Datenschutz nach DSGVO & KI-Verordnung
Diese Datenschutzhinweise beschreiben, wie VUCOM - KAIA personenbezogene Daten im Zusammenhang mit dieser Website, Kontaktanfragen, Strategiegesprächen, KI-Automatisierung, Voiceagents, KI-Avataren für Bildung, IoT-/Smart-Produkt-Setups, App-Entwicklung, Creative-/GenAI-Content-Produktion, Buyer, Marktanalyse- und Trading-Systemen verarbeitet. Sie berücksichtigen die Datenschutz-Grundverordnung (DSGVO) sowie die europäische KI-Verordnung (AI Act, Verordnung (EU) 2024/1689) und müssen vor einem produktiven Livegang mit den finalen Kontaktdaten, Dienstleistern und technischen Setups rechtlich geprüft werden.
Verantwortlicher: Verantwortlich im Sinne der DSGVO ist VUCOM - KAIA, Geschäftsinhaber Rüstem Vural, c/o POSTFLEX PFX-620-616, Emsdettener Straße 10, 48268 Greven, Deutschland. Geschäftsleiter ist Atilla Başuslu. Kontakt: contact@vucom.org. Sofern ein Datenschutzbeauftragter gesetzlich erforderlich wird oder freiwillig benannt ist, werden dessen Kontaktdaten hier veröffentlicht.
Zwecke der Verarbeitung: Wir verarbeiten personenbezogene Daten, um Kontaktanfragen zu beantworten, Strategiegespräche vorzubereiten, Angebote zu erstellen, Projekte durchzuführen, Support zu leisten, technische Sicherheit zu gewährleisten und KI-/Automatisierungs- sowie Creative-/GenAI-Lösungen zu planen, zu testen, bereitzustellen und zu betreiben. Bei Voiceagents, KI-Avataren, IoT-Integrationen, Apps, Foto-, Video-, Musik- und Social-Media-Produktionen sowie lokalen Liefer-/Marktplatzlösungen richtet sich der konkrete Umfang nach dem jeweiligen Projekt, Vertrag und der technischen Konfiguration.
Rollen in Kundenprojekten: Bei eigenen Produkten und Website-Prozessen entscheidet VUCOM über Zwecke und Mittel der Verarbeitung und handelt als Verantwortlicher. In Kundenprojekten kann VUCOM je nach Vertrag auch als Auftragsverarbeiter handeln und verarbeitet personenbezogene Daten dann nur auf dokumentierte Weisung des Kunden. Verantwortlichkeiten, technische und organisatorische Maßnahmen, Unterauftragnehmer, Löschfristen und Sicherheitsanforderungen werden projektspezifisch vertraglich geregelt.
KI-Verordnung und Risikoklassifizierung: Die DSGVO regelt den Schutz personenbezogener Daten, während die KI-Verordnung zusätzlich Anforderungen an vertrauenswürdige, transparente und risikoorientierte KI-Systeme stellt. VUCOM prüft KI-Lösungen projektbezogen darauf, ob sie als verbotene, hochriskante, transparenzpflichtige oder sonstige KI-Anwendung einzuordnen sind. Dabei werden insbesondere Zweck, Zielgruppe, Datenarten, mögliche Auswirkungen auf Grundrechte, menschliche Aufsicht, Protokollierung, Robustheit und Cybersecurity berücksichtigt.
Internationaler Geltungsbereich: Die DSGVO und die KI-Verordnung gelten nicht in jedem Land identisch. Innerhalb der EU sind sie der zentrale europäische Rechtsrahmen; außerhalb der EU können sie dennoch greifen, wenn KI-Systeme oder Dienstleistungen auf dem EU-Markt bereitgestellt werden, Personen in der EU betroffen sind oder die Ausgaben eines KI-Systems in der EU genutzt werden. Für Projekte in der Türkei, den Vereinigten Arabischen Emiraten oder weiteren Drittstaaten prüft VUCOM zusätzlich die lokalen Datenschutz-, KI-, Verbraucher-, Telekommunikations-, Bildungs-, Gesundheits- und Plattformvorgaben.
Unzulässige und sensible KI-Nutzungen: VUCOM richtet Projekte so aus, dass nach der KI-Verordnung verbotene Nutzungen ausgeschlossen werden. Dazu gehören insbesondere manipulative oder ausbeuterische Systeme, Social Scoring, unzulässige biometrische Kategorisierung, unzulässiges Scraping von Gesichtsbilddatenbanken sowie Emotionserkennung in Arbeits- oder Bildungskontexten, soweit keine gesetzlich zulässige Ausnahme wie medizinische oder sicherheitsbezogene Zwecke greift. Gerade bei Kindern, älteren Menschen, kranken Personen und Lernumgebungen werden Schutzkonzepte vor einer produktiven Nutzung gesondert geprüft.
Transparenz, Kennzeichnung und menschliche Kontrolle: Wenn Nutzer mit einem KI-System, Voiceagent, Avatar oder generativen System interagieren, soll dies klar erkennbar sein. KI-generierte oder KI-manipulierte Inhalte werden dort gekennzeichnet, wo dies gesetzlich erforderlich ist oder zur Vermeidung von Irreführung sinnvoll ist. Entscheidungen mit rechtlicher oder vergleichbar erheblicher Wirkung gegenüber Personen sollen nicht ausschließlich automatisiert erfolgen, sondern eine nachvollziehbare menschliche Prüfung, Eskalation oder Widerspruchsmöglichkeit vorsehen.
KI-Kompetenz, Dokumentation und Modellanbieter: VUCOM berücksichtigt die Pflicht zur KI-Kompetenz für Personen, die KI-Systeme betreiben, beaufsichtigen oder in Kundenprojekten einsetzen. Bei allgemeinen KI-Modellen, Sprachmodellen oder externen Modellanbietern achtet VUCOM auf verfügbare Dokumentation, Sicherheitsinformationen, Transparenzangaben, Nutzungsbedingungen, Datenverarbeitungsvereinbarungen und Nachweise zur AI-Act- und DSGVO-Konformität. Der Einsatz eigener oder angepasster Modelle wird projektspezifisch dokumentiert und hinsichtlich Training, Evaluation, Zweckbindung, Risiken und Sicherheitsmaßnahmen geprüft.
Rechtsgrundlagen: Die Verarbeitung erfolgt je nach Vorgang auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO für Vertragsanbahnung und Vertragserfüllung, Art. 6 Abs. 1 lit. f DSGVO für berechtigte Interessen an Kommunikation, Sicherheit, Produktentwicklung und effizientem Betrieb, Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Pflichten oder Art. 6 Abs. 1 lit. a DSGVO für Einwilligungen, etwa bei optionalen Kommunikations-, Audio-, Analyse- oder Trainingsfunktionen. Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.
Website und Serverlogs: Beim Besuch der Website können technische Daten wie IP-Adresse, Datum und Uhrzeit, Browserinformationen, aufgerufene Seiten, Referrer und Fehlerprotokolle verarbeitet werden. Diese Verarbeitung dient der Auslieferung, Stabilität, Sicherheit und Missbrauchserkennung. Nicht erforderliche Analyse-, Tracking- oder Marketingdienste werden nur eingesetzt, wenn sie technisch konfiguriert sind und eine erforderliche Einwilligung vorliegt.
Kontakt, Terminbuchung und Kommunikation: Wenn Sie uns kontaktieren oder ein Gespräch buchen, verarbeiten wir Angaben wie Name, Unternehmen, E-Mail-Adresse, Telefonnummer, Interessenbereich, Nachricht und Terminmetadaten. Diese Daten nutzen wir zur Bearbeitung der Anfrage, Vorbereitung eines Angebots, Durchführung des Gesprächs und Nachverfolgung der Kommunikation.
KI-Systeme, Voiceagents und KI-Avatare: Bei Projekten mit Sprachassistenten, Realtime-Konversation, Lernavataren, agentischen Workflows oder Tool-Anbindungen können je nach Setup Text-, Audio-, Transkript-, Meta-, Nutzungs-, Geräte- und Interaktionsdaten verarbeitet werden. VUCOM achtet auf Datenminimierung, Zweckbindung, Rollen- und Zugriffskonzepte, Protokollierung, sichere Übertragung und klare Trennung zwischen Produktivdaten, Testdaten und Trainings-/Evaluationsdaten. Eine Nutzung personenbezogener Daten zum Modelltraining erfolgt nur, wenn sie vertraglich geregelt, rechtlich zulässig und technisch abgesichert ist.
Bildung, Minderjährige und unterstützungsbedürftige Personen: Bei KI-Avataren für Schulen, Bildungsinstitute, Privathaushalte, Kinder, Studierende, Auszubildende, ältere Menschen oder kranke Personen können besonders sensible Nutzungskontexte entstehen. Solche Lösungen werden nur mit geeigneten Rollen-, Einwilligungs-, Aufsichts-, Lösch- und Sicherheitskonzepten umgesetzt. Bei Minderjährigen, betreuten Personen oder möglichen Gesundheitsbezügen sind zusätzliche Zustimmungserfordernisse, Nachweise und institutionelle Vorgaben zu beachten.
IoT, Smart-Produkte und lokale Automatisierung: Bei Smart-Home-, ESP32-, Home-Assistant-, SwitchBot-, Sensorik- und Edge-Setups können Gerätekennungen, Sensordaten, Steuerungsdaten, Standort-/Raumkontexte und Nutzungsereignisse anfallen. VUCOM plant solche Systeme nach dem Prinzip Privacy by Design und Privacy by Default: möglichst lokal, zweckgebunden, mit minimal notwendigen Daten, verschlüsselter Übertragung und klaren Berechtigungen.
Buyer, lokale Services und Lieferprozesse: Bei lokalen Angebots-, Bestell- und Lieferprozessen können je nach Produktreife Kontaktdaten, Lieferadressen, Bestellinformationen, Händlerdaten, Fahrerinformationen, Zahlungs-/Abrechnungsdaten und Kommunikationsdaten verarbeitet werden. Diese Verarbeitung dient der Vermittlung, Durchführung, Abrechnung, Sicherheit und Nachvollziehbarkeit der lokalen Dienstleistung.
Cross Market Arbitrage Trader und Marktanalyse: Trading- und Marktanalysesysteme verarbeiten in der Regel Markt-, Preis-, Handelsplatz-, Signal-, Risiko- und technische Logdaten. Personenbezogene Daten werden nur verarbeitet, soweit dies für Nutzerkonten, Berechtigungen, Compliance, Abrechnung, Sicherheit oder Support erforderlich ist. Automatisierte Entscheidungen mit rechtlicher oder vergleichbar erheblicher Wirkung gegenüber Personen erfolgen nur, wenn sie ausdrücklich vereinbart, transparent beschrieben und rechtlich zulässig sind.
Empfänger und Auftragsverarbeiter: Daten können an technische Dienstleister, Hosting-Anbieter, E-Mail-/Kalender-/Terminbuchungsdienste, Kommunikationsanbieter, KI-/Cloud-/Speech-/Datenbankanbieter, Zahlungs- oder Lieferdienstleister übermittelt werden, sofern dies für den jeweiligen Zweck erforderlich ist. Wenn Dienstleister personenbezogene Daten im Auftrag verarbeiten, werden Vereinbarungen zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen.
Drittlandübermittlungen: Werden Dienstleister außerhalb der EU oder des EWR eingesetzt, erfolgt die Übermittlung nur auf Grundlage geeigneter Garantien, etwa EU-Standardvertragsklauseln, Angemessenheitsbeschlüssen oder zusätzlicher Schutzmaßnahmen, soweit diese erforderlich sind. Bei der Türkei berücksichtigt VUCOM zusätzlich das türkische Datenschutzgesetz Nr. 6698 (KVKK); bei den Vereinigten Arabischen Emiraten werden insbesondere das Federal Decree-Law No. 45 of 2021 on Personal Data Protection sowie mögliche Freizonen- und Sektorvorgaben geprüft.
Speicherdauer: Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist. Kontakt- und Angebotsdaten werden regelmäßig gelöscht, wenn keine weitere Geschäftsbeziehung entsteht und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Projekt-, Vertrags-, Buchhaltungs- und Sicherheitsdaten können entsprechend gesetzlicher Fristen oder berechtigter Nachweisinteressen länger gespeichert werden.
Betroffenenrechte: Betroffene Personen haben nach Maßgabe der DSGVO Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen sowie Widerruf erteilter Einwilligungen. Außerdem besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde.
Sicherheit: VUCOM setzt technische und organisatorische Maßnahmen ein, um personenbezogene Daten gegen Verlust, Missbrauch, unbefugten Zugriff und unberechtigte Offenlegung zu schützen. Dazu gehören je nach Projekt Zugriffsbeschränkungen, Verschlüsselung, Rollenmodelle, Protokollierung, getrennte Umgebungen, Backup- und Löschkonzepte sowie regelmäßige Überprüfung der eingesetzten Dienste.
Aktualisierung: Diese Datenschutzhinweise werden angepasst, sobald konkrete Anbieter, Produktivsysteme, Tracking- oder Analysefunktionen, Zahlungsprozesse, KI-Modellprovider oder weitere Datenverarbeitungen final festgelegt sind.