Datenschutzerklärung

1. Verantwortlicher und Datenschutzbeauftragter

1.1 Verantwortlicher

Verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO:

Weitere Angaben entnehmen Sie bitte den Impressumsangaben auf unseren Webseiten.

1.2 Datenschutzbeauftragter

Wir haben einen externen Datenschutzbeauftragten bestellt. Diesen erreichen Sie unter:

2. Allgemeines zur Datenverarbeitung

2.1 Rechtsgrundlagen

Für die Verarbeitung personenbezogener Daten kommen insbesondere die folgenden Rechtsgrundlagen in Betracht:

• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung der betroffenen Person.
• Art. 6 Abs. 1 lit. b DSGVO: Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen.
• Art. 6 Abs. 1 lit. c DSGVO: Erfüllung einer rechtlichen Verpflichtung.
• Art. 6 Abs. 1 lit. f DSGVO: Wahrung berechtigter Interessen, sofern die Interessen der betroffenen Person nicht überwiegen.
• Art. 9 Abs. 2 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten (siehe Abschnitt 5).

2.2 Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die Erfüllung der jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Gesetzliche Aufbewahrungsfristen ergeben sich insbesondere aus § 257 HGB und § 147 AO und betragen bis zu zehn Jahre. Nach Ablauf der jeweiligen Fristen werden die Daten gelöscht oder gesperrt.

2.3 Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um Ihre Daten gegen Manipulation, Verlust, Zerstörung oder unbefugten Zugriff zu schützen. Unsere Sicherheitsmaßnahmen werden unter Berücksichtigung des Stands der Technik fortlaufend verbessert. Die primäre Datenverarbeitung erfolgt auf Servern in Deutschland (Hetzner Online GmbH, Standort Deutschland).

2.4 Datenübermittlung in Drittländer

Im Rahmen der Nutzung unserer Dienste kann es zu Datenübermittlungen in die USA kommen. Für diese Übermittlungen besteht der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF) gem. Art. 45 Abs. 1 DSGVO. Unsere US-Dienstleister sind unter dem DPF zertifiziert. Ergänzend werden Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen, um ein angemessenes Datenschutzniveau sicherzustellen.

2.5 Keine automatisierte Entscheidungsfindung

Wir setzen keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO ein.

3. Datenverarbeitung beim Besuch unserer Webseite

3.1 Hosting und Server-Logfiles

Unsere Webseite wird auf einem eigenen Server gehostet. Bei jedem Aufruf werden automatisiert folgende Daten erhoben:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Seite
• Referrer-URL
• Browsertyp, -version und Betriebssystem
• Übertragene Datenmenge und Zugriffsstatus

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technisch fehlerfreien Bereitstellung und Sicherheit unserer Webseite.

Hosting-Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.

Speicherdauer: Server-Logfiles werden für maximal 30 Tage gespeichert und anschließend gelöscht.

3.2 Cookies

Unsere Webseite verwendet technisch notwendige Cookies, um die Funktionsfähigkeit sicherzustellen. Technisch nicht notwendige Cookies werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig) bzw. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO (einwilligungsbasiert).

3.3 Kontaktaufnahme

Wenn Sie uns per E-Mail oder Kontaktformular kontaktieren, werden die von Ihnen mitgeteilten Daten (Name, E-Mail-Adresse, Inhalt der Nachricht) zur Bearbeitung Ihrer Anfrage gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

Speicherdauer: Nach abschließender Bearbeitung der Anfrage werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

3.4 Analyse und Marketing

Soweit wir auf unserer Webseite Analyse- oder Marketing-Tools einsetzen, erfolgt dies ausschließlich auf Grundlage Ihrer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen auf unserer Webseite widerrufen. Eine aktuelle Liste der eingesetzten Tools kann jederzeit bei uns angefragt werden.

4. Datenverarbeitung im Rahmen der Voice-AI-Plattform

Im Folgenden informieren wir über die Verarbeitung personenbezogener Daten bei der Nutzung unserer KI-gestützten Voice-AI-Plattform (nachfolgend „Plattform“). Die Plattform ermöglicht unseren gewerblichen Kunden den Einsatz eines KI-Telefonie-Assistenten für eingehende und ausgehende Telefongespräche.

4.1 Rollenverteilung im Datenschutz

Promocura als Auftragsverarbeiter: Wenn Sie als Anrufer (Endkunde) mit dem KI-Telefonie-Assistenten eines unserer gewerblichen Kunden telefonieren, ist der jeweilige gewerbliche Kunde der datenschutzrechtlich Verantwortliche (Art. 4 Nr. 7 DSGVO). Promocura agiert in diesem Zusammenhang ausschließlich als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die Verarbeitung erfolgt auf Weisung des jeweiligen gewerblichen Kunden.

Promocura als Verantwortlicher: Für die Verarbeitung personenbezogener Daten im Rahmen unserer eigenen Geschäftstätigkeit (z.B. Webseite, CRM, Vertragsverwaltung) sind wir selbst Verantwortlicher.

Bitte wenden Sie sich bei Fragen zu Zweck, Umfang oder Dauer der Verarbeitung Ihrer Daten im Zusammenhang mit einem Telefonat an das Unternehmen, bei dem Sie angerufen haben oder das Sie angerufen hat. Dieses Unternehmen ist als Verantwortlicher für die Verarbeitung Ihrer Daten zuständig.

4.2 Verarbeitete Daten bei Nutzung der Plattform

Im Rahmen der Bereitstellung der Plattform werden folgende Kategorien personenbezogener Daten auf Weisung des jeweiligen gewerblichen Kunden verarbeitet:

• Technische Verbindungsdaten: Telefonnummer des Anrufers, Zeitpunkt und Dauer des Gesprächs, technische Verbindungsparameter.
• Transkripte: Der gesprochene Inhalt des Telefonats wird in Echtzeit in Text umgewandelt (Speech-to-Text). Es erfolgt keine dauerhafte Speicherung von Audioaufnahmen. Ausschließlich das Texttranskript und zugehörige Metadaten werden gespeichert.
• Metadaten: Informationen zur Konfiguration des KI-Assistenten, Gesprächsstatus, Weiterleitungsinformationen.
• Vom Anrufer mitgeteilte Daten: Alle Informationen, die Sie dem KI-Assistenten im Gespräch mitteilen (z.B. Name, Anliegen, Terminwünsche).

4.3 Zweck der Datenverarbeitung

Die Verarbeitung der genannten Daten erfolgt ausschließlich zu folgenden Zwecken:

• Bereitstellung und Durchführung des KI-Telefonie-Assistenten im Auftrag des gewerblichen Kunden
• Echtzeit-Transkription von Gesprächsinhalten
• Weiterleitung von Gesprächszusammenfassungen und Transkripten an den gewerblichen Kunden
• Technische Bereitstellung und Fehlerbehebung der Plattform

4.4 Rechtsgrundlage

Die Verarbeitung personenbezogener Daten im Rahmen der Auftragsverarbeitung erfolgt auf Grundlage des zwischen Promocura und dem jeweiligen gewerblichen Kunden geschlossenen Auftragsverarbeitungsvertrags gem. Art. 28 DSGVO. Die Rechtsgrundlage für die Verarbeitung durch den gewerblichen Kunden (als Verantwortlichen) ergibt sich in der Regel aus Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erreichbarkeit und Bearbeitung von Kundenanliegen).

4.5 Eingesetzte Auftragsverarbeiter (Sub-Processors)

Für die Erbringung unserer Dienstleistungen setzen wir die folgenden Auftragsverarbeiter ein, mit denen jeweils Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen wurden:

Eine aktuelle Liste unserer Auftragsverarbeiter kann jederzeit bei uns angefragt werden. Änderungen der eingesetzten Auftragsverarbeiter werden unseren gewerblichen Kunden rechtzeitig mitgeteilt.

4.6 Speicherdauer

Transkripte und Metadaten werden entsprechend den Weisungen des jeweiligen gewerblichen Kunden gespeichert und gelöscht. Der gewerbliche Kunde kann die Aufbewahrungsfristen in der Plattform selbst konfigurieren. Technische Verbindungsdaten werden für maximal 30 Tage zur Fehlerbehebung vorgehalten. Nach Vertragsende werden alle Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Unsere Plattform wird unter anderem von Unternehmen und Praxen aus dem Gesundheitswesen eingesetzt. In diesem Kontext können in Telefongesprächen und den daraus entstehenden Transkripten besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO verarbeitet werden, insbesondere Gesundheitsdaten.

Wichtiger Hinweis: Die Verantwortung für die rechtmäßige Verarbeitung besonderer Kategorien personenbezogener Daten liegt beim jeweiligen gewerblichen Kunden als Verantwortlichem. Dieser hat sicherzustellen, dass eine geeignete Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO vorliegt — beispielsweise:

• Art. 9 Abs. 2 lit. a DSGVO: Ausdrückliche Einwilligung der betroffenen Person.
• Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG: Verarbeitung für Zwecke der Gesundheitsvorsorge, medizinische Diagnostik oder Behandlung.

Promocura unterstützt seine gewerblichen Kunden durch angemessene technische und organisatorische Maßnahmen (TOMs) bei der Einhaltung der erhöhten Schutzanforderungen für besondere Datenkategorien. Hierzu gehören insbesondere:

• Verschlüsselte Datenübertragung (TLS) für alle Kommunikationswege
• Hosting und Speicherung in deutschen Rechenzentren (Hetzner, Standort Deutschland)
• Strikte Zugriffskontrolle und Protokollierung
• Keine dauerhafte Speicherung von Audioaufnahmen — ausschließlich Transkripte
• Regelmäßige Überprüfung der technischen und organisatorischen Maßnahmen

6. Hinweis für Berufsgeheimnisträger (§ 203 StGB)

Unsere Plattform richtet sich unter anderem an Berufsgeheimnisträger im Sinne von § 203 StGB, insbesondere Ärzte, Steuerberater und Notare. Diese unterliegen einer strafrechtlich geschützten Schweigepflicht.

Die Einschaltung von Promocura als technischem Dienstleister ist datenschutzrechtlich über den Auftragsverarbeitungsvertrag (Art. 28 DSGVO) und strafrechtlich über § 203 Abs. 3 StGB abgesichert. Danach ist die Offenbarung fremder Geheimnisse an sonstige mitwirkende Personen zulässig, sofern diese ordnungsgemäß zur Geheimhaltung verpflichtet wurden.

Promocura stellt sicher, dass:

• alle Mitarbeiter und Sub-Auftragsverarbeiter, die Zugang zu geheimhaltungsbedürftigen Daten haben, nach § 203 Abs. 4 S. 2 Nr. 1 StGB i.V.m. § 53 StPO zur Geheimhaltung verpflichtet werden
• die Verpflichtung auch auf die eingesetzten Sub-Auftragsverarbeiter (ElevenLabs, Twilio, Hetzner) durch entsprechende vertragliche Regelungen erstreckt wird
• technische Maßnahmen getroffen werden, um den Zugang zu geheimhaltungsbedürftigen Daten auf das erforderliche Minimum zu beschränken

Das vollständige § 203 StGB-Konzept einschließlich der Verpflichtungserklärungen und der Dokumentation der Sub-Processor-Kette wird gewerblichen Kunden aus dem Bereich der Berufsgeheimnisträger auf Anfrage zur Verfügung gestellt. Einzelheiten werden im Auftragsverarbeitungsvertrag (AVV) geregelt.

7. Datenverarbeitung im Rahmen der B2B-Applikation

7.1 Kundenregistrierung und Kontoverwaltung

Bei der Registrierung für unsere Plattform erheben wir:

• Identifikationsdaten (Name, Vorname)
• Kontaktdaten (E-Mail-Adresse, Telefonnummer)
• Unternehmensdaten (Firmenname, Anschrift, Branche)
• Authentifizierungsdaten (E-Mail, verschlüsseltes Passwort)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Hosting: Hetzner Online GmbH, Standort Deutschland.

7.2 Konfiguration und Verwaltung des KI-Assistenten

Im Rahmen der Nutzung unserer Plattform verarbeiten wir:

• KI-Prompts und andere KI-bezogene Konfigurationsdaten
• Telefonnummern-Konfigurationen
• Technische Zugangsdaten (z.B. API-Keys)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.3 Zahlungsabwicklung

Für die Abwicklung von Zahlungen nutzen wir den Dienst Stripe. Stripe verarbeitet dabei Zahlungs- und Rechnungsdaten als eigenständiger Verantwortlicher bzw. als Auftragsverarbeiter.

Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).

Nähere Informationen finden Sie in der Stripe Privacy Policy unter stripe.com/de/privacy.

7.4 Kundenverwaltung (CRM)

Zur Verwaltung unserer Kundenbeziehungen nutzen wir Go HighLevel.

Anbieter: HighLevel Inc., 400 N Saint Paul St, Dallas, TX 75201, USA.

Verarbeitete Daten: Identifikationsdaten, Kontaktdaten, Kommunikationsdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Kundenverwaltung).

Drittlandtransfer: USA — Absicherung durch Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO.

8. Ihre Rechte als betroffene Person

Ihnen stehen folgende Rechte bezüglich der Verarbeitung Ihrer personenbezogenen Daten zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung unter bestimmten Voraussetzungen verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf Art. 6 Abs. 1 lit. e oder lit. f DSGVO beruht.
• Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
• Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer zuständigen Datenschutz-Aufsichtsbehörde zu beschweren.

Alle Rechte können über die oben genannten Kontaktdaten geltend gemacht werden.

9. Hinweis für Anrufer (Endkunden)

Wenn Sie als Anrufer mit einem KI-Telefonie-Assistenten telefoniert haben, der auf unserer Plattform basiert, möchten wir Sie auf Folgendes hinweisen:

Die Verantwortung für die Verarbeitung Ihrer personenbezogenen Daten liegt bei dem Unternehmen, das Sie angerufen haben oder das Sie angerufen hat. Dieses Unternehmen hat als Verantwortlicher eigene Datenschutzhinweise bereitzuhalten. Bitte wenden Sie sich bei allen Fragen zum Datenschutz — einschließlich Auskunfts-, Löschungs- oder Widerspruchsanfragen — direkt an dieses Unternehmen.

Promocura verarbeitet Ihre Daten ausschließlich als Auftragsverarbeiter auf Weisung des jeweiligen Unternehmens und gibt Ihre Daten nicht zu eigenen Zwecken weiter.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen, technische Änderungen oder Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Version ist auf unserer Webseite einsehbar.