Verantwortlicher für die Datenverarbeitung in ChatGBÜTTI ist Anderson Büttenbender (Kontakt: ander.butten@gmail.com). ChatGBÜTTI ist ein privater, nicht-kommerzieller KI-Chat für einen kleinen, einzeln freigegebenen Nutzerkreis.
Diese Erklärung beschreibt, welche Daten die App verarbeitet, wofür, wie lange — und welche Rechte du hast. Es gibt keine Werbung, kein Tracking und keine Analyse-Tools.
1. Welche Daten wir erheben und wofür
- Kontodaten: Name (frei änderbar in den Einstellungen), E-Mail-Adresse, ggf. Profilbild (wird nur bei der Google-Anmeldung aus dem Google-Konto übernommen; die Apple-Anmeldung liefert kein Profilbild), Kontostatus und Rolle. Zweck: Anmeldung und Zugriffskontrolle — neue Konten müssen vom Betreiber freigegeben werden.
- Chat-Inhalte: deine Nachrichten, hochgeladene Anhänge, KI-generierte Antworten und Bilder, Chat-Titel sowie deine optionalen „Eigenen Anweisungen“ aus den Einstellungen. Zweck: Bereitstellung der Chat-Funktion und deines Verlaufs auf allen deinen Geräten.
- Nutzungs- und Kostendaten: Zeitpunkt, verwendetes KI-Modell, Token-Anzahl, geschätzte Kosten und Antwortdauer je Anfrage — ohne Inhalte. Zweck: Kostenkontrolle und Betriebssicherheit (Tageslimits).
- Technisch notwendige Cookies: ein Sitzungs-Cookie (Anmeldung, 30 Tage gültig), ein Cookie für die Sprachwahl und ein kurzlebiges Sicherheits-Cookie während der Google-Anmeldung (10 Minuten). Keine Tracking- oder Werbe-Cookies.
2. KI-Verarbeitung: Microsoft Azure OpenAI (Standard)
Reguläre Chats verarbeitet der KI-Anbieter des jeweils gewählten Modells. Unsere Standard-Modelle laufen über Microsoft Azure OpenAI: Deine Nachricht, der relevante Chat-Verlauf, dein Anzeigename, deine „Eigenen Anweisungen“ und ggf. Anhänge werden an unser Azure-OpenAI-Deployment übertragen, das in einem Microsoft-Rechenzentrum in Deutschland betrieben wird. Microsoft verwendet Prompts und Antworten nicht zum Trainieren oder Verbessern der Basismodelle. Bietet der Betreiber daneben Modelle an, die direkt bei OpenAI laufen, gelten für diese die Angaben in Abschnitt 3.
Azure OpenAI prüft Ein- und Ausgaben automatisch mit Inhaltsfiltern. Zur Missbrauchskontrolle kann Microsoft Eingaben und Ausgaben befristet (in der Regel bis zu 30 Tage) gesichert aufbewahren, sofern für die Ressource keine Ausnahme von dieser Überwachung genehmigt wurde.
- Hosting und Datenbank: Unser Hosting-Vertragspartner ist Railway Corp. (USA); Server und Datenbank werden jedoch in Railways EU-Region in Amsterdam (Niederlande) betrieben — nicht in den USA. Gespeicherte Chat-Inhalte liegen dort ausschließlich verschlüsselt (Abschnitt 4).
- Anmeldung (optional): Google bzw. Apple, wenn du dich mit dem jeweiligen Konto anmeldest; für den Anmeldevorgang gelten deren Datenschutzbestimmungen.
- E-Mail-Versand: Registrierungs- und Passwort-Links werden, sofern konfiguriert, über einen SMTP-Dienst zugestellt.
- Soweit Anbieter Daten in den USA verarbeiten (OpenAI bei der Websuche, Abschnitt 3; Railway als US-Unternehmen bei etwaigen Zugriffen zu Support- und Betriebszwecken), stützen wir uns auf deren Schutzmechanismen (EU-Standardvertragsklauseln bzw. Data Privacy Framework).
- Deine Daten werden nicht verkauft, nicht für Werbung genutzt und über die genannten Auftragsverarbeiter hinaus an niemanden weitergegeben.
3. OpenAI (USA): Websuche, Bildgenerierung, direkte OpenAI-Modelle
Websuche: Schaltest du die Websuche (🌐) selbst ein, läuft diese Anfrage direkt über OpenAI (OpenAI, L.L.C., USA) — das dafür nötige Websuche-Werkzeug gibt es bei Azure nicht. Übertragen werden dabei deine Frage, der relevante Chat-Verlauf, dein Anzeigename, deine „Eigenen Anweisungen“ sowie technische Metadaten der Anfrage. Der Server leitet Anfragen niemals eigenmächtig zu OpenAI um; zu OpenAI gehen nur die hier genannten, in der Oberfläche erkennbaren Funktionen.
Bildgenerierung: Auch der Bild-Modus nutzt OpenAI — dein Bild-Prompt wird zur Erzeugung des Bildes an OpenAI übertragen.
Für all das gilt: Diese Verarbeitung findet nicht in Deutschland statt; der US-Datentransfer stützt sich auf die EU-Standardvertragsklauseln im Datenverarbeitungsvertrag von OpenAI. Nach OpenAIs API-Bedingungen werden die Daten nicht zum Training der Modelle verwendet und nur befristet (Missbrauchskontrolle, in der Regel bis zu 30 Tage) aufbewahrt. Websuche und Bildgenerierung kann der Administrator vollständig deaktivieren.
4. Verschlüsselung gespeicherter Chats
Alle gespeicherten Chat-Inhalte (Nachrichten, Titel, Anhänge, generierte Bilder — ebenso deine „Eigenen Anweisungen“) liegen in der Datenbank ausschließlich verschlüsselt (AES-256-GCM, eigener Zufallswert pro Eintrag). Datenbank-Auszüge oder Backups enthalten dadurch keinen lesbaren Klartext.
Wichtig zur Einordnung: Das ist keine Ende-zu-Ende-Verschlüsselung. Der Server entschlüsselt Inhalte kurzzeitig, um deine Anfrage zu verarbeiten und den Verlauf an unser Azure-OpenAI-Deployment (bzw. bei eingeschalteter Websuche an OpenAI, Abschnitt 3) zu senden. Der Betreiber verwaltet den Schlüssel und könnte gespeicherte Inhalte technisch entschlüsseln.
5. Privater Chat
Beim Start eines neuen Chats kannst du den „Privaten Chat“ einschalten. Dann wird nichts gespeichert: keine Nachrichten, keine Titel, keine Anhänge, keine generierten Antworten oder Bilder. Es entsteht lediglich ein inhaltsfreier Kosten-Eintrag (Zeitpunkt, Modell, Token, Kosten).
Der Verlauf eines privaten Chats existiert nur in deinem aktuellen Fenster: Aktualisieren, Schließen oder Abmelden löscht ihn endgültig. Er wird nicht zwischen Geräten synchronisiert und kann später nicht fortgesetzt werden.
Auch im privaten Chat werden Nachrichten zur Beantwortung an unseren Server und an Azure OpenAI übertragen und verarbeitet; schaltest du dabei die Websuche ein, gilt die OpenAI-Ausnahme aus Abschnitt 3. Unser Server speichert dabei nichts; bei den KI-Anbietern gelten die in den Abschnitten 2 und 3 beschriebenen befristeten Aufbewahrungen.
6. Speicherdauer
- Chats: bis du sie löschst oder dein Konto löschst. Das Löschen eines Chats entfernt ihn samt aller Nachrichten sofort und endgültig aus der Datenbank.
- Konto-, Nutzungs- und Kostendaten: bis zur Löschung deines Kontos.
- Sitzungs-Cookie: 30 Tage; Abmelden beendet die Sitzung sofort.
- Backups des Hosting-Anbieters werden turnusmäßig überschrieben; gespeicherte Chat-Inhalte sind darin nur verschlüsselt enthalten.
7. Konto löschen und Einwilligung widerrufen
Du kannst dein Konto jederzeit selbst löschen (Einstellungen → Konto → Konto löschen). Dabei werden dein Konto, alle deine Chats samt Inhalten und deine Nutzungs-/Kostendaten sofort und unwiederbringlich gelöscht; eine Apple-Anmeldeverknüpfung wird bei Apple widerrufen.
Alternativ genügt eine formlose Nachricht an ander.butten@gmail.com — auch für den Widerruf einer Einwilligung mit Wirkung für die Zukunft.
8. Sicherheitsmaßnahmen
- Transportverschlüsselung (HTTPS/TLS) für alle Verbindungen.
- Verschlüsselung gespeicherter Chat-Inhalte (AES-256-GCM, siehe Abschnitt 4).
- Passwörter nur als bcrypt-Hash; Registrierungs-/Reset-Links nur als SHA-256-Hash und einmalig verwendbar.
- Zugriff nur für einzeln freigegebene Konten; Sperren wirken sofort.
- Rate-Limits und tägliche Kostendeckel gegen Missbrauch.
- In der iPhone-/iPad-App zusätzlich: optionale Face-ID/Touch-ID-Sperre und Sichtschutz im App-Umschalter (rein lokal auf dem Gerät).
9. Deine Rechte
Nach der DSGVO hast du das Recht auf Auskunft über deine gespeicherten Daten, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Deinen Chat-Verlauf kannst du jederzeit selbst als Markdown-Datei exportieren (Export-Knopf im Chat).
Wende dich dafür an ander.butten@gmail.com. Außerdem hast du das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
10. Änderungen dieser Erklärung
Bei Funktionsänderungen wird diese Erklärung angepasst; die jeweils aktuelle Fassung ist jederzeit unter dieser Adresse erreichbar. Wesentliche Änderungen werden über das Datum oben kenntlich gemacht.