Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Betrieb der Website recelia.app, der Dashboard-Anwendung und der gegenüber unseren Kunden (Tenants) erbrachten Leistungen ist:

Timon Filipovic, Einzelunternehmer
handelnd unter „Recelia“
In der Breite 54
79224 Umkirch
Deutschland
E-Mail: kontakt@recelia.app
Telefon: +49 163 4427640

Doppelrolle. Recelia ist Verantwortlicher für die Account-, Vertrags- und Abrechnungsdaten seiner Kunden (Tenants) sowie für Daten, die direkt über die Marketing-Website eingehen. Für die personenbezogenen Daten der Endkunden eines Tenants (also der Kundinnen und Kunden des Salons, der Praxis usw.), die über das Chat-Widget, WhatsApp, SMS oder Voice eingehen und durch unsere KI verarbeitet werden, ist der jeweilige Tenant der Verantwortliche. Recelia handelt insoweit als Auftragsverarbeiter nach Art. 28 DSGVO auf Grundlage eines mit dem Tenant geschlossenen Auftragsverarbeitungsvertrags (AVV).

Recelia ist nach § 38 Abs. 1 Satz 1 BDSG nicht zur Benennung eines Datenschutzbeauftragten verpflichtet, da derzeit nicht mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei Aufnahme der Medizin-Vertikalen (Verarbeitung von Gesundheitsdaten in größerem Umfang) prüfen wir die Benennungspflicht nach § 38 Abs. 1 Satz 2 BDSG erneut und führen für die Verarbeitung von Gesundheitsdaten und Voice-Aufnahmen eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durch. Bei Fragen zum Datenschutz erreichen Sie uns unter kontakt@recelia.app.

Zuständige deutsche Aufsichtsbehörde:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Königstraße 10a, 70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

Für unseren Hauptmarkt Kroatien:

Agencija za zaštitu osobnih podataka (AZOP)
Selska cesta 136, 10000 Zagreb
www.azop.hr

Sie haben das Recht, sich nach Art. 77 DSGVO bei einer Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu beschweren.

• Bereitstellung der Website und Server-Logs. IP-Adresse, Datum und Uhrzeit, User-Agent, Referrer, abgerufene URL. Zweck: technische Bereitstellung, Stabilität, Missbrauchsabwehr. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb). Diese Logs fallen bei unseren Infrastruktur-Dienstleistern (Hosting: Vercel, Datenbank: Supabase) an und werden dort im Rahmen von deren Standard-Aufbewahrung verarbeitet. Recelia betreibt keinen eigenen dauerhaften Log-Speicher; eine systematische Auswertung oder Profilbildung findet nicht statt.
• Kontaktaufnahme. Name, E-Mail, Inhalt der Nachricht. Zweck: Bearbeitung der Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) oder lit. f DSGVO (berechtigtes Interesse an Kommunikation).
• Account-Verwaltung und Authentifizierung. Name, E-Mail, Passwort-Hash, Betriebsdaten, Rolle. Zweck: Bereitstellung der Plattform, Vertragsabwicklung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Erbringung des KI-Dienstes gegenüber Endkunden der Tenants (Chat-Widget, WhatsApp, SMS, perspektivisch Voice). Name, Telefonnummer, Terminhistorie, Konversationsinhalte, bei Voice zusätzlich Anruftranskripte und gegebenenfalls Audioaufzeichnungen. Zweck: Bearbeitung von Kundenanfragen, Terminbuchung, Versand von Bestätigungen und Erinnerungen, Eskalation an Personal. Recelia handelt insoweit als Auftragsverarbeiter im Auftrag des jeweiligen Tenants; die Rechtsgrundlage gegenüber dem Endkunden liegt beim Tenant (üblicherweise Art. 6 Abs. 1 lit. b, lit. f oder lit. a DSGVO).
• E-Mail-Benachrichtigungen. E-Mail-Adresse, Inhalt der Benachrichtigung. Zweck: Versand von Bestätigungen, Erinnerungen, System-E-Mails. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Auftragsverarbeitung im Auftrag des Tenants.
• Fehler-Monitoring. Fehlerstacks, Browser- und Geräteinformationen, gegebenenfalls IP-Adresse. Zweck: Stabilitätssicherung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Das Monitoring ist in der EU-Region konfiguriert, personenbezogene Daten werden minimiert.
• Abrechnung (geplant). Name, Rechnungsanschrift, USt-IdNr., Zahlungsdaten. Zweck: Vertragsabwicklung, Rechnungsstellung, gesetzliche Aufbewahrung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. c DSGVO. Diese Verarbeitung fällt erst an, sobald die Zahlungsabwicklung aktiv ist.

Bei den geplanten Medizin-Vertikalen (Kliniken, Tierärzte, Physiotherapie, Zahnärzte) können im Rahmen von Terminbuchungen, FAQ-Antworten oder Voice-Gesprächen Gesundheitsdaten anfallen. Diese werden ausschließlich im Auftrag des jeweiligen Tenants verarbeitet. Die Rechtsgrundlage liegt beim Tenant, üblicherweise Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) oder Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit § 22 BDSG. Der Tenant ist verpflichtet, vor Aktivierung einer Medizin-Vertikalen eine wirksame Rechtsgrundlage sicherzustellen und seine Endkunden umfassend zu informieren. Recelia führt vor dem Einsatz in Medizin-Vertikalen eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durch.

Soweit Recelia über den geplanten Voice-Kanal Telefongespräche mit Endkunden der Tenants führt, gilt zusätzlich:

• Vor Beginn der Aufnahme und Transkription wird eine hörbare Ansage abgespielt, die darüber informiert, dass es sich um einen KI-Assistenten handelt, dass das Gespräch aufgezeichnet und transkribiert wird, zu welchem Zweck dies geschieht und dass die Einwilligung freiwillig ist. Wer nicht einwilligt, wird an einen menschlichen Mitarbeiter oder einen alternativen Kanal weitergeleitet.
• Die Verarbeitung erfolgt nur nach ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, bei Gesundheitsdaten zusätzlich Art. 9 Abs. 2 lit. a DSGVO). Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
• Hintergrund: § 201 StGB stellt die Aufnahme des nicht öffentlich gesprochenen Wortes ohne Einwilligung unter Strafe. Erforderlich ist eine aktive Bestätigung, ein bloßer Hinweis genügt nicht.

Recelia setzt KI-Systeme ein, die mit natürlichen Personen interagieren. Im Einklang mit Art. 50 der Verordnung (EU) 2024/1689 (EU AI Act), der ab dem 2. August 2026 anwendbar ist, machen wir bereits jetzt erkennbar, dass die Interaktion mit einer KI erfolgt: Das Chat-Widget zeigt den Hinweis „Dies ist ein KI-Assistent“; bei WhatsApp und SMS wird in der ersten Antwort auf die KI-Natur hingewiesen; bei Voice erfolgt der Hinweis am Gesprächsanfang durch Ansage. Synthetisch erzeugte Audioinhalte (KI-Stimme) werden als KI-generiert kenntlich gemacht.

Automatisierte Entscheidung (Art. 22 DSGVO). Die KI bucht Termine, beantwortet FAQs und versendet Bestätigungen. Dies entfaltet in der Regel keine rechtliche Wirkung und beeinträchtigt die betroffene Person nicht in ähnlich erheblicher Weise, da eine Terminbuchung jederzeit storniert werden kann. Zusätzlich eskaliert die KI bei Unsicherheit an einen menschlichen Mitarbeiter des Tenants. Sie haben jederzeit das Recht, eine menschliche Bearbeitung Ihrer Anfrage zu verlangen.

Wir setzen sorgfältig ausgewählte Dienstleister ein, die uns als Auftragsverarbeiter nach Art. 28 DSGVO unterstützen. Mit allen wurden Auftragsverarbeitungsverträge sowie, soweit relevant, die EU-Standardvertragsklauseln (SCC) abgeschlossen.

Für den Voice-Kanal werden über den Orchestrator (Vapi) zusätzliche Dienste zur Spracherkennung (Speech-to-Text) eingesetzt. Die konkrete Auswahl wird vor dem Voice-Launch finalisiert und hier ergänzt. Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

Soweit Daten in die USA oder andere Drittstaaten übermittelt werden, beruht dies entweder auf dem Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 (EU-US Data Privacy Framework, Durchführungsbeschluss (EU) 2023/1795), soweit der Empfänger aktuell auf der DPF-Liste geführt wird, oder auf den Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914, ergänzt um geeignete zusätzliche Maßnahmen (Verschlüsselung, Datenminimierung).

Hinweis: Das DPF ist Gegenstand eines anhängigen Verfahrens vor dem EuGH (Rechtssache C-703/25 P, Latombe). Recelia hat für alle US-Transfers parallel zum DPF auch die Standardvertragsklauseln vereinbart, sodass die Transfers bei einer etwaigen Unwirksamkeit des DPF weiterhin abgesichert sind. Die aktuelle DPF-Liste ist unter www.dataprivacyframework.gov abrufbar.

• Server-Logfiles: im Rahmen der Aufbewahrung unserer Hosting- und Infrastruktur-Dienstleister (Vercel, Supabase); kein eigener dauerhafter Log-Speicher.
• Account- und Rechnungsdaten: Vertragsdauer zuzüglich gesetzlicher Aufbewahrungsfristen (bis zu 10 Jahre nach AO und HGB).
• Konversationsinhalte (Chat, WhatsApp, SMS): nach Weisung des Tenants, danach Löschung oder Anonymisierung.
• Voice-Audio und Transkripte: nach Weisung des Tenants, mit begrenzter Speicherdauer.
• Kontaktanfragen: bis zur Erledigung.

Sie haben das Recht auf:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Geltendmachung wenden Sie sich an kontakt@recelia.app. Wenn Sie Endkunde eines Tenants sind (Salon, Praxis usw.), richten Sie Ihre Anfrage vorrangig an den jeweiligen Tenant. Wir leiten Anfragen unverzüglich weiter und unterstützen den Tenant bei der Erfüllung seiner Pflichten.

Wir verwenden auf recelia.app derzeit ausschließlich technisch notwendige Cookies und lokalen Speicher, insbesondere für die Login-Sitzung sowie den funktionalen Cookie NEXT_LOCALE zur Speicherung der gewählten Sprache. Diese sind nach § 25 Abs. 2 Nr. 2 TDDDG unbedingt erforderlich, eine Einwilligung ist daher nicht erforderlich. Wir setzen keine Tracking-, Analyse- oder Marketing-Cookies und keine Drittanbieter-Pixel ein. Sollte sich dies ändern, holen wir vorab Ihre Einwilligung über einen Consent-Banner ein.

Die Übertragung erfolgt verschlüsselt (TLS). Daten in der Datenbank werden verschlüsselt gespeichert. Der Zugriff auf Tenant-Daten ist auf Datenbankebene durch Row-Level-Security isoliert.

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen, Subprozessoren oder die Rechtslage ändern. Maßgeblich ist die jeweils aktuelle, unter recelia.app/privacy veröffentlichte Fassung.