1. Verantwortlicher
Yosef Tail, Einzelunternehmer
Erzherzog-Karl-Straße 131-135/Obj. 1/3101, 1220 Wien, Österreich
Telefon: +43 664 393 9511
Datenschutz-Kontakt: [email protected]
Allgemein: [email protected]
Diese Erklärung gilt für die Website meinagent.app, das Kundenportal
hub.meinagent.app, alle kundenspezifischen Sub-Domains (*.meinagent.app)
sowie für die über Telegram bereitgestellten KI-Agenten und Drittsystem-Integrationen.
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich. Bei Fragen wenden Sie sich bitte an die o. g. Adresse.
Anwendungsbereich: Der Dienst richtet sich ausschließlich an Unternehmer im Sinne von § 14 BGB / § 1 KSchG (B2B). Soweit unsere Geschäftskunden über die Plattform personenbezogene Daten Dritter (z. B. ihrer eigenen Kunden, Lieferanten oder Mitarbeiter) verarbeiten, sind diese Geschäftskunden Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO; wir handeln insoweit ausschließlich auf deren Weisung als Auftragsverarbeiter (Art. 28 DSGVO) — geregelt im Auftragsverarbeitungsvertrag (AVV).
2. Begriffe und Rollen
Wir verwenden die in Art. 4 DSGVO definierten Begriffe. Für das Verständnis dieser Erklärung sind insbesondere folgende Rollen relevant:
- Endkunde / Sie: Person, die die Website besucht oder den Dienst nutzt. Daten Sie betreffend verarbeiten wir als Verantwortlicher.
- Geschäftskunde: Unternehmer, der den Dienst zur Verwaltung eigener Kunden, Lieferanten und Vorgänge nutzt. Daten, die der Geschäftskunde über unsere Plattform verarbeitet (z. B. seine eigenen Kunden-Kontakte), verarbeiten wir als Auftragsverarbeiter nach Weisung — geregelt im Auftragsverarbeitungsvertrag (AVV).
3. Welche Daten wir verarbeiten
a) Beim Besuch der Website
Server-Logs (IP-Adresse, Datum/Uhrzeit, aufgerufene URL, Referrer, User-Agent) zur technischen Auslieferung und Abwehr von Missbrauch. Speicherung max. 14 Tage. Rechtsgrundlage: Art. 6 (1) lit. f DSGVO (berechtigtes Interesse am stabilen, sicheren Betrieb).
b) Bei Registrierung und Vertragsabschluss
Name, E-Mail, Firmenname, Anschrift, Telefonnummer, Bank-/Rechnungsdaten (verarbeitet durch Stripe), gewählter Tarif, Onboarding-Angaben (Branche, Tonalität, FAQ-Daten). Rechtsgrundlage: Art. 6 (1) lit. b DSGVO (Vertragsanbahnung und -erfüllung); für Rechnungsdaten zusätzlich Art. 6 (1) lit. c DSGVO i. V. m. § 132 BAO.
c) Bei Nutzung des KI-Agenten (Telegram)
Inhalte der Nachrichten an den KI-Agenten (Text, Sprachnachrichten, Fotos, Dokumente), Telegram-User-IDs, vom Kunden erstellte Datensätze (Rechnungen, Termine, Kontakte, Wissensdateien, Belege). Rechtsgrundlage: Art. 6 (1) lit. b DSGVO (Vertragserfüllung).
d) Bei optionalen Konto-Verbindungen
OAuth-Refresh-Tokens und Zugriff auf die von Ihnen freigegebenen Scopes der Drittanbieter (Google: Calendar, Drive, Gmail, Contacts; Microsoft: Outlook, Calendar; CalDAV: Apple iCloud / generische CalDAV-Server; Shopify: Orders, Customers, Products). OAuth-Tokens werden symmetrisch verschlüsselt (Fernet, aus dem Anwendungs-Secret abgeleitet) in Ihrem isolierten Account-Bereich gespeichert. Rechtsgrundlage: Art. 6 (1) lit. a DSGVO (Einwilligung) — jederzeit widerrufbar im Portal.
e) Bei Kontoauszug-Abgleich
Hochgeladene Kontoauszugsdateien (CSV/CAMT) zum Abgleich mit Ihren Rechnungen. Speicherung in Ihrem isolierten Account-Bereich. Keine direkte Bank-Anbindung (kein PSD2-Zugriff). Rechtsgrundlage: Art. 6 (1) lit. b DSGVO.
f) Bei Belegfoto-/Sprachverarbeitung
Fotos von Belegen und Sprachnachrichten werden zur Texterkennung an spezialisierte KI-Subprozessoren übermittelt (siehe Abschnitt 5). Originaldateien verbleiben in Ihrem isolierten Account-Bereich; an die Subprozessoren wird jeweils nur der für die Aufgabe benötigte Inhalt übertragen. Rechtsgrundlage: Art. 6 (1) lit. b DSGVO.
4. Architektur und Datentrennung
Daten verschiedener Kunden werden strikt voneinander getrennt verarbeitet und nicht in einer gemeinsamen Multi-Tenant-Datenbank gespeichert. Jeder Mandant verfügt über einen isolierten, geschützten Datenbereich auf gehärteten Hetzner-Servern in Nürnberg (DE). Auf Wunsch erhalten Business-Tier-Kunden zusätzlich einen dedizierten virtuellen Server (VPS).
Diese Architektur reduziert das Risiko von Quer-Zugriffen erheblich und ist Bestandteil unserer technischen und organisatorischen Maßnahmen (siehe AVV, Anlage 1).
5. Empfänger und Auftragsverarbeiter
Für den Betrieb des Dienstes setzen wir folgende Auftragsverarbeiter ein. Mit allen bestehen DSGVO-konforme Verträge (Art. 28); für Drittlandsübermittlungen schließen wir die EU-Standardvertragsklauseln (SCC 2021/914) ab und treffen, soweit erforderlich, ergänzende technische und organisatorische Schutzmaßnahmen nach EDSA-Empfehlung 01/2020.
| Anbieter | Zweck | Sitz / Garantien |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Backups, Netzwerk | Deutschland (EU) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (Kreditkarte, SEPA) | Irland (EU); Konzernzugriff USA — SCC + EU-US DPF |
| Telegram FZ-LLC | Messenger-Plattform (technisch zwingend für KI-Agenten-Funktion) | VAE — SCC + Einwilligung der Endnutzer |
| Anthropic PBC | Claude-API für KI-Reasoning, Antwort-Generierung | USA — SCC; kein Training auf Inputs |
| OpenAI Ireland Ltd. / OpenAI, L.L.C. | GPT-Modelle für ausgewählte Kunden-Bots (KI-Antworten) | Irland (EU) / USA — SCC + EU-US DPF; API-Daten ohne Training |
| MiniMax / SiliconFlow (deaktiviert seit 2026-05-25 — Schrems-II) | Vision-Modell für Belegerkennung und Bildanalyse | China — nicht mehr aktiv; ehemals SCC + ergänzende Maßnahmen |
| Groq Inc. | Sprachnachrichten-Transkription (Whisper-v3-turbo) | USA — SCC |
| Resend Inc. | Transaktionale E-Mails (Aktivierung, Passwort-Reset, Bot-Mails) | USA — SCC |
| Cloudflare Inc. | DNS, CDN, DDoS-Schutz | USA — SCC + EU-US DPF; EU-Datenzentren bevorzugt |
| Google Ireland Ltd. | OAuth + Calendar / Drive / Gmail / Contacts API (optional) | Irland (EU); Konzernzugriff USA — SCC + EU-US DPF |
| Microsoft Ireland Operations Ltd. | OAuth + Outlook / Microsoft Graph (optional, in Vorbereitung) | Irland (EU); Konzernzugriff USA — SCC + EU-US DPF |
| Apple Distribution Intl. Ltd. | CalDAV / iCloud-Kalender (optional) | Irland (EU); Konzernzugriff USA |
| Shopify International Ltd. | E-Commerce-Integration (optional, kundengebunden) | Irland (EU); Konzernzugriff Kanada/USA — SCC + Angemessenheitsbeschluss Kanada |
| fal.ai (Features & Labels Inc.) | KI-Bildgenerierung (optional, Marketing-/Studio-Funktion) | USA — SCC |
| Meta Platforms Ireland Ltd. | Meta Pixel (Reichweitenmessung, Marketing) — nur nach Einwilligung | Irland (EU); Konzernzugriff USA — SCC + EU-US DPF |
Die jeweils aktuelle, abschließende Liste der Subauftragsverarbeiter finden Sie als Anlage 2 des AVV. Eine Kopie kann jederzeit unter [email protected] angefordert werden.
6. KI-Verarbeitung und Trainings-Ausschluss
Wir verwenden Sprach- und Vision-Modelle externer KI-Anbieter zur Erbringung der Dienst-Funktionen. Wir stellen durch Konfiguration der jeweiligen API-Workspaces sicher, dass:
- Anthropic (Claude): Zero-Retention-Modus aktiv — Inputs/Outputs werden nicht zu Trainingszwecken verwendet und nicht über den für die Antwort erforderlichen Zeitraum hinaus gespeichert (Standard für API-/Workspace-Kunden).
- OpenAI: API-Daten werden gemäß aktuellen API-Bedingungen nicht zum Training verwendet (Default seit März 2023); Retention max. 30 Tage zu Sicherheitsprüfungen.
- Vision-Modelle: Seit 2026-05-25 ausschließlich über OpenAI (GPT-4o) und Anthropic (Claude). MiniMax/SiliconFlow deaktiviert (Schrems-II).
- Groq (Whisper): Audio-Daten werden nach Transkription gelöscht, keine Trainingsnutzung.
Sollte ein Anbieter seine Bedingungen so ändern, dass diese Garantien nicht mehr gegeben sind, wechseln wir den Anbieter oder schalten die betroffene Funktion ab.
7. Drittlandsübermittlung
Einige Auftragsverarbeiter haben ihren Sitz in den USA bzw. greifen aus den USA auf Daten zu. Die Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln (SCC 2021/914). Soweit der jeweilige Anbieter unter dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der Kommission vom 10.07.2023, C(2023) 4745) zertifiziert ist (insb. Google, Microsoft, Meta, Cloudflare, Stripe, OpenAI), kommt dieser Schutz ergänzend hinzu. Eine aktuelle Liste der zertifizierten Unternehmen ist abrufbar unter dataprivacyframework.gov.
MiniMax/SiliconFlow (China) wurden zum 2026-05-25 deaktiviert (kein Angemessenheitsbeschluss, kein DPA). Vision-Calls laufen seither ausschließlich über OpenAI (Irland/USA) und Anthropic (USA), beide unter SCC + EU-US DPF abgedeckt.
Vor optionalen Drittlands-Funktionen (z. B. KI-Bildgenerierung über fal.ai) werden Sie ausdrücklich informiert.
8. Speicherdauer
- Server-Logs: max. 14 Tage
- Account-Daten: Dauer der Vertragslaufzeit; danach 30 Tage Karenzzeit zum Datenexport, anschließend unwiderrufliche Löschung Ihres Account-Bereichs inkl. aller darin gespeicherten Daten (bei Business-Tier: zusätzlich Löschung des VPS)
- Rechnungs- und Buchhaltungsbelege: 7 Jahre ab Ablauf des Kalenderjahres, in dem der Beleg entstand (§ 132 BAO — gesetzliche Aufbewahrung); in dieser Zeit eingeschränkte Verarbeitung gem. Art. 18 DSGVO
- Konversationen mit dem KI-Agenten, Wissensdateien, Termine, Kontakte: Vertragslaufzeit + 30 Tage Karenzzeit
- Zahlungsdaten: gem. Stripe-Aufbewahrungsrichtlinien (verarbeitet von Stripe als eigenständig Verantwortlichem)
- OAuth-Tokens: bis Widerruf der Verbindung oder Vertragsende
- Consent-Datensatz: 180 Tage ab Erteilung bzw. bis Widerruf
9. Cookies und Tracking
a) Technisch erforderliche Cookies
Login-Session (Portal) und Consent-Speicherung
(consent_v1, 180 Tage, Top-Level-Domäne
.meinagent.app für subdomänenübergreifendes
Opt-in). Rechtsgrundlage: Art. 6 (1) lit. f DSGVO i. V. m. § 165 Abs. 3 TKG 2021
(unbedingt erforderlich).
b) Meta Pixel (Facebook/Instagram) — nur nach Einwilligung
Wir setzen auf dieser Website und auf hub.meinagent.app den Meta Pixel der Meta Platforms Ireland Ltd. ein — ausschließlich nach Ihrer ausdrücklichen Einwilligung über unseren Consent-Banner.
- Pixel-ID: 845691184509686
- Zweck: Reichweitenmessung, Conversion-Tracking (Seitenaufrufe, Waitlist-Anmeldungen, Checkout-Start), Ausspielen zielgerichteter Werbung, Erstellung von Lookalike-Zielgruppen
- Verarbeitete Daten: IP-Adresse (durch Meta gekürzt), Browser-/Geräte-Informationen, Pixel-ID, besuchte Seiten, ausgelöste Events (PageView, Lead, InitiateCheckout, ViewContent, CompleteRegistration), von Meta gesetzter
_fbp-Cookie - Empfänger: Meta Platforms Ireland Ltd. (Dublin) — gemeinsam Verantwortliche für die Datenerhebung gem. Art. 26 DSGVO (Controller Addendum); Drittlandsübermittlung an Meta Platforms, Inc. (USA) auf Basis SCC + EU-US DPF
- Rechtsgrundlage: Art. 6 (1) lit. a DSGVO und § 165 Abs. 3 TKG 2021 (Einwilligung)
- Speicherdauer: Consent 180 Tage;
_fbp-Cookie bis 90 Tage; Event-Daten bei Meta gem. Meta-Datenrichtlinie - Widerruf: jederzeit über Cookie-Einstellungen im Footer — wirkt für die Zukunft
Ohne Einwilligung wird der Meta Pixel nicht geladen. Der Consent-Banner erscheint beim ersten Besuch; solange Sie keine Auswahl treffen, bleiben alle optionalen Kategorien deaktiviert.
10. Sicherheit (Art. 32 DSGVO)
Wir treffen geeignete technische und organisatorische Maßnahmen, um Ihre Daten zu schützen. Eine ausführliche Darstellung findet sich in Anlage 1 des AVV. Kernpunkte:
- Transport-Verschlüsselung (TLS 1.2+) auf allen Verbindungen
- Verschlüsselung sensibler Tokens (OAuth, API-Keys) im Ruhezustand mit Fernet
- Server-Zugang ausschließlich über SSH-Keys, keine Passwort-Authentifizierung
- Per-Account-Isolation (getrennte Datenbereiche je Mandant; dedizierter VPS optional bei Business-Tier)
- Tägliche verschlüsselte Backups
- Monitoring, Auto-Restart, Sicherheits-Updates
11. Keine automatisierte Entscheidung mit Rechtsfolge
Der KI-Agent trifft keine automatisierten Entscheidungen mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO. Aktionen mit Außenwirkung (Rechnungsversand, E-Mail-Versand, Termin-Buchung) erfolgen ausschließlich nach Ihrer ausdrücklichen Bestätigung. Sprach-, Bild- und Textmodelle generieren Vorschläge bzw. Entwürfe, die Sie prüfen.
Kennzeichnung KI-generierter Inhalte (Art. 50 EU AI Act): Inhalte, die der KI-Agent eigenständig erzeugt (Antwort-Vorschläge, Zusammenfassungen, Beleg-Texterkennung, Bild-Beschreibungen), sind im KI-Agenten und im Portal als KI-generiert erkennbar. Sie behalten zu jedem Zeitpunkt die Möglichkeit, Inhalte vor Ausführung manuell zu prüfen und zu ändern.
12. Ihre Rechte (Art. 15–22 DSGVO)
- Auskunft (Art. 15) — was wir über Sie gespeichert haben
- Berichtigung (Art. 16) — Korrektur falscher Daten
- Löschung (Art. 17) — Recht auf Vergessenwerden
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit (Art. 20) — Export Ihrer Daten in einem gängigen, maschinenlesbaren Format
- Widerspruch (Art. 21) gegen Verarbeitungen auf Basis berechtigten Interesses
- Widerruf erteilter Einwilligungen jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3)
Anfragen senden Sie an [email protected]. Wir antworten unverzüglich, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).
13. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für Österreich:
Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
www.dsb.gv.at
· [email protected]
Endkunden mit gewöhnlichem Aufenthalt in Deutschland können sich an die jeweils für den Wohnort zuständige Landesdatenschutzbehörde wenden.
14. Änderungen dieser Erklärung
Wir passen diese Erklärung an, wenn sich Funktionen, Rechtslage oder Auftragsverarbeiter ändern. Bei wesentlichen Änderungen informieren wir aktive Kunden in Textform. Die jeweils aktuelle Fassung finden Sie stets unter meinagent.app/datenschutz.html.