Telaro.ai

Datenschutzerklärung von Telaro.ai

Stand: 5.6.2026 · DSGVO-konforme Verarbeitung
E-Mail: hello@telaro.ai

Datenschutz ist uns wichtig. Diese Erklärung beschreibt, welche personenbezogenen Daten wir auf telaro.ai erheben, wie wir sie verarbeiten, an wen wir sie übermitteln und welche Rechte Sie haben. Soweit wir personenbezogene Daten im Auftrag unserer Kunden verarbeiten (Anrufe, Transkripte, Knowledge-Base), gilt zusätzlich der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO (siehe Abschnitt 6).

1. Verantwortlicher

My Online Concept GmbH
Gewerbering 19/1/6
A-3484 Grafenwörth, Österreich
E-Mail: hello@telaro.ai
Telefon: +43 670 3084122

Für Datenschutz-Anfragen bitte den Betreff „Datenschutz" im E-Mail verwenden.

2. Welche Daten wir verarbeiten

2.1 Bei Besuch der Website (telaro.ai)

  • Server-Logs: IP-Adresse, User-Agent, aufgerufene URL, Zeitstempel
  • Aufbewahrung Server-Logs: maximal 30 Tage
  • Keine Cookies für Tracking oder Werbung ohne Einwilligung. Technisch notwendige Session-Cookies nur nach Login (siehe Abschnitt 11).

2.2 Bei Browser-Demos auf der Website

Unsere öffentlichen Demo-Avatare (z. B. Cara, Luca, Iris …) können ohne Anmeldung im Browser ausprobiert werden. Während eines Demo-Gesprächs erfassen wir:

  • das Mikrofon-Audio (in Echtzeit zur KI gestreamt, nicht dauerhaft gespeichert),
  • das Transkript des Gesprächs zur Diagnose und Qualitätssicherung (Aufbewahrung: maximal 30 Tage),
  • eine pseudonyme Session-ID, IP-Adresse und User-Agent zur Missbrauchs-Prävention (Rate-Limit, maximal 10 Min pro Sitzung).

2.3 Bei Registrierung und Nutzung des Dashboards

  • Kontaktdaten: E-Mail-Adresse, Vor- und Nachname
  • Authentifizierungs-Daten: gehasht, niemals im Klartext (verwaltet via Clerk)
  • Organisations- und Abrechnungsdaten: Firmenname, Adresse, UID
  • Nutzungsdaten: Anzahl Anrufe, Minuten, Konfiguration der Agenten
  • Audit-Logs: kritische Aktionen wie Sign-In, Tarifwechsel, AVV-Abschluss

2.4 Bei Nutzung der KI-Telefonie (durch unsere Kunden)

Sobald Sie als Kunde einen produktiven KI-Sprachagenten betreiben, sind Sie Verantwortlicher im Sinne der DSGVO für die Daten Ihrer Anrufer. Wir verarbeiten in Ihrem Auftrag (siehe Abschnitt 6):

  • Telefonnummer des Anrufenden (vom Telekom-Anbieter übermittelt)
  • Anrufdauer, Zeitpunkt, Status (eingehend, beantwortet, weitergeleitet)
  • Sprach-Audio während des Anrufs — in Echtzeit zur KI-Verarbeitung gestreamt, nicht dauerhaft gespeichert. Eine dauerhafte Aufzeichnung erfolgt nur, wenn Sie als Kunde „Anrufaufzeichnung" pro Agent explizit aktivieren (siehe Abschnitt 7).
  • Transkript des Gesprächs (sofern aktiviert): Textfassung der Konversation für Anrufprotokolle, Zusammenfassungen und Kunden-Webhooks.
  • Strukturierte Daten aus dem Gespräch (z. B. Reservierungswunsch, Anliegen) — sofern der Kunde Lead-Capture, Webhooks oder E-Mail-Benachrichtigungen aktiviert hat.
  • Kontaktgedächtnis: optional kann der Kunde aktivieren, dass die KI beim Wiederanruf derselben Telefonnummer den bisherigen Gesprächsverlauf zusammenfasst (Anzeigename, Anliegen-Historie). Diese Daten werden nach einer vom Kunden konfigurierten Frist (Standard 180 Tage) automatisch gelöscht.

2.5 Wissensdatenbank-Uploads

Inhalte, die Kunden in ihre Wissensdatenbank hochladen (Dokumente, Frage-Antwort-Paare, URLs zum automatischen Auslesen einer Website) werden in unserer Datenbank in der EU gespeichert und dem KI-Modell zur Antwortgenerierung bereitgestellt. Bei URL-Uploads führen wir einen einmaligen Crawl der angegebenen Seite durch und speichern den Textinhalt intern.

2.6 Reseller-Struktur

Reseller sehen in ihrem Dashboard die Namen, Anzeigenamen und Anrufstatistiken der von ihnen direkt vermittelten oder strukturell zugeordneten Endkunden. Sensible Anrufinhalte (Transkripte, Aufzeichnungen) bleiben für Reseller unsichtbar — sie sehen ausschließlich aggregierte Nutzungsdaten zur Provisionsberechnung.

3. Zwecke der Verarbeitung und Rechtsgrundlagen

  • Bereitstellung der SaaS-Plattform — Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Anrufverarbeitung im Auftrag des Kunden — Art. 28 DSGVO (Auftragsverarbeitung); separater AVV mit dem Kunden
  • Abrechnung über Stripe — Art. 6 Abs. 1 lit. b DSGVO
  • Server-Logs und Sicherheits-Monitoring — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemstabilität und Missbrauchs-Prävention)
  • Versand transaktionaler E-Mails (Bestätigungen, Anrufprotokolle, Rechnungen) — Art. 6 Abs. 1 lit. b DSGVO
  • Browser-Demos zu Marketing-Zwecken — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produkt-Demonstration), kombiniert mit dem ausdrücklichen Demo-Start-Klick des Besuchers
  • Analyse- und Marketing-Cookies — Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, jederzeit widerrufbar)

4. Hosting und Speicherort

Alle personenbezogenen Daten und Audio-Streams werden vorrangig in Rechenzentren innerhalb der EU verarbeitet:

  • Server & Datenbank: Hetzner Online GmbH, Falkenstein und Nürnberg/Deutschland
  • Datei-Speicher (Wissensdatenbank-Dokumente, optionale Audio-Aufzeichnungen): Hetzner Object Storage, Deutschland

Eine Übermittlung in Drittländer findet nur an die in Abschnitt 5 genannten Auftragsverarbeiter statt — jeweils auf Basis der EU-Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO bzw. eines Angemessenheitsbeschlusses (EU-US Data Privacy Framework).

5. Auftragsverarbeiter (Subdienstleister)

Wir bedienen uns sorgfältig ausgewählter Dienstleister. Mit allen besteht eine Auftragsverarbeitungs-Vereinbarung gem. Art. 28 DSGVO. Eine jederzeit aktuelle Subdienstleister-Liste ist Bestandteil unseres AVV (siehe Abschnitt 6).

  • Twilio Inc. (USA) — Telefonie-Infrastruktur, Rufnummern und Audio-Streams. Übermittlung erfolgt auf Basis von Standardvertragsklauseln und EU-Datenresidenz, wo verfügbar.
  • Google LLC / Google Ireland Ltd. — Echtzeit-Sprach-KI-Schnittstelle (Sprach-Synthese, Spracherkennung, Sprach-Generierung). DSGVO-konformer AVV; Audio-Inhalte werden vertraglich nicht für das Modelltraining verwendet.
  • Clerk, Inc. (USA) — Authentifizierung, Benutzerverwaltung und Organisationsverwaltung. SCC-basierter AVV.
  • Stripe Payments Europe Ltd. (Irland, EU) — Zahlungs- und Rechnungsabwicklung; Stripe ist eigenständiger Verantwortlicher hinsichtlich der Zahlungsdaten.
  • Sendinblue SAS („Brevo") (Frankreich, EU) — Versand transaktionaler E-Mails (Anrufprotokolle, Bestätigungen, Rechnungsbenachrichtigungen).
  • Hetzner Online GmbH (Deutschland, EU) — Server- und Speicher-Infrastruktur.

6. Auftragsverarbeitung (Art. 28 DSGVO)

Soweit unsere Kunden über die Plattform Daten ihrer eigenen Endnutzer verarbeiten (insbesondere Anrufer-Telefonnummern, Transkripte, Audio-Aufzeichnungen, Kontaktgedächtnis, Webhook-Empfänger-Daten), sind diese Kunden Verantwortliche im Sinne der DSGVO. Die My Online Concept GmbH agiert insoweit als Auftragsverarbeiterin.

Eine entsprechende Auftragsverarbeitungs-Vereinbarung (AVV) wird im Dashboard unter „Einstellungen → AVV" zum verbindlichen Abschluss bereitgestellt. Reseller und Endkunden sind verpflichtet, den AVV vor produktiver Nutzung der Plattform abzuschließen.

7. Anrufaufzeichnung

Anrufe werden standardmäßig nicht aufgezeichnet. Eine Aufzeichnung erfolgt ausschließlich dann, wenn der Kunde dies pro KI-Agent explizit aktiviert. In diesem Fall ist der Kunde verpflichtet, Anrufende vor Beginn des Gesprächs auf die Aufzeichnung hinzuweisen und — soweit erforderlich — eine Einwilligung einzuholen (§ 165 TKG 2021 Österreich, vergleichbare Vorschriften in DE).

8. Automatisierte Entscheidungsfindung und KI-Transparenz

Unsere KI-Sprachagenten führen keine automatisierten Entscheidungen mit rechtlicher Wirkung gegenüber den Anrufenden im Sinne des Art. 22 DSGVO durch. Termine, Buchungen oder Vertragsangebote, die vom KI-Agenten kommuniziert werden, sind stets operative Handlungen, die der Kunde (als Verantwortlicher) in eigener Verantwortung ausführt — die KI dient nur als Vermittlungs- und Kommunikationswerkzeug.

Gemäß Art. 50 EU-KI-Verordnung werden Anrufende beim Einsatz unserer KI-Sprachagenten informiert, dass sie mit einer KI-Anwendung interagieren. Bei Reseller-Demo-Agenten erfolgt zusätzlich automatisch der Hinweis „Sie sprechen mit einem Demo-Agenten von Telaro.ai" zu Beginn des Gesprächs.

9. Speicherdauer

  • Konto-Daten: solange das Nutzerkonto aktiv ist
  • Anruflogs (Datum, Dauer, Status): bis zu 12 Monate nach dem Anruf oder bis zur Konto-Löschung, je nachdem was zuerst eintritt
  • Transkripte: gemäß Kunden-Konfiguration, Standard 90 Tage
  • Audio-Aufzeichnungen (nur wenn Kunde aktiviert): gemäß Kunden-Konfiguration, Standard 90 Tage, längstens jedoch bis zur Konto-Löschung
  • Kontaktgedächtnis: gemäß Kunden-Konfiguration, Standard 180 Tage ab letztem Kontakt
  • Browser-Demo-Transkripte: 30 Tage
  • Rechnungs- und Zahlungsdaten: 7 Jahre (gesetzliche Aufbewahrung gem. § 132 BAO)
  • Audit-Logs (Sign-In, AVV-Abschluss, Tarifwechsel): 3 Jahre
  • Server-Logs: 30 Tage

Nach Vertragsende werden Kundeninhalte (Transkripte, Aufzeichnungen, Knowledge-Base) nach einer Wiederherstellungsfrist von 30 Tagen automatisch gelöscht, sofern keine gesetzliche Aufbewahrungspflicht (z. B. Rechnungen) besteht.

10. Datensicherheit (TOMs)

Wir setzen geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ein:

  • TLS-Verschlüsselung für sämtliche Web- und API-Verbindungen (mind. TLS 1.2)
  • Verschlüsselung at-rest in Datenbank und Object-Storage
  • Rollen- und Rechte-System mit Mehr-Mandanten-Trennung (jeder Kunde sieht ausschließlich die Daten der eigenen Organisation)
  • Zugriffsschutz auf Produktivsysteme via Multi-Faktor-Authentifizierung und IP- Beschränkungen
  • Regelmäßige Backups mit getrennter Speicherung und definiertem Wiederanlauf-Plan
  • Audit-Logging sicherheitsrelevanter Aktionen mit Zeitstempel und Actor-ID
  • Sicherheits-Updates der eingesetzten Komponenten innerhalb angemessener Fristen

11. Cookies und lokale Speicherung

Wir setzen Cookies und vergleichbare Technologien in mehreren Kategorien ein. Vor dem Setzen nicht-technischer Cookies fragen wir Ihre Einwilligung über den Cookie-Banner ab. Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.

11.1 Technisch notwendig (kein Opt-in nötig)

  • Clerk-Session-Cookie: Login-Status nach Anmeldung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Cookie-Consent: speichert Ihre Einwilligungs-Auswahl. Ohne diesen Cookie würden wir Sie bei jedem Besuch erneut fragen müssen.
  • Reseller-Lizenz-Cookies: während des Lizenz-Kauf-Flows wird die Stripe-Session-Id und die E-Mail aus dem Kauf temporär in einem httpOnly-Cookie gespeichert (24 Stunden Gültigkeit), damit der nachfolgende Sign-Up der bezahlten Lizenz zugeordnet werden kann.

11.2 Statistik / Analyse (Opt-in)

Sofern Sie zustimmen, setzen wir Analyse-Tools ein, um die Nutzung unserer Website zu verstehen und das Angebot zu verbessern.

  • Google Analytics 4 / Google Tag Manager (Google Ireland Ltd., Irland; ggf. Übermittlung an Google LLC, USA). Erfasst werden anonymisierte Nutzungsdaten (Seitenaufrufe, Verweildauer, Geräte-/Browser-Typ, ungefähre Region). IP-Adressen werden vor Speicherung gekürzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Speicherdauer: bis zu 14 Monate.

11.3 Marketing / Conversion-Tracking (Opt-in)

Sofern Sie zustimmen, setzen wir Marketing-Pixel zur Messung von Kampagnen-Erfolg und für Re-Targeting ein.

  • Meta-Pixel (Meta Platforms Ireland Ltd., Irland; ggf. Übermittlung an Meta Platforms Inc., USA). Erfasst Seitenaufrufe und Conversions, ordnet sie ggf. Ihrem Facebook-/Instagram-Konto zu. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Speicherdauer: bis zu 13 Monate.
  • Google Ads Conversion-Tracking (Google Ireland Ltd.). Misst, welche Anzeigen zu Anmeldungen oder Käufen führen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Falls in Zukunft weitere Marketing-/Analyse-Dienste eingebunden werden (z. B. LinkedIn Insight Tag, TikTok Pixel, Hotjar), passen wir diese Liste an und holen entsprechende Einwilligung über den Cookie-Banner ein.

11.4 Drittlandübermittlung bei Marketing-Cookies

Bei Aktivierung von Meta-Pixel und Google-Diensten kann es zu einer Übermittlung von Daten in die USA kommen. Die Anbieter haben sich dem EU-US Data Privacy Framework angeschlossen und nutzen Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO als zusätzliche Garantie.

12. Ihre Rechte

Sie haben jederzeit folgende Rechte uns gegenüber:

  • Auskunft über Ihre verarbeiteten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung dieser Rechte genügt eine formlose E-Mail an hello@telaro.ai.

Hinweis für Anrufer von Telaro-Kunden: Sind Sie als Anrufer eines unserer Kunden mit einem KI-Sprachagenten in Kontakt getreten, wenden Sie sich für die Ausübung Ihrer Betroffenenrechte primär an den jeweiligen Kunden (Verantwortlicher). Wir unterstützen unsere Kunden bei der Erfüllung dieser Pflichten im Rahmen der Auftragsverarbeitung.

13. Beschwerderecht

Sie haben das Recht, sich bei der österreichischen Datenschutzbehörde zu beschweren:

Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
www.dsb.gv.at

14. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung bei Änderungen an Diensten oder Auftragsverarbeitern an. Maßgeblich ist die jeweils unter telaro.ai/datenschutz veröffentlichte Fassung. Bei wesentlichen Änderungen informieren wir bestehende Kunden per E-Mail.

Hinweis zur Rechtsberatung: Diese Datenschutzerklärung wurde mit größtmöglicher Sorgfalt erstellt, ersetzt jedoch keine individuelle Rechtsberatung. Vor Verwendung im Produktivbetrieb empfehlen wir eine Prüfung durch einen auf Datenschutzrecht spezialisierten Rechtsanwalt oder einen Datenschutzbeauftragten.