Privacy Policy Website & KI-Dienste

Stand: 23.03.2026

Überblick
Diese Privacy Policy gilt für die Website x25lab.com sowie für die darüber angebotenen digitalen Dienste und Funktionen, insbesondere den KI-Chatbot, den BPMN Bot, den Legal Bot, Kontakt- und Rückruffunktionen, Login-, Aktivierungs- und Passwordfunktionen, optionale Nutzungsanalyse sowie damit zusammenhängende technische Sicherheits- und Betriebsprozesse.

Diese Erklärung ist so formuliert, dass sie die datenschutzrechtlichen Informationspflichten nach dem revidierten Switzerlander Datenschutzgesetz (DSG), der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) sowie – soweit im Einzelfall anwendbar – nach ergänzendem nationalem Recht in Germany und Austria abdeckt. Sie ersetzt keine gesonderten Verträge zur Auftragsbearbeitung bzw. Auftragsverarbeitung, keine technische TOM-Dokumentation, kein internes Löschkonzept und keine gesonderte Informationssicherheits- oder NIS/NIS2-Dokumentation.

1. Verantwortlicher
Verantwortlich für die Bearbeitung personenbezogener Daten im Zusammenhang mit dieser Website und den darauf betriebenen Diensten ist:
Management Consulting Mayr
Roman Mayr
Waldaustrasse 2
9500 Wil SG
Switzerland
info@x25lab.com | Tel. +41 71 554 72 93

2. Betroffene Dienste und Vorgänge
Diese Erklärung erfasst insbesondere folgende Vorgänge, soweit sie von Ihnen tatsächlich genutzt werden:
– Nutzung der Website und Abruf einzelner Seiten
– Nutzung des KI-Chatbots
– Nutzung des BPMN Bots, einschliesslich Eingaben zu Prozessbeschreibungen sowie importierter oder exportierter BPMN-/XML-Inhalte
– Nutzung des Legal Bots, sofern dieser eingeblendet oder freigeschaltet ist
– Kontaktaufnahme per Formular, Chat, Email oder Rückruffunktion
– Übermittlung von Chatverläufen im Rahmen einer Kontaktanfrage
– Login, Password-Reset, Kontenaktivierung und vergleichbare Kontofunktionen
– Einwilligungsverwaltung für Cookies und optionale Nutzungsanalyse
– Sicherheits-, Missbrauchs- und Fehlerprotokollierung

3. Kategorien der bearbeiteten Daten
Je nach Nutzung bearbeiten wir insbesondere folgende Kategorien personenbezogener Daten:
– Inhaltsdaten: Ihre Eingaben, Prompts, Nachrichten, BPMN-/XML-Inhalte, hochgeladene oder eingefügte Dateien, Rückfragen und freiwillig mitgeteilte Informationen
– Antwortdaten: vom System generierte Antworten, Zwischenergebnisse, Status- und Fehlermeldungen
– Kommunikationsdaten: Name, First name, Email address, Telefonnummer, Kontaktinhalt, allfällige Chatverläufe bei Kontaktanfragen
– Kontodaten: Login-Daten, Aktivierungs- und Reset-Informationen, Sicherheits- und Zustellstatus, soweit solche Funktionen genutzt werden
– Protokoll- und Metadaten: Datum, Uhrzeit, genutzter Dienst, Bot-Typ, Herkunft/Origin, Site-URL, Token-/Nutzungswerte, technische Fehlermeldungen und ähnliche Betriebsdaten
– Geräte- und Zugriffsdaten: IP-Adresse, Browsertyp, User-Agent, Geräteinformationen, Spracheinstellungen, Zugriffs- und Fehlerprotokolle
– abgeleitete Standortdaten auf grober Ebene: Land, Region und Stadt, soweit diese aus IP-basierten Geo-Referenzdaten abgeleitet werden

4. Herkunft der Daten
Die Daten stammen grundsätzlich direkt von Ihnen, aus Ihrem Browser oder Endgerät, aus serverseitigen Sicherheits- und Systemprotokollen sowie – soweit technisch erforderlich – aus IP-basierten Geo-Referenz- oder Infrastrukturinformationen. Wenn Sie uns eine Kontaktanfrage aus einem Chat heraus senden, können zusätzlich die von Ihnen übermittelten Chatinhalte in die Anfrage übernommen werden.

5. Zwecke der Bearbeitung
Wir bearbeiten personenbezogene Daten ausschliesslich zu den folgenden Zwecken:
– Bereitstellung, Betrieb und Verbesserung der Website und ihrer Funktionen
– Bearbeitung von Anfragen und Generierung von KI-gestützten Antworten
– Bereitstellung der BPMN-, Legal- und Chatbot-Funktionen
– Authentifizierung, Kontensicherheit, Aktivierung und Passwordverwaltung
– Kontaktaufnahme, Rückfragen und Versand von Nachrichten
– Gewährleistung von Stabilität, Integrität, Verfügbarkeit und Vertraulichkeit der Systeme
– Missbrauchserkennung, Spam-Abwehr, Rate-Limiting, Fraud-Prevention und Beweissicherung
– technische Analyse, Fehlerdiagnose, Störungsbehebung, Kapazitätsplanung und Nachvollziehbarkeit
– datensparsame Reichweiten- und Nutzungsanalyse, soweit hierfür eine Einwilligung erforderlich ist und diese erteilt wurde
– Erfüllung gesetzlicher Pflichten sowie Durchsetzung oder Abwehr rechtlicher Ansprüche

6. Rechtsgrundlagen
Soweit die DSGVO anwendbar ist, erfolgt die Verarbeitung insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, soweit die Bearbeitung zur Durchführung vorvertraglicher Massnahmen oder zur Erbringung angefragter Funktionen erforderlich ist, auf Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung gesetzlicher Pflichten, auf Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an einem sicheren, nachvollziehbaren und wirtschaftlich tragfähigen Betrieb unserer Website und KI-Dienste sowie – soweit erforderlich – auf Art. 6 Abs. 1 lit. a DSGVO auf Basis Ihrer Einwilligung, namentlich bei optionaler Analyse, optionalen Cookies oder sonstigen einwilligungsbedürftigen Vorgängen.

Nach Switzerlander Datenschutzrecht erfolgt die Bearbeitung im Rahmen der gesetzlichen Zulässigkeit, insbesondere zur ordnungsgemässen Bereitstellung unseres Angebots, zur Wahrung berechtigter betrieblicher Interessen, zur Systemsicherheit und zur Erfüllung gesetzlicher Verpflichtungen. Soweit in Germany oder Austria ergänzendes nationales Datenschutz- oder Telemedien-/Telekommunikationsrecht einschlägig ist, werden die jeweiligen zusätzlichen Anforderungen ebenfalls berücksichtigt.

7. Einsatz von OpenAI, Email- und weiteren technischen Dienstleistern
Für die Bereitstellung generativer KI-Funktionen setzen wir technische Dienstleister ein, insbesondere OpenAI über API-basierte Geschäftsdienste. Darüber hinaus können technische Infrastruktur-, Hosting-, Datenbank-, Email-, Sicherheits-, Monitoring- oder Geo-Referenzdienste eingebunden sein. Wenn Sie eine Kontaktanfrage übermitteln, können Ihre Kontaktangaben und – je nach Funktion – auch übermittelte Chatverläufe zum Versand der Nachricht an uns oder zur Beantwortung Ihrer Anfrage verarbeitet werden.

Wir setzen externe Dienstleister nur ein, soweit dies für Betrieb, Sicherheit, Kommunikation oder Funktionsbereitstellung erforderlich ist. Soweit diese Dienstleister personenbezogene Daten in unserem Auftrag bearbeiten, stützen wir dies auf geeignete vertragliche Grundlagen.

8. Hinweis zu KI-Inhalten und zu sensiblen Daten
Der Chatbot, der BPMN Bot und vergleichbare KI-Funktionen erzeugen Antworten automatisiert bzw. teilautomatisiert auf Grundlage Ihrer Eingaben. Solche Antworten können unvollständig, verkürzt oder sachlich fehlerhaft sein und ersetzen keine individuelle fachliche, rechtliche, steuerliche oder medizinische Beratung. Bitte geben Sie nach Möglichkeit keine besonders schützenswerten Personendaten, Berufsgeheimnisse, Zugangsdaten, vollständigen Zahlungsdaten, Gesundheitsdaten oder nicht erforderlichen vertraulichen Geschäftsgeheimnisse in den Chat ein. Falls Sie solche Daten dennoch übermitteln, erfolgt dies auf Ihre Verantwortung und nur, soweit hierfür eine zulässige Rechtsgrundlage besteht.

9. Keine ausschliesslich automatisierten Einzelentscheidungen
Über die auf dieser Website bereitgestellten KI-Funktionen treffen wir keine ausschliesslich automatisierten Einzelentscheidungen mit rechtlicher Wirkung oder mit vergleichbar erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO. Die bereitgestellten Antworten dienen der Information, Unterstützung und Vorstrukturierung und sind von Menschen zu prüfen.

10. Empfänger und Kategorien von Empfängern
Personenbezogene Daten können – soweit erforderlich – an folgende Kategorien von Empfängern offengelegt werden:
– Hosting-, Infrastruktur- und Datenbankdienstleister
– KI- und API-Dienstleister
– Email- und Kommunikationsdienstleister
– Sicherheits-, Monitoring-, Logging- und Geo-Referenzdienste
– externe Berater, Auftragsbearbeiter, Auftragsverarbeiter oder Hilfspersonen, soweit diese zur Vertraulichkeit verpflichtet sind
– Behörden, Gerichte oder andere Stellen, wenn hierfür eine gesetzliche Pflicht besteht oder eine rechtmässige Anordnung vorliegt

11. Bekanntgabe ins Ausland
Die Bearbeitung kann ganz oder teilweise in der Switzerland, im Europäischen Wirtschaftsraum oder in Drittstaaten stattfinden. Eine Bekanntgabe in Drittstaaten erfolgt nur, soweit dies für die Nutzung der eingesetzten Dienste technisch oder organisatorisch erforderlich ist oder wir rechtlich dazu verpflichtet sind. Soweit kein gesetzlicher Angemessenheitsbeschluss besteht, stützen wir eine solche Bekanntgabe auf geeignete Garantien wie Standardvertragsklauseln oder andere anerkannte datenschutzrechtliche Mechanismen sowie auf ergänzende technische und organisatorische Schutzmassnahmen.

12. Cookies, lokale Speicherung und Nutzungsanalyse
Wir verwenden technisch notwendige Cookies bzw. vergleichbare lokale Speichertechnologien, soweit diese für Betrieb, Sicherheit, Spracheinstellungen, Einwilligungsverwaltung, Formularfunktionen oder vergleichbare Basisfunktionen erforderlich sind. Optionale Analyse- oder Reichweitenfunktionen werden nur aktiviert, wenn hierfür nach anwendbarem Recht eine Einwilligung erforderlich ist und Sie diese erteilt haben. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft ändern oder widerrufen. Ergänzende Informationen finden Sie in der gesonderten Cookie Policy, soweit eine solche verlinkt ist.

13. Speicherdauer und Löschkriterien
Wir speichern personenbezogene Daten nicht länger, als dies für die genannten Zwecke erforderlich ist. Die konkrete Dauer richtet sich insbesondere nach Art des Vorgangs, Sicherheits- und Nachweiserfordernissen, Missbrauchs- und Fehleranalyse, Kommunikationsverlauf, gesetzlichen Aufbewahrungspflichten sowie allfälligen Verjährungsfristen.

Kurzfristige technische Zwischenspeicher können nur für eine kurze Sitzungs- oder Fehleranalysephase bestehen. Sicherheits-, System- und Nutzungsprotokolle sowie Chat- und Antwortinhalte können für den Zeitraum aufbewahrt werden, der für Betrieb, Missbrauchsabwehr, Fehlerdiagnose, Nachvollziehbarkeit und Beweissicherung sachlich erforderlich ist. Soweit in einzelnen Systemen feste Lösch- oder Bereinigungsläufe produktiv implementiert sind, gehen diese konkreten Fristen vor. Soweit eine sofortige Löschung wegen gesetzlicher Pflichten, laufender Störungen, Sicherheitsvorfällen oder rechtlicher Ansprüche nicht möglich ist, wird die Verarbeitung entsprechend eingeschränkt.

14. Datensicherheit und Cybersicherheit
Wir treffen angemessene technische und organisatorische Sicherheitsmassnahmen, um personenbezogene Daten gegen unbefugten Zugriff, Verlust, Missbrauch, Manipulation, unrechtmässige Offenlegung oder unrechtmässige Bearbeitung zu schützen. Dazu gehören insbesondere rollenbasierte Zugriffe, Transportverschlüsselung, Protokollierung, Authentifizierungs- und Freigabemechanismen, Segmentierung, Fehler- und Missbrauchsüberwachung, Patch- und Update-Prozesse, Datensicherungen sowie organisatorische Zuständigkeiten für Incident Handling und Wiederherstellung.

15. Hinweis zu NIS/NIS2, Informationssicherheit und Meldepflichten
Diese Privacy Policy stellt keine pauschale Aussage dar, dass x25lab.com oder Management Consulting Mayr in jedem Fall dem Anwendungsbereich von NIS, NIS2 oder vergleichbaren spezialgesetzlichen Cybersicherheitsregimen unterliegt. Ob solche Pflichten bestehen, hängt insbesondere von Branche, Rolle, Niederlassung, Kundenstruktur, Unternehmensgrösse, Kritikalität der erbrachten Dienste und dem jeweils anwendbaren Recht ab. Unabhängig davon orientieren wir unsere Sicherheitsorganisation an einem risikobasierten Ansatz. Soweit gesetzliche Melde- oder Reaktionspflichten bei Datenschutz- oder Cybersicherheitsvorfällen anwendbar sind, werden diese im Rahmen der gesetzlichen Vorgaben erfüllt.

16. Ihre Rechte
Sie haben im Rahmen des anwendbaren Rechts insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Bearbeitung, Widerspruch gegen bestimmte Bearbeitungen sowie – soweit anwendbar – auf Herausgabe oder Übertragbarkeit Ihrer Daten. Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Wenn Sie der Ansicht sind, dass eine Bearbeitung gegen anwendbares Datenschutzrecht verstösst, können Sie sich zudem an die zuständige Datenschutzaufsichtsbehörde wenden.

17. Beschwerdestellen
Für Sachverhalte mit Bezug zur Switzerland kann dies namentlich der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sein. Soweit die DSGVO anwendbar ist, können Sie sich auch an eine zuständige Aufsichtsbehörde in der Europäischen Union wenden, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsorts oder des Orts des mutmasslichen Verstosses. Für Germany und Austria gelten die dort zuständigen Datenschutzaufsichtsbehörden nach dem jeweils anwendbaren Recht.

18. Pflicht zur Bereitstellung von Daten
Sie sind grundsätzlich nicht verpflichtet, personenbezogene Daten bereitzustellen. Ohne bestimmte technische oder inhaltliche Angaben können jedoch einzelne Funktionen – etwa Chat, Kontaktaufnahme, Login, Aktivierung oder Password-Reset – nicht oder nicht vollständig bereitgestellt werden.

19. Änderungen
Wir behalten uns vor, diese Privacy Policy jederzeit mit Wirkung für die Zukunft anzupassen. Massgeblich ist die jeweils auf dieser Website veröffentlichte Fassung.