Last updated on 19 Feb 2026
Verantwortlicher im Sinne der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, nachfolgend „DSGVO”) ist:
Good Point GmbH Liechtensteinstraße 63/10 1090 Wien, Österreich FN 618845t (Handelsgericht Wien) UID-Nr.: ATU80258169 E-Mail: legal@hanc.ai Web: hanc.ai
Für Fragen zum Datenschutz, zur Ausübung Ihrer Rechte als betroffene Person oder für Beschwerden wenden Sie sich bitte an:
E-Mail: datenschutz@hanc.ai Post: Good Point GmbH, z. Hd. Datenschutz, Liechtensteinstraße 63/10, 1090 Wien, Österreich
Diese Datenschutzerklärung gilt für:
a) die Website hanc.ai (nachfolgend „Website”) b) die Plattform app.hanc.ai (nachfolgend „Plattform”) c) sämtliche damit verbundene Dienste, APIs und Integrationen der Hanc.AI KI-Sprachagenten-Plattform
Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir erheben, zu welchem Zweck wir sie verarbeiten, auf welcher Rechtsgrundlage die Verarbeitung erfolgt, an wen Daten übermittelt werden und welche Rechte Ihnen zustehen.
Die Verarbeitung personenbezogener Daten erfolgt in Übereinstimmung mit den folgenden Rechtsvorschriften:
a) Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung — DSGVO) b) Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (DSG 2018) — Österreich c) Bundesdatenschutzgesetz (BDSG) — Deutschland (soweit für in Deutschland ansässige Nutzer anwendbar) d) Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) — Deutschland (insbesondere § 25 für Cookies und ähnliche Technologien) e) Bundesgesetz über den Datenschutz (DSG, SR 235.1) — Schweiz (soweit für in der Schweiz ansässige Nutzer anwendbar) f) Verordnung (EU) 2024/1689 (EU AI Act) — insbesondere Art. 50 (Transparenzpflichten für KI-Systeme)
Wir erheben personenbezogene Daten nur, soweit dies für die in dieser Datenschutzerklärung genannten Zwecke erforderlich ist (Art. 5 Abs. 1 lit. b und c DSGVO). Die Datenverarbeitung erfolgt zweckgebunden; eine Verarbeitung zu anderen Zwecken findet nicht statt, es sei denn, die Weiterverarbeitung ist mit dem ursprünglichen Zweck vereinbar (Art. 6 Abs. 4 DSGVO) oder Sie haben eingewilligt.
Personenbezogene Daten werden nur so lange gespeichert, wie es für die Erreichung des jeweiligen Verarbeitungszwecks erforderlich ist oder gesetzliche Aufbewahrungsfristen dies erfordern. Die konkreten Speicherfristen sind in § 9 dieser Datenschutzerklärung aufgeführt.
Wir setzen angemessene technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Veränderung zu schützen (Art. 32 DSGVO). Näheres hierzu in § 11 dieser Datenschutzerklärung.
Beim Aufruf unserer Website werden durch den Webserver automatisch folgende Daten in Server-Logfiles erfasst:
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Das berechtigte Interesse liegt in der Sicherstellung eines störungsfreien Betriebs der Website, der Erkennung und Abwehr von Angriffen sowie der statistischen Auswertung des Zugriffsverhaltens.
Speicherdauer: 30 Tage, danach werden die Logfiles automatisch gelöscht.
Wenn Sie uns per E-Mail kontaktieren, werden folgende Daten verarbeitet:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
Speicherdauer: Korrespondenz wird für die Dauer der Geschäftsbeziehung und darüber hinaus gemäß den gesetzlichen Aufbewahrungsfristen gespeichert (§ 9).
Wenn Sie sich für unseren Newsletter anmelden, werden folgende Daten verarbeitet:
Der Versand erfolgt über Brevo (Sendinblue SAS), 55 rue d’Amsterdam, 75008 Paris, Frankreich. Brevo ist ein EU-ansässiges Unternehmen; ein Drittlandtransfer findet nicht statt. Die Server befinden sich in der EU (Frankreich/Deutschland).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den Abmeldelink in jeder Newsletter-E-Mail nutzen oder uns unter datenschutz@hanc.ai kontaktieren.
Speicherdauer: Bis zum Widerruf Ihrer Einwilligung (Abmeldung). Nach der Abmeldung wird Ihre E-Mail-Adresse für die Blacklist gespeichert, um einen erneuten Versand zu verhindern.
Sofern wir eine Online-Terminbuchung auf unserer Website anbieten, werden folgende Daten verarbeitet:
Die Terminbuchung erfolgt über HubSpot Ireland Ltd, 2 Dawson Street, Dublin D02 Y448, Irland. Näheres zu HubSpot in § 7.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).
Speicherdauer: Für die Dauer der Geschäftsbeziehung; nicht zustande gekommene Kontakte nach 12 Monaten.
Wenn Sie sich bei uns bewerben (per E-Mail oder über ein Bewerbungsportal), verarbeiten wir:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen); in Deutschland zusätzlich § 26 BDSG.
Speicherdauer: Bei Absage werden Bewerbungsunterlagen spätestens sechs (6) Monate nach Abschluss des Bewerbungsverfahrens gelöscht, sofern keine längere Speicherung aufgrund eines Rechtsstreits erforderlich ist. Bei Zustimmung zur Aufnahme in unseren Bewerberpool: bis zum Widerruf, längstens zwei (2) Jahre.
Bei der Registrierung auf unserer Plattform erheben wir:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Für die Dauer des Vertragsverhältnisses zuzüglich der Exportfrist (30 Tage nach Vertragsende gemäß § 10.4 AGB) und der gesetzlichen Aufbewahrungsfristen.
Die Kernfunktion der Plattform ist der Einsatz von KI-gestützten Sprachagenten für Telefonate. Dabei werden folgende Daten verarbeitet:
a) Audiodaten:
b) Transkripte und Zusammenfassungen:
c) Metadaten:
d) Technische Daten:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Verarbeitung der Daten der Anrufer (Endkunden des Auftraggebers) erfolgt im Rahmen der Auftragsverarbeitung gemäß Art. 28 DSGVO; der Auftraggeber ist insoweit Verantwortlicher.
KI-Kennzeichnung gemäß EU AI Act: Gemäß Art. 50 der Verordnung (EU) 2024/1689 (EU AI Act) werden Anrufer zu Beginn jedes Telefongesprächs darauf hingewiesen, dass sie mit einem KI-gestützten Sprachagenten interagieren. Diese Kennzeichnung erfolgt in der jeweiligen Gesprächssprache. Näheres hierzu in § 5.1.
Speicherdauer:
Keine Nutzung zur Modellverbesserung: Gesprächsdaten (Audio, Transkripte, Zusammenfassungen) werden nicht zur Verbesserung, zum Training oder zur Weiterentwicklung von KI-Modellen verwendet. Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Leistung.
Bei Nutzung des einbettbaren Sprach-Widgets auf Websites des Auftraggebers werden verarbeitet:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Auftraggebers an der Bereitstellung des Kundenservices).
Bei der Nutzung des Verwaltungs-Dashboards werden folgende Daten erhoben:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Nachvollziehbarkeit).
Speicherdauer: Audit-Logs werden für die Dauer des Vertragsverhältnisses zuzüglich der gesetzlichen Aufbewahrungsfristen gespeichert.
Für die Zahlungsabwicklung nutzen wir Stripe Technology Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, D02 H210, Irland. Folgende Daten werden an Stripe übermittelt:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Hinweis: Kreditkartendaten und IBANs werden direkt von Stripe erhoben und verarbeitet (PCI DSS Level 1 zertifiziert). Wir haben keinen Zugriff auf vollständige Zahlungsdaten.
Speicherdauer: Rechnungsdaten gemäß gesetzlicher Aufbewahrungsfristen (§ 9).
Zur Verwaltung der Kundenbeziehung und zur Kommunikation nutzen wir:
a) HubSpot Ireland Ltd (CRM):
b) Brevo / Sendinblue SAS (E-Mail-Kommunikation):
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Kundenkommunikation).
Sofern der Auftraggeber die Kalender-Integration aktiviert, ermöglicht die Plattform die Anbindung an Google Calendar über die Google Calendar API (OAuth 2.0). Dies dient der automatischen Erstellung, Änderung und Löschung von Terminen, die durch die KI-Sprachagenten vereinbart wurden.
a) Zugangsdaten und Authentifizierung:
b) Kalenderdaten (lesen und schreiben):
c) Verarbeitungszwecke: Die über die Google Calendar API abgerufenen und erstellten Daten werden ausschließlich für folgende Zwecke verwendet:
d) Speicherung und Weitergabe:
e) Einhaltung der Google API Services User Data Policy: Die Nutzung von Daten, die über die Google Calendar API empfangen werden, unterliegt den Google API Services User Data Policy, einschließlich der Limited Use Requirements. Dies bedeutet im Einzelnen:
f) Widerruf und Löschung:
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — Die Integration wird vom Auftraggeber aktiv aktiviert und erfordert eine ausdrückliche OAuth-Einwilligung des Kalenderinhabers.
Hinweis im Produkt: Bei der erstmaligen Verbindung mit Google Calendar wird dem Nutzer ein Datenschutzhinweis angezeigt, der über den Umfang des Datenzugriffs, die Verarbeitungszwecke und die Widerrufsmöglichkeit informiert.
Hanc.AI setzt KI-gestützte Sprachagenten ein, die telefonisch mit natürlichen Personen interagieren. Gemäß Art. 50 Abs. 1 der Verordnung (EU) 2024/1689 (EU AI Act) besteht eine Pflicht zur Offenlegung gegenüber natürlichen Personen, dass diese mit einem KI-System interagieren.
Umsetzung: a) Zu Beginn jedes Telefongesprächs erfolgt ein klarer, verständlicher Hinweis, dass der Gesprächspartner mit einem KI-gestützten Sprachagenten spricht. b) Der Hinweis erfolgt in der jeweiligen Gesprächssprache. c) Die Plattform stellt standardmäßige KI-Kennzeichnungs-Ansagen in allen unterstützten Sprachen bereit. d) Der Auftraggeber ist verantwortlich für die Aktivierung und korrekte Konfiguration der KI-Kennzeichnung.
Die Verarbeitung von Sprachdaten erfolgt durch folgende Technologien und Anbieter:
a) Speech-to-Text (STT) — Spracherkennung: Die Umwandlung von gesprochener Sprache in Text erfolgt durch KI-Modelle, bereitgestellt über:
b) Large Language Model (LLM) — Sprachverarbeitung: Die inhaltliche Verarbeitung der Gesprächsinhalte erfolgt durch KI-Sprachmodelle, bereitgestellt über:
c) Text-to-Speech (TTS) — Sprachausgabe: Die Umwandlung von Text in gesprochene Sprache erfolgt durch:
Datenschutzmaßnahmen bei der KI-Verarbeitung:
Die Plattform trifft keine automatisierten Einzelentscheidungen im Sinne des Art. 22 Abs. 1 DSGVO, die gegenüber betroffenen Personen rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. Die KI-Sprachagenten unterstützen Geschäftsprozesse (z. B. Terminvereinbarung, Informationsauskunft), treffen jedoch keine eigenständigen Entscheidungen mit rechtlicher Relevanz.
Die Plattform ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO bestimmt (z. B. Gesundheitsdaten, biometrische Daten, Daten zur politischen Überzeugung, religiösen Zugehörigkeit oder sexuellen Orientierung).
Sollten im Rahmen von Telefonaten solche Daten von Anrufern geäußert werden, liegt die Verantwortung für die Zulässigkeit der Verarbeitung und die Einholung der erforderlichen Einwilligung gemäß Art. 9 Abs. 2 DSGVO beim Auftraggeber.
Wir setzen Cookies und ähnliche Technologien (z. B. Local Storage, Session Storage) auf unserer Website und Plattform ein. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden.
Die Rechtsgrundlage für den Einsatz von Cookies richtet sich nach deren Funktion:
| Cookie-Name | Anbieter | Zweck | Laufzeit |
|---|---|---|---|
session_id | hanc.ai | Sitzungsverwaltung, Authentifizierung | Sitzung |
csrf_token | hanc.ai | Schutz vor Cross-Site-Request-Forgery | Sitzung |
cookie_consent | hanc.ai | Speicherung Ihrer Cookie-Einstellungen | 12 Monate |
locale | hanc.ai | Speicherung der Spracheinstellung | 12 Monate |
Für die Analyse des Nutzungsverhaltens setzen wir PostHog Inc. ein (2261 Market Street #4008, San Francisco, CA 94114, USA). PostHog wird auf einem europäischen Serverstandort betrieben (EU-Hosting).
| Cookie-Name | Anbieter | Zweck | Laufzeit |
|---|---|---|---|
ph_* | PostHog | Nutzungsanalyse, Seitenaufrufe, Feature-Nutzung | 12 Monate |
distinct_id | PostHog | Pseudonymisierte Nutzeridentifikation | 12 Monate |
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). PostHog-Cookies werden nur mit Ihrer Einwilligung gesetzt.
Verarbeitete Daten:
Opt-Out: Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen.
Derzeit setzen wir keine Marketing- oder Werbe-Cookies ein. Sollten wir in Zukunft Marketing-Cookies einsetzen, werden wir diese Datenschutzerklärung entsprechend aktualisieren und Ihre vorherige Einwilligung einholen.
Sie können Ihre Cookie-Einstellungen jederzeit über den Cookie-Banner auf unserer Website ändern oder Ihre Einwilligung widerrufen. Darüber hinaus können Sie Cookies in den Einstellungen Ihres Browsers jederzeit löschen oder deren Speicherung generell verhindern. Bitte beachten Sie, dass die Deaktivierung technisch notwendiger Cookies die Funktionalität der Website und Plattform einschränken kann.
Personenbezogene Daten werden an folgende Kategorien von Empfängern übermittelt, soweit dies für die genannten Zwecke erforderlich ist:
a) Auftragsverarbeiter (Art. 28 DSGVO): Dienstleister, die Daten in unserem Auftrag und nach unserer Weisung verarbeiten (siehe Ziff. 7.2) b) Zahlungsdienstleister: Für die Abwicklung von Zahlungstransaktionen (Stripe) c) Behörden: Soweit wir gesetzlich zur Offenlegung verpflichtet sind (z. B. Steuerbehörden, Aufsichtsbehörden, Gerichte) d) Berater: Rechtsanwälte, Steuerberater und Wirtschaftsprüfer im Rahmen der Mandatsausführung, soweit dies zur Wahrung unserer berechtigten Interessen erforderlich ist
Wir setzen folgende Sub-Auftragsverarbeiter zur Erbringung unserer Dienste ein:
| Nr. | Unternehmen | Adresse | Zweck | Transfermechanismus | Serverstandort |
|---|---|---|---|---|---|
| 1 | Microsoft Ireland Operations Limited (Microsoft Corporation) | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland | Cloud-Hosting (Azure), LLM, Speech-to-Text, Text-to-Speech | EU-US DPF / SCC | EU — Durch Nutzung der Datenschutzzone Europa verlassen Daten laut Anbieter nicht die europäische Region. |
| 2 | LiveKit Inc. | 4285 Payne Avenue, Suite 9154, San Jose, CA 95157, USA | Echtzeit-Voice/WebRTC-Infrastruktur, virtuelle Gesprächsräume | EU SCC | EU — Durch Konfiguration von Region Pinning verlassen Daten laut Anbieter nicht die europäische Region. |
| 3 | Twilio Ireland Limited (Twilio Inc.) | 25-28 North Wall Quay, D01 H104, Dublin, Irland | Telefonie (SIP/PSTN) | EU-US DPF / Twilio BCR / SCC | EU — Durch Nutzung der Irland-Region verlassen Daten laut Anbieter nicht die europäische Region. |
| 4 | ElevenLabs Inc. | 169 Madison Ave #2484, New York, NY 10016, USA | Text-to-Speech, Speech-to-Text (optional) | EU-US DPF / SCC | EU (BE) — Zero Data Retention nach Audiogenerierung. |
| 5 | Cartesia AI, Inc. | 1766 18th Street, Suite 1200, San Francisco, CA 94103, USA | Speech-to-Text, Text-to-Speech (optional) | GDPR / SCC | Optional — datenschutzfreundlichste Variante wird gewählt. |
| 6 | PostHog Inc. | 2261 Market Street #4008, San Francisco, CA 94114, USA | Nutzungs-Analyse, Business Intelligence | EU-US DPF / SCC | EU — Europäischer Standort wird genutzt. |
| 7 | HubSpot Ireland Ltd (HubSpot Inc.) | 2 Dawson Street, Dublin D02 Y448, Irland | CRM & Marketing-Cloud-Infrastruktur | EU-US DPF / SCC | EU (DE) |
| 8 | Brevo (Sendinblue SAS) | 55 rue d’Amsterdam, 75008 Paris, Frankreich | Transaktionale E-Mails, Marketing-E-Mails | — (EU-Unternehmen) | EU (FR/DE) — Kein Drittlandtransfer. |
| 9 | Stripe Technology Europe Limited (Stripe Inc.) | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, D02 H210, Irland | Zahlungsabwicklung | EU-US DPF / SCC | EU (IE) + USA |
| 10 | SIP-Provider | (abhängig von Kundenkonfiguration) | Telefonie-Anbindung (PSTN), Rufnummernbereitstellung | — | EU (DE/AT) — Ausschließlich EU-basierte Provider. |
| 11 | Google Ireland Limited (Google LLC) | Gordon House, Barrow Street, Dublin 4, D04 E5W5, Irland | Google Calendar API (Terminverwaltung) | EU-US DPF / SCC | EU — Daten werden im europäischen Raum verarbeitet. |
Wir wählen bei sämtlichen Sub-Auftragsverarbeitern die datenschutzfreundlichste Einstellung und bevorzugen Serverstandorte innerhalb der EU.
Änderungen an der Sub-Auftragsverarbeiter-Liste werden den betroffenen Auftraggebern mindestens 30 Tage im Voraus per E-Mail mitgeteilt (vgl. Ziff. A.6 der AVV in unseren AGB).
Soweit personenbezogene Daten an Empfänger in den Vereinigten Staaten von Amerika übermittelt werden, erfolgt dies auf Basis des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework (DPF) gemäß Art. 45 Abs. 3 DSGVO (Durchführungsbeschluss (EU) 2023/1795), sofern der jeweilige Empfänger eine gültige DPF-Zertifizierung besitzt.
Folgende Sub-Auftragsverarbeiter sind im Rahmen des DPF zertifiziert:
Hilfsweise oder sofern keine DPF-Zertifizierung vorliegt, erfolgt die Datenübermittlung auf Basis der EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission (Art. 46 Abs. 2 lit. c DSGVO).
Dies betrifft insbesondere:
Über die vertraglichen Garantien hinaus setzen wir folgende technische und organisatorische Schutzmaßnahmen ein:
a) Region Pinning: Wo technisch möglich, werden Daten ausschließlich in europäischen Rechenzentren verarbeitet (LiveKit, PostHog, Microsoft Azure EU-Region) b) Zero Data Retention: Bei STT/TTS-Anbietern werden Audiodaten nach der Echtzeitverarbeitung nicht dauerhaft gespeichert (ElevenLabs, Azure AI) c) EU Data Boundary: Microsoft Azure bietet die EU Data Boundary-Zusicherung, wonach EU-Kundendaten die europäische Region nicht verlassen d) Verschlüsselung: Sämtliche Datenübertragungen erfolgen TLS-verschlüsselt (mindestens TLS 1.2)
| Anbieter | Land | Primärer Transfermechanismus | Zusätzliche Maßnahmen |
|---|---|---|---|
| Microsoft Corporation | USA | EU-US DPF | EU Data Boundary, Azure EU-Region |
| LiveKit Inc. | USA | EU SCC | Region Pinning (EU) |
| Twilio Inc. | USA | EU-US DPF + Twilio BCR | Irland-Region |
| ElevenLabs Inc. | USA | EU-US DPF | Zero Data Retention, EU-Standort (BE) |
| Cartesia AI, Inc. | USA | SCC | Datenschutzfreundlichste Variante |
| PostHog Inc. | USA | EU-US DPF | EU-Hosting |
| HubSpot Inc. | USA | EU-US DPF | EU-Standort (DE) |
| Stripe Inc. | USA | EU-US DPF | EU-Vertragspartner (Irland) |
| Google LLC | USA | EU-US DPF | EU-Vertragspartner (Irland), Google Workspace EU Data Residency |
Hinweis für Schweizer Nutzer: Die Übermittlung personenbezogener Daten an Empfänger in Drittstaaten erfolgt auch im Einklang mit den Anforderungen des Schweizer Datenschutzgesetzes (DSG, SR 235.1). Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat die EU/EWR-Staaten als Länder mit angemessenem Datenschutzniveau anerkannt. Für Transfers in die USA gelten die oben genannten Schutzmaßnahmen entsprechend.
Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten der Löschung entgegenstehen. Maßgebliche gesetzliche Aufbewahrungsfristen ergeben sich insbesondere aus:
| Datenkategorie | Speicherdauer | Rechtsgrundlage / Begründung |
|---|---|---|
| Audiodaten (Gesprächsaufzeichnungen) | 90 Tage | Vertragserfüllung; kürzere Konfiguration durch Auftraggeber möglich |
| Transkripte und Zusammenfassungen | Vertragsdauer + 30 Tage Exportfrist | Vertragserfüllung (§ 10.4 AGB) |
| Gesprächs-Metadaten | Vertragsdauer + gesetzl. Aufbewahrungsfrist | § 132 BAO / § 147 AO |
| Kontodaten (Registrierung) | Vertragsdauer + 30 Tage Exportfrist | Vertragserfüllung (§ 10.4 AGB) |
| Rechnungsdaten | 7 Jahre ab Ende des Geschäftsjahres | § 132 Abs. 1 BAO / § 147 AO |
| Zahlungsdaten (Stripe) | Bei Stripe: gemäß PCI DSS; bei uns: 7 Jahre Rechnungsdaten | PCI DSS + § 132 BAO |
| Server-Logfiles | 30 Tage | Berechtigtes Interesse (Sicherheit) |
| Audit-Logs (Dashboard) | Vertragsdauer + gesetzl. Aufbewahrungsfrist | § 132 BAO + Sicherheit |
| Newsletter-Daten | Bis zum Widerruf (Abmeldung) | Einwilligung (Art. 6 Abs. 1 lit. a) |
| Bewerbungsunterlagen | 6 Monate nach Abschluss des Verfahrens | Vorvertragliche Maßnahmen / § 26 BDSG |
| Cookie-Daten (technisch) | Sitzung oder max. 12 Monate | Berechtigtes Interesse |
| Cookie-Daten (Analyse) | Max. 12 Monate | Einwilligung |
| Terminbuchungsdaten | 12 Monate (bei nicht zustande gekommenem Kontakt) | Vorvertragliche Maßnahmen |
| E-Mail-Korrespondenz | Vertragsdauer + 7 Jahre | § 132 BAO |
| Google Calendar OAuth-Tokens | Bis zur Deaktivierung der Integration | Einwilligung (Art. 6 Abs. 1 lit. a) |
Ihnen stehen folgende Rechte hinsichtlich Ihrer personenbezogenen Daten zu. Zur Ausübung dieser Rechte wenden Sie sich bitte an datenschutz@hanc.ai.
Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten, die Sie betreffen, verarbeitet werden. Ist dies der Fall, haben Sie das Recht auf Auskunft über diese Daten sowie auf die in Art. 15 Abs. 1 DSGVO genannten Informationen.
Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
Sie haben das Recht, die Löschung Sie betreffender personenbezogener Daten zu verlangen, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe vorliegt. Das Recht auf Löschung besteht nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (z. B. gesetzliche Aufbewahrungsfristen) oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 Abs. 1 DSGVO genannten Voraussetzungen vorliegt, insbesondere wenn Sie die Richtigkeit der Daten bestreiten oder die Verarbeitung unrechtmäßig ist.
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie haben das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln.
Für Plattform-Nutzer stellen wir eine Exportfunktion im Dashboard bereit, die den Datenexport in den Formaten CSV und JSON ermöglicht.
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht, Widerspruch einzulegen.
Im Falle des Widerspruchs verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Soweit die Verarbeitung auf Ihrer Einwilligung beruht (Art. 6 Abs. 1 lit. a DSGVO), haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Sie haben das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Zuständige Aufsichtsbehörden:
Österreich: Österreichische Datenschutzbehörde Barichgasse 40-42 1030 Wien Tel.: +43 1 52 152-0 E-Mail: dsb@dsb.gv.at Web: www.dsb.gv.at
Deutschland: Die zuständige Aufsichtsbehörde richtet sich nach dem Bundesland des Betroffenen. Eine Übersicht der Landesdatenschutzbeauftragten finden Sie unter www.bfdi.bund.de.
Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Feldeggweg 1 3003 Bern Tel.: +41 58 462 43 95 Web: www.edoeb.admin.ch
Wir setzen folgende technische Maßnahmen zum Schutz Ihrer personenbezogenen Daten ein:
a) Verschlüsselung: Sämtliche Datenübertragungen erfolgen über TLS-verschlüsselte Verbindungen (mindestens TLS 1.2). Daten werden zudem im Ruhezustand verschlüsselt (Encryption at Rest). b) Zugangskontrolle: Multi-Faktor-Authentifizierung (MFA) für alle internen Systeme und administrative Zugänge. c) Zugriffskontrolle: Rollenbasierte Zugriffssteuerung (RBAC) nach dem Prinzip der minimalen Berechtigung (Least Privilege). d) Trennungskontrolle: Logische Trennung der Daten verschiedener Auftraggeber (Multi-Tenancy-Architektur). e) Sicherung: Regelmäßige, verschlüsselte Datensicherungen (täglich) mit redundanter Infrastruktur. f) Monitoring: Kontinuierliche Überwachung der Systeme auf Sicherheitsvorfälle und unbefugte Zugriffe.
a) Regelmäßige Schulung aller Mitarbeiter zu Datenschutz und Informationssicherheit b) Vertraulichkeitsverpflichtung aller Mitarbeiter und Auftragnehmer c) Dokumentiertes Informationssicherheits-Managementsystem (ISMS) d) Regelmäßige Sicherheitsüberprüfungen und Penetrationstests e) Incident-Response-Plan für Datenschutzverletzungen (Meldung an Auftraggeber innerhalb von 24 Stunden)
Unsere Infrastruktur wird auf Microsoft Azure betrieben. Die eingesetzten Rechenzentren sind nach folgenden Standards zertifiziert:
Wir überprüfen und aktualisieren diese Datenschutzerklärung regelmäßig, insbesondere bei Änderungen unserer Datenverarbeitungsprozesse, bei Einsatz neuer Technologien oder Dienstleister oder bei Änderungen der Rechtslage.
Wesentliche Änderungen werden den registrierten Nutzern per E-Mail mitgeteilt. Die jeweils aktuelle Version ist unter hanc.ai/de/privacy abrufbar.
| Version | Datum | Änderung |
|---|---|---|
| 1.0 | 10. Februar 2026 | Erstveröffentlichung |
Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte als betroffene Person:
Datenschutz-Anfragen: E-Mail: datenschutz@hanc.ai
Allgemeine Anfragen: E-Mail: legal@hanc.ai
Postanschrift: Good Point GmbH z. Hd. Datenschutz Liechtensteinstraße 63/10 1090 Wien, Österreich
Good Point GmbH Liechtensteinstraße 63/10 1090 Wien, Österreich FN 618845t | UID: ATU80258169 E-Mail: datenschutz@hanc.ai Web: hanc.ai
Stand: 19. Februar 2026 — Version 1.0 Diese Datenschutzerklärung ersetzt alle früheren Fassungen.