Datenschutzerklärung — SignalVoice

1. Verantwortlicher

Dipl.Ing. Christian A. Bartnik, BSc (WU)
Marisa-Mell-Gasse 3/1, A-1230 Wien, Österreich
E-Mail: hey.signalvoice@gmail.com
Telefon: +43 664 200 4982

2. Überblick der Datenverarbeitungen

SignalVoice ist eine KI-gestützte Plattform für automatisierte Telefonie (Outbound- und Inbound-Calls). Im Rahmen des Betriebs verarbeiten wir folgende Kategorien personenbezogener Daten:

Kontodaten: E-Mail-Adresse, Passwort (gehasht), Name (optional)
Lead-Daten: Vor-/Nachname, Telefonnummer, Firmenname, Notizen — eingegeben durch den Kunden
Gesprächsdaten: Transkripte, Gesprächsdauer, Ergebnis (Termin, Rückruf, etc.)
Telefonnummern: Twilio-Nummern, die dem Kunden zugewiesen werden
Nutzungsdaten: Login-Zeitpunkte, IP-Adressen (für Rate Limiting), Session-Daten
Zahlungsdaten: Werden direkt bei Stripe verarbeitet (nicht bei uns gespeichert)

3. Rechtsgrundlagen

Verarbeitung	Rechtsgrundlage
Kontoerstellung und -verwaltung	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Durchführung von Anrufen	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Lead-Daten (eingegeben durch Kunden)	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Kunden)
Gesprächstranskripte	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Anrufaufzeichnung (optional)	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — zu Beginn des Gesprächs)
E-Mail-Versand (Verifizierung, Reset)	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Rate Limiting (IP-Speicherung)	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Sicherheit)

4. Auftragsverarbeiter und Drittanbieter

Wir setzen folgende Drittanbieter als Auftragsverarbeiter ein:

Anbieter	Zweck	Standort
Microsoft Azure (OpenAI, Speech)	Spracherkennung (STT), Sprachsynthese (TTS), LLM	Germany West Central (Frankfurt)
DigitalOcean	Server-Hosting	Frankfurt, DE
Twilio	SIP-Telefonie, SMS-Versand	Frankfurt, EU
LiveKit	Echtzeit-Audio-Infrastruktur	Self-hosted (Frankfurt, DE)
Google (OAuth)	Optionale Anmeldung via Google	EU
Gmail SMTP	Transaktionale E-Mails	EU

Alle KI-Dienste (STT, TTS, LLM) werden ausschließlich über Azure-Rechenzentren in der EU (Frankfurt) betrieben. Es findet keine Datenübermittlung in Drittstaaten statt.

5. Anrufaufzeichnung und DSGVO-Hinweis

Anrufaufzeichnungen sind optional und standardmäßig deaktiviert. Wenn ein Kunde die Aufzeichnung aktiviert:

Der KI-Agent informiert den Angerufenen zu Beginn des Gesprächs über die Aufzeichnung.
Die Einwilligung wird verbal eingeholt (Art. 6 Abs. 1 lit. a DSGVO).
Aufzeichnungen werden auf Servern in der EU gespeichert.
Aufzeichnungen werden nach der konfigurierbaren Aufbewahrungsfrist automatisch gelöscht.

Gesprächstranskripte werden für die Auswertung und das Gesprächsprotokoll gespeichert. Sie enthalten keine Audiodaten, sondern nur den verschriftlichten Text.

6. Speicherdauer

Datenart	Speicherdauer
Kontodaten	Bis zur Kontolöschung
Lead-Daten	Bis zur Löschung durch den Kunden
Gesprächstranskripte	Bis zur Löschung durch den Kunden
Anrufaufzeichnungen	Konfigurierbar (Standard: nicht aktiviert)
Session-/Login-Daten	30 Tage
Rate-Limiting-Daten (IP)	Maximal 1 Stunde

7. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

Auskunft (Art. 15) — Welche Daten verarbeiten wir über Sie?
Berichtigung (Art. 16) — Korrektur unrichtiger Daten
Löschung (Art. 17) — Recht auf Vergessenwerden
Einschränkung (Art. 18) — Einschränkung der Verarbeitung
Datenübertragbarkeit (Art. 20) — Export Ihrer Daten
Widerspruch (Art. 21) — Widerspruch gegen die Verarbeitung
Widerruf der Einwilligung (Art. 7 Abs. 3) — Jederzeit ohne Angabe von Gründen

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hey.signalvoice@gmail.com.

Sie haben das Recht, bei der Österreichischen Datenschutzbehörde (dsb.gv.at) Beschwerde einzulegen.

8. Cookies

SignalVoice verwendet ausschließlich technisch notwendige Cookies (Session-Cookie für die Anmeldung). Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Ein Cookie-Banner ist daher gemäß DSGVO nicht erforderlich.

9. Datensicherheit

Verschlüsselte Datenübertragung (TLS/HTTPS)
Passwörter werden gehasht gespeichert (PBKDF2)
Rate Limiting gegen Brute-Force-Angriffe
Zugangsbeschränkung durch Rollen (Admin/Editor/Viewer)
Server ausschließlich in EU-Rechenzentren