Stand: 30. Juni 2026
Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten in der eingeloggten Keyvero-Webanwendung sowie in den darüber bereitgestellten Telefonie- und KI-Sprachdiensten. Für die öffentliche Marketing-Website keyvero.ai gilt eine eigenständige Datenschutzerklärung.
Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) ist:
Keyvero FlexKapG
Bernardgasse 12/3
1070 Wien, Österreich
Firmenbuchnummer FN 677912 f, Handelsgericht Wien
UID-Nummer: wird nach Vergabe durch das Finanzamt ergänzt
Vertreten durch die Geschäftsführer Alexander Ortner und Nikolaus Weber.
Kontakt für datenschutzrechtliche Anliegen
E-Mail: info@keyvero.ai
Telefon: +43 664 5357673
Postanschrift: wie Firmensitz
Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO besteht nicht. Unsere Kerntätigkeit umfasst weder die regelmäßige und systematische Beobachtung von Personen in großem Umfang noch die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO.
Die Datenschutz-Rollen unterscheiden sich, je nachdem, welche Daten verarbeitet werden.
Für die Verarbeitung der Account-, Konfigurations- und Abrechnungsdaten unserer registrierten Kunden ist Keyvero FlexKapG Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Es gilt die hier vorliegende Datenschutzerklärung.
Wenn eine Endkundin oder ein Endkunde unseres Kunden eine über Keyvero betriebene Telefonnummer anruft, ist unser Kunde Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Keyvero verarbeitet diese Anruf-Daten ausschließlich im Auftrag und nach Weisung des jeweiligen Kunden und ist insoweit Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO und Art. 28 DSGVO.
Grundlage der Verarbeitung ist der mit dem jeweiligen Kunden abgeschlossene Auftragsverarbeitungsvertrag (AVV). Den aktuellen Mustervertrag stellen wir unter keyvero.ai/avv zur Einsicht bereit.
Anrufer, die eine Auskunft, Berichtigung oder Löschung verlangen wollen, wenden sich primär an den Inhaber der angerufenen Telefonnummer; siehe dazu auch Abschnitt 8.
Bei der Registrierung erfassen wir folgende Daten: vollständiger Name, Firmenname (Pflichtfeld, da Keyvero ein B2B-Dienst ist), optional die UID-Nummer der Firma, E-Mail-Adresse, Passwort (ausschließlich verschlüsselt gespeichert), Zeitstempel der Zustimmung zu unseren Nutzungsbedingungen sowie Zeitstempel der Bestätigung des Unternehmer-Status nach § 1 Unternehmensgesetzbuch (UGB). Diese Daten sind zur Bereitstellung der Webanwendung und zur Vertragsabwicklung erforderlich.
Die Anmeldung erfolgt wahlweise mit E-Mail und Passwort oder optional über „Sign in with Google“.
Bei Nutzung von Sign in with Google (bereitgestellt durch Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) übermittelt Google nach Ihrer ausdrücklichen Einwilligung die Datenfelder E-Mail-Adresse, Name und Google-Account-ID an uns. Es werden ausschließlich die Standard-Scopes openid, email und profile abgefragt; weitergehende Berechtigungen wie Kalender-, Drive- oder Kontaktzugriff fordern wir nicht an.
Google ist insoweit nicht unser Auftragsverarbeiter, sondern als Identity Provider eigenständig verantwortlich für Ihre Google-Account-Daten. Es gelten ergänzend die Datenschutzbestimmungen von Google unter policies.google.com/privacy.
Authentifizierungs-E-Mails (Account-Bestätigung, Passwort-Reset) versendet unser Authentifizierungs-Auftragsverarbeiter Supabase (siehe Abschnitt 5).
Eine Zwei-Faktor-Authentifizierung wird derzeit nicht angeboten.
Die Abrechnung erfolgt nutzungsbasiert über die Stripe Payments Europe Limited, North Wall Quay 25–28, Dublin 1, Irland. Wir verarbeiten Rechnungsdaten und Nutzungsmetriken (Anruf-Minuten, Kosten). Kartendaten und Bankverbindungen werden ausschließlich von Stripe verarbeitet; wir erhalten lediglich tokenisierte Referenzen.
Wenn ein Endkunde bei einer über Keyvero verwalteten Telefonnummer anruft, läuft die Verarbeitung folgendermaßen ab:
api.eu.deepgram.com.Zu Beginn jedes Anrufs erfolgt eine hörbare Information, dass das Gespräch durch einen KI-Sprachassistenten geführt wird (Art. 50 EU AI Act, anwendbar ab 2. August 2026; freiwillig bereits heute umgesetzt).
Im eingeloggten Dashboard können unsere Kunden Anrufdaten, Transkripte und automatisch erzeugte Zusammenfassungen einsehen sowie Agenten konfigurieren.
Innerhalb der eingeloggten Webanwendung setzen wir PostHog (PostHog Inc., San Francisco, USA; Verarbeitung über die EU-Cloud in Frankfurt) ein, um die Nutzung der Anwendung zu verstehen und sie zu verbessern, etwa um zu erkennen, an welchen Stellen Abläufe wie das Onboarding hängen. Wir verknüpfen die erfassten Ereignisse mit Ihrer Nutzer- und Organisations-Kennung, jedoch nicht mit Ihrer E-Mail-Adresse oder weiteren Klartext-Personendaten. Wir setzen kein automatisches Erfassen von Klick- oder Eingabeinhalten (kein Autocapture) und keine Sitzungsaufzeichnung (kein Session-Replay) ein. Die Erfassung ist standardmäßig cookielos; eine dauerhafte Speicherung erfolgt erst nach Ihrer Zustimmung zur Statistik-Kategorie unseres Cookie-Banners (Cookiebot).
Pro Anruf werden gespeichert:
Audio-Aufzeichnungen werden nicht persistent gespeichert; das Audio-Signal wird ausschließlich live verarbeitet und nach Beendigung des Anrufs nicht aufbewahrt. Falls die Anruferin oder der Anrufer im Gespräch den eigenen Namen nennt, ist dieser Teil des Transkripts; ein separates Feld „Anrufer-Name“ führen wir nicht.
Aggregierte Minutennutzung pro Abrechnungsperiode, daraus berechnete Kosten und Rechnungen.
Beim Aufruf der Webanwendung fallen die in der Datenschutzerklärung der Marketing-Website beschriebenen Server-Logs an. Innerhalb der Anwendung werden sicherheitsrelevante Aktionen (zum Beispiel Anmeldeversuche) zur Wahrung des stabilen Betriebs protokolliert.
Wir setzen für den Betrieb der Webanwendung die folgenden Auftragsverarbeiter ein. Mit allen genannten Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge auf Basis der jeweiligen Standard-DPAs und – soweit erforderlich – der Standardvertragsklauseln nach Art. 46 DSGVO. Eine aktuelle Liste der eingesetzten Subprozessoren stellen wir Kunden auf Anfrage zur Verfügung; über wesentliche Änderungen informieren wir gemäß AVV vorab.
| Auftragsverarbeiter | Sitz | Zweck | Verarbeitungsregion | Übermittlungs-Grundlage |
|---|---|---|---|---|
| Hetzner Online GmbH | Gunzenhausen, Deutschland | Hosting des Voice-Backends | Falkenstein, Deutschland | innerhalb EU/EWR |
| Vercel Inc. | Covina, CA, USA | Frontend-Hosting der Webanwendung | EU-Region Frankfurt | SCCs (Modul 2) + EU-US Data Privacy Framework |
| Supabase Inc. | San Francisco, CA, USA | Datenbank, Authentifizierung, Versand von Authentifizierungs-E-Mails | Frankfurt, EU | SCCs (Modul 2) + EU-US Data Privacy Framework |
| Twilio Ireland Limited | Dublin, Irland | eingehende Telefonie, SIP-Trunking, SMS-Versand durch Agent-Tools | global | EU-Vertragspartner; SCCs für Routing außerhalb der EU |
| Deepgram, Inc. | San Francisco, CA, USA | Spracherkennung (Speech-to-Text) | EU-Endpunkt api.eu.deepgram.com | SCCs (Modul 2) |
| Microsoft Ireland Operations Limited (Azure OpenAI) | One Microsoft Place, Leopardstown, Dublin 18, Irland | Sprachmodell (Large Language Model) | West Europe | innerhalb EU/EWR (Microsoft Products and Services DPA) |
| Cartesia AI, Inc. | San Francisco, CA, USA | Sprachsynthese (Text-to-Speech) | Routing-Endpunkte; aus dem EWR aufgerufene Requests werden über europäische Endpunkte ausgeliefert | SCCs (Modul 2) |
| Stripe Payments Europe Limited | Dublin, Irland | Zahlungsabwicklung, Abrechnung | innerhalb EU | innerhalb EU/EWR |
| Mailjet SAS (Teil der Sinch-Gruppe) | Paris, Frankreich | Versand transaktionaler E-Mails durch Agent-Tools | Rechenzentren Deutschland und Belgien | innerhalb EU/EWR |
| PostHog Inc. | San Francisco, CA, USA | Produktanalyse der Webanwendung | EU-Cloud Frankfurt | SCCs (Modul 2) |
| Cybot A/S (Cookiebot) | Kopenhagen, Dänemark | Einwilligungsverwaltung (Cookie-Banner) | innerhalb EU | innerhalb EU/EWR |
| Datenkategorie | Speicherdauer |
|---|---|
| Account-Daten | bis zur Löschung des Accounts zuzüglich 6 Monate Kulanzfrist |
| Anruf-Audio | keine persistente Speicherung |
| Anruf-Transkripte und Zusammenfassungen | bis zur Löschung des zugehörigen Accounts |
| Anrufer-Telefonnummer (Caller ID) | als Teil des Anruf-Datensatzes; gleiche Frist wie Transkripte |
| Konfigurationsdaten (Agents, Telefonnummern) | bis zur Löschung des Accounts |
| Zahlungs- und Rechnungsdaten | 7 Jahre gemäß § 132 BAO und § 212 UGB |
| Server-Logs | maximal 14 Tage |
| Datenbank-Backups (Point-in-Time Recovery) | rotierend, maximal 7 Tage |
Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder anonymisiert, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
Zu Beginn jedes über Keyvero geführten Anrufs erfolgt eine hörbare Mitteilung, dass das Gespräch durch einen KI-Sprachassistenten geführt wird. Diese Information ist in der Begrüßung des jeweiligen Agenten verankert. Die hörbare Offenlegung erfüllt die Transparenzpflicht aus Art. 50 der Verordnung (EU) 2024/1689 (EU AI Act).
Inhalte der über Keyvero geführten Gespräche werden ausschließlich zur Erbringung der von uns beauftragten KI-Verarbeitung verwendet. Eine Verwendung zum Training oder zur Weiterentwicklung der Modelle unserer KI-Subprozessoren ist entweder vertraglich grundsätzlich ausgeschlossen oder durch ausdrückliche Opt-Out-Vereinbarung gegenüber dem jeweiligen Subprozessor unterbunden.
Die KI-Verarbeitung erfolgt in einer Pipeline aus drei separaten Schritten: Spracherkennung, Sprachmodell und Sprachsynthese (siehe Abschnitt 3.4). Jeder Schritt ist eigenständig protokollierbar; eine durchgängige Audio-zu-Audio-Verarbeitung findet nicht statt.
Wenn Sie als Endkundin oder Endkunde unseres Kunden eine über Keyvero betriebene Telefonnummer anrufen, gelten für Sie ergänzend die Informationspflichten nach Art. 13 und Art. 14 DSGVO.
Verantwortlich für die Verarbeitung Ihrer Anruf-Daten ist die Inhaberin oder der Inhaber der angerufenen Telefonnummer (unser Kunde), nicht Keyvero. Keyvero ist insoweit Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Zu Beginn jedes Anrufs werden Sie hörbar darüber informiert, dass das Gespräch durch einen KI-Sprachassistenten geführt wird.
Verarbeitet werden Ihre Telefonnummer (Caller ID), der Inhalt des Gesprächs in Form eines automatisch erstellten Transkripts, die Dauer und der Zeitpunkt des Anrufs sowie eine automatisch erzeugte Zusammenfassung. Das Audio-Signal selbst wird nicht persistent gespeichert. Zweck der Verarbeitung ist die Bearbeitung Ihres Anliegens (zum Beispiel Terminvereinbarung, Auskunft oder Weiterleitung). Die konkrete Speicherdauer und der Verarbeitungszweck werden durch den Inhaber der angerufenen Telefonnummer als Verantwortlichen bestimmt; technisch begrenzen wir die Aufbewahrung wie unter Abschnitt 6 dargestellt.
Zur Ausübung Ihrer Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch) wenden Sie sich primär an den Inhaber der von Ihnen angerufenen Telefonnummer. Ergänzend können Sie sich an info@keyvero.ai wenden; wir leiten Ihre Anfrage unverzüglich an den zuständigen Verantwortlichen weiter und unterstützen ihn bei der Bearbeitung.
Mit der Nutzung der in Abschnitt 5 genannten Auftragsverarbeiter erfolgt teilweise eine Übermittlung personenbezogener Daten in die USA (insbesondere an Vercel Inc., Supabase Inc., Deepgram, Inc. und Cartesia AI, Inc.). Die Übermittlung stützt sich auf folgende Grundlagen:
Sämtliche datenverarbeitenden Komponenten sind so konfiguriert, dass die Verarbeitung in EU-Regionen oder über europäische Endpunkte erfolgt. Eine Kopie der Standardvertragsklauseln stellen wir auf Anfrage zur Verfügung.
Innerhalb der eingeloggten Webanwendung werden ausschließlich technisch notwendige Cookies des Authentifizierungsdienstes Supabase gesetzt (z.B. sb-<projectref>-auth-token, sb-<projectref>-auth-token-code-verifier). Diese Cookies sind für die Aufrechterhaltung Ihrer Sitzung unbedingt erforderlich und unterliegen nach § 165 Abs. 3 TKG 2021 keiner Einwilligungspflicht.
Cookies zu Werbezwecken setzen wir in der Webanwendung nicht ein. Die Einwilligungen verwalten wir über Cookiebot (Cybot A/S, Dänemark). Für die Produktanalyse mit PostHog (Abschnitt 3.6) wird für eingeloggte Nutzer nach Zustimmung eine wiedererkennbare Kennung gespeichert; diese dient ausschließlich der Analyse und Verbesserung der Anwendung, nicht der Werbung und nicht dem seitenübergreifenden Tracking. Einzelheiten und die Widerspruchsmöglichkeit finden Sie in Abschnitt 3.6.
Wir setzen technische und organisatorische Maßnahmen ein, die dem aktuellen Stand der Technik und dem Risiko der Verarbeitung entsprechen.
Sie haben uns gegenüber nach Art. 15 bis 22 DSGVO sowie § 1 DSG insbesondere folgende Rechte:
Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an info@keyvero.ai. Anfragen werden ohne unnötige Verzögerung, spätestens jedoch innerhalb eines Monats nach Eingang, bearbeitet.
Für Anfragen, die ausschließlich End-Anrufer-Daten betreffen, wenden Sie sich bitte zunächst an den Inhaber der angerufenen Telefonnummer (siehe Abschnitt 8).
Sie haben gemäß § 24 DSG und Art. 77 DSGVO das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen. Zuständige Aufsichtsbehörde für Keyvero ist:
Österreichische Datenschutzbehörde (DSB)
Barichgasse 40–42
1030 Wien
E-Mail: dsb@dsb.gv.at
Web: dsb.gv.at
Die KI-Anwendung führt einen automatisierten Dialog und kann auf Weisung unseres Kunden Termine vereinbaren, Auskünfte erteilen oder Anrufe weiterleiten. Eine automatisierte Entscheidung mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO trifft die Anwendung nicht.
Wir passen diese Datenschutzerklärung an, wenn sich rechtliche Vorgaben oder unsere Verarbeitungsvorgänge ändern. Wesentliche Änderungen kommunizieren wir aktiven Kunden vor Wirksamwerden über die Webanwendung oder per E-Mail. Die jeweils aktuelle Fassung ist innerhalb der Webanwendung sowie auf keyvero.ai abrufbar.