Datenschutzerklärung (Webapp / SaaS „Northline Echo“) Stand: 20.02.2026 1. Verantwortlicher Northline Solutions GbR (Produkt/Marke: Northline Echo) Pillauer Straße 7, 26725 Emden, Deutschland E-Mail: info@northline-echo.de Direkt: tobias.schuette@northline-echo.de, steffen.kalkwarf@northline-echo.de Telefon: +49 (0) 171 152 9556 2. Rollen (Verantwortlicher / Auftragsverarbeiter) a) Webapp-Betrieb: Für die Verarbeitung von Kontodaten, Abrechnung, Support, Sicherheits- und Nutzungsdaten sind wir in der Regel Verantwortlicher im Sinne der DSGVO. b) Inhalte, die unsere Kunden verarbeiten: Wenn unsere Kunden Northline Echo zur Bearbeitung von Anrufen/Chats ihrer Endkunden einsetzen (z. B. Gesprächsinhalte, Transkripte, Termin-/Anfragedaten), handeln wir regelmäßig als Auftragsverarbeiter. Verantwortlicher ist dann unser jeweiliger Kunde. Hierfür stellen wir auf Anfrage einen Auftragsverarbeitungsvertrag (AVV/DPA) bereit. 3. Konto, Authentifizierung, Nutzerverwaltung Verarbeitete Daten: Name, E-Mail, ggf. Firma, Rollen/Berechtigungen, Login-/Authentifizierungsdaten, sicherheitsrelevante Metadaten. Zweck: Account-Erstellung, Login, Verwaltung der Nutzer und Berechtigungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Account). Dienstleister: Supabase (Authentifizierung und Datenhaltung). 4. Technischer Betrieb, Sicherheit, Protokolle Verarbeitete Daten: IP-Adresse, Zeitstempel, Geräte-/Browserdaten, Fehler- und Sicherheitslogs, ggf. Audit-/Zugriffsprotokolle. Zweck: Stabilität, Sicherheit, Missbrauchsprävention, Fehleranalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Dienstleister: Railway (Hosting), Cloudflare (Sicherheits-/Netzwerkfunktionen), Supabase (Logs/DB-Umfeld), Vapi (Telemetrie im Rahmen der Voice-Funktionen). 5. Voice/Telefonie-Funktionen (Vapi + Twilio) und Sprachsynthese (ElevenLabs) Wenn du Voice-/Telefonie-Funktionen nutzt, können folgende Daten verarbeitet werden: - Rufnummern und Verbindungsdaten (z. B. Dauer, Zeitpunkte, Status) - Gesprächsinhalte (Audio) und – sofern aktiviert – Transkripte - Konfigurationsdaten des Assistenten (z. B. Begrüßung, Ziele, Routing-Regeln) - Ergebnisdaten (z. B. Terminwunsch, Zusammenfassung, Tags) Zweck: Bereitstellung der Telefonie-/Voice-Automation, Gesprächsführung, Auswertung/Qualitätssicherung, Übergaben an Menschen/Workflows. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit/Fehleranalyse). Dienstleister: - Twilio (Telefonie-Infrastruktur) - Vapi (Voice-AI-Orchestrierung) - ElevenLabs (Text-to-Speech / Sprachsynthese) Call Recordings / Transkripte: Aufzeichnungen und Transkripte sind optional und werden nur verarbeitet, wenn die Funktion vom Kunden/Account aktiviert ist und die erforderlichen Hinweise/Einwilligungen (z. B. gegenüber Anrufenden) eingeholt wurden. Alternativ kann die Funktion deaktiviert werden. 6. Kalender-Integrationen (Google, Microsoft, Cal) Wenn du Kalender-Integrationen verbindest, verarbeiten wir je nach gewähltem Anbieter z. B.: - Zugriffstokens/Refresh-Tokens (verschlüsselt/gesichert gespeichert) - Kalender-/Termin-Metadaten (Titel, Zeit, Teilnehmer, Verfügbarkeit), ggf. Standort/Notizen – abhängig von deinen Freigaben Zweck: Terminfindung, Buchung, Synchronisation, Vermeidung von Doppelbuchungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) sowie – soweit erforderlich – Art. 6 Abs. 1 lit. a DSGVO (Einwilligung im Rahmen der Verbindung über OAuth/Connect). 7. E-Mail-Kommunikation (Resend) Für systemrelevante E-Mails (z. B. Login, Bestätigungen, Produkt- oder Service-Mitteilungen, ggf. Demo-/Termin-Kommunikation) kann Resend eingesetzt werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. f DSGVO (Betrieb/Sicherheit). 8. Abrechnung / Zahlungen (Stripe – geplant) Sobald Zahlungen über Stripe angeboten werden, werden hierfür notwendige Daten verarbeitet (z. B. Rechnungsdaten, Zahlungsstatus, Transaktionsdaten). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten). 9. Cookies/Local Storage in der Webapp Wir verwenden notwendige Cookies/Storage, um die Webapp sicher zu betreiben (z. B. Session, CSRF-Schutz, Sicherheitsfunktionen). Optionale Analyse-/Produktmetriken werden – sofern eingesetzt – nur nach Einwilligung aktiviert. 10. Empfänger / Unterauftragsverarbeiter Je nach Funktionsumfang können insbesondere folgende Dienstleister eingesetzt werden: - Railway (Hosting) - Cloudflare (DNS/CDN/Security) - Supabase (Auth/DB) - Resend (E-Mail) - Twilio (Telefonie) - Vapi (Voice AI) - ElevenLabs (Sprachsynthese) - Stripe (Zahlungen; sobald aktiv) 11. Drittlandübermittlungen Je nach Anbieter können Daten außerhalb der EU/des EWR verarbeitet werden. Soweit erforderlich, verwenden wir geeignete Garantien (z. B. EU-Standardvertragsklauseln) und zusätzliche Schutzmaßnahmen. 12. Speicherdauer - Account-/Vertragsdaten: für die Dauer des Vertrags, anschließend gemäß gesetzlichen Aufbewahrungspflichten - Logs/Sicherheitsdaten: soweit erforderlich, anschließend regelmäßige Löschung - Voice-Daten (z. B. Aufzeichnungen/Transkripte): nur, wenn aktiviert; Löschfristen konfigurierbar bzw. nach Zweck/Vertrag 13. Betroffenenrechte / Beschwerderecht Du hast – je nach gesetzlichen Voraussetzungen – Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie Widerruf erteilter Einwilligungen. Du kannst dich außerdem bei einer Datenschutz-Aufsichtsbehörde beschweren. 14. Keine ausschließlich automatisierten Entscheidungen Northline Echo kann Inhalte automatisch verarbeiten (z. B. Antworten generieren, Termine vorschlagen). Es erfolgt jedoch keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung gegenüber dir, sofern nicht ausdrücklich anders vereinbart. 15. Kontakt Bei Datenschutzfragen: info@northline-echo.de