Datenschutzerklärung
Stand: 20. Februar 2026
Stand: 20. Februar 2026
1. Verantwortlicher und Kontakt
neuromanufaktur GmbH
Hanauer Landstraße 204, 60314 Frankfurt am Main, Deutschland
Geschäftsführer: Maximilian Päzolt
E-Mail: office@neuromanufaktur.ai | Telefon: +49 69 870001070
USt-ID: DE452948209 | HRB 137856, AG Frankfurt am Main
Kontakt: office@neuromanufaktur.ai | support@neuromanufaktur.ai
Datenschutzbeauftragter: Die Bestellung eines externen Datenschutzbeauftragten gemäß Art. 37 DSGVO wird geprüft. Bis dahin ist der Geschäftsführer Maximilian Päzolt Ansprechpartner für Datenschutzfragen.
2. Geltungsbereich
Diese Datenschutzerklärung gilt für alle Personen, die mit vosano.ai in Berührung kommen:
Geschäftskunden (Unternehmen, die vosano.ai nutzen), Anrufer (Personen, die bei Unternehmen anrufen, die vosano.ai einsetzen), Webseitenbesucher (Besucher von vosano.ai) und Partner (Unternehmen im Partnerprogramm).
Datenschutzrechtliche Verantwortlichkeiten
neuromanufaktur GmbH ist datenschutzrechtlich Verantwortlicher für den Betrieb der vosano.ai-Plattform, der Website und aller damit verbundenen technischen Systeme. Dies umfasst die Verarbeitung von Geschäftskunden-, Website- und Partnerdaten.
Gegenüber Anrufern handelt neuromanufaktur als Auftragsverarbeiter im Auftrag des jeweiligen Geschäftskunden. Der Geschäftskunde ist als Betreiber des KI-Telefonassistenten der datenschutzrechtlich Verantwortliche gegenüber seinen Anrufern. Die Rechte und Pflichten dieser Auftragsverarbeitung sind in einem separaten Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geregelt, der mit jedem Geschäftskunden abgeschlossen wird.
3. Datenverarbeitung bei KI-Telefonie (Anrufer)
Wenn Sie bei einem Unternehmen anrufen, das vosano.ai einsetzt, werden Ihre Daten wie nachfolgend beschrieben verarbeitet. Bitte beachten Sie: Der datenschutzrechtlich Verantwortliche für diese Verarbeitung ist das Unternehmen, bei dem Sie angerufen haben — nicht neuromanufaktur. Wir verarbeiten Ihre Daten ausschließlich im Auftrag dieses Unternehmens.
3.1 Kategorien verarbeiteter Daten
Telefonnummer und Anruferidentifikation: Ihre Rufnummer wird automatisch durch die Telefonie-Infrastruktur (Twilio) übermittelt und in unserer Datenbank gespeichert. Bei Folgeanrufen ermöglicht dies eine personalisierte Begrüßung und Kontextzuordnung. Bei unterdrückter Rufnummer wird keine Nummer gespeichert; die Interaktion erfolgt vollständig anonym.
Gesprächsinhalte als Transkript: Ihr gesprochenes Wort wird in Echtzeit von einem Speech-to-Text-Dienst (ElevenLabs Scribe, Deepgram oder Deepslate) in Text umgewandelt. Dieses Transkript enthält den vollständigen Wortlaut des Gesprächs und wird in unserer Datenbank auf Google Cloud Platform gespeichert. Es dient dem Geschäftskunden zur Nachbearbeitung, Dokumentation und Qualitätssicherung.
KI-generierte Zusammenfassungen: Nach jedem Gespräch erstellt unsere KI automatisch eine strukturierte Zusammenfassung mit dem Anliegen des Anrufers, wichtigen Gesprächspunkten und ggf. vereinbarten nächsten Schritten. Auch diese Zusammenfassung wird in der Datenbank gespeichert.
Audiodaten (Ihre Stimme): Die Audiodaten werden ausschließlich als Echtzeit-Stream verarbeitet — das bedeutet, der Audio-Stream wird direkt an den Speech-to-Text-Dienst gestreamt und nach Abschluss der Transkription verworfen. Es findet keine dauerhafte Speicherung Ihrer Stimme statt. Eine Ausnahme besteht nur, wenn der Geschäftskunde die optionale Audioaufzeichnungsfunktion explizit aktiviert hat — diese ist standardmäßig deaktiviert.
Kontakt- und persönliche Daten: Informationen, die Sie im Gespräch freiwillig nennen (Name, E-Mail-Adresse, Postanschrift, Kundennummer, Geburtsdatum etc.), werden im Transkript und ggf. in der Zusammenfassung erfasst und dem Geschäftskunden bereitgestellt.
Gesprächsmetadaten: Zu jedem Anruf werden Datum, Uhrzeit, Gesprächsdauer, angerufene Nummer, Verbindungsstatus und der Name des eingesetzten KI-Agenten erfasst.
3.2 Technischer Ablauf eines Anrufs
Um Transparenz darüber zu schaffen, wie Ihre Daten verarbeitet werden, beschreiben wir den typischen Ablauf eines Anrufs:
Wenn Sie die Telefonnummer des Unternehmens wählen, empfängt der Telefonie-Dienst Twilio den Anruf und leitet Ihre Rufnummer sowie den Audio-Stream an unsere Plattform weiter. Ihr gesprochenes Wort wird in Echtzeit an einen Speech-to-Text-Dienst gestreamt, der es in Text umwandelt — der Audio-Stream wird dabei nicht dauerhaft gespeichert. Der transkribierte Text wird zusammen mit dem Gesprächskontext an ein KI-Sprachmodell gesendet, das eine passende Antwort generiert. Diese Antwort wird von einem Text-to-Speech-Dienst in natürliche Sprache umgewandelt und Ihnen als Audioantwort vorgespielt. Nach Gesprächsende werden Transkript und Zusammenfassung in der Datenbank gespeichert und dem Geschäftskunden im Dashboard bereitgestellt. Optional versendet das System eine Benachrichtigung per E-Mail, SMS, Fax oder WhatsApp an den Geschäftskunden.
3.3 Schutzmaßnahmen für Anrufer
KI-Kennzeichnung: Sie werden zu Beginn jedes Gesprächs darüber informiert, dass Sie mit einem KI-Assistenten sprechen. Diese Transparenzpflicht ist standardmäßig in allen KI-Agenten aktiviert.
Keine Speicherung Ihrer Stimme: Ihre Audiodaten werden ausschließlich in Echtzeit verarbeitet (gestreamt) und nach der Transkription verworfen. Es verbleibt nur der Text, nicht Ihre Stimme. Die eingesetzten STT-Dienste (ElevenLabs, Deepgram, Deepslate) speichern die Audio-Streams ebenfalls nicht dauerhaft — der Auftragsverarbeiter setzt als Enterprise-Kunde von ElevenLabs den Zero Retention Mode ein und nutzt bei Deepgram den EU-Endpoint mit standardmäßiger Zero Retention.
Kein KI-Training mit Ihren Daten: Weder neuromanufaktur noch die eingesetzten Unterauftragsverarbeiter nutzen Ihre Gesprächsdaten zum Training von KI-Modellen. Bei Azure OpenAI ist dies vertraglich ausgeschlossen, bei ElevenLabs ist das Opt-Out aus dem Modelltraining aktiviert.
Automatische Löschung und Datenminimierung: Transkripte, Zusammenfassungen und Ihre Telefonnummer werden nach Ablauf der vom Geschäftskunden konfigurierten Speicherfrist automatisch und unwiderruflich gelöscht. Konfigurierbare Fristen sind 7, 14, 21, 30 (Standard) oder bis zu 90 Tage. Nach Ablauf wird Ihre Telefonnummer anonymisiert und es verbleiben nur noch anonymisierte Metadaten (Datum, Uhrzeit, Dauer) für Abrechnungszwecke.
EU-Datenverarbeitung: Alle Kern-Dienste verarbeiten Ihre Daten in europäischen Rechenzentren — Twilio in Irland/Frankfurt, ElevenLabs in Amsterdam, Azure OpenAI in Stockholm, Deepgram in der EU, Deepslate in der Telekom Cloud in Deutschland, Google Cloud Platform in Amsterdam/Frankfurt. Es findet standardmäßig keine Übermittlung Ihrer Anruferdaten in Drittländer statt.
Weiterleitung an Menschen: Soweit vom Geschäftskunden konfiguriert, können Sie jederzeit die Weiterleitung an einen menschlichen Mitarbeiter verlangen.
Anonyme Kommunikation: Bei unterdrückter Rufnummer wird keine Nummer gespeichert. Sie sind nicht verpflichtet, persönliche Daten zu nennen — der KI-Assistent kann auch ohne Namensangabe helfen.
3.4 Rechtsgrundlagen für die Anruferverarbeitung
Die Verarbeitung Ihrer Anruferdaten erfolgt auf Basis des berechtigten Interesses des Geschäftskunden (Art. 6 Abs. 1 lit. f DSGVO) an einer effizienten und zuverlässigen telefonischen Erreichbarkeit. Dieses berechtigte Interesse wird durch umfangreiche technisch-organisatorische Maßnahmen abgesichert, die im AVV und dessen TOM-Anlage dokumentiert sind: Datenminimierung durch Echtzeit-Streaming statt Audiospeicherung, automatische Löschung nach konfigurierbaren Fristen, EU-Datenverarbeitung, Verschlüsselung aller Daten, Mandantentrennung und Zero-Retention-Vereinbarungen mit den STT- und LLM-Diensten.
Die Interessenabwägung fällt zugunsten der Verarbeitung aus, weil die Verarbeitung auf das zur Gesprächsführung und Dokumentation Erforderliche beschränkt ist, Audiodaten nicht dauerhaft gespeichert werden, automatische Löschfristen die Speicherdauer begrenzen, die Verarbeitung in europäischen Rechenzentren erfolgt und der Anrufer über den KI-Einsatz informiert wird.
Für die optionale Audioaufzeichnung ist eine gesonderte Einwilligung erforderlich (Art. 6 Abs. 1 lit. a DSGVO). Der Anrufer wird vor Beginn der Aufzeichnung informiert und kann widersprechen.
Soweit im Gespräch besondere Kategorien personenbezogener Daten anfallen (z. B. Gesundheitsdaten bei Arztpraxen), liegt die Verantwortung für die Rechtsgrundlage beim Geschäftskunden als Verantwortlichem.
3.5 Ihre Rechte als Anrufer
Da der Geschäftskunde der datenschutzrechtlich Verantwortliche ist, wenden Sie sich für die Ausübung Ihrer Betroffenenrechte bitte zunächst an das Unternehmen, bei dem Sie angerufen haben. Alternativ können Sie sich direkt an uns wenden unter office@neuromanufaktur.ai — wir leiten Ihre Anfrage dann unverzüglich an den zuständigen Geschäftskunden weiter und unterstützen bei der Bearbeitung.
Sie haben insbesondere das Recht auf Auskunft darüber, welche Daten zu Ihrem Anruf gespeichert sind, auf Löschung Ihrer Anrufdaten (diese erfolgt binnen 24 Stunden nach Anfrage) und auf Widerspruch gegen die automatisierte Verarbeitung.
4. Datenverarbeitung für Geschäftskunden
4.1 Verarbeitete Datenkategorien
Kontakt- und Vertragsdaten: Firmenname, Rechtsform, Handelsregisterdaten, Geschäftsadresse, Namen und Kontaktdaten der Ansprechpartner, E-Mail-Adressen, Telefonnummern und alle weiteren für die Geschäftsbeziehung relevanten Daten.
Abrechnungs- und Finanzdaten: Nutzungsvolumen (Anzahl und Dauer der Telefonate, verbrauchte Minuten), Rechnungsdaten und Zahlungsinformationen. Die Zahlungsabwicklung erfolgt über Stripe — neuromanufaktur speichert keine Kreditkartennummern oder Bankverbindungen.
Nutzungsstatistiken: Anrufvolumen, durchschnittliche Gesprächsdauer, Erfolgsraten der KI-Interaktionen und andere Performance-Metriken. Diese dienen der Qualitätssicherung und werden im Dashboard bereitgestellt.
Technische Konfigurationsdaten: Agent-Einstellungen (Prompts, Begrüßungstexte, Weiterleitungsregeln), Wissensdatenbanken, aktivierte Integrationen, API-Keys für eigene Dienste und andere technische Konfigurationen.
Support- und Kommunikationshistorie: E-Mail-Korrespondenz, Support-Tickets und andere Formen der geschäftlichen Kommunikation.
4.2 Rechtsgrundlagen
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung aller Kontakt-, Vertrags-, Abrechnungs- und Konfigurationsdaten ist unmittelbar erforderlich für die Erbringung des vertraglich vereinbarten KI-Telefonie-Services. Ohne diese Verarbeitung kann der Service nicht betrieben werden.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Systemsicherheit und Betrugsschutz (Analyse von Zugriffsmustern, Erkennung anomaler Nutzung), aggregierte Betriebsstatistiken für Kapazitätsplanung und Systemoptimierung sowie Geschäftsentwicklung.
Gesetzliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO): Steuerrechtliche Aufbewahrung von Rechnungsdaten (10 Jahre, § 147 AO) und handelsrechtliche Dokumentationspflichten (6 Jahre, § 257 HGB).
4.3 Voice-Cloning und Stimmproben
Für die Erstellung individueller KI-Stimmen über ElevenLabs verarbeiten wir hochqualitative Stimmproben des jeweiligen Sprechers. Aus diesen extrahiert ElevenLabs biometrische Stimmcharakteristika (Tonhöhe, Sprachmelodie, Akzent) zur Erzeugung einer synthetischen Stimme.
Diese Verarbeitung erfolgt ausschließlich auf Basis einer ausdrücklichen und informierten Einwilligung des Sprechers (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO). Die Einwilligung wird dokumentiert und umfasst Datum, Umfang der gestatteten Nutzung und alle rechtlich relevanten Informationen.
Stimmproben und synthetische Stimmen werden gespeichert, solange die Stimme aktiv verwendet wird. Bei Deaktivierung, Vertragsende oder Widerruf der Einwilligung werden alle zugehörigen Daten binnen 7 Tagen gelöscht. Die Einwilligungsdokumentation wird für 3 Jahre nach Löschung aufbewahrt.
5. Datenverarbeitung auf der Website
5.1 Technische Zugriffsdaten
Beim Besuch unserer Website werden automatisch technische Informationen erfasst: IP-Adresse, Browsertyp und -version, Betriebssystem, Spracheinstellungen, Referrer-URL und Zugriffszeit. Diese Daten sind für den sicheren Betrieb der Website erforderlich (Art. 6 Abs. 1 lit. f DSGVO) und werden nach 90 Tagen automatisch gelöscht.
5.2 Cookies und Tracking
Technisch notwendige Cookies: Session-Management, Authentifizierung und Sicherheits-Cookies setzen wir ohne Einwilligung, da sie für die grundlegende Funktionalität unerlässlich sind.
Analytics-Cookies: Wir setzen Google Analytics (mit IP-Anonymisierung) für die Website-Optimierung ein. Diese Cookies werden nur mit Ihrer ausdrücklichen Einwilligung über unser Cookie-Banner gesetzt.
Marketing-Cookies: Retargeting- und Conversion-Tracking-Cookies werden ebenfalls nur nach ausdrücklicher Einwilligung gesetzt.
Unser Cookie-Banner bietet granulare Kontrolle: Sie können alle Kategorien einzeln an- oder abschalten. Einwilligungen gelten maximal 12 Monate und können jederzeit über die Cookie-Einstellungen im Footer widerrufen werden.
5.3 Kontaktformulare und Newsletter
Kontaktanfragen: Über Kontaktformulare erhobene Daten (Name, E-Mail, Telefon, Firmenname, Anfrage) werden zur Bearbeitung Ihrer Anfrage verarbeitet (Art. 6 Abs. 1 lit. b DSGVO bei vorvertraglichen Anfragen, Art. 6 Abs. 1 lit. f DSGVO bei allgemeinen Anfragen) und nach 3 Jahren gelöscht.
Newsletter: Bei Anmeldung zum Newsletter erfassen wir E-Mail-Adresse, Name und Interessensgebiete auf Basis Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Der Versand erfolgt über Mailgun (EU-Instanz). Die Daten werden bei Abmeldung binnen 30 Tagen gelöscht. Jeder Newsletter enthält einen Abmeldelink.
6. Partnerprogramm
6.1 Verarbeitete Daten
Für unser Partnerprogramm verarbeiten wir Partner-Profile (Firmenname, Geschäftsmodell, Zielgruppen, Kontaktdaten), Lead-Daten (Unternehmensinformationen, Kontaktpersonen, Projektanforderungen von vermittelten Interessenten) und Provisionsabrechnungen (vermittelte Kunden, Umsätze, Auszahlungshistorie).
6.2 Rechtsgrundlage und Löschung
Die Verarbeitung erfolgt auf Basis der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Partner tragen eigenständig Datenschutzverantwortung für die rechtskonforme Lead-Generierung und die Einholung erforderlicher Einwilligungen. Daten werden nach Beendigung der Partnerschaft innerhalb von 3 Jahren gelöscht. Steuerrelevante Daten (Provisionsabrechnungen) werden 10 Jahre aufbewahrt (§ 147 AO). Nicht qualifizierte Leads werden nach 1 Jahr gelöscht.
7. Speicherdauern im Überblick
| Datenkategorie | Speicherdauer |
|---|---|
| Audio-Streams (Stimme des Anrufers) | Keine Speicherung — nur Echtzeit-Verarbeitung |
| Transkripte und Zusammenfassungen | 7–90 Tage, konfigurierbar (Standard: 30 Tage) |
| Optionale Audioaufzeichnungen | 7–90 Tage (Standard: 14 Tage) |
| Telefonnummern der Anrufer | Wie Transkripte, danach anonymisiert |
| Geschäftskundendaten (Vertrag, Konfiguration) | Dauer der Geschäftsbeziehung |
| Abrechnungsdaten | 10 Jahre (§ 147 AO) |
| Voice-Cloning-Daten | Bis Widerruf oder Vertragsende + 7 Tage |
| Einwilligungsdokumentation (Voice-Cloning) | 3 Jahre nach Löschung der Stimmprobe |
| Server-Logs (Website) | 90 Tage |
| Kontaktanfragen | 3 Jahre |
| Newsletter-Daten | Bis Abmeldung + 30 Tage |
| Support-Kommunikation | Dauer Geschäftsbeziehung + 3 Jahre |
| Partner-/Lead-Daten | 3 Jahre nach Partnerschaftsende |
| Session- und Cache-Daten | Max. 24 Stunden |
| System-Logs (technisch, ohne Gesprächsinhalte) | 90 Tage |
| Backup-Daten | Entsprechend der Originaldaten-Fristen |
8. Technische Infrastruktur und eingesetzte Dienste
8.1 EU-Hosting und Datenlokalisation
Unsere gesamte Kerninfrastruktur ist in europäischen Rechenzentren lokalisiert. Alle Anruferdaten werden ausschließlich innerhalb der EU/des EWR verarbeitet und gespeichert.
Hauptinfrastruktur: Google Cloud Platform (Amsterdam, Frankfurt) für Hosting, Datenbanken (Cloud SQL), Dateispeicherung (Cloud Storage), Message-Queuing (Pub/Sub) und Container-Orchestrierung (GKE). Twilio (Irland, Frankfurt) für die vollständige Telefonie-Infrastruktur. Firebase Authentication (EU) für die Nutzer-Authentifizierung auf der Plattform.
Sprachverarbeitung (Speech-to-Text und Text-to-Speech): ElevenLabs (Amsterdam) für Sprachsynthese (TTS), Transkription (STT via Scribe v2) und Voice-Cloning. Deepgram (AWS EU-Region) als alternative Transkriptionslösung. Deepslate/Rooms Technology GmbH (Deutschland, Telekom Cloud) als EU-natives Sprachmodell und Transkriptionsdienst.
KI-Sprachmodelle für Gesprächsführung: Azure OpenAI Service (Stockholm, Schweden) als primäres Sprachmodell (GPT-4.1-mini). Google Vertex AI / Gemini (Amsterdam) als EU-Alternative. Deepslate/Rooms Technology GmbH (Deutschland, Telekom Cloud) als EU-natives Sprachmodell. OpenAI (USA) und Gemini (USA) als optionale Alternativen — nur nach expliziter Aktivierung durch den Geschäftskunden.
Wissensdatenbank: Pinecone Vektordatenbank (Amsterdam) mit NVIDIA-Embeddings für den Abruf von Wissensdatenbanken während des Gesprächs.
8.2 Kommunikations- und Benachrichtigungsdienste
E-Mail: Mailgun (EU-Instanz) für den Versand von System-E-Mails und Gesprächszusammenfassungen.
SMS: LOX24 GmbH (Berlin, Deutschland) für SMS-Benachrichtigungen und Terminbestätigungen.
Fax: simple-fax.de (Braunschweiger Simple Communication GmbH, Deutschland) für den Faxversand von Gesprächsergebnissen.
WhatsApp: Meta Platforms Ireland Ltd. (WhatsApp Cloud API, EU/Irland) für WhatsApp-Nachrichtenversand. Hinweis: Meta kann Metadaten in die USA übertragen — Details unter § 8.4. Bei bestimmten Whitelabel-Lösungen wird alternativ Whapi Cloud S.R.L. (Rumänien, EU) eingesetzt.
8.3 Plattform-Betrieb und Hilfsdienste
Abrechnung: Stripe (EU) für Abonnements, Nutzungs-Tracking und Zahlungsabwicklung.
Fehlerüberwachung: Sentry (USA) für technisches Error-Monitoring — es werden nur technische Fehlerdaten und pseudonymisierte Kontextdaten verarbeitet, keine Gesprächsinhalte.
Website-Analytics: Google Analytics (EU, mit IP-Anonymisierung und Cookie-Consent) für Frontend-Tracking.
Websuche: Brave Search (USA) und optional Perplexity AI (USA) für KI-gestützte Websuche während des Anrufs — nur kontextbezogene Suchanfragen.
Darüber hinaus nutzt neuromanufaktur intern weitere Dienste für den Plattform-Betrieb (z. B. CI/CD-Pipelines, Geocoding), bei denen keine personenbezogenen Daten von Anrufern oder Geschäftskunden verarbeitet werden. Diese sind daher nicht als Unterauftragsverarbeiter im AVV aufgeführt.
8.4 Drittlandtransfers und Schutzmaßnahmen
Bestimmte Dienste haben ihren Sitz in den USA oder außerhalb der EU. Diese werden — soweit sie Anruferdaten betreffen — nur nach expliziter Aktivierung durch den Geschäftskunden eingesetzt. Für alle Drittlandtransfers gelten folgende Schutzmaßnahmen:
EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss 2021/914 der EU-Kommission. EU-U.S. Data Privacy Framework, soweit der jeweilige Dienst zertifiziert ist. Transfer Impact Assessments für jeden einzelnen Dienst. Verschlüsselung aller Daten bei Übertragung (TLS 1.3) und Speicherung (AES-256).
Dienste mit potenziellem Drittlandtransfer: Sentry (USA, nur technische Daten), Brave Search (USA, nur Suchanfragen), Perplexity AI (USA, nur Suchanfragen, optional), OpenAI (USA, nur bei Aktivierung), Meta/WhatsApp (Metadaten ggf. USA).
8.5 Nutzer-Integrationen (eigene API-Keys des Geschäftskunden)
Folgende Dienste können vom Geschäftskunden eigenständig aktiviert werden, indem er seinen eigenen API-Key hinterlegt. Der Geschäftskunde ist in diesem Fall selbst für die datenschutzrechtliche Bewertung und den Abschluss eigener Vereinbarungen verantwortlich: Cal.com (Terminbuchung), Nylas (Kalender-Sync), Timum (Terminbuchung DE), Whapi/WhatsApp mit eigenem Key, Perplexity AI (KI-Suche), Tavily (KI-Suche), Brave Search mit eigenem Key, Make/Zapier/n8n (Webhook-Automatisierung), OpenWeatherMap, NewsAPI, ExchangeRate API und Calendarific.
8.6 Keine Datenweitergabe an Dritte
Wir verkaufen, vermieten oder übertragen keine personenbezogenen Daten an Dritte für deren eigene kommerzielle Zwecke. neuromanufaktur fungiert nicht als Datenbroker. Eine Weitergabe an Behörden erfolgt ausschließlich auf gesetzlicher Grundlage (richterlicher Beschluss, Gefahrenabwehr, behördliches Auskunftsersuchen). Soweit rechtlich zulässig, informieren wir betroffene Geschäftskunden über erfolgte behördliche Datenanfragen.
9. Datensicherheit
9.1 Verschlüsselung
Sämtliche Datenübertragungen erfolgen TLS-1.3-verschlüsselt. Alle gespeicherten Daten sind mit AES-256 verschlüsselt (Google Cloud Standard-Verschlüsselung). Die Schlüsselverwaltung erfolgt über Google Cloud KMS mit automatischer Schlüsselrotation.
9.2 Zugriffskontrolle
Für alle administrativen Zugriffe auf Produktionssysteme ist Multi-Faktor-Authentifizierung (MFA) obligatorisch. Es gilt das Least-Privilege-Prinzip: Jeder Nutzer und Dienst erhält nur die minimal erforderlichen Berechtigungen. Rollenbasierte Zugriffskontrolle (RBAC) ist auf allen Ebenen implementiert. Die Daten verschiedener Geschäftskunden sind logisch strikt getrennt (mandantenfähige Architektur).
9.3 Infrastruktur und Monitoring
Die Plattform läuft auf Google Kubernetes Engine (GKE) mit Autoscaling und Multi-Zone-Deployment. Tägliche automatisierte Backups aller Datenbanken mit Point-in-Time-Recovery. Kontinuierliche Überwachung durch Sentry und GCP-eigene Security-Monitoring-Tools. Automatisierte Vulnerability-Scans aller Container-Images. Regelmäßige Sicherheitsupdates aller Systemkomponenten.
9.4 Mitarbeitersicherheit
Alle Mitarbeiter sind auf die Vertraulichkeit verpflichtet (§ 53 BDSG) und erhalten regelmäßige Datenschutzschulungen. Vertraulichkeitsvereinbarungen gelten auch nach Beendigung des Beschäftigungsverhältnisses.
9.5 Incident Response
Bei Datenschutzverletzungen greifen definierte Prozesse: Sofortige Isolierung betroffener Systeme, Meldung an die zuständige Aufsichtsbehörde binnen 72 Stunden, Information betroffener Geschäftskunden binnen 24 Stunden und bei hohem Risiko Information der betroffenen Personen mit verständlicher Beschreibung und Schutzmaßnahmen.
10. Automatisierte Entscheidungsfindung und KI
10.1 KI-gestützte Gesprächsführung
Das Herzstück von vosano.ai ist die vollständig automatisierte Führung von Telefongesprächen durch KI-Systeme. Die KI analysiert in Echtzeit die Spracheingaben des Anrufers, erkennt und kategorisiert Anliegen, formuliert passende Antworten, greift auf Wissensdatenbanken zu und trifft Routing-Entscheidungen (z. B. ob ein Gespräch an einen menschlichen Mitarbeiter weitergeleitet werden sollte).
10.2 Transparenz und Kontrolle
Alle Anrufer werden zu Gesprächsbeginn über den KI-Einsatz informiert. Soweit vom Geschäftskunden konfiguriert, besteht die Möglichkeit der Weiterleitung an menschliche Mitarbeiter. Alle wesentlichen KI-Entscheidungen werden protokolliert und sind im Dashboard des Geschäftskunden nachvollziehbar.
10.3 AI Act Compliance
Die Verantwortung für die AI-Act-konforme Nutzung und Klassifikation (insbesondere die Prüfung, ob ein Hochrisiko-KI-System vorliegt) liegt beim Geschäftskunden als Betreiber in seinem spezifischen Anwendungskontext. neuromanufaktur unterstützt durch technische Dokumentation über die eingesetzten KI-Modelle, standardmäßige Transparenz-Features (KI-Kennzeichnung), grundlegendes Qualitätsmonitoring, Logging und Nachvollziehbarkeit der Systementscheidungen und konfigurierbare Eskalationsmöglichkeiten an menschliche Mitarbeiter.
11. Betroffenenrechte
11.1 Ihre Rechte im Überblick
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über alle zu Ihrer Person verarbeiteten Daten verlangen — einschließlich Verarbeitungszwecke, Datenkategorien, Empfänger, Speicherdauern und Informationen über automatisierte Entscheidungsfindung.
Berichtigungsrecht (Art. 16 DSGVO): Sie haben das Recht auf unverzügliche Berichtigung unrichtiger Daten.
Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, wenn der Verarbeitungszweck entfallen ist, Sie Ihre Einwilligung widerrufen oder die Verarbeitung unrechtmäßig war.
Einschränkungsrecht (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen, z. B. wenn Sie die Richtigkeit bestreiten.
Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON oder CSV) zu erhalten.
Widerspruchsrecht (Art. 21 DSGVO): Sie können aus Gründen Ihrer besonderen Situation jederzeit gegen die Verarbeitung auf Basis berechtigter Interessen Widerspruch einlegen.
Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Einwilligungen können jederzeit widerrufen werden, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird.
11.2 Kontakt und Verfahren
Kontakt für Betroffenenrechte:
E-Mail: office@neuromanufaktur.ai
Post: neuromanufaktur GmbH, z.Hd. Datenschutz, Hanauer Landstraße 204, 60314 Frankfurt am Main
Telefon: +49 69 870001070 (Mo–Fr 9–17 Uhr)
Bearbeitungsfristen: Standardfälle binnen 30 Tagen, komplexe Fälle mit Verlängerung um bis zu 60 Tage (mit Begründung).
Kostenfrei: Die Ausübung aller Betroffenenrechte ist grundsätzlich kostenfrei.
11.3 Besondere Regelung für Anrufer
Für Daten, die wir im Auftrag von Geschäftskunden verarbeiten, wenden Sie sich bitte zunächst an das Unternehmen, bei dem Sie angerufen haben — dieses ist der datenschutzrechtlich Verantwortliche. Alternativ können Sie sich direkt an uns wenden; wir koordinieren die Bearbeitung dann mit dem zuständigen Geschäftskunden.
12. Aufsichtsbehörde und Beschwerderecht
Hessischer Beauftragter für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1, 65189 Wiesbaden
Telefon: +49 611 1408-0 | E-Mail: poststelle@datenschutz.hessen.de
Website: https://datenschutz.hessen.de
Sie haben das Recht, sich jederzeit bei der zuständigen Aufsichtsbehörde zu beschweren — auch bei Ihrer lokalen Datenschutzbehörde in einem anderen EU-Mitgliedstaat. Beschwerden können per Post, E-Mail, Online-Formular oder persönliche Vorsprache eingereicht werden.
13. Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung wird regelmäßig überprüft und bei Bedarf aktualisiert. Geschäftskunden werden per E-Mail über wesentliche Änderungen informiert. Bei Änderungen, die Ihre Rechte beeinträchtigen, räumen wir ein Widerspruchsrecht ein. Das Datum der letzten Änderung finden Sie oben.
Letzte Aktualisierung: 20. Februar 2026
neuromanufaktur GmbH | Hanauer Landstraße 204 | 60314 Frankfurt am Main
office@neuromanufaktur.ai | www.vosano.ai