Datenschutzerklärung
Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. In dieser Erklärung informieren wir Sie darüber, welche Daten wir bei der Nutzung von valetai.at und der Valet AI Telefonassistenz (Produktfamilie: Valet Med für Gesundheitswesen, Valet Real Estate für Maklerbüros, Valet Works für Handwerksbetriebe) verarbeiten, zu welchem Zweck, auf welcher Rechtsgrundlage, mit welchen Dienstleistern — und welche Rechte Ihnen zustehen.
1. Verantwortlicher
Andreas Shanti
Buchenweg 6
8071 Hausmannstätten, Österreich
E-Mail: office@valetai.at
Telefon: +43 699 11959129
Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO ist Andreas Shanti als Einzelunternehmer und Betreiber der Marke Valet AI.
2. Überblick: Was wir verarbeiten
Valet AI ist eine KI-gestützte Telefonassistenz auf valetai.at. Je nach Branchenpaket nimmt sie Anrufe für Arztpraxen (Valet Med), Immobilienmaklerbüros (Valet Real Estate) oder Handwerksbetriebe (Valet Works) entgegen, plant Termine bzw. Besichtigungen, erfasst Rückrufwünsche und erkennt — im Medizin-Paket — Notfallsituationen. Damit das funktioniert, verarbeiten wir — je nach Nutzung — folgende Datenkategorien:
- Anrufmetadaten: Telefonnummer (CLI), Anrufzeit, Anrufdauer
- Audio & Sprachdaten: Sprachaufnahmen während des Gesprächs (transient, werden nicht dauerhaft als Audio-File gespeichert)
- Transkript: die deutschsprachige Schriftfassung des Gesprächs (dauerhaft in unserer Datenbank)
- Kontaktdaten: Vor- und Nachname (sofern vom Anrufer genannt), Telefonnummer für Rückruf
- Anliegen: medizinisches Stichwort, Anliegen, Dringlichkeit
- Termin-Daten: Datum, Uhrzeit, Dauer einer Terminbuchung
- Web-/PWA-Nutzung: IP-Adresse, User-Agent, Zeitstempel
- E-Mail-Adresse + Magic-Link-Token bei Anforderung eines Demo-Codes
3. Rechtsgrundlagen
Wir stützen unsere Verarbeitung je nach Zweck auf folgende Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO:
- lit. b — Vertragsdurchführung bzw. vorvertragliche Maßnahmen (z. B. Anrufbearbeitung, Terminbuchung, Zahlungsabwicklung, Magic-Link-Versand für Demo-Zugang)
- lit. f — berechtigtes Interesse (z. B. Server-Hosting, IT-Sicherheit, technisches Logging)
- lit. a — Einwilligung (z. B. optionale Zusatzfunktionen, bei denen die Praxis ihre ausdrückliche Zustimmung erteilt)
- lit. c — rechtliche Verpflichtung (z. B. handels- und steuerrechtliche Aufbewahrungsfristen)
Drittlandtransfers in die USA stützen wir auf Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO und — soweit anwendbar — auf das EU-US Data Privacy Framework (TADPF) gemäß Art. 45 DSGVO. Übermittlungen ohne Adäquanzbeschluss erfolgen ausnahmsweise nach Art. 49 DSGVO.
4. Eingesetzte Dienstleister (Auftragsverarbeiter und Empfänger)
Zur Erbringung unserer Leistungen setzen wir die folgenden Dienstleister ein. Mit allen EU/EWR-Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Bei Drittland-Anbietern (USA) sichern wir das Datenschutzniveau über SCCs und — soweit zertifiziert — über das EU-US Data Privacy Framework ab.
Auf unserem Server (Selfhosting)
In sich geschlossene On-Premise-Architektur (statt Cloud-API) in der EU — Voice-KI, Datenbank und Telefonie-Stack laufen auf demselben Server in der EU.
| Bereich | Hosting | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Auf Server Voice-KI und Dialogverarbeitung |
EU selbstgehostet | Spracherkennung, Dialogführung und Sprachausgabe für Anrufe | Art. 6 Abs. 1 lit. b |
| Auf Server Telefonie- und Audio-Infrastruktur |
EU selbstgehostet | Annahme und Weiterleitung von Telefon- und Web-Anrufen | Art. 6 Abs. 1 lit. b |
| Auf Server Datenbank und Konfiguration |
EU selbstgehostet | Anrufprotokolle, Praxis-Konfiguration, Termin-Metadaten | Art. 6 Abs. 1 lit. b |
| Auf Server Webserver und API |
EU selbstgehostet | Marketing-Seiten, Web-App und Schnittstellen | Art. 6 Abs. 1 lit. f |
Externe Dienstleister
Nur ergänzende Schnittstellen — nicht auf unserem Server gehostet: Telefonie-Routing, Zahlung, E-Mail und Kalender/Analytics.
| Bereich | Sitz | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Extern Telefonie-Routing (PSTN/SMS) |
EU | Verbindung zwischen Festnetz/Mobilfunk und unserem Server | Art. 6 Abs. 1 lit. b |
| Extern Zahlungsabwicklung |
EU Irland | Abo-Buchung und Rechnungsstellung | Art. 6 Abs. 1 lit. b |
| Extern Transaktions-E-Mails |
EU | Magic-Links, Terminbestätigungen und Systemnachrichten | Art. 6 Abs. 1 lit. b |
| Extern Kalender-Synchronisation |
EU / SCC + DPF | Terminübernahme in den Praxis-Kalender (sofern konfiguriert) | Art. 6 Abs. 1 lit. b |
| Extern Reichweitenmessung |
EU / SCC + DPF | Anonymisierte Statistik auf Marketing-Seiten (siehe § 6) | Art. 6 Abs. 1 lit. f |
On-Premise-Hinweis (Stand 23.05.2026): Der komplette Voice- und KI-Stack läuft in einer in sich geschlossenen On-Premise-Architektur in der EU — ohne externe Cloud-APIs für Sprache oder Dialog. Extern sind nur ergänzende Schnittstellen (Telefonie-Routing, Zahlung, E-Mail, Kalender, Reichweitenmessung). Bei externen Dienstleistern sichern wir das Datenschutzniveau über EU-Standardvertragsklauseln und — soweit zertifiziert — das EU-US Data Privacy Framework ab. TLS-Verschlüsselung in Transit ist durchgehend aktiv; Audio-Streams werden nicht persistent gespeichert.
5. Verarbeitung im Detail
5.1 Telefonanrufe und KI-Assistenz
Wenn Sie eine an Valet AI angeschlossene Praxis-Telefonnummer anrufen, verläuft der Anruf in fünf Schritten — die KI-Verarbeitung erfolgt durchgängig auf unserem Server in der EU:
- Netzwerk Hinweg: Ihr Anruf (AT/DE/CH) wird über einen externen Telefonie-Dienstleister an unseren EU-Server (selbstgehostet) weitergeleitet.
- Audio-Eingang: Sprachaktivitätserkennung auf unserem Server in der EU.
- Transkription: Umwandlung der Sprache in Text auf unserem Server in der EU.
- Dialog-KI: Verarbeitung und Antwortgenerierung auf unserem Server in der EU.
- Netzwerk Rückweg: Die synthetisierte Antwort geht über den Telefonie-Dienstleister zurück zu Ihnen.
Das Gesprächstranskript wird in unserer selbstgehosteten Datenbank in der EU gespeichert. Der ursprüngliche Audio-Stream wird nicht persistent abgelegt. Terminbuchungen werden — sofern von der Praxis konfiguriert — zusätzlich in den externen Praxis-Kalender synchronisiert.
5.2 Patient-Web-App (PWA) unter /anrufen
Beim direkten Anruf über die Web-App wird der Audiostream Ende-zu-Ende verschlüsselt per WebRTC zu unserem EU-Server (selbstgehostet) übertragen. Es werden zusätzlich IP-Adresse, User-Agent und Session-Token erhoben, um die Verbindung herzustellen und Missbrauch zu verhindern (Art. 6 Abs. 1 lit. b und lit. f DSGVO).
5.3 Demo-Code per E-Mail
Fordern Sie einen Demo-Code an, verarbeiten wir Ihre E-Mail-Adresse und ein Magic-Link-Token zur Authentifizierung. Versand erfolgt über einen externen E-Mail-Dienstleister in der EU. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung).
5.4 Bestellung & Zahlungsabwicklung
Bei Buchung eines Valet-AI-Abos werden Bestell- und Zahlungsdaten direkt an einen externen Zahlungsdienstleister in der EU (Irland) übermittelt. Wir selbst speichern keine Kreditkartendaten.
5.5 Server-Logs
Unser selbstgehosteter Webserver und die API-Anwendung in der EU führen technische Logs (IP-Adresse, Zeitstempel, HTTP-Status, User-Agent). Diese sind notwendig zur Erkennung von Angriffen, Missbrauch und Fehleranalyse (Art. 6 Abs. 1 lit. f DSGVO).
6. Cookies, Tracking und Webanalyse
Auf valetai.at verzichten wir bewusst auf Werbedienste,
Retargeting, Social-Media-Pixel und nutzerübergreifende Profilbildung.
Es werden weder Meta-Pixel noch Hotjar, TikTok-Pixel oder ähnliche
Tracker eingesetzt. Für Reichweitenmessung setzen wir
Google Analytics 4 im Consent-Mode v2 ein:
Werbe-Cookies bleiben gesperrt (ad_storage=denied), für
anonymisierte Reichweitenstatistik ist analytics_storage=granted
aktiv (anonymize_ip).
Technisch notwendige Mechanismen (Session-IDs für aktive Telefonie- Verbindungen, CSRF-Schutz) sind nach § 165 Abs. 3 Z 2 TKG 2021 einwilligungsfrei.
6.1 Reichweitenmessung mit Google Analytics 4 (Consent-Mode v2)
Auf den öffentlichen Marketing- und Informations-Seiten
(/, /landing, /aerzte,
/anrufen, /agb, /datenschutz,
/impressum sowie die Länder-Landings
/deutschland, /oesterreich, /schweiz)
setzen wir Google Analytics 4 der
Google Ireland Limited (Gordon House, Barrow Street,
Dublin 4, Irland) ein. Mess-ID:
G-M5KEJQTFVV, Property valetai.
- Consent-Mode v2:
Werbe-Speicher (
ad_storage,ad_user_data,ad_personalization) bleiben gesperrt. Für Reichweitenmessung istanalytics_storage=grantedaktiv; Google setzt dafür technisch notwendige Analytics-Cookies (_ga, _ga_*). Es findet keine Werbung, kein Retargeting und keine Querseiten-Profilbildung statt. - IP-Anonymisierung aktiv (
anonymize_ip): Die IP-Adresse wird vor der Speicherung in der EU gekürzt und nicht personenbezogen abgespeichert. - Welche Daten werden in diesem Modus übermittelt? Aufgerufene Seite, Referrer, Zeitstempel, gekürzte IP, ungefährer Standort (Land/Region), Geräte- und Browser-Typ, Bildschirm- Auflösung, Sprache, sowie technische Parameter zur Aufruf-Performance. Keine Werbe-IDs, keine Querseiten-Verfolgung, keine Wiedererkennung über Besuche hinweg.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenanalyse und Performance-Überwachung zur Verbesserung des Angebots). Analytics-Cookies dienen ausschließlich der Reichweitenmessung, nicht der Werbung.
- Drittlandstransfer: Vertragspartner ist die Google Ireland Limited in Irland (EU). Eine technische Übermittlung an Server in den USA ist nicht ausgeschlossen; dieser Transfer ist abgesichert über EU-Standardvertragsklauseln und das EU-US Data Privacy Framework (Google LLC ist zertifiziert).
- Speicherdauer in GA4: 14 Monate ab letzter Interaktion (Standardeinstellung Property valetai).
- Widerspruchsrecht / Browser-Add-on: Sie können die Erfassung durch Google Analytics jederzeit verhindern — etwa über das von Google bereitgestellte Browser-Add-on (tools.google.com/dlpage/gaoptout), durch eine entsprechende Einstellung Ihres Browsers (Do-Not-Track, Tracking-Schutz) oder durch einen Widerspruch nach Art. 21 DSGVO an office@valetai.at.
- Datenschutzerklärung Google: policies.google.com/privacy.
Auf den geschlossenen Anwendungs-Bereichen (Web-Call-Widget
/call, internes Cockpit /dashboard) ist
kein Tracking aktiv.
7. Speicherdauern
- Anrufprotokolle (Transkripte) auf unserem EU-Server: 90 Tage, danach automatische Löschung
- E-Mail-Outbox / Magic-Links: 30 Tage
- Server-Logs: 30 Tage
- Zahlungstransaktionen / Rechnungsdaten: 7 Jahre (gesetzliche Aufbewahrungspflicht nach § 132 BAO und § 212 UGB)
- E-Mail-Korrespondenz: bis zur Beendigung des Geschäftsverhältnisses, ggf. zzgl. handels- und steuerrechtlicher Aufbewahrungsfristen
8. Ihre Rechte als betroffene Person (Art. 15–22 DSGVO)
Sie haben jederzeit das Recht auf:
- Auskunft (Art. 15) — welche Daten wir über Sie verarbeiten
- Berichtigung (Art. 16) — Korrektur unrichtiger Daten
- Löschung (Art. 17) — sofern keine gesetzliche Aufbewahrungspflicht entgegensteht
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit (Art. 20)
- Widerspruch (Art. 21) gegen Verarbeitungen auf Basis berechtigter Interessen
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3) mit Wirkung für die Zukunft
Anfragen bitte formlos an office@valetai.at. Wir antworten innerhalb der gesetzlichen Frist von einem Monat.
9. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren, wenn Sie der Meinung sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. In Österreich:
Österreichische Datenschutzbehörde
Barichgasse 40–42
1030 Wien
Telefon: +43 1 52 152-0
Web: www.dsb.gv.at
10. Datensicherheit
Wir verwenden TLS-Verschlüsselung (HTTPS) für sämtliche Datenübertragungen zwischen Ihrem Endgerät und unseren Servern. Audio-Streams werden über DTLS-SRTP (WebRTC) bzw. SIP-TLS (PSTN-Telefonie) verschlüsselt übertragen. Datenbank-Backups sind verschlüsselt. Der Zugang zur selbstgehosteten Server-Infrastruktur in der EU ist auf den Verantwortlichen beschränkt und durch Schlüssel- und Mehrfaktor-Authentifizierung gesichert.
11. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO — also eine Entscheidung mit rechtlicher Wirkung Ihnen gegenüber, die ausschließlich auf einer automatisierten Verarbeitung beruht — findet nicht statt. Die KI unterstützt bei Anrufannahme und Terminvorschlägen, übernimmt aber keine rechtsverbindlichen Entscheidungen ohne menschliche Kontrollmöglichkeit der Praxis.
12. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, sobald sich die rechtliche Lage, unsere Dienste oder unsere Datenverarbeitung ändert. Bitte sehen Sie regelmäßig nach. Stand der aktuellen Version: 23.05.2026.