Datenschutzerklärung

Gemäß DSGVO · Stand: 10. Mai 2026

1. Datenschutz auf einen Blick

Was ist NOURIX?

NOURIX ist ein KI-gestützter Telefon-Assistent für Handwerksbetriebe (Elektriker, Sanitär, Dachdecker, Maler, Heizung etc.). Das System nimmt Anrufe entgegen, führt natürliche Gespräche auf Deutsch, sammelt relevante Informationen und kann Termine buchen. Der Betriebsinhaber erhält eine strukturierte Zusammenfassung jedes Gesprächs.

Allgemeine Hinweise

Die folgenden Hinweise geben einen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Website nutzen oder wenn unser KI-Telefonassistent in Ihrem Auftrag Gespräche führt. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Hinweis zur Datenverarbeitung in den USA

Für die Sprachverarbeitung nutzen wir ElevenLabs, Inc. (USA). ElevenLabs bietet derzeit keine EU-Datenresidenz an. Die Audiodaten werden daher auf Servern in den USA verarbeitet. Wir setzen die Zero Data Retention-Einstellung ein, sodass nach Gesprächsende keine Daten bei ElevenLabs gespeichert werden. Die Datenübermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

2. Verantwortliche Stelle

Joshua Christl
Einzelunternehmen
Schlierseestraße 54
81539 München
Deutschland
E-Mail: hallo@nourix.eu
Telefon: +49 175 5094730

USt-IdNr.: DE361376284

3. Welche Daten wir erheben

a) Daten von Betriebsinhabern (unsere Kunden)

  • Kontaktdaten: Name, E-Mail-Adresse, Telefonnummer, Firmenname
  • Betriebsinformationen: Branche, Leistungen, Geschäftszeiten, FAQs
  • Zahlungsdaten (verarbeitet durch Stripe - wir speichern keine Kartendaten)
  • Google-Kalender-Daten bei verbundenem Kalender (Termindetails)
  • Nutzungsdaten: Login-Zeitpunkte, Dashboard-Aktivität

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

b) Daten von Anrufern

  • Telefonnummer des Anrufers (übermittelt via Twilio-Telefonie)
  • Gesprächstranskript (Sprache-zu-Text-Umwandlung durch ElevenLabs)
  • Im Gespräch mitgeteilte Informationen: Name, Adresse, Anliegen, Rückrufnummer
  • Termindetails bei Buchungen (Datum, Uhrzeit, Beschreibung)
  • Metadaten: Gesprächsdauer, Zeitstempel, Anrufstatus

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Betriebs an der Erreichbarkeit und Kundenbetreuung)

Nach erfolgter Terminbuchung erhält der Anrufer eine Bestätigungs-SMS mit den Termindetails und einem Link zu dieser Datenschutzerklärung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung der Informationspflicht nach Art. 14 DSGVO).

c) Automatisch erfasste Daten (Website/Dashboard)

  • IP-Adresse, Browsertyp, Betriebssystem, Gerätetyp
  • Aufgerufene Seiten, Verweildauer, Referrer-URL
  • Spracheinstellung (localStorage)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung des Betriebs und der Fehleranalyse)

4. Auftragsverarbeiter und Drittanbieter

Zur Erbringung unseres Dienstes arbeiten wir mit folgenden Auftragsverarbeitern zusammen. Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO (Auftragsverarbeitungsvertrag bzw. Data Processing Agreement):

  • ElevenLabs, Inc.
    Sitz: New York, USA (keine EU-Datenresidenz verfügbar)
    Zweck: KI-Sprachverarbeitung - Spracherkennung (STT), Konversation (LLM) und Sprachsynthese (TTS). Audio wird in Echtzeit während des Gesprächs auf ElevenLabs-Servern in den USA verarbeitet.
    Zero Data Retention: Nach Gesprächsende werden keine Transkripte, Audioaufnahmen oder personenbezogenen Daten bei ElevenLabs gespeichert. Alle Daten werden ausschließlich im flüchtigen Arbeitsspeicher verarbeitet und nie dauerhaft gespeichert. ElevenLabs ist SOC2-zertifiziert und DSGVO-konform.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO · Drittlandtransfer: EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
  • Twilio Ireland Limited
    Sitz: Dublin, Irland · Datenstandort: Region IE1 (Dublin, Irland)
    Zweck: Telefonie-Infrastruktur. Twilio stellt die dedizierten Telefonnummern (+49) für jeden Betrieb bereit und leitet eingehende Anrufe per SIP-Trunking weiter. Bei einem eingehenden Anruf öffnet Twilio eine WebSocket-Verbindung zu ElevenLabs für die KI-Verarbeitung. Twilio verarbeitet Anrufer-Telefonnummern, Anruf-Metadaten (Dauer, Zeitstempel) und Routing-Informationen ausschließlich im EU-Rechenzentrum Dublin (Region IE1).
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO · Kein Drittlandtransfer (Datenverarbeitung in der EU)
  • Microsoft Azure
    Regionen: Germany West Central (Frankfurt), France Central (Paris)
    Zweck: Hosting der Backend-Anwendung (Azure Container Apps) und der Datenbank (Azure PostgreSQL Flexible Server). Alle Anwendungsdaten werden in EU-Rechenzentren gespeichert und verarbeitet.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO · Microsoft DPA standardmäßig enthalten
  • Microsoft Entra External ID
    Region: Deutschland
    Zweck: Benutzerauthentifizierung (Registrierung, Anmeldung, Passwort-Management, Token-Verwaltung). Benutzerdaten (E-Mail, Passwort-Hash) werden in Microsofts deutschen Rechenzentren verarbeitet und gespeichert.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
  • Stripe, Inc.
    Sitz: San Francisco, USA / Dublin, Irland (EU-Entität)
    Zweck: Zahlungsabwicklung für Abonnements. Wir speichern keine Kreditkartendaten; alle Zahlungsdaten werden direkt von Stripe verarbeitet. Stripe ist PCI DSS Level 1 zertifiziert. Wir erhalten von Stripe: Kunden-ID, Abonnement-Status, Zahlungsstatus.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO · Drittlandtransfer: EU-Standardvertragsklauseln
  • Brevo (ehem. Sendinblue)
    Sitz: Paris, Frankreich
    Zweck: Versand transaktionaler E-Mails und SMS. Per E-Mail werden der Betriebsinhaber über neue Anrufe sowie erstellte, geänderte oder gelöschte Termine benachrichtigt. Per SMS erhalten Anrufer nach erfolgter Terminbuchung eine Bestätigung mit Termindetails und einem Hinweis auf diese Datenschutzerklärung. Verarbeitete Daten: Empfänger-E-Mail bzw. Telefonnummer, Nachrichteninhalt (enthält ggf. Kundennamen, Telefonnummern und Adressen aus Terminbuchungen).
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (Informationspflicht nach Art. 14 DSGVO) · Daten verbleiben in der EU
  • Google Calendar API
    Anbieter: Google Ireland Limited
    Zweck: Optionale Terminsynchronisation. Bei Verbindung durch den Betriebsinhaber werden Termine (Titel, Datum/Uhrzeit, Kundenname, Telefonnummer) mit Google Calendar synchronisiert. Die Verbindung kann jederzeit im Dashboard getrennt werden.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) · Drittlandtransfer: EU-Standardvertragsklauseln
  • Umami Analytics
    Anbieter: Umami Software, Inc. · Datenstandort: Frankfurt, Deutschland (EU-Region)
    Zweck: Datenschutzfreundliche, cookielose Analyse der Websitenutzung (Seitenaufrufe, Verweildauer, Gerätetyp, Referrer). Umami setzt keine Tracking-Cookies und erfasst keine personenbezogenen Daten wie Namen, E-Mail-Adressen oder präzise Standorte. Sämtliche Analysedaten werden ausschließlich in der EU-Region (AWS Frankfurt) gespeichert und verarbeitet. Das Analyse-Skript wird ausschließlich nach Ihrer ausdrücklichen Einwilligung über den Cookie-Banner geladen. Sie können Ihre Einwilligung jederzeit widerrufen.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) · § 25 TDDDG · Kein Drittlandtransfer (Datenverarbeitung in der EU)
  • GitLab Pages
    Sitz: San Francisco, USA
    Zweck: Hosting der statischen Frontend-Website. Es werden keine personenbezogenen Daten auf GitLab Pages gespeichert - es werden nur die öffentlichen Website-Dateien (HTML, CSS, JS) ausgeliefert.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

5. Datenübermittlung in Drittländer

Folgende Dienste übermitteln Daten in die USA:

  • ElevenLabs - Audioverarbeitung in den USA (keine EU-Datenresidenz verfügbar, Zero Data Retention aktiv)
  • Stripe - Zahlungsabwicklung (EU-Entität in Irland vorhanden)
  • Google - Calendar API (optional, nur bei Verbindung)
  • GitLab - Statisches Frontend-Hosting (keine personenbezogenen Daten)

Die Datenübermittlung erfolgt jeweils auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO und/oder des EU-US Data Privacy Framework (Art. 45 DSGVO). Wir prüfen regelmäßig, ob angemessene Schutzmaßnahmen bei unseren Auftragsverarbeitern bestehen.

6. KI-Transparenz (EU AI Act)

NOURIX verwendet künstliche Intelligenz zur Gesprächsführung am Telefon. Gemäß Art. 50 der KI-Verordnung (EU) 2024/1689 (EU AI Act) und den Transparenzpflichten der DSGVO werden Anrufer zu Beginn jedes Gesprächs darüber informiert, dass sie mit einem KI-System sprechen.

Anrufablauf: Eingehende Anrufe werden über Twilio (Telefonie, Region IE1 / Dublin, Irland) empfangen. Twilio öffnet eine WebSocket-Verbindung zu ElevenLabs (KI-Verarbeitung), wo Spracherkennung, Konversationslogik und Sprachsynthese in Echtzeit erfolgen. Das ElevenLabs-System ruft bei Bedarf unsere Backend-API auf (z.B. Terminverfügbarkeit prüfen, Termin buchen).

Zero Data Retention: Nach Gesprächsende werden bei ElevenLabs keine Audioaufnahmen, Transkripte oder personenbezogenen Daten gespeichert. Die Verarbeitung erfolgt ausschließlich im flüchtigen Arbeitsspeicher.

Transkripte in unserem System: Das Gesprächstranskript (nur Text, keine Audiodateien) wird nach Gesprächsende von ElevenLabs an unser Backend übermittelt und in unserer Datenbank (Azure, EU) gespeichert, um dem Betriebsinhaber Zusammenfassungen und den Gesprächsverlauf im Dashboard bereitzustellen.

7. Ihre Rechte nach DSGVO

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten personenbezogenen Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können die Herausgabe Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen, soweit die Verarbeitung auf einem berechtigten Interesse (Art. 6 Abs. 1 lit. f) beruht.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich an hallo@nourix.eu.

8. Speicherdauer

  • Kontodaten: Während der aktiven Geschäftsbeziehung
  • Gesprächstranskripte und Zusammenfassungen: Während der aktiven Geschäftsbeziehung
  • Nach Kontolöschung: Entfernung personenbezogener Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen
  • Rechnungs- und Zahlungsdaten: Bis zu 10 Jahre gemäß §§ 147 AO, 257 HGB
  • Bei ElevenLabs: Keine Speicherung (Zero Data Retention)
  • Bei Twilio: Anruf-Metadaten gemäß Twilio-Aufbewahrungsrichtlinien

9. Datensicherheit

  • Alle Datenübertragungen sind per TLS/SSL verschlüsselt
  • Datenbankverbindungen verwenden SSL-Verschlüsselung
  • Authentifizierung über branchenübliche JWT-Token und OAuth 2.0
  • Webhook-Aufrufe von ElevenLabs und Stripe werden mittels HMAC-Signaturen verifiziert
  • Jeder Betrieb hat isolierte Zugangsdaten (Webhook-Secret, Agent-ID) für seinen Sprachagenten
  • Zahlungsdaten werden von PCI-konformen Prozessoren verarbeitet (Stripe PCI DSS Level 1)

10. Cookies und Tracking

Technisch notwendige Cookies (ohne Einwilligung)

Wir verwenden technisch notwendige Cookies für die Authentifizierung (Session-Token) und die Speicherung der Spracheinstellung. Diese Cookies sind für die Funktion des Dienstes unerlässlich und können nicht deaktiviert werden. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG.

Analyse-Cookies (nur mit Einwilligung)

Wir verwenden Umami Analytics — ein datenschutzfreundliches, cookieloses Analyse-Tool — zur Analyse der Websitenutzung. Umami setzt keine Tracking-Cookies und erfasst keine personenbezogenen Daten wie Namen, E-Mail-Adressen oder präzise Standorte. Das Skript wird erst nach Ihrer ausdrücklichen Einwilligung über den Cookie-Banner geladen. Sie können Ihre Einwilligung jederzeit widerrufen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TDDDG.

11. Auftragsverarbeitungsvertrag (AVV)

Da NOURIX personenbezogene Daten (Telefonnummern, Namen, Gesprächsinhalte) im Auftrag des Betriebs verarbeitet, schließen wir mit jedem Kunden einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ab.

Entsprechende AVVs bzw. Data Processing Agreements (DPAs) bestehen mit allen Unterauftragsverarbeitern: ElevenLabs, Twilio, Microsoft (Azure, Entra), Stripe, Brevo, Google und Umami.

12. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren. Zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
www.lda.bayern.de

13. Google-Nutzerdaten (Google Kalender-Integration)

Wenn ein Geschäftskunde die optionale Google Kalender-Integration aktiviert, greift NOURIX wie nachstehend beschrieben auf Google-Nutzerdaten zu, verarbeitet, speichert und teilt diese. Unsere Verwendung von Informationen, die wir über Google-APIs erhalten, entspricht den Google API Services User Data Policy, einschließlich der Anforderungen zur eingeschränkten Nutzung (Limited Use).

Angeforderte Scopes

Nur die für die Terminbuchungs-Funktion zwingend erforderlichen Scopes:

  • auth/calendar.events - zum Erstellen von Terminen im primären Kalender des Betriebsinhabers
  • auth/calendar.events.freebusy - zum Lesen belegter Zeitfenster, damit der KI-Agent keine Doppelbuchungen über bestehende Termine legt

Auf welche Google-Nutzerdaten wir zugreifen

  • Frei/Belegt-Zeitfenster im primären Kalender des Betriebsinhabers (Start, Ende, "belegt"-Flag - keine Termintitel, Teilnehmer, Beschreibungen oder sonstigen Termininhalte)
  • IDs von Kalendereinträgen, die wir selbst erstellt haben, um diese später auf Wunsch des Kunden zu aktualisieren oder zu löschen

Wie wir Google-Nutzerdaten verwenden

Ausschließlich, um:

  • während eines eingehenden Anrufs verfügbare Termin-Slots vorzuschlagen
  • einen Termin zu erstellen, sobald der Anrufer eine Buchung bestätigt
  • diesen Termin zu ändern oder abzusagen, falls der Anrufer erneut anruft, um zu verschieben oder zu stornieren

An wen wir Google-Nutzerdaten weitergeben, übertragen oder offenlegen

  • Microsoft Azure (Hosting, Deutschland / Frankreich) - Kalendereintrags-IDs und Termin-Metadaten werden in unserer Azure-PostgreSQL-Datenbank gespeichert, um das Dashboard und den Terminlebenszyklus zu betreiben.
  • Brevo (transaktionaler E-Mail-Versand, Frankreich) - Terminbestätigungen und -aktualisierungen, die an den Betriebsinhaber (und, falls der Anrufer dies wünscht, an den Anrufer) gesendet werden, enthalten Termindetails wie Datum, Uhrzeit, Adresse und Kundenname.

Wir geben Google-Nutzerdaten an keinen weiteren Dritten weiter. Insbesondere:

  • Wir teilen Google-Nutzerdaten nicht mit ElevenLabs oder einem anderen KI-/LLM- Anbieter. Der Sprachagent erhält niemals direkte Kalenderinhalte; das Backend liest die Verfügbarkeit und gibt dem Agenten lediglich eine Liste freier Zeitfenster zurück.
  • Wir verwenden Google-Nutzerdaten nicht zum Entwickeln, Verbessern oder Trainieren allgemeiner KI-/ML-Modelle - weder unserer eigenen noch fremder.
  • Wir verkaufen Google-Nutzerdaten nicht, teilen sie nicht für Werbezwecke und geben sie nicht an Datenhändler weiter.
  • Eine Offenlegung erfolgt nur, sofern gesetzlich erforderlich (z. B. gerichtliche Anordnung) oder zwingend zur Bereitstellung einer vom Nutzer ausdrücklich angeforderten Funktion notwendig.

Speicherung von OAuth-Tokens

Von Google erhaltene OAuth-Refresh-Tokens werden in unserer EU-Datenbank (Azure PostgreSQL, France Central) verschlüsselt gespeichert. Tokens werden sofort gelöscht, sobald ein Kunde die Google Kalender-Integration über das Dashboard trennt; zusätzlich rufen wir Googles Token-Revocation-Endpunkt auf, um die Tokens auch bei Google zu entwerten.

Widerruf

Kunden können die Integration jederzeit unter nourix.eu/dashboard/account trennen oder den Zugriff direkt unter myaccount.google.com/permissions widerrufen.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, etwa bei Änderungen unserer Datenverarbeitung oder bei neuen gesetzlichen Vorgaben. Die aktuelle Fassung ist stets auf dieser Seite mit dem jeweiligen Änderungsdatum abrufbar.

Bei Fragen zum Datenschutz kontaktieren Sie uns unter hallo@nourix.eu.