Datenschutzerklärung

Letzte Aktualisierung: 29.11.2025

1. Einleitung

Diese Datenschutzerklärung erläutert, wie Yumi („wir“, „uns“, „unser“) personenbezogene Daten erfasst, nutzt, speichert und schützt, wenn Benutzer auf unsere Website, Plattform, Dienstleistungen, Kommunikationskanäle oder damit verbundene Funktionen zugreifen.
Wir verarbeiten personenbezogene Daten gemäß:

  • der Datenschutz-Grundverordnung (DSGVO) der EU,

  • der britischen DSGVO und dem britischen Datenschutzgesetz von 2018,

  • dem Schweizer Bundesgesetz über den Datenschutz (nDSG),

  • den entsprechenden Datenschutzgesetzen der US-Bundesstaaten (einschließlich des California Consumer Privacy Act CCPA/CPRA),

  • und den anwendbaren internationalen Datenschutzvorschriften.

Diese Datenschutzerklärung gilt für alle Benutzer außerhalb der DACH-Region (Deutschland, Österreich, Schweiz).
Für Benutzer in der DACH-Region gilt die deutschsprachige Datenschutzerklärung.

2. Verantwortlicher

Yumi (Geschäftseinheit von PP Path Provider)
Inhaber: Mina Massoudy
Goebenstraße 10
50672 Köln
Deutschland

E-Mail: support@yumi.com
Website: yumiassistant.com

Ein Datenschutzbeauftragter wurde nicht bestellt, da dies gesetzlich nicht erforderlich ist.

Verarbeitung im Auftrag von Geschäftskunden (Auftragsverarbeitungsvertrag)

Wenn Yumi personenbezogene Daten im Auftrag seiner Geschäftskunden verarbeitet, insbesondere bei der Konfiguration und dem Betrieb von Kommunikationskanälen (einschließlich WhatsApp, Messaging oder Sprachsystemen), die von diesen Kunden genutzt werden, um ihre eigenen Endkunden („Kunden der Kunden“) zu kontaktieren, agiert Yumi als Auftragsverarbeiter im Sinne von Art. 28 DSGVO (oder äquivalenten internationalen Standards).

In diesen Fällen bleibt der jeweilige Geschäftskunde der Verantwortliche und ist allein verantwortlich für die Festlegung der Zwecke und Mittel der Verarbeitung, einschließlich der rechtlichen Grundlage für die Kontaktaufnahme mit Endkunden und die Einhaltung der geltenden Werbe- und Kommunikationsgesetze.

Yumi verarbeitet solche Daten strikt gemäß den dokumentierten Anweisungen des Geschäftskunden und auf der Grundlage eines Auftragsverarbeitungsvertrags.

3. Personenbezogene Daten, die wir erfassen

Abhängig davon, wie Sie mit unseren Dienstleistungen interagieren, können wir die folgenden Kategorien personenbezogener Daten verarbeiten:

  • Identitätsdaten: Name, Unternehmenszugehörigkeit (sofern zutreffend)

  • Kontaktdaten: E-Mail-Adresse, Telefonnummer

  • Kontodaten: Anmeldedaten (verschlüsseltes Passwort), Rollenzuweisungen

  • Transaktionsdaten: Abonnementsdetails, Rechnungsinformationen (verarbeitet durch Stripe)

  • Kommunikationsdaten: über E-Mail, WhatsApp, Telefon oder Formulare gesendete Nachrichten

  • Nutzungsdaten: Anmeldungen, aufgerufene Funktionen, Systeminteraktionen

  • Technische Daten: IP-Adresse, Geräteinformationen, Browsedaten, Serverprotokolle

  • Sprachinteraktionsdaten: Audioinhalte und Anrufmetadaten für eingehende Anrufe (Sprach-KI-Verarbeitung)

Wir verkaufen keine personenbezogenen Daten.

4. Wie wir personenbezogene Daten nutzen

Wir verarbeiten personenbezogene Daten zu den folgenden Zwecken:

  • Betreiben und Warten unserer Website und Plattform

  • Erstellen und Verwalten von Benutzerkonten

  • Bereitstellung vertraglicher Dienstleistungen und Abonnements

  • Verarbeitung von Zahlungen

  • Antwort auf Anfragen und Bereitstellung von Kundensupport

  • Onboarding und Dienstkonfiguration

  • Verarbeitung eingehender Anrufe, einschließlich automatisierter Sprachfunktionalität

  • Durchführung interner Prozessautomatisierung

  • Gewährleistung der Systemsicherheit und -stabilität

  • Erfüllung gesetzlicher oder regulatorischer Verpflichtungen

5. Rechtsgrundlagen für die Verarbeitung

Wir stützen uns auf die folgenden Rechtsgrundlagen, abhängig von der Verarbeitungsaktivität:

  • Vertragliche Notwendigkeit (Art. 6(1)(b) DSGVO / äquivalente internationale Standards)

  • Wahrung legitimer Interessen (Art. 6(1)(f) DSGVO)

  • Einwilligung (Art. 6(1)(a) DSGVO, wo anwendbar)

  • Rechtliche Verpflichtung (Art. 6(1)(c) DSGVO)

Für Benutzer im Vereinigten Königreich, der Schweiz und den USA gelten entsprechende nationale Rechtsgrundlagen.

6. Hosting & Website-Betrieb

Unsere Website wird von einem professionellen Hosting-Anbieter gehostet. Technische Daten wie IP-Adressen, Geräteinformationen und Zugriffsprotokolle können verarbeitet werden, um einen sicheren und stabilen Betrieb zu gewährleisten.

Rechtsgrundlage: legitime Interessen (Sicherheit und Funktionalität).

7. Protokolldateien

Bei Besuch unserer Website verarbeitet das System:

  • IP-Adresse

  • Datum und Uhrzeit des Zugriffs

  • Browser und Betriebssystem

  • Referrer-Informationen

  • Geräte- und Systemmetadaten

Rechtsgrundlage: legitime Interessen.

8. Cookies und Tracking

Wir verwenden derzeit:

  • keine Cookies, die eine Einwilligung erfordern,

  • keine Analyse- oder Tracking-Tools,

  • nur technisch notwendige Verarbeitung, um die Website zu betreiben.

9. Formulare (Kontakt, Onboarding)

Bei der Einreichung von Formularen verarbeiten wir:

  • Identitäts- und Kontaktdaten

  • informationen zum Onboarding

  • technische Metadaten

Zweck: Kommunikation, Onboarding, Beantwortung von Anfragen.
Rechtsgrundlagen: Vertrag, legitimes Interesse.

Formulare werden über einen externen Dienstleister verarbeitet, der als Auftragsverarbeiter fungiert.

10. Benutzerkonten

Um auf bestimmte Funktionen zuzugreifen, können Sie ein Benutzerkonto erstellen.

Verarbeitete Daten umfassen:

  • Name

  • E-Mail-Adresse

  • Unternehmenszugehörigkeit (sofern zutreffend)

  • Anmeldedaten (verschlüsseltes Passwort)

  • Onboarding-Details

  • Nutzungsdaten im Zusammenhang mit der Kontotätigkeit

Zwecke umfassen:

  • Authentifizierung und Anmeldung

  • Verwaltung von Rollen und Zugriffsrechten

  • Erbringung vertraglicher Dienstleistungen

  • Unterstützung beim Onboarding und der Konfiguration

  • Kommunikation über das Konto

Rechtsgrundlage: vertragsrechtliche Notwendigkeit.

11. Abonnements & Zahlungen (Stripe)

Zahlungen werden über:

Stripe Payments Europe Ltd., Dublin, Irland

Stripe verarbeitet:

  • Zahlungsinformationen

  • technische Identifizierer

  • IP-Adressen

Stripe fungiert als unabhängiger Verantwortlicher.
Rechtsgrundlage: vertragliche Notwendigkeit.

12. CRM- & Kommunikationssystem (anonymisiert)

Wir verwenden eine professionelle CRM- und Kommunikationsplattform für:

  • Kundenmanagement

  • E-Mail-, SMS- und WhatsApp-Kommunikation

  • Terminplanung

  • Formularverarbeitung

  • interne Automatisierungen

  • Verarbeitung eingehender Anrufe (einschließlich KI-unterstützter Funktionen)

Datenkategorien:

  • Identitäts- und Kontaktdaten

  • Kommunikationsdaten

  • Interaktionsdaten

  • Vertrags- und Nutzungsdaten

Rechtsgrundlagen:

  • vertragsrechtliche Notwendigkeit

  • legitime Interessen

  • Einwilligung (für optionale Marketingmaßnahmen, aktuell nicht genutzt)

Der Anbieter fungiert als Auftragsverarbeiter.
Internationale Übertragungen (einschließlich USA) werden durch Standardvertragsklauseln (SCC) abgesichert.

12.1 Kommunikation mit den Endkunden der Kunden

Wenn Geschäftskunden die Plattform nutzen, um mit ihren eigenen Kunden oder Interessenten über Messaging-Kanäle wie WhatsApp zu kommunizieren, stellt Yumi nur die technische Infrastruktur bereit.

In diesen Szenarien verarbeitet Yumi personenbezogene Daten ausschließlich als Auftragsverarbeiter im Auftrag des Geschäftskunden.

Der Geschäftskunde bleibt der Verantwortliche und ist verantwortlich für:

·       das Einholen und Dokumentieren gültiger Opt-ins oder anderer rechtlicher Grundlagen,

·       die Einhaltung der geltenden Werbe-, Verbraucher- und Telekommunikationsgesetze,

·       den Inhalt, das Timing und die Empfänger der Kommunikation.

Yumi entscheidet nicht unabhängig über Kommunikationszwecke, Zielgruppen oder Inhalte der Nachrichten.

13. WhatsApp Business API (Meta)

Wenn Sie uns über WhatsApp kontaktieren, verarbeiten wir:

  • Telefonnummer

  • Nachrichteninhalt

  • Kommunikationszeitstempel

Anbieter: Meta Platforms Ireland Ltd.
Daten können gemäß SCC in die USA übertragen werden.

Rechtsgrundlagen: vertragliche Notwendigkeit, legitime Interessen und—wo erforderlich—Einwilligung, insbesondere für Marketing-, Werbe-, newsletterähnliche oder proaktive WhatsApp-Nachrichten.

13.1 WhatsApp Opt-in und Einwilligungsüberprüfung

WhatsApp-Kommunikation für Marketing-, Werbe-, newsletterähnliche oder proaktive Nachrichtenzwecke erfolgt nur, wenn eine vorherige, ausdrückliche und überprüfbare Einwilligung des Betroffenen eingeholt wurde, oder wenn die Nachrichten strikt notwendig sind, um einen angeforderten Service bereitzustellen (z. B. transaktionale/Dienstnachrichten), wie von den geltenden Gesetzen erlaubt.

Die Einwilligung kann je nach Nutzungsszenario durch Folgendes eingeholt werden:

·       Der Betroffene initiiert aktiv die Kommunikation über WhatsApp (z. B. Übersendung der ersten Nachricht oder des Schlüsselworts),

·       ein ausdrückliches Opt-in außerhalb von WhatsApp (z. B. ein Kontrollkästchen oder ein Formular, das eindeutig auf die WhatsApp-Kommunikation verweist),

·       oder ein Bestätigungsschritt innerhalb von WhatsApp (z. B. Antwort „JA“ oder Bestätigung eines Codes), wenn dies zu Verifizierungszwecken verwendet wird.

Um die Einwilligung zu dokumentieren, kann Yumi einwilligungsbezogene Metadaten verarbeiten und speichern, einschließlich:

·       Telefonnummer,

·       Datum und Uhrzeit des Opt-ins und (sofern zutreffend) der Bestätigung,

·       Quelle des Opt-ins (z. B. Formular, QR-Code, Chatinitiierung),

·       Version und Sprache des Einwilligungstextes,

·       Opt-out oder Stop-Events.

Die rechtliche Grundlage für eine solche Verarbeitung ist Einwilligung (Art. 6(1)(a) DSGVO oder äquivalente internationale Bestimmungen). Die Einwilligung kann jederzeit mit zukünftiger Wirkung widerrufen werden (z. B. durch das Senden von „STOP“).

14. Sprach-KI für eingehende Anrufe

Wir verwenden ein automatisiertes Telefonsystem (Sprach-KI), um eingehende Anrufe zu bearbeiten. Während eines Anrufs wird das gesprochene Audio in Echtzeit verarbeitet, um die Anfrage zu verstehen und zu bearbeiten. Wir zeichnen Anrufe nicht auf und speichern keine Audiofiles, und wir erstellen keine wörtlichen Transkripte.

Verarbeitet werden können:

·       Telefonnummer des Anrufers

·       Anrufmetadaten (z. B. Datum/Uhrzeit, Dauer, Routing/Transfer-Ereignisse)

·       Gesprächsnotizen / Ergebnismitteilungen (z. B. Terminanfrage, gewünschter Zeitraum, Thema der Anfrage, Rückrufbitte, Buchungsstatus)

Zwecke: Bearbeitung eingehender Anrufe, Terminplanung, Beantwortung von Anfragen, Routing/Eskalation zu unserem Team und Gewährleistung der Sicherheit und Stabilität unserer Telefonsysteme.

Rechtsgrundlagen: vertragliche Notwendigkeit und legitime Interessen (Effizienz des Kundenservices und zuverlässige Abläufe).

Aufbewahrung: Anrufbezogene Notizen/Ergebnismitteilungen werden nur so lange gespeichert, wie es für die oben genannten Zwecke notwendig ist und gemäß den in Abschnitt 19 beschriebenen Aufbewahrungsfristen.

Wenn Sie einen Dienstleister/Unterauftragsverarbeiter nennen, fügen Sie einen Satz hinzu:
„Dienstleister, die solche Daten verarbeiten, fungieren als Auftragsverarbeiter gemäß geltendem Recht; internationale Übertragungen, sofern zutreffend, werden in Abschnitt 18 behandelt.“

15. Interne Prozessautomatisierung

Wir verwenden eine Automatisierungsplattform, um interne Arbeitsabläufe zu unterstützen.
Es werden nur die für jeden Prozess erforderlichen Daten übertragen.

Rechtsgrundlage: Vertrag, legitime Interessen.

16. Mitarbeiterkonten (B2B-Kunden)

Geschäftskunden können Mitarbeiterkonten erstellen.

Verarbeitete Daten:

  • Name

  • E-Mail-Adresse

  • Zugewiesene Rolle

  • Nutzungsdaten

Rechtsgrundlage: vertragliche Notwendigkeit.

17. Obligatorische Datenbereitstellung

Bestimmte Daten sind erforderlich, um spezifische Dienstleistungen zu nutzen (z. B. Kontoerstellung, Abrechnung).
Ohne diese Daten können einige Funktionen nicht bereitgestellt werden.

18. Internationale Datenübertragungen

Bei der Nutzung externer Auftragsverarbeiter oder Kommunikationsdienste können Daten in Länder außerhalb Ihrer Zuständigkeit, einschließlich der Vereinigten Staaten, übertragen werden.

Wir verwenden:

  • Standardvertragsklauseln (SCC)

  • zusätzliche organisatorische und technische Sicherheitsvorkehrungen

um ein angemessenes Schutzniveau sicherzustellen.

19. Datenaufbewahrung

Wir bewahren personenbezogene Daten nur so lange auf, wie es für die beschriebenen Zwecke notwendig ist oder gesetzlich vorgeschrieben ist.
Typische Aufbewahrungsfristen:

  • vertragliche und Abrechnungsdaten: 6–10 Jahre

  • kontoabhängige Daten: bis zur Löschung

  • Kommunikations- und Unterstützungsdaten: basierend auf Notwendigkeit

20. Ihre Rechte

Je nach Ihrem Standort haben Sie möglicherweise Rechte, einschließlich:

  • Recht auf Zugang

  • Recht auf Berichtigung

  • Recht auf Löschung

  • Recht auf Einschränkung der Verarbeitung

  • Recht auf Datenübertragbarkeit

  • Recht auf Widerspruch

  • Recht auf Widerruf der Einwilligung

  • Recht auf Beschwerde bei einer Behörde

Zusätzliche Rechte für kalifornische Bewohner (CCPA/CPRA):

  • Recht auf Wissen

  • Recht auf Löschung

  • Recht auf Berichtigung

  • Recht auf Widerspruch gegen den Verkauf oder das Teilen personenbezogener Informationen (nicht zutreffend; wir verkaufen oder teilen keine personenbezogenen Informationen, wie sie unter dem CCPA/CPRA definiert sind) Wir nutzen keine automatisierten Entscheidungsfindungen oder Profilierungen.

Wir verkaufen oder „teilen“ keine personenbezogenen Informationen, wie diese Begriffe im CCPA/CPRA definiert sind, einschließlich für kontextübergreifende Verhaltenswerbung.

Wenn Yumi Ihre personenbezogenen Daten als Auftragsverarbeiter im Auftrag eines Geschäftskunden verarbeitet, sollten Anfragen zur Ausübung Ihrer Rechte in der Regel an diesen Geschäftskunden als Verantwortlichen gerichtet werden. Yumi wird den Verantwortlichen unterstützen, wie es das geltende Recht und unsere vertraglichen Vereinbarungen erfordern.

Sie können die Einwilligung jederzeit widerrufen, z. B. durch das Senden von „STOP“ (oder einer entsprechenden Opt-out-Nachricht).

21. Sicherheitsmaßnahmen

Wir implementieren technische und organisatorische Maßnahmen wie:

  • SSL/TLS-Verschlüsselung

  • Zugangskontrollen

  • Firewalls und Überwachung

  • kontinuierliche Systemaktualisierungen

  • gesicherte Speicherumgebungen

22. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung aktualisieren, wenn sich gesetzliche, technische oder betriebliche Anforderungen ändern.

Updates können erfolgen aufgrund von:

  • neuen rechtlichen Anforderungen,

  • Einführung oder Modifizierung von Funktionen oder Dienstleistungen,

  • Anpassungen interner Prozesse,

  • Änderungen bei Dienstleistern oder internationalen Datenübertragungen.

Die neueste Version ist immer auf unserer Website verfügbar.
Wenn Änderungen Ihre Rechte erheblich betreffen, können wir zusätzlichen Hinweis geben (z. B. per E-Mail oder Plattformnachricht).
Die aktualisierte Version wird mit der Veröffentlichung wirksam.
Wo die Einwilligung die rechtliche Grundlage ist und der Zweck sich wesentlich ändert, werden wir eine erneute Einwilligung einholen, wo dies erforderlich ist.