nuochat

Was passiert mit deinen Daten?

Klartext, ohne Marketing-Schwurbel.

Wenn du nuochat in deine Website einbindest, vertraust du uns mit zwei Sachen: deinen eigenen Daten (Account, Wissensbasis) und mit den Daten deiner Besucher (Chat-Inhalte). Auf dieser Seite findest du, was wir damit machen, was wir nicht machen, und welche Drittanbieter beteiligt sind. Für die juristische Vollversion gibt es die Datenschutzerklärung.

1. Deine Account-Daten

Was du uns gibst, wenn du dich registrierst und Inhalte hochlädst.

  • Account-Daten (Name, E-Mail, Firma, Website-URL): nur für Login, Abrechnung und Kontakt.
  • Hochgeladene Dokumente (PDFs, Texte, gecrawlte Sitemap-Inhalte): bilden die Wissensbasis deines Widgets. Sind nur in deinem Account sichtbar, kein Mandant teilt Daten mit anderen.
  • Speicherung: verschlüsselt in einer PostgreSQL-Datenbank auf einem deutschen Server.
  • Löschen: jedes Dokument einzeln im Dashboard löschbar. Kompletter Account-Löschwunsch genügt eine Mail an support@nuochat.de.

2. Daten deiner Website-Besucher

Was passiert, wenn jemand auf deiner Seite das Chat-Widget benutzt.

  • Keine Cookies: kein Tracking, kein Consent-Banner. Die Session-ID liegt im sessionStorage und verschwindet beim Schließen des Tabs.
  • Kein Tracking-Pixel: wir setzen keine Analytics-Tags und teilen keine Daten mit Werbe-Netzwerken.
  • Chat-Verläufe werden 30 Tage gespeichert (für Quality-Reports im Dashboard) und dann automatisch gelöscht.
  • Origin-Allowlist: nur Domains, die du in deinem Account hinterlegt hast, dürfen das Widget einbinden, kein Missbrauch durch Dritte.
  • Was wir nicht verhindern können: Wenn ein Besucher freiwillig Klarname, Mailadresse oder sensible Inhalte (z.B. Symptome) in den Chat tippt, landen die kurzzeitig in unserer Datenbank (max. 30 Tage) und werden über unseren KI-Provider verarbeitet (siehe Abschnitt 3). Wir empfehlen, das in deinem eigenen Datenschutz-Hinweis zu erwähnen.

3. OpenAI als Sub-Auftragsverarbeiter

Wir setzen für die KI-Antworten auf OpenAI Ireland Limited (Dublin) als EU-Vertragspartner. Das Data Processing Addendum, das wir mit OpenAI abgeschlossen haben, ist also ein Vertrag mit einer EU-Entität. Die technische Datenverarbeitung läuft auf OpenAI-Infrastruktur in den USA, abgesichert durch EU-Standardvertragsklauseln (SCC). Das ist kein Geheimnis, und wir glauben, du solltest es wissen.

Was an OpenAI übertragen wird

  • Die Frage des Besuchers + die relevanten Snippets aus deiner Wissensbasis (für die Antwort)
  • Bei der Embedding-Erzeugung: einmalig die Text-Chunks deiner Dokumente
  • Nicht übertragen: deine Account-Daten, deine Mailadresse, vollständige Chat-Verläufe, Login-Tokens

Was OpenAI verspricht (vertraglich)

  • EU-Vertragspartner OpenAI Ireland Limited: DPA nach Art. 28 DSGVO mit einer EU-Entität, nicht direkt mit OpenAI USA
  • Kein Training auf deinen Daten: API-Standard seit März 2023, vertraglich zugesichert
  • 30-Tage-Speicherung für Missbrauchsdetektion, danach gelöscht
  • EU-Standardvertragsklauseln (SCC) für die transatlantische Datenübermittlung
  • Details: OpenAI EU Data Processing Addendum

4. Server-Standort & Schutzmaßnahmen

  • nuochat-Server: Hetzner Online GmbH, Rechenzentrum in Deutschland (zertifiziert nach ISO 27001).
  • Chat-Inhalte verschlüsselt in der Datenbank gespeichert (AES-128-CBC + HMAC, via Fernet): Backup-Dumps und Datenbankzugriffe Dritter sehen nur Ciphertext, kein Klartext.
  • Datenbank: PostgreSQL 16, ausschließlich auf dem nuochat-Server, kein externer DB-Hoster, kein offener Internet-Zugang.
  • Übertragung: TLS 1.3 (Let's Encrypt) zwischen Browser, deinem Server und unseren Servern. Kein Klartext über die Leitung.
  • Backups: automatisch täglich auf Hetzner-Backup-Storage in Deutschland.
  • Zugriff: nur authentifizierte nuochat-Mitarbeiter via SSH-Key, kein Passwort-Login.

5. Was passiert, wenn du kündigst?

  • Sofortige Löschung auf Wunsch: Eine Mail an support@nuochat.de genügt. Wir löschen Account, Wissensbasis und alle Chat-Daten innerhalb von 7 Tagen.
  • Standard-Retention: Wenn du nicht aktiv löschen lässt, bleiben deine Daten 30 Tage nach Kündigung erhalten und werden danach automatisch gelöscht.
  • Backups: werden im normalen Rotationsrhythmus überschrieben.
  • Daten-Export vorher: alle Dokumente + Chat-Verläufe lassen sich aus dem Dashboard exportieren, bevor der Account schließt.

Brauchst du einen AV-Vertrag?

Für jede gewerbliche Nutzung von nuochat empfehlen wir dir, einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit uns abzuschließen. Das ist die rechtliche Grundlage, auf der du nuochat datenschutzkonform betreiben darfst. Wir haben den AVV als ausfüllbares Dokument vorbereitet.

AV-Vertrag jetzt abschließen →

Brauchst du die juristisch vollständige Version?

Zur Datenschutzerklärung nach DSGVO →

Fragen zur Datenverarbeitung?

support@nuochat.de