CLOSR

Deine Daten bleiben deine Daten.

CLOSR hostet ausschließlich in Frankfurt (EU), verwendet keine Kundendaten für AI-Training und kann jederzeit alles exportiert oder gelöscht werden.

DSGVO
ISO 27001
SOC 2

CLOSR — KI-gestützter Lead-Follow-up für WhatsApp und Web Chat · Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO für die Verarbeitung personenbezogener Daten innerhalb der CLOSR-Plattform ist:

CATNO.ai

Fabio Caterisano

E-Mail: dev@catno.ai

2. Welche Daten wir verarbeiten

CLOSR verarbeitet personenbezogene Daten in vier Kontexten:

2.1 Daten eingehender Leads (WhatsApp & Web Chat)

  • Vorname und Nachname
  • Mobiltelefonnummer (WhatsApp-fähig, nur bei WhatsApp-Leads)
  • E-Mail-Adresse (sofern übermittelt)
  • Gesprächsverlauf (WhatsApp-Nachrichten und/oder Web-Chat-Nachrichten)
  • Metadaten: Zeitstempel, Lead-Status, Herkunftskanal (WhatsApp / Web Chat), Quelle, Opt-out-Status

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nicht erfasst.

2.2 Web Chat Widget — Besucherdaten

  • Anonyme Session-ID (Browser-localStorage, zur Fortsetzung des Gesprächs bei Seitenwechseln)
  • Technische Metadaten: IP-Adresse (gekürzt), User-Agent, Aufrufzeit — zur Abwehr von Missbrauch
  • Signiertes Magic-Link-Token beim Übergang von WhatsApp in den Web Chat (enthält nur die Lead-ID, keine Klartext-Personendaten)

Persönliche Daten des Besuchers (Name, E-Mail, Telefon) werden ausschließlich erfasst, wenn der Besucher sie aktiv im Chat mitteilt. Das Widget setzt keine Tracking-Cookies und bindet keine Drittanbieter-Skripte ein.

2.3 Sales Copilot — Analyse abgeschlossener Gespräche

Wenn der Sales Copilot aktiviert ist, werden abgeschlossene Gespräche (erfolgreich oder abgebrochen) an Anthropic (Claude-Modell) übermittelt, um daraus Optimierungsvorschläge für den System-Prompt abzuleiten. Vor jeder Übermittlung läuft clientseitig ein PII-Redactor:

  • Vornamen und Nachnamen werden durch [NAME] ersetzt
  • Telefonnummern durch [PHONE]
  • E-Mail-Adressen durch [EMAIL]
  • weitere Identifikatoren (Adressen, IBAN, Ausweisnummern) durch generische Platzhalter

Das Analyse-Modell sieht also ausschließlich den pseudonymisierten Gesprächsverlauf in anonymisierter Form. Klartext-Personendaten verlassen die CLOSR-Infrastruktur im Rahmen der Sales-Copilot-Analyse nicht.

Anthropic nutzt die übermittelten Daten vertraglich zugesichert nicht zum Modelltraining (Enterprise-Data-Processing-Agreement). Der Sales Copilot ist pro Organisation einzeln aktivierbar.

2.4 Daten von Nutzer-Accounts (Mitarbeiter)

  • E-Mail-Adresse (Login-Kennung)
  • Name (zur Anzeige im Dashboard)
  • Passwort (ausschließlich als bcrypt-Hash)
  • Zahlungs- und Rechnungsdaten (bei bezahlten Plänen) — verarbeitet ausschließlich durch Stripe

3. Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung

Verarbeitung der Lead-Daten zur Durchführung vorvertraglicher Maßnahmen (Terminvermittlung und Buchung) auf Wunsch der betroffenen Person.

Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse

Verarbeitung von Nutzungs- und Metadaten zur Sicherstellung des sicheren und stabilen Betriebs der Plattform sowie zur Qualitätsverbesserung des KI-Agenten (Sales Copilot — ausschließlich auf pseudonymisierten, durch den PII-Redactor bereinigten Daten).

Art. 6 Abs. 1 lit. b DSGVO — Vertragsabwicklung (Zahlungen)

Verarbeitung von Zahlungs- und Rechnungsdaten durch Stripe zur Abwicklung bezahlter Abonnements.

4. Drittanbieter & Datenübermittlung

Mit allen Anbietern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO:

Meta Platforms (WhatsApp Business API)

USA / EU-SCC

Nachrichtenversand WhatsApp-Kanal

Google LLC (Gemini — KI-Agent)

USA / EU-SCC

Generierung der Agent-Antworten (WhatsApp + Web Chat)

Anthropic PBC (Claude — Sales Copilot)

USA / EU-SCC

Analyse pseudonymisierter Gesprächsdaten (PII-Redactor davor)

Stripe Payments Europe, Ltd.

Irland / EU

Abonnementverwaltung, Zahlungsabwicklung

Hetzner Online GmbH (Serverhosting)

Deutschland / EU

Anwendungs- und Datenbank-Hosting, Backups

Phorest (Buchungssystem, sofern verbunden)

Irland / EU

Terminbuchung beim Kunden-Buchungssystem

5. Speicherdauer & Löschfristen

Gesprächsinhalte (WhatsApp + Web Chat)

Nach 180 Tagen automatisch gelöscht.

Web-Chat-Session-IDs

Nach 30 Tagen Inaktivität verworfen. Gesprächsinhalte folgen der 180-Tage-Regel.

Opt-out-Leads (Stop-Keyword)

Sofort als abgemeldet markiert. Vollständige Anonymisierung nach 30 Tagen.

Sales-Copilot-Analysen

Pseudonymisierte Analyse-Ergebnisse verbleiben in der Organisation, bis sie manuell gelöscht werden. An Anthropic übermittelte Daten werden dort nach Abschluss des Analyse-Laufs verworfen (Enterprise-DPA).

Manuelle Löschung durch Administrator

Sofortige Anonymisierung aller Personendaten (Art. 17 DSGVO).

Nutzerdaten (Admin-Accounts)

Auf Anfrage oder bei Vertragsende vollständig gelöscht.

Rechnungsdaten (Stripe)

Speicherung durch Stripe gemäß handelsrechtlicher Aufbewahrungspflichten (i. d. R. 10 Jahre).

6. Ihre Rechte als betroffene Person

Auskunftsrecht (Art. 15 DSGVO)

Vollständiger Datenexport auf Anfrage.

Recht auf Löschung (Art. 17 DSGVO)

Löschung durch Anonymisierung aller Personendaten.

Widerspruchsrecht / Opt-out (Art. 21 DSGVO)

Stop-Keywords via WhatsApp: stopp · stop · abmelden. Web-Chat-Besucher schließen das Widget oder widersprechen direkt im Chat. Sales-Copilot-Analyse kann pro Organisation deaktiviert werden.

Recht auf Berichtigung (Art. 16 DSGVO)

Berichtigung unrichtiger Daten auf Anfrage.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Datenexport als strukturiertes JSON.

Kontakt: dev@catno.ai

7. Technische & organisatorische Maßnahmen (Art. 32 DSGVO)

  • Verschlüsselung:TLS 1.2/1.3 in-transit. Credentials mit AES-128-CBC + HMAC-SHA256 (Fernet) at-rest.
  • Authentifizierung:JWT-Tokens (15 Min.) in HttpOnly-Cookies — kein JavaScript-Zugriff.
  • Passwort-Hashing:Alle Passwörter mit bcrypt gehasht.
  • Mandantentrennung:Jeder Mandant architektonisch vollständig isoliert.
  • Rate Limiting:Alle öffentlichen Endpunkte gegen Brute-Force geschützt.
  • Serverstandort:Alle Daten auf Servern in Deutschland (Hetzner, Nürnberg/Falkenstein).
  • PII-Redactor:Vor jeder Übermittlung von Gesprächsdaten an externe Analyse-Dienste (z. B. Sales Copilot → Anthropic) werden Namen, Telefonnummern, E-Mail-Adressen und weitere Identifikatoren durch Platzhalter ersetzt.

8. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Der KI-Agent (WhatsApp und Web Chat) trifft keine rechtlich bindenden oder erheblich beeinträchtigenden Entscheidungen. Er führt Gespräche, schlägt Termine vor und bucht sie auf Wunsch des Leads im angebundenen Buchungssystem. Die betroffene Person kann jederzeit ein Gespräch mit einem Menschen verlangen — der Mandant übernimmt das Gespräch dann manuell.

Der Sales Copilot analysiert ausschließlich pseudonymisierte Gesprächsdaten zur Qualitätsverbesserung des System-Prompts — es werden damit keine Entscheidungen über einzelne Personen getroffen. Art. 22 DSGVO findet keine Anwendung.

9. Datenpannen (Art. 33/34 DSGVO)

Im Falle einer Datenschutzverletzung melden wir diese innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde.

10. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

11. Kontakt

CATNO.ai — Datenschutz

E-Mail: dev@catno.ai