Datenschutzerklärung — MCP-Connector

Ergänzung zur allgemeinen Datenschutzerklärung zur Nutzung des Boniforce-MCP-Connectors für KI-Assistenten (Claude, ChatGPT und andere MCP-fähige Clients).

Stand: 12.05.2026

Inhalt

  1. Übersicht
  2. Welche Daten verarbeitet werden
  3. Schutz des API-Schlüssels
  4. OAuth-Tokens und Sitzungen
  5. Auftragsverarbeiter
  6. Speicherdauer
  7. Rechtsgrundlage
  8. Widerruf und Sperrung
  9. Kontakt

1. Übersicht

Boniforce betreibt unter mcp.boniforce.de einen Model-Context-Protocol-Server (MCP-Server), der die Boniforce-API als Tools für KI-Assistenten wie Anthropic Claude und OpenAI ChatGPT zugänglich macht. Diese Ergänzung beschreibt die zusätzlichen Verarbeitungen, die durch die Nutzung des MCP-Connectors entstehen. Die allgemeinen Aussagen unserer Hauptdatenschutzerklärung — insbesondere zu Verantwortlichem, Sicherheitsmaßnahmen, internationalen Datentransfers und Betroffenenrechten — gelten unverändert.

2. Welche Daten verarbeitet werden

  • Boniforce-API-Schlüssel des Nutzers (sk_live_…): bei der erstmaligen Verbindung übermittelt der Nutzer seinen persönlichen Boniforce-API-Schlüssel über ein über HTTPS gesichertes Formular auf mcp.boniforce.de/oauth/login.
  • Anfrage-Parameter: Firmenname, Registerart, Registernummer, Registergericht, Branchenschlüssel, Zeiträume.
  • Inhaltsdaten (z. B. Chat-Verlauf, freie Texte) werden nicht an Boniforce übertragen. Das KI-Modell sendet uns ausschließlich die strukturierten Argumente, die zur Beantwortung der Nutzeranfrage technisch erforderlich sind.

3. Schutz des API-Schlüssels

  • Verschlüsselung at rest: der API-Schlüssel wird vor Speicherung mittels Fernet (AES-128-CBC mit HMAC-SHA-256) verschlüsselt. Das Schlüsselmaterial liegt ausschließlich in einer serverseitigen Umgebungsvariable und wird zu keinem Zeitpunkt protokolliert oder gespiegelt.
  • Pseudonymisierung der Nutzer-ID: der MCP-Server identifiziert Nutzer ausschließlich über sha256(API-Schlüssel). Dieser Hash ist nicht reversibel; aus dem gespeicherten Hash kann der ursprüngliche Schlüssel nicht rekonstruiert werden.
  • Validierung: bei jeder Eingabe wird der Schlüssel einmal gegen api.boniforce.de validiert. Schlägt die Validierung fehl, wird der Schlüssel verworfen und kein Datensatz erzeugt.

4. OAuth-Tokens und Sitzungen

  • Access-Token (JWT, RS256): 1 Stunde gültig, audience-gebunden an mcp.boniforce.de/mcp. Nicht serverseitig gespeichert.
  • Refresh-Tokens: zufällig erzeugte opake Strings, single-use, ausschließlich gehasht (SHA-256) gespeichert.
  • Authorization-Codes (PKCE S256): flüchtig, gültig für 10 Minuten, nach erster Verwendung sofort invalidiert. Plain-PKCE wird gemäß OAuth 2.1 ausnahmslos abgelehnt.
  • Origin-Validierung: der MCP-Endpunkt akzeptiert ausschließlich Anfragen mit den freigegebenen Origins claude.ai, chatgpt.com oder dem eigenen Issuer-Ursprung. Alle anderen Origins werden mit HTTP 403 abgelehnt.

5. Empfänger und Auftragsverarbeiter (MCP-bezogen)

Zusätzlich zu den in der Hauptdatenschutzerklärung genannten Verarbeitern:

  • Anthropic, PBC, San Francisco, USA — Betreiberin von Claude.ai und Claude Desktop. Empfängt nur die vom Nutzer in den KI-Assistenten eingegebenen Inhalte; erhält keinen direkten Zugriff auf den Boniforce-API-Schlüssel.
  • OpenAI OpCo, LLC, San Francisco, USA — Betreiberin von ChatGPT. Selbe Datenflüsse wie Anthropic.
  • Sectorbench (The AI Whisperer GmbH) — Branchen-Datenquelle. Wird ausschließlich mit einem operator-seitigen Sammeltoken aufgerufen; für Sectorbench bleiben die Endnutzer anonym.
  • STRATO GmbH bzw. der vom Betreiber genutzte Cloud-Hoster — physischer Betrieb des MCP-Servers; siehe Hauptdatenschutzerklärung.

Übermittlungen in die USA erfolgen auf Basis der EU-Standardvertragsklauseln; Anthropic und OpenAI haben die jeweiligen Datenverarbeitungsverträge unterzeichnet.

6. Speicherdauer

DatenkategorieAufbewahrung
Verschlüsselter API-Schlüsselbis zur Rotation oder Widerruf durch den Nutzer
Refresh-Token (Hash)bis zum Widerruf oder bis 90 Tage Inaktivität
Access-Token (JWT)nicht gespeichert; nur Laufzeit-Validierung
OAuth-Authorization-Codes10 Minuten
Anfrage-Logs (anonym)maximal 30 Tage
Ergebnis-Caches (Branchen-Daten)maximal 10 Minuten in-memory

7. Rechtsgrundlage

Die Verarbeitung erfolgt zur Erfüllung des Nutzungsvertrags mit dem Boniforce-Kunden (Art. 6 Abs. 1 lit. b DSGVO). Eine Verarbeitung zu Trainingszwecken durch Boniforce, Anthropic oder OpenAI findet nicht statt; die Zero-Retention-Konfiguration im AI-Subprocessor schließt Trainingsnutzung aus.

8. Widerruf und Sperrung

Der Nutzer kann seinen Boniforce-API-Schlüssel jederzeit im Boniforce-Dashboard widerrufen oder neu erzeugen. Mit dem Widerruf verliert der Connector unverzüglich den Zugriff. Auf Anforderung löscht Boniforce zusätzlich die mit der pseudonymisierten Nutzer-ID verknüpften OAuth-Datensätze.

Praxis-Tipp. Es wird empfohlen, pro KI-Client einen eigenen API-Schlüssel mit sprechendem Namen (z. B. claude oder chatgpt) zu erzeugen, damit ein Schlüssel im Zweifelsfall ohne Auswirkungen auf andere Integrationen rotiert oder gesperrt werden kann.

9. Kontakt

Datenschutzanfragen zum MCP-Connector richten Sie bitte an unseren Datenschutzbeauftragten — die Kontaktdaten finden Sie im Abschnitt Kontaktinformationen der Hauptdatenschutzerklärung.