| Zweck der Verarbeitung | Anmeldung, Sitzungsverwaltung und Zugangskontrolle |
|---|
| Kategorien betroffener Personen | Registrierte Nutzer (Mitarbeiter, Geschäftspartner) |
|---|
| Kategorien personenbezogener Daten | E-Mail-Adresse, Passwort (Hashwert), Name, Vorname, IP-Adresse, Zeitstempel, Spracheinstellung, Profilbild |
|---|
| Rechtsgrundlage | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |
|---|
| Empfänger / Auftragsverarbeiter | Microsoft Azure AD (SSO) – Microsoft Ireland Operations Ltd. |
|---|
| Drittlandtransfer | USA (Microsoft) – EU-Standardvertragsklauseln, Microsoft DPA |
|---|
| Löschfristen | Login-Historien: automatische Löschung nach 6 Monaten. Benutzerkonten: bei Kontolöschung durch den Nutzer. |
|---|
| Technische Maßnahmen | Passwort-Hashing (bcrypt), verschlüsselte Sessions, TLS/SSL, CSRF-Schutz |
|---|
| Zweck der Verarbeitung | Verwaltung von Kontakten, Accounts, Opportunities, Aktivitäten, Notizen, Follow-Ups, Dokumenten und Angeboten |
|---|
| Kategorien betroffener Personen | Nutzer, deren Kunden und Geschäftspartner |
|---|
| Kategorien personenbezogener Daten | Kontaktdaten (Name, E-Mail, Telefon, Adresse), Geschäftsdaten (Opportunities, Angebote), Notizen, Dokumente |
|---|
| Rechtsgrundlage | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |
|---|
| Empfänger / Auftragsverarbeiter | Salesforce, Inc. (CRM-Synchronisation) |
|---|
| Drittlandtransfer | USA (Salesforce) – EU-Standardvertragsklauseln, Salesforce DPA |
|---|
| Löschfristen | Bei Kontolöschung durch den Nutzer; Dokument-Dateien werden physisch gelöscht. |
|---|
| Technische Maßnahmen | Zugangskontrolle über Auth-Middleware, Soft-Deletes, DB-Transaktionen bei Löschung |
|---|
| Zweck der Verarbeitung | Automatisierte Textgenerierung, KI-Assistenten, Dokumentenanalyse |
|---|
| Kategorien betroffener Personen | Nutzer der KI-Funktionen |
|---|
| Kategorien personenbezogener Daten | Nutzereingaben (Prompts), hochgeladene Dokumente, generierte Antworten |
|---|
| Rechtsgrundlage | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |
|---|
| Empfänger / Auftragsverarbeiter | OpenAI, L.L.C. (ChatGPT API, Assistants API); Google Ireland Ltd. (Gemini API) |
|---|
| Drittlandtransfer | USA (OpenAI, Google) – EU-Standardvertragsklauseln, jeweiliges DPA |
|---|
| Löschfristen | Keine dauerhafte Speicherung bei den Anbietern (Zero Data Retention, sofern konfiguriert). Lokale Protokolldaten: bei Kontolöschung. |
|---|
| Technische Maßnahmen | API-Kommunikation über TLS, API-Keys serverseitig gespeichert, keine Weitergabe an Frontend |
|---|
| Zweck der Verarbeitung | Umwandlung von Text in gesprochene Sprache |
|---|
| Kategorien betroffener Personen | Nutzer der TTS-Funktion |
|---|
| Kategorien personenbezogener Daten | Texteingaben, generierte Audiodateien |
|---|
| Rechtsgrundlage | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |
|---|
| Empfänger / Auftragsverarbeiter | ElevenLabs, Inc.; OpenAI, L.L.C. (TTS-1); Google Ireland Ltd. (Gemini TTS) |
|---|
| Drittlandtransfer | USA – EU-Standardvertragsklauseln, jeweiliges DPA |
|---|
| Löschfristen | Audiodateien werden nicht dauerhaft beim Anbieter gespeichert. |
|---|
| Technische Maßnahmen | TLS-verschlüsselte API-Kommunikation |
|---|
| Zweck der Verarbeitung | KI-gestützte Telefongespräche und Sprachassistenten |
|---|
| Kategorien betroffener Personen | Nutzer und angerufene Personen |
|---|
| Kategorien personenbezogener Daten | Telefonnummern, Gesprächsinhalte (Audio und Transkription), Anrufdauer, Zeitstempel |
|---|
| Rechtsgrundlage | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); ggf. Einwilligung der angerufenen Person |
|---|
| Empfänger / Auftragsverarbeiter | VAPI, Inc. |
|---|
| Drittlandtransfer | USA – EU-Standardvertragsklauseln, VAPI DPA |
|---|
| Löschfristen | Anrufprotokolle (vapi_calls): bei Kontolöschung durch den Nutzer. |
|---|
| Technische Maßnahmen | Webhook-Authentifizierung, TLS-Verschlüsselung |
|---|
| Zweck der Verarbeitung | Abruf und Verarbeitung geschäftlicher E-Mails über Microsoft 365 |
|---|
| Kategorien betroffener Personen | Nutzer und deren E-Mail-Kontakte |
|---|
| Kategorien personenbezogener Daten | E-Mail-Adressen (Absender/Empfänger), E-Mail-Inhalte, Zeitstempel, OAuth-Tokens |
|---|
| Rechtsgrundlage | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |
|---|
| Empfänger / Auftragsverarbeiter | Microsoft Ireland Operations Ltd. (Microsoft Graph API) |
|---|
| Drittlandtransfer | Primär EU; Drittlandtransfer USA auf Basis Microsoft DPA und SCCs |
|---|
| Löschfristen | E-Mail-Daten verbleiben in Microsoft 365; lokale Referenzen bei Kontolöschung. |
|---|
| Technische Maßnahmen | OAuth 2.0 Authentifizierung, Token-Verschlüsselung, TLS |
|---|
| Zweck der Verarbeitung | Synchronisation von Kalendereinträgen mit Google Calendar und Microsoft Outlook |
|---|
| Kategorien betroffener Personen | Nutzer und Kalenderteilnehmer |
|---|
| Kategorien personenbezogener Daten | Kalenderereignisse (Titel, Zeitraum, Teilnehmer), OAuth-Tokens |
|---|
| Rechtsgrundlage | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |
|---|
| Empfänger / Auftragsverarbeiter | Google Ireland Ltd. (Calendar API); Microsoft Ireland Operations Ltd. (Graph API) |
|---|
| Drittlandtransfer | USA (Google, Microsoft) – EU-Standardvertragsklauseln, jeweiliges DPA |
|---|
| Löschfristen | Kalenderverbindungen: bei Kontolöschung durch den Nutzer. |
|---|
| Technische Maßnahmen | OAuth 2.0, Token-Verschlüsselung, TLS |
|---|
| Zweck der Verarbeitung | Speicherung von Dokumenten, Bildern und Medieninhalten |
|---|
| Kategorien betroffener Personen | Nutzer |
|---|
| Kategorien personenbezogener Daten | Hochgeladene Dateien (können personenbezogene Inhalte enthalten) |
|---|
| Rechtsgrundlage | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |
|---|
| Empfänger / Auftragsverarbeiter | Amazon Web Services EMEA SARL (S3) |
|---|
| Drittlandtransfer | Keiner – Serverstandort EU (Frankfurt, eu-central-1) |
|---|
| Löschfristen | Dateien werden bei Kontolöschung physisch gelöscht. |
|---|
| Technische Maßnahmen | Serverseitige Verschlüsselung (SSE-S3), Zugriff über IAM-Policies, TLS |
|---|
| Zweck der Verarbeitung | Echtzeit-Benachrichtigungen, Chat und Live-Updates |
|---|
| Kategorien betroffener Personen | Nutzer |
|---|
| Kategorien personenbezogener Daten | IP-Adresse, Verbindungsmetadaten, Nachrichteninhalte |
|---|
| Rechtsgrundlage | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |
|---|
| Empfänger / Auftragsverarbeiter | MessageBird B.V. / Pusher (Niederlande) |
|---|
| Drittlandtransfer | EU-Cluster bevorzugt; ggf. USA auf Basis Pusher DPA und SCCs |
|---|
| Löschfristen | Keine dauerhafte Speicherung bei Pusher (transiente Daten). |
|---|
| Technische Maßnahmen | WSS (WebSocket Secure), Channel-Authentifizierung |
|---|
| Zweck der Verarbeitung | Bidirektionale Synchronisation von CRM-Daten mit Salesforce |
|---|
| Kategorien betroffener Personen | Kunden und Geschäftspartner der Nutzer |
|---|
| Kategorien personenbezogener Daten | Kontaktdaten, Account-Informationen, Opportunities |
|---|
| Rechtsgrundlage | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |
|---|
| Empfänger / Auftragsverarbeiter | Salesforce, Inc. |
|---|
| Drittlandtransfer | USA – EU-Standardvertragsklauseln, Salesforce DPA |
|---|
| Löschfristen | Entsprechend der Salesforce-Datenrichtlinien des Kunden. |
|---|
| Technische Maßnahmen | OAuth 2.0, TLS, Token-Rotation |
|---|
Stand: März 2026 – Dieses Verzeichnis wird bei Änderungen der Verarbeitungstätigkeiten aktualisiert.