Apointa Logo← Zurück zur Startseite

Datenschutzerklärung

Inhaltsverzeichnis

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website ist:

Luca Christ
Otterflow by Luca Christ
Haydnweg 24
69234 Dielheim
E-Mail: hey@apointa.org

2. Hosting und Logfiles

Beim Aufruf unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen (IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Uhrzeit der Serveranfrage) werden temporär in sogenannten Logfiles gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten findet nicht statt.

3. Kontaktaufnahme

Bei einer Kontaktaufnahme mit uns per Telefon, E-Mail oder über ein Kontaktformular werden die von Ihnen mitgeteilten Daten (z. B. Name, Telefonnummer, E-Mail-Adresse) von uns gespeichert, um Ihre Anfrage zu bearbeiten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

4. Nutzung unseres KI‑Telefonassistenten

Wenn Sie unseren KI-gestützten Telefonassistenten nutzen, werden Gesprächsdaten (Telefonnummer, Zeitpunkt des Anrufs, Dauer des Anrufs, vereinbarte Termindetails) verarbeitet. Wir speichern weder Audio‑Dateien noch Transkripte der Gespräche. Ihre Sprache wird lediglich in Echtzeit verarbeitet, um Ihr Anliegen zu verstehen und Ihnen die passende Antwort zu geben; anschließend werden die Daten verworfen.

Kundendaten & Identitätsnachweise

Wir speichern die von Ihnen im Rahmen der Vertragserfüllung angegebenen Geschäftsdaten (z. B. Unternehmensdaten, Kontaktdaten, Leistungen, Knowledge-Base-Inhalte) für die Dauer des Vertragsverhältnisses.

Eine Nutzung Ihrer Daten oder die Ihrer Kunden für Werbung oder zur Erstellung von Nutzungsprofilen findet nicht statt.

Sprachverarbeitung (ElevenLabs)

Für die Umwandlung von Sprache in Text und umgekehrt nutzen wir den Dienst ElevenLabs. Unsere Sprachassistenz läuft in einer EU‑Residency‑Umgebung. Durch den aktivierten Zero‑Retention‑Modus werden Audio- und Textdaten nur für die Dauer des Gesprächs verarbeitet und anschließend gelöscht. Wir haben die Nutzung Ihrer Daten zu Trainingszwecken abgewählt (Opt‑out). ElevenLabs verpflichtet sich vertraglich, keinerlei Trainingszwecke mit unseren Daten durchzuführen und löscht sämtliche Ein- und Ausgaben unmittelbar.

Wir betreiben unseren Sprachassistenten in einer isolierten EU-Residency-Umgebung von ElevenLabs. Mit dem aktivierten Zero-Retention-Modus werden Audio- und Textdaten nur für die Dauer der Anfrage verarbeitet und anschließend gelöscht. Folgendes betrifft nicht unsere Enterprise-Kunden: In seltenen Ausnahmefällen, etwa wenn wir einen technischen Support-Fall bei ElevenLabs eröffnen und hierzu Protokolldaten oder Beispielinhalte zur Fehleranalyse bereitstellen, kann eine Verarbeitung durch Mitarbeitende außerhalb der EU/des EWR erfolgen. Solche Fälle sind auf das Notwendige beschränkt und erfolgen auf Grundlage der von der EU-Kommission verabschiedeten Standardvertragsklauseln (Art. 46 DSGVO), die ein angemessenes Datenschutzniveau gewährleisten.

Telefonie & Rufnummern (Telnyx)

Für die Bereitstellung von Rufnummern und die Telefonie nutzen wir den VoIP‑Provider Telnyx. Unsere SIP‑Trunks sind so konfiguriert, dass der Verkehr über europäische Points of Presence (z. B. Frankfurt, London, Amsterdam) geleitet wird, wodurch die Gespräche innerhalb der EU verarbeitet werden und die Latenz niedrig bleibt.

Unser Telefoniedienstleister Telnyx speichert die für Abrechnung und Störungsbehebung notwendigen Verbindungsdaten (z. B. Rufnummern, Zeitpunkt und Dauer des Anrufs) auf Servern in der EU. Gesprächsinhalte werden nicht gespeichert, da Call-Recording deaktiviert ist.

Im Rahmen der Vertragserfüllung nutzen wir keine Gespräche für Werbezwecke oder Profiling; sämtliche Datenübertragungen unterliegen, falls sie in ein Drittland stattfinden sollten, den Standardvertragsklauseln gemäß Art. 46 DSGVO.

Speicherung von Termindaten (Supabase)

Zur Verwaltung von Terminen und Kontaktdaten nutzen wir eine Datenbank beim Anbieter Supabase gehostet in Frankfurt (EU). Dort speichern wir insbesondere:

  • Unternehmensspezifikationen
  • Termininformationen

Die Daten werden verschlüsselt gespeichert und nur über TLS-geschützte Verbindungen übertragen. Der Zugriff ist auf unser Backend und berechtigte Mitarbeitende beschränkt (rollenbasierte Zugriffsrechte und IP-Beschränkungen). Supabase ist als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich gebunden.

Termindaten werden nur so lange gespeichert, wie dies zur Durchführung des jeweiligen Termins und zur Erfüllung gesetzlicher Pflichten erforderlich ist und anschließend gelöscht.

WhatsApp-Benachrichtigungen (Meta)

Für den Versand von Terminbestätigungen, Erinnerungen und optionalen Feedbackanfragen können wir die WhatsApp Business API(Anbieter: Meta) einsetzen. Dabei werden die für die Nachricht erforderlichen Daten verarbeitet (insbesondere Telefonnummer, Name und Termindatum/-uhrzeit).

Der Versand per WhatsApp erfolgt nur, wenn Whatsapp als Kummunikationskanal von Ihnen ausgewählt wurde und der Endkunde dem Versand von Whatapp-Nachrichten zustimmt.

Nachrichten, die wir über die WhatsApp Business API versenden, sind nach dem Stand der Technik Ende-zu-Ende verschlüsselt und können von Dritten nicht mitgelesen werden. Für die weitere Verarbeitung der Daten innerhalb von WhatsApp ist ausschließlich WhatsApp/Meta datenschutzrechtlich verantwortlich und es gelten deren eigene Datenschutzbestimmungen. Meta betreibt Infrastruktur u. a. in der EU und sichert etwaige Übermittlungen in Drittländer (z. B. USA) durch die von der EU-Kommission genehmigten Standardvertragsklauseln nach Art. 46 DSGVO ab. Nähere Informationen finden Sie in der Datenschutzerklärung von WhatsApp/Meta.

Kalendersynchronisation

Bei der Synchronisation mit Kalenderdiensten (Google Calendar, Outlook) werden Termindetails übertragen. Die Datenverarbeitung erfolgt gemäß den Datenschutzbestimmungen der jeweiligen Anbieter.

5. Eingebettete YouTube‑Videos

Wir binden auf unserer Website Videos über die Plattform YouTube ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Datenschutzmodus

Die Einbindung erfolgt im erweiterten Datenschutzmodus ("youtube-nocookie.com"). Dadurch werden beim Aufruf der Seite zunächst keine Cookies von YouTube gesetzt. Erst wenn Sie ein Video aktiv abspielen, können durch YouTube weitere Datenverarbeitungen erfolgen (z. B. Speicherung von Cookies, Zuordnung zu einem Google-Konto, Analyse des Nutzungsverhaltens).

Wir haben keinen Einfluss auf diese Datenverarbeitung. Weitere Informationen finden Sie in der Datenschutzerklärung von Google.

6. Google‑Nutzerdaten (OAuth/Google Kalender)

6.1 Welche Google‑Nutzerdaten greifen wir ab?

Wenn Sie Ihr Google‑Konto mit Apointa verbinden, erteilen Sie uns Zugriff auf ausgewählte Google‑APIs. Derzeit angeforderte Scopes (Stand: 14.09.2025):

  • https://www.googleapis.com/auth/calendar.readonly – um Ihre vorhandenen Kalender zu erkennen (z. B. bei der Ersteinrichtung) und diese für die spätere Terminplanung in unserer Plattform zu speichern.
  • https://www.googleapis.com/auth/calendar.events – um Termine in den verbundenen Kalendern zu erstellen, zu ändern oder zu löschen und freie Zeitfenster zu ermitteln. (Buchung, Verschiebung, Stornierung).
  • UID, email – optional für eine sichere Authentifizierung via Google und Zuordnung Ihres Kontos.

Kein Zugriff auf Gmail‑Inhalte, Google Drive, Google Contacts oder andere Google‑Dienste.

6.2 Wofür verwenden wir Google‑Nutzerdaten?

  • Synchronisierung von Terminen zwischen Apointa und Ihrem Google Kalender.
  • Ermittlung freier Zeitfenster zur Terminfindung.
  • Login via Google und Kontoverknüpfung; IT‑Sicherheitszwecke (Missbrauchsvermeidung).

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), ggf. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für OAuth), Art. 6 Abs. 1 lit. f DSGVO (Sicherheit).

6.3 An wen geben wir Google‑Nutzerdaten weiter?

Kein Verkauf von Daten.

Eine Weitergabe von Google‑Kalenderdaten an Dritte erfolgt nicht. Die Verarbeitung der Kalenderdaten findet ausschließlich innerhalb der Apointa‑Plattform statt, um freie Zeitfenster zu ermitteln und bestätigte Termine in den Google‑Kalender des Betriebs einzutragen. Die Endkunden (z. B. Patient:innen) erhalten lediglich eine Terminbestätigung (etwa per WhatsApp‑Nachricht mit einer .ICS‑Datei). Diese enthält ausschließlich die Termindetails und stellt keine Weitergabe von Google‑Kalenderdaten dar. Eine Übermittlung an andere Dienste findet nur statt, wenn dies gesetzlich vorgeschrieben ist.

6.4 „Limited Use“ (Google API Services User Data Policy)

  • Nutzung der Google‑Nutzerdaten ausschließlich zur Bereitstellung/Verbesserung der Nutzer‑Features.
  • Keine Weitergabe an Werbenetzwerke; keine Nutzung für Werbung/Profiling außerhalb des Funktionsumfangs.
  • Kein manueller Zugriff, außer mit Ihrer Zustimmung, zur Sicherheit/Fehlerbehebung oder wenn rechtlich erforderlich.
  • Zweckbindung, Datenminimierung und technische/organisatorische Schutzmaßnahmen.

Details: Google API Services User Data Policy

6.5 Ihre Wahlmöglichkeiten

  • Trennung der Google-Verknüpfung jederzeit in den Kontoeinstellungen (Sync endet).
  • Widerruf von Einwilligungen mit Wirkung für die Zukunft.
  • Datenexport oder -löschung auf Anfrage an hey@apointa.org.

7. Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft über Ihre gespeicherten personenbezogenen Daten
  • Berichtigung unrichtiger Daten
  • Löschung Ihrer Daten
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch gegen die Verarbeitung

Wenden Sie sich dazu an: hey@apointa.org

8. Zentrale Kontaktstelle nach dem Digital Services Act (DSA)

Unsere zentrale Kontaktstelle für Nutzer:innen und Behörden nach Art. 11, 12 DSA erreichen Sie wie folgt:

E-Mail: hey@apointa.org

9. Auftragsverarbeiter & Datenweitergabe

Für den Betrieb unserer Plattform setzen wir sorgfältig ausgewählte Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten. Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Anbieter mit Sitz außerhalb der EU/EWR sind zusätzlich durch Standardvertragsklauseln gemäß Art. 46 DSGVO an ein angemessenes Datenschutzniveau gebunden.

  • Telnyx LLC (Telefonie, Rufnummernverwaltung, VoIP-Infrastruktur) – Verarbeitung von Verbindungsdaten, keine Gesprächsaufzeichnung. Einsatz auf Basis eines Data Processing Addendum inkl. Standardvertragsklauseln.
  • ElevenLabs Inc. (Echtzeit-Sprachverarbeitung für unseren KI-Telefonassistenten) – Betrieb in einer EU-Residency-Umgebung mit aktiviertem Zero-Retention-Mode und Opt-out für Modelltraining; Auftragsverarbeitung nach Art. 28 DSGVO mit Standardvertragsklauseln.
  • Supabase Inc. (Hosting der Termin- und Kontaktdaten in einer verschlüsselten Datenbank in Frankfurt) – Auftragsverarbeitungsvertrag inkl. Standardvertragsklauseln, Verschlüsselung der Daten im Ruhezustand und bei Übertragung.
  • Meta Platforms Ireland Ltd. / WhatsApp Business API – Zustellung von Terminbestätigungen und Erinnerungen per WhatsApp, auf Grundlage der jeweiligen Nutzungsbedingungen und Standardvertragsklauseln von Meta.
  • Google Ireland Ltd. – Nutzung von Google Calendar APIs zur Synchronisation von Terminen (lesen/freie Zeiten, schreiben/buchen), ausschließlich im Rahmen der von Ihnen erteilten OAuth-Berechtigungen.

Eine detaillierte Liste der aktuell eingesetzten Unterauftragsverarbeiter sowie eine Musterfassung unseres Auftragsverarbeitungsvertrags stellen wir Geschäftskunden auf Anfrage oder nach Vertragsschluss per E-Mail zur Verfügung.

10. Sicherheits- & Datenschutzmechanismen (inkl. sensible Daten)

  • Transport- und ruhende Verschlüsselung (TLS; verschlüsselte Datenträger, soweit im Einsatz).
  • Zugriff nach Need-to-know; rollenbasiert; Protokollierung und regelmäßige Überprüfung.
  • Starke Authentifizierung (mind. 2FA) für Administrationszugänge; regelmäßige Sicherheitsupdates.
  • Datensparsamkeit, Pseudonymisierung/Maskierung in Logs, automatische Lösch-/Anonymisierungsroutinen.
  • Sicherer Software-Lifecycle (Code-Reviews, Schwachstellen-Scans, Backups/Recovery-Pläne).
  • Sensible Daten: Bei manchen unserer Kunden – etwa medizinischen Einrichtungen oder Praxen – können im Rahmen der Terminvereinbarung Gesundheitsdaten anfallen (z. B. Angaben zum Behandlungsanlass). Diese Daten verarbeiten wir ausschließlich zur Laufzeit im Auftrag der jeweiligen Praxis bzw. des jeweiligen Unternehmens und verwerfen sie direkt nach Abschluss des Telefonats. Eine Speicherung oder Weiterverarbeitung findet nicht statt.

11. Auftragsverarbeitungs­vertrag (AV‑Vertrag)

Für unsere Geschäftskunden, deren Kundendaten wir im Rahmen der Terminvereinbarung verarbeiten, schließen wir einen Auftragsverarbeitungs­vertrag gemäß Art. 28 DSGVO ab. Dieser Vertrag regelt insbesondere Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Kategorien der verarbeiteten Daten sowie die Rechte und Pflichten der Parteien. Seit dem 1. Januar 2025 genügt für den Abschluss die Textform, eine qualifizierte elektronische Signatur ist nicht erforderlich.

Auf unserer Webseite stellen wir Ihnen den aktuellen AV‑Vertrag im Wortlaut zur Verfügung. Sie finden ihn unter AV‑Vertrag. Nach Buchung unseres Services erhalten Sie außerdem den Vertrag per E‑Mail zugesandt. Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist ein internes Dokument, das den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt wird und nicht veröffentlicht werden muss. Gerne geben wir Ihnen auf Anfrage nähere Informationen dazu.