Zum Inhalt springen

Datenschutzerklärung

Zuletzt aktualisiert: 20. Februar 2026

English & international privacy notices

Eine englische Fassung dieser Datenschutzerklärung steht unter /privacy-policy zur Verfügung. Für Geschäftskunden bieten wir zusätzlich ein englisches Data Processing Agreement (DPA) unter /dpa an.

US-Verbraucherrechte (CCPA/CPRA): Wir verkaufen oder teilen Ihre personenbezogenen Daten nicht („Do Not Sell or Share“) und setzen sie nicht für kontextübergreifende verhaltensbasierte Werbung ein. Wir respektieren das Global Privacy Control (GPC)-Signal. Eine Übersicht Ihrer Wahlmöglichkeiten finden Sie unter /privacy-choices.

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Wer ist verantwortlich für die Datenerfassung?

Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Abschnitt “Hinweis zur verantwortlichen Stelle” in dieser Datenschutzerklärung entnehmen.

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie in ein Kontaktformular eingeben oder bei der Registrierung angeben.

Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs).

Wofür nutzen wir Ihre Daten?

Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden. Darüber hinaus werden Daten zur Bereitstellung unserer KI-gestützten Services (Agenten-Konversationen, Pipeline-Ausführungen) verarbeitet.

Welche Rechte haben Sie bezüglich Ihrer Daten?

Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Wenn Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese Einwilligung jederzeit für die Zukunft widerrufen. Außerdem haben Sie das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

2. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

Luis Ens – Flowent
Am Neugraben 9
79112 Freiburg
E-Mail: anfrage@flowent.de

Widerruf Ihrer Einwilligung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Beschwerderecht bei der zuständigen Aufsichtsbehörde

Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Die für uns zuständige Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen.

Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Hierzu können Sie sich jederzeit an uns wenden. Das Recht auf Einschränkung der Verarbeitung besteht insbesondere, wenn die Richtigkeit der Daten bestritten wird, die Verarbeitung unrechtmäßig ist oder der Verarbeitungszweck entfallen ist.

Auskunft, Löschung und Berichtigung

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung oder Löschung dieser Daten.

Aufbewahrungsfristen

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherfrist genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Konversationsdaten mit KI-Agenten werden für die Dauer Ihres Nutzungsvertrags gespeichert. Nach Kündigung werden Ihre Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. steuer- oder handelsrechtliche) entgegenstehen. Audit-Logs werden für 12 Monate aufbewahrt.

3. Datenerfassung auf dieser Website

Cookies

Unsere Internetseiten verwenden so genannte “Cookies”. Cookies sind kleine Datenpakete und richten auf Ihrem Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert.

Wir verwenden folgende Cookies:

  • sintra.sid (httpOnly) – Enthält Ihr verschlüsseltes Session-Token (JWT). Lebensdauer: 7–14 Tage.
  • sintra.csrf – CSRF-Schutztoken zur Absicherung von Formularübermittlungen. Lebensdauer: 24 Stunden.
  • sintra_email_verified – Zeigt den E-Mail-Verifizierungsstatus an. Lebensdauer: 7 Tage.

Rechtsgrundlage für die Verwendung technisch notwendiger Cookies ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Bereitstellung der Website).

Local Storage (Browser-Speicher)

Zusätzlich zu Cookies speichern wir bestimmte Daten im Local Storage Ihres Browsers. Dabei handelt es sich um:

  • Sitzungsdaten: Ihre Benutzer-ID, Anzeigename, E-Mail und Rolle (zur Vermeidung unnötiger Server-Anfragen)
  • Einstellungen: Gewähltes Farbschema (Theme), Spracheinstellungen

Diese Daten werden ausschließlich lokal in Ihrem Browser gespeichert und nicht an Dritte übermittelt. Sie können den Local Storage jederzeit über die Entwicklertools Ihres Browsers löschen.

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Grundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO.

Registrierung auf dieser Website

Sie können sich auf dieser Website registrieren, um zusätzliche Funktionen auf der Seite zu nutzen. Bei der Registrierung erfassen wir:

  • Name und E-Mail-Adresse
  • Verschlüsseltes Passwort (Bcrypt-Hash mit dynamischem Kostenfaktor)
  • Zeitpunkt der Registrierung

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Optional können Sie weitere Profildaten angeben (Anzeigename, Profilbild, Biographie, Standort, Pronomen, Berufsbezeichnung). Diese Angaben sind freiwillig.

Geräteerkennung und Sicherheitsmaßnahmen

Zum Schutz Ihres Kontos erfassen und speichern wir bei jeder Anmeldung folgende gerätebezogene Daten:

  • IP-Adresse und User-Agent (Browserkennung)
  • Geräte-Hash (pseudonymisierter Fingerprint aus User-Agent und partieller IP)
  • Geräteinformationen (Browsername, Betriebssystem, Gerätetyp)
  • Zeitpunkt der letzten Anmeldung

Bei Erkennung eines unbekannten Geräts erhalten Sie eine Sicherheitsbenachrichtigung per E-Mail. Sie können vertrauenswürdige Geräte in Ihren Kontoeinstellungen verwalten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor unbefugtem Zugriff).

Zwei-Faktor-Authentifizierung (2FA)

Wenn Sie die Zwei-Faktor-Authentifizierung aktivieren, speichern wir ein verschlüsseltes TOTP-Geheimnis (Time-based One-Time Password gemäß RFC 6238) sowie einmalig generierte Wiederherstellungscodes in unserer Datenbank. Diese Daten dienen ausschließlich der Absicherung Ihres Kontos.

KI-Konversationsdaten

Bei der Nutzung unserer KI-Agenten werden Ihre Nachrichten und die Antworten der Agenten in unserer Datenbank gespeichert, um Ihnen Ihre Konversationshistorie bereitzustellen. Zusätzlich speichern wir Token-Verbrauch, verwendetes Modell und Antwortzeiten zur Qualitätssicherung. Diese Daten werden ausschließlich für die Erbringung unserer Dienstleistung verwendet.

4. Anmeldung über Drittanbieter (OAuth)

Anmeldung mit Google

Sie können sich mit Ihrem Google-Konto auf unserer Plattform anmelden. Bei der Anmeldung erhalten wir von Google folgende Daten:

  • Google-Benutzer-ID (Sub-Claim)
  • E-Mail-Adresse und Verifizierungsstatus
  • Vor- und Nachname
  • Profilbild-URL

Die Authentifizierung erfolgt über das OAuth 2.0-Protokoll mit PKCE (Proof Key for Code Exchange) für maximale Sicherheit. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Anmeldung mit GitHub

Bei der Anmeldung mit GitHub erhalten wir Ihren Benutzernamen, Ihre E-Mail-Adresse und Ihr Profilbild. Anbieter ist GitHub, Inc., 88 Colin P Kelly Jr Street, San Francisco, CA 94107, USA. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Frameworks.

Passkeys (WebAuthn / FIDO2)

Sie können sich passwortlos mit Passkeys anmelden (z. B. Face ID, Touch ID, YubiKey). Dabei speichern wir ausschließlich den öffentlichen Schlüssel Ihrer Zugangsdaten (Credential Public Key), die Credential-ID und den Gerätetyp. Ihr privater Schlüssel verlässt niemals Ihr Gerät. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

5. Externe Dienste und Auftragsverarbeitung

Wir setzen zur Erbringung unserer Dienste externe Dienstleister ein, mit denen wir – soweit erforderlich – Auftragsverarbeitungsverträge (AVV) gem. Art. 28 DSGVO geschlossen haben.

Hosting: Vercel Inc.

Diese Website wird auf der Plattform von Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Beim Besuch unserer Website werden automatisch Ihre IP-Adresse, Browsertyp und Zugriffszeit an Vercel-Server übermittelt. Vercel ist unter dem EU-US Data Privacy Framework zertifiziert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Datenbank: Supabase

Sämtliche Nutzerdaten werden in einer PostgreSQL-Datenbank gespeichert, die von Supabase, Inc. in der AWS-Region eu-west-1 (Irland) betrieben wird. Alle Daten verbleiben somit innerhalb der Europäischen Union. Die Verbindung ist SSL-verschlüsselt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Cache und Warteschlangen: Redis

Für temporäre Datenspeicherung (Session-Cache, Rate-Limiting, Hintergrund-Aufgaben) nutzen wir Redis Labs. Zwischengespeicherte Daten sind flüchtig und werden automatisch nach Ablauf der konfigurierten Lebensdauer gelöscht.

E-Mail-Versand: Resend

Für den Versand transaktionaler E-Mails (E-Mail-Verifizierung, Passwort-Reset, Sicherheitsbenachrichtigungen bei neuem Gerät) nutzen wir den Dienst Resend (Resend, Inc., USA). Dabei werden Ihre E-Mail-Adresse und der Nachrichteninhalt an Resend übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Zahlungsabwicklung: Stripe

Für die Abwicklung von Zahlungen nutzen wir den Dienst von Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA. Bei einem Kauf werden Ihre E-Mail-Adresse, der gewählte Tarif und die Zahlungsinformationen direkt an Stripe übermittelt. Flowent AI speichert keine Kreditkartendaten. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe.

Fehlerüberwachung: Sentry

Zur Erkennung und Behebung technischer Fehler nutzen wir Sentry (Functional Software, Inc., San Francisco, USA) als reines Error-Monitoring. Es ist kein Session Replay und kein Performance-Tracing aktiviert. Im Fehlerfall werden lediglich technische Daten (Stack-Traces, Browser-Informationen) an Sentry übermittelt. IP-Adressen werden maskiert; Cookies und sensible Header werden vor der Übermittlung entfernt, sodass Sentry keine personenbezogenen Daten wie Namen oder E-Mail-Adressen erhält. Sentry ist nur in der Produktionsumgebung aktiv. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

6. KI-Dienste und Datenverarbeitung

Für die Bereitstellung unserer KI-gestützten Dienste setzen wir spezialisierte KI-Subprozessoren ein, mit denen Auftragsverarbeitungsverträge (AVV) bzw. Datenverarbeitungsvereinbarungen (DPA) gem. Art. 28 DSGVO bestehen. Wir unterscheiden dabei zwischen dem Voice-Pfad (KI-Telefonie) und dem Text-Chat-Pfad (textbasierte Agenten).

Voice-LLM: Anthropic via AWS Bedrock (EU)

Die Sprachverarbeitung (Large-Language-Model-Inferenz) im KI-Telefonat erfolgt ausschließlich über Modelle von Anthropic PBC, betrieben in der EU-Region AWS eu-central-1 (Frankfurt) via Amazon Bedrock. Es findet ein EU-only-Routing statt – im Voice-Pfad werden keine Sprach- oder Konversationsdaten an OpenAI übermittelt. Rechtsgrundlage für den Einsatz ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); die Verarbeitung erfolgt auf Grundlage des AVV mit AWS bei EU-Inferenz.

Text-Chat-LLM: OpenAI API

Für die textbasierten KI-Agenten (Chat) nutzen wir die API von OpenAI, Inc., 3180 18th Street, San Francisco, CA 94110, USA. OpenAI wird nur im Text-Chat-Pfad und nicht mehr im Voice-Pfad eingesetzt. Dabei werden folgende Daten an die OpenAI-Server übermittelt:

  • Ihre Eingaben (Prompts) und Konversationskontexte (letzten 10 Nachrichten)
  • Agent-spezifische System-Prompts (enthalten keine personenbezogenen Daten)
  • Modellparameter (Temperatur, Token-Limit)

Wichtig: API-Daten werden von OpenAI gemäß ihrer Datenschutzrichtlinie verarbeitet und nicht für das Training ihrer Modelle verwendet (API Data Usage Policy). Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Frameworks sowie Standardvertragsklauseln (SCCs).

Übersicht der KI- und Voice-Subprozessoren

Folgende Dienstleister verarbeiten in unserem Auftrag Daten im KI- und Voice-Kontext:

  • Telnyx LLC (USA) – Telefonie/SIP-Trunking, Roh-Audio, Rufnummern; Transfergrundlage: Standardvertragsklauseln (Durchführungsbeschluss 2021/914) + DPA.
  • Deepgram, Inc. (EU-Region, EU-Endpoint erzwungen) – Speech-to-Text (Roh-Audio-Stream); Transfergrundlage: DPA; SCC für Restkomponenten.
  • Anthropic PBC via AWS Bedrock (EU, AWS eu-central-1 Frankfurt) – LLM-Inferenz Voice (primär & ausschließlich); Transfergrundlage: AWS-AVV, EU-Inferenz.
  • Fish Audio (Fish Audio Co., Ltd.) (Singapur) – Text-to-Speech (primär); Transfergrundlage: SCC + Transfer-Impact-Assessment (kein DPF/Angemessenheitsbeschluss).
  • ElevenLabs, Inc. (USA) – Text-to-Speech (Fallback); Transfergrundlage: SCC + DPA.
  • Cartesia, Inc. (USA) – Text-to-Speech (Fallback); Transfergrundlage: SCC.
  • Cloudflare, Inc. (R2) (EU, Frankfurt) – Audio-Storage & Transkript-Ablage; Transfergrundlage: SCC + DPA.
  • OpenAI, Inc. (USA) – LLM-Inferenz nur für Text-Chat-Agenten (nicht mehr im Voice-Pfad); Transfergrundlage: EU-US DPF + SCC.

Hinweis zur Nutzung: Geben Sie keine sensiblen personenbezogenen Daten (Gesundheitsdaten, Finanzinformationen, Sozialversicherungsnummern) in die Agenten-Konversationen ein. Die generierten Inhalte stellen keine Rechts-, Finanz- oder Medizinberatung dar.

Rechtsgrundlage für den Einsatz der KI-Dienste ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Soweit Daten an Dienstleister außerhalb des EWR übermittelt werden, erfolgt dies auf den oben genannten Grundlagen (EU-US Data Privacy Framework bzw. Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO). Nähere Angaben zu den Drittlandübermittlungen finden Sie in Abschnitt 10.

7. Verarbeitung von Sprach- und Anrufdaten

Unsere Plattform ermöglicht es Betreibern (unseren Kunden), KI-gestützte Telefonate zu führen. Die folgenden Informationen richten sich gem. Art. 13 und Art. 14 DSGVO an alle Anrufer – auch Dritte, die nicht selbst Vertragsnutzer sind, sondern lediglich mit einem KI-Telefonassistenten sprechen.

Wer ist betroffen?

Betroffen sind alle Personen, die an einem über unsere Plattform abgewickelten Telefonat teilnehmen – insbesondere Anrufer und angerufene Personen, unabhängig davon, ob sie selbst einen Nutzungsvertrag mit uns geschlossen haben.

Welche Daten werden verarbeitet?

  • Audio-Stream (in Echtzeit zur Sprachverarbeitung)
  • Anrufaufzeichnung (MP3, sofern aktiviert)
  • Transkript (Verschriftlichung des Gesprächs)
  • KI-Zusammenfassung des Gesprächs
  • Erkannte Themen (Topics)
  • Metadaten (Dauer, Zeitpunkt, Rufnummer)

Zwecke und Rechtsgrundlagen

Die Durchführung des KI-Telefonats erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. lit. f DSGVO (berechtigtes Interesse an einer effizienten telefonischen Bearbeitung von Anliegen). Eine Aufzeichnung des Gesprächs erfolgt nur nach vorherigem Hinweis und Widerspruchsmöglichkeit auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) bzw. Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die Offenlegung, dass Sie mit einem KI-System sprechen, erfolgt gem. Art. 50 der EU-KI-Verordnung (EU AI Act).

Aufzeichnungshinweis

Zu Beginn jedes Gesprächs werden Sie darauf hingewiesen, dass (a) Sie mit einem KI-Assistenten sprechen und (b) das Gespräch gegebenenfalls aufgezeichnet wird. Sie können einer Aufzeichnung jederzeit widersprechen – per Sprachbefehl „Nein“ oder durch Drücken der Taste 9.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Bei Anrufen in sensiblen Kontexten (z. B. Arzt- oder Gesundheitspraxen) können Gesundheitsdaten und damit besondere Kategorien personenbezogener Daten anfallen. Eine Verarbeitung solcher Daten erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) bzw. zum Zweck der Gesundheitsversorgung (Art. 9 Abs. 2 lit. h DSGVO) und unter Wahrung der Berufsgeheimnisse (§ 203 StGB). Soweit ein Berufsgeheimnisträger uns als Auftragsverarbeiter einsetzt, erfolgt eine gesonderte Verpflichtung gem. § 203 Abs. 4 StGB.

Speicherdauer

Aufzeichnungen, Transkripte und Metadaten werden maximal für die konfigurierte Aufbewahrungsfrist (Standard 90 Tage, pro Agent einstellbar) gespeichert und danach automatisiert unwiderruflich gelöscht. Der während des Gesprächs gehaltene Konversationskontext wird in Redis mit einer automatischen Ablaufzeit (TTL) vorgehalten und läuft danach selbsttätig ab.

Empfänger / Subprozessoren

Zur Erbringung des KI-Telefonats werden Daten an folgende Dienstleister übermittelt: Telnyx (Telefonie), Deepgram (Speech-to-Text, EU), Anthropic via AWS Bedrock EU (LLM-Inferenz), Fish Audio sowie als Fallback ElevenLabs und Cartesia (Text-to-Speech) und Cloudflare R2 (Audio-Storage, EU). Einzelheiten zu Standort und Transfergrundlage finden Sie in Abschnitt 6 und Abschnitt 10.

Ihre Rechte

Ihnen stehen die Rechte auf Auskunft, Löschung und Widerspruch (Art. 15 bis 21 DSGVO) zu. Die Löschung einer Aufzeichnung können Sie über den jeweils Verantwortlichen (den Betreiber des Telefonanschlusses) verlangen. Auf Wunsch leiten wir Ihr Anliegen an den zuständigen Verantwortlichen weiter.

8. Drittanbieter-Integrationen

Sie können optional externe Dienste mit unserer Plattform verbinden, um Daten aus diesen Diensten zu importieren oder mit ihnen zu interagieren. Diese Integrationen sind vollständig freiwillig und werden ausschließlich durch Sie selbst aktiv per OAuth verbunden. Die Verbindung kann jederzeit in den Kontoeinstellungen getrennt werden; bei Trennung werden die gespeicherten Tokens unwiderruflich gelöscht. Rechtsgrundlage für die Verarbeitung im Rahmen dieser Integrationen ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sämtliche OAuth-Tokens werden mit AES-256-GCM verschlüsselt in unserer Datenbank gespeichert.

HubSpot (CRM)

Bei optionaler Verbindung mit HubSpot importieren wir CRM-Kontaktdaten (Name, E-Mail, Telefon, Firma, Position) in unsere Plattform. Anbieter ist HubSpot, Inc., 2 Canal Park, Cambridge, MA 02141, USA. Zweck ist der CRM-Kontaktimport. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Frameworks sowie Standardvertragsklauseln (SCCs). Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Notion

Bei optionaler Verbindung mit Notion importieren wir Seiten- und Datenbankinhalte aus Ihrem Notion-Arbeitsbereich. Anbieter ist Notion Labs, Inc., San Francisco, USA. Zweck ist der Import von Seiten- und Datenbankinhalten. Die Datenübermittlung in die USA stützt sich auf Standardvertragsklauseln (SCCs) zzgl. einer dokumentierten Transfer-Folgenabschätzung (TIA), da kein DPF/Angemessenheitsbeschluss vorliegt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Dropbox

Bei optionaler Verbindung mit Dropbox importieren wir Dateien und Dokumente aus Ihrem Dropbox-Konto. Anbieter ist Dropbox, Inc., San Francisco, USA. Zweck ist der Datei- und Dokumentenimport. Die Datenübermittlung in die USA stützt sich auf Standardvertragsklauseln (SCCs) zzgl. einer dokumentierten Transfer-Folgenabschätzung (TIA). Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Airtable

Bei optionaler Verbindung mit Airtable importieren wir Tabellen- und Datensatzinhalte aus Ihren Airtable-Bases. Anbieter ist Formagrid, Inc. (Airtable), San Francisco, USA. Zweck ist der Import von Tabellen- und Datensätzen. Die Datenübermittlung in die USA stützt sich auf Standardvertragsklauseln (SCCs) zzgl. einer dokumentierten Transfer-Folgenabschätzung (TIA). Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Intercom

Bei optionaler Verbindung mit Intercom importieren wir Help-Center-Artikel aus Ihrem Intercom-Arbeitsbereich. Anbieter ist Intercom, Inc., San Francisco, USA. Zweck ist der Import von Help-Center-Artikeln. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Frameworks sowie Standardvertragsklauseln (SCCs). Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Microsoft 365

Bei optionaler Verbindung mit Microsoft 365 ermöglichen wir Login, Datei-Import (OneDrive/SharePoint) und das Abrufen Ihrer Profildaten (Berechtigung User.Read). Anbieter sind Microsoft Ireland Operations Ltd. bzw. Microsoft Corporation, USA. Zweck sind Login, Datei-Import sowie das Auslesen des Basisprofils. Die Verarbeitung erfolgt in der EU sowie ggf. in den USA; Transfergrundlage ist die EU-Datengrenze (EU Data Boundary) sowie Standardvertragsklauseln (SCCs). Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Google Workspace

Bei optionaler Verbindung mit Google Workspace nutzen wir per OAuth Lese- und Schreibzugriff auf folgende Dienste: Gmail, Google Calendar, Google Drive, Google Sheets, Google Tasks und Google Contacts (u. a. die Scopes gmail.send, gmail.modify und calendar.events). Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Zweck ist der lesende und schreibende Zugriff auf die verbundenen Workspace-Dienste. Die Verarbeitung erfolgt in der EU sowie ggf. in den USA; Transfergrundlage ist das EU-US Data Privacy Framework sowie Standardvertragsklauseln (SCCs). Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Slack

Bei optionaler Verbindung mit Slack importieren wir Nachrichten und Kanalinformationen aus Ihrem Slack-Workspace. Anbieter ist Slack (Salesforce, Inc.), USA. Zweck ist der Import von Nachrichten und Kanälen. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Frameworks sowie Standardvertragsklauseln (SCCs). Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Übersicht der Integrations-Subprozessoren

Folgende Anbieter verarbeiten Daten im Rahmen der von Ihnen verbundenen, optionalen Integrationen (jeweils Anbieter / Zweck / Standort / Transfergrundlage):

  • HubSpot, Inc. (Cambridge, MA, USA) – CRM-Kontaktimport (Name, E-Mail, Telefon, Firma, Position); USA; EU-US DPF + SCC
  • Notion Labs, Inc. (San Francisco, USA) – Import von Seiten-/Datenbankinhalten; USA; SCC + Transfer-Impact-Assessment (kein DPF)
  • Dropbox, Inc. (San Francisco, USA) – Datei-/Dokumentenimport; USA; SCC + TIA
  • Formagrid, Inc. (Airtable) (San Francisco, USA) – Import von Tabellen-/Datensätzen; USA; SCC + TIA
  • Intercom, Inc. (San Francisco, USA) – Import von Help-Center-Artikeln; USA; EU-US DPF + SCC
  • Microsoft Ireland Operations Ltd. / Microsoft Corp. (Microsoft 365, OneDrive/SharePoint) – Login + Datei-Import + Profil (User.Read); EU/USA; EU-Datengrenze + SCC
  • Google Ireland Ltd. (Google Workspace: Gmail, Calendar, Drive, Sheets, Tasks, Contacts) – OAuth, Lese- und Schreibzugriff (u. a. gmail.send/modify, calendar.events); EU/USA; EU-US DPF + SCC
  • Slack (Salesforce, Inc.) (USA) – Import von Nachrichten/Kanälen; USA; EU-US DPF + SCC

Sicherheit der Zugangsdaten

Sämtliche OAuth-Tokens und API-Schlüssel, die durch Integrationen entstehen, werden mit AES-256-GCM (Advanced Encryption Standard, 256-Bit-Schlüssellänge) in unserer Datenbank verschlüsselt gespeichert. Der Verschlüsselungsschlüssel wird getrennt von der Datenbank aufbewahrt.

9. Analyse-Tools

Vercel Analytics

Diese Website nutzt Vercel Analytics, einen Webanalysedienst der Vercel Inc. Vercel Analytics arbeitet cookieless (es werden keine Cookies gesetzt). Zur Erstellung anonymisierter Zugriffsstatistiken (Core Web Vitals, Seitenaufrufe) wird Ihre IP-Adresse kurzzeitig verarbeitet und anschließend nicht dauerhaft gespeichert; eine Wiedererkennung einzelner Besucher findet nicht statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datensparsamen Reichweitenmessung). Weitere Informationen finden Sie in der Datenschutzerklärung von Vercel.

Vercel Speed Insights

Zusätzlich nutzen wir Vercel Speed Insights zur Messung der Ladegeschwindigkeit unserer Website. Dabei werden anonymisierte Performance-Metriken erhoben. Es werden keine personenbezogenen Daten erfasst. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

10. Internationale Datenübermittlung (Drittlandtransfer)

Übermittlung in Drittländer

Einige unserer Dienstleister haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) – insbesondere in den Vereinigten Staaten von Amerika (USA) und in Singapur. Die Übermittlung personenbezogener Daten an diese Dienstleister erfolgt auf folgenden Rechtsgrundlagen:

  • EU-US Data Privacy Framework (DPF): OpenAI, Vercel, Stripe, Sentry, GitHub, Google, Slack (Salesforce), HubSpot und Intercom sind unter dem DPF zertifiziert, das am 10. Juli 2023 von der EU-Kommission als angemessenes Schutzniveau anerkannt wurde.
  • Standardvertragsklauseln (SCCs): Wo keine DPF-Zertifizierung vorliegt, verwenden wir die von der EU-Kommission genehmigten Standardvertragsklauseln (Durchführungsbeschluss 2021/914) gem. Art. 46 Abs. 2 lit. c DSGVO.
  • Transfer-Impact-Assessment (TIA): Für Übermittlungen nach Singapur (Fish Audio) sowie für optionale Integrationen ohne DPF-Zertifizierung (Notion, Dropbox, Airtable) liegt kein Angemessenheitsbeschluss vor; die Übermittlung stützt sich auf Standardvertragsklauseln zzgl. einer dokumentierten Transfer-Folgenabschätzung.

Betroffene Dienste

  • Telnyx LLC (USA) – Telefonie/SIP-Trunking, Roh-Audio, Rufnummern; SCC (Durchf.-Beschl. 2021/914) + DPA
  • Deepgram, Inc. (EU-Region, EU-Endpoint erzwungen) – Speech-to-Text; DPA; SCC für Restkomponenten
  • Anthropic PBC via AWS Bedrock (EU, AWS eu-central-1 Frankfurt) – Voice-LLM-Inferenz; AWS-AVV, EU-Inferenz
  • Fish Audio (Fish Audio Co., Ltd.) (Singapur) – Text-to-Speech (primär); SCC + Transfer-Impact-Assessment (kein DPF/Angemessenheitsbeschluss)
  • ElevenLabs, Inc. (USA) – Text-to-Speech (Fallback); SCC + DPA
  • Cartesia, Inc. (USA) – Text-to-Speech (Fallback); SCC
  • Cloudflare, Inc. (R2) (EU, Frankfurt) – Audio-Storage & Transkript-Ablage; SCC + DPA
  • OpenAI, Inc. (San Francisco) – LLM-Inferenz nur für Text-Chat-Agenten (nicht im Voice-Pfad); EU-US DPF + SCC
  • Vercel, Inc. (San Francisco) – Hosting & Analytics; EU-US DPF + SCC
  • Stripe, Inc. (San Francisco) – Zahlungsabwicklung; EU-US DPF + SCC
  • Sentry / Functional Software, Inc. (San Francisco) – Fehlerüberwachung (keine PII); EU-US DPF
  • Resend, Inc. (USA) – E-Mail-Versand; SCC
  • Redis Labs / Upstash (EU-Region) – Cache und Warteschlangen; SCC sofern US
  • GitHub, Inc. (San Francisco) – OAuth-Anmeldung; EU-US DPF
  • Slack (Salesforce, Inc.) (USA) – optionale Integration: Import von Nachrichten/Kanälen; EU-US DPF + SCC
  • Google Ireland Ltd. (Google Workspace – Gmail, Calendar, Drive, Sheets, Tasks, Contacts) – optionale Integration: Lese-/Schreibzugriff; EU/USA; EU-US DPF + SCC
  • HubSpot, Inc. (Cambridge, MA, USA) – optionale Integration: CRM-Kontaktimport; EU-US DPF + SCC
  • Notion Labs, Inc. (San Francisco, USA) – optionale Integration: Seiten-/Datenbankimport; SCC + TIA (kein DPF)
  • Dropbox, Inc. (San Francisco, USA) – optionale Integration: Datei-/Dokumentenimport; SCC + TIA
  • Formagrid, Inc. (Airtable) (San Francisco, USA) – optionale Integration: Import von Tabellen-/Datensätzen; SCC + TIA
  • Intercom, Inc. (San Francisco, USA) – optionale Integration: Import von Help-Center-Artikeln; EU-US DPF + SCC
  • Microsoft Ireland Operations Ltd. / Microsoft Corp. (Microsoft 365) – optionale Integration: Login, Datei-Import, Profil (User.Read); EU/USA; EU-Datengrenze + SCC

Die Datenbank (Supabase/PostgreSQL) wird in der EU-Region eu-west-1 (Irland) betrieben. Voice-LLM-Inferenz (Anthropic via AWS Bedrock), Speech-to-Text (Deepgram) und Audio-Storage (Cloudflare R2) erfolgen ebenfalls innerhalb der EU. Daten werden nur für die in dieser Erklärung genannten Zwecke an Dienste außerhalb des EWR übermittelt.

11. Schweiz / revDSG

Für betroffene Personen mit Sitz oder Aufenthalt in der Schweiz gilt ergänzend das revidierte Schweizer Datenschutzgesetz (revDSG, engl. nFADP), in Kraft seit dem 1. September 2023. Soweit wir personenbezogene Daten von Personen in der Schweiz bearbeiten, beachten wir die Vorgaben des revDSG neben der DSGVO.

Betroffenenrechte nach revDSG

Betroffene Personen in der Schweiz haben insbesondere ein Recht auf Auskunft (Art. 25 revDSG), auf Berichtigung, auf Löschung bzw. Vernichtung sowie auf Datenherausgabe oder -übertragung (Art. 28 revDSG). Diese Rechte entsprechen weitgehend den Rechten nach der DSGVO und können über die im Abschnitt “Hinweis zur verantwortlichen Stelle” genannten Kontaktdaten geltend gemacht werden.

Aufsichtsbehörde

Zuständige Aufsichtsbehörde in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), Feldeggweg 1, 3003 Bern, Schweiz. Betroffene Personen in der Schweiz können sich bei mutmaßlichen Verstößen an den EDÖB wenden.

Vertretung in der Schweiz

Soweit nach Art. 14 revDSG eine Pflicht zur Bezeichnung einer Vertretung in der Schweiz besteht, benennen wir diese gesondert. Bis zur Benennung können Sie sämtliche Anliegen unmittelbar an die oben genannte verantwortliche Stelle richten.

12. Löschfristen

Account- und Vertragsdaten werden spätestens 30 Tage nach Vertragsende gelöscht. Anrufaufzeichnungen und Transkripte werden gemäß der konfigurierten Aufbewahrungsfrist (Standard 90 Tage) automatisiert gelöscht, spätestens jedoch 30 Tage nach Vertragsende. Gesetzliche Aufbewahrungspflichten (z. B. § 257 HGB, § 147 AO) bleiben unberührt.