Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website:

2. Welche Daten sammeln wir?

Wir sammeln folgende Daten:

2.1 Chatbot-Daten

• Nachrichten: An den Chatbot gesendete Kundennachrichten
• Kontaktdaten: Telefonnummern und E-Mail-Adressen (sofern angegeben)
• Gesprächsmetadaten: Zeitstempel, Kanal (Web/WhatsApp), Unternehmens-ID
• KI-Antworten: Vom KI-Modell generierte Antworten
• Tool-Nutzung: Welche Tools (z.B. Verfügbarkeitsprüfung, Buchungserstellung) verwendet wurden

2.2 Buchungsdaten

• Name, E-Mail, Telefonnummer
• Buchungstermine und ausgewählte Dienstleistungen
• Zahlungsinformationen (falls zutreffend)

2.3 Google-Kalender-Daten (bei aktivierter Integration)

• OAuth-Zugriffstoken: Verschlüsselt gespeicherter Refresh-Token für den Zugriff auf den Google-Kalender des Mitarbeiters (AES-256-GCM)
• Kalenderereignisse: Hebelki erstellt, aktualisiert und löscht Termine im Google-Kalender des Mitarbeiters (Dienstleistung, Kundenname, Uhrzeit)
• Verfügbarkeitsdaten: Abfrage von Frei/Belegt-Zeiten zur Vermeidung von Terminüberschneidungen (nur Zeitfenster, keine Ereignisdetails)

2.4 Technische Daten

• IP-Adresse (anonymisiert)
• Browser-Typ und -Version
• Zugriffszeitpunkt

3. Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)

Die Verarbeitung personenbezogener Daten erfolgt stets auf Grundlage einer Rechtsgrundlage der DSGVO:

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

• Cookie-Einstellungen (Analyse- und Marketing-Cookies)
• Newsletter und Marketing-Kommunikation
• Analyse der Websitenutzung (sofern aktiviert)

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

• Terminbuchung und -verwaltung
• Kundenkonto und Benutzerverwaltung
• Zahlungsabwicklung über Stripe
• E-Mail-Bestätigungen und Terminerinnerungen

Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung)

• Steuerrechtliche Aufbewahrungspflichten (Rechnungen, Buchungsbelege)
• Handelsrechtliche Dokumentationspflichten

Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)

• IT-Sicherheit und Schutz vor Missbrauch
• Betrugsverhinderung und Erkennung verdächtiger Aktivitäten
• Verbesserung und Optimierung der Plattform
• Anonymisierte KI-Trainingsverbesserung

Art. 9 Abs. 2 lit. a DSGVO (Gesundheitsdaten)

Soweit bei der Buchung von Gesundheitsdienstleistungen (z.B. Physiotherapie, medizinische Behandlungen) besondere Kategorien personenbezogener Daten verarbeitet werden, erfolgt dies ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.

4. Wie verwenden wir Ihre Daten?

• Chatbot-Service: Zur Beantwortung von Anfragen und Buchungsverwaltung
• KI-Training: Zur Verbesserung der KI-Genauigkeit (anonymisiert)
• Kundensupport: Bei Problemen oder Anfragen
• Rechtliche Verpflichtungen: Zur Erfüllung gesetzlicher Anforderungen

5. Datenspeicherung & Aufbewahrung

Andere Daten werden gespeichert, bis:

• Sie eine Löschung beantragen (Recht auf Vergessenwerden)
• Der Speicherzweck entfällt
• Gesetzliche Aufbewahrungsfristen ablaufen

6. Datenstandort & Drittanbieter

Wir setzen folgende Dienstleister (Auftragsverarbeiter) ein. Für Übermittlungen in Drittländer bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO sowie Auftragsverarbeitungsverträge (DPA):

Eine vollständige Liste aller Unterauftragsverarbeiter finden Sie unter /legal/unterauftragsverarbeiter.

7. Ihre Rechte (DSGVO)

Sie haben folgende Rechte:

8. WhatsApp-Kommunikation

8.1 Dienstleister

WhatsApp-Nachrichten werden je nach Konfiguration des jeweiligen Unternehmens über einen der folgenden Dienstleister verarbeitet:

• Twilio Inc. (USA) — WhatsApp Business API via Twilio-Infrastruktur. Datenschutzvereinbarung (DPA) mit SCCs.
• Meta Platforms Ireland Ltd (EU/USA) — WhatsApp Cloud API. Meta ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Datenschutzvereinbarung: Meta Data Processing Terms.

8.2 Verarbeitete Datenkategorien

• Telefonnummer
• Nachrichteninhalte (Text, Bilder, Sprachnachrichten)
• Zeitstempel und Zustellungsbestätigungen
• Lesebestätigungen
• Opt-In/Opt-Out-Status

8.3 Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Terminbestätigungen, Servicekommunikation) oder Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — bei erstmaliger geschäftlicher Kontaktaufnahme durch das Unternehmen).

8.4 Opt-In & Opt-Out

• Opt-In: Vor der ersten geschäftlich initiierten Nachricht ist eine ausdrückliche Einwilligung erforderlich. Bei Kundenanfragen (kundenseitig initiiert) ergibt sich die Rechtsgrundlage aus der Vertragsanbahnung.
• Opt-Out: Antworten Sie mit "STOP", um keine weiteren Nachrichten zu erhalten.
• Opt-In erneut: Antworten Sie mit "START", um sich erneut anzumelden.
• Wir speichern Ihren Opt-In/Opt-Out-Status und Zeitstempel zur Compliance-Nachverfolgung.

8.5 Speicherung & Verschlüsselung

WhatsApp-Nachrichten werden auf unseren selbst gehosteten Servern in Deutschland (Hetzner, Nürnberg) für maximal 90 Tage gespeichert. Die Übertragung zwischen Ihrem Gerät und den WhatsApp-Servern ist Ende-zu-Ende verschlüsselt (WhatsApp Signal-Protokoll). WhatsApp-Daten werden von Meta nicht für Werbezwecke oder Modelltraining verwendet.

8.6 KI-Verarbeitung

Nachrichten über WhatsApp können durch unseren KI-Assistenten verarbeitet werden (Google Vertex AI, EU — Niederlande). Der Chatbot kennzeichnet sich gemäß EU AI Act (Art. 50) als KI-System. Details zur KI-Verarbeitung finden Sie in Abschnitt 4.

Weitere Informationen: WhatsApp Datenschutzrichtlinie

8b. Telefonanrufe (Voice)

8b.1 Dienstleister

Telefonanrufe werden durch einen KI-Sprachassistenten verarbeitet, der auf unserer eigenen Infrastruktur (Hetzner, Deutschland) betrieben wird.

8b.2 Verarbeitete Datenkategorien

• Telefonnummer des Anrufers
• Sprachdaten (Audioaufnahme des Gesprächs)
• Gesprächstranskript
• Gesprächsdauer und Zeitstempel
• Buchungsdaten (sofern eine Buchung erfolgt)

8b.3 Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Terminbuchung per Telefon) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — effiziente Kundenbetreuung).

8b.4 KI-Offenlegung (EU AI Act Art. 50)

Anrufer werden zu Beginn des Gesprächs darüber informiert, dass sie mit einem KI-Sprachassistenten kommunizieren. Auf Wunsch kann eine Weiterleitung an einen menschlichen Mitarbeiter erfolgen.

8b.5 Speicherung

Gesprächstranskripte und Anrufdaten werden auf unseren selbst gehosteten Servern in Deutschland (Hetzner, Nürnberg) für maximal 90 Tage gespeichert.

8c. Google-Kalender-Integration

8c.1 Zweck und Funktionsweise

Hebelki bietet eine optionale Zwei-Wege-Synchronisation mit Google Kalender. Mitarbeiter eines Unternehmens können ihren persönlichen Google-Kalender verbinden, um:

• Hebelki-Buchungen automatisch als Termine im Google-Kalender anzuzeigen
• Externe Kalendertermine bei der Verfügbarkeitsprüfung zu berücksichtigen (Frei/Belegt-Abfrage)

8c.2 Dienstleister

Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Google ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO. Datenschutzvereinbarung: Google Cloud Data Processing Addendum.

8c.3 Verarbeitete Datenkategorien

• Name des Kunden und der Dienstleistung (im Kalenderereignis-Titel)
• Beginn- und Endzeit des Termins
• Frei/Belegt-Zeitfenster (keine Ereignisdetails, nur Zeiträume)

Nicht übertragen werden: E-Mail-Adressen, Telefonnummern, Zahlungsdaten oder Gesundheitsinformationen der Kunden.

8c.4 Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Mitarbeiters durch aktives Verbinden des Google-Kontos via OAuth) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Terminverwaltung als Bestandteil des Buchungssystems).

8c.5 OAuth-Zugriffsrechte (Scopes)

Hebelki fordert ausschließlich folgende Google-Berechtigungen an:

• calendar.events — Erstellen, Aktualisieren und Löschen von Terminen im Kalender des Mitarbeiters
• calendar.freebusy — Abfrage von Frei/Belegt-Zeiten (keine Einsicht in Termindetails)

Hebelki liest keine bestehenden Kalenderereignisse, Kontakte oder sonstigen Google-Kontodaten aus.

8c.6 Token-Speicherung und Sicherheit

Der OAuth-Refresh-Token wird mit AES-256-GCM verschlüsselt auf unseren selbst gehosteten Servern in Deutschland (Hetzner, Nürnberg) gespeichert. Der Token ermöglicht keinen Zugriff auf andere Google-Dienste als den Kalender.

8c.7 Widerruf und Trennung

Die Google-Kalender-Verbindung kann jederzeit getrennt werden:

• In Hebelki: Unter Einstellungen → Kanäle → Google Kalender → "Trennen". Der gespeicherte Token wird sofort gelöscht und bei Google widerrufen.
• In Google: Unter myaccount.google.com/permissions kann der Zugriff für Hebelki entfernt werden.

Bereits in Google Kalender erstellte Termine bleiben nach der Trennung bestehen und können dort manuell gelöscht werden. Neue Buchungen werden nach der Trennung nicht mehr synchronisiert.

9. Cookies & Tracking

9.1 Notwendige Cookies (immer aktiv)

Diese Cookies sind für die Funktion der Website erforderlich und können nicht deaktiviert werden:

• __session (Clerk): Authentifizierungs-Cookie für Anmeldung und Sitzungsverwaltung
• cc_cookie (Hebelki): Speichert Ihre Cookie-Einstellungen (6 Monate)
• Funktionale Cookies: Für Chatbot-Persistenz und Konversationsverlauf

9.2 Analyse-Cookies (opt-in erforderlich)

Diese Cookies helfen uns zu verstehen, wie Besucher mit der Website interagieren (derzeit nicht implementiert):

• Google Analytics: _ga, _gid (falls Sie zustimmen)
• Anonyme Nutzungsstatistiken und Seitenaufrufe

9.3 Marketing-Cookies (opt-in erforderlich)

Derzeit verwenden wir keine Marketing- oder Tracking-Cookies. Sollten wir diese in Zukunft nutzen, werden Sie um Ihre Zustimmung gebeten.

Cookie-Verwaltung: Sie können Cookies jederzeit in Ihren Browser-Einstellungen löschen oder blockieren. Beachten Sie, dass dies die Funktionalität der Website beeinträchtigen kann.

10. Sicherheitsmaßnahmen

Wir schützen Ihre Daten durch:

• TLS/SSL-Verschlüsselung für alle Übertragungen
• Verschlüsselte Datenbanken im Ruhezustand
• Zugriffskontrolle und Authentifizierung (Clerk Auth)
• Regelmäßige Sicherheitsüberprüfungen
• Minimierung der Datenspeicherung (90-Tage-Limit)

11. Auftragsverarbeitung (für Geschäftskunden)

Wenn Sie Hebelki als Unternehmen nutzen, verarbeiten wir personenbezogene Daten Ihrer Kunden in Ihrem Auftrag. Hierfür stellen wir folgende Dokumente gemäß DSGVO Art. 28 bereit:

12. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung aktualisieren, um Änderungen unserer Praktiken widerzuspiegeln. Wesentliche Änderungen werden per E-Mail mitgeteilt.

13. Kontakt & Beschwerden

Für Datenschutzanfragen kontaktieren Sie uns:

Sie haben auch das Recht, eine Beschwerde bei einer Datenschutzbehörde einzureichen:

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153, 53117 Bonn
Website: www.bfdi.bund.de