SMARTE AGENTUR
Rechtliches

Datenschutzerklärung

Stand: Juni 2026 · Diese Datenschutzerklärung gilt für die Website smarte-agentur.de sowie für das SaaS-Portal portal.smarteagentur.de der Creative AI Solutions GmbH.

1. Geltungsbereich

Diese Erklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten (nachfolgend „Daten") im Rahmen unserer Marketing-Website und unseres SaaS-Portals. Sie richtet sich an Website-Besucher, Interessenten, registrierte Nutzer, Endkunden unserer Kunden (Versicherte/ Anrufer der KI-Sprachagenten) sowie Geschäftspartner.

2. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:
Creative AI Solutions GmbH
Geschäftsführer: Patrick Cantos-Bravo
Eichenweg 3, 74257 Untereisesheim, Deutschland
E-Mail: info@smarteagentur.de
Telefon: +49 156 79747124
Handelsregister: Amtsgericht Stuttgart, HRB 804265
USt-IdNr.: DE423869711

3. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist derzeit nicht gesetzlich zu bestellen (§ 38 BDSG). Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die unter Ziffer 2 genannte Adresse, Stichwort „Datenschutz", oder per E-Mail an info@smarteagentur.de.

4. Begriffsbestimmungen

Wir verwenden die Begriffe der DSGVO (Art. 4 DSGVO), insbesondere „personenbezogene Daten", „Verarbeitung", „Verantwortlicher", „Auftragsverarbeiter", „Einwilligung" und „besondere Kategorien personenbezogener Daten" (Art. 9 DSGVO).

5. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Daten ausschließlich auf einer der folgenden Rechtsgrundlagen:
  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung
  • Art. 6 Abs. 1 lit. b DSGVO – Vertrag bzw. vorvertragliche Maßnahmen
  • Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung
  • Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse
  • Art. 9 Abs. 2 lit. a DSGVO – ausdrückliche Einwilligung bei besonderen Datenkategorien
  • Art. 28 DSGVO – Auftragsverarbeitung (im Verhältnis zu unseren B2B-Kunden, siehe Ziffer 13)

6. Bereitstellung der Website und Server-Logs

Beim Aufruf unserer Website werden technisch notwendige Daten verarbeitet: IP-Adresse (gekürzt soweit möglich), Datum/Uhrzeit, aufgerufene URL, Referrer, User-Agent, übertragene Datenmenge, HTTP-Statuscode. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb, Abwehr von Angriffen). Speicherdauer: max. 14 Tage, danach anonymisierte Aggregation oder Löschung.

7. Hosting und EU-First-Architektur

Wir betreiben unsere Lösung bewusst als EU-First-Architektur: Sämtliche Stamm-, Vertrags-, CRM- und Inhaltsdaten sowie Authentifizierungs- und Sitzungsdaten liegen in Rechenzentren innerhalb der Europäischen Union – die Datenbank- und Speicher-Infrastruktur basiert auf Supabase in der Region Frankfurt/Deutschland. Die Auslieferung von Website und Portal erfolgt über Cloudflare Workers(Edge-Computing in EU-Rechenzentren); Cloudflare übernimmt zusätzlich CDN-Funktionen und das E-Mail-Routing. Übermittlungen an Anbieter außerhalb des EWR finden ausschließlich für klar abgegrenzte Spezialfunktionen statt (z. B. KI-Sprachsynthese, internationale Telefonie, Messaging, Zahlungsabwicklung, Fehler-Monitoring) und nur im technisch erforderlichen Umfang – Details siehe Ziffer 27. Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

8. Cookies und Einwilligungs-Management

Wir setzen ausschließlich technisch notwendige Cookies ohne Einwilligung ein. Analyse- und Marketing-Cookies werden nur nach Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG) verwendet. Details finden Sie in unserer Cookie-Richtlinie. Ihre Einwilligungen können Sie jederzeit unter Cookie-Einstellungen widerrufen.

9. Kontaktaufnahme (Formular, E-Mail, Telefon)

Wenn Sie uns über das Kontaktformular, per E-Mail oder telefonisch kontaktieren, verarbeiten wir Ihre Angaben (Name, Kontaktdaten, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich) bzw. lit. f DSGVO (effiziente Bearbeitung). Speicherdauer: bis zur abschließenden Bearbeitung, längstens bis Ablauf gesetzlicher Aufbewahrungspflichten (regelmäßig 6 bzw. 10 Jahre, §§ 257 HGB, 147 AO).

10. Terminbuchung über Cal.com

Termine können Sie über den Drittanbieter Cal.com buchen. Dabei werden Name, E-Mail, Wunschtermin und ggf. weitere von Ihnen angegebene Daten an Cal.com übermittelt; der Anbieter ist DPF-zertifiziert, die Übermittlung außerhalb des EWR ist auf Basis des EU-US Data Privacy Frameworks abgesichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Details: cal.com/privacy.

11. ROI-Rechner

Ihre Eingaben im ROI-Rechner werden ausschließlich lokal in Ihrem Browser verarbeitet. Erst wenn Sie aktiv das Detail-Ergebnis per E-Mail anfordern, übermitteln wir die berechneten Werte und Ihre E-Mail-Adresse an uns (Art. 6 Abs. 1 lit. b DSGVO).

12. Registrierung und Nutzerkonto im Portal

Für die Nutzung des Portals legen wir ein Nutzerkonto an. Verarbeitete Daten: E-Mail, Name, Rolle, Organisationszugehörigkeit, Authentifizierungs-Metadaten, optional Telefonnummer. Authentifizierung und Sitzungsverwaltung erfolgen über Supabase Auth. Für Transaktions- und Auth-E-Mails (Einladung, Passwort-Reset, Bestätigung) nutzen wir unseren E-Mail-Versanddienst (siehe Ziffer 19). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

13. Verarbeitung im SaaS-Portal – Auftragsverarbeitung

Soweit unsere Geschäftskunden (Versicherungsagenturen) über das Portal personenbezogene Daten ihrer Endkunden, Mitarbeiter oder Anrufer verarbeiten, ist der jeweilige Kunde der Verantwortliche im Sinne der DSGVO; wir handeln insoweit als Auftragsverarbeiter nach Art. 28 DSGVO. Wir schließen mit jedem Kunden einen Auftragsverarbeitungsvertrag (AVV), der im Portal als PDF generiert und abrufbar ist. Endbetroffene wenden sich bitte primär an die jeweilige Agentur als verantwortliche Stelle.

14. KI-Sprachagenten und Gesprächsdaten (ElevenLabs)

Für die Sprachsynthese und Konversations-KI nutzen wir den Anbieter ElevenLabs; eine Übermittlung außerhalb des EWR ist auf Basis des EU-US Data Privacy Frameworks und ergänzender Standardvertragsklauseln abgesichert. Verarbeitet werden ausschließlich die für den jeweiligen Anruf erforderlichen Daten: Audiodaten eingehender und ausgehender Anrufe, Transkripte, Konversations-Metadaten (Zeitpunkt, Dauer, Ergebnis, Anrufthema), Conversation-Tokens sowie agentenbezogene Konfigurationen (Wissensdatenbank, Tools). Anrufende werden zu Beginn jedes Gesprächs auf die Aufzeichnung und KI-Verarbeitung hingewiesen. Speicherdauer: standardmäßig 90 Tage für Audio, 12 Monate für Transkripte; abweichende Kundenkonfigurationen möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO bzw. Auftragsverarbeitung. Hinweise zu Art. 22 DSGVO siehe Ziffer 30.

15. Telefonie (Twilio)

Rufnummern, Anruf-Routing und Anrufmetadaten werden über den Anbieter Twilio(primär Twilio Ireland Limited, Irland) verarbeitet; technisch bedingte Übermittlungen außerhalb des EWR sind über Standardvertragsklauseln und das EU-US Data Privacy Framework abgesichert. Für den Erwerb deutscher/europäischer Rufnummern ist ein „Regulatory Bundle" erforderlich; hierfür verarbeiten wir Ausweisdaten, Anschrift und Identitätsnachweise des Nummerninhabers (Art. 6 Abs. 1 lit. c DSGVO i. V. m. regulatorischen Pflichten). Verbindungsdaten werden zu Abrechnungs- und Diagnosezwecken bis zu 13 Monate gespeichert.

16. WhatsApp Business API (Meta)

Für die WhatsApp-Kommunikation nutzen wir die WhatsApp Business Platform, betrieben durch Meta Platforms Ireland Ltd. mit Sitz in Irland; technisch bedingte Übermittlungen an Meta-Konzerngesellschaften außerhalb des EWR sind über Standardvertragsklauseln und das EU-US Data Privacy Framework abgesichert. Verarbeitet werden Telefonnummern, Nachrichteninhalte, Templates, Zustellstatus, Profilinformationen und Webhook-Ereignisse. Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO. WhatsApp/Meta-Datenschutz: whatsapp.com/legal/business-policy.

17. Lead-Erfassung (Meta Lead Ads)

Bei Lead-Kampagnen über Facebook/Instagram werden die von Ihnen freigegebenen Formularfelder (Name, E-Mail, Telefon, ggf. weitere Felder) per Webhook an unser Portal übermittelt und dort den jeweiligen Vertriebsprozessen zugeführt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung im Lead-Formular) bzw. lit. b DSGVO (vorvertraglich). Widerspruch jederzeit per E-Mail möglich.

18. Kalender-Integrationen (Cal.com, CalDAV, Calendly, Google/Microsoft via OAuth)

Sie können Ihren Kalender per OAuth oder CalDAV mit dem Portal verbinden. Wir verarbeiten dabei OAuth-Tokens (verschlüsselt gespeichert), Kalenderereignisse (Titel, Zeit, Teilnehmer, optional Ort/Notizen) sowie Verfügbarkeitsinformationen, ausschließlich zum Zweck der Terminsynchronisation und -buchung. Tokens werden bei Trennung der Verbindung sofort widerrufen und gelöscht.

19. E-Mail-Versand und -Empfang

Für den Versand transaktionaler E-Mails (Bestätigungen, Benachrichtigungen, Rechnungen, Einladungen) und die Verarbeitung eingehender E-Mails nutzen wir einen EU-basierten E-Mail-Dienstleister sowie Cloudflare Email Routing. Verarbeitet werden Absender/Empfänger, Betreff, Inhalt, Zustellstatus, Bounce- und Suppression-Informationen. Eine Suppression-Liste verhindert weitere Zustellung an ungültige oder abgemeldete Adressen. Tracking-Pixel werden in transaktionalen Mails nicht eingesetzt; in Marketing-Mails nur mit Ihrer Einwilligung.

20. Zahlungsabwicklung (Stripe)

Zahlungen, Abonnements und Rechnungserstellung wickeln wir über Stripe Payments Europe Ltd. mit Sitz in Irland ab; technisch bedingte Übermittlungen an Stripe-Konzerngesellschaften außerhalb des EWR sind über Standardvertragsklauseln und das EU-US Data Privacy Framework abgesichert. Verarbeitet werden Name, Anschrift, E-Mail, USt-IdNr., Zahlungsmittel-Token (keine vollständigen Kartendaten in unserem System), Rechnungs- und Abonnementdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b/c DSGVO. Stripe-Datenschutz: stripe.com/de/privacy.

21. CRM, Gesprächszusammenfassungen, Schadenmeldungen

Im Portal werden Kontaktdaten (CRM), KI-generierte Gesprächszusammenfassungen, Call-Outcomes, Aufgaben sowie ggf. Schadenmeldungen (Claim Reports) verarbeitet. Bei Schaden- und Versicherungsdaten können besondere Kategorien personenbezogener Daten (Art. 9 DSGVO, z. B. Gesundheitsdaten) anfallen. Diese werden ausschließlich auf Grundlage ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) oder soweit gesetzlich erlaubt verarbeitet. Verantwortlich ist regelmäßig die jeweilige Agentur (vgl. Ziffer 13).

22. Support, Impersonation und Fernzugriff

Zur Fehleranalyse und Support-Bearbeitung können autorisierte Mitarbeitende mit Ihrer ausdrücklichen, zeitlich befristeten Genehmigung („Impersonation-Grant") in Ihren Account wechseln. Jeder Zugriff wird protokolliert (Zeitpunkt, Person, Zweck, Dauer) und kann von Ihnen jederzeit widerrufen werden. Optional erstellte Support-Snapshots enthalten nur die für die Problemanalyse erforderlichen Daten und werden nach Abschluss gelöscht (max. 30 Tage).

23. Fehler- und Performance-Monitoring (Sentry)

Zur Stabilitäts- und Fehleranalyse setzen wir Sentry ein; eine Übermittlung außerhalb des EWR ist auf Basis von EU-Standardvertragsklauseln abgesichert. Verarbeitet werden technische Diagnosedaten wie Stacktraces, Browser-/OS-Informationen, URL-Pfade, Zeitstempel und – soweit unvermeidbar – pseudonyme Nutzer-Identifier. Personenbezogene Daten werden vor der Übertragung soweit möglich gefiltert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

24. Backups und Notfallwiederherstellung

Wir erstellen automatisierte Backups (u. a. nächtliche Exporte), die verschlüsselt in der EU gespeichert werden. Backups werden rollierend nach max. 35 Tagen überschrieben, soweit keine längeren gesetzlichen Aufbewahrungspflichten bestehen.

25. Plattform-Benachrichtigungen

Über System- und Plattform-Ereignisse (Anrufe, Termine, Aufgaben, Abrechnung, Sicherheit) informieren wir per In-App-Benachrichtigung und – bei sicherheits- oder vertragsrelevanten Ereignissen – per E-Mail. Reine Marketing-Benachrichtigungen nur mit Ihrer Einwilligung.

26. Auftragsverarbeiter und Empfänger im Überblick

Die folgende Übersicht ist nach Verarbeitungsort gegliedert. Der überwiegende Teil unserer Verarbeitung – insbesondere Datenbank, Authentifizierung, Speicher und Hosting – findet in der Europäischen Union statt.

AnbieterZweckSitz / Region
Verarbeitung in der EU / Deutschland
SupabaseDatenbank, Auth, StorageEU – Frankfurt/DE
CloudflareEdge-Hosting, CDN, E-Mail-RoutingEU-Region
E-Mail-DienstleisterTransaktionale E-MailsEU
Spezialfunktionen mit Drittlandbezug (abgesichert über DPF / Standardvertragsklauseln)
ElevenLabsKI-Sprachsynthese, Konversations-KIEWR + Drittland (DPF/SCC)
TwilioTelefonie, RufnummernIrland (Konzern: DPF/SCC)
Meta (WhatsApp Business / Lead Ads)Messaging, Lead-ErfassungIrland (Konzern: DPF/SCC)
Cal.comTerminbuchungEWR + Drittland (DPF)
CalendlyTerminbuchung (optional)EWR + Drittland (DPF/SCC)
StripeZahlungsabwicklung, AbonnementsIrland (Konzern: DPF/SCC)
SentryFehler- und Performance-Monitoring (pseudonymisiert)EWR + Drittland (SCC)

Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

27. Übermittlung in Drittländer

Wir verfolgen einen EU-First-Ansatz und setzen, wo immer möglich, Anbieter mit Sitz und Verarbeitung in der Europäischen Union ein. Eine Übermittlung in Drittländer außerhalb des EWR findet ausschließlich für klar abgegrenzte Spezialfunktionen statt (insbesondere KI-Sprachsynthese, internationale Telefonie/Messaging, Zahlungsabwicklung, Fehler-Monitoring) und nur im technisch erforderlichen Umfang – eine Massenübermittlung personenbezogener Daten in Drittländer findet nicht statt.

Soweit Daten an Empfänger außerhalb des EWR übermittelt werden, erfolgt dies auf Grundlage eines Angemessenheitsbeschlusses (EU-US Data Privacy Framework, soweit der Empfänger zertifiziert ist) oder auf Basis von EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO – ergänzt um zusätzliche technische und organisatorische Maßnahmen wie Transportverschlüsselung (TLS), Pseudonymisierung und strikte Zugriffsbeschränkungen.

28. Speicherdauer (Übersicht)

  • Server-Logs: max. 14 Tage
  • Kontaktanfragen: bis zur Erledigung, max. gesetzliche Aufbewahrungsfrist
  • Nutzerkonten: für die Dauer des Vertrags + Aufbewahrungspflichten
  • Anruf-Audio: standardmäßig 90 Tage
  • Anruf-Transkripte/Metadaten: 12 Monate (konfigurierbar)
  • WhatsApp-Nachrichten: 12 Monate (konfigurierbar)
  • Buchhaltungsrelevante Daten (Rechnungen, Verträge): 10 Jahre (§ 147 AO)
  • Backups: rollierend, max. 35 Tage
  • Support-Snapshots: max. 30 Tage
  • Marketing-Einwilligungen / Cookie-Consent: 12 Monate

29. Ihre Rechte als betroffene Person

Sie haben jederzeit das Recht auf:
  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zuständige Aufsichtsbehörde für uns: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart, baden-wuerttemberg.datenschutz.de.

Anfragen richten Sie bitte an: info@smarteagentur.de. Wir antworten innerhalb der gesetzlichen Frist von einem Monat.

30. Automatisierte Entscheidungsfindung und Profiling

Unsere KI-Sprachagenten führen Gespräche autonom und treffen operative Entscheidungen (z. B. Terminvereinbarung, Weiterleitung, Rückrufanfrage). Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung oder erheblicher Beeinträchtigung im Sinne des Art. 22 DSGVO findet nicht statt: Vertragsabschlüsse, Schadenregulierung und vergleichbar wirksame Entscheidungen erfolgen ausschließlich durch menschliche Mitarbeitende der jeweiligen Agentur. Ein Profiling zur Bewertung persönlicher Aspekte (Bonität, Verhalten) findet nicht statt.

31. Datensicherheit

Wir setzen TLS 1.3 für alle Übertragungen ein. Datenbank-Zugriffe sind durch Row-Level-Security und rollenbasiertes Berechtigungssystem geschützt. Geheimnisse (API-Keys, OAuth-Tokens) werden verschlüsselt gespeichert. Mitarbeitende sind auf das Datengeheimnis verpflichtet. Wir prüfen unsere technischen und organisatorischen Maßnahmen regelmäßig und passen sie an den Stand der Technik an (Art. 32 DSGVO).

32. Aktualität und Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Leistungen oder Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung ist stets unter /datenschutz abrufbar.