AVA Digital

ENFRDE

← Zurück zur Website

Rechtliches

Datenschutzerklärung

Version 0.6 · Zuletzt aktualisiert am 10. Juni 2026

Verantwortlicher: AVA Digital LLC, Wyoming, USA — Handelsname (EU): AVA Digital (betrieben aus Marbella, Spanien). Datenschutzkontakt: privacy@avadigital.ai.

1. Wer wir sind

AVA Digital LLC (« AVA », „wir") ist ein in Wyoming eingetragenes und aus Spanien betriebenes Unternehmen. Wir bieten Geschäftskunden (den „Operatoren") den konversationellen KI-Empfangsdienst InTake an. Diese Erklärung beschreibt, wie wir personenbezogene Daten von Besuchern von avadigital.ai selbst verarbeiten — Interessenten, die unsere Website durchstöbern, sich für InTake registrieren oder mit der auf unserer Website eingebetteten KI-Assistentin chatten.

Diese Erklärung unterliegt der EU-Datenschutz-Grundverordnung (DSGVO), dem spanischen LOPDGDD (Organgesetz 3/2018) und der EU-KI-Verordnung (Verordnung 2024/1689) für die KI-Assistentin auf der Website.

2. Welche personenbezogenen Daten wir erheben, warum und auf welcher Rechtsgrundlage

2.1 Wenn Sie die Website besuchen (immer)

2.2 Reichweitenmessung

Wir verwenden derzeit keine Web-Analyse-Tools von Drittanbietern auf avadigital.ai. Kein Google Analytics, kein Plausible, kein Mixpanel, kein Hotjar — nichts. Sollten wir künftig einen Analysedienst hinzufügen, wird er in § 4 unten aufgeführt, an eine ausdrückliche Cookie-Einwilligung gebunden (und standardmäßig deaktiviert) und mindestens 30 Tage vor dem Einsatz auf dieser Seite angekündigt.

2.3 Wenn Sie das Formular „Demo anfragen" / Kontaktformular ausfüllen

2.4 Wenn Sie mit der KI-Assistentin auf avadigital.ai chatten

Die KI-Assistentin der AVA-Website ist dieselbe InTake-Konversations-Engine, die wir an unsere Operatoren verkaufen, hier für den eigenen Empfang von AVA konfiguriert. Gemäß Artikel 50 der EU-KI-Verordnung weist die erste Nachricht stets darauf hin, dass Sie mit einer KI sprechen. Es handelt sich um ein KI-System mit begrenztem Risiko — keine automatisierte Entscheidungsfindung mit Rechtswirkung, kein Profiling für gezielte Werbung.

2.5 Wenn Sie ein InTake-Konto erstellen

Der Registrierungsablauf erhebt über die Google-Anmeldung Ihren Namen, Ihre E-Mail-Adresse und Ihr Profilbild aus Ihrem Google-Konto; wenn Sie einen Google Kalender verbinden, das OAuth-Refresh-Token (verschlüsselt gespeichert auf der Infrastruktur von AVA); sowie Ihren Status auf der Operator-Zulassungsliste. Rechtsgrundlage: 6(1)(b) Vertrag / vorvertragliche Maßnahmen. Ab dem Moment, in dem Sie Operator werden, regelt der Auftragsverarbeitungsvertrag (AVV) das Verantwortlicher–Auftragsverarbeiter-Verhältnis für die personenbezogenen Daten, die Ihre Endkunden in Ihren Mandanten senden — dieser Datenfluss ist nicht von dieser Erklärung abgedeckt.

3. Cookies und ähnliche Technologien

Die dedizierte Cookie-Richtlinie enthält das Cookie-für-Cookie-Inventar, die Zwecke, die Dauern und die Einwilligungsoberfläche. Die Cookie-Richtlinie und diese Datenschutzerklärung werden im Gleichschritt gepflegt — ändert sich die eine, wird die andere im selben Durchgang überprüft.

4. Mit wem wir Ihre Daten teilen

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir teilen sie eng begrenzt mit den folgenden Empfängern, die jeweils durch einen schriftlichen Vertrag und (für Nicht-EU-Empfänger) durch die EU-Standardvertragsklauseln Modul 2 gebunden sind:

Die aktuelle maßgebliche Liste (mit Namen + Rollen + Rechtsräumen) wird in unserem internen Auftragsverarbeiter-Register geführt und ist auf Anfrage verfügbar. Wesentliche Ergänzungen werden mindestens 30 Tage vor Inkrafttreten auf dieser Seite angekündigt.

5. Internationale Übermittlungen

Die fünf in § 4 genannten Auftragsverarbeiter (Google, Anthropic, OpenAI, Resend, Cloudflare) sind in den USA ansässig. Wir stützen uns auf die folgenden, mehrschichtigen Garantien:

1. EU-Standardvertragsklauseln (SVK) — Modul 2 (Verantwortlicher→Auftragsverarbeiter), angenommen durch den Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021, mit jedem Anbieter über deren jeweilige Auftragsverarbeitungs-Zusätze unterzeichnet.
2. EU-US-Datenschutzrahmen (DPF) — Google LLC und OpenAI, L.L.C. sind nach dem DPF zertifiziert und bieten damit eine zusätzliche Angemessenheitsgrundlage für Übermittlungen in die USA.
3. Ergänzende technische Maßnahmen — TLS 1.2+ während der Übertragung; Verschlüsselung im Ruhezustand; Konfiguration ohne Speicherung mit der Gemini-API (Chat-Inhalte werden nicht zum Training der Foundation-Modelle von Google verwendet und über die Anfrage hinaus nicht bei Google gespeichert); API-Bedingungen ohne Training mit Anthropic und OpenAI (API-Inhalte werden nicht zum Training ihrer Modelle verwendet); AVAs Modell-Gateway protokolliert keine Prompt- oder Antwortinhalte — nur Token-Zahlen und Verbrauch; der Zugriff auf IP- und Anfrage-Metadaten bei Cloudflare ist auf Routing- + Sicherheitszwecke beschränkt.

Eine Kopie der einschlägigen SVK und unserer Transfer-Folgenabschätzung ist auf Anfrage an privacy@avadigital.ai erhältlich.

6. Ihre Rechte

Gemäß den Artikeln 15 bis 22 DSGVO haben Sie das Recht auf:

• Auskunft über die personenbezogenen Daten, die wir über Sie speichern (Art. 15)
• Berichtigung unrichtiger Daten (Art. 16)
• Löschung Ihrer Daten („Recht auf Vergessenwerden" — Art. 17)
• Einschränkung der Verarbeitung (Art. 18)
• Widerspruch gegen die auf berechtigten Interessen beruhende Verarbeitung (Art. 21)
• Datenübertragbarkeit in einem portablen Format (Art. 20)
• Widerruf der Einwilligung für jede einwilligungsbasierte Verarbeitung — kostenlos, jederzeit, unbeschadet der bereits erfolgten Verarbeitung (Art. 7(3))
• Beschwerde bei der spanischen Datenschutzbehörde AEPD (www.aepd.es) oder der federführenden Aufsichtsbehörde Ihres EU-Landes

Um eines dieser Rechte auszuüben, schreiben Sie an privacy@avadigital.ai. Wir antworten innerhalb von 30 Tagen, wie in Art. 12(3) gefordert.

7. Automatisierte Entscheidungsfindung und Profiling

Die KI-Assistentin der AVA-Website trifft keine automatisierten Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen, im Sinne von Art. 22 DSGVO. Sie beantwortet Fragen, leitet Sie an eine Person im Vertrieb weiter und bietet die Buchung einer Demo an. Es gibt kein Profiling für gezielte Werbung und kein Scoring von Besuchern.

8. Kinder

avadigital.ai richtet sich nicht an Kinder, und wir erheben nicht wissentlich Daten von Personen unter 16 Jahren. Wenn Sie glauben, dass ein Kind die Website genutzt hat, kontaktieren Sie uns und wir löschen die betreffenden Daten.

9. Sicherheit

Wir schützen Daten durch Verschlüsselung bei der Übertragung (HTTPS) und im Ruhezustand, strenge Zugriffskontrollen, Audit-Protokollierung und die in Anhang II unseres Auftragsverarbeitungsvertrags festgelegten technischen Maßnahmen. Unser Vorfallreaktionsprozess benachrichtigt die AEPD innerhalb von 72 Stunden nach Kenntnisnahme einer meldepflichtigen Verletzung (Art. 33 DSGVO).

10. Änderungen dieser Erklärung

Wir können diese Erklärung aktualisieren, wenn sich die Website, die KI-Assistentin oder unser Auftragsverarbeiter-Mix ändert. Wesentliche Änderungen werden mindestens 30 Tage vor Inkrafttreten oben auf dieser Seite angekündigt; geringfügige Klarstellungen werden stillschweigend mit einem aktualisierten Datum „Zuletzt aktualisiert" vorgenommen. Die aktuelle Fassung ist stets unter avadigital.ai/de/privacy verfügbar.

Änderungsprotokoll

• v0.6 · 10. Juni 2026 — Anthropic (Claude-API) und OpenAI (OpenAI-API) in die Auftragsverarbeiter-Tabelle in § 4 aufgenommen: Modellanbieter für Kundenkonten, die AVAs verwaltetes Modell-Gateway (AVA Units) nutzen. Gemäß der 30-Tage-Ankündigungszusage vor dem Kunden-Rollout angekündigt. § 5 aktualisiert (fünf US-Auftragsverarbeiter; DPF-Zertifizierung von OpenAI; API-Bedingungen ohne Training; das Gateway protokolliert keine Nachrichteninhalte).
• v0.5 · 27. Mai 2026 — F-03: Cookie-Offenlegung korrigiert, um intk:ava:lang (vom Intake-Widget gesetzt) korrekt abzubilden. CC_VERSION erhöht, um die Einwilligung erneut abzufragen.
• v0.4 · 26. Mai 2026 — Identität des Verantwortlichen ergänzt (D-U-N-S, WY-Adresse, Betrieb in Marbella); Auftragsverarbeiter-Tabelle in § 4 gestrafft (Google Gemini, Resend, Cloudflare); § 5 Übermittlungen um SVK Modul 2 + EU-US-DPF + Gemini-Konfiguration ohne Speicherung erweitert; AEPD-Postanschrift in § 6 ergänzt; Befreiung vom EU-Vertreter (Art. 27) dokumentiert (Niederlassung Art. 3(1)).

11. Kontakt