Datenschutzerklärung

Stand: September 2025

1. Verantwortlicher und Datenschutzbeauftragter

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Elivya Unternehmergesellschaft (haftungsbeschränkt)
Geschäftsführerin: Elif Acar
Adresse: Am Klarapfel 2, 60435 Frankfurt am Main
Telefon: +49 69 94322403
E-Mail: info@voisa.ai
Handelsregister: HRB110128
USt-IdNr.: DE315648345

Datenschutzbeauftragter: Aytac Acar
E-Mail: info@voisa.ai

2. Grundlagen der Datenverarbeitung

Der Schutz Ihrer persönlichen Daten ist uns ein wichtiges Anliegen. Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der gesetzlichen Bestimmungen der DSGVO, des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG).

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Datenschutzerklärung informiert Sie darüber, welche Daten wir erheben, wie wir sie verwenden und welche Rechte Sie haben.

3. Art und Umfang der Datenverarbeitung

3.1 Website-Nutzung

Bei jedem Aufruf unserer Website werden automatisch folgende Daten erhoben:

• IP-Adresse des aufrufenden Rechners (anonymisiert nach 7 Tagen)
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Website, von der aus der Zugriff erfolgt (Referrer-URL)
• Verwendeter Browser und ggf. das Betriebssystem
• Name Ihres Access-Providers

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der ordnungsgemäßen Funktion der Website)

Speicherdauer: Server-Logs werden nach 7 Tagen automatisch gelöscht.

3.2 KI-Telefon-Assistenz-Services

Für die Erbringung unserer KI-gestützten Telefonassistenz-Services verarbeiten wir:

• Sprachaufzeichnungen und deren Transkriptionen
• Telefonnummern und Anrufdaten (Anrufzeit, Dauer)
• Gesprächsinhalte und Kommunikationsdaten
• Terminbuchungsdaten und Bestellinformationen
• Kundenpräferenzen und Geschäftskontextdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Serviceoptimierung)

Besonderheiten der KI-Verarbeitung:

• Unsere KI-Systeme nutzen geschlossene Modelle mit strikter Datenkontrolle
• Keine Weitergabe an öffentliche KI-Trainingsdaten
• Serverstandort ausschließlich in Deutschland (Frankfurt)
• Ende-zu-Ende-Verschlüsselung aller Sprachdaten
• Vollautomatisierte Entscheidungsfindung erfolgt nur mit wirksamer menschlicher Aufsicht

Speicherdauer: Sprachaufzeichnungen werden standardmäßig nach 30 Tagen gelöscht, Transkripte nach 12 Monaten.

Zero Retention Mode (Enterprise): Für höchste Datenschutzanforderungen bieten wir Enterprise-Kunden einen speziellen "Zero Retention Mode" an, bei dem bestimmte Datenpunkte sofort nach der Verarbeitung gelöscht werden und nicht in Datenbanken gespeichert werden. Details finden Sie in unserer Zero Retention Mode Dokumentation.

3.3 Kundenregistrierung und -verwaltung

Bei der Registrierung und Nutzung unserer Services erheben wir:

• Name, E-Mail-Adresse und Kontaktdaten
• Unternehmensdaten und Brancheninformationen
• Abrechnungs- und Zahlungsdaten
• Service-Konfiguration und Nutzungseinstellungen
• Support- und Kommunikationshistorie

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Kundendaten werden für die Dauer der Geschäftsbeziehung plus gesetzliche Aufbewahrungsfristen (10 Jahre für Rechnungsdaten) gespeichert.

3.4 Kontaktaufnahme über E-Mail und Formulare

Sie können über verschiedene Wege Kontakt mit uns aufnehmen. Bei der Kontaktaufnahme verarbeiten wir:

• E-Mail-Adresse und weitere Kontaktdaten
• Name und Unternehmensdaten
• Nachrichteninhalte und Kommunikationsverlauf
• Zeitpunkt und Art der Kontaktaufnahme

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen)

Speicherdauer: Kontaktdaten werden für 3 Jahre nach der letzten Kommunikation gespeichert.

3.5 Newsletter und Marketing-Kommunikation

Mit Ihrer Einwilligung versenden wir Newsletter mit Informationen zu unseren Services und Neuigkeiten:

• E-Mail-Adresse und Name
• Versandstatistiken (Öffnungsraten, Klicks)
• Zeitpunkt der An- und Abmeldung
• IP-Adresse bei der Anmeldung (Nachweis der Einwilligung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Speicherdauer: Bis zum Widerruf der Einwilligung oder Abmeldung

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den Abmeldelink in jeder E-Mail nutzen oder uns eine E-Mail an info@voisa.ai senden.

3.6 Online-Terminvereinbarung

Für die Terminbuchung über unsere Website verarbeiten wir:

• Kontaktdaten (Name, E-Mail, Telefonnummer)
• Unternehmensinformationen
• Gewählte Termine und Zeitpräferenzen
• Zusätzliche Angaben aus dem Buchungsformular

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen)

Speicherdauer: 12 Monate nach dem Termin oder Vertragsabschluss

3.7 Cookies und Tracking-Technologien

Wir verwenden verschiedene Arten von Cookies:

Technisch notwendige Cookies:

• Session-Management und Anmeldestatus
• Sicherheitsfunktionen (CSRF-Token)
• Lastverteilung und Performance-Optimierung

Funktionale Cookies (nur mit Einwilligung):

• Spracheinstellungen
• Benutzereinstellungen
• Chat-Widget-Status

Analytics-Cookies (nur mit Einwilligung):

• Vercel Analytics (datenschutzfreundliche Website-Analyse)
• Conversion-Tracking für Serviceoptimierung

Sie können Ihre Cookie-Einstellungen jederzeit über unser Cookie-Banner anpassen oder Cookies in Ihren Browsereinstellungen deaktivieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (technisch notwendige Cookies) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für andere Cookies)

3.8 Google Fonts

Zur Darstellung von Schriftarten auf unserer Website nutzen wir Google Fonts:

• Google Fonts: Webschriften von Google Ireland Limited

Verarbeitete Daten:

• IP-Adresse und Browser-Informationen
• Nutzungszahlen von Schriftarten
• Daten zu Website-Aufrufen

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner)

Weitere Informationen: Details zur Datenverarbeitung finden Sie in der Google Datenschutzerklärung.

4. Zwecke der Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken:

• Vertragserfüllung: Bereitstellung der KI-Telefon-Assistenz-Services gemäß Ihrem gebuchten Paket
• Service-Optimierung: Verbesserung der KI-Algorithmen und Spracherkennungsqualität
• Kundenbetreuung: Support, Wartung und technische Unterstützung
• Abrechnung: Erstellung von Rechnungen und Zahlungsabwicklung
• Rechtliche Verpflichtungen: Erfüllung gesetzlicher Aufbewahrungspflichten
• Berechtigte Interessen: IT-Sicherheit, Betrugsschutz, Geschäftsentwicklung
• Marketing: Produktinformationen (nur mit Einwilligung)

5. Empfänger und Übermittlung von Daten

5.1 Interne Empfänger

Innerhalb unseres Unternehmens haben nur die Mitarbeiter Zugang zu Ihren Daten, die diese für die Erfüllung ihrer Aufgaben benötigen (Need-to-know-Prinzip).

5.2 Externe Dienstleister (Auftragsverarbeiter)

Wir arbeiten mit sorgfältig ausgewählten Auftragsverarbeitern zusammen:

Hosting und Infrastruktur:

• Supabase (Deutschland/EU): Datenbank-Hosting und Authentifizierung
• Vercel (EU): Website-Hosting und CDN
• Render (Frankfurt, Deutschland): Server-Hosting für Benachrichtigungsdienste und Backend-Systeme

KI und Telefonie-Services:

• Eleven Labs Poland sp. z o.o. (Polen, EU): KI-Sprachsynthese
• Google Ireland Limited (Dublin, Irland): KI-Sprachsynthese und Cloud-Services
• OpenAI Ireland Ltd (Dublin, Irland): KI-Sprachverarbeitung und Textgenerierung
• Mistral AI (EU): KI-Sprachverarbeitung und Textgenerierung
• Voisa Large (EU-Hosting): Proprietäres KI-Modell basierend auf Mistral, gehostet in der EU
• Twilio Ireland Limited (Dublin, Irland): Telefonie-Infrastruktur

Analytics und Webschriften:

• Vercel Inc. (USA, Data Privacy Framework): Website-Analytics
• Google Ireland Limited (Dublin, Irland): Webschriften (Google Fonts)

Alle Auftragsverarbeiter sind vertraglich zur Einhaltung der DSGVO verpflichtet und haben entsprechende Auftragsverarbeitungsverträge (AVV) unterzeichnet.

Data Processing Agreement (DPA): Für OpenAI Ireland Ltd haben wir einen spezifischen Data Processing Agreement abgeschlossen. Kunden können eine Kopie dieses Vertrags auf Anfrage unter info@voisa.ai anfordern.

5.3 Drittlandübermittlungen und Data Privacy Framework

Für die oben genannten US-Dienstleister verwenden wir ausschließlich Anbieter, die unter dem EU-US Data Privacy Framework zertifiziert sind. Dieses Framework wurde am 10. Juli 2023 durch einen Angemessenheitsbeschluss der EU-Kommission (Art. 45 Abs. 1 DSGVO) anerkannt und bietet ein angemessenes Schutzniveau für Datenübermittlungen in die USA.

Zusätzliche Schutzmaßnahmen:

• Standardvertragsklauseln (SCCs) als zusätzliche Absicherung
• Technische und organisatorische Maßnahmen (TOM)
• Regelmäßige Überprüfung der Zertifizierungsstatus
• Vertragliche Verpflichtung zur DSGVO-Compliance

Die Zertifizierung der Anbieter können Sie auf der offiziellen Website des Data Privacy Framework unter www.dataprivacyframework.gov überprüfen.

6. Speicherdauer und Löschung

Wir speichern Ihre Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

• Vertragsdaten: Dauer des Vertrags plus gesetzliche Aufbewahrungsfristen (Handelsrecht: 6 Jahre, Steuerrecht: 10 Jahre)
• Sprachaufzeichnungen: 30 Tage (automatische Löschung)
• Transkripte: 12 Monate oder auf Kundenwunsch früher
• Webserver-Logs: 7 Tage
• Cookies: Je nach Typ zwischen Session-Ende und maximal 12 Monate
• Marketing-Daten: Bis zum Widerruf der Einwilligung
• Support-Anfragen: 3 Jahre nach Abschluss

Nach Ablauf der jeweiligen Fristen werden die Daten automatisch und unwiderruflich gelöscht.

7. Ihre Rechte als betroffene Person

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

7.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, kostenfrei Auskunft über die Sie betreffenden personenbezogenen Daten zu verlangen, einschließlich einer Kopie dieser Daten.

7.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht auf unverzügliche Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten.

7.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht auf Löschung Ihrer Daten ("Recht auf Vergessenwerden"), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7.4 Recht auf Einschränkung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung verlangen, wenn:

• Die Richtigkeit der Daten bestritten wird
• Die Verarbeitung unrechtmäßig ist
• Wir die Daten nicht mehr benötigen, Sie diese aber für Rechtsansprüche brauchen
• Sie Widerspruch eingelegt haben

7.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übertragen.

7.6 Widerspruchsrecht (Art. 21 DSGVO)

7.7 Recht auf Widerruf von Einwilligungen

Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter:
E-Mail: info@voisa.ai
Post: Elivya UG, Am Klarapfel 2, 60435 Frankfurt am Main

8. Automatisierte Entscheidungsfindung und Profiling

Unsere KI-Systeme führen automatisierte Verarbeitungen durch, jedoch erfolgt keine vollautomatische Entscheidungsfindung im Sinne von Art. 22 DSGVO ohne menschliche Aufsicht.

Transparenz bei KI-Entscheidungen:

• Alle kritischen Entscheidungen unterliegen menschlicher Überprüfung
• Sie können jederzeit Informationen über die verwendete Logik anfordern
• Sie haben das Recht auf menschliche Intervention
• Sie können Ihren Standpunkt darlegen und Entscheidungen anfechten

9. Datensicherheit

Wir setzen umfassende technische und organisatorische Maßnahmen (TOM) ein, um Ihre Daten gemäß Art. 32 DSGVO zu schützen:

Technische Maßnahmen:

• Ende-zu-Ende-Verschlüsselung der Sprachübertragung (TLS 1.3)
• Verschlüsselte Datenspeicherung (AES-256)
• Regelmäßige Sicherheitsaudits und Penetrationstests
• Web Application Firewall (WAF) und DDoS-Schutz
• Automatische Backups mit Verschlüsselung
• Monitoring und Intrusion Detection

Organisatorische Maßnahmen:

• Zugriffskontrolle mit Mehr-Faktor-Authentifizierung
• Rollenbasierte Berechtigungskonzepte
• Regelmäßige Mitarbeiterschulungen
• Vertraulichkeitsverpflichtungen
• Dokumentiertes Datenschutzmanagement
• Incident Response Plan

10. Besonderheiten bei KI-Sprachverarbeitung

Gemäß den aktuellen Leitlinien der deutschen Datenschutzkonferenz (DSK) für KI-Anwendungen:

• Wir verwenden ausschließlich geschlossene KI-Systeme ohne öffentlichen Zugang
• Keine Verwendung Ihrer Daten für allgemeines KI-Training
• Datenminimierung durch kontextspezifische KI-Konfiguration
• Privacy by Design und Privacy by Default in allen Systemen
• Regelmäßige Datenschutz-Folgenabschätzungen (DSFA)
• Transparente Dokumentation der KI-Entscheidungsprozesse

11. Minderjährigenschutz

Unsere Services richten sich ausschließlich an Geschäftskunden. Wir verarbeiten wissentlich keine Daten von Personen unter 16 Jahren. Sollten wir feststellen, dass versehentlich Daten Minderjähriger erhoben wurden, werden diese unverzüglich gelöscht.

12. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

Zuständige Aufsichtsbehörde:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
Telefon: +49 611 1408-0
E-Mail: poststelle@datenschutz.hessen.de
Website: https://datenschutz.hessen.de

13. Datenschutz bei Bewerbungen

Bewerberdaten verarbeiten wir ausschließlich zum Zweck der Bearbeitung Ihrer Bewerbung. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO bzw. § 26 BDSG. Nach Abschluss des Bewerbungsverfahrens werden Ihre Daten nach 6 Monaten gelöscht, es sei denn, Sie haben einer längeren Speicherung für zukünftige Stellenausschreibungen zugestimmt.

14. Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf unter Beachtung der geltenden Datenschutzvorschriften anzupassen. Die jeweils aktuelle Version finden Sie stets auf unserer Website.

Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden wir Sie per E-Mail oder über einen deutlichen Hinweis auf unserer Website informieren.

Letzte Aktualisierung: September 2025
Version: 2.1