Senity

Datenschutzerklärung

Stand: 19.03.2026

1. Verantwortlicher

Timo Schulz
Flanderner Strasse 13
47608 Geldern
Deutschland

E-Mail: kontakt@senity.net
Telefon: +49 157 37294448

(nachfolgend „wir“ oder „uns“)

Datenschutzbeauftragter

Wir sind als Einzelunternehmen mit weniger als 20 ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen nicht zur Benennung eines Datenschutzbeauftragten nach Paragraph 38 Abs. 1 BDSG verpflichtet. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an den Verantwortlichen unter kontakt@senity.net.

2. Allgemeines zur Datenverarbeitung

Wir nehmen den Schutz Ihrer personenbezogenen Daten ernst. Wir verarbeiten personenbezogene Daten nur gemäß den Bestimmungen der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TTDSG).

Diese Datenschutzerklärung gilt für die SaaS-Plattform „Senity Independent Toolbox“ (nachfolgend „Plattform“).

2.1 Rolle des Verantwortlichen (B2B-Nutzung)

Soweit unsere Plattform von Geschäftskunden (B2B) genutzt wird, um deren eigene Endkunden zu verwalten, agieren wir als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. In diesem Fall ist der jeweilige Geschäftskunde der Verantwortliche für die Verarbeitung der Endkundendaten. Die Pflichten nach Art. 13 und 14 DSGVO gegenüber den Endkunden obliegen dem Geschäftskunden.

Soweit wir eigene Kunden direkt betreuen (z. B. über die Demo-Buchungsfunktion), sind wir selbst Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.

3. Hosting und Infrastruktur

3.1 Anwendungs-Hosting

Die Plattform wird auf Servern in der Europäischen Union gehostet. Beim Zugriff auf die Plattform werden automatisch Server-Logfiles erstellt, die folgende Daten enthalten:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL
  • Referrer-URL
  • Verwendeter Browser und Betriebssystem
  • HTTP-Statuscode

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Gewährleistung der technischen Funktionsfähigkeit, der IT-Sicherheit und der Fehleranalyse der Plattform. Die Verarbeitung ist erforderlich, da ohne Server-Logfiles keine Fehlerdiagnose und kein Schutz vor Angriffen möglich wäre. Die Interessen der Nutzer werden durch kurze Speicherdauer (7 Tage) und den Verzicht auf Zusammenführung mit anderen Daten gewahrt.

Speicherdauer: Server-Logfiles werden nach 7 Tagen automatisch gelöscht, sofern keine darüber hinausgehende Aufbewahrung zu Beweiszwecken erforderlich ist.

3.2 Datenbank und Authentifizierung (Supabase)

Für die Datenhaltung und Benutzerauthentifizierung nutzen wir Supabase Inc. (970 Toa Payoh North #07-04, Singapore 318992) mit Serverstandort EU West (Frankfurt/Dublin).

Supabase verarbeitet in unserem Auftrag: Benutzerdaten (E-Mail, Passwort-Hash), Kundenstammdaten, Einwilligungen, Chat-Verläufe, Wissensdatenbank-Inhalte und Audit-Logs.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung), Art. 28 DSGVO (Auftragsverarbeitung).

4. Cookies und Einwilligungsmanagement

4.1 Technisch notwendige Cookies

Unsere Plattform verwendet technisch notwendige Cookies für:

  • Benutzerauthentifizierung (Supabase Auth Session)
  • CSRF-Schutz (Cross-Site Request Forgery Token)
  • Spracheinstellungen
  • Cookie-Einwilligungsstatus

Rechtsgrundlage:Paragraph 25 Abs. 2 Nr. 2 TTDSG (technische Erforderlichkeit) i. V. m. Art. 6 Abs. 1 lit. f DSGVO.

4.2 Einwilligungspflichtige Cookies

Cookies und vergleichbare Technologien, die nicht technisch notwendig sind, werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt.

Rechtsgrundlage:Paragraph 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen über unser Cookie-Banner anpassen.

5. Datenverarbeitung im Rahmen der Plattform-Nutzung

5.1 Benutzerkonto und Anmeldung

Bei der Registrierung und Anmeldung verarbeiten wir: E-Mail-Adresse, Passwort (gehashed), Benutzername, Mandantenzuordnung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

5.2 Kundenverwaltung

Im Rahmen der Kundenverwaltung werden folgende Daten verarbeitet: Vorname, Nachname, E-Mail-Adresse, Telefonnummer, Kommunikationseinwilligungen (E-Mail, SMS, Telefon, Newsletter).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für Marketing-Kommunikation).

5.3 KI-Chat (RAG-System)

Die Plattform bietet ein KI-Chat-System mit Retrieval Augmented Generation (RAG). Dabei werden Chat-Nachrichten an folgende KI-Anbieter übermittelt:

  • OpenAI, Inc.(San Francisco, USA) – GPT-Modelle und Embeddings
  • xAI Corp.(USA) – Grok-Modelle
  • Google Ireland Ltd. / Google LLC(Irland/USA) – Gemini-Modelle
  • Puter Technologies Inc.(USA) – Chat-LLM

Verarbeitete Daten: Chat-Nachrichten, Wissensdatenbank-Inhalte (Chunks), Embeddings.

Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung – Bereitstellung der Chat-Funktion).

Drittlandtransfer: Siehe Abschnitt 8.

5.4 Voice-Bot (Telefonanrufe)

Die Plattform bietet einen KI-basierten Voice-Bot, der Kunden zurückruft. Hierbei werden folgende Dienste eingesetzt:

  • Vapi.ai, Inc.(USA) – Voice-Bot-Orchestrierung, KI-Gespräche
  • Twilio Inc.(San Francisco, USA) – Telefonie-Infrastruktur (SIP/PSTN)

Verarbeitete Daten: Telefonnummer des Kunden, Gesprächsinhalt (Audio), Stimmdaten, Gesprächstranskripte, Anrufzeitpunkt und -dauer.

Besonderer Hinweis zu Stimmdaten: Stimmdaten können biometrische Daten im Sinne des Art. 9 DSGVO darstellen, soweit sie zur eindeutigen Identifizierung einer Person verarbeitet werden. Der Voice-Bot verarbeitet Stimmdaten ausschließlich zum Zweck der Gesprächsführung, nicht zur biometrischen Identifizierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung des Kunden vor dem Anruf). Anrufe werden nur durchgeführt, wenn der Kunde ausdrücklich in die telefonische Kontaktaufnahme eingewilligt hat.

5.5 SMS-Versand

Für den SMS-Versand nutzen wir Twilio Inc. (San Francisco, USA).

Verarbeitete Daten: Telefonnummer, SMS-Inhalt, Zustellstatus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

5.6 E-Mail-Versand

Für den E-Mail-Versand nutzen wir Twilio SendGrid (USA) sowie ggf. direkten SMTP-Versand.

Verarbeitete Daten: E-Mail-Adresse, Name, E-Mail-Inhalt, Zustellstatus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für Marketing-E-Mails), Art. 6 Abs. 1 lit. b DSGVO (transaktionale E-Mails wie DOI-Bestätigungen).

5.7 Terminbuchung (Calendly)

Für die Terminbuchung nutzen wir Calendly LLC (3423 Piedmont Road NE, Atlanta, GA 30305, USA). Die Integration erfolgt über eine OAuth-Anbindung.

Verarbeitete Daten: Name, E-Mail-Adresse, Terminzeitpunkt, ggf. weitere im Buchungsformular angegebene Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen / Vertragsdurchführung).

5.8 Voice Studio (Stimmklonen und Text-to-Speech)

Die Plattform bietet ein Voice Studio, das internen Mitarbeitern die Erstellung individueller Stimmen und die Generierung von Sprachausgaben ermöglicht. Die gesamte Verarbeitung erfolgt ausschließlich lokal auf Senity-eigenen Servern.

Verarbeitete Daten:

  • Stimmproben: Hochgeladene Audio-Dateien (WAV, MP3, OGG, FLAC, WebM) zur Erstellung von Stimmmodellen
  • Geklonte Stimmen: Digitale Stimmmodelle, die aus den hochgeladenen Stimmproben erstellt werden
  • Generierte Audio-Ausgaben: Durch Text-to-Speech erzeugte Sprachdateien
  • Metadaten: Dateiname, Dateigröße, Dauer, Sprache, Zeitstempel

Zweck: Text-to-Speech-Synthese, Stimmenklonen (Voice Cloning), Voice Design für Geschäftskommunikation.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Stimmdaten können biometrische Daten im Sinne des Art. 9 DSGVO darstellen, soweit sie zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden könnten. Das Voice Studio erfordert daher eine ausdrückliche, granulare Einwilligung vor jeder Nutzung:

  • Einwilligung für Stimmproben-Upload: Erforderlich vor dem Hochladen von Stimmproben
  • Einwilligung für Voice-Cloning: Zusätzlich erforderlich vor dem Klonen einer Stimme

Die Einwilligung wird server-seitig in einer dedizierten Datenbanktabelle (voice_consent) dokumentiert. Zur Nachweisbarkeit werden der SHA-256-Hash des Einwilligungstextes, die IP-Adresse und ein Hash des User-Agents gespeichert.

Verarbeitung: Alle Voice-Daten werden ausschließlich auf Senity-eigenen Servern verarbeitet:

  • Q3TTS– Lokaler Text-to-Speech- und Voice-Cloning-Server (EU, Hetzner)
  • Q3ASR– Lokaler Speech-to-Text-Server (EU, Hetzner)

Es erfolgt keine Weitergabe an Drittanbieter oder Cloud-Dienste. Es findet kein Drittlandtransfer statt.

Speicherdauer: Voice-Daten werden bis zum Widerruf der Einwilligung gespeichert. Bei Widerruf erfolgt die sofortige Löschung aller zugehörigen Stimmproben, Stimmmodelle und generierten Audio-Ausgaben. Der Widerruf ist jederzeit über die Plattform oder per E-Mail an kontakt@senity.net möglich (Art. 7 Abs. 3 DSGVO). Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Datenschutz-Folgenabschätzung: Für die Verarbeitung von Stimmdaten wurde eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durchgeführt. Diese ist intern dokumentiert.

5.9 Wissensdatenbank

Benutzer können Dokumente in die Wissensdatenbank hochladen. Diese werden in Textabschnitte (Chunks) aufgeteilt und ueber OpenAI in numerische Vektoren (Embeddings) umgewandelt, um semantische Suche zu ermöglichen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

Hinweis:Laden Sie keine Dokumente hoch, die besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO enthalten (z. B. Gesundheitsdaten, politische Meinungen), es sei denn, Sie haben die ausdrückliche Einwilligung der betroffenen Personen.

5.10 Video- und Audio-Summarizer

Die Plattform bietet einen Video-/Audio-Summarizer, der die Verarbeitung von YouTube-Videos, hochgeladenen Dateien und Audio-Aufnahmen ermöglicht. Dabei werden folgende Datenverarbeitungen durchgeführt:

YouTube-Videoplayer (Zwei-Klick-Lösung)

Wir binden YouTube-Videos über den erweiterten Datenschutzmodus (youtube-nocookie.com) ein. Das Video wird erst nach Ihrer ausdrücklichen Zustimmung geladen. Erst dann werden Daten an Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Weitere Informationen: https://policies.google.com/privacy

Spracherkennung (ASR)

Audio-Inhalte werden zur Transkription an KI-Dienstleister übermittelt. Bei eigenen Uploads und Aufnahmen werden ausschließlich DSGVO-konforme Provider (innerhalb der EU/EWR) verwendet. Bei YouTube-Videos können auch internationale Provider zum Einsatz kommen, da es sich um öffentlich verfügbare Inhalte handelt.

KI-gestützte Zusammenfassung

Transkripte werden zur Erstellung von Zusammenfassungen (Handouts) und Embeddings an die unter „KI-Chat“ (Abschnitt 5.3) genannten LLM-Provider übermittelt. Es gelten die dort aufgeführten Datenschutzhinweise.

Speicherung und Löschung

Verarbeitete Daten (Videos, Audio, Transkripte, Zusammenfassungen) werden für maximal 180 Tage gespeichert und anschließend automatisch gelöscht. Sie können die Löschung jederzeit manuell vornehmen. Bei Ausübung Ihres Rechts auf Löschung (Art. 17 DSGVO) werden alle zugehörigen Daten einschließlich lokaler Dateien vollständig entfernt.

6. Einwilligungsmanagement und Betroffenenrechte

6.1 Double-Opt-In

Für E-Mail-Kommunikation verwenden wir ein Double-Opt-In-Verfahren: Nach Erteilung der Einwilligung erhält der Kunde eine Bestätigungs-E-Mail. Erst nach Klick auf den Bestätigungslink wird die Einwilligung wirksam.

6.2 Widerruf von Einwilligungen

Kunden können ihre Einwilligungen jederzeit widerrufen über:

  • Den personalisierten Consent-Management-Link in jeder E-Mail
  • Den Abmelde-Link in Marketing-E-Mails
  • Kontaktaufnahme unter kontakt@senity.net

Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung (Art. 7 Abs. 3 DSGVO).

6.3 Consent-Audit-Log

Alle Einwilligungsänderungen werden in einem unveränderlichen Audit-Log protokolliert (Zeitpunkt, Art der Änderung, Quelle). Dies dient der Nachweispflicht nach Art. 7 Abs. 1 DSGVO.

7. Empfänger und Auftragsverarbeiter

DienstleisterZweckSitzGarantie Drittland
Supabase Inc.Datenbank, AuthSingapur (Server: EU)AVV / SCCs
OpenAI, Inc.KI-Chat, EmbeddingsUSAEU-US DPF / SCCs
Vapi.ai, Inc.Voice-BotUSASCCs
Twilio Inc.SMS, TelefonieUSAEU-US DPF / SCCs
Twilio SendGridE-Mail-VersandUSAEU-US DPF / SCCs
Calendly LLCTerminbuchungUSAEU-US DPF / SCCs
xAI Corp.KI-Chat (Grok)USASCCs
Google Ireland Ltd.KI-Chat (Gemini)Irland / USAEU-US DPF / SCCs
Puter Technologies Inc.KI-ChatUSASCCs

Mit allen Dienstleistern, die als Auftragsverarbeiter tätig werden, haben wir Auftragsverarbeitungsvertraege gemäß Art. 28 DSGVO abgeschlossen.

8. Drittlandtransfer

Einige der von uns eingesetzten Dienstleister haben ihren Sitz in den USA oder anderen Drittländern. Eine Datenübermittlung erfolgt nur unter Einhaltung der Vorgaben der Art. 44 ff. DSGVO:

  • EU-US Data Privacy Framework (DPF): Soweit der jeweilige Dienstleister unter dem DPF zertifiziert ist, liegt ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 Abs. 1 DSGVO vor (Durchführungsbeschluss (EU) 2023/1795 vom 10.07.2023).
  • Standardvertragsklauseln (SCCs): Ergänzend oder alternativ stützen wir die Datenübermittlung auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Wir weisen darauf hin, dass trotz des DPF-Angemessenheitsbeschlusses und der SCCs ein Restrisiko besteht, dass Behörden in Drittländern auf Grundlage lokaler Gesetze auf die übermittelten Daten zugreifen könnten.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Benutzerdaten: Bis zur Löschung des Kontos, danach Anonymisierung.
  • Kundenstammdaten: Bis zur Löschung durch den Benutzer. Bei Loeschanfrage werden Daten gemäß Art. 17 DSGVO anonymisiert.
  • Chat-Verläufe: Bis zur Löschung der Session durch den Benutzer.
  • Voice-Bot-Aufzeichnungen: Gesprächstranskripte und Audio-Aufzeichnungen werden bei unseren Dienstleistern (Vapi.ai, Twilio) gemäß deren Aufbewahrungsrichtlinien gespeichert. Wir wirken auf eine Löschung innerhalb von 30 Tagen nach Gesprächsende hin.
  • Voice Studio (Stimmproben, Klone, TTS-Ausgaben): Bis zum Widerruf der Einwilligung. Bei Widerruf sofortige Löschung aller zugehörigen Daten. Bei Löschung des Benutzerkontos (Art. 17 DSGVO) werden alle Voice-Daten physisch vom Server gelöscht.
  • Consent-Audit-Logs: 3 Jahre (angelehnt an die regelmaessige Verjährungsfrist nach Paragraph 195 BGB; dient der Nachweispflicht nach Art. 7 Abs. 1 DSGVO).
  • Server-Logfiles: 7 Tage.
  • Cookie-Einwilligung: 12 Monate, danach erneute Abfrage.

10. Betroffenenrechte

Sie haben nach Maßgabe der gesetzlichen Voraussetzungen folgende Rechte:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

10.1 Widerspruchsrecht (Art. 21 DSGVO)

Soweit wir personenbezogene Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung einzulegen. Sofern Sie Widerspruch einlegen, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: kontakt@senity.net

10.2 Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt. Der KI-Chat und der Voice-Bot dienen ausschließlich der Kommunikation und treffen keine rechtlich bindenden oder ähnlich erheblich beeintraechtigenden Entscheidungen gegenüber betroffenen Personen.

11. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Postfach 20 04 44
40102 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Website: https://www.ldi.nrw.de

12. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmassnahmen ein, um Ihre Daten gegen zufaellige oder vorsaetzliche Manipulationen, Verlust, Zerstoerung oder unbefugten Zugriff zu schuetzen. Insbesondere:

  • Verschlüsselte Datenübertragung (HTTPS/TLS)
  • CSRF-Schutz für alle API-Endpunkte
  • Gehashte Passwoerter (bcrypt)
  • Row-Level-Security (RLS) in der Datenbank
  • Mandantentrennung (Multi-Tenant-Architektur)
  • Unveränderliches Consent-Audit-Log
  • Lokale Verarbeitung von Stimmdaten (kein Cloud-Transfer)
  • Granulare Einwilligungsverwaltung für Voice-Cloning mit SHA-256-Integritaetspruefung

13. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand 19.03.2026. Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen.