← Zurück zur Startseite

Datenschutzerklärung — Keyvero Webanwendung

Stand: 30. Juni 2026

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten in der eingeloggten Keyvero-Webanwendung sowie in den darüber bereitgestellten Telefonie- und KI-Sprachdiensten. Für die öffentliche Marketing-Website keyvero.ai gilt eine eigenständige Datenschutzerklärung.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) ist:

Keyvero FlexKapG
Bernardgasse 12/3
1070 Wien, Österreich
Firmenbuchnummer FN 677912 f, Handelsgericht Wien
UID-Nummer: wird nach Vergabe durch das Finanzamt ergänzt

Vertreten durch die Geschäftsführer Alexander Ortner und Nikolaus Weber.

Kontakt für datenschutzrechtliche Anliegen
E-Mail: info@keyvero.ai
Telefon: +43 664 5357673
Postanschrift: wie Firmensitz

Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO besteht nicht. Unsere Kerntätigkeit umfasst weder die regelmäßige und systematische Beobachtung von Personen in großem Umfang noch die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO.

2. Rollenklärung — Verantwortlichkeit für unterschiedliche Datenkategorien

Die Datenschutz-Rollen unterscheiden sich, je nachdem, welche Daten verarbeitet werden.

2.1 Account-, Konfigurations- und Abrechnungsdaten unserer Kunden

Für die Verarbeitung der Account-, Konfigurations- und Abrechnungsdaten unserer registrierten Kunden ist Keyvero FlexKapG Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Es gilt die hier vorliegende Datenschutzerklärung.

2.2 Daten der End-Anrufer unserer Kunden

Wenn eine Endkundin oder ein Endkunde unseres Kunden eine über Keyvero betriebene Telefonnummer anruft, ist unser Kunde Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Keyvero verarbeitet diese Anruf-Daten ausschließlich im Auftrag und nach Weisung des jeweiligen Kunden und ist insoweit Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO und Art. 28 DSGVO.

Grundlage der Verarbeitung ist der mit dem jeweiligen Kunden abgeschlossene Auftragsverarbeitungsvertrag (AVV). Den aktuellen Mustervertrag stellen wir unter keyvero.ai/avv zur Einsicht bereit.

Anrufer, die eine Auskunft, Berichtigung oder Löschung verlangen wollen, wenden sich primär an den Inhaber der angerufenen Telefonnummer; siehe dazu auch Abschnitt 8.

3. Zwecke der Verarbeitung und Rechtsgrundlagen

3.1 Account-Anlage und Vertragsabwicklung

Bei der Registrierung erfassen wir folgende Daten: vollständiger Name, Firmenname (Pflichtfeld, da Keyvero ein B2B-Dienst ist), optional die UID-Nummer der Firma, E-Mail-Adresse, Passwort (ausschließlich verschlüsselt gespeichert), Zeitstempel der Zustimmung zu unseren Nutzungsbedingungen sowie Zeitstempel der Bestätigung des Unternehmer-Status nach § 1 Unternehmensgesetzbuch (UGB). Diese Daten sind zur Bereitstellung der Webanwendung und zur Vertragsabwicklung erforderlich.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen).
  • Speicherdauer: bis zur Löschung des Accounts zuzüglich sechs Monate Kulanzfrist; gesetzliche Aufbewahrungspflichten bleiben unberührt.

3.2 Authentifizierung

Die Anmeldung erfolgt wahlweise mit E-Mail und Passwort oder optional über „Sign in with Google“.

Bei Nutzung von Sign in with Google (bereitgestellt durch Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) übermittelt Google nach Ihrer ausdrücklichen Einwilligung die Datenfelder E-Mail-Adresse, Name und Google-Account-ID an uns. Es werden ausschließlich die Standard-Scopes openid, email und profile abgefragt; weitergehende Berechtigungen wie Kalender-, Drive- oder Kontaktzugriff fordern wir nicht an.

Google ist insoweit nicht unser Auftragsverarbeiter, sondern als Identity Provider eigenständig verantwortlich für Ihre Google-Account-Daten. Es gelten ergänzend die Datenschutzbestimmungen von Google unter policies.google.com/privacy.

Authentifizierungs-E-Mails (Account-Bestätigung, Passwort-Reset) versendet unser Authentifizierungs-Auftragsverarbeiter Supabase (siehe Abschnitt 5).

  • Rechtsgrundlage für die Übermittlung durch Google an uns: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), erteilt auf dem Google OAuth Consent Screen.
  • Rechtsgrundlage für die anschließende Verarbeitung durch uns: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Eine Zwei-Faktor-Authentifizierung wird derzeit nicht angeboten.

3.3 Zahlungsabwicklung

Die Abrechnung erfolgt nutzungsbasiert über die Stripe Payments Europe Limited, North Wall Quay 25–28, Dublin 1, Irland. Wir verarbeiten Rechnungsdaten und Nutzungsmetriken (Anruf-Minuten, Kosten). Kartendaten und Bankverbindungen werden ausschließlich von Stripe verarbeitet; wir erhalten lediglich tokenisierte Referenzen.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Rechnungslegung).
  • Speicherdauer: Rechnungsdaten 7 Jahre gemäß § 132 Bundesabgabenordnung (BAO) und § 212 Unternehmensgesetzbuch (UGB).

3.4 Anruf-Annahme und KI-Verarbeitung

Wenn ein Endkunde bei einer über Keyvero verwalteten Telefonnummer anruft, läuft die Verarbeitung folgendermaßen ab:

  1. Annahme des Anrufs über die Telefonie-Infrastruktur unseres Auftragsverarbeiters Twilio Ireland.
  2. Echtzeit-Streaming des Audios an unsere selbst gehostete Orchestration-Schicht auf Hetzner-Servern in Falkenstein, Deutschland.
  3. Spracherkennung (Speech-to-Text) durch Deepgram über den europäischen Endpunkt api.eu.deepgram.com.
  4. Erzeugung der Antwort durch ein Sprachmodell (Large Language Model) von Azure OpenAI in der Region West Europe.
  5. Sprachsynthese (Text-to-Speech) durch Cartesia über deren Routing-Endpunkte.
  6. Rück-Streaming des erzeugten Audios an den Anrufer über Twilio.

Zu Beginn jedes Anrufs erfolgt eine hörbare Information, dass das Gespräch durch einen KI-Sprachassistenten geführt wird (Art. 50 EU AI Act, anwendbar ab 2. August 2026; freiwillig bereits heute umgesetzt).

  • Rechtsgrundlage: Auftragsverarbeitung im Auftrag des Kunden gemäß Art. 28 DSGVO (siehe Rollenklärung in Abschnitt 2).
  • Speicherdauer: siehe Abschnitt 6.

3.5 Dashboard und Auswertungen

Im eingeloggten Dashboard können unsere Kunden Anrufdaten, Transkripte und automatisch erzeugte Zusammenfassungen einsehen sowie Agenten konfigurieren.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.6 Produktanalyse mit PostHog

Innerhalb der eingeloggten Webanwendung setzen wir PostHog (PostHog Inc., San Francisco, USA; Verarbeitung über die EU-Cloud in Frankfurt) ein, um die Nutzung der Anwendung zu verstehen und sie zu verbessern, etwa um zu erkennen, an welchen Stellen Abläufe wie das Onboarding hängen. Wir verknüpfen die erfassten Ereignisse mit Ihrer Nutzer- und Organisations-Kennung, jedoch nicht mit Ihrer E-Mail-Adresse oder weiteren Klartext-Personendaten. Wir setzen kein automatisches Erfassen von Klick- oder Eingabeinhalten (kein Autocapture) und keine Sitzungsaufzeichnung (kein Session-Replay) ein. Die Erfassung ist standardmäßig cookielos; eine dauerhafte Speicherung erfolgt erst nach Ihrer Zustimmung zur Statistik-Kategorie unseres Cookie-Banners (Cookiebot).

  • Rechtsgrundlage: für die cookielose Erfassung Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse und Verbesserung der von Ihnen genutzten Anwendung; Widerspruch nach Art. 21 DSGVO jederzeit möglich), für die dauerhafte Speicherung nach Zustimmung Art. 6 Abs. 1 lit. a DSGVO.
  • Drittlandübermittlung: Vertragspartner ist die PostHog Inc. (USA) auf Grundlage der Standardvertragsklauseln nach Art. 46 DSGVO; die Datenhaltung erfolgt in der EU.

4. Welche Daten wir verarbeiten

4.1 Account-Daten

  • vollständiger Name
  • Firmenname
  • UID-Nummer (optional)
  • E-Mail-Adresse
  • Passwort (ausschließlich als gesalzener Hash gespeichert; im Klartext zu keinem Zeitpunkt zugänglich)
  • Zeitstempel der Zustimmung zu unseren Nutzungsbedingungen und unserer Datenschutzerklärung
  • Zeitstempel der Bestätigung des Unternehmer-Status nach § 1 UGB

4.2 Anruf-Daten

Pro Anruf werden gespeichert:

  • anrufende Telefonnummer (Caller ID, im Klartext)
  • angerufene Telefonnummer
  • Beginn, Ende und Dauer des Gesprächs
  • berechnete Kosten
  • vollständiges Transkript des Gesprächs (Rolle pro Sprech-Turn, Text, Zeitstempel)
  • automatisch erzeugte Zusammenfassung
  • technische Metadaten (Twilio Call-SID, Status, gegebenenfalls Transfer-Ziel)

Audio-Aufzeichnungen werden nicht persistent gespeichert; das Audio-Signal wird ausschließlich live verarbeitet und nach Beendigung des Anrufs nicht aufbewahrt. Falls die Anruferin oder der Anrufer im Gespräch den eigenen Namen nennt, ist dieser Teil des Transkripts; ein separates Feld „Anrufer-Name“ führen wir nicht.

4.3 Konfigurationsdaten

  • Agent-Einstellungen (Sprache, Stimme, Systemprompt, Tools, Fallback-Nummer, Begrüßungstext)
  • mit dem Account verknüpfte Telefonnummern und SIP-Konfiguration
  • Versionsverlauf der Agent-Konfiguration

4.4 Nutzungs- und Abrechnungsdaten

Aggregierte Minutennutzung pro Abrechnungsperiode, daraus berechnete Kosten und Rechnungen.

4.5 Server- und Sicherheits-Logs

Beim Aufruf der Webanwendung fallen die in der Datenschutzerklärung der Marketing-Website beschriebenen Server-Logs an. Innerhalb der Anwendung werden sicherheitsrelevante Aktionen (zum Beispiel Anmeldeversuche) zur Wahrung des stabilen Betriebs protokolliert.

5. Auftragsverarbeiter

Wir setzen für den Betrieb der Webanwendung die folgenden Auftragsverarbeiter ein. Mit allen genannten Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge auf Basis der jeweiligen Standard-DPAs und – soweit erforderlich – der Standardvertragsklauseln nach Art. 46 DSGVO. Eine aktuelle Liste der eingesetzten Subprozessoren stellen wir Kunden auf Anfrage zur Verfügung; über wesentliche Änderungen informieren wir gemäß AVV vorab.

AuftragsverarbeiterSitzZweckVerarbeitungsregionÜbermittlungs-Grundlage
Hetzner Online GmbHGunzenhausen, DeutschlandHosting des Voice-BackendsFalkenstein, Deutschlandinnerhalb EU/EWR
Vercel Inc.Covina, CA, USAFrontend-Hosting der WebanwendungEU-Region FrankfurtSCCs (Modul 2) + EU-US Data Privacy Framework
Supabase Inc.San Francisco, CA, USADatenbank, Authentifizierung, Versand von Authentifizierungs-E-MailsFrankfurt, EUSCCs (Modul 2) + EU-US Data Privacy Framework
Twilio Ireland LimitedDublin, Irlandeingehende Telefonie, SIP-Trunking, SMS-Versand durch Agent-ToolsglobalEU-Vertragspartner; SCCs für Routing außerhalb der EU
Deepgram, Inc.San Francisco, CA, USASpracherkennung (Speech-to-Text)EU-Endpunkt api.eu.deepgram.comSCCs (Modul 2)
Microsoft Ireland Operations Limited (Azure OpenAI)One Microsoft Place, Leopardstown, Dublin 18, IrlandSprachmodell (Large Language Model)West Europeinnerhalb EU/EWR (Microsoft Products and Services DPA)
Cartesia AI, Inc.San Francisco, CA, USASprachsynthese (Text-to-Speech)Routing-Endpunkte; aus dem EWR aufgerufene Requests werden über europäische Endpunkte ausgeliefertSCCs (Modul 2)
Stripe Payments Europe LimitedDublin, IrlandZahlungsabwicklung, Abrechnunginnerhalb EUinnerhalb EU/EWR
Mailjet SAS (Teil der Sinch-Gruppe)Paris, FrankreichVersand transaktionaler E-Mails durch Agent-ToolsRechenzentren Deutschland und Belgieninnerhalb EU/EWR
PostHog Inc.San Francisco, CA, USAProduktanalyse der WebanwendungEU-Cloud FrankfurtSCCs (Modul 2)
Cybot A/S (Cookiebot)Kopenhagen, DänemarkEinwilligungsverwaltung (Cookie-Banner)innerhalb EUinnerhalb EU/EWR

6. Speicherdauern im Überblick

DatenkategorieSpeicherdauer
Account-Datenbis zur Löschung des Accounts zuzüglich 6 Monate Kulanzfrist
Anruf-Audiokeine persistente Speicherung
Anruf-Transkripte und Zusammenfassungenbis zur Löschung des zugehörigen Accounts
Anrufer-Telefonnummer (Caller ID)als Teil des Anruf-Datensatzes; gleiche Frist wie Transkripte
Konfigurationsdaten (Agents, Telefonnummern)bis zur Löschung des Accounts
Zahlungs- und Rechnungsdaten7 Jahre gemäß § 132 BAO und § 212 UGB
Server-Logsmaximal 14 Tage
Datenbank-Backups (Point-in-Time Recovery)rotierend, maximal 7 Tage

Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder anonymisiert, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

7. KI-Transparenz und EU AI Act

7.1 Hörbarer KI-Hinweis am Anrufanfang

Zu Beginn jedes über Keyvero geführten Anrufs erfolgt eine hörbare Mitteilung, dass das Gespräch durch einen KI-Sprachassistenten geführt wird. Diese Information ist in der Begrüßung des jeweiligen Agenten verankert. Die hörbare Offenlegung erfüllt die Transparenzpflicht aus Art. 50 der Verordnung (EU) 2024/1689 (EU AI Act).

7.2 Keine Verwendung Ihrer Gesprächsinhalte für Modelltraining

Inhalte der über Keyvero geführten Gespräche werden ausschließlich zur Erbringung der von uns beauftragten KI-Verarbeitung verwendet. Eine Verwendung zum Training oder zur Weiterentwicklung der Modelle unserer KI-Subprozessoren ist entweder vertraglich grundsätzlich ausgeschlossen oder durch ausdrückliche Opt-Out-Vereinbarung gegenüber dem jeweiligen Subprozessor unterbunden.

7.3 Verarbeitungs-Pipeline

Die KI-Verarbeitung erfolgt in einer Pipeline aus drei separaten Schritten: Spracherkennung, Sprachmodell und Sprachsynthese (siehe Abschnitt 3.4). Jeder Schritt ist eigenständig protokollierbar; eine durchgängige Audio-zu-Audio-Verarbeitung findet nicht statt.

8. Informationen für End-Anrufer

Wenn Sie als Endkundin oder Endkunde unseres Kunden eine über Keyvero betriebene Telefonnummer anrufen, gelten für Sie ergänzend die Informationspflichten nach Art. 13 und Art. 14 DSGVO.

Verantwortlich für die Verarbeitung Ihrer Anruf-Daten ist die Inhaberin oder der Inhaber der angerufenen Telefonnummer (unser Kunde), nicht Keyvero. Keyvero ist insoweit Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Zu Beginn jedes Anrufs werden Sie hörbar darüber informiert, dass das Gespräch durch einen KI-Sprachassistenten geführt wird.

Verarbeitet werden Ihre Telefonnummer (Caller ID), der Inhalt des Gesprächs in Form eines automatisch erstellten Transkripts, die Dauer und der Zeitpunkt des Anrufs sowie eine automatisch erzeugte Zusammenfassung. Das Audio-Signal selbst wird nicht persistent gespeichert. Zweck der Verarbeitung ist die Bearbeitung Ihres Anliegens (zum Beispiel Terminvereinbarung, Auskunft oder Weiterleitung). Die konkrete Speicherdauer und der Verarbeitungszweck werden durch den Inhaber der angerufenen Telefonnummer als Verantwortlichen bestimmt; technisch begrenzen wir die Aufbewahrung wie unter Abschnitt 6 dargestellt.

Zur Ausübung Ihrer Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch) wenden Sie sich primär an den Inhaber der von Ihnen angerufenen Telefonnummer. Ergänzend können Sie sich an info@keyvero.ai wenden; wir leiten Ihre Anfrage unverzüglich an den zuständigen Verantwortlichen weiter und unterstützen ihn bei der Bearbeitung.

9. Übermittlung in Drittländer

Mit der Nutzung der in Abschnitt 5 genannten Auftragsverarbeiter erfolgt teilweise eine Übermittlung personenbezogener Daten in die USA (insbesondere an Vercel Inc., Supabase Inc., Deepgram, Inc. und Cartesia AI, Inc.). Die Übermittlung stützt sich auf folgende Grundlagen:

  • EU-US Data Privacy Framework für nach diesem Rahmen zertifizierte US-Unternehmen,
  • Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO,
  • ergänzende technische und organisatorische Maßnahmen.

Sämtliche datenverarbeitenden Komponenten sind so konfiguriert, dass die Verarbeitung in EU-Regionen oder über europäische Endpunkte erfolgt. Eine Kopie der Standardvertragsklauseln stellen wir auf Anfrage zur Verfügung.

10. Cookies und ähnliche Technologien

Innerhalb der eingeloggten Webanwendung werden ausschließlich technisch notwendige Cookies des Authentifizierungsdienstes Supabase gesetzt (z.B. sb-<projectref>-auth-token, sb-<projectref>-auth-token-code-verifier). Diese Cookies sind für die Aufrechterhaltung Ihrer Sitzung unbedingt erforderlich und unterliegen nach § 165 Abs. 3 TKG 2021 keiner Einwilligungspflicht.

Cookies zu Werbezwecken setzen wir in der Webanwendung nicht ein. Die Einwilligungen verwalten wir über Cookiebot (Cybot A/S, Dänemark). Für die Produktanalyse mit PostHog (Abschnitt 3.6) wird für eingeloggte Nutzer nach Zustimmung eine wiedererkennbare Kennung gespeichert; diese dient ausschließlich der Analyse und Verbesserung der Anwendung, nicht der Werbung und nicht dem seitenübergreifenden Tracking. Einzelheiten und die Widerspruchsmöglichkeit finden Sie in Abschnitt 3.6.

11. Sicherheit

Wir setzen technische und organisatorische Maßnahmen ein, die dem aktuellen Stand der Technik und dem Risiko der Verarbeitung entsprechen.

  • Transportverschlüsselung: Sämtliche Verbindungen zur Webanwendung und zwischen unseren Backend-Komponenten erfolgen über TLS 1.2 oder höher. Die Zertifikate werden über Let's Encrypt ausgestellt und automatisch rotiert.
  • Verschlüsselung im Ruhezustand: Datenbankinhalte und Disk-Speicher unserer Auftragsverarbeiter Supabase und Hetzner sind auf Plattform-Ebene verschlüsselt.
  • Zugriffstrennung auf Mandanten-Ebene: Der Zugriff auf Daten erfolgt über Row-Level-Security; jedes Kundenkonto sieht ausschließlich seine eigenen Daten.
  • Zugriffstrennung innerhalb eines Kundenkontos: Sämtliche Mitglieder eines Kundenkontos haben Zugriff auf die Anrufdaten dieses Kontos. Eine feinere Rechtevergabe innerhalb eines Kontos ist derzeit nicht vorgesehen; die Verwaltung der zugelassenen Mitglieder erfolgt durch den Kontoinhaber.
  • Zugriff durch Keyvero-Personal: Lesender Zugriff auf produktive Kundendaten ist auf die Geschäftsführung beschränkt und erfolgt ausschließlich zu Betriebs-, Support- oder Fehlerbehebungszwecken.
  • Schlüsselverwaltung: Geheime Zugangsdaten zu externen Diensten sind verschlüsselt abgelegt und ausschließlich den dafür berechtigten Anwendungs-Prozessen zugänglich.

12. Ihre Rechte

Sie haben uns gegenüber nach Art. 15 bis 22 DSGVO sowie § 1 DSG insbesondere folgende Rechte:

  • Auskunft (Art. 15 DSGVO);
  • Berichtigung (Art. 16 DSGVO);
  • Löschung (Art. 17 DSGVO);
  • Einschränkung der Verarbeitung (Art. 18 DSGVO);
  • Datenübertragbarkeit (Art. 20 DSGVO);
  • Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO);
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an info@keyvero.ai. Anfragen werden ohne unnötige Verzögerung, spätestens jedoch innerhalb eines Monats nach Eingang, bearbeitet.

Für Anfragen, die ausschließlich End-Anrufer-Daten betreffen, wenden Sie sich bitte zunächst an den Inhaber der angerufenen Telefonnummer (siehe Abschnitt 8).

13. Beschwerderecht

Sie haben gemäß § 24 DSG und Art. 77 DSGVO das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen. Zuständige Aufsichtsbehörde für Keyvero ist:

Österreichische Datenschutzbehörde (DSB)
Barichgasse 40–42
1030 Wien
E-Mail: dsb@dsb.gv.at
Web: dsb.gv.at

14. Automatisierte Entscheidungsfindung

Die KI-Anwendung führt einen automatisierten Dialog und kann auf Weisung unseres Kunden Termine vereinbaren, Auskünfte erteilen oder Anrufe weiterleiten. Eine automatisierte Entscheidung mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO trifft die Anwendung nicht.

15. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich rechtliche Vorgaben oder unsere Verarbeitungsvorgänge ändern. Wesentliche Änderungen kommunizieren wir aktiven Kunden vor Wirksamwerden über die Webanwendung oder per E-Mail. Die jeweils aktuelle Fassung ist innerhalb der Webanwendung sowie auf keyvero.ai abrufbar.