Zum Hauptinhalt springen

Datenschutzerklärung

Stand: März 2026 | Version 1.0

1. Verantwortlicher

Mundart.AI

Freiburg im Breisgau, Deutschland

datenschutz@mundart.ai

Auf Anfrage per E-Mail

2. Verarbeitete Daten

Wir verarbeiten folgende personenbezogene Daten:

  • Kontaktdaten: E-Mail-Adresse, Name (bei Registrierung)
  • Telefondaten: Telefonnummer des Anrufers, Gesprächstranskripte
  • Sprachaufnahmen: Nur mit ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
  • Termindaten: Datum, Uhrzeit, Grund des Termins
  • Nutzungsdaten: IP-Adresse (anonymisiert), Browser-Typ, Seitenaufrufe
  • Geschäftsdaten: Praxis-/Firmenname, Branche, Öffnungszeiten
  • Zahlungsdaten: Werden direkt von Stripe verarbeitet (PCI DSS Level 1)

3. Rechtsgrundlagen

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Sprachaufnahmen, Cookie-Nutzung für Analyse

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung des KI-Telefonassistenten, Terminbuchungen, Account-Verwaltung

Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Anrufprotokollierung, Sicherheitsmaßnahmen, Fehleranalyse

4. Speicherdauer

DatenkategorieSpeicherdauer
Sprachaufnahmen30 Tage
Gesprächstranskripte6 Monate
Anrufprotokolle6 Monate
Account-DatenVertragsdauer + 30 Tage
GeschäftsdatenVertragsdauer + 10 Jahre (steuerlich)
Patientendaten (Arztpraxen)10 Jahre (§ 630f BGB)

5. Auftragsverarbeiter (Dritte)

DienstZweckStandort
SupabaseDatenbank🇪🇺 EU (Frankfurt)
VercelHosting🇪🇺 EU (Frankfurt)
StripeZahlungen🇪🇺 EU (Irland)
ElevenLabsText-to-Speech🇪🇺 EU
Vapi.aiVoice AI🇺🇸 USA (EU SCCs)
DeepgramSpeech-to-Text🇺🇸 USA (EU SCCs)
OpenAISprachverständnis🇺🇸 USA (EU SCCs, DPA)
SentryFehlerverfolgung🇪🇺 EU

SCCs = EU Standard Contractual Clauses | DPA = Data Processing Agreement

6. Cookies & Tracking

Wir verwenden:

  • Notwendige Cookies: Session-Cookie für die Authentifizierung (next-auth.session-token). Kein Opt-in erforderlich.
  • Analyse-Cookies: Vercel Analytics (anonymisiert, DSGVO-konform, kein Cookie). Nur mit Einwilligung.
  • Keine Werbe-Cookies: Wir verwenden kein Google Analytics, kein Facebook Pixel, keine Werbung.

7. Ihre Rechte (Art. 15–21 DSGVO)

Auskunft (Art. 15)

Welche Daten wir über Sie gespeichert haben

Berichtigung (Art. 16)

Korrektur falscher Daten

Löschung (Art. 17)

Löschung Ihrer Daten ("Recht auf Vergessenwerden")

Einschränkung (Art. 18)

Einschränkung der Verarbeitung

Datenportabilität (Art. 20)

Export Ihrer Daten in maschinenlesbarem Format

Widerspruch (Art. 21)

Widerspruch gegen die Verarbeitung

Anfragen richten Sie bitte an: datenschutz@mundart.ai

Beschwerderecht bei der zuständigen Aufsichtsbehörde: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)

8. Technische & organisatorische Maßnahmen

  • Verschlüsselung aller Daten in Transit (TLS 1.3) und at Rest (AES-256)
  • Row Level Security (RLS) in Supabase – mandantenfähige Datentrennung
  • JWT-basierte Authentifizierung mit bcrypt-gehashten Passwörtern
  • HMAC-Webhook-Signaturverifikation (timing-safe)
  • Rate Limiting auf allen API-Endpunkten
  • Security Headers (HSTS, CSP, X-Frame DENY, nosniff)
  • Audit-Logging aller Datenzugriffe
  • Automatische Datenlöschung nach Ablauf der Speicherfrist
  • Datenverarbeitung ausschließlich in der EU (Frankfurt am Main)

9. KI-Transparenz (EU AI Act Art. 50)

Hinweis: Mundart.AI setzt Künstliche Intelligenz für die automatische Telefonannahme ein. Anrufer werden zu Beginn des Gesprächs darüber informiert, dass sie mit einem KI-Assistenten sprechen. Die KI trifft keine eigenständigen Entscheidungen mit rechtlicher Wirkung. Alle Termine und Anfragen werden dem menschlichen Praxispersonal zur Bestätigung vorgelegt.

Diese Datenschutzerklärung wird regelmäßig aktualisiert. Letzte Änderung: März 2026.