Diese Datenschutzerklärung beschreibt, wie die DESATIV Studio GmbH (nachfolgend „wir", „uns" oder „Rufori") personenbezogene Daten im Rahmen des Betriebs der Plattform Rufori (app.rufori.com sowie zugehörige Subdomains und APIs) verarbeitet.
1. Verantwortlicher
Verantwortlich i. S. v. Art. 4 Nr. 7 DSGVO ist:
DESATIV Studio GmbH
Nachtigalstraße 29, 80638 München
E-Mail: info@desativ.de
Telefon: 089 2000 1270
2. Datenschutzbeauftragter
Für datenschutzrechtliche Anfragen erreichen Sie uns unter datenschutz@desativ.de.
3. Rolle als Auftragsverarbeiter
Soweit Rufori-Kunden (Tenants) ihre Endkundendaten — z. B. eingehende Anrufe, Transkripte, Chat-Verläufe, CRM-Stammdaten — über die Plattform verarbeiten lassen, agieren wir als Auftragsverarbeiter nach Art. 28 DSGVO. Grundlage ist der mit dem jeweiligen Tenant abgeschlossene Auftragsverarbeitungsvertrag (AVV). Verantwortlicher für diese Daten bleibt der Tenant.
4. Daten, die wir verarbeiten
4.1 Account- und Nutzungsdaten
- Name und E-Mail-Adresse von Admin-Nutzern (zur Anmeldung)
- Login-Zeitpunkte, IP-Adresse und User-Agent (zur Sicherheit und Missbrauchsabwehr)
- Workspace- und Firmenstammdaten der Tenant-Organisation
- Abrechnungsrelevante Verbrauchsdaten (Voice-Minuten, Chat-Sessions, Token, API-Kosten)
4.2 Sprach- und Konversationsdaten (im Auftrag des Tenants)
- Audio-Aufzeichnungen ein- und ausgehender Telefongespräche
- Text-Transkripte der Gespräche
- Chat-Nachrichten zwischen Endkunden und KI-Agenten
- Rufnummern (E.164-Format) der Gesprächspartner
- Vom Tenant übergebene CRM-Variablen (z. B. Vorname, Termindaten)
4.3 Technische Logdaten
- HTTP-Request-Logs der API (IP, Pfad, Statuscode, Zeitstempel)
- Application-Logs zur Fehlersuche und Sicherheitsforensik
5. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung gegenüber Tenants und Bereitstellung der Plattform.
- Art. 6 Abs. 1 lit. c DSGVO — Erfüllung gesetzlicher Aufbewahrungspflichten (z. B. Buchhaltung, § 257 HGB / § 147 AO).
- Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Sicherheit, Missbrauchsabwehr und stabilem Betrieb.
- Art. 28 DSGVO — Verarbeitung von Endkundendaten im Auftrag des Tenants.
6. Speicherort und Hosting
Datenbank, Anwendungsserver und Aufzeichnungsspeicher betreiben wir auf eigenen virtuellen Servern bei der Hetzner Online GmbH in Deutschland (Standort Falkenstein bzw. Frankfurt). Es findet keine Übermittlung in Drittländer durch unsere eigene Infrastruktur statt.
7. Auftragsverarbeiter und Subdienstleister
Zur Erbringung der Plattform setzen wir folgende Dienstleister ein. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Übermittlungen in Drittländer (insb. USA) erfolgen ausschließlich auf Grundlage der EU-Standardvertragsklauseln (SCC) und — soweit anwendbar — des EU-US Data Privacy Frameworks.
| Anbieter | Zweck | Region |
|---|---|---|
| Hetzner Online GmbH | Server- und Speicher-Hosting | DE |
| Twilio Inc. / Twilio Ireland Ltd | Telefonie-Trunking, Rufnummern | EU (Frankfurt) |
| LiveKit, Inc. | Echtzeit-Audio-/Video-Routing | EU / Self-hosted |
| Amazon Web Services EMEA SARL | LLM-Inferenz (Bedrock) | EU (eu-central-1, Frankfurt) |
| Google Ireland Ltd | Speech-to-Text, Text-to-Speech und Live-Audio-LLM (Gemini Live) | EU (europe-west3 / -west4) |
| Deepgram Inc. | Speech-to-Text (alternativ zu Google) | UK (api.eu.deepgram.com), EU-DSGVO-Adäquanzbeschluss |
| OpenAI Ireland Ltd | Realtime-Sprach-LLM (optional pro Agent) | EU / US (je Tenant-Konfiguration) |
| Stripe Payments Europe Ltd | Zahlungsabwicklung | EU (Irland) |
| Alfahosting GmbH | Transaktionaler E-Mail-Versand (SMTP) | DE |
Eine aktuelle Liste aller Subdienstleister stellen wir auf Anfrage zur Verfügung. Tenants werden vor Aufnahme neuer Subdienstleister informiert.
8. Speicherdauer
- Audio-Aufzeichnungen und Transkripte: nach Tenant-Konfiguration, Standard 90 Tage. Anschließend automatische Löschung.
- Account-Daten: für die Dauer des aktiven Vertragsverhältnisses zzgl. gesetzlicher Aufbewahrungsfristen.
- Abrechnungsdaten: 10 Jahre gemäß § 147 AO.
- Server-Logs: 30 Tage rolling, danach automatische Löschung.
9. Ihre Rechte
Sie haben jederzeit das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO). Wenden Sie sich hierzu an datenschutz@desativ.de.
Sind Ihre Daten als Endkunde eines Rufori-Tenants betroffen (z. B. Sie haben mit einem unserer Kunden telefoniert), wenden Sie sich bitte primär an den Tenant als Verantwortlichen. Wir leiten Anfragen unverzüglich weiter und unterstützen den Verantwortlichen bei der Erfüllung seiner Pflichten.
10. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für uns ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de
11. Cookies und Session-Storage
Wir setzen ausschließlich technisch notwendige Cookies (insb. Authentifizierung, Session-Token). Tracking, Werbe- oder Analyse-Cookies setzen wir nicht ein.
12. Sicherheit
Datenübertragung erfolgt ausschließlich verschlüsselt (TLS 1.2+). API-Schlüssel werden mit AES-GCM verschlüsselt gespeichert. Zugriff auf Produktionsdaten ist auf einen kleinen Kreis von Mitarbeitenden beschränkt und protokolliert.
13. Änderungen dieser Erklärung
Wir passen diese Erklärung bei Änderungen der Plattform oder der Rechtslage an. Die jeweils aktuelle Fassung ist unter app.rufori.com/datenschutz abrufbar.