Dieses Verzeichnis wird gemäß Art. 30 Abs. 1 DSGVO geführt und dokumentiert alle Verarbeitungstätigkeiten, die im Rahmen des Dienstes "HeyAnnika" durch Nexum Systems als Verantwortlichen durchgeführt werden. HeyAnnika ist eine KI-gestützte Telefonassistentin für Immobilienmakler.
Stand: April 2026
1. Website-Betrieb
| Zweck | Bereitstellung der Website, Authentifizierung, Dashboard |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Betroffene Personen | Registrierte Makler |
| Datenkategorien | E-Mail-Adresse, Name, Büroname, Passwort-Hash (bcrypt), Session-Cookies |
| Empfänger | Hostinger (Hosting, EU) |
| Löschfrist | Bei Kontolöschung |
| TOMs | TLS-Verschlüsselung, bcrypt-Hashing, NextAuth Session-Cookies (SameSite=Lax) |
2. KI-Telefonassistenz (Kernprozess)
| Zweck | Entgegennahme und Verarbeitung eingehender Anrufe (Inbound) sowie Durchführung ausgehender Anrufe (Outbound) im Auftrag des Maklers |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für Transkription), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse für Rufnummernanzeige) |
| Betroffene Personen | Anrufer (Interessenten, Kunden des Maklers) |
| Datenkategorien | Telefonnummer, Sprachdaten (live, nicht gespeichert), Transkript, Name, Lead-Score, Zusammenfassung, Anrufaufnahme (nach Consent) |
| Empfänger | Deepgram (Speech-to-Text), OpenAI (LLM), ElevenLabs (Text-to-Speech), Twilio (Telefonie), LiveKit (Echtzeit-Kommunikation), Neon (Datenbank) |
| Löschfrist | Transkripte 6 Monate, Zusammenfassungen 12 Monate, Kontakte 18 Monate Inaktivität, Aufnahmen 6 Monate |
| TOMs | Consent-Abfrage vor Transkription, KI-Offenlegung (EU AI Act), automatisierte Löschung per Cron-Job, Zugriffskontrolle (Makler sieht nur eigene Daten) |
3. Zahlungsabwicklung
| Zweck | Abo-Verwaltung, Minutenabrechnung |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Betroffene Personen | Registrierte Makler |
| Datenkategorien | Stripe Customer-ID, Subscription-ID, Minutenverbrauch, Plan |
| Empfänger | Stripe (Zahlungsdienstleister) |
| Löschfrist | 10 Jahre (HGB § 257) |
| TOMs | Keine Speicherung von Kreditkartendaten, Stripe PCI DSS Level 1 |
4. Kalender-Integration
| Zweck | Terminbuchung im Auftrag des Maklers |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Maklers) |
| Betroffene Personen | Anrufer, Makler |
| Datenkategorien | OAuth-Tokens (AES-verschlüsselt), Termindaten |
| Empfänger | Google (Calendar API), Microsoft (Graph API) |
| Löschfrist | Bei Deaktivierung der Integration |
| TOMs | AES-Verschlüsselung der Tokens, Token-Refresh |
5. E-Mail-Versand
| Zweck | Exposé-Versand, Terminbestätigung |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung auf Anfrage des Anrufers) |
| Betroffene Personen | Anrufer |
| Datenkategorien | E-Mail-Adresse, Name |
| Empfänger | Resend (E-Mail-Dienstleister) |
| Löschfrist | Keine dauerhafte Speicherung bei Resend |
| TOMs | TLS-Verschlüsselung |
6. Error-Tracking und Monitoring
| Zweck | Fehlererkennung, Systemstabilität, Performance-Monitoring |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemstabilität und Fehlerbehebung) |
| Betroffene Personen | Makler (Nutzer), Anrufer (indirekt) |
| Datenkategorien | Fehlermeldungen, Stack-Traces, Request-Metadaten (keine Gesprächsinhalte oder personenbezogenen Transkripte) |
| Empfänger | Sentry (Functional Software Inc., USA/EU) — DPA und EU-SCCs |
| Löschfrist | 90 Tage (automatische Löschung bei Sentry) |
| TOMs | TLS-Verschlüsselung, keine Speicherung von Gesprächsinhalten in Error-Logs |
7. SMS-Versand
| Zweck | Versand von Anrufzusammenfassungen, Weiterleitungs-Kontext, Bestätigungen |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Betroffene Personen | Makler, Anrufer |
| Datenkategorien | Telefonnummer, SMS-Inhalt (Zusammenfassung, Kontext) |
| Empfänger | Twilio (SMS-Dienstleister) |
| Löschfrist | Keine dauerhafte Speicherung des SMS-Inhalts |
| TOMs | TLS-Verschlüsselung |
8. Webhook und Website-Widget
| Zweck | Empfang von Kontaktformular-Daten für automatische Rückrufe |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Betroffene Personen | Website-Besucher des Maklers |
| Datenkategorien | Telefonnummer, Name, E-Mail-Adresse (optional) |
| Empfänger | Neon (Datenbank), Twilio (für Rückruf) |
| Löschfrist | 18 Monate Inaktivität (als Kontakt gespeichert) |
| TOMs | API-Key-Authentifizierung, TLS-Verschlüsselung, Rate-Limiting |
9. CRM- und Portal-Integrationen
| Zweck | Synchronisation von Kontakt- und Objektdaten mit externen Systemen |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Maklers) |
| Betroffene Personen | Makler, Kontakte des Maklers |
| Datenkategorien | Kontaktdaten, Objektdaten, Sync-Status |
| Empfänger | CRM-Anbieter des Maklers, ImmobilienScout24 |
| Löschfrist | Bei Deaktivierung der Integration |
| TOMs | OAuth/API-Key-Authentifizierung, TLS-Verschlüsselung |
10. Team-Verwaltung
| Zweck | Einladung und Verwaltung von Teammitgliedern, Berechtigungssteuerung |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Betroffene Personen | Eingeladene Teammitglieder |
| Datenkategorien | E-Mail-Adresse, Name, Rolle, Berechtigungen, Einladungs-Token |
| Empfänger | Resend (E-Mail-Einladung), Neon (Datenbank) |
| Löschfrist | Bei Entfernung aus dem Team oder Kontolöschung |
| TOMs | Rollenbasierte Zugriffskontrolle (RBAC), Token-Ablauf nach 7 Tagen |
Hinweis zu automatisierter Entscheidungsfindung (Art. 22 DSGVO)
HeyAnnika erstellt nach jedem Gespräch ein automatisiertes Lead-Scoring (Bewertung 1–5). Dieses Scoring dient ausschließlich als Hilfsmittel für den Makler und entfaltet keine eigenständige rechtliche Wirkung gegenüber dem Anrufer. Die Entscheidung über die weitere Bearbeitung eines Leads trifft stets der Makler selbst. Art. 22 Abs. 1 DSGVO ist daher nicht anwendbar.
Verantwortlicher gemäß Art. 30 Abs. 1 DSGVO
Nexum Systems UG (haftungsbeschränkt)
E-Mail: info@nexumsystems.de