Vorteile Funktionen Integration Preise Über uns Blog Kundenstimmen English homepage (EN) Login Registrieren
Rechtliches

Datenschutzerklärung

Informationen zum Umgang mit Ihren personenbezogenen Daten

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne der DSGVO:

Cambioo FlexCo
Siolygasse 20B/6
1190 Wien, Österreich

E-Mail: office@cambioo.ai
Telefon: +43 699 13816505
Website: https://www.cambioo.ai

Datenschutzanfragen: Für alle Fragen zum Datenschutz und zur Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte an: datenschutz@cambioo.ai

Datenschutzbeauftragter: Nach Art. 37 DSGVO ist die Bestellung eines Datenschutzbeauftragten für Cambioo derzeit nicht verpflichtend. Wir haben daher keinen Datenschutzbeauftragten bestellt. Bei Datenschutzfragen wenden Sie sich bitte an die oben genannte Kontaktadresse.

2. Allgemeine Hinweise und Grundsätze

Der Schutz Ihrer persönlichen Daten ist uns ein wichtiges Anliegen. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO), des österreichischen Datenschutzgesetzes (DSG) und des Telekommunikationsgesetzes (TKG 2021).

Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten im Rahmen von:

  • Besuch unserer Website,
  • Nutzung unserer Online-Services (z.B. Kontaktformular, Newsletter),
  • Abschluss und Durchführung eines Abonnements,
  • Nutzung unseres KI-Telefons.

3. Rechtsgrundlagen der Verarbeitung im Überblick

Wir verarbeiten personenbezogene Daten nur, wenn eine Rechtsgrundlage dies erlaubt:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Sie haben Ihre Einwilligung zur Verarbeitung erteilt (z.B. Newsletter, Marketing-Cookies).
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist zur Erfüllung eines Vertrags mit Ihnen oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  • Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (z.B. steuerliche Aufbewahrungspflichten).
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen erforderlich, sofern nicht Ihre Interessen überwiegen (z.B. IT-Sicherheit, Webanalyse).

4. Datenverarbeitung auf der Website

4.1 Server-Logfiles

Verarbeitete Daten: Bei jedem Zugriff auf unsere Website werden automatisch folgende Daten erfasst:

  • IP-Adresse (anonymisiert nach spätestens 7 Tagen),
  • Datum und Uhrzeit des Zugriffs,
  • aufgerufene Seite/Datei,
  • übertragene Datenmenge,
  • Browsertyp und -version,
  • verwendetes Betriebssystem,
  • Referrer-URL (zuvor besuchte Seite).

Zweck: Gewährleistung eines reibungslosen Verbindungsaufbaus, Gewährleistung der Systemsicherheit und -stabilität, Erkennung und Abwehr von Angriffen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit und dem ordnungsgemäßen Betrieb der Website).

Speicherdauer: Die vollständige IP-Adresse wird nach 7 Tagen gelöscht bzw. anonymisiert. Anonymisierte Daten können für statistische Auswertungen länger gespeichert werden.

4.2 Cookies

Wir verwenden Cookies auf unserer Website. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden.

Arten von Cookies:

Kategorie Zweck Rechtsgrundlage Einwilligung
Technisch notwendig Grundfunktionen der Website Art. 6 Abs. 1 lit. f DSGVO Nein
Funktional Komfortfunktionen, Einstellungen Art. 6 Abs. 1 lit. a DSGVO Ja
Statistik/Analyse Analyse der Websitenutzung Art. 6 Abs. 1 lit. a DSGVO Ja
Marketing Personalisierte Werbung Art. 6 Abs. 1 lit. a DSGVO Ja

Einwilligung und Widerruf: Beim ersten Besuch unserer Website wird Ihnen ein Cookie-Banner angezeigt. Dort können Sie auswählen, welche Kategorien von Cookies Sie akzeptieren. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Cookie-Einstellungen über den Link im Footer unserer Website ändern oder Ihre Browser-Einstellungen anpassen.

Speicherdauer: Session-Cookies werden beim Schließen des Browsers gelöscht. Dauerhafte Cookies haben unterschiedliche Laufzeiten, die in unserer Cookie-Richtlinie im Detail aufgeführt sind.

4.3 Eingesetzte Drittdienste auf der Website

Google Fonts

Verarbeitete Daten: IP-Adresse, Browsertyp, Betriebssystem.

Zweck: Einheitliche Darstellung von Schriftarten auf unserer Website.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer ansprechenden Darstellung).

Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; ggf. Google LLC, USA.

Drittlandübermittlung: Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert.

Google Maps

Verarbeitete Daten: IP-Adresse, Standortdaten (falls freigegeben), Nutzungsdaten.

Zweck: Anzeige interaktiver Karten, Standortsuche.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Karte wird erst nach Ihrer Einwilligung geladen.

Empfänger: Google Ireland Limited; ggf. Google LLC, USA.

Drittlandübermittlung: Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert.

Wistia (Video-Hosting)

Verarbeitete Daten: IP-Adresse, Geräteinformationen, Nutzungsverhalten (z.B. abgespielte Videos, Wiedergabedauer).

Zweck: Einbindung und Wiedergabe von Videoinhalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Videos werden erst nach Ihrer Einwilligung geladen.

Empfänger: Wistia, Inc., 120 Brookline Street, Cambridge, MA 02139, USA.

Drittlandübermittlung: Auf Basis von EU-Standardvertragsklauseln (SCC).

Vimeo (Video-Hosting)

Verarbeitete Daten: IP-Adresse, Geräteinformationen, Nutzungsverhalten.

Zweck: Einbindung und Wiedergabe von Videoinhalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Videos werden erst nach Ihrer Einwilligung geladen.

Empfänger: Vimeo, Inc., 555 West 18th Street, New York, NY 10011, USA.

Drittlandübermittlung: Vimeo, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert.

ActiveCampaign (E-Mail-Marketing)

Verarbeitete Daten: E-Mail-Adresse, Name (falls angegeben), Nutzungsdaten (Öffnungsraten, Klickverhalten).

Zweck: Versand und Analyse von Newslettern und Marketing-E-Mails.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Double-Opt-In).

Empfänger: ActiveCampaign, LLC, 1 N Dearborn St, Suite 500, Chicago, IL 60602, USA.

Drittlandübermittlung: Auf Basis von EU-Standardvertragsklauseln (SCC) sowie ergänzenden technischen und organisatorischen Maßnahmen.

Social Media Plugins

Dienste: Facebook, Instagram, LinkedIn, Twitter/X

Verarbeitete Daten: Bei Nutzung der Plugins ggf. IP-Adresse, Nutzungsdaten, Profilinformationen.

Zweck: Ermöglichung des Teilens von Inhalten, Verknüpfung mit sozialen Netzwerken.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Wir verwenden die 2-Klick-Lösung: Plugins werden erst nach Ihrer aktiven Zustimmung aktiviert.

Empfänger und Drittlandübermittlung:

  • Meta Platforms Ireland Ltd. (Facebook, Instagram) – unter EU-US Data Privacy Framework zertifiziert
  • LinkedIn Ireland Unlimited Company – unter EU-US Data Privacy Framework zertifiziert
  • X Corp. (Twitter) – auf Basis von EU-Standardvertragsklauseln

4.4 Newsletter

Verarbeitete Daten: E-Mail-Adresse, Name (optional), Zeitpunkt der Anmeldung, IP-Adresse bei Anmeldung, Nutzungsdaten (Öffnungsraten, Klicks).

Zweck: Versand von Informationen zu unseren Produkten, Dienstleistungen und Neuigkeiten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Anmeldeverfahren: Wir verwenden das Double-Opt-In-Verfahren. Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail. Erst nach Klick auf den Bestätigungslink wird Ihre Anmeldung wirksam.

Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den Abmeldelink am Ende jedes Newsletters nutzen oder uns eine E-Mail an datenschutz@cambioo.ai senden.

Speicherdauer: Ihre Daten werden bis zur Abmeldung vom Newsletter gespeichert und anschließend gelöscht.

4.5 Kontaktformular

Verarbeitete Daten: Name, E-Mail-Adresse, ggf. Telefonnummer, Inhalt Ihrer Nachricht.

Zweck: Bearbeitung Ihrer Anfrage und Kontaktaufnahme.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

Speicherdauer: Ihre Anfrage und die zugehörigen Daten werden nach abschließender Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Datenverarbeitung im Rahmen der Vertragsbeziehung

5.1 Kundendaten bei Vertragsabschluss

Verarbeitete Daten: Name, Firmenname (bei Geschäftskunden), Adresse, E-Mail-Adresse, Telefonnummer, Zahlungsdaten (werden direkt an Stripe übermittelt), Vertragsinhalte und -historie.

Zweck: Abschluss und Durchführung des Vertrags, Rechnungsstellung, Kundenkommunikation, Kundenservice.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Während der Vertragslaufzeit sowie anschließend für die Dauer gesetzlicher Aufbewahrungspflichten (in Österreich: 7 Jahre für steuerrelevante Unterlagen gemäß BAO).

5.2 Registrierung/Kontoeröffnung

Verarbeitete Daten: E-Mail-Adresse, Passwort (verschlüsselt gespeichert), Name, Firmenname.

Zweck: Erstellung und Verwaltung Ihres Kundenkontos.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.3 Datenverarbeitung durch das KI-Telefon

Verarbeitete Daten:

  • Telefonnummer des Anrufers,
  • Datum, Uhrzeit und Dauer des Anrufs,
  • Gesprächsinhalte (Audio und/oder Transkription),
  • vom Anrufer freiwillig mitgeteilte Angaben (z.B. Name, Adresse, Anliegen).

Zweck:

  • Beantwortung von Anfragen und Bereitstellung von Informationen,
  • Terminvereinbarung und -verwaltung,
  • Weiterleitung an zuständige Ansprechpartner,
  • Dokumentation von Gesprächen für den Kunden,
  • Qualitätssicherung und Fehleranalyse.

Rechtsgrundlage:

  • Für die Verarbeitung im Auftrag unserer Geschäftskunden: Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 28 DSGVO (Auftragsverarbeitung).
  • Für unsere eigene Qualitätssicherung: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Information der Anrufer: Zu Beginn jedes Anrufs wird der Anrufer darüber informiert, dass das Gespräch von einem KI-System geführt und zu Dokumentationszwecken verarbeitet wird.

Gesprächsaufzeichnung: Gespräche werden transkribiert und – je nach Vereinbarung mit dem Geschäftskunden – auch als Audioaufzeichnung gespeichert. Der Anrufer wird hierüber zu Gesprächsbeginn informiert und hat die Möglichkeit, das Gespräch jederzeit zu beenden.

Besondere Kategorien personenbezogener Daten: Wir erheben keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z.B. Gesundheitsdaten, religiöse Überzeugungen) aktiv. Sollten Anrufer solche Informationen unaufgefordert mitteilen, werden diese nicht systematisch ausgewertet und nach Erfüllung des Gesprächszwecks gelöscht.

Speicherdauer: Transkripte und Metadaten werden für die Dauer der Vertragsbeziehung mit dem Geschäftskunden gespeichert. Nach Vertragsende erfolgt eine Löschung innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5.4 Automatisierte Entscheidungsfindung

Unser KI-Telefon nutzt künstliche Intelligenz zur Gesprächsführung. Es findet jedoch keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Alle wesentlichen Entscheidungen (z.B. Vertragsabschlüsse, verbindliche Zusagen) werden von Menschen getroffen.

6. Empfänger und Datenweitergabe

Wir geben Ihre personenbezogenen Daten nur weiter, wenn dies für die Erfüllung unserer vertraglichen Pflichten erforderlich ist, eine gesetzliche Pflicht besteht, Sie eingewilligt haben oder wir ein berechtigtes Interesse haben.

6.1 Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter ein:

Anbieter Zweck Standort Übermittlungsgrundlage
Hetzner Online GmbH Hosting, Backups, Serverinfrastruktur Deutschland (EU)
Twilio Inc. Telefonie, SMS-Dienste USA EU-US Data Privacy Framework
Retell AI Inc. Sprachsynthese, KI-Verarbeitung USA EU-Standardvertragsklauseln (SCC) + TIA
Microsoft Ireland Operations Ltd. Azure OpenAI Services Irland (EU), ggf. USA EU-US Data Privacy Framework (für US-Transfers)
Stripe, Inc. Zahlungsabwicklung USA EU-US Data Privacy Framework
ActiveCampaign, LLC E-Mail-Marketing USA EU-Standardvertragsklauseln (SCC)

Mit allen Auftragsverarbeitern haben wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen.

7. Internationale Datenübermittlungen

Soweit wir Daten an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln, stellen wir sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist:

  • EU-US Data Privacy Framework: Für Übermittlungen an US-Unternehmen, die unter dem Data Privacy Framework zertifiziert sind (z.B. Google, Twilio, Stripe, Vimeo).
  • EU-Standardvertragsklauseln (SCC): Für Übermittlungen an Empfänger in Drittländern, die nicht unter einem Angemessenheitsbeschluss fallen, haben wir EU-Standardvertragsklauseln abgeschlossen und – soweit erforderlich – ein Transfer Impact Assessment (TIA) durchgeführt.
  • Ergänzende Maßnahmen: Wo erforderlich, setzen wir zusätzliche technische (z.B. Verschlüsselung) und organisatorische Maßnahmen ein.

8. Speicherdauer und Löschung

Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

Datenkategorie Speicherdauer
Vertragsdaten Vertragslaufzeit + 7 Jahre (steuerliche Aufbewahrungspflicht)
Rechnungsdaten 7 Jahre ab Rechnungsdatum
Server-Logfiles (IP-Adressen) 7 Tage, dann Anonymisierung
Gesprächstranskripte Bis Vertragsende + 30 Tage
Newsletter-Daten Bis zur Abmeldung
Kontaktanfragen Nach Abschluss der Bearbeitung, max. 3 Jahre
Cookie-Daten Je nach Cookie-Typ (siehe Cookie-Richtlinie)

Nach Ablauf der Speicherdauer werden die Daten gelöscht oder anonymisiert.

9. Technische und organisatorische Maßnahmen (TOMs)

Wir schützen Ihre Daten durch umfassende technische und organisatorische Maßnahmen:

Zugriffskontrolle:

  • Rollenbasierte Zugriffsrechte nach dem Need-to-know-Prinzip
  • Starke Passwortrichtlinien und Zwei-Faktor-Authentifizierung
  • Protokollierung von Zugriffen und Änderungen

Verschlüsselung:

  • TLS-Verschlüsselung für alle Datenübertragungen
  • Festplattenverschlüsselung auf allen Endgeräten
  • Verschlüsselung sensibler Daten at rest

Netzwerksicherheit:

  • Firewalls und Intrusion-Detection-Systeme
  • Regelmäßige Sicherheitsupdates und Patches
  • Anti-Malware-Systeme

Datensicherung:

  • Regelmäßige, verschlüsselte Backups (bei Hetzner)
  • Dokumentierte Notfall- und Wiederherstellungspläne
  • Getrennte Backup-Standorte

Organisatorische Maßnahmen:

  • Regelmäßige Datenschutzschulungen für Mitarbeiter
  • Verpflichtung der Mitarbeiter auf Vertraulichkeit
  • Dokumentierte Prozesse für Datenschutzvorfälle

10. Rechte der betroffenen Personen

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten.

Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.

Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, wenn die Voraussetzungen des Art. 17 DSGVO vorliegen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen, wenn die Voraussetzungen des Art. 18 DSGVO vorliegen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht. Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit wir Daten auf Grundlage Ihrer Einwilligung verarbeiten, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Ausübung Ihrer Rechte: Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@cambioo.ai

Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
https://www.dsb.gv.at

Sie können sich auch an die Aufsichtsbehörde Ihres Wohnsitzes oder Aufenthaltsortes wenden.

11. Aktualität und Änderungen

Diese Datenschutzerklärung hat den Stand Januar 2026.

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage oder bei Änderungen unserer Datenverarbeitungsprozesse anzupassen. Die aktuelle Version ist stets auf unserer Website abrufbar.

Stand: Januar 2026