-Versand
E-Mails werden ausschließlich für folgende Zwecke versendet:
- Lizenzzustellung nach Kauf
- Passwort-Reset-Codes
- E-Mail-Verifizierungscodes
- Onboarding-E-Mails während der kostenlosen Testphase
Der Versand erfolgt über den Dienst Resend. Die Onboarding-E-Mails werden ausschließlich während der 7-tägigen Testphase versendet und enden automatisch bei Kauf einer Lizenz oder wenn der Server nicht mehr erreichbar ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).
4. Datenspeicherung auf dem Kundenserver
Die folgenden Daten werden ausschließlich auf dem Server des Kunden gespeichert und sind für den Anbieter nicht zugänglich:
- Dokumente: Hochgeladene PDFs, Word-Dateien, Textdateien — verschlüsselt gespeichert (Fernet/AES)
- Vektor-Datenbank: Embedding-Vektoren der Dokumente (LanceDB)
- Chat-Verläufe: Fragen und Antworten, anonymisiert gespeichert, automatische Löschung nach 90 Tagen
- Analytics: Aggregierte Tagesstatistiken (Anzahl Fragen, Uhrzeiten), 90-Tage-Rotation
- Audit-Log: Sicherheitsrelevante Ereignisse, IP-Adressen anonymisiert (letztes Oktett = 0), 90-Tage-Rotation
- Admin-Datenbank: Konfiguration, Passwort-Hash (Argon2), Recovery-Codes (HMAC-SHA256)
5. Aufbewahrungsfristen
| Daten | Frist |
|---|---|
| Chat-Verläufe | 90 Tage (automatische Löschung) |
| Analytics | 90 Tage (automatische Rotation) |
| Audit-Log | 90 Tage (automatische Rotation, CSV-Export möglich) |
| Dokumente | Bis zur manuellen Löschung durch den Kunden |
| E-Mail-Adresse (Lizenzserver) | Bis zur Vertragsbeendigung + gesetzliche Aufbewahrungspflichten |
| Zahlungsdaten (Stripe) | Gemäß Stripe-Datenschutzrichtlinie |
| Admin-Zugang nach Vertragsende | 30 Tage nach Ablauf, dann Sperrung |
6. Weitergabe an Strafverfolgungsbehörden
Wir können gesetzlich verpflichtet sein, gespeicherte Daten auf Grundlage einer Europäischen Herausgabeanordnung oder Sicherungsanordnung gemäß Verordnung (EU) 2023/1543 an Strafverfolgungsbehörden weiterzugeben. Eine solche Weitergabe erfolgt ausschließlich auf Grundlage einer rechtmäßigen Anordnung und im gesetzlich vorgeschriebenen Umfang. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).
7. Ihre Rechte
Sie haben gemäß DSGVO folgende Rechte:
- Auskunft (Art. 15) — Welche Daten über Sie gespeichert sind
- Berichtigung (Art. 16) — Korrektur unrichtiger Daten
- Löschung (Art. 17) — Löschung Ihrer Daten ("Recht auf Vergessenwerden")
- Einschränkung (Art. 18) — Einschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20) — Herausgabe Ihrer Daten in maschinenlesbarem Format
- Widerspruch (Art. 21) — Widerspruch gegen die Verarbeitung
Anfragen richten Sie bitte an contact@serahr.de. Für auf Ihrem eigenen Server gespeicherte Daten (Dokumente, Chat-Verläufe) können Sie jederzeit über das Admin-Panel einen Export durchführen oder Daten löschen — der Anbieter hat auf diese Daten keinen Zugriff.
8. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.
9. Cookies und Tracking
Diese Website verwendet keine Tracking-Cookies, keine Third-Party-Tracker und kein Analytics-Tool.
SerahrChat-Widget (auf Kundenwebsites): Das Chat-Widget speichert keine Cookies. Die Session-Verwaltung erfolgt über ein JWT-Token im localStorage des Browsers. localStorage-Daten werden nur lokal im Browser des Nutzers gespeichert und nicht an Dritte übermittelt. Eine Einwilligung ist hierfür nicht erforderlich, da die Speicherung technisch notwendig für die Funktionserbringung ist (§ 25 Abs. 2 Nr. 2 TDDDG).
10. Auftragsverarbeiter und Unterauftragsverarbeiter
| Dienstleister | Zweck | Sitz |
|---|---|---|
| Stripe, Inc. | Zahlungsabwicklung (Checkout, Abonnements, Rechnungen) | USA (EU-Standardvertragsklauseln) |
| Supabase, Inc. | Lizenzserver-Backend (Datenbank, Auth) | USA / EU-Region (Frankfurt) |
| Resend, Inc. | Transaktionaler E-Mail-Versand | USA (EU-Standardvertragsklauseln) |
| Vercel, Inc. | Hosting des Lizenzservers (licence.serahr.de) | USA (EU-Standardvertragsklauseln) |
| GitHub, Inc. | Hosting des Update-Manifests (update.serahr.de) | USA (EU-Standardvertragsklauseln) |
| netcup GmbH | Webhosting (serahr.de, serahrchat.serahr.de) | Deutschland |
Hinweis zu LLM- und Embedding-Anbietern: LLM- und Embedding-Anbieter (OpenRouter, OpenAI, Mistral etc.) werden nicht von uns beauftragt, sondern vom Kunden selbst gewählt und konfiguriert (eigener API-Key). Der Kunde ist für die datenschutzrechtliche Bewertung seiner gewählten Anbieter selbst verantwortlich.
11. Änderungen
Diese Datenschutzerklärung kann bei Bedarf aktualisiert werden. Die aktuelle Version mit Datum finden Sie stets auf dieser Seite.