Datenschutzerklärung

1. Verantwortlicher

echofront UG
Adresse siehe Impressum
E-Mail: datenschutz@echofront.ai

2. Übersicht der Datenverarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

• Bestandsdaten (z. B. Namen, Adressen)
• Kontaktdaten (z. B. E-Mail, Telefonnummern)
• Inhaltsdaten (z. B. Eingaben in Formularen)
• Nutzungsdaten (z. B. besuchte Seiten, Zugriffszeiten)
• Meta-/Kommunikationsdaten (z. B. IP-Adressen, Geräteinformationen)

Kategorien betroffener Personen

• Nutzer der Anwendung (registrierte Mitarbeiter und Geschäftspartner)

3. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf Grundlage folgender Rechtsgrundlagen:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Bereitstellung der Anwendung und ihrer Funktionen.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Sicherheit, Missbrauchsschutz, Analyse zur Verbesserung der Anwendung.
• Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – Erfüllung gesetzlicher Aufbewahrungspflichten.

4. Zugang zur Anwendung

Die Nutzung der Anwendung erfordert eine Registrierung und Anmeldung. Im Rahmen der Anmeldung verarbeiten wir:

• E-Mail-Adresse
• Passwort (verschlüsselt gespeichert)
• IP-Adresse und Zeitstempel der Anmeldung (Login-Historie)
• Gewählte Spracheinstellung

Login-Historien werden nach 6 Monaten automatisch gelöscht.

5. CRM- und Geschäftsdaten

Im Rahmen der Nutzung der CRM-Funktionen werden folgende Daten verarbeitet:

• Kontaktdaten und Account-Informationen
• Aktivitäten, Notizen und Follow-Ups
• Dokumente und Angebote
• Kalenderanbindungen
• Aufgaben und Marketingkampagnen

6. Hosting und technische Bereitstellung

Die Anwendung wird auf Servern innerhalb der EU gehostet. Beim Zugriff werden automatisch Server-Logfiles erstellt, die folgende Daten enthalten:

• IP-Adresse des zugreifenden Rechners
• Datum und Uhrzeit der Anfrage
• Angeforderte Ressource
• HTTP-Statuscode
• Browser-Typ und -Version

7. Session-Cookies

Wir verwenden technisch notwendige Session-Cookies, um die Anmeldung und Sitzungsverwaltung zu ermöglichen. Diese Cookies werden verschlüsselt übertragen und enthalten keine personenbezogenen Daten im Klartext. Sie werden nach Ablauf der Sitzung gelöscht.

8. Einsatz von Auftragsverarbeitern und Drittdiensten

Zur Bereitstellung der Anwendung setzen wir die folgenden Dienstleister als Auftragsverarbeiter ein. Mit jedem Dienstleister besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Alle statischen Ressourcen (Schriftarten, Bibliotheken, Stylesheets) werden lokal von unseren Servern geladen – es findet keine Datenübermittlung durch das Laden externer Ressourcen statt.

8.1 OpenAI (USA)

Zweck: KI-gestützte Textgenerierung, Assistenten-Funktionen und Text-to-Speech.
Verarbeitete Daten: Nutzereingaben (Prompts), generierte Antworten, hochgeladene Dokumente.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Drittlandtransfer: USA – auf Basis der EU-Standardvertragsklauseln (SCCs) und des DPA von OpenAI.
Anbieter: OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA.

8.2 Google Gemini API (USA/EU)

Zweck: KI-gestützte Audio-Transkription, Text-to-Speech und Textgenerierung.
Verarbeitete Daten: Audiodaten, Nutzereingaben, generierte Antworten.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Drittlandtransfer: Datenverarbeitung kann in den USA erfolgen – auf Basis der EU-Standardvertragsklauseln und des Google Cloud DPA.
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

8.3 Google Calendar API (USA/EU)

Zweck: Synchronisation von Kalendereinträgen mit Google Calendar.
Verarbeitete Daten: Kalenderereignisse (Titel, Zeitraum, Teilnehmer), OAuth-Zugangstokens.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

8.4 ElevenLabs (USA)

Zweck: Hochwertige Text-to-Speech-Synthese.
Verarbeitete Daten: Texteingaben zur Sprachsynthese, generierte Audiodateien.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Drittlandtransfer: USA – auf Basis der EU-Standardvertragsklauseln und des ElevenLabs DPA.
Anbieter: ElevenLabs, Inc., USA.

8.5 VAPI (USA)

Zweck: KI-gestützte Telefonie und Sprachassistenten.
Verarbeitete Daten: Telefonnummern, Gesprächsinhalte (Audio und Transkription), Anrufdauer und -zeitpunkte.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Drittlandtransfer: USA – auf Basis der EU-Standardvertragsklauseln und des VAPI DPA.
Anbieter: VAPI, Inc., USA.

8.6 Microsoft Azure AD & Microsoft Graph (EU/USA)

Zweck: Single Sign-On (SSO), E-Mail-Synchronisation und Kalenderintegration über Microsoft 365.
Verarbeitete Daten: E-Mail-Adresse, Name, Authentifizierungstokens, E-Mail-Inhalte, Kalendereinträge.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Drittlandtransfer: Primär EU-Rechenzentren; Drittlandtransfer auf Basis des Microsoft DPA und SCCs.
Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.

8.7 Salesforce (USA/EU)

Zweck: Synchronisation von CRM-Daten (Opportunities, Kontakte, Accounts) mit Salesforce.
Verarbeitete Daten: Geschäftskontaktdaten, Opportunity-Daten, Account-Informationen.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Drittlandtransfer: EU-Instanz bevorzugt; Drittlandtransfer auf Basis des Salesforce DPA und SCCs.
Anbieter: Salesforce, Inc., Salesforce Tower, 415 Mission Street, San Francisco, CA 94105, USA.

8.8 Amazon Web Services – S3 (EU)

Zweck: Speicherung von Dateien und Medieninhalten.
Verarbeitete Daten: Hochgeladene Dateien (Dokumente, Bilder, Medien).
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Serverstandort: EU (Frankfurt).
Anbieter: Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg.

8.9 Pusher (EU/USA)

Zweck: Echtzeit-Kommunikation über WebSockets (z. B. Chat, Live-Benachrichtigungen).
Verarbeitete Daten: IP-Adresse, Verbindungsmetadaten, übertragene Nachrichteninhalte.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Drittlandtransfer: EU-Cluster bevorzugt; Drittlandtransfer auf Basis des Pusher DPA und SCCs.
Anbieter: MessageBird B.V. (Pusher), Trompenburgstraat 2C, 1079 TX Amsterdam, Niederlande.

9. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO folgende Rechte:

• Auskunftsrecht (Art. 15 DSGVO) – Sie können jederzeit eine Kopie Ihrer gespeicherten Daten anfordern. Nutzen Sie dafür die Funktion Datenexport in Ihrem Benutzerkonto unter /gdpr/export.
• Recht auf Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer personenbezogenen Daten verlangen. Nutzen Sie dafür die Funktion Konto löschen unter /gdpr/delete.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Der Datenexport erfolgt im maschinenlesbaren JSON-Format.
• Widerspruchsrecht (Art. 21 DSGVO)

10. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

11. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten zu schützen:

• Verschlüsselte Datenübertragung (TLS/SSL)
• Verschlüsselte Session-Cookies
• Passwörter werden ausschließlich als Hash-Werte gespeichert
• Eingeschränkte CORS-Richtlinien
• Automatische Löschung von Login-Historien nach 6 Monaten

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen der Anwendung anzupassen. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Stand: März 2026