Servus KIServus KI

Datenschutzerklärung Servus KI

1. Verantwortlicher, Geltungsbereich und Stand

1.1 Verantwortlicher

HerzensApp GmbH, Raiffeisenstraße 54, 8010 Graz, Österreich. E-Mail: [email protected].

1.2 Geltungsbereich

Diese Datenschutzerklärung gilt für den KI-Telefonassistenten "Servus KI", für zugehörige Web- und App-Oberflächen, für die KI-Testnummer sowie für über Schnittstellen bereitgestellte Funktionen wie Kalender- und CRM-Anbindungen. Die Erklärung beschreibt, welche personenbezogenen Daten verarbeitet werden, zu welchen Zwecken dies geschieht, auf welcher Rechtsgrundlage die Verarbeitung beruht, an wen Daten weitergegeben werden und wie lange sie gespeichert werden.

1.3 Stand

09.07.2025.

1.4 Datenschutzbeauftragter

Es ist kein Datenschutzbeauftragter bestellt, da keine gesetzliche Verpflichtung besteht. Für alle Datenschutzanliegen steht die unter Ziffer 1.1 genannte Kontaktadresse zur Verfügung.

2. Rollenmodell und Verantwortlichkeiten

2.1 Grundsatz

Servus KI handelt im Regelfall als eigener Verantwortlicher im Sinn von Art. 4 Z 7 DSGVO für die Bereitstellung und den Betrieb des Dienstes. Kunden wie Ordinationen sind eigene Verantwortliche gegenüber ihren Anrufern, die Kunden der Kunden sind. Es besteht keine gemeinsame Verantwortlichkeit.

2.2 Test- und Demo-Hotline

Für Test- oder Demo-Szenarien im Namen eines Kunden kann Servus KI als Auftragsverarbeiter nach Art. 28 DSGVO tätig werden. In diesem Fall wird ein Auftragsverarbeitungsvertrag zugrunde gelegt.

2.3 Einwilligungen und Informationspflichten der Kunden

Die rechtmäßige Gesprächsaufzeichnung, die Einholung und Dokumentation eventuell erforderlicher Einwilligungen sowie Informationspflichten gegenüber Anrufern liegen in der Eigenverantwortung der Kunden.

2.4 Demo-Nummer

Bei Anruf der KI-Testnummer wird die Verarbeitung und Aufzeichnung vorausgesetzt und ausschließlich zu Demonstrationszwecken durchgeführt. Die rechtliche Grundlage ist die Einwilligung, die durch das aktive Wählen der Demo-Nummer vorausgesetzt wird.

3. Zwecke der Verarbeitung und Rechtsgrundlagen

3.1 Betrieb des Telefonassistenten und Gesprächsabwicklung

Servus KI verarbeitet Daten zur Erreichbarkeit, zur effizienten Gesprächsannahme, zur Erkennung des Anliegens, zur optionalen Weiterleitung an Mitarbeitende und zur Erstellung von Gesprächszusammenfassungen, sofern aktiviert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 1 lit. b DSGVO.

3.2 Transkription und KI-Verarbeitung

Servus KI setzt Spracherkennung und Sprachmodelle ein, um Gespräche zu transkribieren, Inhalte zu verstehen und Antworten zu generieren. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 1 lit. b DSGVO.

3.3 Gesprächsaufzeichnung

Eine Aufzeichnung erfolgt nur, wenn diese Funktion vom Kunden aktiviert wird. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO.

3.4 Transaktionale SMS

Servus KI versendet bei Bedarf transaktionale SMS, zum Beispiel Terminbestätigungen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO.

3.5 Abrechnung und Zahlung

Für die Vertragsabwicklung und Zahlung werden Kundendaten verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Für steuer- und handelsrechtliche Pflichten gilt Art. 6 Abs. 1 lit. c DSGVO.

4. Kategorien personenbezogener Daten

4.1 Telefondaten und Metadaten

Verarbeitet werden Rufnummern, Zeitpunkte und Dauer von Verbindungen, Signalisierungsdaten, technische Kennungen, DTMF-Eingaben sowie Fehler- und Zugriffslogs.

4.2 Inhaltsdaten

Je nach Konfiguration werden Audioinhalte nur bei aktivierter Aufzeichnung verarbeitet. Unabhängig davon können Transkripte, freiwillige Angaben sowie Gesprächszusammenfassungen anfallen.

4.3 Besondere Kategorien nach Art. 9 DSGVO

Besondere Kategorien personenbezogener Daten werden nicht gezielt erhoben. Fallen solche Informationen durch Aussagen im Gespräch an, werden sie nur zur Gesprächsabwicklung genutzt. Es findet kein Profiling statt.

4.4 Stammdaten und Kommunikation

Für die Vertragsabwicklung werden Name, E-Mail und gegebenenfalls Rechnungs- und Lieferdaten verarbeitet.

4.5 Integrationen

Servus KI kann optional an Kunden-Systeme wie Kalender-, CRM- oder Helpdesk-Anwendungen angebunden werden.

5. Herkunft der Daten

5.1 Direkt vom Anrufer

Daten stammen vom Anrufer selbst, zum Beispiel durch das Telefonat, DTMF-Eingaben oder eine Antwort per E-Mail oder SMS.

5.2 Vom Kunden

Daten können vom Kunden bereitgestellt werden, zum Beispiel Termin-Slots, CRM-IDs oder Wissensbasen.

5.3 Technische Protokolle

Zusätzlich fallen technische Verbindungs- und Fehlerlogs an, die beim Betrieb der Infrastruktur entstehen.

6. Empfänger und Dienstleister

6.1 Hosting und Compute

Servus KI nutzt Hosting in der Europäischen Union bei der Hetzner Online GmbH in Deutschland.

6.2 Echtzeit-Medien und Streaming

Servus KI setzt LiveKit in Deutschland ein und beschränkt den Betrieb auf die Europäische Union mittels Region-Pinning.

6.3 Telefonie

Servus KI verwendet Twilio für die Telefonieanbindung (SIP-Trunking).

6.4 SMS

Transaktionale SMS werden über Infobip mit EU-Routing versendet.

6.5 Spracherkennung und Sprachsynthese

Für Spracherkennung wird Deepgram mit EU-Endpoint verwendet. Für Sprachsynthese kann optional ElevenLabs eingesetzt werden.

6.6 Sprachmodelle

Servus KI verwendet Microsoft Azure OpenAI innerhalb der EU Data Boundary und EU Data Residency.

6.7 Zahlung

Zahlungen werden über Rechnungen oder Stripe abgewickelt.

7. Drittlandübermittlungen und EU-Only-Option

7.1 EU-Only-Betrieb

Standardmäßig nutzt Servus KI EU-Regionen für alle Kernkomponenten.

7.2 Ausnahme ElevenLabs

Bei optionaler Nutzung von ElevenLabs für TTS kann eine Verarbeitung außerhalb des EWR stattfinden. Kunden können die EU-Only-Option wählen, indem ElevenLabs deaktiviert wird.

7.3 Rechtsinstrumente

Soweit in Einzelfällen Übermittlungen in Drittländer erforderlich sind, werden Standardvertragsklauseln und gegebenenfalls das Data Privacy Framework verwendet.

8. Speicherdauer und Löschung

  • Rechnungs- und Zahlungsdaten: sieben Jahre
  • Verbindungsdaten (CDR, Twilio, Logs): zwölf Monate
  • Transkripte und Gesprächszusammenfassungen: neunzig Tage
  • Audioaufnahmen produktiv: dreißig Tage, nur bei aktivierter Aufzeichnung
  • Demo-Aufnahmen: vierzehn Tage
  • SMS-Logs: neunzig Tage
  • Server-, Fehler- und Zugriffslogs: einhundertachtzig Tage

9. Sicherheit technisch und organisatorisch

9.1 Technische Maßnahmen

Servus KI setzt durchgehend Transportverschlüsselung (TLS, SRTP) ein. Ruhende Daten werden verschlüsselt. Zugriffe sind rollenbasiert mit Mehrfaktor-Authentisierung.

9.2 Organisatorische Maßnahmen

Servus KI arbeitet mit einem Rollen- und Rechtekonzept nach dem Need-to-know-Prinzip mit geregeltem Onboarding, Offboarding und Incident-Response-Prozessen.

9.3 Mandantentrennung

Daten werden logisch je Kunde isoliert über getrennte Datenbanken oder Schemas.

10. Betroffenenrechte

10.1 Rechte

Betroffene Personen haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie den Widerruf von Einwilligungen.

10.2 Geltendmachung

Anfragen können an [email protected] gerichtet werden.

10.3 Fristen

Servus KI bearbeitet Anliegen in der Regel innerhalb eines Monats.

11. Website und Cookies

11.1 Hosting

Web-Inhalte werden innerhalb der EU gehostet.

11.2 Analyse und Tracking

Google Analytics mit Consent Mode v2 sowie Meta Pixel werden nur nach Einwilligung über ein Cookie-Banner gesetzt.

11.3 Kontaktformulare

Kontaktformulare erfassen Name, E-Mail, Telefonnummer und Nachricht zur Bearbeitung von Anfragen.

12. KI-Testnummer Demo

12.1 Zweck

Die KI-Testnummer dient der Demonstration der Funktionsweise von Servus KI.

12.2 Rechtsgrundlage

Durch das aktive Anrufen der Demo-Nummer wird die Einwilligung zur Verarbeitung vorausgesetzt.

12.3 Löschung

Aufzeichnungen der Demo-Nummer werden nach vierzehn Tagen gelöscht.

13. Keine automatisierten Einzelentscheidungen und kein Profiling

Servus KI trifft keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung. Es findet kein Profiling statt.

14. Kontakt und Aufsichtsbehörde

14.1 Kontakt

[email protected].

14.2 Aufsichtsbehörde

Österreichische Datenschutzbehörde, Barichgasse 40–42, 1030 Wien. Website: https://www.dsb.gv.at.