Datenschutzrichtlinie
Zuletzt aktualisiert: 23. April 2026
1. Einleitung
Deskwoot („wir", „uns" oder „unser") verpflichtet sich zum Schutz deiner Privatsphäre. Diese Datenschutzrichtlinie erläutert, wie wir deine Daten erheben, verwenden, offenlegen und schützen, wenn du unsere Kundensupport-Plattform („Dienst") nutzt. Durch die Nutzung des Dienstes stimmst du den in dieser Richtlinie beschriebenen Datenpraktiken zu.
2. Erhobene Daten
Wir erheben folgende Arten von Daten: Kontoinformationen: Bei der Registrierung erheben wir deinen Namen, deine E-Mail-Adresse, dein Passwort und deine Organisationsdetails. Kundendaten: Daten, die du oder deine Kunden über den Dienst übermitteln, einschließlich Nachrichten, Kontaktinformationen, Notizen und Gesprächsverläufe. Nutzungsdaten: Wir erheben automatisch Informationen über deine Interaktion mit dem Dienst, einschließlich besuchter Seiten, genutzter Funktionen, Browsertyp, Geräteinformationen, IP-Adresse und Zeitstempel. Integrationsdaten: Wenn du Drittanbieterdienste verbindest (wie Shopify, Stripe, WhatsApp oder Slack), erhalten wir von dir autorisierte Daten dieser Dienste, wie Kundennamen, E-Mail-Adressen, Telefonnummern, Bestellhistorie und Zahlungsinformationen. Analysedaten: Wir verwenden Google Analytics, Google Tag Manager und PostHog, um aggregierte Nutzungsdaten zu erheben, um zu verstehen, wie Besucher und angemeldete Nutzer mit dem Dienst interagieren. Dies kann Seitenaufrufe, Klicks, Sitzungsdauer, Traffic-Quellen, Geräteinformationen und allgemeine geografische Standortdaten umfassen. PostHog wird zusätzlich für Session-Replay ausschließlich im angemeldeten Dashboard-Bereich verwendet (siehe Abschnitt 10). Cookies: Wir verwenden essenzielle Cookies, die für die Funktion des Dienstes erforderlich sind. Analyse-Cookies werden nur mit deiner Einwilligung verwendet, soweit gesetzlich vorgeschrieben.
3. Verwendung deiner Daten
Wir verwenden deine Daten, um: (a) den Dienst bereitzustellen, zu warten und zu verbessern; (b) Transaktionen zu verarbeiten und zugehörige Informationen zu senden; (c) dir technische Hinweise, Updates und Support-Nachrichten zu senden; (d) auf deine Kommentare, Fragen und Anfragen zu reagieren; (e) Nutzungstrends zu überwachen und zu analysieren; (f) betrügerische oder unbefugte Aktivitäten zu erkennen und zu verhindern; (g) gesetzlichen Verpflichtungen nachzukommen.
4. Datenweitergabe und Offenlegung
Wir verkaufen deine personenbezogenen Daten nicht. Wir können deine Daten teilen mit: (a) Dienstleistern, die uns beim Betrieb des Dienstes unterstützen (Hosting, E-Mail-Zustellung, Zahlungsabwicklung, Analyse); (b) Drittanbieter-Integrationen, die du explizit verbindest (Shopify, Stripe usw.); (c) Strafverfolgungsbehörden oder Aufsichtsbehörden, wenn gesetzlich vorgeschrieben; (d) einem Nachfolgeunternehmen im Falle einer Fusion, Übernahme oder eines Verkaufs von Vermögenswerten.
5. Datenspeicherung und Sicherheit
Deine Daten werden auf sicheren Servern gespeichert. Wir implementieren angemessene technische und organisatorische Maßnahmen zum Schutz deiner Daten gegen unbefugten Zugriff, Änderung, Offenlegung oder Zerstörung. Keine Übertragungsmethode über das Internet oder elektronische Speicherung ist jedoch zu 100% sicher, und wir können keine absolute Sicherheit garantieren.
6. Datenspeicherungsdauer
Wir bewahren deine personenbezogenen Daten auf, solange dein Konto aktiv ist oder für die Bereitstellung des Dienstes erforderlich. Nach der Kontolöschung werden wir deine Daten innerhalb von 90 Tagen löschen oder anonymisieren, sofern eine Aufbewahrung nicht gesetzlich vorgeschrieben ist. Gesprächsdaten und Kundeninteraktionen werden gemäß deinen Kontoeinstellungen aufbewahrt.
7. Deine Rechte (DSGVO)
Wenn du dich im Europäischen Wirtschaftsraum (EWR) befindest, hast du folgende Rechte gemäß der Datenschutz-Grundverordnung (DSGVO): Auskunftsrecht: Du kannst eine Kopie der über dich gespeicherten personenbezogenen Daten anfordern. Recht auf Berichtigung: Du kannst die Korrektur ungenauer oder unvollständiger Daten verlangen. Recht auf Löschung: Du kannst die Löschung deiner personenbezogenen Daten verlangen. Recht auf Einschränkung der Verarbeitung: Du kannst verlangen, dass wir die Nutzung deiner Daten einschränken. Recht auf Datenübertragbarkeit: Du kannst deine Daten in einem strukturierten, maschinenlesbaren Format anfordern. Widerspruchsrecht: Du kannst der Verarbeitung deiner Daten für bestimmte Zwecke widersprechen. Recht auf Widerruf der Einwilligung: Soweit die Verarbeitung auf einer Einwilligung beruht, kannst du diese jederzeit widerrufen. Zur Ausübung dieser Rechte kontaktiere uns unter hello@deskwoot.com. Wir werden innerhalb von 30 Tagen antworten.
8. Internationale Datenübermittlung
Deine Daten können in Länder außerhalb des EWR übertragen und dort verarbeitet werden. In diesem Fall stellen wir sicher, dass geeignete Schutzmaßnahmen getroffen werden, wie z.B. von der Europäischen Kommission genehmigte Standardvertragsklauseln, um deine Daten gemäß geltendem Recht zu schützen.
9. Drittanbieterdienste
Der Dienst integriert sich mit Drittanbieterplattformen. Wenn du eine Integration verbindest, können Daten zwischen Deskwoot und dem Drittanbieterdienst fließen. Jeder Drittanbieterdienst hat seine eigene Datenschutzrichtlinie, und wir empfehlen dir, diese zu lesen. Wir sind nicht verantwortlich für die Datenschutzpraktiken von Drittanbieterdiensten.
9a. KI-Verarbeitung und Kein-Training-Zusicherung
Wenn du den Deskwoot-KI-Bot nutzt, werden Konversationsinhalte an KI-Anbieter (Anthropic oder OpenAI) zur Inferenz übermittelt. Wir sichern schriftlich über unseren AVV und die AVVs unserer Anbieter zu, dass Konversationsdaten niemals zum Training von Modellen von Deskwoot, Anthropic oder OpenAI verwendet werden. Reine Inferenz. Eigener API-Key (BYOK): Jeder Bezahlplan erlaubt dir, einen eigenen Anthropic- oder OpenAI-API-Key in den Bot-Einstellungen zu hinterlegen. Wenn du das tust, werden deine Prompts und Kundendaten direkt aus deinem Tenant zum gewählten Anbieter geroutet. Deskwoot persistiert diese Prompts nicht und sie laufen nie durch eine geteilte Inferenz-Pipeline. Identitätsprüfung vor PII-Zugriff: Bevor unser KI-Bot Bestellungen, Adressen oder andere personenbezogene Daten teilt, muss die Konversation identitätsverifiziert sein. Bei Email und WhatsApp passiert das implizit, wenn der Absender mit dem hinterlegten Kontakt übereinstimmt. Im Live-Chat schicken wir dem Kunden einen Email-Magic-Link, den er innerhalb von 15 Minuten klickt. Tier-1-Bestellverfolgung über Bestellnummer + Postleitzahl ist auch ohne Vollverifikation möglich, gibt aber nie personenbezogene Daten preis - nur den Versandstatus.
9b. Stripe-App-Integration
Wenn du die Deskwoot-Stripe-App im Stripe-Marketplace installierst, erhalten wir von Stripe ein OAuth-Access-Token und ein Refresh-Token, beide auf dein Stripe-Konto begrenzt. Den Authorization-Code tauschen wir auf https://deskwoot.com/api/integrations/stripe-app/oauth-callback gegen die Tokens und legen sie verschlüsselt in unserer EU-gehosteten Datenbank ab (Railway, Frankfurt). Das Access-Token wird automatisch vor seiner einstündigen Gültigkeit erneuert; das Refresh-Token rolliert bei jeder Erneuerung weiter. Angeforderte Berechtigungen: Customers (Lesen), Subscriptions (Lesen und Schreiben), Charges and Refunds (Lesen und Schreiben). Lesezugriff brauchen wir, um Stripe-Kundenprofil, kürzliche Zahlungen und Abo-Status neben der Konversation anzuzeigen und damit der KI-Bot Abrechnungsfragen wie Plan, Verlängerungsdatum oder letzte Quittung beantworten kann. Schreibzugriff wird in zwei Fällen genutzt. (i) Agent-getrieben: Ein berechtigter Deskwoot-Agent öffnet die Stripe-Leiste in der Konversationsansicht, klickt auf Cancel oder Refund und bestätigt im Dialog. (ii) Bot-getrieben: Der KI-Bot führt die Aktion aus, wenn (1) du in deinem Deskwoot-Konto die jeweilige Bot-Berechtigung explizit aktiviert hast (botCanCancelSubscription, botCanIssueRefund), (2) die Identität des Kunden auf der Konversation gemäß Abschnitt 9a verifiziert wurde, und (3) der Kunde ein Bestätigungswort in seiner Sprache eingibt ("confirm", "yes", "proceed", "do it" oder das lokalisierte Äquivalent). In beiden Fällen werden Kündigungen als cancel-at-period-end ausgeführt (der Kunde behält den Zugang bis zum Ende des bezahlten Zeitraums). Jede Kündigung und jede Rückerstattung wird in deinem Deskwoot-Audit-Log mit der Aktion stripe.subscription_cancel_at_period_end oder commerce.order_refunded protokolliert. Was wir cachen: Stripe-Kundenprofil, kürzliche Zahlungen und Abo-Status werden bedarfsgesteuert geladen, um den Konversationskontext darzustellen, und nicht über das hinaus aufbewahrt, was zur Anzeige im Posteingang nötig ist. Vollständige Kartennummern, CVC oder andere Karteninhaber-Authentifizierungsdaten speichern wir nicht - Zahlungsdaten bleiben bei Stripe. Deinstallation und Löschung: Wenn du die Deskwoot-Stripe-App in deinem Stripe-Dashboard widerrufst, wird das Access-Token revoziert. Zusätzlich kannst du die Integration in Deskwoot unter Einstellungen → Integrationen entfernen, was die verschlüsselten Tokens und gecachten Stripe-Metadaten aus unserer Datenbank löscht. Eine frühere Löschung von Audit-Log-Einträgen kannst du über hello@deskwoot.com anfragen.
10. Analyse und Tracking
Wir verwenden Google Analytics 4 (GA4) und Google Tag Manager, um zu verstehen, wie Besucher unsere Website nutzen, und um den Dienst zu verbessern. Unsere GA4-Property-ID lautet G-EBYJ09M1YP. Google Analytics erhebt folgende Arten von Informationen: besuchte Seiten und Navigationspfade, auf Seiten verbrachte Zeit und Sitzungsdauer, Gerätetyp, Betriebssystem und Browser-Informationen, ungefährer geografischer Standort (Stadt-/Landesebene), Verweisquellen und wie du auf unsere Website gelangt bist, sowie allgemeine Interaktionsmuster. Google Analytics verwendet Cookies, um einzelne Nutzer zu unterscheiden und Sitzungen zu verfolgen. Diese Daten werden von Google LLC gemäß deren Datenschutzrichtlinie verarbeitet, die du unter https://policies.google.com/privacy einsehen kannst. Wir verwenden Google-Analytics-Daten nicht zur persönlichen Identifizierung einzelner Nutzer. Die erhobenen Daten werden aggregiert verwendet, um Trends zu analysieren, die Website zu verwalten und die Nutzererfahrung zu verbessern. Du kannst das Google-Analytics-Tracking deaktivieren, indem du das Google Analytics Opt-out Browser Add-on installierst, verfügbar unter https://tools.google.com/dlpage/gaoptout. Produktanalyse und Session-Replay (PostHog): Wir verwenden PostHog für Produktanalyse, Feature Flags, Fehler-Tracking und Session-Replay ausschließlich im angemeldeten Dashboard-Bereich (/app und /admin). Anbieter: PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA. Datenhaltung: Deine PostHog-Daten werden auf EU-Servern verarbeitet (eu.i.posthog.com, gehostet bei Google Cloud in Frankfurt, Deutschland). Ein Zugriff durch PostHog-Mitarbeiter in den USA kann dennoch im Rahmen von Support und Betrieb erfolgen. Als Rechtsgrundlage für diesen Transfer dienen die Standardvertragsklauseln (SCCs) der EU-Kommission zusammen mit dem Auftragsverarbeitungsvertrag (DPA) von PostHog. Erhobene Daten: Seitenaufrufe, Klicks, Feature-Interaktionen, benutzerdefinierte Produkt-Events (z.B. Registrierung, Abonnementänderungen, verbundene Inbox), Geräte- und Browser-Informationen, ungefährer geografischer Standort, sowie, ausschließlich im angemeldeten Dashboard-Bereich, Session-Aufzeichnungen (Mausbewegung, Klicks, Scroll-Position, Seiten-Navigation). Formularfelder und Passwortfelder werden standardmäßig maskiert. Zusätzlich werden alle Elemente mit dem Attribut data-ph-mask aktiv maskiert. Session-Replay ist auf allen öffentlichen Marketing-Seiten deaktiviert. Zweck: Verständnis der Produktnutzung, Verbesserung der Nutzererfahrung, Debugging von gemeldeten Problemen, Messung neuer Features und Fehlererkennung. Rechtsgrundlage: Deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, erteilt über unseren Cookie-Banner. Außerhalb der EU/EWR, des Vereinigten Königreichs und der Schweiz ist die Analyse standardmäßig aktiv, soweit nach lokalem Recht zulässig (z.B. CCPA-Opt-Out-Modell). Speicherdauer: Standardmäßig bis zu 7 Jahre gemäß PostHog-Plattform-Retention. Du kannst jederzeit eine frühere Löschung verlangen. Opt-Out: Klicke im Cookie-Banner auf „Nur essenzielle" oder widerrufe deine Einwilligung jederzeit über den Cookie-Einstellungen-Link im Footer. Angemeldete Endkunden unserer Agenten können zusätzlich die Löschung ihrer Session-Aufzeichnungen unter hello@deskwoot.com anfordern. PostHog respektiert auch das Do-Not-Track-Signal deines Browsers. Weitere Informationen: https://posthog.com/privacy Werbung und Conversion-Tracking: Wenn du unsere Website besuchst, laden wir eine kleine Anzahl Werbe-Pixel, damit wir messen können, welche Anzeige zu einer Registrierung geführt hat, und unsere Partner korrekt vergüten. Folgende Pixel laufen: - Google Ads (gtag): Conversion-Messung für unsere Google-Search- und Display-Kampagnen. Pixel über Tag-Manager-Script von googletagmanager.com geladen. Erfasster Identifier: gclid-Query-Parameter sowie ein von Google verwaltetes Cookie. Anbieter: Google LLC. Datenschutz: https://policies.google.com/privacy. - OpenAI Ads (oaiq, Beta): Conversion-Messung für ChatGPT-Ads. Pixel-Script geladen von bzrcdn.openai.com/sdk/oaiq.min.js. Erfasster Identifier: oppref-Query-Parameter, gespeichert in einem First-Party-Cookie __oppref. Zusätzlich senden wir nach einer erfolgreichen Registrierung serverseitig ein registration_completed-Event an die Conversions API von OpenAI, damit die Conversion auch dann gezählt wird, wenn der Browser das Pixel blockt. Anbieter: OpenAI L.L.C. Datenschutz: https://openai.com/privacy. - Meta Pixel (fbq): Conversion-Messung für unsere Facebook- und Instagram-Kampagnen. Erfasster Identifier: fbclid-Query-Parameter sowie ein von Meta verwaltetes Cookie. Anbieter: Meta Platforms Ireland Ltd. Datenschutz: https://www.facebook.com/privacy/policy/. - Reditus: Affiliate-Tracking, damit Partner, die einen zahlenden Kunden vermitteln, korrekt vergütet werden. Erfasster Identifier: raid-Query-Parameter sowie ein First-Party-Cookie von Reditus. Anbieter: Reditus B.V., Niederlande. Datenschutz: https://www.getreditus.com/legal/privacy-policy. Was wir teilen: das Conversion-Event selbst (Registrierung abgeschlossen, Plan upgegradet), einen Event-Identifier zur Duplikat-Erkennung, den Anzeigen-Click-Identifier (gclid / oppref / fbclid / raid) der ursprünglich an der Landing-URL hing, die Quell-URL der Seite, auf der die Conversion stattfand, und – für einige Pixel – eine SHA-256-gehashte Version deiner E-Mail-Adresse. Wir teilen niemals Konversationsinhalte, Kunden-Nachrichten oder Produktdaten mit einem Werbe-Netzwerk. Rechtsgrundlage: Deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, erteilt über unseren Cookie-Banner. Außerhalb der EU/EWR, des Vereinigten Königreichs und der Schweiz folgen Werbe-Cookies dem lokalen Opt-Out-Modell. Opt-Out: Klicke im Cookie-Banner auf „Nur essenzielle", lehne Werbe-Cookies ab oder nutze den Adblocker deines Browsers. Bestehende Einwilligung kann jederzeit über den Cookie-Einstellungen-Link im Footer widerrufen werden; nach Widerruf werden keine weiteren Conversion-Events mehr gesendet.
11. Datenschutz von Kindern
Der Dienst ist nicht für Kinder unter 16 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Wenn wir erfahren, dass wir Daten eines Kindes unter 16 Jahren erhoben haben, werden wir diese unverzüglich löschen.
12. Änderungen dieser Richtlinie
Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren. Über wesentliche Änderungen informieren wir dich durch Veröffentlichung der aktualisierten Richtlinie mit neuem „Zuletzt aktualisiert"-Datum. Wir empfehlen dir, diese Richtlinie regelmäßig zu überprüfen.
13. Kontakt
Bei Fragen zu dieser Datenschutzrichtlinie oder unseren Datenpraktiken kontaktiere uns unter: E-Mail: hello@deskwoot.com Adresse: Neltacore, LLC, 1908 Thomes Avenue, Cheyenne, WY 82001, USA