Datenschutzerklärung

1. Verantwortlicher

Nick Thomas
Karolinenplatz 2
80333 München
Deutschland

E-Mail: support@podschi.de

2. Überblick der Verarbeitungstätigkeiten

Wir erheben und verarbeiten personenbezogene Daten im Rahmen folgender Tätigkeiten:

• Bereitstellung unserer Website (podschi.de)
• Bereitstellung und Betrieb von KI-gestützten Voice Agents für unsere Geschäftskunden
• Verarbeitung von Kontaktanfragen über unser Kontaktformular
• Webanalyse zur Verbesserung unseres Angebots

3. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung des Betroffenen
• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung oder vorvertragliche Maßnahmen
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (z. B. Websiteanalyse, IT-Sicherheit)

4. Hosting und Content Delivery

4.1 Vercel

Unsere Website wird auf der Plattform Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Beim Besuch unserer Website werden automatisch Informationen an die Server von Vercel übermittelt und in sogenannten Server-Logfiles gespeichert. Hierzu gehören:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit der Anfrage
• Übertragene Datenmenge
• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer URL

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen und sicheren Bereitstellung unserer Website). Die Server-Logfiles werden aus Sicherheitsgründen (z. B. zur Aufklärung von Missbrauch oder Angriffen) für eine Dauer von maximal 14 Tagen gespeichert und anschließend gelöscht.

Datentransfer USA: Vercel Inc. ist unter dem EU-US Data Privacy Framework zertifiziert. Der Datentransfer erfolgt somit auf Basis eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO. Ergänzend wurden EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.

Weitere Informationen: https://vercel.com/legal/privacy-policy

4.2 Cal.com (Buchungstool)

Für die Online-Terminbuchung setzen wir Cal.com Inc. (251 Little Falls Drive, Wilmington, DE 19808, USA) ein. Das Buchungstool wird nicht automatisch geladen; erst wenn Sie auf der Buchungs-Sektion aktiv auf „Buchungstool laden" klicken, wird das eingebettete Skript von app.cal.com nachgeladen. Erst ab diesem Zeitpunkt werden Verbindungsdaten (IP-Adresse, User-Agent, Referrer) an Cal.com übermittelt und Cookies/Storage durch Cal.com gesetzt.

Rechtsgrundlage: Ihre Einwilligung durch den aktiven Klick auf „Buchungstool laden" (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Buchen Sie tatsächlich einen Termin, verarbeiten wir Ihre Angaben zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).

Verarbeitete Daten: Name, E-Mail-Adresse, gewählter Termin, optionale Nachricht; ergänzend Verbindungs-Metadaten (IP, User-Agent, Referrer) durch Cal.com selbst.

Datentransfer USA: Cal.com Inc. ist unter dem EU-US Data Privacy Framework zertifiziert (Art. 45 DSGVO). Ergänzend sind EU-Standardvertragsklauseln vereinbart. Sie können den Buchungs-Workflow alternativ ohne Cal.com nutzen, indem Sie das Kontaktformular auf der Buchungsseite ausfüllen — wir melden uns dann innerhalb eines Werktages mit zwei Terminvorschlägen.

Weitere Informationen: https://cal.com/privacy (öffnet in neuem Fenster)

5. Kontaktformular

Wenn Sie unser Kontaktformular nutzen, werden die von Ihnen eingegebenen Daten (z. B. Name, E-Mail-Adresse, Nachricht) an unseren selbst gehosteten Automatisierungsserver (n8n) innerhalb der Europäischen Union übermittelt und dort verarbeitet.

Erhobene Daten:

• Name (erforderlich)
• E-Mail-Adresse (erforderlich)
• Unternehmen (optional)
• Telefonnummer (optional)
• Branche (optional)
• Nachricht (optional)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

Speicherdauer: Nicht qualifizierte Kontaktanfragen (kein Folge-Kontakt, kein Vertragsanbahnungsbezug) werden spätestens nach 6 Monaten gelöscht. Qualifizierte Anfragen (mit Vertragsanbahnungsbezug oder Folge-Kontakt) werden bis zu 24 Monate ab dem letzten Kontakt gespeichert. Entsteht aus der Anfrage ein Vertragsverhältnis, richtet sich die Speicherdauer nach den dann anwendbaren gesetzlichen Aufbewahrungspflichten (insb. § 257 HGB, § 147 AO).

Bereitstellung: Die Bereitstellung Ihrer Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Die Angabe der als erforderlich markierten Daten ist jedoch notwendig, um Ihre Anfrage bearbeiten und beantworten zu können.

Verarbeitung: Die Daten werden ausschließlich auf Servern innerhalb der Europäischen Union verarbeitet (selbst gehostete n8n-Instanz). Eine Weitergabe an Dritte findet nicht statt, es sei denn, dies ist zur Bearbeitung Ihrer Anfrage erforderlich.

6. KI-gestützte Voice Agents (Dienstleistung für Geschäftskunden)

Im Rahmen unserer Dienstleistung entwickeln und betreiben wir KI-gestützte Voice Agents für unsere Geschäftskunden (z. B. Hotels, Hausverwaltungen, Kanzleien). Dabei werden personenbezogene Daten der Anrufer verarbeitet.

Hinweis: Die datenschutzrechtliche Verantwortlichkeit für die Verarbeitung von Anruferdaten liegt beim jeweiligen Geschäftskunden (z. B. dem Hotel). Podschi agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Verarbeitung erfolgt ausschließlich auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) mit dem jeweiligen Geschäftskunden.

6.1 Verarbeitete Daten

Im Rahmen des Voice-Agent-Betriebs können folgende Daten verarbeitet werden:

• Audiodaten des Telefonats (Stimme des Anrufers)
• Vom Anrufer mitgeteilte Informationen (z. B. Name, E-Mail-Adresse, Telefonnummer, Buchungswünsche)
• Technische Metadaten (Anrufzeitpunkt, Anrufdauer, Telefonnummer des Anrufers)

6.2 Eingesetzte Unterauftragsverarbeiter

Zur Erbringung unserer Voice-Agent-Dienstleistung setzen wir die folgenden Dienstleister als Unterauftragsverarbeiter ein:

VAPI setzt seinerseits folgende Unterauftragsverarbeiter ein, für die jeweils separate DPAs zwischen VAPI und dem jeweiligen Anbieter bestehen:

• OpenAI, L.L.C. (San Francisco, CA, USA) — Sprachmodell / Large Language Model (LLM) für die KI-gestützte Gesprächsführung. DPA: OpenAI VAPI DPA vorhanden.
• ElevenLabs, Inc. (New York, NY, USA) — Text-to-Speech (Sprachsynthese) für natürlich klingende Sprachausgabe. DPA: ElevenLabs VAPI DPA vorhanden.
• Amazon Web Services, Inc. (AWS) (Seattle, WA, USA) — Cloud-Infrastruktur. DPA: AWS VAPI DPA vorhanden.
• Microsoft Azure (Redmond, WA, USA) — Cloud-Infrastruktur. DPA: Azure VAPI DPA vorhanden.

Sämtliche Datentransfers in die USA an unter dem EU-US Data Privacy Framework zertifizierte Anbieter (OpenAI, ElevenLabs, AWS, Microsoft) erfolgen auf Basis des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO. Ergänzend bzw. für nicht zertifizierte Partner (z. B. VAPI Inc.) erfolgt die Übermittlung auf Basis von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Die entsprechenden DPAs und Compliance-Dokumentation sind über das VAPI Trust Center (Safebase) verfügbar.

6.3 Rechtsgrundlage und Speicherdauer

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber unserem Geschäftskunden) in Verbindung mit Art. 28 DSGVO (Auftragsverarbeitung).

Speicherdauer: Anrufe werden in der Standard-Konfiguration nicht als Audio gespeichert. Während des Gesprächs entstehende Transkripte werden spätestens nach 90 Tagen gelöscht; Anruf-Metadaten (Telefonnummer, Anrufzeitpunkt, Anrufdauer) spätestens nach 365 Tagen. Abweichende, kundenspezifische Speicherfristen können im jeweiligen Auftragsverarbeitungsvertrag mit dem Geschäftskunden vereinbart werden. Grundlage hierfür ist unser Löschkonzept nach DIN 66398, das wir auf Anfrage zur Verfügung stellen.

6.4 Demo-Telefonat auf unserer Website

Wenn Sie die auf unserer Website angebotene Demo-Nummer anrufen, verarbeiten wir Ihre personenbezogenen Daten (insbesondere Ihre Telefonnummer, den Anrufzeitpunkt, Ihre Stimme sowie die Gesprächsinhalte) als datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO — also nicht als Auftragsverarbeiter eines Geschäftskunden, sondern in eigener Verantwortung.

Zweck: Die Verarbeitung dient ausschließlich dem Zweck, Ihnen die Funktionsweise unserer KI-Telefonassistenten zu demonstrieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Ihre Einwilligung erteilen Sie konkludent durch das aktive Wählen und Anrufen der auf unserer Website ausgewiesenen Demo-Nummer, nachdem Sie über den Charakter des Anrufs (KI-Demo) und die Datenverarbeitung informiert wurden. Sie können die Einwilligung jederzeit widerrufen, indem Sie das Gespräch beenden; eine weitere Verarbeitung findet danach nicht statt. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

Hinweis nach EU AI Act (Art. 50 Abs. 1): Sie sprechen während des gesamten Demo-Anrufs ausschließlich mit einem KI-gestützten Sprachassistenten und nicht mit einer natürlichen Person. Hierauf werden Sie zu Beginn des Gesprächs ausdrücklich hingewiesen.

Stimme / Art. 9 DSGVO: Ihre Stimme wird ausschließlich zur Spracherkennung (Speech-to-Text) verarbeitet. Eine biometrische Identifikation oder die Erstellung eines Stimm-Profils im Sinne von Art. 9 Abs. 1 DSGVO findet nicht statt.

Speicherdauer: Audioaufzeichnungen der Demo-Telefonate werden nicht gespeichert. Während des Gesprächs entstehende Transkripte und technische Metadaten werden spätestens nach 24 Stunden automatisch gelöscht.

Empfänger: Für den Betrieb der Demo-Telefonie nutzen wir die in Abschnitt 6.2 genannten Dienstleister (VAPI Inc., OpenAI L.L.C., ElevenLabs Inc., AWS und Microsoft Azure) als Empfänger Ihrer Daten. Die Rechtsgrundlagen für die Drittlandtransfers in die USA sind in Abschnitt 12 aufgeführt.

7. Cookies

Unsere Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Website erforderlich sind. Es werden keine Tracking-Cookies oder Cookies zu Marketingzwecken eingesetzt.

Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch erforderliche Cookies bedürfen keiner Einwilligung).

8. SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

9. Ihre Rechte als betroffene Person

Ihnen stehen folgende Rechte gemäß der DSGVO zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu erhalten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unrichtige oder unvollständige Daten berichtigen zu lassen.
• Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, eine erteilte Einwilligung jederzeit zu widerrufen.

Zur Ausübung Ihrer Rechte können Sie sich jederzeit an uns wenden: support@podschi.de

10. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland
https://www.lda.bayern.de

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

12. Drittlandtransfers — Zusammenfassung

13. Keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO

Wir treffen keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 Abs. 1 DSGVO. Auch ein Profiling im Sinne von Art. 4 Nr. 4 DSGVO, das eine entsprechende Wirkung entfaltet, findet nicht statt.

Die im Rahmen unserer Voice-Agent-Dienstleistung getroffenen Verarbeitungsschritte (z. B. Routing eines Anrufs, Vorerfassung einer Buchungs- oder Terminanfrage, automatisierte Beantwortung von Standardfragen) entfalten keine rechtliche Wirkung gegenüber dem Anrufer und unterliegen — soweit eine inhaltliche Entscheidung getroffen wird — der nachgelagerten Prüfung durch den jeweiligen Geschäftskunden bzw. dessen Mitarbeiter.

14. Hinweise nach EU AI Act (Verordnung (EU) 2024/1689)

Wir setzen KI-gestützte Sprachassistenten (Voice Agents) ein. Gemäß Art. 50 Abs. 1 der KI-Verordnung (EU AI Act) informieren wir Sie hiermit darüber, dass Sie bei jedem Telefonat mit einem unserer Voice Agents — sei es im Rahmen einer Demo auf unserer Website (vgl. Abschnitt 6.4) oder im Auftrag eines unserer Geschäftskunden (vgl. Abschnitt 6) — mit einem KI-System und nicht mit einer natürlichen Person sprechen. Dieser Hinweis wird zusätzlich zu Beginn jedes Gesprächs in geeigneter Form (Stimm-Ansage) vermittelt.

Bei Voice-Agent-Diensten, die wir im Auftrag eines Geschäftskunden bereitstellen, ist der Geschäftskunde nach Art. 50 EU AI Act „Betreiber" („Deployer") des KI-Systems und damit primär für die Erfüllung der Transparenzpflicht gegenüber Anrufern verantwortlich; wir unterstützen unsere Geschäftskunden hierbei vertraglich und technisch.