1. Verantwortlicher
Verantwortlich für die Verarbeitung personenbezogener Daten ist:
[BITTE AUSFÜLLEN: Firmenname]
[BITTE AUSFÜLLEN: Anschrift]
E-Mail: [BITTE AUSFÜLLEN: datenschutz@zenfo.ai]
Optional bei Verarbeitungen mit hohem Risiko: einen Datenschutz- beauftragten benennen und hier die Kontaktdaten ergänzen.
2. Überblick zu unserer Plattform
Zenfo AI ist eine SaaS-Plattform, die kleinen und mittleren Unternehmen (KMUs) eine KI-gestützte Beantwortung von Telefonanrufen und WhatsApp-Nachrichten ihrer Endkundinnen und Endkunden ermöglicht.
Wir unterscheiden zwei Personenkreise:
- Mandantinnen und Mandanten — Unternehmen, die unseren Dienst gebucht haben (Nutzerinnen und Nutzer des Dashboards).
- Endkundinnen und Endkunden — Personen, die ein:e Mandant:in über WhatsApp oder Telefon kontaktiert. Für die Daten dieser Personen ist der jeweilige Mandant primär verantwortlich; wir verarbeiten sie als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.
3. Kategorien verarbeiteter Daten
a) Bei Mandantinnen und Mandanten
- Anmeldedaten: E-Mail, Passwort (gehasht)
- Stammdaten der Organisation: Firmenname, Branche, Kontaktdaten
- Konfigurationsdaten: System-Prompts, Wissensdatenbank-Einträge, Eskalations-Regeln
- Zahlungsdaten: Stripe-Customer-ID, Bezahlhistorie (keine Kartendaten bei uns)
- Nutzungsdaten: API-Aufrufe, Credit-Verbrauch
b) Bei Endkundinnen und Endkunden der Mandanten
- Telefonnummer (Anrufer-ID bei Voice, Absender-Nummer bei WhatsApp)
- Profilname von WhatsApp, sofern vom Nutzer freigegeben
- Audio-Transkripte von Telefongesprächen (Speech-to-Text)
- WhatsApp-Nachrichteninhalte
- Zeitstempel der Konversationen
4. Verarbeitungszwecke
- Bereitstellung des SaaS-Dienstes (Konto, Dashboard, Konfiguration)
- Automatisierte KI-gestützte Beantwortung von Anfragen im Auftrag des Mandanten
- Eskalation an menschliche Mitarbeitende des Mandanten
- Abrechnung und Zahlungsabwicklung
- Sicherheit, Missbrauchserkennung, Audit-Logging
- Statistische Analyse zur Verbesserung des Dienstes (aggregiert, anonymisiert)
5. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung für Mandanten-Daten und für Endkunden-Daten, soweit für die Erbringung des angefragten Dienstes erforderlich.
- Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtungen, etwa Aufbewahrungspflichten aus HGB/AO.
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse an Plattformsicherheit, Missbrauchsabwehr und qualitativer Weiterentwicklung des Dienstes.
6. Auftragsverarbeiter und Drittlandsbezug
Wir setzen die folgenden Dienstleister zur Erbringung des Dienstes ein. Mit jedem besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
| Anbieter | Zweck | Sitz / Transfer |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung | USA · EU-Hosting verfügbar · SCC |
| Vercel Inc. | Hosting der Anwendung | USA · EU-Region · SCC, DPF |
| Google LLC (Gemini API) | KI-gestützte Antwortgenerierung | USA · DPF-zertifiziert · SCC |
| Twilio Inc. | Telefonie und WhatsApp-Routing | USA / EU · DPF · SCC |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland · EU |
7. Hinweise zur KI-Verarbeitung
Für die automatisierte Antwortgenerierung übermitteln wir Inhalte eingehender Nachrichten an das Sprachmodell unseres Auftragsverarbeiters Google. Die Modell-Anbieter geben an, dass die über die API übermittelten Inhalte nicht zur Modell-Trainierung verwendet werden.
Die Antworten der KI basieren ausschließlich auf der von den Mandanten hinterlegten Wissensdatenbank. Eine eigene Persönlichkeitsbewertung oder ein Profiling im Sinne von Art. 22 DSGVO findet nicht statt.
Sollten Endkund:innen mit der automatisierten Verarbeitung nicht einverstanden sein, übergeben wir das Gespräch auf Wunsch sofort an einen menschlichen Mitarbeitenden des Mandanten („Mitarbeiter sprechen"-Eskalation).
8. Speicherdauer
- Konversations-Transkripte: standardmäßig 30 Tage, pro Mandant einstellbar
- Audit-Logs (Buchungen, Zahlungen): 10 Jahre gemäß HGB/AO
- Konto-Stammdaten: bis 6 Monate nach Vertragsende, sofern keine längeren Aufbewahrungspflichten bestehen
9. Ihre Rechte
Sie haben jederzeit das Recht auf:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
Bitte richten Sie Ihr Anliegen an die unter Punkt 1 genannten Kontaktdaten. Wir prüfen jede Anfrage innerhalb der gesetzlichen Fristen.
10. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist:
[BITTE AUSFÜLLEN: zuständige Landesdatenschutzbehörde, z. B. Berliner Beauftragte für Datenschutz und Informationsfreiheit]