# IT-Sicherheit & Datenschutz

Die datenschutzrechtliche Bewertung über den Einsatz externer Dienste ist vom jeweiligen Anwendungsfall abhängig. Wenden Sie sich mit datenschutzrechtlichen Fragestellungen gerne an den Kauz-Support oder an datenschutz@kauz.ai.

# Cookies bei Nutzung des Chats

Die Nutzung des Chats ist ohne Cookies für Endanwender*innen möglich. Zur Verbesserung der Nutzererlebnisses werden vereinzelt Metadaten über den*die Nutzer*in im lokalen Speicher des Browsers gespeichert. Diese Daten sind zur Nutzung des Chats essentiell und können durch den*die Anwender*in nicht abgewählt werden.

Wenn die Erfassung von wiederkehrenden Unique Usern erfolgen soll, kannn das Setzen eines entsprechenden Statistik-Cookies aktiviert werden. Dem*Der Nutzer*in wird hierbei beim Öffnen des Chatfensters ein Datenschutz-Banner angezeigt, in welchem diese*r dem Setzen des Cookies zustimmen muss. Nur, wenn dies erfolgt ist, wird eine anonyme Sender-Id generiert und in Form eines Cookies im Browser gespeichert. Die Laufzeit beträgt ein Jahr. Kehrt der*die Nutzer in diesem Zeitraum zum Chat zurück, wird die Sender-Id für die gesendeten Nachrichten aus dem Cookie bezogen.

Der Cookie erlaubt keine Rückschlüsse auf personenbezogene Daten und wird zu rein statistischen Zwecken genutzt. Eine Nutzung des Chats ist auch bei Ablehnung des Cookies möglich. In diesem Fall wird kein Cookie gesetzt und die Nachrichten bekommen eine Fallback Sender-Id (bubble). Der*die Nutzer*in kann dann nach dem Beenden der Konversation (z.B. durch Neuladen der Seite) nicht mehr zugeordnet werden.

# Externe Dienste

Zudem ist die Nutzung von externen Diensten im Rahmen der Interaktion mit dem Chat möglich. Die nachfolgenden Services werden dabei von Drittanbietern bereitgestellt und verfügen jeweils über eigene Datenschutzrichtlinien:

Google Maps: Bei Nutzung von Kartendarstellungen. Hierbei empfehlen wir die Nutzung eines Einwilligungs-Overlays, um den*die Endanwender*in über die Datenschutzrichtlinien zu informieren.
YouTube / Vimeo: Bei Einbindung von Videos
Externe Bilder oder Medien bei Nutzung von AdaptiveCards
Externe Webseiten bei Nutzung der Webseiten-Einbindung. Hierbei empfehlen wir die Nutzung des Einwilligungs-Overlays, um den*die Endanwender*in über die Datenschutzrichtlinien der eingebetteten Webseite zu informieren.

Für mehr Informationen zu den oben genannten Chat-Inhalten siehe auch: Darstellung von Chat-Inhalten

# Abfrage des Standorts

In bestimmten Situationen wird für die Beantwortung der Eingabe der Standort des*der Chatbotnutzers*in benötigt. Dies ist zum Beispiel beim Einsatz eines Filialfinders der Fall.

In diesen Fällen wird die über den zum Aufruf des Chats verwendeten Browser die Einwilligung des*der Chatbotnutzers*in eingeholt, seinen*ihren Standort freizugeben. Diese Standortangabe wird zur Berechnung der Antwort benutzt und im Fall einer Darstellung der Suchergebnisse via Google Maps an diesen Dienst weitergegeben. Die Standortangabe wird nicht über die Laufzeit der Konversation hinaus gespeichert.

Willigt der*die Nutzer*in nicht ein, wird auf einen hinterlegten Default-Standort zurückgegriffen.

Für die Beantwortung von Nutzereingaben kann auch der Dienst Google Places aufgerufen werden. Dieser berechnet die Koordinaten von Orten, die der*die Chatbotnutzer*in erwähnt. Dazu wird dem Dienst ein Teil der Nutzereingabe und der Default-Standort mitgeteilt.

# Spracherkennung

Um auf Nutzereingaben in anderen Sprachen als Deutsch angemessen reagieren zu können, wird der Dienst Google Translate verwendet. Dieser Dienst bekommt die gesamte Einzel-Nutzereingabe weitergeleitet, wenn diese nicht vom System als Deutsch verstanden wurde.

# Automatisches Löschen von Konversationsinhalten

Es ist möglich, die Inhalte von Datenfeldern, die potenziell personenbezogene Daten enthalten könnten, nach einem konfigurierbaren Zeitraum automatisch zu löschen, z. B. nach 90 Tagen. Hierbei werden statistisch relevante Datenfelder ohne personenbezogene Daten beibehalten, sodass eine nachträgliche Auswertung nach wie vor möglich ist. Von der Löschung betroffen sind folgende Datenfelder:

MessageEvents : data, raw, text, textxml, texthash, content, meta.parameter, meta.lat, meta.long
AnalyticsEvents : raw, text, textxml, texthash, content, meta.parameter, meta.lat, meta.long, data.position, data.address; Außerdem wird “data” komplett gelöscht, falls tags set-meta oder unset-meta enthalten sind.