1. Allgemeine Informationen

Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten durch Hey Listen Technologies UG (haftungsbeschränkt) (nachfolgend „wir" oder „Hey Listen Technologies") gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

Verantwortlicher für die Datenverarbeitung

Datenschutzorganisation

Daniel Wittig und Christian Kirsch
E-Mail: datenschutz@hey-listen.ai
Telefon: +49 421 40980751

2. Begriffsbestimmungen

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z.B. Name, E-Mail, Telefon, IP-Adresse).

Verarbeitung: Jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird (z.B. Erhebung, Speicherung, Nutzung, Übermittlung, Löschung).

Betroffene Person: Die natürliche Person, auf die sich personenbezogene Daten beziehen.

Verantwortlicher: Die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung entscheidet.

Auftragsverarbeiter: Die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten nur auf Basis einer Rechtsgrundlage gemäß Art. 6 DSGVO:

4. Datenverarbeitung auf unserer Website

4.1 Automatisch erfasste Daten

4.1.1 Server-Logs (Shopify)

Bei jedem Besuch unserer Website werden automatisch Server-Logs erfasst: IP-Adresse, Browser-Typ und -Version, Betriebssystem, Referrer-URL, besuchte Seiten, Zeitstempel, Datenmenge.

Zweck: Sicherheit und Fraud-Prevention, Fehlerdiagnose, Performance-Optimierung, Statistik und Analyse.
Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO (berechtigte Interessen)
Speicherdauer: 30 Tage
Empfänger: Shopify International Ltd. (Hosting-Provider)

4.1.2 Cookies

Verwaltung: Sie können Cookies in Ihren Browser-Einstellungen verwalten oder ablehnen. Beachten Sie, dass die Ablehnung einiger Cookies die Funktionalität der Website beeinträchtigen kann.

Cookie-Banner: Beim ersten Besuch wird ein Cookie-Banner (Consentmo GDPR) angezeigt, das Ihre Einwilligung einholt.

4.1.3 Pixel-Tracking

Verarbeitete Daten: Besuchte Seiten, Verweildauer, Klicks, Scroll-Verhalten, Conversion-Ereignisse.
Zweck: Benutzerverhalten analysieren, Website-Optimierung, Conversion-Tracking, Retargeting.
Rechtsgrundlage: Art. 6 Abs. 1 a) DSGVO (Einwilligung)
Speicherdauer: 2 Jahre (Cookies); Google Analytics Daten werden nach 14 Monaten gelöscht
Empfänger: Google Analytics GA4, Meta Platforms (Facebook Pixel), TikTok Technology Ltd., Microsoft Corporation (Microsoft Clarity)

4.2 Kontaktformular und Konfigurator

Pflichtfelder: Vorname, Nachname, E-Mail-Adresse, Telefonnummer, Unternehmen, Nachricht / Konfigurationsangaben.
Optionale Felder: Website, Betreff, Branche.
Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung/Geschäftsanbahnung)
Speicherdauer: In der Regel 3 Jahre nach letzter Kontaktaufnahme
Empfänger: Hey Listen Technologies UG Mitarbeiter, Make.com Webhook-Integration (→ HubSpot), HubSpot CRM, info@hey-listen.ai

Ihre Daten werden über Make.com übertragen, um Anfragen automatisch in HubSpot zu übernehmen, Bestätigungsmails zu versenden und Benachrichtigungen zu generieren. Übertragung erfolgt via HTTPS/TLS 1.2+.

4.3 Bewerbungsbereich

Verarbeitete Daten: Name, E-Mail-Adresse, Telefonnummer, Lebenslauf, Anschreiben, weitere Bewerbungsunterlagen.
Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragsanbahnung) und Art. 88 DSGVO (Beschäftigtendaten)
Speicherdauer: Bei Absage: 6 Monate; bei Einstellung: 3 Jahre nach Beendigung des Arbeitsverhältnisses.
Empfänger: Hey Listen Technologies UG Personalverwaltung, Microsoft SharePoint.

4.4 Demo-Buchung (Calendly)

Verarbeitete Daten: Name, E-Mail, Telefonnummer (optional), Buchungsdatum/-uhrzeit, Zeitzone, IP-Adresse, Browser-Informationen, Notizen.
Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragsanbahnung)
Speicherdauer: 3 Jahre nach letzter Interaktion
Anbieter: Calendly, Inc., 1 Front Street, San Francisco, CA 94111, USA
Datentransfer: USA mit Standarddatenschutzklauseln (SCCs)

4.5 Bewertungsformular (Formspree)

Verarbeitete Daten: Name (optional), E-Mail, Bewertungstext, Sternebewertung, IP-Adresse.
Rechtsgrundlage: Art. 6 Abs. 1 a) DSGVO (Einwilligung)
Speicherdauer: 2 Jahre
Anbieter: Formspree Inc., USA
Datentransfer: USA mit Standarddatenschutzklauseln (SCCs)

4.6 Google Analytics GA4

Verarbeitete Daten: Besuchte Seiten, Verweildauer, Klicks, Scroll-Verhalten, Gerätetyp, Browser, Betriebssystem, Standort (Land, Stadt).
Rechtsgrundlage: Art. 6 Abs. 1 a) DSGVO (Einwilligung)
Speicherdauer: Standarddaten 14 Monate, Ereignisdaten 2–14 Monate (konfigurierbar)

Google Analytics überträgt Daten in die USA. Schutzmaßnahmen: GA4 mit anonymisierter IP, DPA mit Google, SCCs, Supplementary Measures.

Opt-Out: Google Analytics Opt-Out Browser Add-On oder Cookie-Ablehnung über Consentmo GDPR Banner.

4.7 Social Media & Bewertungsplattformen

4.7.1 Meta (Facebook/Instagram)

Zweck: Unternehmensprofile, Content-Verbreitung, Meta Pixel (Conversion-Tracking, Retargeting).
Datentypen: Besucherinformationen, Interaktionsdaten, Cookie-IDs (_fbp, fr, _fbc), Conversion-Daten.
Datentransfer: USA (mit SCCs). Meta Datenschutz

4.7.2 TikTok

Zweck: Unternehmensaccount, Content-Verbreitung, TikTok Pixel (Conversion-Tracking).
Datentransfer: USA/China (mit SCCs). TikTok kann Daten in die Volksrepublik China übertragen. Es existiert kein Angemessenheitsbeschluss der EU-Kommission für China. Wir stützen uns auf SCCs sowie ergänzende Maßnahmen (Datenminimierung). Nutzer können die Verarbeitung über den Cookie-Banner ablehnen.
TikTok Datenschutz

4.7.3 Google Business Profile

Zweck: Unternehmenseintrag, Bewertungsverwaltung, Sichtbarkeit in Google-Suche und Maps.
Datentransfer: USA (mit SCCs). Google Datenschutz

4.7.4 Trustpilot

Zweck: Bewertungsverwaltung, Kundenvertrauen & Transparenz.
Datentransfer: USA/EU (mit SCCs). Trustpilot Datenschutz

4.8 Microsoft Clarity

Anbieter: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA
Website: clarity.microsoft.com
Datenschutzerklärung: Microsoft Datenschutz

4.8.1 Beschreibung und Zweck

Wir nutzen auf dieser Website Microsoft Clarity, einen Webanalyse-Dienst der Microsoft Corporation. Microsoft Clarity ermöglicht uns, das Nutzerverhalten auf unserer Website zu analysieren und die Benutzerfreundlichkeit zu verbessern. Der Dienst erfasst:

• Session Recordings: Videoaufzeichnungen von Seitenbesuchen (Mausbewegungen, Klicks, Scrollverhalten)
• Heatmaps: Aggregierte Visualisierungen von Klick- und Scrollverhalten
• Nutzungsstatistiken: Aggregierte Daten zur Seitennutzung und Interaktionen

Zweck: Analyse des Nutzerverhaltens, Identifikation von Usability-Problemen, Optimierung der Benutzeroberfläche und Nutzererfahrung, Verbesserung der Website-Performance.

4.8.2 Verarbeitete Daten

• IP-Adresse (anonymisiert/maskiert)
• Browser- und Geräteinformationen
• Betriebssystem
• Besuchte Seiten und Verweildauer
• Klick- und Scrollverhalten
• Mausbewegungen
• Session-Aufzeichnungen (Interaktionen auf der Website)
• Referrer-URL

4.8.3 Rechtsgrundlage

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung). Die Aktivierung von Microsoft Clarity erfolgt erst nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner (Consentmo GDPR). Ohne Ihre Einwilligung wird Microsoft Clarity nicht geladen.

4.8.4 Datentransfer in die USA

Die durch Microsoft Clarity erfassten Daten werden auf Servern von Microsoft in den USA gespeichert und verarbeitet. Microsoft Corporation ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert, sodass ein angemessenes Datenschutzniveau gemäß Art. 45 DSGVO gewährleistet ist. Zusätzlich sind Standarddatenschutzklauseln (SCCs) gemäß Art. 46 DSGVO vereinbart.

Schutzmaßnahmen: EU-US Data Privacy Framework (DPF) – Angemessenheitsbeschluss · Standard Contractual Clauses (SCCs) · IP-Anonymisierung · Automatische Maskierung sensibler Felder

4.8.5 Speicherdauer

• Session Recordings: 30 Tage (Standard-Einstellung)
• Aggregierte Heatmap-Daten: 13 Monate
• Clarity-Cookies: bis zu 1 Jahr

4.8.6 Opt-Out und Widerspruch

Sie können die Datenerfassung durch Microsoft Clarity verhindern über:

1. Cookie-Banner: Ablehnung der Analytics-Cookies beim ersten Besuch über unseren Consentmo GDPR Banner
2. Cookie-Einstellungen: Nachträgliche Änderung Ihrer Cookie-Einstellungen (jederzeit erreichbar)
3. Microsoft Clarity Opt-Out: clarity.microsoft.com/optout
4. Browser-Einstellungen: Blockierung von Drittanbieter-Cookies

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Cookie-Einstellungen über unseren Cookie-Banner anpassen.

5. Datenverarbeitung im Geschäftsbetrieb

5.1 Shopify – Shop, Abo-Verwaltung und Zahlungsabwicklung

Anbieter: Shopify International Ltd., Victoria Buildings, 2nd Floor, 1-2 Haddington Road, Dublin 4, D04 XN32, Irland

Verarbeitete Daten: Kundenstammdaten, Bestelldaten, Zahlungsinformationen, Abo-Daten, Kommunikationsdaten, IP-Adresse und Geräteinformationen.
Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung)
Speicherdauer: 6 Jahre nach Vertragsende (Aufbewahrungspflicht gemäß HGB und AO)
Standort: Irland (EU) mit Datenspeicherung in der EU

Sicherheitsmaßnahmen: HTTPS/TLS 1.2+ · PCI DSS Level 1 zertifiziert · Regelmäßige Sicherheits-Backups · Zugriffskontrolle mit Benutzerrollen · MFA verfügbar · Fraud-Detection

5.2 Kundenverträge und Abonnements

Verarbeitete Daten: Name, Adresse, Kontaktdaten, Bankverbindung/Zahlungsmethode, Vertragsinhalte und Laufzeiten, Leistungsdaten, Kommunikation.
Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO
Speicherdauer: 6 Jahre nach Vertragsende

5.3 Rechnungswesen und Buchhaltung

Rechtsgrundlage: Art. 6 Abs. 1 c) DSGVO (rechtliche Verpflichtung)
Speicherdauer: 10 Jahre (Aufbewahrungspflicht gemäß HGB und AO)

5.3.2 Lexoffice

Anbieter: Haufe-Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg, Deutschland. Verarbeitung ausschließlich in Deutschland (EU-konform). DPA gemäß Art. 28 DSGVO vorhanden.

5.3.3 Qonto – Geschäftskonto

Anbieter: Qonto SAS, 18 rue de Navarin, 75009 Paris, Frankreich. Verarbeitung EU-intern. Speicherdauer: 10 Jahre.

5.3.4 APIUP (neXcube UG) – HubSpot ↔ Lexoffice Connector

Anbieter: neXcube UG (apiup), Deutschland. Tätigkeit: API-Connector zwischen HubSpot CRM und Lexoffice. Synchronisierungslogs werden nach 90 Tagen gelöscht. DPA gemäß Art. 28 DSGVO vorhanden.

5.4 CRM – HubSpot

Anbieter: HubSpot, Inc., 2nd Floor, 30 B Rue de Verdun, 92800 Puteaux, Frankreich (EU-Niederlassung).
Verarbeitete Daten: Kontaktdaten, Interaktionsverlauf, Deal-Informationen, Besuchsverlauf, Formular-Einsendungen.
Rechtsgrundlage: Art. 6 Abs. 1 b) und f) DSGVO
Speicherdauer: 3 Jahre nach letzter Interaktion
Datentransfer: USA mit SCCs. DPA gemäß Art. 28 DSGVO vorhanden.

5.5 Personalverwaltung

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Arbeitsvertrag)
Speicherdauer: Personalstammdaten 3 Jahre nach Beendigung des Arbeitsverhältnisses; Lohnsteuerunterlagen 6 Jahre; Sozialversicherungsunterlagen bis zu 30 Jahre; Buchungsbelege 10 Jahre.

5.6 Kommunikation (Microsoft 365)

Verarbeitete Daten: E-Mail-Inhalte, Chat-Nachrichten (Teams), Dokumente (SharePoint), Videokonferenz-Metadaten.
Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO
Speicherdauer: 3 Jahre (oder länger bei Relevanz)
Datentransfer: USA mit SCCs

6. Einsatz von KI-Systemen

6.1 Allgemeine Grundsätze

6.2 ChatGPT (OpenAI)

Anbieter: OpenAI, Inc., 3180 18th Street, San Francisco, CA 94110, USA
Zweck: Textgenerierung, Analyse, Strukturierung und Zusammenfassungen im Rahmen interner Prozesse
Verarbeitete Daten: Ausschließlich anonymisierte oder pseudonymisierte Geschäfts- und Projektdaten
Rechtsgrundlage: Art. 6 Abs. 1 f) DSGVO
Datentransfer: USA mit SCCs und ergänzenden Maßnahmen
OpenAI Datenschutz

6.3 Claude (Anthropic)

Anbieter: Anthropic, PBC, 548 Market St, PMB 90375, San Francisco, CA 94104, USA
Zweck: Textgenerierung, Analyse, Dokumentation und Recherche
Datentransfer: USA mit SCCs
Anthropic Datenschutz

6.4 Perplexity AI

Anbieter: Perplexity AI, Inc., USA
Zweck: Recherche, Informationsbeschaffung und Datenanalyse
Datentransfer: USA mit SCCs
Perplexity Datenschutz

6.5 Grok (xAI)

Anbieter: xAI Corp., USA
Zweck: Recherche, Entwicklung und Analyse
Datentransfer: USA mit SCCs
xAI Datenschutz

6.6 Manus Agent AI

Anbieter: Manus Technologies, 109 North Bridge Road, Singapore, 179097
Zweck: Unterstützung bei der Erstellung, Strukturierung und Überarbeitung von Texten sowie bei der Orchestrierung von KI-gestützten Arbeitsabläufen
Verarbeitete Daten: Ausschließlich anonymisierte oder pseudonymisierte Projekt- und Geschäftsdaten
Datentransfer: Singapore mit SCCs sowie technischen und organisatorischen Maßnahmen
DPA gemäß Art. 28 DSGVO vorhanden.

6.7 Fonio – KI-Telefonie (Kernprodukt)

Anbieter: Fonio GmbH, Joanelligasse 5/16, 1060 Wien, Österreich
Server-Standort: Nürnberg, Deutschland (Hetzner)
Zweck: KI-gestützte Telefon-Assistenz für unsere B2B-Kunden (Restaurants, Pflegeheime, Immobilienverwaltungen, Persönliche Assistenz)

Rechtsgrundlage: Art. 6 Abs. 1 b) und f) DSGVO. Die Information über den KI-Einsatz erfolgt zu Beginn jedes Gesprächs gemäß Art. 50 EU AI Act.
Datentransfer: Verarbeitung ausschließlich in der EU (Nürnberg, Deutschland).
Unterauftragsverarbeiter: Fonio setzt Twilio Ireland Ltd. (25-28 North Wall Quay, Dublin 1, Irland) als Sub-Processor für die Telefonie-Infrastruktur ein. Twilio verarbeitet ausschließlich Verbindungsmetadaten; Gesprächsinhalte und Transkripte werden nicht an Twilio übermittelt.

6.8 Besondere Datenkategorien (Art. 9 DSGVO) bei Pflegeheim-Produkten

Bei Einsatz unserer Pflegeheim-Produkte können über den Voice Agent Krankmeldungen von Pflegepersonal entgegengenommen werden. Krankmeldungen können Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO darstellen und unterliegen damit dem erhöhten Schutz nach Art. 9 DSGVO.

Rollenverteilung: Hey Listen Technologies handelt als Auftragsverarbeiter im Auftrag des Pflegeheim-Betreibers (Verantwortlicher). Als Rechtsgrundlage kommt insbesondere Art. 9 Abs. 2 lit. b) DSGVO in Betracht.

Technische Schutzmaßnahmen: Es werden keine Audio-Dateien gespeichert. Nur die vom Sprachmodell extrahierten Textdaten werden per E-Mail an den Verantwortlichen weitergeleitet. Die extrahierten Daten werden nach 90 Tagen gelöscht.

6.9 Transparenzsatz zu KI-Einsatz

Im Rahmen unserer Dienstleistungen setzen wir unterstützend KI-Systeme zur Erstellung und Überarbeitung von Texten und Analysen ein. Alle Inhalte werden vor Verwendung durch uns manuell geprüft.

6.10 Datenverarbeitung bei PIA für Privatpersonen (B2C)

Rollenverschiebung: Wenn eine Privatperson PIA nutzt, handelt hey-listen.ai nicht als Auftragsverarbeiter, sondern als datenschutzrechtlich Verantwortlicher für die Verarbeitung der Anrufer-Daten.

Verarbeitete Daten: Telefonnummern der Anrufer, Anrufzeitstempel, Transkripte der Gespräche (soweit der Nutzer die Transkription aktiviert hat), Kontaktdaten aus dem verbundenen Adressbuch (Google Contacts oder Microsoft 365).
Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung mit dem PIA-Nutzer); Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an der Qualitätssicherung).
Speicherdauer: Transkripte werden nach 90 Tagen gelöscht. Kontaktdaten aus dem verbundenen Adressbuch werden nicht dauerhaft bei hey-listen.ai gespeichert.

Betroffenenrechte der Anrufer: Anrufer können ihre Rechte gegenüber hey-listen.ai geltend machen: datenschutz@hey-listen.ai

7. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein.

Technische Maßnahmen: Verschlüsselte Datenübertragung (HTTPS/TLS 1.2+), verschlüsselte Datenspeicherung durch Cloud-Provider, Multi-Faktor-Authentifizierung (MFA), sichere Passwörter (mindestens 12 Zeichen), automatische Backups durch Cloud-Provider.

Server-Infrastruktur: Hey Listen Technologies betreibt eigene Server-Infrastruktur bei Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) für den Betrieb der hey-listen.ai Plattform. Die Verarbeitung erfolgt ausschließlich in Deutschland (EU); es findet kein Drittlandtransfer statt. Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO.

Organisatorische Maßnahmen: Jährliche Datenschutz- und Sicherheitsschulung für Mitarbeiter, rollenbasierte Zugriffskontrolle (Least Privilege Principle), dokumentierter Incident Response Plan, jährliche Eigenüberprüfung durch die Geschäftsführung.

8. Datentransfer in Drittländer

8.1 Internationale Datenübertragung

Einige unserer Dienstleister sind in Ländern außerhalb der EU/EWR ansässig. Für diese Transfers haben wir folgende Schutzmaßnahmen implementiert: Standard Contractual Clauses (SCCs) · Supplementary Measures · Datenschutz-Folgenabschätzung (DSFA) · Begrenzte Datenmengen

8.2 Betroffene Services

9. Betroffenenrechte

Zuständige Aufsichtsbehörde: Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Prinzenstraße 5, 30159 Hannover, www.lfd.niedersachsen.de, Telefon: +49 511 120-4500

10. Auftragsverarbeiter

Wir arbeiten mit folgenden Auftragsverarbeitern zusammen:

Datenverarbeitungsverträge: Mit allen Auftragsverarbeitern liegen Datenverarbeitungsverträge (DPA) gemäß Art. 28 DSGVO vor.

11. Cookies detailliert

11.1 Cookie-Kategorien

Notwendig (Kategorie 1)

Cookies, die für die Funktionalität der Website erforderlich sind:

Analytics (Kategorie 2)

Cookies für Website-Analyse:

Marketing (Kategorie 3)

Cookies für Werbung und Retargeting:

11.2 Cookie-Verwaltung

Browser-Einstellungen: Chrome: Einstellungen → Datenschutz und Sicherheit → Cookies · Firefox: Einstellungen → Datenschutz & Sicherheit → Cookies · Safari: Einstellungen → Datenschutz → Cookies · Edge: Einstellungen → Datenschutz → Cookies

Cookie-Banner: Beim ersten Besuch können Sie Ihre Cookie-Einstellungen über den Consentmo GDPR Banner anpassen.

12. Kontakt und Betroffenenrechte

12.1 Kontaktinformationen

Verantwortlicher:
Hey Listen Technologies UG (haftungsbeschränkt)
Daniel Wittig und Christian Kirsch
E-Mail (allgemein): info@hey-listen.ai
E-Mail (Datenschutz): datenschutz@hey-listen.ai
Telefon: +49 421 40980751
Anschrift: Regensburger Straße 2, 28844 Weyhe, Deutschland

12.2 Anfragen stellen

Sie können folgende Anfragen stellen: Auskunftsanfrage, Berichtigungsanfrage, Löschanfrage, Einschränkungsanfrage, Datenportabilität, Widerspruch.

Kontaktwege:
1. E-Mail: datenschutz@hey-listen.ai
2. Telefon: +49 421 40980751
3. Kontaktformular: www.hey-listen.ai/pages/contact

Bearbeitungszeit: Innerhalb von 30 Tagen (kann um 2 Monate verlängert werden)

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung zu ändern. Änderungen werden auf dieser Seite veröffentlicht. Bei wesentlichen Änderungen werden Sie benachrichtigt.

Letzte Aktualisierung: 10. April 2026