Datenschutzerklärung
1. Verantwortlicher
[FIRMENNAME]
[Inhabername]
[Straße, Hausnummer]
[PLZ Ort]
E-Mail: [DATENSCHUTZ-EMAIL]
Telefon: [TELEFONNUMMER]
2. Was Formanter ist – und welche Daten dabei entstehen
Formanter ist ein Telegram-Bot für Handwerksbetriebe. Über den Bot können Nutzer per Sprachnotiz oder Text Angebote, Rechnungen und Bautagesberichte erstellen. Dabei verarbeiten wir personenbezogene Daten der Nutzer selbst (Handwerksbetriebe) sowie – im Rahmen der Angebotserstellung – personenbezogene Daten der Kunden dieser Betriebe.
3. Welche Daten wir verarbeiten
3.1 Daten der Nutzer (Handwerksbetriebe)
Bei Registrierung und Nutzung speichern wir:
- Identifikation: Telegram-Nutzer-ID (numerische ID – kein Nutzername, kein Name, keine Telefonnummer aus Telegram)
- Firmendaten: Firmenname, Inhabername, Geschäftsadresse, Telefon, E-Mail, Website (optional)
- Steuer- & Bankdaten: USt-ID, Steuernummer, IBAN, BIC, Bankname – ausschließlich zur Darstellung in eigenen Dokumenten
- Einstellungen: Branche, Nummernkreise, PDF-Design, Logo, Unterschrift, selbst definierte Fachbegriffe
- Abonnement: Abonnement-Status und Stripe-Kunden-ID
- Statistik: Anzahl erstellter Angebote pro Monat (für Plan-Limits)
3.2 Daten der Endkunden der Nutzer
Wenn Nutzer Angebote oder Rechnungen erstellen, erfassen sie Daten ihrer eigenen Kunden. Diese verarbeiten wir ausschließlich im Auftrag des Nutzers (Auftragsverarbeitung, Art. 28 DSGVO):
- Name, Unternehmensname
- Adresse, E-Mail-Adresse, Telefonnummer (jeweils optional)
3.3 Sprach- und Mediendaten (temporär)
- Sprachnotizen: Audiodatei wird vorübergehend gespeichert, an OpenAI zur Transkription übermittelt und danach automatisch gelöscht – in der Regel innerhalb von 60 Sekunden.
- Fotos für Bautagesberichte: Temporär gespeichert, in das PDF eingebettet, danach automatisch gelöscht.
- PDF-Dokumente: Erstellte Angebote, Rechnungen und Berichte werden als PDF auf unserem Server gespeichert und sind über den Bot abrufbar.
Was wir nicht verarbeiten: Telegram-Nutzernamen, Vor- oder Nachnamen aus Telegram, Telegram-Telefonnummern, Zahlungsdaten (Kreditkarte etc. – diese bleiben ausschließlich bei Stripe), Gesprächsverläufe (werden nicht dauerhaft gespeichert).
4. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung des Kerndiensts (Angebots-/Rechnungserstellung) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Zahlungsabwicklung über Stripe | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| KI-gestützte Verarbeitung von Sprach- und Texteingaben | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Speicherung von Angeboten und Kundendaten im Nutzerauftrag | Art. 6 Abs. 1 lit. b + Art. 28 DSGVO (Auftragsverarbeitung) |
| Betriebsstabilität und Fehlerbehebung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| DSGVO-Compliance und Nachweisführung | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) |
5. Eingesetzte Dienste
Telegram USA / international
Der Zugang zu Formanter erfolgt über den Telegram-Messenger. Telegram erhält technisch alle Nachrichten, bevor sie an unsere Server übermittelt werden. Von Telegram verarbeiten wir ausschließlich die numerische Nutzer-ID. Datenschutzinformationen: telegram.org/privacy
OpenAI USA
Für Spracherkennung (Whisper) und Inhaltsextraktion (GPT) nutzen wir die OpenAI API. Dabei werden übermittelt:
- Audiodateien von Sprachnotizen (nur zur Transkription, danach lokal gelöscht)
- Transkribierter Text und selbst definierte Fachbegriffe des Nutzers
- In Spracheingaben enthaltene Inhalte (z. B. erwähnte Kundennamen, Projektbezeichnungen)
OpenAI verwendet API-Daten nach eigenen Angaben nicht zum Modelltraining. Wir haben mit OpenAI einen Datenverarbeitungsvertrag abgeschlossen. Die Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln. Datenschutzinformationen: openai.com/policies/privacy-policy
Stripe USA
Für Abonnementverwaltung und Zahlungsabwicklung nutzen wir Stripe. Dabei werden übermittelt: E-Mail-Adresse (sofern im Profil hinterlegt) und Telegram-Nutzer-ID als interne Referenz. Zahlungsdaten (Kreditkarte etc.) werden ausschließlich bei Stripe eingegeben und verarbeitet – wir erhalten und speichern diese zu keiner Zeit. Stripe ist PCI-DSS-zertifiziert. Datenschutzinformationen: stripe.com/de/privacy
Railway USA/Kanada
Server und PostgreSQL-Datenbank werden bei Railway betrieben. Railway hostet alle dauerhaft gespeicherten Daten (Profile, Angebote, Kundendaten, Rechnungen). Eine Garantie für ausschließlich europäische Datenspeicherung kann derzeit nicht gegeben werden. Die Datenübermittlung erfolgt auf Basis der EU-Standardvertragsklauseln. Datenschutzinformationen: railway.app/legal/privacy
Resend USA
Für den E-Mail-Versand von Angeboten an Kunden nutzen wir Resend. Dabei werden die E-Mail-Adresse des Empfängers, Name und Firmendaten des Nutzers sowie das Angebot als PDF-Anhang übermittelt. Der Versand erfolgt ausschließlich auf explizite Anforderung des Nutzers. Datenschutzinformationen: resend.com/legal/privacy-policy
6. Drittlandübermittlungen
Folgende Dienste verarbeiten Daten außerhalb der EU/EWR:
| Dienst | Land | Grundlage |
|---|---|---|
| OpenAI | USA | EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) |
| Stripe | USA | EU-Standardvertragsklauseln |
| Resend | USA | EU-Standardvertragsklauseln |
| Railway | USA/Kanada | EU-Standardvertragsklauseln |
| Telegram | International | Telegram-eigene Datenschutzrichtlinie |
7. Speicherung und Löschung
Dauerhaft gespeicherte Daten (Profil, Angebote, Rechnungen, Kundendaten) werden so lange aufbewahrt, bis der Nutzer die Löschung veranlasst oder das Vertragsverhältnis endet. Gesetzliche Aufbewahrungsfristen (z. B. 10 Jahre nach HGB/AO für Geschäftsunterlagen) können einer sofortigen Löschung entgegenstehen.
Automatisch gelöscht:
- Sprachnotizen (Audio): unmittelbar nach Transkription, spätestens nach 60 Sekunden
- Fotos für Bautagesberichte: unmittelbar nach PDF-Erstellung
- Konversations-Session-Daten (im Arbeitsspeicher): nach 30 Minuten Inaktivität
/datenschutz. Nach zweistufiger Bestätigung werden Profil, Kundendaten, Angebote, Rechnungen und Statistiken unwiderruflich aus unserer Datenbank entfernt.
Daten, die bei Drittdiensten (Stripe, Resend, OpenAI) gespeichert sind, müssen ggf. direkt bei diesen Diensten zur Löschung beantragt werden.
8. Datensicherheit
Alle Daten werden verschlüsselt übertragen (TLS/HTTPS). Authentifizierungs-Token sind kryptografisch gesichert und zeitlich begrenzt. Dashboard-Zugriffslinks sind einmalig nutzbar. Regelmäßige Datensicherungen der Datenbank werden vorgenommen.
9. Ihre Rechte
Nach DSGVO stehen Ihnen folgende Rechte zu:
- Auskunft (Art. 15): Welche Daten über Sie gespeichert sind
- Berichtigung (Art. 16): Korrektur unrichtiger Daten (im Dashboard oder per Anfrage)
- Löschung (Art. 17): Vollständig über den Bot-Befehl
/datenschutzoder schriftlich per E-Mail - Einschränkung der Verarbeitung (Art. 18): Auf schriftliche Anfrage
- Datenübertragbarkeit (Art. 20): Export Ihrer Daten auf Anfrage per E-Mail
- Widerspruch (Art. 21): Gegen Verarbeitungen auf Basis berechtigter Interessen
- Beschwerde: Bei der zuständigen Datenschutz-Aufsichtsbehörde Ihres Bundeslandes
Kunden der Nutzer: Wenn Ihre Daten durch einen Formanter-Nutzer (Handwerksbetrieb) in das System eingegeben wurden, wenden Sie sich bitte zunächst an diesen Betrieb als Ihren direkten Vertragspartner. Für Fragen zur unserer Verarbeitung stehen wir unter der unten genannten Adresse zur Verfügung.
10. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Produktänderungen oder geänderter Rechtslage anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar. Wesentliche Änderungen werden Nutzern über den Bot mitgeteilt.