Datenschutzerklärung
Stand: 9. April 2026
1. Datenschutz auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie die MERRO-Plattform oder den MERRO-Chatbot nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.
Was ist MERRO?
MERRO ist eine B2B-SaaS-Plattform, die KI-gestützte Chatbots bereitstellt. Unsere Kunden (Mandanten) betten ein Chat-Widget auf ihren eigenen Websites ein, über das deren Websitebesucher mit dem Chatbot kommunizieren können. Die MERRO-Plattform dient der Konfiguration und Verwaltung dieser Chatbots.
Wie erfassen wir Ihre Daten?
Ihre Daten werden erhoben, wenn Sie uns diese aktiv mitteilen (z. B. Chat-Nachrichten, Kontaktformulare, Bewerbungen, Registrierung) oder wenn sie automatisch bei Nutzung der Plattform erfasst werden (z. B. technische Daten wie Browser-Typ, Seitenaufrufe, gehashte IP-Adresse).
Welche Rechte haben Sie?
Sie haben jederzeit das Recht auf unentgeltliche Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Einzelheiten finden Sie in Abschnitt 5 dieser Datenschutzerklärung.
2. Verantwortliche Stelle
AWEOS GmbH
Schorbergerstraße 66, Einfahrt 2
42699 Solingen, Deutschland
Telefon: +49 212 250 852 50
E-Mail: info@aweos.de
Geschäftsführer: Christos Papadopoulos
Handelsregister: Amtsgericht Wuppertal, HRB 28526
USt-IdNr.: DE315532058
Datenschutzbeauftragte
E-Mail: datenschutz@aweos.de
Rolle als Verantwortlicher und Auftragsverarbeiter
Für die MERRO-Plattform und deren Infrastruktur ist AWEOS GmbH Verantwortlicher im Sinne der DSGVO. Gegenüber den Mandanten (B2B-Kunden) handelt AWEOS GmbH als Auftragsverarbeiter gemäß Art. 28 DSGVO für die Verarbeitung der personenbezogenen Daten der Websitebesucher der Mandanten. Die Mandanten sind insoweit Verantwortliche für die Datenverarbeitung ihrer Endnutzer.
3. Hosting und Infrastruktur
Serverstandort
Die MERRO-Plattform und alle damit verbundenen Datenbanken werden auf Servern in Deutschland betrieben. Die Server-Infrastruktur wird von der Blaschke IT Solutions GmbH in deutschen Rechenzentren bereitgestellt. Personenbezogene Daten werden ausschließlich auf Servern innerhalb der Europäischen Union gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Bereitstellung).
SSL-/TLS-Verschlüsselung
Sämtliche Datenübertragungen zwischen Ihrem Browser und unseren Servern erfolgen über eine verschlüsselte HTTPS-Verbindung (TLS). Zusätzlich werden sicherheitsrelevante HTTP-Header gesetzt (HSTS, CSP, X-Frame-Options, X-Content-Type-Options).
Verschlüsselung gespeicherter Daten
Chat-Nachrichten, API-Schlüssel, 2FA-Geheimnisse und weitere sensible Daten werden zusätzlich mit AES-256-GCM verschlüsselt in der Datenbank gespeichert (Verschlüsselung at Rest).
4. Datenerfassung im Einzelnen
4a. Server-Log-Dateien
Bei jedem Zugriff werden automatisch folgende Daten erfasst: Browsertyp und -version, Betriebssystem, Referrer-URL, angefragte Seite, Uhrzeit und IP-Adresse. Diese Daten werden für maximal 30 Tage gespeichert und nicht mit anderen Datenquellen zusammengeführt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung und Sicherheit).
4b. Cookies
Wir setzen ausschließlich technisch notwendige Cookies ein. Drittanbieter- oder Tracking-Cookies werden nicht verwendet.
| Cookie | Zweck | Dauer |
|---|---|---|
| __Secure-next-auth.session-token | Authentifizierung und Sitzungsverwaltung | 4–8 Stunden |
| __Host-next-auth.csrf-token | CSRF-Schutz | Session |
| cookie-consent | Speicherung Ihrer Cookie-Einstellungen | 1 Jahr (localStorage) |
Das Chatbot-Widget, das auf Websites unserer Mandanten eingebettet wird, setzt keine Cookies und verwendet kein localStorage auf der Mandanten-Website. Die Sitzungs-ID wird ausschließlich im Arbeitsspeicher (JavaScript) gehalten und nicht persistent gespeichert.
Rechtsgrundlage: § 25 Abs. 2 TTDSG (technisch notwendig, keine Einwilligung erforderlich).
4c. Chatbot-Widget (für Websitebesucher)
Wenn Sie auf einer Website unserer Mandanten den Chatbot nutzen, werden folgende Daten erhoben:
- Chat-Nachrichten: Ihre Nachrichten und die Antworten des Chatbots. Diese werden verschlüsselt (AES-256-GCM) gespeichert.
- Sitzungsdaten: Eine zufällig generierte Sitzungs-ID, aufgerufene Seiten-URL, Browser-Typ (User-Agent) und Zeitstempel.
- IP-Adresse: Wird ausschließlich als kryptografischer Hash (HMAC-SHA256) gespeichert und dient der Missbrauchserkennung (Rate Limiting). Die Klartext-IP wird nicht gespeichert und kann aus dem Hash nicht wiederhergestellt werden.
- Anonymisierte Nutzungsereignisse: Widget-Öffnungen, Gesprächsstart/-ende, Nachrichtenanzahl (keine Nachrichteninhalte).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Mandanten) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung des Dienstes und der Missbrauchsprävention).
4d. Kontakt- und Rückrufformulare
Über den Chatbot können Kontakt- und Rückrufformulare ausgefüllt werden. Dabei werden erfasst: Name, E-Mail-Adresse, ggf. Telefonnummer und Ihre Nachricht. Die Nachricht wird verschlüsselt gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen / Vertragsanbahnung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).
4e. Bewerbungsformulare
Sofern vom Mandanten aktiviert, können über den Chatbot Bewerbungen eingereicht werden. Dabei werden erfasst: Name, E-Mail-Adresse, ggf. Telefonnummer, gewünschte Position, Anschreiben und hochgeladene Dateien (z. B. Lebenslauf).
Hochgeladene Dateien werden auf dem Server des Mandanten gespeichert und nichtan den KI-Dienst übermittelt. Die Aufbewahrungsdauer beträgt maximal 180 Tage, sofern vom Mandanten nicht anders konfiguriert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 BDSG (Anbahnung eines Beschäftigungsverhältnisses).
4f. Registrierung und Benutzerkonto (Mandanten)
Bei der Registrierung als Mandant werden erhoben: E-Mail-Adresse, Name, Passwort (als bcrypt-Hash gespeichert, niemals im Klartext) und Unternehmensdaten. Optional kann Zwei-Faktor-Authentifizierung (2FA/TOTP) aktiviert werden; das 2FA-Geheimnis wird verschlüsselt gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
4g. Zahlungsdaten und Abrechnung
Die Zahlungsabwicklung erfolgt über Mollie B.V. (Keizersgracht 313, 1016 EE Amsterdam, Niederlande). Bei MERRO werden lediglich Referenz-IDs (Kunden-ID, Abonnement-ID, Mandats-ID), Zahlungsbeträge, -status und Rechnungsdaten gespeichert. Kreditkarten- oder Bankdaten werden ausschließlich von Mollie verarbeitet und nicht bei uns gespeichert.
Rechnungen und Zahlungsnachweise werden gemäß den handels- und steuerrechtlichen Aufbewahrungspflichten (§ 257 HGB, § 147 AO) für 10 Jahre aufbewahrt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).
Datenschutzerklärung von Mollie: https://www.mollie.com/de/privacy
4h. E-Mail-Benachrichtigungen
Wir versenden transaktionale E-Mails (Registrierung, Passwort-Zurücksetzen, Zahlungsbestätigungen, Kontakt- und Bewerbungsbenachrichtigungen, Wochenberichte). Der E-Mail-Versand erfolgt über einen vom Mandanten konfigurierten SMTP-Server. Es werden keine Marketing-E-Mails ohne gesonderte Einwilligung versendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
5. Ihre Rechte als betroffene Person
Sie haben folgende Rechte gemäß DSGVO. Zur Ausübung wenden Sie sich bitte an info@aweos.de. Wir antworten innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).
- Auskunftsrecht (Art. 15): Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen. Mandanten können den Datenexport auch selbstständig über das Dashboard (Datenschutz-Bereich) durchführen.
- Recht auf Berichtigung (Art. 16): Sie können die Korrektur unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17):Sie können die Löschung Ihrer Daten verlangen. Mandanten können die Löschung einzelner Betroffenendaten oder ihres gesamten Kontos über das Dashboard durchführen. Gesetzliche Aufbewahrungspflichten (z. B. 10 Jahre für Rechnungsdaten) bleiben unberührt.
- Recht auf Einschränkung (Art. 18):Sie können die Einschränkung der Verarbeitung verlangen, z. B. wenn Sie die Richtigkeit der Daten bestreiten.
- Recht auf Datenübertragbarkeit (Art. 20): Sie können Ihre Daten in einem maschinenlesbaren Format (JSON) erhalten. Der Export ist über das Dashboard möglich.
- Widerspruchsrecht (Art. 21):Sie können der Verarbeitung widersprechen, sofern diese auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht.
- Widerruf der Einwilligung (Art. 7 Abs. 3): Eine erteilte Einwilligung können Sie jederzeit für die Zukunft widerrufen.
Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2–4, 40213 Düsseldorf
Telefon: 0211/38424-0
E-Mail: poststelle@ldi.nrw.de
6. KI-Dienste und Drittanbieter
KI-Sprachmodelle
Für die KI-gestützte Chatbot-Funktionalität werden Chat-Nachrichten zur Generierung von Antworten an folgenden Anbieter übermittelt:
- Microsoft Azure OpenAI(EU-Rechenzentrum, Sweden Central, Schweden) – Die Datenverarbeitung erfolgt ausschließlich innerhalb der Europäischen Union. Grundlage ist das Microsoft Data Processing Addendum. Es werden ausschließlich Chat-Nachrichten und der System-Prompt übermittelt – keine Namen, E-Mail-Adressen, IP-Adressen oder sonstigen Metadaten.
Chat-Nachrichten werden nur zur Generierung der jeweiligen Antwort übermittelt und dort nicht dauerhaft gespeichert. Es findet keine Datenübermittlung in Drittstaaten (außerhalb der EU) statt.
KI-Hinweis (KI-Verordnung / AI Act)
Mandanten haben die Möglichkeit, einen KI-Hinweis im Widget anzuzeigen, der Websitebesucher darüber informiert, dass sie mit einem KI-System kommunizieren (Transparenzpflicht gemäß EU-KI-Verordnung).
Zahlungsdienstleister – Mollie
Siehe Abschnitt 4g. Mollie B.V. ist als Auftragsverarbeiter gemäß Art. 28 DSGVO vertraglich gebunden. Mollie ist in den Niederlanden (EU) ansässig.
Shop-Integrationen
MERRO bietet optionale Integrationen mit Shopify (Shopify Inc., Kanada/USA) und WooCommerce(bei dem jeweiligen Hoster des Mandanten). Dabei werden ausschließlich Produktdaten (Name, Beschreibung, Preis, Bilder) synchronisiert – keine personenbezogenen Daten der Endkunden. Die Nutzung ist optional und wird vom Mandanten aktiviert.
Google Fonts (lokales Hosting)
Diese Seite nutzt Google Fonts, die lokal auf unseren Servern gehostet werden. Es findet keine Verbindung zu Servern von Google statt.
Verwendung von Chat-Inhalten zum Modelltraining
Die übermittelten Chat-Nachrichten werden von AWEOS GmbH nicht zum Training eigener KI-Modelle verwendet.
Ebenso erfolgt keine Nutzung der Daten zur Verbesserung der KI-Dienste durch AWEOS GmbH.
Sofern externe KI-Anbieter eingesetzt werden, erfolgt die Verarbeitung ausschließlich zur Generierung der jeweiligen Antwort und nicht zur dauerhaften Speicherung oder Modelltrainierung, sofern dies vertraglich ausgeschlossen ist.
7. Auftragsverarbeitung und Unterauftragnehmer
Wir haben mit allen relevanten Dienstleistern Auftragsverarbeitungsverträge (AV-Verträge) gemäß Art. 28 DSGVO geschlossen. Folgende Unterauftragnehmer werden eingesetzt:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Blaschke IT Solutions GmbH | Hosting, Datenbank, Infrastruktur | Deutschland (EU) |
| Microsoft (Azure OpenAI) | KI-Sprachmodell für Chatbot-Antworten | EU (Sweden Central) |
| Mollie B.V. | Zahlungsabwicklung | Niederlande (EU) |
| SMTP-Anbieter (mandantenspezifisch) | E-Mail-Versand | Abhängig vom Mandanten |
8. Datenübermittlung in Drittstaaten
Eine Übermittlung personenbezogener Daten in Drittstaaten (außerhalb des EWR) erfolgt ausschließlich in folgenden Fällen:
- Shopify (Kanada/USA):Nur Produktdaten (keine personenbezogenen Daten), abgesichert durch EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Die KI-gestützte Chatbot-Funktionalität wird ausschließlich über Microsoft Azure OpenAI im EU-Rechenzentrum Sweden Central betrieben. Es findet hierbei keine Datenübermittlung in Drittstaaten statt.
Alle primären Daten (Datenbank, Dateien, Benutzerdaten) verbleiben auf Servern in Deutschland.
9. Speicherdauer und Aufbewahrungsfristen
| Datenart | Speicherdauer | Automatische Löschung |
|---|---|---|
| Chat-Nachrichten und -Sitzungen | 30 Tage (mandantenspezifisch konfigurierbar) | Ja (täglicher Cron-Job) |
| Kontakt-/Rückrufanfragen | 30 Tage (mandantenspezifisch konfigurierbar) | Ja (täglicher Cron-Job) |
| Bewerbungen und Dateien | 180 Tage | Ja (täglicher Cron-Job) |
| Benutzerkonten (Mandanten) | Bis zur Kontolöschung | Manuell (Self-Service im Dashboard) |
| Rechnungen und Zahlungsdaten | 10 Jahre (gesetzliche Pflicht) | Nein (§ 257 HGB, § 147 AO) |
| Fehlerprotokolle | 30 Tage | Ja (täglicher Cron-Job) |
| Audit-Protokolle | 24 Monate | Ja |
| Server-Logs | 30 Tage | Ja |
Soweit keine speziellere Speicherdauer angegeben ist, werden personenbezogene Daten gelöscht, sobald der Zweck der Verarbeitung oder die rechtliche Grundlage entfällt. Gesetzliche Aufbewahrungspflichten (insbesondere handels- und steuerrechtliche Fristen) bleiben unberührt.
10. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Zum Schutz Ihrer personenbezogenen Daten setzen wir unter anderem folgende Maßnahmen ein:
- Verschlüsselung in Transit: TLS/HTTPS für sämtliche Verbindungen, HSTS mit Preload
- Verschlüsselung at Rest: AES-256-GCM mit PBKDF2-Schlüsselableitung für Chat-Nachrichten, API-Schlüssel, 2FA-Geheimnisse
- Passwortsicherheit: bcrypt-Hashing, optionale Zwei-Faktor-Authentifizierung (TOTP)
- IP-Anonymisierung: HMAC-SHA256-Hashing von IP-Adressen (nicht umkehrbar)
- Zugriffsschutz: Rollenbasierte Zugriffskontrolle, strikte Mandantentrennung (Multi-Tenancy-Isolation)
- Rate Limiting: Brute-Force-Schutz für Login-Versuche, automatische IP-Sperre
- Security Headers: Content Security Policy (CSP), X-Frame-Options, X-Content-Type-Options
- Input-Validierung: Sanitisierung aller Eingaben, XSS- und Prompt-Injection-Erkennung
- Audit-Trail: Lückenlose Protokollierung sicherheitsrelevanter Aktionen
- Datenlöschung in Logs: Personenbezogene Daten (E-Mail, IP, Name) werden in Fehlerprotokollen automatisch entfernt
11. Webhooks und Datenweiterleitung
Mandanten können Webhooks konfigurieren, über die Kontaktanfragen, Bewerbungen oder Chat-Ereignisse an externe Systeme (z. B. CRM, E-Mail) weitergeleitet werden. Die übermittelten Daten können personenbezogene Daten der Websitebesucher enthalten (Name, E-Mail, Nachricht). Die Verantwortung für die datenschutzkonforme Verarbeitung beim Empfänger liegt beim Mandanten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Mandanten).
12. Support-Zugang
Mandanten können einen zeitlich begrenzten Support-Zugang für das AWEOS-Team aktivieren (15, 30 oder 60 Minuten). Der Zugang wird über einen einmaligen, signierten Link gewährt und automatisch nach Ablauf deaktiviert. Jeder Support-Zugriff wird vollständig im Audit-Protokoll dokumentiert. Mandanten können den Zugang jederzeit widerrufen.
13. Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt. Der KI-Chatbot generiert Antworten auf Basis der Gesprächshistorie, trifft jedoch keine rechtlich verbindlichen Entscheidungen über Personen.
Der KI-Chatbot dient ausschließlich der Unterstützung bei der Kommunikation und stellt keine medizinische Beratung, Diagnose oder Behandlung dar.
Nutzer sollten keine medizinischen Notfälle über den Chatbot melden. In dringenden Fällen ist unmittelbar medizinisches Fachpersonal oder der Notruf zu kontaktieren.
14. Verarbeitung von Daten, die dem Berufsgeheimnis unterliegen (§ 203 StGB)
Sofern über den MERRO-Chatbot Daten verarbeitet werden, die der ärztlichen Schweigepflicht oder einem anderen Berufsgeheimnis gemäß § 203 StGB unterliegen, verpflichtet sich die AWEOS GmbH, diese Daten in gleicher Weise vertraulich zu behandeln wie der jeweilige Berufsgeheimnisträger.
AWEOS GmbH hat sämtliche Mitarbeiter zur Vertraulichkeit verpflichtet und auf die strafrechtlichen Folgen einer unbefugten Offenbarung gemäß § 203 StGB hingewiesen.
Sofern Unterauftragsverarbeiter eingesetzt werden, erfolgt deren Einbindung ausschließlich auf Grundlage von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO sowie vertraglichen Vertraulichkeitsverpflichtungen.
Beim Einsatz externer KI-Dienste kann eine Verarbeitung durch weitere technische Dienstleister erfolgen. Diese werden ausschließlich im Rahmen der Auftragsverarbeitung eingesetzt und erhalten nur die zur Antwortgenerierung erforderlichen Daten.
15. Verarbeitung sensibler Daten durch Mandanten
Mandanten können den Chatbot in Bereichen einsetzen, in denen sensible personenbezogene Daten verarbeitet werden, beispielsweise im Gesundheitsbereich.
AWEOS GmbH stellt hierfür ausschließlich die technische Plattform bereit und verarbeitet die Daten ausschließlich im Auftrag des Mandanten.
Mandanten sind verpflichtet, ihre Endnutzer vor Nutzung des Chatbots über die Verarbeitung personenbezogener Daten zu informieren und – sofern erforderlich – eine Einwilligung einzuholen.
AWEOS GmbH übernimmt keine Verantwortung für die inhaltliche Nutzung des Chatbots durch Mandanten oder deren Endnutzer.
16. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung ist jederzeit auf dieser Seite abrufbar. Es gilt die zum Zeitpunkt Ihres Besuchs veröffentlichte Version.