Datenschutz

Informationen nach Art. 13 / 14 DSGVO · Stand: 2026-04-20

Hinweis: Die Angaben zum Verantwortlichen werden aktuell überarbeitet (siehe Impressum). Alle übrigen Angaben — Verarbeitungszwecke, Auftragsverarbeiter, Drittlandtransfer, Betroffenenrechte — gelten wie beschrieben.

1. Verantwortlicher

Verantwortlich i.S.d. Art. 4 Nr. 7 DSGVO ist der Diensteanbieter laut Impressum. Kontakt: support@voicehook.ai.

2. Überblick

voicehook.ai ∆ ist eine Echtzeit-Voice-Infrastruktur für AI-Agenten. Wir betreiben eine Pipeline aus WebRTC-Transport, Sprache-zu-Text (STT), Large-Language-Model (LLM) und Text-zu-Sprache (TTS). Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten dabei verarbeitet werden, von wem, zu welchem Zweck und auf welcher Rechtsgrundlage.

Kernprinzip: Personenbezogene Daten in Audio-Streams und Transkripten werden vor dem Broadcast an Peers durch eine lokale Presidio-PII-Erkennung gescrubbt. Broadcast-freie Rohdaten (z.B. STT-Eingang ins LLM) unterliegen denselben Auftragsverarbeiter-Regeln (siehe § 5).

3. Datenarten und Zwecke

3.1 Zugriffs-Logs (Caddy / Hetzner)

Beim Aufruf der Website werden technisch notwendige Server-Logs geschrieben:

IP-Adresse (gekürzt auf /24 bzw. /48 nach 7 Tagen, danach anonymisiert)
Zeitstempel, HTTP-Methode, Ziel-URL, User-Agent, Referer
Aufbewahrung: max. 14 Tage, dann automatische Rotation

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit).

3.2 Voice-Room (Audio-Pipeline)

Sobald du einen Raum betrittst, werden Audio-Streams über LiveKit WebRTC zum Server übertragen. Pro Teilnehmer läuft die Pipeline:

STT: Audio → Deepgram Nova-3 → Transkript (Sprache: Deutsch)
LLM: Transkript + Kontext → LLM-Antwort (Gemini 2.5 Flash Lite als Standard, alternativ Claude, GPT, siehe § 5)
TTS: Antwort → Cartesia Sonic-2 → Audio zurück an Teilnehmer
PII-Scrub: Vor Broadcast an weitere Peers läuft Presidio lokal auf CPU

Aufbewahrung: Rohaudio wird nicht persistent gespeichert. Transkripte bleiben während der Session im Arbeitsspeicher; nach Session-Ende werden sie aus dem RAM freigegeben. Logs enthalten nur Metadaten (Session-ID, Zeitpunkt, Dauer).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.3 Peer-Status-Events (Hooks)

Wenn ein AI-Agent per Skill beitritt, pusht sein Hook Tool-Metadaten (Tool-Name, ein kurzer Detail-Ausschnitt, max. 200 Zeichen) an das Control-Plane. Vor dem Senden durch den Client werden bekannte Secrets (sk-ant-*, AKIA*, ghp_*, Bearer <jwt>, PEM-Keys u.a.) maskiert. Quell-Patterns: cli/voicehook_hook.py im öffentlichen Client-Repo.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. lit. f (berechtigtes Interesse).

3.4 Kontaktaufnahme

Wenn du uns per E-Mail schreibst, verarbeiten wir die übermittelten Daten zur Bearbeitung deines Anliegens. Aufbewahrung: bis zum Abschluss der Kommunikation, anschließend Löschung oder Archivierung nach gesetzlichen Aufbewahrungspflichten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO.

4. Cookies und lokale Speicherung

voicehook.ai setzt ausschließlich technisch notwendige Cookies und Local-Storage-Einträge (z.B. Raum-Handle für die Demo-Session). Kein Tracking, kein Marketing-Pixel, kein Analytics-Dienst von Drittanbietern.

5. Auftragsverarbeiter und Drittlandtransfer

Wir setzen Auftragsverarbeiter i.S.d. Art. 28 DSGVO ein. Für Anbieter außerhalb der EU greift bei Bedarf Art. 46 DSGVO i.V.m. den EU-Standardvertragsklauseln (SCC).

Dienst	Zweck	Sitz / Region	Rechtsgrundlage
Hetzner Online GmbH	Server-Hosting (Voice-Pipeline, Landing, Control-Plane)	Deutschland (Nürnberg, Falkenstein)	AVV · Art. 28 DSGVO
LiveKit (self-hosted)	WebRTC-Transport	läuft auf Hetzner-Server (EU)	Art. 6 Abs. 1 lit. b DSGVO
Deepgram Inc.	Sprache-zu-Text (STT, Nova-3)	USA · SCC · Model-Improvement-Program opt-out aktiv	AVV + SCC · Art. 28, 46 DSGVO
Google Ireland Ltd.	LLM-Inferenz (Gemini 2.5 Flash Lite, Standard)	EU/USA · SCC	AVV + SCC · Art. 28, 46 DSGVO
Anthropic PBC	LLM-Inferenz (Claude, optional)	USA · SCC	AVV + SCC · Art. 28, 46 DSGVO
OpenAI Inc.	Kurz-Zusammenfassungen (Narrator, gpt-4o-mini)	USA · SCC · Zero-Retention beantragt	AVV + SCC · Art. 28, 46 DSGVO
Cartesia Inc.	Text-zu-Sprache (TTS, Sonic-2)	USA · SCC	AVV + SCC · Art. 28, 46 DSGVO

Für Kunden mit strengen Compliance-Anforderungen ist ein EU-Only-Profil (z.B. mit Mistral auf La Plateforme und EU-hosted TTS) verfügbar. Kontakt: support@voicehook.ai.

6. Speicherdauer

Rohaudio: nicht persistent (nur Stream im RAM während der Session)
Transkripte: Session-Dauer im RAM, danach Freigabe
Metadaten (Session-ID, Dauer): bis zu 30 Tage für Abrechnung und Missbrauchsabwehr
Server-Logs: max. 14 Tage
Kontakt-E-Mails: Dauer der Bearbeitung + gesetzliche Fristen

7. Deine Rechte (Art. 15–22 DSGVO)

Recht auf Auskunft über deine Daten (Art. 15)
Recht auf Berichtigung (Art. 16)
Recht auf Löschung (Art. 17)
Recht auf Einschränkung der Verarbeitung (Art. 18)
Recht auf Datenübertragbarkeit (Art. 20)
Widerspruchsrecht gegen Verarbeitungen nach Art. 6 Abs. 1 lit. f (Art. 21)
Recht, eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3)

Zur Ausübung genügt eine formlose E-Mail an support@voicehook.ai.

8. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat deines gewöhnlichen Aufenthaltsorts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO). Zuständig in Bayern: Bayerisches Landesamt für Datenschutzaufsicht.

9. Änderungen

Wir passen diese Erklärung an, wenn sich die Verarbeitung ändert (z.B. neue Auftragsverarbeiter, neue Features). Die jeweils aktuelle Version steht unter voicehook.ai/datenschutz.html.