Datenschutzerklärung

Verantwortlicher im Sinne der DSGVO:

Wir verarbeiten personenbezogene Daten im Rahmen unseres KI-Telefonassistenten-Dienstes. Folgende Daten können betroffen sein:

• Bestandsdaten (Name, Firma, E-Mail-Adresse, Telefonnummer)
• Inhaltsdaten (Gesprächsinhalte, Transkriptionen, Zusammenfassungen)
• Nutzungsdaten (Anrufzeiten, Anrufdauer, Login-Zeitpunkte)
• Zahlungsdaten (Zahlungsinformationen werden durch Stripe verarbeitet)
• Meta-/Kommunikationsdaten (IP-Adresse, Geräteinformationen, Browser-Typ)

Betroffene Personen:

• Kunden (Nutzer des Dashboards und des KI-Telefonassistenten-Dienstes) — Rechtsgrundlage ist in der Regel Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• Anrufer (Personen, die bei einer durch Yumita verwalteten Telefonnummer anrufen) — Rechtsgrundlage ist in der Regel Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Kunden an der Entgegennahme und Dokumentation von Anrufen).

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Anrufer werden zu Beginn des Gesprächs darauf hingewiesen, dass das Gespräch aufgezeichnet wird. Die Einwilligung erfolgt aktiv durch Tastendruck im Sprachmenü (IVR). Ohne Zustimmung wird das Gespräch ohne Aufzeichnung weitergeleitet.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist erforderlich für die Erfüllung des Vertrags zwischen Yumita und dem Kunden (Bereitstellung des KI-Telefonassistenten-Dienstes). Diese Rechtsgrundlage gilt ausschließlich im Verhältnis Yumita–Kunde.
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Verarbeitung zur Erfüllung steuerlicher und handelsrechtlicher Aufbewahrungspflichten.
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Verarbeitung von Anrufer-Daten zur Entgegennahme und Dokumentation von Anrufen im Auftrag des Kunden, zur Qualitätssicherung und zur Verbesserung des Dienstes. Das berechtigte Interesse liegt in der Sicherstellung einer zuverlässigen Dienstleistung für den Kunden. Anrufer können diesem jederzeit widersprechen (siehe Betroffenenrechte).

Wir setzen externe Dienstleister (Auftragsverarbeiter) ein, die in unserem Auftrag personenbezogene Daten verarbeiten. Mit allen Dienstleistern wurden Auftragsverarbeitungsverträge (AVV) bzw. Data Processing Agreements (DPA) gemäß Art. 28 DSGVO geschlossen. Dies betrifft insbesondere:

• Supabase Inc. — Datenbank und Authentifizierung
• Vercel Inc. — Hosting der Webanwendung
• Vapi Inc. — KI-Telefonie-Plattform
• Deepgram Inc. — Spracherkennung (Speech-to-Text)
• ElevenLabs Inc. — Sprachsynthese (Text-to-Speech)
• Twilio Inc. — Telefonie-Infrastruktur und SMS
• Stripe Inc. — Zahlungsabwicklung

Die Auftragsverarbeiter sind vertraglich verpflichtet, personenbezogene Daten nur nach unserer Weisung zu verarbeiten und angemessene technische und organisatorische Maßnahmen zum Schutz der Daten zu treffen.

Unsere Webanwendung wird auf folgenden Plattformen betrieben:

a) Vercel (Hosting)

Die Webanwendung wird bei Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Vercel verarbeitet dabei technisch bedingt IP-Adressen und Meta-Daten der Website-Besucher. Die Datenverarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. f DSGVO. Vercel ist unter dem EU-US Data Privacy Framework zertifiziert. Mit Vercel wurde ein DPA geschlossen.

Weitere Informationen: Vercel Datenschutzerklärung

b) Supabase (Datenbank und Authentifizierung)

Für Datenbank und Nutzer-Authentifizierung nutzen wir Supabase Inc. (Sitz: Singapur). Unsere Datenbank befindet sich auf einem Server in Frankfurt am Main, Deutschland (EU). Gespeichert werden Kontodaten, Anrufinformationen, Zusammenfassungen und Konfigurationen. Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Kunden bzw. Art. 6 Abs. 1 lit. f DSGVO für Anrufer-Daten. Mit Supabase wurde ein DPA geschlossen.

Weitere Informationen: Supabase Datenschutzerklärung

Bei der Registrierung für unseren Dienst erheben wir folgende Daten:

• Name und Firmenname
• E-Mail-Adresse
• Telefonnummer
• Branche
• Gewählter Tarif (Solo, Business, Enterprise)

Diese Daten sind für die Bereitstellung des Dienstes erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Authentifizierung erfolgt über Supabase Auth. Passwörter werden gehasht gespeichert und sind für uns nicht einsehbar.

Der Kern unseres Dienstes ist die KI-gestützte Telefonie. Dabei kommen folgende Drittanbieter zum Einsatz. Die Verarbeitung erfolgt für Kunden auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), für Anrufer auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Entgegennahme und Dokumentation von Anrufen).

a) Vapi.ai (KI-Telefonie-Plattform)

Vapi.ai (Vapi Inc., USA) steuert die KI-Gesprächsführung. Dabei werden Audiodaten des Gesprächs in Echtzeit verarbeitet, um den KI-Assistenten zu steuern. Audiodaten werden von Vapi nicht dauerhaft gespeichert. Mit Vapi wurde ein DPA geschlossen.

Weitere Informationen: Vapi.ai Datenschutzerklärung

b) Deepgram (Speech-to-Text)

Deepgram Inc. (USA) wird für die Transkription der Gespräche (Umwandlung von Sprache in Text) eingesetzt. Die Audiodaten werden in Echtzeit verarbeitet und nicht dauerhaft bei Deepgram gespeichert. Mit Deepgram wurde ein DPA geschlossen.

Weitere Informationen: Deepgram Datenschutzerklärung

c) ElevenLabs (Text-to-Speech)

ElevenLabs Inc. (USA) erzeugt die Sprachausgabe des KI-Assistenten (Text-to-Speech). Die generierten Audiodaten werden in Echtzeit an den Anrufer übermittelt und nicht dauerhaft bei ElevenLabs gespeichert. Mit ElevenLabs wurde ein DPA geschlossen.

Weitere Informationen: ElevenLabs Datenschutzerklärung

d) Twilio (Telefonie-Infrastruktur und SMS)

Twilio Inc. (101 Spear Street, Suite 500, San Francisco, CA 94105, USA) stellt die Telefonie-Infrastruktur bereit. Über Twilio werden eingehende Anrufe geroutet, Notfall-Weiterleitungen durchgeführt und Rückruf-SMS versendet. Dabei werden Telefonnummern, Anrufzeiten und SMS-Inhalte verarbeitet. Twilio ist unter dem EU-US Data Privacy Framework zertifiziert. Mit Twilio wurde ein DPA geschlossen.

Weitere Informationen: Twilio Datenschutzerklärung

Die Aufzeichnungen werden verwendet für:

• Erstellung strukturierter Zusammenfassungen für den Kunden
• Qualitätssicherung und Verbesserung des KI-Assistenten
• Dokumentation bei Streitfällen (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO)

Die Aufzeichnungen und Transkriptionen werden in unserer Supabase-Datenbank in Frankfurt (EU) gespeichert. Kunden können Anrufdaten über das Dashboard löschen (Funktion "Erledigt & Löschen"). Dabei werden die personenbezogenen Daten vollständig entfernt und nur ein anonymisierter Datensatz zu statistischen Zwecken aufbewahrt.

Unser KI-Telefonassistent führt eine automatisierte Dringlichkeits-Klassifizierung (Urgency) eingehender Anrufe durch. Dabei wird das Anliegen des Anrufers automatisch in eine von vier Dringlichkeitsstufen eingeteilt:

Diese Klassifizierung erfolgt automatisiert durch künstliche Intelligenz anhand des Gesprächsinhalts. Es handelt sich dabei nicht um eine Entscheidung im Sinne von Art. 22 Abs. 1 DSGVO, da keine rechtliche Wirkung gegenüber dem Anrufer entfaltet wird — die Klassifizierung dient ausschließlich der internen Priorisierung für den Kunden.

Dennoch haben Betroffene das Recht, die automatisierte Einstufung anzufechten und eine manuelle Überprüfung durch unseren Kunden oder durch uns zu verlangen. Wenden Sie sich dazu an yusuf@yumita.net.

Telegram-Benachrichtigungen

Nach jedem Anruf wird dem Kunden eine strukturierte Zusammenfassung über den Messengerdienst Telegram (Telegram FZ LLC, Dubai, Vereinigte Arabische Emirate) zugestellt. Dabei werden Anrufzusammenfassungen (Name des Anrufers, Anliegen, Dringlichkeit) über die Telegram-Bot-API übermittelt. Die Nutzung von Telegram ist für die Kunden optional und erfolgt auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der zeitnahen Information des Kunden).

Hinweis: Telegram hat seinen Sitz in den VAE (siehe Abschnitt Drittlandtransfer). Kunden können alternativ ausschließlich das Dashboard zur Einsicht der Anrufe nutzen.

Weitere Informationen: Telegram Datenschutzerklärung

Die Zahlungsabwicklung erfolgt über Stripe Inc. (510 Townsend Street, San Francisco, CA 94103, USA). Bei Zahlungsvorgängen werden Zahlungsdaten (z.B. Kreditkartendaten, IBAN) direkt von Stripe verarbeitet. Wir haben keinen Zugriff auf vollständige Zahlungsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Mit Stripe wurde ein DPA geschlossen.

Weitere Informationen: Stripe Datenschutzerklärung

Unsere Webanwendung verwendet ausschließlich technisch notwendige Cookies. Diese sind für den Betrieb der Anwendung erforderlich und können nicht deaktiviert werden.

Folgende Cookies werden eingesetzt:

Es werden keine Marketing-, Tracking- oder Analyse-Cookies eingesetzt. Der Zugriff auf Ihr Endgerät erfolgt gemäß § 25 Abs. 2 TDDDG (technisch erforderlich). Die anschließende Verarbeitung basiert auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit der Anwendung).

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist:

Nach Ablauf der Aufbewahrungsfristen werden die Daten automatisch gelöscht oder anonymisiert. Bei den eingesetzten Drittanbietern (Vapi, Deepgram, ElevenLabs) werden Audiodaten in Echtzeit verarbeitet und nicht dauerhaft gespeichert. Details zu den Speicherpraktiken der jeweiligen Anbieter finden Sie in deren Datenschutzerklärungen (siehe oben verlinkt).

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, welche personenbezogenen Daten wir über Sie gespeichert haben.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Anrufdaten können jederzeit über die Funktion "Erledigt & Löschen" im Dashboard gelöscht werden.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Basis von Art. 6 Abs. 1 lit. f DSGVO jederzeit widersprechen. Wir werden die Verarbeitung dann einstellen, sofern keine zwingenden schutzwürdigen Gründe vorliegen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen (z.B. zur Gesprächsaufzeichnung) können jederzeit mit Wirkung für die Zukunft widerrufen werden.
• Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei der für Ihren Wohnort zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Die für den Verantwortlichen zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, Website: www.lda.bayern.de, E-Mail: poststelle@lda.bayern.de.

Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten vor Verlust, Missbrauch und unberechtigtem Zugriff zu schützen:

• Verschlüsselte Datenübertragung (TLS/SSL) für alle Verbindungen
• Datenbank-Zugriffskontrolle über Row Level Security (RLS) in Supabase
• Passwort-Hashing für gespeicherte Authentifizierungsdaten
• Datenspeicherung in der EU (Supabase Frankfurt)
• Regelmäßige Sicherheitsupdates und Prüfungen
• Zugriffsbeschränkung auf personenbezogene Daten nach dem Prinzip der Datenminimierung

Einige der eingesetzten Dienstleister haben ihren Sitz außerhalb der EU/des EWR:

a) USA (Vercel, Stripe, Twilio, Vapi.ai, Deepgram, ElevenLabs)

Die Datenübermittlung in die USA erfolgt auf Basis des EU-US Data Privacy Framework (soweit der jeweilige Anbieter zertifiziert ist) bzw. auf Basis von Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

b) Singapur (Supabase)

Supabase Inc. hat seinen Unternehmenssitz in Singapur. Die EU hat für Singapur einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO erlassen. Unsere Datenbank befindet sich zudem physisch in Frankfurt (EU).

c) Vereinigte Arabische Emirate (Telegram)

Telegram FZ LLC hat seinen Sitz in Dubai, VAE. Die Datenübermittlung erfolgt auf Basis der Einwilligung des Kunden (Art. 49 Abs. 1 lit. a DSGVO), da der Kunde die Telegram-Benachrichtigung aktiv konfiguriert. Die Nutzung von Telegram ist optional — Kunden können alternativ ausschließlich das Dashboard nutzen.

Die Benennung eines Datenschutzbeauftragten ist nach § 38 BDSG nicht erforderlich, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Für Datenschutzfragen wenden Sie sich bitte direkt an: yusuf@yumita.net

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die aktuelle Version ist stets auf dieser Seite abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

Letzte Aktualisierung: März 2026