Erstgespräch

Datenschutzerklärung

NovaData UG (haftungsbeschränkt) gemäß Art. 13, 14 Datenschutz-Grundverordnung (DSGVO) Version 2.1 | Stand Februar 2026 1. Präambel Mit dieser Datenschutzerklärung möchten wir Sie umfassend darüber informieren, wie, in welchem Umfang und zu welchen Zwecken personenbezogene Daten durch die NovaData UG (haftungsbeschränkt) verarbeitet werden. Dies umfasst insbesondere die Nutzung unseres Onlineangebots, einschließlich unserer Webseiten, mobilen Applikationen sowie externen Präsenzen in sozialen Netzwerken (nachfolgend zusammenfassend „Onlineangebot" genannt), und sämtliche im Rahmen unserer Geschäftstätigkeit durchgeführte Datenverarbeitungen. Diese Datenschutzerklärung richtet sich an alle betroffenen Personen, deren Daten durch uns verarbeitet werden, darunter insbesondere unsere Kunden, Interessenten, Geschäftspartner, Schulungsteilnehmer, Websitebesucher und Kommunikationspartner. Die verwendeten Begriffe sind geschlechtsneutral zu verstehen. 2. Verantwortlicher Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger datenschutzrechtlicher Bestimmungen ist: NovaData UG (haftungsbeschränkt) Vertreten durch den Geschäftsführer: Tim Rosen Geschäftsanschrift: 92348 Berg bei Neumarkt i.d.OPf., Bayern E-Mail: info@novadata-ki.de Internet: www.novadata-ki.de Impressum: www.novadata-ki.de/impressum 3. Übersicht der Datenverarbeitungen Die nachfolgende Übersicht stellt dar, welche Kategorien personenbezogener Daten wir zu welchen Zwecken verarbeiten und welche Gruppen von Personen davon betroffen sind. 3.1 Verarbeitete Datenarten - Bestandsdaten: z. B. Name, Anschrift, Geburtsdatum, Kundennummer - Kontaktdaten: z. B. E-Mail-Adresse, Telefonnummer, Postanschrift - Vertragsdaten: z. B. gebuchte Leistungen, Laufzeiten, Vereinbarungen - Zahlungsdaten: z. B. Bankverbindung, Rechnungsinformationen, Zahlungshistorie - Inhaltsdaten: z. B. Formulareingaben, Nachrichteninhalte, Projektdaten - Nutzungsdaten: z. B. besuchte Seiten, Klickpfade, Nutzungsdauer - Protokolldaten: z. B. IP-Adresse, Zeitstempel, Server-Logfiles - Standortdaten: z. B. bei Nutzung kartengestützter Dienste oder Standortfreigabe - Meta- und Kommunikationsdaten: z. B. Geräteinformationen, Browsertyp, Session-IDs 3.2 Kategorien betroffener Personen - (Potenzielle) Kunden und Auftraggeber - Schulungs- und Seminarteilnehmer - Geschäftspartner und Lieferanten - Nutzer und Besucher unserer Website und Plattformen - Kommunikationspartner (z. B. über E-Mail, Messenger, soziale Medien) 3.3 Zwecke der Verarbeitung - Erfüllung vorvertraglicher und vertraglicher Pflichten - Bereitstellung unseres Onlineangebots und IT-Infrastruktur - Kommunikation mit Interessenten, Kunden und Partnern - Durchführung von Online-Schulungen und Workshops - Zahlungsabwicklung und Rechnungsstellung - Sicherheitsmaßnahmen und Zugangskontrollen - Marketing, Direktwerbung und Kundenbindung - Webanalyse, Nutzungsstatistik, Reichweitenmessung - Öffentlichkeitsarbeit, insbesondere über soziale Netzwerke - Erfüllung gesetzlicher Aufbewahrungspflichten und Compliance 4. Rechtsgrundlagen der Datenverarbeitung Die Verarbeitung personenbezogener Daten erfolgt bei NovaData im Einklang mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie gegebenenfalls weiterer nationaler und europäischer Datenschutzvorschriften. Je nach Verarbeitungssituation und Zweck stützen wir uns auf die folgenden Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO – Einwilligung Die betroffene Person hat ihre freiwillige, informierte und unmissverständliche Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke erteilt. Beispiel: Anmeldung zum Newsletter, Einwilligung zu Cookies, Nutzung von Analyse- oder Tracking-Technologien. Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung oder vorvertragliche Maßnahmen Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person. Beispiel: Kundenkommunikation, Projektbearbeitung, Auftragsabwicklung, Rechnungsstellung. Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der NovaData unterliegt. Beispiel: steuerrechtliche Aufbewahrungspflichten, Buchhaltungspflichten nach HGB und AO. Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen oder der eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Beispiel: IT-Sicherheit, Webanalyse zur Optimierung der Nutzerfreundlichkeit, Direktwerbung gegenüber Bestandskunden, Durchsetzung rechtlicher Ansprüche. Art. 9 Abs. 2 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten In Einzelfällen – etwa bei Schulungsmaßnahmen mit gesundheitsbezogenen Angaben – erfolgt eine Verarbeitung besonderer Kategorien personenbezogener Daten nur unter den Voraussetzungen von Art. 9 Abs. 2 DSGVO, insbesondere bei ausdrücklicher Einwilligung oder rechtlicher Notwendigkeit. 5. Sicherheitsmaßnahmen Zum Schutz personenbezogener Daten ergreifen wir technische und organisatorische Maßnahmen (TOM) nach Maßgabe der gesetzlichen Vorgaben, insbesondere Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei berücksichtigen wir unter anderem den Stand der Technik, die Implementierungskosten, die Art, den Umfang und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schweregrade möglicher Risiken für die Rechte und Freiheiten der betroffenen Personen. Zu den zentralen Maßnahmen zählen insbesondere: - Zugriffskontrollen für interne und externe Systeme - SSL-/TLS-Verschlüsselung bei Datenübertragung über unsere Website - Schutz der Serverinfrastruktur durch Firewall- und Sicherheitstechnologien - Passwortschutz und Zwei-Faktor-Authentifizierung bei sensiblen Zugängen - Regelmäßige Schulungen für Mitarbeitende zu Datenschutz und Informationssicherheit - Protokollierung und Überwachung von Zugriffen auf Systeme und Daten - Erstellung von Lösch- und Berechtigungskonzepten nach dem Need-to-Know-Prinzip - Verfahren zur Wahrung von Betroffenenrechten (z. B. Auskunft, Löschung) SSL-/TLS-Verschlüsselung Unsere Website nutzt zur Sicherung der Datenübertragung moderne Verschlüsselungsverfahren (SSL bzw. TLS). Sie erkennen die verschlüsselte Verbindung an der Darstellung „https://" in der Adresszeile Ihres Browsers. Durch die Verschlüsselung können übertragene Inhalte – insbesondere Formulareingaben – nicht von Dritten mitgelesen werden. IP-Masking Sofern wir IP-Adressen verarbeiten, erfolgt dies ausschließlich in gekürzter (anonymisierter) Form, sodass ein direkter Personenbezug ausgeschlossen ist – etwa bei Einsatz von Webanalyse-Tools wie Google Analytics. Dabei wird der letzte Abschnitt der IP-Adresse systemseitig entfernt. 6. Übermittlung von personenbezogenen Daten Im Rahmen unserer geschäftlichen Tätigkeit kann es erforderlich sein, personenbezogene Daten an Dritte zu übermitteln oder offenzulegen. Eine Übermittlung erfolgt dabei ausschließlich auf Grundlage einer rechtlichen Erlaubnis, insbesondere wenn: - die Weitergabe zur Vertragserfüllung oder vorvertraglichen Maßnahme erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO), - eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO), - ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO besteht, etwa zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, oder - eine ausdrückliche Einwilligung vorliegt (Art. 6 Abs. 1 lit. a DSGVO). Empfänger oder Kategorien von Empfängern personenbezogener Daten können insbesondere sein: - IT-Dienstleister (z. B. Hosting, Wartung, Support) - Zahlungsdienstleister (z. B. PayPal) - Steuerberater und Wirtschaftsprüfer - Anbieter von Cloud- und Softwarelösungen (z. B. CRM, E-Mail-Tools) - Versand- und Logistikdienstleister (bei postalischer Kommunikation oder Dokumentversand) - Kooperationspartner im Rahmen vertraglich vereinbarter Leistungen - Behörden und öffentliche Stellen bei gesetzlicher Verpflichtung (z. B. Finanzbehörden) Vor der Weitergabe von Daten an externe Auftragsverarbeiter schließen wir gemäß Art. 28 DSGVO einen Vertrag zur Auftragsverarbeitung (AVV) ab. Darin verpflichten sich die Dienstleister zur Einhaltung der Datenschutzvorgaben und zum Schutz der übermittelten Daten. 6a. Externe Links und Verweise Unsere Website und Kommunikationsmedien können Links zu Websites Dritter enthalten. Beim Anklicken eines externen Links werden personenbezogene Daten (insbesondere Ihre IP-Adresse, der Zeitpunkt des Klicks sowie die Herkunftsseite) an den Betreiber der verlinkten Website übertragen. Für die dort stattfindende Datenverarbeitung sind wir nicht verantwortlich. Bitte beachten Sie, dass einzelne Links zu einer Datenübermittlung außerhalb des Europäischen Wirtschaftsraums führen können. Prüfen Sie daher vor dem Anklicken externer Links die jeweiligen Datenschutzerklärungen der Zielseiten. 7. Internationale Datentransfers Im Rahmen unserer Geschäftstätigkeit und der Nutzung bestimmter Dienste kann es zur Übermittlung personenbezogener Daten an Empfänger in sogenannten Drittstaaten außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) kommen. Eine Datenübermittlung in Drittstaaten erfolgt nur unter Einhaltung der besonderen Voraussetzungen der Art. 44 ff. DSGVO. Das bedeutet insbesondere: 7.1 Angemessenheitsbeschlüsse der EU-Kommission Die Übermittlung personenbezogener Daten kann auf Grundlage eines Angemessenheitsbeschlusses erfolgen, sofern die Europäische Kommission für das betreffende Drittland ein angemessenes Datenschutzniveau festgestellt hat. Beispiel: Datenübertragungen in die Schweiz, nach Kanada oder Japan. 7.2 EU-U.S. Data Privacy Framework (DPF) Für Übermittlungen in die USA greifen wir auf Anbieter zurück, die nach dem EU-U.S. Data Privacy Framework zertifiziert sind. Dies stellt gemäß Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 ein sicheres Datenschutzniveau sicher. Beispiel: Google LLC, Meta Platforms Inc., Microsoft Corporation. 7.3 Standardvertragsklauseln Sofern kein Angemessenheitsbeschluss besteht oder keine Zertifizierung nach dem DPF vorliegt, erfolgt die Datenübermittlung auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Diese wurden durch die Europäische Kommission bereitgestellt und verpflichten den Datenempfänger zu einem vergleichbaren Datenschutzniveau. 7.4 Weitere Maßnahmen Zur Absicherung Ihrer Daten ergreifen wir – je nach Anbieter – zusätzliche vertragliche, organisatorische oder technische Schutzmaßnahmen (z. B. Pseudonymisierung, Verschlüsselung, Zugriffsbegrenzung). 7.5 Transparenzhinweis Wir informieren im Rahmen dieser Datenschutzerklärung bei jedem eingesetzten Drittanbieter, ob dieser in einem Drittland sitzt, ob eine Zertifizierung nach dem DPF vorliegt oder ob Standardvertragsklauseln genutzt werden. Weitere Informationen zum DPF und zur Liste zertifizierter Unternehmen erhalten Sie unter: https://www.dataprivacyframework.gov/ 8. Aufbewahrung und Löschung von Daten Wir verarbeiten und speichern personenbezogene Daten grundsätzlich nur für den Zeitraum, der zur Erreichung des jeweiligen Verarbeitungszwecks erforderlich ist, oder solange gesetzliche Aufbewahrungsfristen dies vorschreiben. 8.1 Grundsätze der Datenlöschung Sobald der Zweck der Speicherung entfällt oder eine erteilte Einwilligung widerrufen wird und keine andere Rechtsgrundlage mehr besteht, werden die betreffenden Daten gelöscht oder anonymisiert. Eine Löschung unterbleibt nur dann, wenn wir zur weiteren Speicherung gesetzlich verpflichtet sind oder ein berechtigtes Interesse an der weiteren Aufbewahrung nachweisen können (z. B. zur Rechtsverteidigung). 8.2 Gesetzliche Aufbewahrungsfristen (Beispiele) - 10 Jahre für steuerlich relevante Daten wie Rechnungen, Buchungsbelege, Jahresabschlüsse (§ 147 AO, § 257 HGB) - 6 Jahre für Geschäftsbriefe und sonstige steuerlich relevante Unterlagen (§ 257 Abs. 1 Nr. 2 und 3 HGB) - 3 Jahre für Daten zur Abwehr möglicher Gewährleistungs- oder Schadenersatzansprüche (§§ 195, 199 BGB) - Längere Fristen bei laufenden Verfahren, behördlichen Anfragen oder gesetzlichen Sonderregelungen 8.3 Beginn der Fristen Aufbewahrungsfristen beginnen grundsätzlich mit dem Ende des Kalenderjahres, in dem das verarbeitungsrelevante Ereignis eingetreten ist (z. B. Beendigung des Vertragsverhältnisses, Ablauf der gesetzlichen Gewährleistung). 8.4 Einschränkung statt Löschung Falls gesetzliche oder vertragliche Aufbewahrungspflichten einer sofortigen Löschung entgegenstehen, wird die Verarbeitung der betreffenden Daten gesperrt bzw. auf den Zweck der Archivierung beschränkt. 9. Rechte der betroffenen Personen Als betroffene Person haben Sie gemäß der Datenschutz-Grundverordnung (DSGVO) umfassende Rechte hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten. Diese Rechte können Sie jederzeit gegenüber uns als verantwortliche Stelle geltend machen. 9.1 Recht auf Auskunft (Art. 15 DSGVO) Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten, die Sie betreffen, verarbeitet werden. Ist dies der Fall, haben Sie Anspruch auf Auskunft über diese Daten sowie weitere Informationen zur Verarbeitung. 9.2 Recht auf Berichtigung (Art. 16 DSGVO) Sie haben das Recht, unrichtige personenbezogene Daten berichtigen zu lassen und unvollständige Daten – auch durch ergänzende Erklärung – vervollständigen zu lassen. 9.3 Recht auf Löschung (Art. 17 DSGVO) Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der gesetzlich vorgesehenen Gründe vorliegt (z. B. Zweckentfall, Widerruf der Einwilligung, unrechtmäßige Verarbeitung). 9.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, z. B. wenn die Richtigkeit der Daten bestritten wird oder Sie Widerspruch eingelegt haben. 9.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder – soweit technisch machbar – deren Übermittlung an einen anderen Verantwortlichen zu verlangen. 9.6 Recht auf Widerspruch (Art. 21 DSGVO) Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, sofern diese auf Art. 6 Abs. 1 lit. e oder f DSGVO gestützt ist. Dies gilt auch für ein darauf basierendes Profiling. Der Widerspruch kann insbesondere gegen Direktwerbung erfolgen. 9.7 Widerrufsrecht bei Einwilligungen (Art. 7 Abs. 3 DSGVO) Sie haben das Recht, eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs bleibt unberührt. 9.8 Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Zuständig für NovaData ist: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 27, 91522 Ansbach Tel.: +49 (0) 981 180093-0 E-Mail: poststelle@lda.bayern.de Website: www.lda.bayern.de 10. Geschäftliche Leistungen Wir verarbeiten personenbezogene Daten unserer Kunden, Interessenten, Partnerunternehmen sowie Schulungs- und Veranstaltungsteilnehmer zur Anbahnung, Durchführung und Abwicklung unserer vertraglich vereinbarten Leistungen. Dazu gehören insbesondere: - Beratung im Bereich Künstlicher Intelligenz und Automatisierung - Entwicklung und Implementierung von KI-Agenten, Chatbots und Voice-Lösungen - Durchführung von Online-Schulungen, Workshops und Fachseminaren - Support-, Wartungs- und Weiterentwicklungsleistungen - Angebotserstellung, Projektkommunikation und -abwicklung 10.1 Verarbeitete Datenarten - Name, Firma, Adresse, Kontaktdaten (z. B. Telefonnummer, E-Mail-Adresse) - Vertragsdaten (z. B. Leistungsinhalt, Preise, Laufzeiten, Absprachen) - Zahlungsdaten (z. B. Bankverbindung, Rechnungen, Zahlungseingänge) - Inhaltsdaten aus Kommunikation, Workshops oder Projektdateien - Daten zur Teilnahme an Schulungs- und Weiterbildungsmaßnahmen 10.2 Zwecke der Verarbeitung - Erfüllung vertraglicher Pflichten (z. B. Leistungserbringung, Rechnungsstellung) - Dokumentation, Kommunikation und Qualitätssicherung - Durchführung von Schulungsmaßnahmen und Projektdokumentationen - Kundenservice, Betreuung und Nachverfolgung - Wahrung unserer Rechte (z. B. Geltendmachung von Ansprüchen) 10.3 Rechtsgrundlagen - Art. 6 Abs. 1 lit. b DSGVO (Vertrag und vorvertragliche Maßnahmen) - Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen, z. B. steuerrechtlich) - Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Geschäftsabwicklung) 10.4 Aufbewahrung Wir bewahren Geschäftsdaten gemäß handels- und steuerrechtlicher Vorgaben für bis zu 10 Jahre auf. Projektbezogene Daten werden – sofern nicht gesetzlich oder vertraglich anders geregelt – nach Ablauf von 4 Jahren gelöscht, es sei denn, es bestehen berechtigte Interessen (z. B. zur Rechtsverteidigung). 11. Zahlungsabwicklung und Zahlungsdienstleister Zur Abwicklung von Zahlungen im Rahmen vertraglicher Beziehungen setzen wir etablierte Zahlungsdienstleister ein. Die Verarbeitung personenbezogener Daten durch diese Dienstleister erfolgt eigenverantwortlich oder in gemeinsamer Verantwortung mit uns – abhängig vom technischen Ablauf. 11.1 Verarbeitete Datenarten - Name, Rechnungsanschrift - Zahlungsbetrag und Zahlungsreferenz - Zahlungsart (z. B. Banküberweisung, PayPal) - Konto- oder Kreditkartendaten (sofern erforderlich – nur durch den Zahlungsdienstleister) - Zeitstempel und Transaktions-ID - Kommunikations- und Metadaten (z. B. IP-Adresse) 11.2 Zweck der Verarbeitung - Durchführung und Bestätigung von Zahlungsvorgängen - Rechnungsstellung und Abgleich von Zahlungseingängen - Rückerstattungen und Zahlungsdokumentation - Missbrauchsprävention und Transaktionssicherheit 11.3 Eingesetzte Zahlungsdienstleister PayPal Dienstanbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxemburg Datenschutzerklärung: https://www.paypal.com/de/webapps/mpp/ua/privacy-full Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Zahlungsabwicklung) Banküberweisung Erfolgt die Zahlung per Überweisung, verarbeiten wir Kontoinhaber, IBAN, Verwendungszweck und Banknamen zur Zahlungsverbuchung. Eine Übermittlung dieser Daten erfolgt ausschließlich an unsere Hausbank. 11.4 Hinweis Bitte beachten Sie, dass die Zahlungsdienstleister eigenständige Verantwortliche im Sinne der DSGVO sind. Für die dort stattfindende Datenverarbeitung gelten deren eigene Datenschutzbestimmungen. 12. Bereitstellung des Onlineangebots und Webhosting Zur technischen Bereitstellung unserer Website sowie verbundenen Onlinefunktionen bedienen wir uns eines externen Hosting-Dienstleisters. Dabei werden Daten verarbeitet, die für den Betrieb und die Sicherheit der Onlinepräsenz erforderlich sind. 12.1 Verarbeitete Datenarten - IP-Adresse des Endgeräts - Datum und Uhrzeit des Zugriffs - Aufgerufene Seite oder Datei - Meldung über erfolgreichen Abruf - Referrer-URL (die zuvor besuchte Seite) - Browsertyp und -version - Betriebssystem - Provider (Hostname des zugreifenden Rechners) - Logfiles und technische Diagnosedaten 12.2 Zweck der Verarbeitung - Darstellung der Website-Inhalte - Sicherstellung eines stabilen und sicheren Serverbetriebs - Abwehr und Analyse von Angriffen (z. B. DDoS) - Protokollierung von Systemereignissen - IT-Fehlermanagement 12.3 Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb der Website und Systemstabilität) 12.4 Webhosting-Dienstleister IONOS SE Elgendorfer Straße 57, 56410 Montabaur Datenschutzerklärung: https://www.ionos.de/terms-gtc/terms-privacy Mit IONOS besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. 12.5 Speicherdauer Server-Logfiles werden automatisiert nach maximal 30 Tagen gelöscht, sofern keine sicherheitsrelevante Aufbewahrung zur Beweissicherung erforderlich ist. 13. Einsatz von Cookies und Einwilligungsmanagement Unsere Website verwendet Cookies und ähnliche Technologien, um bestimmte Funktionen bereitzustellen, die Nutzerfreundlichkeit zu verbessern und statistische Auswertungen zu ermöglichen. Einige dieser Technologien sind für den Betrieb der Website technisch erforderlich, andere benötigen Ihre vorherige Einwilligung. 13.1 Was sind Cookies? Cookies sind kleine Textdateien, die über Ihren Browser auf Ihrem Endgerät gespeichert werden. Sie enthalten Informationen, die beim nächsten Besuch automatisch wiedererkannt werden können. 13.2 Arten von Cookies Technisch notwendige Cookies: Erforderlich für den sicheren und funktionalen Betrieb der Website (z. B. Session-IDs, Sprachauswahl, Login-Status). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO Funktionale Cookies: Dienen der Optimierung von Bedienung und Darstellung (z. B. Merken von Eingaben, Präferenzen). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) Statistik-/Analyse-Cookies: Erfassen pseudonymisierte Nutzungsdaten zur Webanalyse und Verbesserung unseres Angebots. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) Marketing-/Tracking-Cookies: Ermöglichen personalisierte Werbung oder die Nachverfolgung von Nutzerverhalten über Websites hinweg. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) 13.3 Einwilligungsmanagement Beim ersten Besuch unserer Website wird ein Cookie-Banner eingeblendet, über das Sie Ihre Einwilligung gezielt erteilen oder verweigern können. Ihre Auswahl wird protokolliert und kann jederzeit über einen entsprechenden Link im Footer geändert werden. 13.4 Widerruf und Kontrolle Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Zusätzlich können Sie über die Einstellungen Ihres Browsers Cookies löschen oder blockieren. Hinweis: Bei Deaktivierung bestimmter Cookies kann die Funktionalität der Website eingeschränkt sein. 14. Registrierung, Nutzerkonto und Login-Bereich Für bestimmte Funktionen unseres Angebots, wie etwa die Nutzung von Schulungsplattformen, digitalen Workshops oder projektbasierten Kundenportalen, bieten wir registrierten Nutzern geschützte Zugänge in Form von Nutzerkonten an. 14.1 Verarbeitete Datenarten - Vor- und Nachname - E-Mail-Adresse - Benutzername und Passwort (verschlüsselt gespeichert) - Zeitstempel von An- und Abmeldungen - IP-Adresse zum Zeitpunkt der Registrierung und des Zugriffs - Kommunikationsdaten und Nutzungsprotokolle innerhalb des Kontos - ggf. weitere Profildaten (z. B. Position, Abteilung, Teilnahmehistorie) 14.2 Zwecke der Verarbeitung - Ermöglichung und Verwaltung von Nutzerkonten - Zugriffssteuerung auf gebuchte Inhalte, geschlossene Bereiche oder Projekte - Authentifizierung bei Anmeldungen - Schutz vor unbefugtem Zugriff und Missbrauch - Dokumentation der Nutzung (z. B. Schulungsteilnahmen, Fortschritte) 14.3 Rechtsgrundlagen - Art. 6 Abs. 1 lit. b DSGVO (Vertrag oder vorvertragliche Maßnahme) - Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Nutzerverwaltung und Missbrauchsprävention) 14.4 Sicherheit Die Passwörter werden ausschließlich in verschlüsselter Form gespeichert. IP-Adressen und Zeitstempel werden zur technischen Sicherung und zur Missbrauchserkennung vorübergehend protokolliert. 14.5 Löschung Nutzerkonten werden auf Wunsch des Nutzers oder spätestens 12 Monate nach endgültiger Beendigung der Vertragsbeziehung gelöscht, sofern keine gesetzliche Aufbewahrungspflicht oder ein berechtigtes Interesse dem entgegensteht. 15. Kontaktformulare und Kommunikation Wenn Sie mit uns in Kontakt treten – z. B. über ein Formular auf der Website, per E-Mail, Telefon oder soziale Medien – verarbeiten wir die von Ihnen bereitgestellten personenbezogenen Daten zur Bearbeitung Ihrer Anfrage. 15.1 Verarbeitete Datenarten - Name, Vorname - E-Mail-Adresse, Telefonnummer, Unternehmen (sofern angegeben) - Betreff und Nachrichtentext Ihrer Anfrage - Zeitstempel der Übermittlung - Kommunikationshistorie (bei fortlaufendem Austausch) - IP-Adresse und technische Metadaten (bei Formularübermittlung) 15.2 Zweck der Verarbeitung - Entgegennahme und Bearbeitung Ihrer Anfragen - Kommunikation mit Interessenten, Kunden und Partnern - Vorbereitung und Anbahnung geschäftlicher Beziehungen - Qualitätskontrolle, Dokumentation und Nachverfolgbarkeit 15.3 Rechtsgrundlagen - Art. 6 Abs. 1 lit. b DSGVO (Anbahnung oder Durchführung vertraglicher Beziehungen) - Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation und Dokumentation) 15.4 Speicherdauer Anfragen, die keinen Vertragsabschluss nach sich ziehen, löschen wir in der Regel spätestens 12 Monate nach dem letzten Kontakt. Bei bestehenden Kundenbeziehungen erfolgt die Speicherung im Rahmen der allgemeinen Aufbewahrungsfristen (siehe Abschnitt 8). 16. Kommunikation via Messenger-Dienste Zur schnellen, digitalen Kommunikation bieten wir zusätzlich zur klassischen E-Mail und Telefonie auch die Möglichkeit, über Messenger-Dienste (z. B. WhatsApp Business oder andere plattformbasierte Systeme) mit uns in Kontakt zu treten. Die Nutzung dieser Dienste erfolgt freiwillig. 16.1 Verarbeitete Datenarten - Name und Profilbild (sofern öffentlich oder übermittelt) - Telefonnummer oder Benutzerkennung im Dienst - Nachrichteninhalte (Text, Bild, Datei, Sprache) - Datum und Uhrzeit der Kommunikation - Geräte- und Verbindungsdaten (z. B. IP-Adresse, Mobilgerät) 16.2 Zweck der Verarbeitung - Direktkommunikation mit Interessenten, Kunden oder Projektpartnern - Vereinfachung von Anfragen, Terminabsprachen und Projektabwicklung - Reaktionsschnelligkeit im Support oder in der Angebotsphase 16.3 Rechtsgrundlagen - Art. 6 Abs. 1 lit. b DSGVO (Vertrag oder vorvertragliche Kommunikation) - Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, sofern freiwillig genutzt) - Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an schneller, moderner Kommunikation) 16.4 Sicherheit und Verschlüsselung Die meisten Messenger-Anbieter setzen Ende-zu-Ende-Verschlüsselung ein (z. B. WhatsApp). Dennoch weisen wir darauf hin, dass Anbieter auf Metadaten (z. B. wer wann mit wem kommuniziert) zugreifen können. Nutzen Sie Messenger bitte nur für nicht vertrauliche Anliegen. Für sensible Inhalte empfehlen wir E-Mail oder telefonische Kommunikation. 16.5 Widerruf Wenn Sie nicht wünschen, dass wir über einen bestimmten Messenger mit Ihnen kommunizieren, können Sie der Nutzung jederzeit widersprechen. Bestehende Daten aus bisherigen Konversationen werden dann gemäß Abschnitt 8 gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. 17. Newsletter und Direktmarketing Wir bieten Ihnen die Möglichkeit, regelmäßig Informationen über unser Leistungsangebot, Veranstaltungen, Fachbeiträge oder Sonderaktionen per E-Mail zu erhalten (nachfolgend „Newsletter"). Der Versand erfolgt ausschließlich nach freiwilliger Anmeldung und mit Ihrer ausdrücklichen Einwilligung. 17.1 Verarbeitete Datenarten - E-Mail-Adresse (Pflichtangabe) - Name (optional, zur personalisierten Ansprache) - Zeitpunkt der Anmeldung und Bestätigung (Double-Opt-in-Verfahren) - IP-Adresse und verwendeter Browser zum Zeitpunkt der Anmeldung - Öffnungs- und Klickverhalten (zur statistischen Auswertung) 17.2 Zweck der Verarbeitung - Versand informativer Inhalte und werblicher Angebote - Optimierung und Analyse der Reichweite (z. B. Themenrelevanz) - Dokumentation Ihrer Anmeldung und Einwilligung (Nachweispflicht) 17.3 Rechtsgrundlagen - Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) - Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizientem und interessenbasiertem Direktmarketing) 17.4 Anmeldung und Protokollierung Die Anmeldung zu unserem Newsletter erfolgt über ein sicheres Double-Opt-in-Verfahren. Dabei erhalten Sie nach Eingabe Ihrer E-Mail-Adresse eine Bestätigungsmail mit einem Aktivierungslink. Erst nach dessen Bestätigung erfolgt die Freischaltung für den Versand. Diese Daten werden zum Nachweis Ihrer Einwilligung protokolliert. 17.5 Widerruf (Opt-out) Sie können den Erhalt des Newsletters jederzeit mit Wirkung für die Zukunft abbestellen. Dazu finden Sie in jedem Newsletter einen entsprechenden Abmeldelink. Alternativ können Sie uns eine formlose Mitteilung per E-Mail an info@novadata-ki.de senden. Ihre Einwilligung wird dann gelöscht oder für zukünftige Zusendungen gesperrt. 17.6 Dienstleister Sofern wir externe Anbieter mit dem Versand des Newsletters beauftragen (z. B. Brevo, Mailchimp, CleverReach), erfolgt dies im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO. 18. Webanalyse, Monitoring und Optimierung Zur Verbesserung unserer Website, zur Messung von Reichweiten sowie zur nutzungsbasierten Optimierung unserer Inhalte setzen wir Analyse- und Statistikdienste ein. Die Verarbeitung erfolgt pseudonymisiert oder – sofern Sie zugestimmt haben – auch personenbezogen. 18.1 Verarbeitete Datenarten - IP-Adresse (gekürzt/pseudonymisiert) - Browsertyp, Betriebssystem, Bildschirmauflösung - Besuchte Seiten, Verweildauer, Absprungrate - Klickpfade, Scrolltiefe, Interaktionen - Verwendetes Endgerät und Herkunftsquelle (Referrer) 18.2 Zweck der Verarbeitung - Statistische Auswertung des Nutzerverhaltens - Technische und inhaltliche Optimierung unserer Website - Erkennung technischer Fehler und Nutzungshürden - Erfolgsmessung von Kampagnen und Content-Angeboten 18.3 Rechtsgrundlagen - Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Cookie-Banner) - Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an wirtschaftlichem Betrieb und Verbesserung) 18.4 Eingesetzte Dienste Google Analytics 4 Dienstanbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland IP-Anonymisierung: aktiviert (kein vollständiger Personenbezug) Standortdaten: nur aggregiert Datenübermittlung in die USA auf Basis des Data Privacy Framework Datenschutzerklärung: https://policies.google.com/privacy Widerspruch (Opt-out): https://tools.google.com/dlpage/gaoptout 18.5 Speicherdauer von Analyse-Daten Die durch Analyse-Tools erhobenen Daten werden anonymisiert bzw. nach spätestens 26 Monaten automatisch gelöscht. 19. Soziale Medien und externe Plattformen Wir unterhalten öffentlich zugängliche Profile und Präsenzen in sozialen Netzwerken, um dort mit Kunden, Interessenten, Fachpublikum oder Bewerbenden zu kommunizieren und über unsere Leistungen und Veranstaltungen zu informieren. 19.1 Verarbeitete Datenarten - Profildaten (z. B. Name, öffentliche Beiträge, Likes, Kommentare) - Kommunikationsinhalte (z. B. Nachrichten, Anfragen, Bewertungen) - Nutzungsdaten (z. B. Interaktionen, Seitenaufrufe, Verweildauer) - Geräteinformationen und Metadaten (z. B. IP-Adresse, Sprache, Uhrzeit) 19.2 Zweck der Verarbeitung - Öffentlichkeitsarbeit, Markenpflege und Kundenkommunikation - Reaktion auf Anfragen, Feedback oder Beschwerden - Einbindung von sozialen Netzwerken in unser Onlineangebot (z. B. via Plug-ins) 19.3 Rechtsgrundlagen - Art. 6 Abs. 1 lit. a DSGVO (Einwilligung – z. B. bei Interaktion, Kommentar oder Like) - Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Außendarstellung) 19.4 Gemeinsame Verantwortung mit Plattformbetreibern Für einige Verarbeitungen (z. B. „Page Insights" bei Facebook oder LinkedIn) besteht eine gemeinsame Verantwortlichkeit mit dem jeweiligen Anbieter gemäß Art. 26 DSGVO. Informationen hierzu finden Sie in den Datenschutzinformationen des jeweiligen Netzwerks. 19.5 Soziale Netzwerke, auf denen wir aktiv sind LinkedIn Anbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland Datenschutzerklärung: https://www.linkedin.com/legal/privacy-policy Instagram Anbieter: Meta Platforms Ireland Ltd., Merrion Road, Dublin 4, D04 X2K5, Irland Datenschutzerklärung: https://privacycenter.instagram.com/policy Facebook Anbieter: Meta Platforms Ireland Ltd., Merrion Road, Dublin 4, D04 X2K5, Irland Datenschutzerklärung: https://www.facebook.com/privacy/policy Xing Anbieter: New Work SE, Am Strandkai 1, 20457 Hamburg, Deutschland Datenschutzerklärung: https://privacy.xing.com/de/datenschutzerklaerung 19.6 Hinweis zur eigenverantwortlichen Datenverarbeitung Bitte beachten Sie, dass soziale Netzwerke auch eigenständig Daten ihrer Nutzer verarbeiten – z. B. für Marktforschung und Werbung. Auf diese Verarbeitung haben wir keinen Einfluss. Nähere Informationen erhalten Sie in den Datenschutzerklärungen der Plattformbetreiber. 20. Eingebettete Inhalte und Drittanbieter-Funktionen Wir binden in unser Onlineangebot Inhalte und Funktionselemente von Drittanbietern ein, um Ihnen eine ansprechende, funktionale und nutzerfreundliche Website bereitzustellen. Dies betrifft insbesondere Videos, Kartenmaterial, Schriftarten oder Skripte, die von externen Servern geladen werden. 20.1 Verarbeitete Datenarten - IP-Adresse - Geräteinformationen und Browserdaten - Nutzungsdaten (z. B. Ladezeit, Darstellungsfehler, Interaktionen) - Standortdaten (bei z. B. Google Maps) - ggf. Cookies der Drittanbieter 20.2 Zweck der Verarbeitung - Einbindung und Auslieferung externer Inhalte (z. B. Google Fonts, YouTube, Google Maps) - Steigerung der Nutzerfreundlichkeit und Interaktivität - Einheitliche Darstellung von Inhalten über alle Geräte hinweg - Verbesserung von Ladezeiten, Sicherheit und Darstellungskompatibilität 20.3 Rechtsgrundlagen - Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, sofern über Cookie-Banner erteilt) - Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch funktionierenden Website) 20.4 Eingesetzte Drittanbieter Google Fonts Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland Datenschutzerklärung: https://policies.google.com/privacy Hinweis: IP-Adresse wird an Google übertragen – kein Tracking oder Cookieeinsatz Google Maps Anbieter: Google Cloud EMEA Ltd., Dublin, Irland Datenschutzerklärung: https://policies.google.com/privacy Hinweis: Bei aktiver Nutzung wird Standortdatenverarbeitung durch Google möglich YouTube-Videos (eingebettet im erweiterten Datenschutzmodus) Anbieter: Google Ireland Ltd. (YouTube-Tochter), Dublin, Irland Datenschutzerklärung: https://policies.google.com/privacy jQuery / externe Skripte Funktion: Bibliotheken zur dynamischen Seitendarstellung Hinweis: Bei Nutzung können IP-Adressen an CDN-Server übermittelt werden 20.5 Hinweis zu Drittstaatenübermittlung Einige Anbieter (insbesondere Google) können Daten auf Servern außerhalb der EU verarbeiten. Die Übertragung erfolgt auf Basis des Data Privacy Frameworks oder Standardvertragsklauseln. 21. Änderungen und Aktualisierungen dieser Datenschutzerklärung Wir behalten uns vor, diese Datenschutzerklärung jederzeit unter Beachtung der geltenden Datenschutzvorschriften zu aktualisieren. Dies kann beispielsweise erforderlich sein bei: - der Einführung neuer Funktionen oder Dienste - rechtlichen oder technischen Änderungen - Erweiterung oder Anpassung unseres Leistungsangebots - geänderter Auslegung durch Aufsichtsbehörden oder Gerichte Die jeweils aktuelle Fassung der Datenschutzerklärung ist jederzeit auf unserer Website unter www.novadata-ki.de/datenschutz abrufbar. Wichtige Änderungen, bei denen eine Mitwirkungshandlung Ihrerseits (z. B. erneute Einwilligung) erforderlich wird, kommunizieren wir zusätzlich per E-Mail oder über Hinweise auf der Website. 22. Duale Rolle – NovaData als Verantwortlicher und Auftragsverarbeiter NovaData verarbeitet personenbezogene Daten je nach Kontext in unterschiedlichen Rollen. Diese Unterscheidung ist für die datenschutzrechtliche Verantwortlichkeit und Ihre Betroffenenrechte von wesentlicher Bedeutung. 22.1 NovaData als Verantwortlicher Für folgende Verarbeitungen ist NovaData selbst verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO: - Kunden- und Vertragsverwaltung (Stammdaten, Kontaktdaten, Login-Daten) - Abrechnung und Zahlungsabwicklung (Tarife, Rechnungen, Zahlungsstatus) - Betrieb und Sicherheit unserer Plattformen und Infrastruktur (Nutzungsdaten, Logs, IP-Adressen) - Support-Kommunikation (Tickets, E-Mails, Gesprächsprotokolle) - Marketing und Öffentlichkeitsarbeit (Newsletter, Social Media, Website-Analyse) Für diese Verarbeitungen gelten die in den vorstehenden Abschnitten 1–21 dargestellten Informationen, Rechtsgrundlagen und Betroffenenrechte. 22.2 NovaData als Auftragsverarbeiter Im Rahmen der Entwicklung und des Betriebs von KI-Systemen (Voice Agents, Chatbots, Automatisierungslösungen) im Kundenauftrag handelt NovaData als Auftragsverarbeiter gemäß Art. 28 DSGVO. In dieser Rolle verarbeiten wir personenbezogene Daten ausschließlich auf Weisung des jeweiligen Kunden (Verantwortlicher). Mit jedem Kunden, in dessen Auftrag wir personenbezogene Daten verarbeiten, schließen wir einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ab. Dieser regelt insbesondere Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen. Hinweis für Endkunden und Anrufer: Wenn Sie mit einem von NovaData betriebenen Voice Agent oder Chatbot interagieren, ist der jeweilige Auftraggeber (unser Kunde) Verantwortlicher für die Verarbeitung Ihrer Daten. Bitte wenden Sie sich für Auskünfte, Löschungsanfragen oder andere Betroffenenrechte primär an den jeweiligen Auftraggeber. NovaData unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 28 Abs. 3 lit. e DSGVO. 23. Verarbeitung im Rahmen von KI- und Telefonie-Diensten Als spezialisierte KI-Agentur setzt NovaData im Rahmen ihrer Dienstleistungen verschiedene Systeme der Künstlichen Intelligenz sowie Telefonie-Infrastruktur ein. Dieser Abschnitt informiert umfassend über die damit verbundenen Datenverarbeitungen. 23.1 Eingesetzte KI-Systeme und Unterauftragnehmer Im Rahmen unserer Leistungserbringung – insbesondere bei der Entwicklung und dem Betrieb von Voice Agents, Chatbots und Workflow-Automatisierungen – setzen wir folgende Dienste ein: Retell AI | Retell AI, Inc. | USA (DPF) | Voice-Agent-Plattform, Sprachverarbeitung OpenAI (GPT) | OpenAI, L.L.C. | USA (DPF) | Sprachmodelle für Chatbots und Textgenerierung Anthropic Claude | Anthropic, PBC | USA (SCCs) | Sprachmodelle (LLM) ElevenLabs | ElevenLabs, Inc. | USA (DPF) | Sprachsynthese (Text-to-Speech) Make.com | Celonis SE | EU (Prag, CZ) | Workflow-Automatisierung Twilio | Twilio Inc. / GmbH | DE / USA (DPF) | Telefonie-Infrastruktur, Rufnummern Google Cloud | Google Cloud EMEA Ltd. | EU (Dublin, IE) | Cloud-Infra, STT/TTS, ggf. KI-Modelle Supabase | Supabase, Inc. | EU (Frankfurt) | Datenbank und Backend-Infrastruktur VAPI | Vapi AI, Inc. | USA (DPF) | Voice-Agent-Plattform Vonage | Vonage (Ericsson) | EU / USA (DPF) | Telefonie- und Kommunikations-API Google Gemini | Google Cloud EMEA Ltd. | EU (Dublin, IE) | KI-Sprachmodelle (LLM) Grok | xAI Corp. | USA (SCCs) | KI-Sprachmodelle (LLM) DeepSeek | DeepSeek AI, Ltd. | China (SCCs) | KI-Sprachmodelle (LLM) n8n | n8n GmbH | EU (Berlin, DE) | Workflow-Automatisierung Botpress | Botpress, Inc. | Kanada (Angemessenheit) | Chatbot-Entwicklungsplattform Voiceflow | Voiceflow, Inc. | Kanada (Angemessenheit) | Conversational-AI-Design Chatbase | Chatbase, Inc. | USA (DPF) | KI-Chatbot-Plattform Chatdash | Chatdash | EU | Chatbot-Dashboard und -Verwaltung Lovable.dev | Lovable AB | EU (Stockholm, SE) | KI-gestützte Webentwicklung Nanobanana | Nanobanana | EU | KI-Bildgenerierung Runway | Runway AI, Inc. | USA (DPF) | KI-Video- und Bildgenerierung fal.ai | fal.ai, Inc. | USA (SCCs) | KI-Inferenz-Infrastruktur Freepik | Freepik Company, S.L. | EU (Málaga, ES) | KI-Bildgenerierung und Stockmedien OnePage.io | OnePage.io | EU | Landing-Page-Builder NovaData CORE | NovaData UG (Eigenentw.) | EU (DE) | CRM-System (Eigenentwicklung) NovaData CONTROL | NovaData UG (Eigenentw.) | EU (DE) | Finanzmanagement- und Planungstool NovaData GO | NovaData UG (Eigenentw.) | EU (DE) | Projektmanagement-Tool Der Zusatz „sofern ausgewählt" gilt für KI-Modelle und Plattformen (OpenAI, Anthropic, Google Gemini, Grok, DeepSeek, Botpress, Voiceflow, Chatbase, VAPI u. a.), deren Einsatz je nach Kundenanforderung variiert. Die übrigen Dienste werden standardmäßig oder projektbezogen eingesetzt. NovaData CORE, CONTROL und GO sind Eigenentwicklungen der NovaData UG und werden auf EU-Servern betrieben. 23.2 Telefonie und Voice-Agent-Verarbeitung Im Rahmen der Telefonie verarbeiten wir als Auftragsverarbeiter folgende Datenkategorien: Verkehrsdaten - Beteiligte Rufnummern (Anrufer und Zielrufnummer) - Beginn, Ende und Dauer des Gesprächs - Technische Ereignisse (Verbindungsaufbau, Routing, Weiterleitungen) Diese Daten werden zur Gesprächsdurchführung, zum Routing sowie zur Anzeige von Statistiken im Kundenkonto verarbeitet. Gesprächsinhalte und KI-Verarbeitung - Spracherkennung (Speech-to-Text): Umwandlung gesprochener Sprache in Text zur Echtzeitverarbeitung durch KI-Modelle - Dialogsteuerung (LLM): Analyse des Gesprächskontexts und Generierung kontextbezogener Antworten - Sprachsynthese (Text-to-Speech): Generierung natürlicher Sprachausgaben für den Voice Agent Gesprächsinhalte werden in Echtzeit verarbeitet. Eine dauerhafte Speicherung von Audio-Aufzeichnungen oder Transkripten erfolgt nur, wenn der Kunde dies ausdrücklich aktiviert. Fernmeldegeheimnis und Aufzeichnungen Die Vertraulichkeit der Kommunikation (Fernmeldegeheimnis) wird gemäß § 3 TDDDG gewahrt. Aufzeichnungen von Gesprächen sind ausschließlich bei vorheriger Einwilligung aller Beteiligten zulässig (Art. 6 Abs. 1 lit. a DSGVO; § 201 StGB). NovaData unterstützt die Einholung der Einwilligung technisch (z. B. durch automatisierte Ansagen zu Gesprächsbeginn). 23.3 Keine Nutzung personenbezogener Daten für KI-Training Wichtiger Hinweis: Personenbezogene Daten unserer Kunden und deren Endkunden werden zu keinem Zeitpunkt für das Training, Fine-Tuning oder die Verbesserung von KI-Modellen verwendet. Alle eingesetzten KI-Dienste werden ausschließlich im Inferenz-Modus (Abfragemodus) betrieben. Wir haben mit allen KI-Anbietern vertragliche Vereinbarungen geschlossen, die eine Nutzung übermittelter Daten für Trainingszwecke ausdrücklich ausschließen. Eine Re-Identifizierung anonymisierter Daten wird nicht versucht. NovaData trifft geeignete technische und organisatorische Maßnahmen, um eine Identifizierbarkeit praktisch auszuschließen. 23.4 Automatisierte Entscheidungsfindung (Art. 22 DSGVO) Die von NovaData eingesetzten KI-Systeme dienen typischerweise der Kategorisierung, Weiterleitung oder Terminierung von Anfragen. Diese automatisierten Verarbeitungen entfalten keine rechtliche Wirkung gegenüber betroffenen Personen und haben keine ähnlich erheblichen Auswirkungen im Sinne von Art. 22 Abs. 1 DSGVO. Es findet keine vollständig automatisierte Entscheidungsfindung statt. Alle KI-gestützten Ergebnisse unterliegen der menschlichen Überprüfung und Steuerung (Human-in-the-Loop). Soweit in Ausnahmefällen erhebliche Auswirkungen in Betracht kommen, stellt der jeweilige Auftraggeber eine angemessene menschliche Überprüfung sicher. 23.5 Transparenz gegenüber Endnutzern NovaData verpflichtet sich zur Transparenz beim Einsatz von KI-Systemen gemäß den Anforderungen der Verordnung (EU) 2024/1689 (EU AI Act). Endnutzer werden über den Einsatz von KI informiert – beispielsweise durch einen automatisierten Hinweis zu Beginn eines Gesprächs mit einem Voice Agent oder einen sichtbaren Vermerk in Chatbot-Interfaces. 23.6 Drittlandtransfers bei KI-Diensten Mehrere der eingesetzten KI-Anbieter haben ihren Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage folgender Garantien: - EU-U.S. Data Privacy Framework (DPF): Für zertifizierte Anbieter (Retell AI, OpenAI, ElevenLabs, Twilio, Google) gemäß Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023. - EU-Standardvertragsklauseln (SCCs): Für Anbieter ohne DPF-Zertifizierung (z. B. Anthropic) gemäß Art. 46 Abs. 2 lit. c DSGVO. - Ergänzende Maßnahmen: Verschlüsselung, Pseudonymisierung, vertragliche Zusicherungen zum Datenzugriff und Zugriffsbegrenzung. 24. Speicherfristen für KI- und Telefonie-Daten Ergänzend zu den allgemeinen Aufbewahrungsfristen in Abschnitt 8 gelten für KI- und Telefonie-bezogene Daten folgende spezifische Fristen: Verkehrs-/Verbindungsdaten (Rufnummern, Zeitstempel): Bis zu 6 Monate zu Abrechnungs- und Nachweiszwecken Echtzeit-Sprachverarbeitung (STT/LLM/TTS): Keine dauerhafte Speicherung – Verarbeitung ausschließlich in Echtzeit Audio-Aufzeichnungen (sofern aktiviert): Standard: max. 90 Tage; kundenseitig konfigurierbar inkl. Auto-Delete Transkripte (sofern aktiviert): Standard: max. 90 Tage; kundenseitig konfigurierbar inkl. Auto-Delete Admin- und Nutzungslogs: 12 Monate, danach Löschung oder Anonymisierung Abrechnungsdaten: 10 Jahre gem. § 257 HGB, § 147 AO Projektdokumentation: 4 Jahre nach Projektabschluss, sofern nicht gesetzlich anders geregelt Löschungen werden protokolliert (ohne Inhalte). Auf Wunsch des Kunden können kürzere Aufbewahrungsfristen vereinbart werden, sofern keine gesetzlichen Pflichten entgegenstehen. 25. EU AI Act Compliance NovaData orientiert sich bereits heute an den Anforderungen der Verordnung (EU) 2024/1689 (EU AI Act). Unsere KI-Systeme werden regelmäßig hinsichtlich Risikoklassifizierung, Transparenzpflichten und Dokumentationsanforderungen überprüft. Maßnahmen umfassen insbesondere: - Risikoklassifizierung aller eingesetzten KI-Systeme gemäß Art. 6 EU AI Act - Transparenzpflichten gegenüber Endnutzern (Kennzeichnung von KI-generierten Inhalten) - Dokumentation der eingesetzten Modelle, Trainingsdaten-Ausschlüsse und Sicherheitsmaßnahmen - Regelmäßige Überprüfung und Anpassung an neue regulatorische Anforderungen Weitere Informationen hierzu finden Sie in unserem Qualitätssicherungssystem-Handbuch (Dokument QSH-001). 26. Kontakt bei Datenschutzfragen Bei Fragen oder Anliegen zum Datenschutz erreichen Sie uns unter: NovaData UG (haftungsbeschränkt) Geschäftsführer: Tim Rosen E-Mail: info@novadata-ki.de Telefon: +49 (0) 9189 414 6887 Internet: www.novadata-ki.de
Produkte
KI-Agentur
Services
Kontakt
Telefonnummer
+49 9189 4146887
KI-Sprachassistent
+49 9189 6633991
E-Mail
info@novadata-ki.de
© 2026 NovaData UG (haftungsbeschränkt). Alle Rechte vorbehalten.