Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung:
Sandra Owona / Owona Media Agency
Ahornstraße 52
68542 Heddesheim
Deutschland
Telefon: +49 6203 9375214
E-Mail: shop@owona.de
Website: whatsapp.owona.de

2. Server-Logfiles

Sie können unsere Webseiten besuchen, ohne Angaben zu Ihrer Person zu machen.
Bei jedem Zugriff auf unsere Website werden an uns oder unseren Webhoster / IT-Dienstleister Nutzungsdaten durch Ihren Internet Browser übermittelt und in Protokolldaten (sog. Server-Logfiles) gespeichert. Zu diesen gespeicherten Daten gehören z.B. der Name der aufgerufenen Seite, Datum und Uhrzeit des Abrufs, die IP-Adresse, die übertragene Datenmenge und der anfragende Provider.
Die Verarbeitung erfolgt auf Grundlage des Art. 6 Abs. 1 lit. f DSGVO aus unserem überwiegenden berechtigten Interesse an der Gewährleistung eines störungsfreien Betriebs unserer Website sowie zur Verbesserung unseres Angebotes.

3. Kontaktaufnahme

Initiativ-Kontaktaufnahme des Kunden per E-Mail
Wenn Sie per E-Mail initiativ mit uns in Geschäftskontakt treten, erheben wir Ihre personenbezogenen Daten (Name, E-Mail-Adresse, Nachrichtentext) nur in dem von Ihnen zur Verfügung gestellten Umfang. Die Datenverarbeitung dient der Bearbeitung und Beantwortung Ihrer Kontaktanfrage.
Wenn die Kontaktaufnahme der Durchführung vorvertraglicher Maßnahmen (bspw. Beratung bei Kaufinteresse, Angebotserstellung) dient oder einen bereits zwischen Ihnen und uns geschlossenen Vertrag betrifft, erfolgt diese Datenverarbeitung auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO.
Erfolgt die Kontaktaufnahme aus anderen Gründen, erfolgt diese Datenverarbeitung auf Grundlage des Art. 6 Abs. 1 lit. f DSGVO aus unserem überwiegenden berechtigten Interesse an der Bearbeitung und Beantwortung Ihrer Anfrage. In diesem Fall haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit dieser auf Art. 6 Abs. 1 lit. f DSGVO beruhenden Verarbeitungen Sie betreffender personenbezogener Daten zu widersprechen.
Ihre E-Mail-Adresse nutzen wir nur zur Bearbeitung Ihrer Anfrage. Ihre Daten werden anschließend unter Beachtung gesetzlicher Aufbewahrungsfristen gelöscht, sofern Sie der weitergehenden Verarbeitung und Nutzung nicht zugestimmt haben.

4. Nutzerkonto und Registrierung

Bei der Registrierung und Nutzung eines Nutzerkontos erheben wir Ihre personenbezogenen Daten (E-Mail-Adresse, Passwort, ggf. Name) in dem von Ihnen angegebenen Umfang. Die Datenverarbeitung dient dem Zweck der Bereitstellung unserer SaaS-Plattform "WhatsApp Bot Builder" sowie der Erfüllung unserer vertraglichen Pflichten.
Die Verarbeitung erfolgt auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des mit uns geschlossenen Vertrages.
Sie können Ihr Nutzerkonto jederzeit löschen, indem Sie uns kontaktieren oder die Löschfunktion in Ihrem Nutzerkonto nutzen. Ihre Daten werden anschließend unter Beachtung gesetzlicher Aufbewahrungsfristen gelöscht.

5. WhatsApp Business API Integration

5.1 Nutzung der WhatsApp Business API über Business Solution Provider (BSP)

Zur Nutzung unserer SaaS-Plattform ist eine Verbindung mit einem Business Solution Provider (BSP) für die WhatsApp Business API erforderlich. Wir unterstützen folgende BSPs:

• 360dialog (360dialog GmbH, EU-basiert, Datenhaltung in der EU)
• Twilio (Twilio Inc., mit optionaler EU-Data-Residency)
• MessageBird (MessageBird B.V., DSGVO-konform mit AVV)

Bei der Verbindung mit einem BSP über unseren OAuth-Flow werden folgende Daten an den jeweiligen BSP übertragen:

• Bot-Konfiguration (Flow-Daten, Bot-Einstellungen) - KEINE personenbezogenen Kundendaten
• OAuth-Zugangsdaten (verschlüsselt gespeichert)
• Webhook-Konfiguration

Wichtig: Personenbezogene Daten Ihrer WhatsApp-Kunden (Telefonnummern, Nachrichteninhalte) werden NICHT an den BSP übertragen. Diese bleiben in Ihrer Kontrolle und werden direkt zwischen WhatsApp und Ihrem Bot über unsere Plattform verarbeitet.

Die Datenverarbeitung erfolgt auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des mit uns geschlossenen Vertrages sowie auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie im Setup-Wizard erteilen.
Sie können die Einwilligung jederzeit widerrufen, indem Sie die BSP-Verbindung in Ihrem Nutzerkonto trennen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

5.2 Auftragsverarbeitungsvertrag (AVV)

Die von Ihnen gewählten BSPs agieren als Auftragsverarbeiter gemäß Art. 28 DSGVO. Wir haben mit den BSPs entsprechende Verträge zur Auftragsverarbeitung abgeschlossen oder stellen diese im Rahmen des Setups bereit.
Ihre personenbezogenen Daten (E-Mail, Kontodaten) werden nicht an die BSPs weitergegeben. Lediglich die für den Betrieb der WhatsApp Business API erforderlichen technischen Konfigurationsdaten werden übertragen.

5.3 Speicherung und Verschlüsselung

OAuth-Zugangsdaten (Access Tokens) werden verschlüsselt in unserer Datenbank gespeichert. Wir verwenden AES-256-GCM Verschlüsselung. In Production verwenden wir Supabase Vault für zusätzliche Sicherheit.
Die Verschlüsselung erfolgt auf Grundlage des Art. 32 DSGVO (technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung).

6. Verarbeitung von WhatsApp-Nachrichten

Wenn Sie unsere Plattform nutzen, um WhatsApp-Bots zu erstellen und zu betreiben, werden Nachrichten zwischen Ihren Kunden und Ihrem Bot über unsere Infrastruktur verarbeitet.

Daten, die wir verarbeiten:

• Telefonnummern der Kunden (gehasht gespeichert für Privacy)
• Nachrichteninhalte (temporär während der Verarbeitung)
• Bot-Konversationsverläufe (gespeichert in Ihrer Datenbank, nicht in unserer)
• Metadaten (Zeitstempel, Bot-ID, etc.)

Die Verarbeitung erfolgt auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des mit uns geschlossenen Vertrages (Bereitstellung der SaaS-Plattform).
Als Verantwortlicher für die Verarbeitung der Kundendaten Ihrer WhatsApp-Bots sind Sie verpflichtet, selbst eine Datenschutzerklärung für Ihre Kunden bereitzustellen und die entsprechenden Rechtsgrundlagen zu erfüllen.

Speicherdauer: Wir speichern Nachrichteninhalte nur temporär während der Verarbeitung. Gespeicherte Konversationsverläufe in Ihrer Datenbank unterliegen Ihrer Kontrolle und können von Ihnen jederzeit gelöscht werden.

7. Künstliche Intelligenz (AI) und Embeddings

Unsere Plattform nutzt Künstliche Intelligenz für die Bot-Antworten. Hierbei können folgende externe Dienste genutzt werden:

• GROQ API (GROQ Inc., USA) - für Textgenerierung (Llama 3.3 Modelle)
• OpenAI API (OpenAI LLC, USA) - optional für Embeddings
• Hugging Face Inference API (Hugging Face Inc., USA/EU) - optional für kostenlose Embeddings

Bei der Nutzung dieser Dienste werden Nachrichteninhalte zur Verarbeitung an die jeweiligen Anbieter übermittelt. Für die USA existiert ein Angemessenheitsbeschluss der EU-Kommission (Trans-Atlantic Data Privacy Framework). GROQ, OpenAI und Hugging Face sind nach dem TADPF zertifiziert oder bieten Standardvertragsklauseln an.
Die Verarbeitung erfolgt auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des Vertrages sowie Art. 6 Abs. 1 lit. f DSGVO aus unserem berechtigten Interesse an der Bereitstellung AI-gestützter Funktionen.

Embeddings: Zur Verbesserung der Bot-Antworten durch RAG (Retrieval Augmented Generation) erstellen wir Embeddings aus hochgeladenen Dokumenten (PDFs, URLs, Texten). Diese Embeddings werden in unserer EU-basierten Datenbank gespeichert (Supabase).

8. Supabase (Datenbank)

Wir nutzen Supabase (Supabase Inc., USA) als Datenbank- und Backend-Service. Supabase ist nach dem Trans-Atlantic Data Privacy Framework (TADPF) zertifiziert und bietet Standardvertragsklauseln sowie EU-Data-Residency-Optionen an.
Ihre Daten können in den USA verarbeitet werden. Wir nutzen Supabase's EU-Region, wenn verfügbar.
Die Verarbeitung erfolgt auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des Vertrages.
Nähere Informationen: https://supabase.com/privacy

9. Cookies und ähnliche Technologien

Wir verwenden Cookies und ähnliche Technologien auf unserer Website. Nähere Informationen finden Sie in unserer Cookie-Richtlinie.

Die Nutzung von Cookies erfolgt mit Ihrer Einwilligung auf Grundlage des § 25 Abs. 1 S. 1 TTDSG i.V.m. Art. 6 Abs. 1 lit. a DSGVO. Sie können die Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

10. Ihre Rechte

Sie haben folgende Rechte:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen.
• Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.
• Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit widerrufen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter: shop@owona.de

11. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde über unsere Datenverarbeitung zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Königstraße 10a
70173 Stuttgart
Telefon: 0711/615541-0
E-Mail: poststelle@lfdi.bwl.de
Website: https://www.baden-wuerttemberg.datenschutz.de

12. Datensicherheit

Wir verwenden technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten:

• Verschlüsselung der Datenübertragung (HTTPS/TLS)
• Verschlüsselung sensibler Daten in der Datenbank (Access Tokens)
• Zugriffskontrolle (Row Level Security in Supabase)
• Regelmäßige Sicherheits-Updates
• Authentifizierung und Autorisierung

13. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Nach Ablauf dieser Fristen werden die Daten routinemäßig gelöscht.

14. Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.