Jetzt starten
Bereit, Ihre
Telefone auf Autopilot zu setzen?
Sehen Sie, wie Elba Anrufe, WhatsApp und SMS für regulierte Teams bearbeitet. Buchen Sie ein 30-minütiges Walkthrough — unverbindlich.
Jetzt starten
Sehen Sie, wie Elba Anrufe, WhatsApp und SMS für regulierte Teams bearbeitet. Buchen Sie ein 30-minütiges Walkthrough — unverbindlich.
Gültig ab: 11. März 2026
Diese Produkt-Datenschutzrichtlinie („Richtlinie“) beschreibt, wie die Kolsetu GmbH („Kolsetu“, „wir“, „uns“) personenbezogene Daten von Einzelpersonen verarbeitet, die auf die Elba AI-Sprachautomatisierungsplattform als Administratoren, Betreiber oder Agenten („Plattformnutzer“) im Namen eines Geschäftskunden zugreifen und diese nutzen. Plattformnutzer sind die Einzelpersonen, die sich bei der Plattform anmelden, diese konfigurieren und betreiben – sei es im Rahmen eines Enterprise-Abonnements, das über ein Bestellformular abgeschlossen wurde, oder eines Self-Serve-Abonnements, das über eine Online-Registrierung abgeschlossen wurde. Wo eine Bestimmung nur für einen Weg gilt, wird dies ausdrücklich angegeben.
Diese Richtlinie regelt die Verarbeitung von Plattformnutzerdaten durch Kolsetu in ihrer Eigenschaft als Datenverantwortlicher. Sie regelt nicht die Verarbeitung von Daten durch Kolsetu im Namen von Geschäftskunden in der Eigenschaft von Kolsetu als Datenverarbeiter – diese Beziehung wird durch die Datenverarbeitungsvereinbarung (DPA) abgedeckt, die unter www.kolsetu.com verfügbar ist. Insbesondere personenbezogene Daten, die den Endkunden unserer Geschäftskunden gehören (d. h. die Einzelpersonen, die mit Elba-gestützten Sprachagenten interagieren), werden ausschließlich gemäß der DPA verarbeitet und fallen vollständig außerhalb des Geltungsbereichs dieser Richtlinie.
Die Verarbeitung personenbezogener Daten im Zusammenhang mit Besuchen der Kolsetu-Website wird separat durch die Website-Datenschutzrichtlinie geregelt, die unter www.kolsetu.com verfügbar ist.
Zahlungs- und Telefonieabläufe. Zahlungsabwicklung – einschließlich Abonnementgebühren und Guthabenkäufe – erfolgt durch die Plattformnutzer direkt über die eigene Benutzeroberfläche des Zahlungsanbieters. Kolsetu erhält lediglich ein Transaktionsbestätigungsereignis (z. B. „Zahlung erfolgreich“); keine Zahlungskartendaten, Bankkontodaten oder andere Finanzinstrumentdaten werden an Kolsetu oder die Elba-Plattform übermittelt oder von diesen gespeichert. Ebenso findet die Interaktion statt, wenn Self-Serve-Kunden Telefonnummern über die in die Plattform eingebettete Twilio-Oberfläche bereitstellen, direkt zwischen dem Kunden und Twilio. Kolsetu erhält lediglich eine Bestätigung der Bereitstellung. In beiden Fällen agiert der jeweilige Anbieter als unabhängiger Verantwortlicher für die zugrunde liegenden Finanz- oder Telefondaten.
Verantwortlich für die Verarbeitung der personenbezogenen Daten von Plattformnutzern gemäß dieser Richtlinie ist:
Unternehmen | Kolsetu GmbH |
Adresse | Gaensemarkt 33, 20354 Hamburg, Deutschland |
Handelsregister | Amtsgericht Hamburg HRB 191266 |
USt-IdNr. | DE454953039 |
Geschäftsführer | Ben Arnon, Virendra Singh Bhalothia |
Datenschutzkontakt | |
Aufsichtsbehörde | Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Klosterwall 6, 20095 Hamburg |
Kolsetu erhebt und verarbeitet nur die personenbezogenen Daten, die für die in dieser Richtlinie beschriebenen Zwecke erforderlich sind (Art. 5 Abs. 1 lit. c DSGVO – Datenminimierung). Die Kategorien der über Plattformnutzer verarbeiteten Daten sind unten aufgeführt. Daten von Endkunden unserer Geschäftskunden sind hier nicht abgedeckt; sie werden in der DPA behandelt.
Dies sind die Kerndaten, die zur Erstellung und Pflege eines Plattformnutzerkontos erforderlich sind: Name, geschäftliche E-Mail-Adresse und Telefonnummer, falls angegeben. Sie umfassen auch Firmenname, Berufsbezeichnung und organisatorische Rolle, die für die Kontoverwaltung und Konfiguration des Zugriffs verwendet werden. Anmeldedaten beschränken sich auf die E-Mail-Adresse; Passwörter werden in gehashter, gesalzener Form gespeichert und sind für Kolsetu nicht lesbar. Kontopräferenzen und Benachrichtigungseinstellungen fallen ebenfalls in diese Kategorie.
Wenn ein Plattformnutzer mit der Elba-Plattform interagiert, sammeln wir Daten darüber, wie und wann die Plattform genutzt wird. Dazu gehören Anmelde-Zeitstempel, Sitzungsdauer und Aktivitätsprotokolle; Konfigurationsaktionen wie Workflow-Erstellung, Integrations-Setup und Agentenkonfiguration; Daten zur Funktionsnutzung und Protokolleinträge; sowie technische Metadaten einschließlich IP-Adresse, Browsertyp, Betriebssystem und Geräte-IDs. Diese Daten werden für die Plattformsicherheit, Systemstabilität und Rechenschaftspflicht zu Audit-Zwecken verwendet.
Wenn ein Plattformnutzer Kolsetu zur Unterstützung kontaktiert, verarbeiten wir den Inhalt von Supportanfragen, Fehlerberichten und damit zusammenhängender Korrespondenz zusammen mit dem Ticketstatus, der Lösungshistorie und den Kommunikationsprotokollen. Diese Daten werden gespeichert, um eine effektive Unterstützung zu ermöglichen und eine Aufzeichnung von Problemen und deren Lösungen zu führen.
Sowohl für Enterprise- als auch für Self-Serve-Kunden speichern wir Informationen über die Abonnementstufe, den Abrechnungszyklus und den Kontostatus. Wir erhalten und speichern auch Transaktionsbestätigungsereignisse von Zahlungsanbietern – zum Beispiel eine Benachrichtigung, dass eine Zahlung erfolgreich war oder Guthaben gekauft wurden. Wir erhalten, speichern oder verarbeiten keine zugrunde liegenden Zahlungskartendaten, Bankkontodaten oder Daten zu anderen Finanzinstrumenten. Für Enterprise-Kunden speichern wir zusätzlich Details zu Bestellformularen und vertragliche Aufzeichnungen. Alle Finanztransaktionen werden auf der Infrastruktur des Zahlungsanbieters selbst abgewickelt; die Datenexposition von Kolsetu beschränkt sich auf das Bestätigungsereignis.
Wir verarbeiten Plattformnutzerdaten nur für festgelegte, eindeutige und legitime Zwecke (Art. 5 Abs. 1 lit. b DSGVO). Die folgende Tabelle enthält jeden Zweck und seine anwendbare Rechtsgrundlage gemäß Art. 6 DSGVO.
Zweck | Rechtsgrundlage | Gilt für |
|---|---|---|
Erstellung von Konten, Authentifizierung und Verwaltung des Plattformzugangs | Art. 6 Abs. 1 lit. b – Vertragserfüllung | Enterprise und Self-Serve |
Bereitstellung und Betrieb der Elba-Plattform und zugehöriger Dienste | Art. 6 Abs. 1 lit. b – Vertragserfüllung | Enterprise und Self-Serve |
Verwaltung von Abonnements und Verarbeitung von Abrechnungsbestätigungsereignissen | Art. 6 Abs. 1 lit. b – Vertragserfüllung | Enterprise und Self-Serve |
Technischer Support und Fehlerbehebung | Art. 6 Abs. 1 lit. b – Vertragserfüllung | Enterprise und Self-Serve |
Plattformsicherheit, Betrugsprävention und Überwachung der Systemstabilität | Art. 6 Abs. 1 lit. f – Berechtigte Interessen (Sicherung von IT-Systemen und Verhinderung von Missbrauch) | Enterprise und Self-Serve |
Audit-Protokollierung zu Rechenschafts- und Compliance-Zwecken | Art. 6 Abs. 1 lit. f – Berechtigte Interessen (betriebliche Integrität und Compliance) | Enterprise und Self-Serve |
Service-Kommunikation (kritische Plattform-Updates, Sicherheitsbenachrichtigungen) | Art. 6 Abs. 1 lit. b / Art. 6 Abs. 1 lit. f | Enterprise und Self-Serve |
Einhaltung rechtlicher Verpflichtungen (z. B. gesetzliche Aufbewahrung von Geschäftsunterlagen) | Art. 6 Abs. 1 lit. c – Rechtliche Verpflichtung | Enterprise und Self-Serve |
Abwägung berechtigter Interessen. Wo wir uns auf Art. 6 Abs. 1 lit. f DSGVO stützen, haben wir geprüft, dass unsere berechtigten Interessen nicht durch die Interessen oder Grundrechte der Plattformnutzer überwiegen. Diese Prüfung berücksichtigt den Geschäftsbeziehungskontext (B2B), die begrenzten Datenkategorien und die getroffenen technischen und organisatorischen Maßnahmen. Die Dokumentation der Abwägung berechtigter Interessen ist auf Anfrage unter privacy@kolsetu.com erhältlich.
Keine automatisierte Entscheidungsfindung. Kolsetu trifft keine Entscheidungen über Plattformnutzer, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche oder ähnlich bedeutsame Wirkungen entfalten (Art. 22 DSGVO). Zugriffssteuerungsentscheidungen innerhalb der Plattform werden auf dokumentierter Anweisung der Administratoren des Geschäftskunden ausgeführt.
Wir verwenden Plattformnutzerdaten nicht für Werbung, Verhaltensprofiling oder das Training von KI-Modellen.
Beim Betrieb der Elba-Plattform setzt Kolsetu Unterauftragsverarbeiter ein, die im Auftrag von Kolsetu Plattformnutzerdaten verarbeiten können. Dies beschränkt sich auf Anbieter von Kerninfrastruktur, internen Kommunikationswerkzeugen und operativen Systemen. Zahlungsdienstleister und Telefonieanbieter sind im Kontext dieser Richtlinie keine Unterauftragsverarbeiter – wie in Abschnitt 1 beschrieben, agieren sie außerhalb des Elba-Datenflusses und als unabhängige Verantwortliche für die von ihnen verarbeiteten Daten.
Die maßgebliche und aktuelle Liste der Unterauftragsverarbeiter – sowohl für Plattformnutzerdaten als auch für Endkundendaten, die im Rahmen der AVV verarbeitet werden – ist in Anhang I-C des Auftragsverarbeitungsvertrags aufgeführt und unter www.kolsetu.com verfügbar. Alle Unterauftragsverarbeiter sind an Datenschutzverpflichtungen gebunden, die nicht weniger schützend sind als die von Kolsetu angewandten, und Kolsetu bleibt vollumfänglich für deren Datenschutzleistung verantwortlich. Geschäftskunden werden gemäß der AVV mit einer Vorankündigungsfrist von mindestens 30 Werktagen schriftlich über Änderungen bei den Unterauftragsverarbeitern informiert.
Die Kolsetu GmbH hat ihren Sitz in Deutschland und die primäre Verarbeitung findet innerhalb des EWR statt. Wo Plattformnutzerdaten von Unterauftragsverarbeitern außerhalb des EWR verarbeitet werden, erfolgen Übermittlungen ausschließlich auf Grundlage eines der folgenden Mechanismen, in der Reihenfolge der Präferenz: Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO); EU-Standardvertragsklauseln (Beschluss 2021/914 der Kommission); oder das EU–U.S. Data Privacy Framework, wo anwendbar. Für alle Unterauftragsverarbeiter in Drittländern werden Transfer Impact Assessments durchgeführt, und die Dokumentation ist auf Anfrage unter privacy@kolsetu.com erhältlich.
Plattformnutzerdaten werden nur so lange gespeichert, wie es für die in dieser Richtlinie dargelegten Zwecke erforderlich ist oder wie es das geltende Recht vorschreibt. Nach Beendigung der vertraglichen Beziehung werden die Kontodaten innerhalb von 90 Tagen gelöscht oder anonymisiert, es sei denn, eine gesetzliche Aufbewahrungspflicht schreibt etwas anderes vor. Die folgenden spezifischen Fristen gelten:
Kategorie | Aufbewahrungsfrist |
|---|---|
Konto- und Identitätsdaten (aktive Konten) | Dauer der vertraglichen Beziehung. |
Konto- und Identitätsdaten (inaktive oder gekündigte Konten) | Innerhalb von 90 Tagen nach Vertragsbeendigung gelöscht oder anonymisiert, es sei denn, eine gesetzliche Aufbewahrungspflicht gilt. |
Testkonten, die nicht zu einem kostenpflichtigen Abonnement konvertiert wurden | Innerhalb von 90 Tagen nach Ende der Testphase oder der letzten Plattformaktivität, je nachdem, was früher eintritt, gelöscht. |
Nutzungs- und Aktivitätsprotokolle | 12 Monate ab Erhebungsdatum, es sei denn, ein längerer Zeitraum ist für eine Sicherheitsuntersuchung oder Compliance-Zwecke erforderlich. |
Support- und Kommunikationsdaten | 3 Jahre nach Abschluss des betreffenden Supportfalls. |
Abonnement- und Abrechnungsbestätigungsaufzeichnungen | 10 Jahre nach Ende des betreffenden Geschäftsjahres gemäß §§ 238, 257 HGB. |
Als Plattformnutzer haben Sie im Hinblick auf Ihre unter dieser Richtlinie verarbeiteten personenbezogenen Daten die folgenden Rechte gemäß der DSGVO. Um eines dieser Rechte auszuüben, wenden Sie sich bitte an privacy@kolsetu.com. Wir werden innerhalb eines Monats nach Eingang der Anfrage antworten, die Frist kann für komplexe oder zahlreiche Anfragen um weitere zwei Monate verlängert werden, mit vorheriger Benachrichtigung.
Recht auf Auskunft (Art. 15 DSGVO): Bestätigung zu erhalten, ob wir Ihre personenbezogenen Daten verarbeiten und, falls ja, eine Kopie zusammen mit den nach Art. 15 erforderlichen ergänzenden Informationen zu erhalten.
Recht auf Berichtigung (Art. 16 DSGVO): die unverzügliche Berichtigung unrichtiger personenbezogener Daten und die Vervollständigung unvollständiger Daten zu verlangen.
Recht auf Löschung (Art. 17 DSGVO): die Löschung Ihrer personenbezogenen Daten zu verlangen, wenn die Verarbeitung nicht mehr erforderlich ist, die Einwilligung widerrufen wurde oder die Verarbeitung unrechtmäßig ist, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): zu verlangen, dass wir die Verarbeitung unter bestimmten Umständen einschränken, z. B. während der Prüfung der Richtigkeit von Daten.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): personenbezogene Daten, die Sie uns zur Verfügung gestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, wenn die Verarbeitung auf einem Vertrag oder einer Einwilligung beruht.
Widerspruchsrecht (Art. 21 DSGVO): jederzeit der Verarbeitung zu widersprechen, die auf berechtigten Interessen beruht. Wir werden die Verarbeitung einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): die Einwilligung jederzeit zu widerrufen, wenn die Verarbeitung auf einer Einwilligung beruht, ohne die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung zu beeinträchtigen.
Einige Rechte unterliegen gesetzlichen Beschränkungen nach geltendem Recht – beispielsweise können Rechnungsbestätigungsaufzeichnungen, die kaufmännischen Aufbewahrungspflichten nach deutschem Recht unterliegen, nicht vor Ablauf der vorgeschriebenen Aufbewahrungsfrist gelöscht werden. Wir werden Sie bei der Beantwortung Ihrer Anfrage über solche Einschränkungen informieren.
Recht auf Beschwerde. Wenn Sie der Ansicht sind, dass unsere Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie jederzeit das Recht, unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen. Die zuständige Aufsichtsbehörde für die Kolsetu GmbH ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Klosterwall 6 (Block C), 20095 Hamburg, mailbox@datenschutz.hamburg.de. Sie können auch eine Beschwerde bei der Aufsichtsbehörde Ihres Wohnortes oder Arbeitsplatzes innerhalb der EU einreichen.
Kolsetu implementiert und unterhält geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO zum Schutz von Plattformnutzerdaten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff. Diese Maßnahmen umfassen die Verschlüsselung von Daten während der Übertragung und im Ruhezustand, rollenbasierte Zugriffskontrollen und Multi-Faktor-Authentifizierung für privilegierte Zugriffe, logische Mandantenisolierung über alle Kundenumgebungen hinweg, regelmäßige Penetrationstests und Schwachstellenmanagement sowie dokumentierte Verfahren zur Erkennung, Reaktion und Eskalation von Vorfällen.
Vollständige Details zu den technischen und organisatorischen Maßnahmen von Kolsetu sind in Anhang 2 des Auftragsverarbeitungsvertrags aufgeführt und unter www.kolsetu.com verfügbar.
Wir können diese Richtlinie von Zeit zu Zeit aktualisieren. Die überarbeitete Richtlinie wird auf www.kolsetu.com mit einem aktualisierten Gültigkeitsdatum veröffentlicht. Wir unterscheiden zwischen wesentlichen und unwesentlichen Änderungen. Wesentliche Änderungen sind solche, die die Verarbeitungszwecke, die Kategorien der erhobenen Daten, die zugrunde liegenden Rechtsgrundlagen oder die Rechte der Plattformnutzer betreffen; wir werden die Plattformnutzer mindestens 30 Tage im Voraus über wesentliche Änderungen über die Plattformoberfläche oder per E-Mail an die registrierte Kontoadresse informieren. Unwesentliche Änderungen – wie redaktionelle Korrekturen oder Klarstellungen, die den Inhalt der Richtlinie nicht beeinträchtigen – treten mit der Veröffentlichung ohne vorherige Ankündigung in Kraft.
Für Anfragen zum Datenschutz, zur Ausübung Ihrer Rechte gemäß § 8 oder zur Anforderung einer Kopie einer Interessenabwägung kontaktieren Sie bitte:
Datenschutzanfragen | |
Postanschrift | Kolsetu GmbH, Gaensemarkt 33, 20354 Hamburg, Deutschland |
Auftragsverarbeitungsvertrag | Verfügbar unter www.kolsetu.com |
Datenschutzrichtlinie der Website | Verfügbar unter www.kolsetu.com |