Datenschutzerklärung
Stand: März 2026 | Version 1.0
1. Verantwortlicher
Mundart.AI
Freiburg im Breisgau, Deutschland
datenschutz@mundart.ai
Auf Anfrage per E-Mail
2. Verarbeitete Daten
Wir verarbeiten folgende personenbezogene Daten:
- Kontaktdaten: E-Mail-Adresse, Name (bei Registrierung)
- Telefondaten: Telefonnummer des Anrufers, Gesprächstranskripte
- Sprachaufnahmen: Nur mit ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
- Termindaten: Datum, Uhrzeit, Grund des Termins
- Nutzungsdaten: IP-Adresse (anonymisiert), Browser-Typ, Seitenaufrufe
- Geschäftsdaten: Praxis-/Firmenname, Branche, Öffnungszeiten
- Zahlungsdaten: Werden direkt von Stripe verarbeitet (PCI DSS Level 1)
3. Rechtsgrundlagen
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Sprachaufnahmen, Cookie-Nutzung für Analyse
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung des KI-Telefonassistenten, Terminbuchungen, Account-Verwaltung
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Anrufprotokollierung, Sicherheitsmaßnahmen, Fehleranalyse
4. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Sprachaufnahmen | 30 Tage |
| Gesprächstranskripte | 6 Monate |
| Anrufprotokolle | 6 Monate |
| Account-Daten | Vertragsdauer + 30 Tage |
| Geschäftsdaten | Vertragsdauer + 10 Jahre (steuerlich) |
| Patientendaten (Arztpraxen) | 10 Jahre (§ 630f BGB) |
5. Auftragsverarbeiter (Dritte)
| Dienst | Zweck | Standort |
|---|---|---|
| Supabase | Datenbank | 🇪🇺 EU (Frankfurt) |
| Vercel | Hosting | 🇪🇺 EU (Frankfurt) |
| Stripe | Zahlungen | 🇪🇺 EU (Irland) |
| ElevenLabs | Text-to-Speech | 🇪🇺 EU |
| Vapi.ai | Voice AI | 🇺🇸 USA (EU SCCs) |
| Deepgram | Speech-to-Text | 🇺🇸 USA (EU SCCs) |
| OpenAI | Sprachverständnis | 🇺🇸 USA (EU SCCs, DPA) |
| Sentry | Fehlerverfolgung | 🇪🇺 EU |
SCCs = EU Standard Contractual Clauses | DPA = Data Processing Agreement
6. Cookies & Tracking
Wir verwenden:
- Notwendige Cookies: Session-Cookie für die Authentifizierung (next-auth.session-token). Kein Opt-in erforderlich.
- Analyse-Cookies: Vercel Analytics (anonymisiert, DSGVO-konform, kein Cookie). Nur mit Einwilligung.
- Keine Werbe-Cookies: Wir verwenden kein Google Analytics, kein Facebook Pixel, keine Werbung.
7. Ihre Rechte (Art. 15–21 DSGVO)
Auskunft (Art. 15)
Welche Daten wir über Sie gespeichert haben
Berichtigung (Art. 16)
Korrektur falscher Daten
Löschung (Art. 17)
Löschung Ihrer Daten ("Recht auf Vergessenwerden")
Einschränkung (Art. 18)
Einschränkung der Verarbeitung
Datenportabilität (Art. 20)
Export Ihrer Daten in maschinenlesbarem Format
Widerspruch (Art. 21)
Widerspruch gegen die Verarbeitung
Anfragen richten Sie bitte an: datenschutz@mundart.ai
Beschwerderecht bei der zuständigen Aufsichtsbehörde: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
8. Technische & organisatorische Maßnahmen
- Verschlüsselung aller Daten in Transit (TLS 1.3) und at Rest (AES-256)
- Row Level Security (RLS) in Supabase – mandantenfähige Datentrennung
- JWT-basierte Authentifizierung mit bcrypt-gehashten Passwörtern
- HMAC-Webhook-Signaturverifikation (timing-safe)
- Rate Limiting auf allen API-Endpunkten
- Security Headers (HSTS, CSP, X-Frame DENY, nosniff)
- Audit-Logging aller Datenzugriffe
- Automatische Datenlöschung nach Ablauf der Speicherfrist
- Datenverarbeitung ausschließlich in der EU (Frankfurt am Main)
9. KI-Transparenz (EU AI Act Art. 50)
Hinweis: Mundart.AI setzt Künstliche Intelligenz für die automatische Telefonannahme ein. Anrufer werden zu Beginn des Gesprächs darüber informiert, dass sie mit einem KI-Assistenten sprechen. Die KI trifft keine eigenständigen Entscheidungen mit rechtlicher Wirkung. Alle Termine und Anfragen werden dem menschlichen Praxispersonal zur Bestätigung vorgelegt.
Diese Datenschutzerklärung wird regelmäßig aktualisiert. Letzte Änderung: März 2026.