Datenschutzerklärung

loop42 baut eine Demo. Wir nehmen Datenschutz ernst und halten diese Erklärung so konkret wie möglich - damit du verstehst, was beim Besuch und beim Chat mit der Demo tatsächlich passiert. Keine Floskeln, keine dunklen Ecken.

1. Verantwortlicher

loop42 GmbH
[NAME]
[STRASSE HAUSNUMMER], [PLZ ORT]
E-Mail: hallo@loop42.de

2. Kurzfassung

  • Keine Cookies, keine Accounts, keine Logins auf der Demo.
  • Kein Tracking, keine Analytics-Skripte Dritter, keine Social-Media-Widgets.
  • Jeder Seitenaufruf bekommt eine zufällige Session-ID, die nur in diesem Tab existiert und bei F5 verworfen wird.
  • Dein Chat läuft im Arbeitsspeicher und verschwindet, sobald du den Tab schließt.
  • Nur wenn du aktiv eine Nachricht ans loop42-Team hinterlässt (siehe Abschnitt 6), speichern wir diese eine Nachricht in einer Datenbank, damit sich jemand bei dir melden kann.
  • Zusätzlich speichern wir für 7 Tage anonymisierte technische Debug-Frames (siehe Abschnitt 6a).
  • Die KI-Modelle laufen ausschließlich bei EU-Anbietern: IONOS (Deutschland) und Mistral AI (Frankreich). Beide vertraglich als Auftragsverarbeiter gebunden, beide mit aktivem Opt-out gegen Trainingsnutzung.
  • Kein Zugriff durch OpenAI, Anthropic, Google oder andere Anbieter ausserhalb der EU - architektonisch abgesichert (siehe Abschnitt 5a).

3. Was passiert beim Besuch der Seite

Beim Aufruf dieser Seite fällt nur das an, was technisch nötig ist, um HTML, CSS und JavaScript auszuliefern: der Webserver sieht deine IP-Adresse, den Browsertyp, den Referrer und den Zeitstempel. Diese Angaben stehen kurzzeitig in den Server-Logs des Hosters und werden nicht mit anderen Datenquellen zusammengeführt.

Rate-Limit: Die Demo begrenzt pro IP wie oft und wie viel du pro Stunde mit der Demo chatten kannst - das schützt uns vor Missbrauch und deckelt die Kosten. Dafür halten wir deine IP-Adresse kurz (maximal eine Stunde) in einer In-Memory-Liste vor. Sie wird nicht dauerhaft gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am technischen Betrieb und Missbrauchsschutz).

4. Der Chat mit der loop42-Demo

Wenn du mit der Demo auf dieser Seite chattest, erhält dein Browser eine anonyme Session-ID in der Form anon_<zufällige-uuid>. Diese ID lebt nur in deinem laufenden Tab - sie wird nicht in Cookies oder localStorage abgelegt, und bei F5 bekommst du eine neue. Wir können dich damit nicht wiedererkennen, wenn du die Seite neu lädst.

Hinter der Session-ID läuft auf unserem Server eine sogenannte Runtime: ein kleiner Prozessverbund, der den Gesprächsverlauf, ein paar extrahierte Fakten (z. B. den Namen den du genannt hast, die Sprache, das gerade besprochene Thema) und den aktuellen Zustand laufender Dialog-Flows hält. Der eigentliche Gesprächsinhalt existiert ausschließlich im Arbeitsspeicher und wird verworfen, sobald du den Tab schließt oder einige Minuten inaktiv bist.

Es gibt zwei kleine Sonderfälle, in denen doch etwas gespeichert wird:

  • die Nachricht, die du aktiv ans loop42-Team schickst (nur dann, nur diese Nachricht, siehe Abschnitt 6);
  • anonymisierte technische Debug-Frames für 7 Tage (siehe Abschnitt 6a).

Alles andere aus dem Chat bleibt flüchtig.

6a. Technische Debug-Frames

Zur Fehleranalyse, Qualitätssicherung und Kostenkontrolle speichern wir während des Chats technische Ablaufdaten in einer PostgreSQL-Datenbank auf demselben Server. Pro Schritt des Agenten ("Frame") halten wir fest:

  • welcher interne Knoten gelaufen ist und wie lange,
  • welches KI-Modell aufgerufen wurde, mit welchem Token-Verbrauch und welchen Kosten,
  • eine kurze Zusammenfassung von Eingabe und Ausgabe des Knotens - vor dem Speichern automatisch entschärft (siehe unten),
  • ein Hash-Wert deiner anonymen Session-ID (kein Klartext, keine IP).

Automatische Entschärfung (PII-Scrubbing): Bevor die Eingabe-/Ausgabe-Zusammenfassungen gespeichert werden, läuft eine zweistufige Filterpipeline:

  • Stufe 1 - strukturierte Erkennung (scrubadub): ersetzt E-Mail-Adressen, Telefonnummern und URLs durch Platzhalter wie {{EMAIL}}.
  • Stufe 2 - Eigennamen-Erkennung (deutsches spaCy-Modell de_core_news_sm): ersetzt erkannte Personennamen durch {{NAME}} und Ortsangaben durch {{LOC}}.

Firmen- und Produktnamen (z. B. "loop42", "IONOS") werden bewusst nicht entfernt, damit die Debug-Frames für uns lesbar bleiben. Automatische Erkennung ist nicht perfekt - in seltenen Fällen kann ein ungewöhnlich geschriebener Name durchrutschen. Deshalb gilt für die Debug-Frames zusätzlich: nur loop42-intern zugänglich, keine Weitergabe an Dritte, automatische Löschung nach 7 Tagen.

Du kannst dieser Verarbeitung jederzeit widersprechen (hallo@loop42.de) - in dem Fall löschen wir die zu deiner Session gehörenden Frames. Beachte allerdings, dass wir dich nur über den Hash deiner Session-ID finden können; nenne uns daher den ungefähren Zeitpunkt deines Besuchs.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb, Fehleranalyse und Kostenkontrolle der Demo).

5. KI-Modelle und Verarbeitung der Chat-Inhalte

Zur Beantwortung deiner Nachrichten schicken wir den Gesprächsinhalt an KI-Modelle ausschließlich bei EU-Anbietern. Hauptanbieter ist IONOS SE (Montabaur, Deutschland, Rechenzentrum de-txl Berlin); ergänzend nutzen wir für spezielle Anfragen mit höherem Qualitätsbedarf Mistral AI SAS (Paris, Frankreich). Welches konkrete Modell zum Einsatz kommt, hängt von der jeweiligen Aufgabe ab und kann sich im Laufe der Zeit ändern.

Beide Anbieter verarbeiten die Inhalte ausschließlich für die Beantwortung der jeweiligen Anfrage und speichern sie nicht für Trainingszwecke - bei Mistral zusätzlich abgesichert durch den Scale-Plan-Default und einen explizit deaktivierten Opt-out-Toggle im Admin-Console (Quelle). Die Verarbeitung findet vollständig in der EU statt. Mit beiden Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.

In der Produktionsumgebung verhindert zusätzlich ein Architektur-Flag (DSGVO_STRICT) technisch, dass Chat-Inhalte an Anbieter ausserhalb dieser Allowlist geschickt werden können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erbringung der angefragten Demo-Funktion).

6. "Nachricht ans loop42-Team hinterlassen"

Während des Chats kann der Agent dir anbieten, eine Nachricht an das loop42-Team zu übermitteln. Wenn du das nutzt, speichern wir in einer PostgreSQL-Datenbank auf demselben Server folgende Angaben:

  • den Namen, den du im Gespräch genannt hast (z. B. "Anna");
  • die von dir angegebene Kontaktmöglichkeit (E-Mail oder Telefonnummer);
  • die eigentliche Nachricht, so wie du sie im Chat formuliert hast;
  • ein optionales Themenkürzel, falls vorhanden;
  • den Zeitpunkt der Übermittlung;
  • einen Hash-Wert deiner anonymen Session-ID (nicht deiner IP).

Wir speichern bei diesem Vorgang ausdrücklich keine IP-Adresse, kein Browser-Profil, keinen Fingerabdruck. Die Nachricht wird ausschließlich dafür verwendet, damit sich jemand aus dem loop42-Team bei dir zurückmeldet. Wir geben sie nicht an Dritte weiter.

Nachrichten werden spätestens nach 12 Monaten gelöscht, oder früher auf deinen Wunsch (schreib uns dazu an hallo@loop42.de mit einem Hinweis auf den Zeitpunkt und ungefähren Inhalt der Nachricht, damit wir sie finden können).

Pro IP-Adresse sind maximal drei Nachrichten pro Stunde möglich - das ist Missbrauchsschutz, keine Verarbeitung darüber hinaus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine ausdrückliche Handlung - du musst den Flow aktiv starten und bestätigen).

8. Cookies

Auf loop42.de selbst werden keine Cookies gesetzt. Wir nutzen auch keinen Local Storage für personenbezogene Daten. Der einzige Browser-Speicher, den die Demo berührt, ist eine Session-ID pro offenem Tab, die im Arbeitsspeicher deines Browsers lebt und beim Schließen des Tabs verschwindet - kein Cookie, kein Local Storage, kein IndexedDB.

Ausnahme: Anmeldung über auth.loop42.de. Die Demo selbst braucht keinen Login - du kannst ohne Konto direkt loslegen. Wenn du dich jedoch aktiv über unser Anmelde-Portal auf auth.loop42.de in einen geschützten Bereich einloggst, setzt unser OIDC-Provider Zitadel dort (auf der Subdomain auth.loop42.de) technisch notwendige Session-Cookies für den OAuth-Flow und die angemeldete Sitzung. Diese Cookies sind für den Login-Vorgang zwingend erforderlich (Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an der Authentifizierung) und werden nicht für Tracking oder Werbung verwendet. Zitadel läuft auf unserer eigenen Infrastruktur in Deutschland; es findet keine Übermittlung an Dritte statt.

9. Analyse-Tools, Tracking, Drittinhalte

Wir messen aggregierte Nutzungsstatistiken (Seitenaufrufe, Anzahl der Chat-Interaktionen, ungefähre Session-Dauer) mit Umami, einer Open-Source-Analyse-Software, die vollständig auf unserer eigenen Infrastruktur in Deutschland läuft (u.loop42.de). Umami ist kein Drittanbieter, die Daten bleiben bei uns.

Was Umami über dich speichert:

  • keinen Cookie und keinen Local-Storage-Eintrag in deinem Browser;
  • keine IP-Adresse in der Datenbank - die IP wird ausschließlich kurz im Arbeitsspeicher verarbeitet, um daraus (zusammen mit User-Agent, Website-ID und einem täglich rotierenden Salt) einen opaken Session-Hash und eine grobe Geo-Information (Land/Region/Stadt) abzuleiten; danach wird die IP verworfen;
  • keinen Device-Fingerprint, der dich eindeutig identifizierbar machen würde - gespeichert werden nur grobe Kategorien (Browser, Betriebssystem, Gerätetyp, Sprache, Bildschirmgröße);
  • keine Wiedererkennung über Tage hinweg - weil der Salt täglich rotiert, ergibt derselbe Browser am nächsten Tag eine andere Session-ID;
  • pro Ereignis: aufgerufener Pfad, Referrer, Zeitstempel, Event-Name (z. B. "chat_send"), grobe Geo-Info, Browser-/OS-Kategorie.

Die Events werden ohne externes Tracking-Skript erhoben: nyx enthält ein kleines, selbst geschriebenes Analytics-Modul, das per fetch direkt an u.loop42.de sendet (ohne Cookies, credentials: 'omit'). Es wird kein JavaScript von Umami in den Browser geladen. Zusätzlich melden einige Backend-Ereignisse (z. B. Agent-Start, Nachricht-Zähler) aus unserem Server an dieselbe Umami-Instanz; bei diesen serverseitigen Ereignissen sieht Umami überhaupt keine Client-IP, sondern nur einen aus der anonymen Session-ID abgeleiteten Hash.

Umami respektiert den "Do Not Track"-Header deines Browsers. Wenn du DNT in deinem Browser aktivierst, werden keine Events erfasst. Übliche Ad-/Tracking-Blocker blockieren die Events ebenfalls zuverlässig, da sie direkt an u.loop42.de/api/send gehen.

Darüber hinaus bindet diese Seite keine externen Skripte oder Inhalte ein - keine Google Fonts, keine Social-Media-Widgets, kein Google Analytics, kein Facebook- Pixel, keine CDNs. Alle Schriften, Bilder und JavaScript-Dateien werden direkt von unserem Server ausgeliefert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an aggregierten Nutzungsstatistiken zur Verbesserung der Demo, ohne personenbezogenes Tracking).

10. Empfänger deiner Daten

Wir geben deine Daten nicht an Dritte weiter. Die einzigen Stellen, die technisch Einblick in Teile deiner Interaktion bekommen, sind:

  • IONOS SE (Deutschland) - Hosting-Anbieter des Servers und Betreiber der eingesetzten KI-Modelle (siehe Abschnitt 5). Auftragsverarbeiter gemäß Art. 28 DSGVO.
  • Mistral AI SAS (Frankreich) - zweiter KI-Modell-Anbieter für spezielle Anfragen (siehe Abschnitt 5). Auftragsverarbeiter gemäß Art. 28 DSGVO, Scale Plan mit Trainings-Opt-out.
  • Das loop42-Team - wenn und nur wenn du über den Flow in Abschnitt 6 aktiv eine Nachricht hinterlässt.

Unsere interne Umami-Instanz auf u.loop42.de sowie unser Zitadel-Login auf auth.loop42.de laufen auf derselben Infrastruktur (IONOS) und sind keine Dritten - sie werden von loop42 selbst betrieben.

Keine Verarbeitung in Drittländern ausserhalb der EU. Beide KI-Anbieter haben ihren Sitz und ihre Verarbeitungsstandorte vollständig innerhalb der Europäischen Union (Deutschland, Frankreich). Es gibt keinen direkten oder indirekten Datenfluss an US-amerikanische Anbieter wie OpenAI, Anthropic oder Google für Nutzer-Chat-Inhalte - weder im Normalbetrieb noch im Fehlerfall (siehe Abschnitt 5a zur architektonischen Absicherung).

11. Speicherdauer

  • Chat im Arbeitsspeicher: während deine Runtime aktiv ist, längstens bis du den Tab schließt oder einige Minuten inaktiv bist.
  • Server-Logs des Hosters: maximal 14 Tage, dann werden sie von IONOS automatisch überschrieben.
  • IP-basierte Rate-Limiter-Einträge: maximal 1 Stunde im Arbeitsspeicher.
  • Technische Debug-Frames (PII-entschärft): 7 Tage in der Postgres-Datenbank, danach automatische Löschung.
  • Aktiv hinterlassene Nachrichten: bis zu 12 Monate, oder früher auf deinen Wunsch.

12. Deine Rechte

Du hast uns gegenüber folgende Rechte hinsichtlich deiner personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO) - betrifft insbesondere die aktiv hinterlassenen Nachrichten aus Abschnitt 6.

Zur Ausübung deiner Rechte schreib uns an hallo@loop42.de. Da wir dich technisch nicht wiedererkennen können (siehe Abschnitt 4), bitten wir dich bei Auskunfts- und Löschanfragen um einen kurzen Hinweis, um welche Nachricht es geht (ungefähres Datum, die verwendete Kontaktadresse).

13. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten durch uns zu beschweren. Die zuständige Aufsichtsbehörde richtet sich nach dem Bundesland unseres Unternehmenssitzes.

14. Aktualität und Änderungen

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand April 2026 (zuletzt aktualisiert nach Aufnahme von Mistral AI als zweitem EU-KI-Anbieter und nach Einführung des DSGVO_STRICT-Architekturflags). Die Demo wird aktiv weiterentwickelt; sollten sich die verwendeten Modelle, Speicherpfade oder Prozesse wesentlich ändern, aktualisieren wir diese Erklärung entsprechend.

© 2026 loop42 GmbH