Datenschutzerklärung
Zuletzt aktualisiert: Januar 2026
Inhaltsverzeichnis
- Verantwortlicher
- Übersicht der Datenverarbeitung
- Rechtsgrundlagen
- Verarbeitung von Audiodaten & Sprache
- KI-gestützte Datenverarbeitung
- Hosting und Infrastruktur
- Kontaktaufnahme
- Kundenkonto und Vertragsdaten
- Cookies und Tracking
- Drittanbieter und Auftragsverarbeiter
- Internationale Datenübertragung
- Speicherdauer
- Ihre Rechte
- Datensicherheit
- Änderungen
1. Verantwortlicher
Jonas Reichert LLC
2880 W Oakland Park BLVD STE 225C
Oakland Park, Florida 33311, USA
E-Mail: info@vocalis-ai.de
Website: https://vocalis-ai.io
Für Anfragen zum Datenschutz erreichen Sie uns unter: datenschutz@vocalis-ai.de
2. Übersicht der Datenverarbeitung
Vocalis AI ist eine Enterprise-Plattform für KI-gestützte Voice Agents. Im Rahmen unserer Dienstleistung verarbeiten wir folgende Datenkategorien:
Arten der verarbeiteten Daten
- Bestandsdaten: Name, Firma, Adresse, Kontaktdaten
- Vertragsdaten: Vertragsgegenstand, Laufzeit, Zahlungsinformationen
- Nutzungsdaten: Zugriffszeiten, genutzte Funktionen, Log-Daten
- Kommunikationsdaten: E-Mail-Korrespondenz, Support-Anfragen
- Audiodaten: Sprachaufnahmen im Rahmen der Voice Agent Nutzung
- Transkriptionsdaten: Textuelle Umwandlung von Sprachinhalten
- KI-generierte Daten: Antworten, Lead-Scores, Zusammenfassungen
Kategorien betroffener Personen
- Geschäftskunden (B2B) und deren Mitarbeiter
- Endnutzer, die mit den Voice Agents unserer Kunden interagieren
- Website-Besucher
- Interessenten und Kontaktpersonen
3. Rechtsgrundlagen
Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:
| Rechtsgrundlage | Anwendungsfall |
|---|---|
| Art. 6 Abs. 1 lit. a – Einwilligung | Newsletter, Marketing, optionale Analysen |
| Art. 6 Abs. 1 lit. b – Vertragserfüllung | Bereitstellung der Plattform, Kundenkonto, Support |
| Art. 6 Abs. 1 lit. c – Rechtliche Verpflichtung | Aufbewahrungspflichten, Steuerdokumentation |
| Art. 6 Abs. 1 lit. f – Berechtigtes Interesse | IT-Sicherheit, Betrugsprävention, Optimierung |
4. Verarbeitung von Audiodaten & Sprache
Wichtiger Hinweis: Im Rahmen der Voice Agent Nutzung werden Audiodaten verarbeitet. Dies betrifft sowohl unsere Geschäftskunden als auch deren Endnutzer.
4.1 Art der Audioverarbeitung
Unsere Plattform verarbeitet Audiodaten in folgenden Schritten:
- Audioaufnahme: Erfassung der Spracheingabe über WebSocket-Verbindung
- Speech-to-Text (STT): Umwandlung der Audiodaten in Text mittels KI
- KI-Verarbeitung: Analyse und Generierung einer Antwort
- Text-to-Speech (TTS): Umwandlung der Textantwort in Sprache
4.2 Speicherung von Audiodaten
- Echtzeitverarbeitung: Audiodaten werden primär in Echtzeit verarbeitet und nicht dauerhaft gespeichert
- Transkripte: Die textuelle Umwandlung wird für die Dauer des Vertragsverhältnisses gespeichert
- Qualitätssicherung: In Ausnahmefällen können Audiodaten temporär für Debugging gespeichert werden (max. 48 Stunden)
4.3 Verantwortlichkeit bei Endnutzer-Daten
Wenn Endnutzer mit den Voice Agents unserer Geschäftskunden interagieren:
- Der Geschäftskunde ist Verantwortlicher für die Daten seiner Endnutzer
- Vocalis AI handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO
- Ein Auftragsverarbeitungsvertrag (AVV) wird mit jedem Geschäftskunden geschlossen
5. KI-gestützte Datenverarbeitung
Vocalis AI nutzt verschiedene KI-Technologien zur Bereitstellung seiner Dienste:
5.1 Eingesetzte KI-Dienste
| Dienst | Anbieter | Zweck | Datenstandort |
|---|---|---|---|
| Speech-to-Text | Deepgram Inc. | Spracherkennung | USA |
| Large Language Model | OpenAI, Inc. | Konversations-KI | USA |
| Large Language Model | Anthropic PBC | Konversations-KI (Alternative) | USA |
| Text-to-Speech | Cartesia AI | Sprachsynthese | USA |
| Text-to-Speech | ElevenLabs Inc. | Sprachsynthese (Alternative) | USA/EU |
5.2 Automatisierte Entscheidungsfindung
Unsere Plattform nutzt automatisierte Verarbeitung für:
- Lead-Scoring: Automatische Bewertung von Gesprächsqualität und Kaufinteresse
- Keyword-Erkennung: Identifikation relevanter Begriffe für Routing und Eskalation
Diese automatisierten Entscheidungen haben keine rechtliche Wirkung auf natürliche Personen und dienen ausschließlich der Unterstützung unserer Geschäftskunden.
5.3 Keine Sentiment-Analyse
Vocalis AI führt keine automatisierte Sentiment-Analyse (Stimmungserkennung) durch. Gespräche werden nicht nach emotionaler Tönung klassifiziert. Es erfolgt keine Einstufung von Äußerungen als positiv, negativ oder neutral. Diese Maßnahme dient dem Schutz der Persönlichkeitsrechte der Gesprächsteilnehmer im Einklang mit den Grundsätzen der EU-KI-Verordnung (AI Act, Verordnung (EU) 2024/1689).
5.4 KI-Training
Ihre Daten werden NICHT für das Training von KI-Modellen verwendet. Alle eingesetzten KI-Dienste verwenden vortrainierte Modelle. Es erfolgt kein Fine-Tuning mit Kundendaten.
6. Hosting und Infrastruktur
6.1 Server-Standort
Unsere Plattform wird auf Servern in der Europäischen Union gehostet:
Primärer Hosting-Anbieter: Hostinger International Ltd.
Serverstandort: Deutschland / Europäische Union
Zertifizierungen: ISO 27001
6.2 Datenbanken
- PostgreSQL: Speicherung von Kunden- und Transaktionsdaten
- Redis: Temporäre Session-Daten und Caching
7. Kontaktaufnahme
Bei Kontaktaufnahme per E-Mail oder Kontaktformular werden folgende Daten verarbeitet:
- Name und E-Mail-Adresse
- Inhalt der Nachricht
- Zeitpunkt der Anfrage
- IP-Adresse (bei Formularnutzung)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kommunikation)
Speicherdauer: Bis zur abschließenden Bearbeitung der Anfrage, bei Vertragsanbahnung gemäß handelsrechtlichen Aufbewahrungsfristen.
8. Kundenkonto und Vertragsdaten
8.1 Registrierung
Zur Nutzung unserer Plattform ist die Erstellung eines Kundenkontos erforderlich. Dabei werden verarbeitet:
- Firmenname und Ansprechpartner
- E-Mail-Adresse und Telefonnummer
- Rechnungsadresse
- Zahlungsinformationen
- Gewählter Tarif und Nutzungsvolumen
8.2 Zahlungsabwicklung
Die Zahlungsabwicklung erfolgt über:
- Stripe, Inc.: Kreditkartenzahlungen, SEPA-Lastschrift
Wir speichern keine vollständigen Kreditkartendaten. Diese werden direkt bei Stripe verarbeitet.
9. Cookies und Tracking
9.1 Technisch notwendige Cookies
Folgende Cookies sind für den Betrieb der Website/Plattform erforderlich:
| Cookie | Zweck | Speicherdauer |
|---|---|---|
| vocalis_v2_session | Session-Verwaltung (HttpOnly) | 7 Tage |
| vocalis_csrf | CSRF-Schutz (Double-Submit) | Session |
| cookie_consent | Speicherung Ihrer Cookie-Präferenzen | 1 Jahr |
9.2 Analyse-Cookies (optional)
Mit Ihrer Einwilligung setzen wir folgende Analyse-Tools ein:
- Google Analytics 4: Website-Analyse (anonymisierte IP)
- Hotjar: Heatmaps und Session-Recordings (optional)
Sie können Ihre Einwilligung jederzeit über unseren Cookie-Banner widerrufen.
9.3 PWA-Nutzungsdaten (Progressive Web App)
Unser Dashboard wird als Progressive Web App (PWA) bereitgestellt, die Sie auf Ihrem Gerät installieren können (Home-Screen-Icon, Standalone-Modus, Push-Benachrichtigungen). Zur Produktverbesserung und Stabilitäts-Sicherung erfassen wir technische Nutzungsdaten der installierten PWA.
Erfasste Daten:
- Adoption-Events: Installation, Start, Tab-Wechsel, Offline-Nutzung, Service-Worker-Updates, Push-Empfang
- Plattform-Metadaten: Betriebssystem-Kategorie (iOS / Android / Windows / macOS / Linux), Display-Modus (standalone / browser), Browser-User-Agent (gekürzt auf 512 Zeichen, keine Versions-Details)
- Crash-Reports: JavaScript-Fehler-Meldungen und Stack-Traces zur Bug-Behebung. Diese werden in Frontend UND Backend automatisch von personenbezogenen Daten bereinigt (Email-Adressen, Telefonnummern, IBANs, Kreditkarten, Auth-Tokens und Benutzerpfade werden vor Speicherung durch Platzhalter ersetzt)
- Performance-Metriken: Service-Worker-Cache-Hit-Rate, Endpoint-Latenz (anonymisiert, pro Endpoint aggregiert)
Pseudonymisierung:
Wir speichern keine direkt identifizierbaren Nutzer-IDs in
den Telemetry-Tabellen. Stattdessen wird pro Tag ein HMAC-SHA256-Hash aus
Ihrer User-ID und einem rotierenden Server-Salt (90-Tage-Rotation) erzeugt
(client_hash). Dieser Hash ist nicht reversibel ohne den
Server-Salt und ermöglicht das Zählen aktiver Nutzer (DAU) ohne Profilbildung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung von Funktionalität, Sicherheit und Verbesserung unserer Software-Plattform). Eine Datenverwendung zu Marketing-Zwecken oder zur Profilbildung findet nicht statt.
Speicherdauer:
- Adoption-Events: 30 Tage (rolling)
- Crash-Reports: 90 Tage (zur Bug-Behebung), nach Resolve archivierbar
- Aggregierte Tages-Snapshots: 13 Monate (Trend-Analyse Jahresvergleich)
- Hash-Reverse-Lookup-Index: 90 Tage (DSGVO Art. 17 Erfüllbarkeit)
Widerspruchsrecht (Opt-Out):
Sie können die PWA-Telemetrie jederzeit deaktivieren, indem Sie in Ihrem
Account unter Einstellungen → Datenschutz die Option
"PWA-Nutzungsdaten freigeben" deaktivieren. Bei deaktivierter
Telemetrie funktioniert die PWA uneingeschränkt — nur unsere Produkt-
verbesserungs-Daten werden nicht erfasst. Plus: Browser-seitige
Do-Not-Track-Einstellung wird respektiert.
Datenlöschung (Art. 17 DSGVO):
Bei einer Löschanfrage löschen wir alle Telemetrie-Daten, die über den Hash-Reverse-Lookup-Index Ihrer Benutzer-ID zugeordnet werden können. Pseudonymisierte Daten älter als 90 Tage sind technisch nicht mehr Ihrer Person zuordbar — diese verbleiben in anonymisierter Aggregation in den Tages-Snapshots (DSGVO konform, da keine Reidentifizierung möglich).
9.4 Web-Push-Benachrichtigungen (Progressive Web App)
Wenn Sie unsere PWA auf Ihrem Gerät installiert haben (iOS Safari ab 16.4, Android Chrome/Firefox/Edge), können Sie Push-Benachrichtigungen aktivieren, um sofort über verpasste Anrufe, neue Termine, heiße Leads oder Mitarbeiter-Übergaben informiert zu werden — auch wenn die App geschlossen ist.
Erfasste Daten:
- Push-Endpoint-URL (vom Browser/Betriebssystem generiert, identifiziert Ihr Gerät beim Push-Provider — z. B. FCM bei Android, APNs bei iOS, Mozilla Push bei Firefox)
- Öffentliche Verschlüsselungs-Schlüssel (p256dh, auth — verschlüsseln die Nachricht so, dass nur Ihr Gerät sie entschlüsseln kann)
- Geräte-Label (z. B. „PWA-iOS Mo, 15:30" — rein UI-Anzeige in „Geräte verwalten")
- Einwilligungs-Zeitstempel (DSGVO Art. 7 Beleg)
- Lieferungs-Statistik (last_success_at, failure_count — für automatische Bereinigung abgelaufener Subscriptions)
Zweck und Rechtsgrundlage (Art. 6 Abs. 1 lit. a DSGVO):
Versand betrieblich relevanter Benachrichtigungen über die Web-Push-API (RFC 8030). Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung — die Sie jederzeit über die Browser-Einstellungen (Benachrichtigungen → Vocalis → Blockieren) ODER über die App-Einstellung „Push-Benachrichtigungen deaktivieren" widerrufen können.
Inhalt der Nachrichten:
Push-Nachrichten enthalten keine vollständigen Telefonnummern oder vollen Klarnamen — Nummern werden auf die letzten 4 Stellen maskiert („…2363"), Kontakte mit Vornamen abgekürzt. Dies schützt Sie auf dem Sperrbildschirm vor Mitlesen durch Dritte.
Push-Provider als Auftragsverarbeiter (Art. 28 DSGVO):
Die Push-Nachrichten werden über die Push-Provider Ihres Browsers/Geräts zugestellt — Vocalis hat darauf keinen Einfluss:
- Firebase Cloud Messaging (FCM) — Google LLC, USA (Chrome, Edge, Firefox auf Android)
- Apple Push Notification Service (APNs) — Apple Inc., USA (Safari auf iOS/macOS)
- Mozilla Push Service — Mozilla Corporation, USA (Firefox auf Desktop)
Die Nachrichten sind Ende-zu-Ende-verschlüsselt (VAPID + ECDH p256dh) — die Provider sehen nur den Endpoint und verschlüsselte Bytes, keinen Klartext. Übermittlung in die USA basiert auf den EU-US Data Privacy Framework (EU-Angemessenheitsbeschluss seit 10.07.2023).
Speicherort der Subscription-Metadaten:
Endpoint, Keys, Gerätelabel und Statistik werden ausschließlich in unserer PostgreSQL-Datenbank in Deutschland (Hetzner Cloud, Falkenstein) gespeichert. Row-Level-Security stellt sicher, dass nur Ihre Organisation Zugriff hat.
Speicherdauer:
- Aktive Subscriptions: bis zum Widerruf (Browser-Settings oder App-Toggle)
- Nach Widerruf: 90 Tage in Audit-Log, dann Löschung
- Bei 5 aufeinanderfolgenden Zustellfehlern (z. B. Gerät verloren): automatische Deaktivierung
- Bei Push-Provider-Rückmeldung „Subscription expired" (HTTP 404/410): sofortige Deaktivierung
Widerruf (Art. 7 Abs. 3 DSGVO):
Sie können die Einwilligung jederzeit widerrufen — entweder über Browser-Settings (Site-Settings → Benachrichtigungen → Blockieren), über die App-Funktion „Push deaktivieren" ODER per E-Mail an datenschutz@vocalis-ai.io. Der Widerruf wirkt nur für die Zukunft.
10. Drittanbieter und Auftragsverarbeiter
Wir arbeiten mit folgenden Dienstleistern zusammen:
| Anbieter | Dienst | Datenkategorie | Standort |
|---|---|---|---|
| Hostinger | Server-Hosting | Alle Plattformdaten | EU |
| Deepgram | Speech-to-Text | Audiodaten | USA |
| OpenAI | LLM | Textdaten | USA |
| Cartesia AI | Text-to-Speech | Textdaten | USA |
| Stripe | Zahlungen | Zahlungsdaten | USA/EU |
| Brevo (Sendinblue) | E-Mail-Versand | E-Mail-Adressen | EU |
Mit allen Auftragsverarbeitern wurden entsprechende Verträge nach Art. 28 DSGVO geschlossen.
11. Internationale Datenübertragung
Da einige unserer Dienstleister (insbesondere KI-Anbieter) in den USA ansässig sind, erfolgt eine Übermittlung personenbezogener Daten in die USA.
Schutzmaßnahmen
- EU-US Data Privacy Framework: Zertifizierte Anbieter (OpenAI, Stripe)
- Standardvertragsklauseln (SCCs): Gemäß EU-Kommissionsbeschluss 2021/914
- Ergänzende technische Maßnahmen: Verschlüsselung, Pseudonymisierung
12. Speicherdauer
| Datenkategorie | Speicherdauer | Grundlage |
|---|---|---|
| Vertragsdaten | 10 Jahre nach Vertragsende | Handelsrechtliche Aufbewahrungspflicht |
| Rechnungsdaten | 10 Jahre | Steuerrechtliche Pflicht |
| Gesprächstranskripte | 90 Tage (Standard) oder kundenspezifisch | Vertrag / berechtigtes Interesse |
| Audiodaten | Keine dauerhafte Speicherung | Echtzeitverarbeitung |
| Log-Dateien | 30 Tage | IT-Sicherheit |
| Kontaktanfragen | 3 Jahre nach letztem Kontakt | Berechtigtes Interesse |
13. Ihre Rechte
Sie haben nach der DSGVO folgende Rechte:
13.1 Auskunftsrecht (Art. 15 DSGVO)
Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
13.2 Berichtigungsrecht (Art. 16 DSGVO)
Sie können die Berichtigung unrichtiger Daten verlangen.
13.3 Löschungsrecht (Art. 17 DSGVO)
Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
13.4 Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
13.5 Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
13.6 Widerspruchsrecht (Art. 21 DSGVO)
Sie können der Verarbeitung Ihrer Daten auf Basis berechtigter Interessen widersprechen.
13.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
13.8 Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde Ihres Wohnsitzes oder Aufenthaltsorts.
Anfragen zu Ihren Rechten richten Sie bitte an:
E-Mail: datenschutz@vocalis-ai.de
Wir werden Ihre Anfrage innerhalb eines Monats bearbeiten.
14. Datensicherheit
Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:
- Verschlüsselung: TLS 1.3 für alle Datenübertragungen
- Authentifizierung: JWT-basierte Zugriffskontrolle, optional 2FA
- Zugriffskontrolle: Rollenbasiertes Berechtigungssystem
- Monitoring: 24/7 Überwachung und Anomalie-Erkennung
- Backups: Tägliche verschlüsselte Backups
- Penetrationstests: Regelmäßige Sicherheitsüberprüfungen
15. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.
Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden wir Sie per E-Mail informieren.
Stand: Januar 2026 | Version 1.0
Zurück zur Startseite