1. Einleitung und Geltungsbereich

Diese Datenschutzerklärung erläutert, wie Callilio (in Gründung) („Callilio“, „wir“, „uns“ oder „unser“) personenbezogene Daten erhebt, nutzt, verarbeitet, speichert, übermittelt und offenlegt, wenn Personen auf unsere KI-gestützte Geschäftskommunikationsplattform und zugehörige Dienste zugreifen oder diese nutzen (zusammen die „Dienste“).

Unsere Dienste befähigen Unternehmen wie Zahnarztpraxen, Anwaltskanzleien, Salons, Hotels, Restaurants, Tierarztpraxen und viele weitere Branchen, ihre Kommunikation mithilfe eines KI-Sprachassistenten zu automatisieren, der auf großen Sprachmodellen (LLMs) basiert. Diese Dienste umfassen die Annahme eingehender Anrufe, Terminplanung per Sprache, Chat, SMS und Web-Widgets, automatisierte Erinnerungen, Outbound-Marketingkampagnen mit Einwilligungs-Tracking, Warteliste-Verwaltung, einen vereinheitlichten Posteingang für Mehrkanalkommunikation, Anrufaufzeichnung und -transkription, Kalenderintegrationen, Verzeichnis-/IVR-Routing, Webhooks und eine REST-API. Die einzelnen Funktionen sind in unseren Nutzungsbedingungen beschrieben.

Diese Richtlinie gilt für personenbezogene Daten, die wir über unsere Website (callilio.com und Subdomains), Webanwendungen, Telefoniedienste und alle sonstigen Mittel erheben, über die wir die Dienste bereitstellen. Sie umfasst auch personenbezogene Daten, die unser KI-Sprachassistent für Endkunden („Anrufer“) im Auftrag unserer Geschäftskunden verarbeitet. Sie gilt nicht für Websites oder Dienste Dritter, die wir nicht kontrollieren.

Wir respektieren Ihre Privatsphäre und halten die geltenden Datenschutzgesetze ein, einschließlich der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“), des österreichischen Datenschutzgesetzes (DSG), des Schweizer Bundesgesetzes über den Datenschutz (DSG/FADP), der ePrivacy-Richtlinie, des California Consumer Privacy Act in der Fassung des California Privacy Rights Act (CCPA/CPRA) sowie weiterer geltender Datenschutzgesetze einzelner US-Bundesstaaten.

2. Wer wir sind

Callilio (in Gründung) ist ein in Österreich in Gründung befindliches Unternehmen mit Sitz in Wien. Unsere Plattform wird über vertrauenswürdige Cloud-Anbieter in der EU und den Vereinigten Staaten gehostet. Im Sinne der DSGVO und des DSG handelt Callilio als Verantwortlicher für personenbezogene Daten, die sich auf unsere eigenen Kunden (d. h. Unternehmen, die ein Callilio-Konto anlegen) und Websitebesucher beziehen. Wir handeln als Auftragsverarbeiter, wenn wir personenbezogene Daten von Endkunden (Patienten, Klienten, Gäste oder andere Personen) im Auftrag unserer Geschäftskunden verarbeiten.

3. Unsere Rolle: Verantwortlicher und Auftragsverarbeiter

Je nach Ihrer Beziehung zu Callilio können wir als Verantwortlicher oder als Auftragsverarbeiter handeln:

Rolle

Beschreibung

Verantwortlicher

Wir sind Verantwortlicher für personenbezogene Daten, die von Personen erhoben werden, die unsere Website besuchen, Konten anlegen, unsere Dienste abonnieren oder anderweitig mit uns interagieren. Als Verantwortlicher bestimmen wir die Zwecke und Mittel der Verarbeitung.

Auftragsverarbeiter

Wir sind Auftragsverarbeiter, wenn unsere Kunden unsere Plattform nutzen, um personenbezogene Daten über ihre Endkunden zu verarbeiten. Wenn unser KI-Sprachassistent beispielsweise einen Termin im Auftrag einer Zahnarztpraxis bucht, verarbeiten wir den Namen, die Kontaktdaten und die Termindetails des Anrufers ausschließlich nach den Weisungen des Kunden. In diesen Fällen ist der Kunde der Verantwortliche, und wir verarbeiten Daten auf Grundlage eines Auftragsverarbeitungsvertrags (AVV).

4. Personenbezogene Daten, die wir erheben

Wir erheben unterschiedliche Kategorien personenbezogener Daten, je nachdem, wie Sie mit unseren Diensten interagieren.

4.1 Konto- und Unternehmensdaten

Wenn Kunden ein Callilio-Konto anlegen oder anderweitig mit uns kommunizieren, erheben wir:

Kontaktdaten: Name, Firmenname, E-Mail-Adresse, Telefonnummer, Rechnungs- und Postadressen.
Authentifizierungsdaten: Benutzernamen, gehashte Passwörter, OAuth-Token.
Profilinformationen: Branche, Unternehmensgröße, Rollen und Präferenzen.
Rechnungsinformationen: die letzten vier Ziffern der Zahlungskarte, Rechnungsadresse und Steuernummern. Zahlungen werden über Stripe abgewickelt; wir speichern keine vollständigen Kartendaten.
Marketingpräferenzen: Einwilligungen für E-Mail- und SMS-Kommunikation.

4.2 Endkundendaten

Wenn unsere Kunden die Dienste nutzen, um mit ihren Klienten oder Patienten zu interagieren, verarbeiten wir:

Identifizierende Informationen: Name, Telefonnummer, E-Mail-Adresse und manchmal Alter oder eindeutige Kennungen, sofern vom Anrufer angegeben.
Termindaten: Datum, Uhrzeit, gewünschte Leistung und Notizen zur Buchung.
Interaktionsinhalte: Audioaufzeichnungen von Anrufen, Transkripte von Gesprächen, Chatprotokolle und über das Web-Widget oder per SMS erfasste Anfragen. Dies kann sensible Daten wie gesundheitsbezogene Informationen umfassen, wenn sich das Gespräch auf einen medizinischen Termin bezieht.
Einwilligungsstatus: Aufzeichnungen über die Einwilligung in Anrufaufzeichnung, SMS-Nachrichten und E-Mail-Kommunikation.

4.3 Kommunikations- und Nutzungsdaten

Zur Bereitstellung und Verbesserung unserer Dienste erheben wir automatisch:

Anrufmetadaten: Zeitstempel, Dauer, Ziel- und Ursprungsrufnummern, Anrufweiterleitung und Weiterleitungsprotokolle.
Systemprotokolle: IP-Adressen, Gerätekennungen, Browsertyp, Betriebssystem, Fehlerprotokolle und Leistungskennzahlen.
Nutzungsanalysen: aggregierte Statistiken zur Funktionsnutzung und Leistungskennzahlen. Optionale Analyse-Tools (etwa Google Analytics 4 und Microsoft Clarity) werden erst nach Ihrer ausdrücklichen Einwilligung geladen; bis Sie zustimmen, laufen keine nicht notwendigen Analyse-Skripte. Wir nutzen Analysen niemals für Werbung oder seitenübergreifendes Tracking. Einzelheiten finden Sie in Abschnitt 7.
Cookies: Wir verwenden unbedingt erforderliche Cookies, um sichere Sitzungen aufrechtzuerhalten und unsere Dienste bereitzustellen. Etwaige nicht notwendige (Analyse-)Cookies werden nur nach Ihrer vorherigen Einwilligung geladen. Wir setzen keine Werbe-Cookies ein. Einzelheiten finden Sie in Abschnitt 7.

4.4 Abrechnungs- und Finanzdaten

Für kostenpflichtige Abonnements erheben wir Rechnungsinformationen wie Zahlungsbeträge, Abonnementpläne, Nutzungsaufzeichnungen, Rechnungen und Zahlungsstatus. Stripe verarbeitet Zahlungskartendaten; wir speichern lediglich Token und die letzten vier Ziffern zu Identifikationszwecken.

4.5 Sensible Daten

Abhängig von der Branche und der Kundenkonfiguration können wir besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeiten. So kann beispielsweise eine Zahnarztpraxis während einer Terminbuchung Gesundheitszustände erörtern. Wir verarbeiten solche Daten im Auftrag unserer Kunden und nach deren Weisungen. Wir nutzen diese Daten nicht für Profiling oder Marketing.

5. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir stützen uns auf verschiedene Rechtsgrundlagen nach der DSGVO, dem DSG, dem FADP und anderen Gesetzen, um personenbezogene Daten zu verarbeiten. Für jede Datenkategorie nennen wir Zweck und Rechtsgrundlage:

Datenkategorie	Zweck	Rechtsgrundlage
Konto- und Unternehmensdaten	Zum Anlegen und Verwalten von Kundenkonten; zur Bereitstellung des Zugangs zu den Diensten; zur Authentifizierung von Nutzern; zur Kommunikation über Service-Updates, Sicherheitswarnungen und administrative Nachrichten; zur Beantwortung von Anfragen; und zur Bereitstellung von Kundensupport.	Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) für den Kundensupport; rechtliche Verpflichtung, soweit für Rechnungen oder die Steuerkonformität erforderlich.
Endkundendaten	Zur Bereitstellung von Terminplanung, Anrufweiterleitung, FAQ-Antworten und anderer KI-gestützter Kommunikation im Auftrag unserer Kunden; zur Aufzeichnung und Transkription von Anrufen, soweit zulässig; zum Versand von Erinnerungen und Benachrichtigungen; und zur Bereitstellung von Analysen für unsere Kunden.	Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bei Tätigkeit als Auftragsverarbeiter; berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) an der Verbesserung unserer Dienste; Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Anrufaufzeichnung und Marketingkommunikation, soweit erforderlich.
Kommunikations- und Nutzungsdaten	Zur Absicherung und zum Betrieb unserer Plattform; zur Überwachung der Leistung und Fehlerbehebung; zur Analyse der Nutzung und Verbesserung von Funktionen; zur Verhinderung von Betrug und Missbrauch.	Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) an der Gewährleistung der Netz- und Informationssicherheit und der Verbesserung der Dienste.
Abrechnungs- und Finanzdaten	Zur Abwicklung von Zahlungen, Verwaltung von Abonnements, Rechnungsstellung an Kunden, Berechnung von Nutzungsgebühren und Einhaltung steuerlicher und buchhalterischer Pflichten.	Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) zur Einhaltung finanzieller Vorschriften.
Sensible Daten	Zur Planung von Gesundheits- oder Rechtsterminen, sofern von unseren Kunden autorisiert; zur Verarbeitung gesundheitsbezogener Informationen für die Terminbuchung; zur Aufzeichnung von Einwilligungen.	Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) oder andere anwendbare Ausnahmen; Vertragserfüllung, sofern die Verarbeitung für die Versorgung erforderlich ist.

Wir treffen keine ausschließlich automatisierten Entscheidungen, die rechtliche oder ähnlich erhebliche Auswirkungen haben, ohne menschliche Aufsicht. Alle automatisierten Empfehlungen unserer KI-Systeme unterliegen einer menschlichen Überprüfung durch unsere Kunden oder deren Mitarbeitende.

6. Automatisierte Entscheidungen und KI-Transparenz

Callilio nutzt große Sprachmodelle, um Anrufer in über 30 Sprachen zu verstehen und ihnen zu antworten. Unsere KI-Sprachassistenten stützen sich auf Speech-to-Text (Deepgram), LLM-Orchestrierung (OpenAI GPT-4o, Anthropic Claude) und Text-to-Speech (Amazon Polly, ElevenLabs), um konversationelle Antworten zu liefern. Wir setzen Retrieval-Augmented Generation (RAG) ein, um häufig gestellte Fragen aus einer unternehmensspezifischen Wissensdatenbank zu beantworten und Termine mit integrierten Kalendern zu planen.

In Übereinstimmung mit Art. 22 DSGVO und dem EU-KI-Gesetz informieren wir Sie darüber, dass:

Keine automatisierten Entscheidungen mit Rechtswirkung. Wir nutzen KI nicht, um Entscheidungen zu treffen, die ohne menschliche Beteiligung rechtliche oder ähnlich erhebliche Auswirkungen haben. Unsere KI-Assistenten geben Empfehlungen oder führen Aktionen aus (z. B. Terminbuchungen) auf Grundlage kundendefinierter Parameter. Kunden bleiben für die Überprüfung KI-generierter Ergebnisse verantwortlich.

Transparenz. Anrufer, die mit unserer KI interagieren, werden darüber informiert, dass sie mit einem KI-System sprechen. Soweit gesetzlich erforderlich, holen wir die Einwilligung zur Anrufaufzeichnung und -verarbeitung ein.

Menschliche Aufsicht. Unsere Systeme ermöglichen es Kunden, jede von der KI ausgeführte Aktion zu überschreiben oder zu korrigieren. Kunden können Anrufprotokolle, Transkripte und Buchungen überprüfen.

Sicherheitsmaßnahmen. Wir setzen Schutz vor Prompt Injection und Guardrails ein, um zu verhindern, dass die KI schädliche oder unangemessene Inhalte erzeugt. Unterauftragsverarbeitern wie OpenAI und Anthropic ist es vertraglich untersagt, ihre Modelle mit unseren Kundendaten zu trainieren.

7. Cookies und ähnliche Technologien

Wir verwenden eine minimale Auswahl an Cookies und ähnlichen Technologien. Standardmäßig — bevor Sie einwilligen — laden wir nur unbedingt erforderliche und funktionale Speicherung. Wir verwenden niemals Werbe-Cookies, Retargeting-Pixel oder seitenübergreifende Tracker. Optionale Analyse-Technologien werden erst nach Ihrer ausdrücklichen Einwilligung geladen (siehe Abschnitte 7.4 und 7.5).

7.1 Cookies

Cookie	Anbieter	Zweck	Kategorie	Dauer
`sb-*-auth-token`	Supabase (Erstanbieter)	Hält Ihre authentifizierte Sitzung nach der Anmeldung aufrecht. Für den Betrieb der Plattform erforderlich.	Unbedingt erforderlich	Sitzung / Refresh-Zyklus

7.2 Lokaler Speicher (Browser)

Wir nutzen den lokalen Speicher Ihres Browsers ausschließlich für funktionale Zwecke. Diese Einträge werden niemals an Dritte übertragen und nicht für Tracking oder Profiling verwendet:

Schlüssel	Zweck	Kategorie
`theme`	Speichert Ihre Präferenz für den hellen/dunklen Modus	Funktional
`callilio_active_business`	Speichert, welches Unternehmen Sie zuletzt angesehen haben (angemeldete Nutzer)	Unbedingt erforderlich
`callilio_visitor_id`	Anonyme Sitzungskennung für das Chat-Widget der Startseite, damit der Konversationsverlauf über Seitenaufrufe hinweg erhalten bleibt	Funktional
`callilio_pricing_vid`	Anonyme Kennung, um Ihre Sitzung im Preisrechner zu erhalten	Funktional
`current_location_id`	Speichert Ihren zuletzt ausgewählten Standort für Unternehmen mit mehreren Standorten.	Unbedingt erforderlich
`copilot_chat_history`	Speichert die letzten 30 Nachrichten des KI-Copilot-Chats zur Kontinuität über Seitenaufrufe hinweg. Wird ausschließlich in Ihrem Browser gespeichert und niemals an Dritte übertragen.	Funktional
`callilio_cookie_notice_dismissed`	Speichert, dass Sie den Cookie-Hinweis ausgeblendet haben.	Funktional
`preferredBusinessName`	Temporäre Registrierungshilfe, die nach Abschluss des Onboardings gelöscht wird.	Funktional
UI-Statusschlüssel	Eingeklappter Zustand der Seitenleiste, Onboarding-Fortschritt, Mitarbeiterfilter und ähnliche Oberflächenpräferenzen	Funktional

Hinweis: Aus Gründen der Abwärtskompatibilität wird die aktive Unternehmenskennung in zwei Legacy-Schlüsseln (current_business_id und currentBusinessId) gespiegelt, die denselben Wert wie callilio_active_business enthalten. Diese Legacy-Schlüssel werden in einer künftigen Version konsolidiert und stellen keine zusätzliche Datenerhebung dar.

7.3 Einbettbares Widget

Wenn ein Unternehmen unser Chat- oder Buchungs-Widget auf seiner Website einbettet, speichert das Widget eine widget_visitor_id im lokalen Speicher des Browsers des Besuchers. Diese anonyme Kennung ermöglicht es, das Chatgespräch über Seitenaufrufe innerhalb derselben Sitzung hinweg fortzuführen. Sie wird nicht für seitenübergreifendes Tracking verwendet und nicht an Dritte weitergegeben.

7.4 Werbung und Tracking, die wir niemals verwenden

Wir verwenden nicht: Werbe-Cookies, Retargeting-Pixel, Social-Media-Tracker, Facebook Pixel, Google Tag Manager oder andere Marketingskripte Dritter. Wir betreiben kein verhaltensbasiertes Werben und kein seitenübergreifendes Tracking. Wir können optionale, einwilligungsgesteuerte Produktanalysen einsetzen (etwa Google Analytics 4 und Microsoft Clarity, die aggregierte Nutzungsstatistiken und Session-Replay- Heatmaps umfassen können) — diese werden erst nach Ihrer Einwilligung über unsere Cookie-Einstellungen geladen und laufen niemals standardmäßig.

7.5 Verwaltung von Cookies

Standardmäßig verwenden wir ausschließlich unbedingt erforderliche und funktionale Speicherung, die keine Einwilligung erfordert. Optionale Analyse-Technologien werden erst nach Ihrer Einwilligung geladen, und Sie können diese Einwilligung jederzeit widerrufen. Sie können Cookies und lokalen Speicher außerdem jederzeit über Ihre Browsereinstellungen löschen; dadurch wird jedoch Ihre authentifizierte Sitzung beendet und Ihre Oberflächenpräferenzen werden zurückgesetzt. Wenn wir weitere nicht wesentliche Technologien aktivieren, aktualisieren wir diesen Abschnitt und wenden vor deren Aktivierung geeignete Einwilligungsmechanismen an.

8. Unterauftragsverarbeiter

Wir setzen Drittanbieter („Unterauftragsverarbeiter“) ein, um unsere Dienste zu unterstützen. Jeder Unterauftragsverarbeiter wird sorgfältig auf Sicherheit, Compliance und Datenschutz geprüft.

Unterauftragsverarbeiter	Zweck	Verarbeitete Daten	Datenstandort
Vercel	Web-Frontend-Hosting und Edge-Delivery	Website-Inhalte, IP-Adressen (Serverprotokolle)	EU und USA (EU-Region verfügbar)
Supabase	Datenbank, Authentifizierung, Speicher, Edge-Funktionen	Kontodaten, Unternehmensdaten, Anrufmetadaten, Transkripte, Aufzeichnungen, API-Schlüssel	Standardmäßig EU-Region; USA optional
Twilio	Primärer Telefonieanbieter (Sprachanrufe und SMS)	Anrufer-ID, Anrufaufzeichnungen, Anrufmetadaten, SMS-Inhalte	EU (Twilio Ireland Ltd.) und USA (mit SCCs)
Telnyx	Sekundärer Telefonieanbieter	Wie Twilio	EU und USA
OpenAI	LLM-API für die Konversationsorchestrierung	Transkripte und Prompts (pseudonymisiert)	EU (Azure OpenAI EU) oder USA
Anthropic	Alternativer LLM-Anbieter (Claude)	Wie OpenAI	USA mit SCCs
Deepgram	Speech-to-Text-Transkription	Audiodaten, Transkripte	USA
Amazon Polly / ElevenLabs	Text-to-Speech-Synthese	Text-Prompts	USA und EU
Resend	Zustellung transaktionaler E-Mails	E-Mail-Adressen, Nachrichteninhalte	USA
Stripe	Zahlungsabwicklung	Zahlungskarten-Token, Rechnungsinformationen	USA und EU (Data Privacy Framework)
Google Calendar API	Kalenderintegration (bidirektionale Synchronisierung)	Kalenderereignisse, Namen/Kontaktdaten von Teilnehmern	Weltweit mit EU-SCCs
Microsoft Graph API	Kalenderintegration	Wie Google Calendar	Weltweit mit SCCs
Sentry (optional)	Serverseitiges Fehlermonitoring (nur aktiviert, wenn wir Monitoring einschalten)	Stack-Traces, Fehlerkontext, Unternehmensmetadaten (pseudonymisiert)	USA mit SCCs

Hinweis: Sentry wird bedingt aktiviert. Wenn die Umgebungsvariable MONITORING_PROVIDER nicht auf sentry gesetzt ist, werden keine Daten an Sentry-Server übertragen.

Wenn wir neue Unterauftragsverarbeiter einsetzen oder die Nutzung bestehender Unterauftragsverarbeiter wesentlich ändern, aktualisieren wir diese Liste und benachrichtigen Kunden gemäß unserem AVV und unseren Nutzungsbedingungen.

9. Internationale Datenübermittlungen

Wir sind weltweit tätig und können personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums („EWR“), der Schweiz und des Vereinigten Königreichs übermitteln. Sofern wir dies tun, setzen wir geeignete Garantien um, darunter:

Angemessenheitsbeschlüsse: Wir stützen uns, soweit anwendbar, auf das EU-US Data Privacy Framework.
Standardvertragsklauseln (SCCs): Für Übermittlungen in Länder ohne Angemessenheitsbeschluss setzen wir die Standardvertragsklauseln der Europäischen Kommission um und verlangen dies auch von unseren Unterauftragsverarbeitern.
Zusätzliche Garantien: Verschlüsselung während der Übertragung und im Ruhezustand, Pseudonymisierung und vertragliche Verpflichtungen, die Weiterübermittlungen ohne gleichwertigen Schutz untersagen.

Sie können uns kontaktieren, um Kopien der für Ihre Datenübermittlungen verwendeten SCCs zu erhalten.

10. Aufbewahrung personenbezogener Daten

Wir bewahren personenbezogene Daten nur so lange auf, wie dies zur Erfüllung der in dieser Richtlinie beschriebenen Zwecke, zur Einhaltung unserer rechtlichen Verpflichtungen und zur Beilegung von Streitigkeiten erforderlich ist. Die Aufbewahrungsfristen variieren je nach Kategorie:

Kontodaten: Werden für die Dauer der Kundenbeziehung und bis zu sieben Jahre danach aufbewahrt, um steuerliche und buchhalterische Anforderungen zu erfüllen.
Anrufaufzeichnungen und Transkripte: Die Standardaufbewahrung beträgt 90 Tage, Kunden können jedoch über die Kontoeinstellungen kürzere oder längere Zeiträume festlegen. Aufzeichnungen können länger aufbewahrt werden, sofern gesetzlich vorgeschrieben.
Chatprotokolle und Widget-Interaktionen: Werden zwei Jahre aufbewahrt, sofern der Kunde keinen kürzeren Zeitraum festlegt.
Abrechnungsunterlagen: Werden nach österreichischem Buchhaltungsrecht zehn Jahre aufbewahrt.
Analyse- und Nutzungsdaten: Aggregierte und anonymisierte Daten können zu statistischen Zwecken unbegrenzt aufbewahrt werden. Nicht aggregierte Protokolle werden innerhalb von sechs Monaten gelöscht oder anonymisiert.
Sensible Daten: Werden im Auftrag von Kunden verarbeitet; die Aufbewahrungsfrist richtet sich nach den Weisungen des Kunden und den geltenden gesundheits- oder rechtsbezogenen Vorschriften.

11. Ihre Rechte

Je nach Ihrer Rechtsordnung stehen Ihnen bestimmte Rechte in Bezug auf Ihre personenbezogenen Daten zu. Wenn wir als Verantwortlicher handeln, können Sie diese Rechte direkt gegenüber Callilio ausüben; wenn wir als Auftragsverarbeiter handeln, sollten Sie sich an das jeweilige Unternehmen wenden, das unsere Dienste nutzt. Zu Ihren Rechten können gehören:

Auskunftsrecht. Bestätigung darüber erhalten, ob wir Ihre personenbezogenen Daten verarbeiten, und eine Kopie der Daten erhalten.

Recht auf Berichtigung. Berichtigung unrichtiger oder unvollständiger Daten verlangen.

Recht auf Löschung („Recht auf Vergessenwerden“). Unter bestimmten Voraussetzungen die Löschung personenbezogener Daten verlangen.

Recht auf Einschränkung. Verlangen, dass wir die Verarbeitung aller oder einiger Ihrer personenbezogenen Daten vorübergehend oder dauerhaft einstellen.

Recht auf Datenübertragbarkeit. Die von Ihnen bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und an einen anderen Verantwortlichen übermitteln.

Widerspruchsrecht. Der Verarbeitung Ihrer personenbezogenen Daten auf Grundlage unserer berechtigten Interessen oder zu Zwecken der Direktwerbung widersprechen.

Recht auf Widerruf der Einwilligung. Eine erteilte Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Recht, keiner automatisierten Entscheidungsfindung unterworfen zu werden. Wie oben erwähnt, betreiben wir keine vollständig automatisierte Entscheidungsfindung mit erheblichen Auswirkungen.

Beschwerderecht. Eine Beschwerde bei der österreichischen Datenschutzbehörde oder Ihrer örtlichen Aufsichtsbehörde einreichen.

Um Ihre Rechte auszuüben, kontaktieren Sie uns bitte über die Angaben im Abschnitt Kontaktinformationen. Wir müssen möglicherweise Ihre Identität überprüfen, bevor wir auf Ihre Anfrage antworten.

12. Datenschutzhinweise für Kalifornien und US-Bundesstaaten

Wenn Sie in Kalifornien oder bestimmten anderen US-Bundesstaaten mit Datenschutzgesetzen ansässig sind, stehen Ihnen besondere Rechte nach dem CCPA/CPRA und ähnlichen Gesetzen zu. Die Kategorien personenbezogener Daten, die wir erheben, entsprechen den im CCPA aufgeführten Kategorien (Identifikatoren, kommerzielle Informationen, Internetaktivität, Audioaufzeichnungen, sensible personenbezogene Daten usw.). Wir verkaufen Ihre personenbezogenen Daten nicht und geben sie nicht für kontextübergreifende verhaltensbasierte Werbung weiter.

Sie haben das Recht zu erfahren, welche personenbezogenen Daten wir erheben, zu welchem Zweck wir sie erheben, mit welchen Kategorien von Dritten wir Informationen teilen, sowie das Recht, die Löschung oder Berichtigung Ihrer personenbezogenen Daten zu verlangen. Wir werden Sie nicht für die Ausübung Ihrer Rechte benachteiligen. Um eine Verbraucherrechtsanfrage zu stellen, kontaktieren Sie uns bitte über die unten stehenden Angaben. Sie können auch einen bevollmächtigten Vertreter benennen, der in Ihrem Namen Anfragen stellt.

13. Schweizer Datenschutzhinweise

Für Personen in der Schweiz verarbeiten wir personenbezogene Daten in Übereinstimmung mit dem revidierten Schweizer DSG. Die Begriffe „Verantwortlicher“, „Auftragsverarbeiter“ und „personenbezogene Daten“ haben die im DSG festgelegte Bedeutung. Unsere Verarbeitungstätigkeiten, Rechtsgrundlagen und Rechte ähneln den oben beschriebenen. Sie können eine Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einreichen, wenn Sie der Ansicht sind, dass Ihre Rechte nach Schweizer Recht verletzt wurden.

14. Datenschutz von Kindern

Unsere Dienste sind für die Nutzung durch Unternehmen und deren Klienten bestimmt, die mindestens 16 Jahre alt sind (oder älter, sofern nach lokalem Recht erforderlich). Wir erheben nicht wissentlich personenbezogene Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass ein Kind unter 16 Jahren uns personenbezogene Daten übermittelt hat, ergreifen wir Maßnahmen, um diese Daten zu löschen. Wenn Sie Elternteil oder Erziehungsberechtigter sind und der Ansicht sind, dass Ihr Kind uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte.

15. Sicherheitsmaßnahmen

Wir setzen geeignete technische und organisatorische Maßnahmen um, um personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen. Zu diesen Maßnahmen gehören:

Verschlüsselung: Alle Daten während der Übertragung werden mit TLS 1.2 oder höher verschlüsselt, und Daten im Ruhezustand werden mit AES-256 verschlüsselt. Von Stripe verarbeitete Zahlungsinformationen werden gemäß den PCI-DSS-Standards gespeichert und übertragen.
Zugriffskontrolle: Der Zugriff auf Systeme und Datenbanken ist nach Rolle und Erforderlichkeit beschränkt. Für Administratoren wird Multi-Faktor-Authentifizierung durchgesetzt. Nutzerzugriffe werden protokolliert und auditiert.
Netzwerksicherheit: Unsere Infrastrukturanbieter (Vercel und Supabase) unterhalten branchenübliche Sicherheitskontrollen, einschließlich Firewalls, Netzwerkisolierung und DDoS-Schutz. Telefonieverkehr nutzt sichere Protokolle (z. B. TLS für SIP und SRTP für Medien).
Anwendungssicherheit: Wir nutzen sichere Coding-Praktiken, Code-Reviews bei nicht-trivialen Änderungen, Eingabevalidierung, parametrisierte Abfragen und automatisiertes Dependency-Scanning (npm audit, GitHub Dependabot), um Schwachstellen zu mindern. Wir führen interne Sicherheitsüberprüfungen neuer Funktionen durch und werden vor dem Onboarding von Enterprise-Piloten einen formalen Penetrationstest-Rhythmus veröffentlichen.

Weitere Einzelheiten finden Sie auf unserer Sicherheitsseite. Trotz unserer Bemühungen ist kein System vollständig sicher; daher können wir keine absolute Sicherheit garantieren. Sie können zur Sicherheit Ihrer Daten beitragen, indem Sie starke Passwörter wählen, die Multi-Faktor-Authentifizierung aktivieren und uns über vermutete Sicherheitsvorfälle informieren.

16. Änderungen dieser Richtlinie

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken, Technologien oder gesetzlicher Anforderungen widerzuspiegeln. Bei wesentlichen Änderungen benachrichtigen wir Nutzer über die Dienste oder per E-Mail. Das Datum der letzten Überarbeitung ist am Anfang dieser Richtlinie angegeben. Die fortgesetzte Nutzung der Dienste nach dem Inkrafttreten einer aktualisierten Richtlinie gilt als Annahme der überarbeiteten Bedingungen.

17. Kontaktinformationen

Wenn Sie Fragen, Anliegen oder Anfragen zu dieser Datenschutzerklärung oder unseren Datenpraktiken haben, kontaktieren Sie bitte:

Callilio (in Gründung)

z. Hd. Datenschutzbeauftragter

Wien, Österreich

E-Mail: privacy@callilio.com

Für in der EU/im EWR ansässige Personen besteht zudem das Recht, eine Beschwerde bei Ihrer örtlichen Aufsichtsbehörde einzureichen. In Österreich ist die zuständige Behörde die Datenschutzbehörde (www.dsb.gv.at). In der Schweiz können Sie sich an den EDÖB wenden (www.edoeb.admin.ch). In den Vereinigten Staaten können Sie sich für Datenschutzbeschwerden an den zuständigen Attorney General des jeweiligen Bundesstaates wenden.