SumiSumi
Kostenlos starten
Datenschutz

Deine Daten bleiben deine Daten.

Wir verarbeiten personenbezogene Daten ausschließlich zweckgebunden und ausschließlich in der EU. Diese Erklärung beschreibt, welche Daten wir verarbeiten, warum, auf welcher Rechtsgrundlage und welche Rechte dir zustehen.

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Datenverarbeitung auf dieser Website und in der Sumi-Anwendung ist:

Beau Vollertsen GbR
Gesellschafter: Stephan Beau, Nelson Vollertsen
Buschlück 1
24986 Mittelangeln
Deutschland
E-Mail: info@sumiki.de

Für Fragen zum Datenschutz erreichst du uns unter derselben Adresse bzw. per E-Mail an info@sumiki.de.

2. Begriffsbestimmungen

Diese Datenschutzerklärung verwendet die in Art. 4 DSGVO definierten Begriffe. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Verarbeitung meint jeden Vorgang im Zusammenhang mit personenbezogenen Daten — vom Erheben über das Speichern bis zur Löschung.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Basis der folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO — zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen (z. B. Registrierung, Nutzung des Dienstes).
  • Art. 6 Abs. 1 lit. c DSGVO — zur Erfüllung einer rechtlichen Verpflichtung (z. B. steuerliche Aufbewahrungspflichten).
  • Art. 6 Abs. 1 lit. f DSGVO — zur Wahrung unserer berechtigten Interessen (z. B. IT-Sicherheit, Missbrauchsabwehr, Fehleranalyse).
  • Art. 6 Abs. 1 lit. a DSGVO — auf Grundlage deiner ausdrücklichen Einwilligung, soweit eine solche erforderlich ist.
  • Art. 28 DSGVO — bei der Verarbeitung personenbezogener Daten, die du im Rahmen der Nutzung von Sumi einbringst (Meeting-Inhalte), auf Grundlage eines Auftragsverarbeitungsvertrags.

4. Bereitstellung der Website und Serverlogs

Beim Aufruf von sumiki.de erhebt unser Hosting-Anbieter aus technischen Gründen automatisch folgende Daten in Logfiles:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Statuscode
  • Übertragene Datenmenge
  • Referrer (die zuvor besuchte Seite)
  • User-Agent (Browser und Betriebssystem)

Zweck der Verarbeitung ist die Sicherstellung eines störungsfreien Betriebs, die Gewährleistung der IT-Sicherheit und die Abwehr von Angriffen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. IP-Adressen werden spätestens nach 14 Tagen gekürzt oder gelöscht, sofern keine Anhaltspunkte für einen Missbrauch vorliegen.

5. Registrierung und Nutzerkonto

Für die Nutzung der Sumi-Anwendung ist ein Nutzerkonto erforderlich. Bei der Registrierung verarbeiten wir:

  • Name
  • E-Mail-Adresse
  • Passwort (ausschließlich als bcrypt-Hash gespeichert)
  • Rollenzuordnung innerhalb einer Organisation
  • Zeitstempel von Registrierung, Login und letzter Aktivität

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Die Daten werden gelöscht, sobald das Konto beendet wird und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6. Verarbeitung von Meeting-Inhalten

Sumi verarbeitet Audio-Aufnahmen, Transkripte und daraus generierte Zusammenfassungen und Aufgabenlisten. Je nach Nutzung können dabei folgende Datenkategorien anfallen:

  • Audio-Aufnahmen aus Browser-Recording oder Meeting-Bot-Integrationen
  • Automatisch erzeugte Transkripte mit Sprecher-Zuordnung
  • Zusammenfassungen, Entscheidungsprotokolle und extrahierte Aufgaben
  • Zeitstempel, Meeting-Titel, Tags und manuell ergänzte Metadaten

Diese Verarbeitung erfolgt im Auftrag und nach Weisung der nutzenden Organisation auf Basis eines Vertrags zur Auftragsverarbeitung (siehe Abschnitt 10). Verantwortlicher für die Inhalte bleibt die Organisation, die Sumi einsetzt; wir handeln insoweit als Auftragsverarbeiter im Sinne des Art. 28 DSGVO.

7. Zwecke der Verarbeitung

  • Bereitstellung, Wartung und Weiterentwicklung der Sumi-Anwendung
  • Erstellung von Transkripten, Zusammenfassungen und Aufgabenlisten aus Meeting-Inhalten
  • Authentifizierung und Verwaltung von Nutzerkonten
  • Rechnungsstellung und vertragsbezogene Kommunikation
  • Support-Anfragen
  • Gewährleistung der IT-Sicherheit und Abwehr von Missbrauch
  • Erfüllung gesetzlicher Pflichten (z. B. steuer- und handelsrechtlicher Art)

8. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder wie es gesetzliche Aufbewahrungspflichten vorsehen.

  • Serverlogs: bis zu 14 Tage
  • Audio-Rohdaten: bis zu 7 Tage nach erfolgreicher Transkription, soweit der Kunde keine längere Aufbewahrung konfiguriert hat
  • Transkripte, Zusammenfassungen, Aufgabenlisten: solange das jeweilige Kundenkonto aktiv ist oder der Kunde die Daten selbst löscht; bei Kontolöschung vollständige Löschung innerhalb von 30 Tagen
  • Account- und Rechnungsdaten: für die Dauer der Geschäftsbeziehung; steuerlich relevante Unterlagen bis zu 10 Jahre nach § 147 AO
  • Support-Korrespondenz: bis zu 3 Jahre nach Abschluss des jeweiligen Vorgangs
  • Backup-Sicherungen: rollierend bis zu 30 Tage; gelöschte Datensätze werden mit dem nächsten Backup-Zyklus endgültig entfernt

9. Empfänger und Dienstleister

Personenbezogene Daten werden nur weitergegeben, wenn dies zur Erbringung des Dienstes erforderlich ist, eine gesetzliche Pflicht besteht oder du eingewilligt hast. Wir setzen sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter ein und schließen mit jedem einen Vertrag nach Art. 28 DSGVO. Soweit Daten in Drittländer außerhalb des EWR übermittelt werden, sichern wir dies über die Standardvertragsklauseln der EU-Kommission (SCC) ab und prüfen ergänzende Schutzmaßnahmen.

Eingesetzte Auftragsverarbeiter

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — Server-Hosting in Frankfurt am Main
  • Neon, Inc., USA — Managed Postgres-Datenbank (EU-Region Frankfurt), abgesichert via SCC
  • Deepgram, Inc., USA — Automatische Spracherkennung zur Erstellung von Transkripten, abgesichert via SCC
  • Anthropic PBC, USA — Large-Language-Modell-Inferenz (Claude) zur Erstellung von Zusammenfassungen und Aufgabenextraktion, abgesichert via SCC
  • Resend, Inc., USA — Versand transaktionaler E-Mails (Registrierung, Passwort-Reset), abgesichert via SCC
  • Recall.ai (Ponder Labs, Inc.), USA — Bot-Integration für Zoom, Microsoft Teams und Google Meet, abgesichert via SCC

Eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter stellen wir auf Anfrage zur Verfügung. Geschäftskunden informieren wir rechtzeitig über Änderungen dieser Liste, bevor neue Unterauftragsverarbeiter produktiv eingesetzt werden.

10. Auftragsverarbeitung (Art. 28 DSGVO)

Soweit ein Kunde Sumi geschäftlich einsetzt und dabei personenbezogene Daten Dritter (z. B. Meeting-Teilnehmerinnen und -Teilnehmer) verarbeiten lässt, handelt die Beau Vollertsen GbR als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Verantwortlicher im Sinne der DSGVO bleibt der Kunde.

Wir schließen mit jedem Kunden auf Anfrage einen schriftlichen Auftragsverarbeitungsvertrag (AVV) ab. Der AVV regelt Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der Daten, die Kategorien betroffener Personen sowie die technisch-organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO. Anfragen für einen AVV richtest du bitte an info@sumiki.de.

11. Datenübermittlung in Drittländer

Primäre Verarbeitung und Speicherung erfolgen innerhalb des EWR. Soweit wir Dienstleister mit Sitz in den USA einsetzen (siehe Abschnitt 9), stellen wir das Schutzniveau durch die EU-Standardvertragsklauseln sicher. Wir prüfen vor Einsatz, ob der Anbieter zusätzlich unter dem EU-US Data Privacy Framework zertifiziert ist, und treffen bei Bedarf ergänzende Maßnahmen wie Verschlüsselung und Pseudonymisierung. Eine Kopie der angewandten Garantien stellen wir auf Anfrage zur Verfügung.

12. Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Cookies und ähnliche Technologien ein:

  • Session-Cookie für die Authentifizierung eingeloggter Nutzerinnen und Nutzer (HTTP-Only, Secure, SameSite=Lax)
  • CSRF-Token als technische Absicherung von Formularen
  • Lokale Speicherung (localStorage) für Theme- und Sprach-Einstellungen der Website

Diese Speicherungen sind für den Betrieb der Seite und der Anwendung erforderlich; Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO. Einen Consent-Banner benötigen wir daher nicht. Wir setzen keine Tracking-, Analyse- oder Werbe-Cookies ein.

13. Externe Schriften und Ressourcen

Wir binden Schriften (Inter, Source Serif 4, JetBrains Mono) über next/font ein. Diese werden beim Build-Prozess heruntergeladen, self-hostet ausgeliefert und nicht zur Laufzeit von externen Servern nachgeladen. Es findet kein Datenaustausch mit Drittanbietern beim Aufruf der Website statt.

14. Automatisierte Entscheidungen und Profilbildung

Die Erstellung von Transkripten, Zusammenfassungen und Aufgabenvorschlägen erfolgt automatisiert mithilfe von KI-Systemen. Es handelt sich dabei jedoch nicht um eine ausschließlich automatisierte Entscheidung im Sinne des Art. 22 DSGVO mit rechtlicher Wirkung dir gegenüber. Die generierten Ergebnisse dienen als Vorschläge; eine Entscheidung (z. B. über die Übernahme einer Aufgabe) trifft stets ein Mensch.

15. Sicherheit der Verarbeitung

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um deine Daten vor Verlust, Missbrauch und unberechtigtem Zugriff zu schützen. Dazu gehören insbesondere:

  • TLS 1.3-Verschlüsselung für alle Verbindungen
  • AES-256-Verschlüsselung gespeicherter Audio-Dateien und Transkripte
  • Rollenbasierte Zugriffskontrollen mit Least-Privilege-Prinzip
  • Protokollierung sicherheitsrelevanter Zugriffe
  • Regelmäßige Updates und Sicherheitsüberprüfungen
  • Getrennte Umgebungen für Entwicklung und Produktion
  • Sensibilisierung und Verpflichtung aller Bearbeitenden auf Vertraulichkeit

16. Deine Rechte als betroffene Person

Nach der DSGVO stehen dir folgende Rechte zu:

  • Auskunft (Art. 15 DSGVO) — welche Daten wir über dich verarbeiten
  • Berichtigung (Art. 16 DSGVO) — unrichtige oder unvollständige Daten korrigieren
  • Löschung (Art. 17 DSGVO) — Entfernung personenbezogener Daten, soweit keine Aufbewahrungspflicht besteht
  • Einschränkung (Art. 18 DSGVO) — Verarbeitung für bestimmte Zwecke einschränken
  • Datenübertragbarkeit (Art. 20 DSGVO) — Export deiner Daten in einem gängigen, maschinenlesbaren Format
  • Widerspruch (Art. 21 DSGVO) — Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO) — jederzeit mit Wirkung für die Zukunft

Für die Ausübung dieser Rechte genügt eine formlose Nachricht an info@sumiki.de. Zur Identifikation behalten wir uns vor, ergänzende Nachweise zu verlangen, sofern Zweifel an der Identität der anfragenden Person bestehen.

17. Beschwerderecht bei der Aufsichtsbehörde

Unabhängig davon hast du das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für unseren Sitz ist zuständig:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98, 24103 Kiel
www.datenschutzzentrum.de

18. Schutz Minderjähriger

Sumi richtet sich ausschließlich an Personen, die das 16. Lebensjahr vollendet haben. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Sollten personenbezogene Daten Minderjähriger ohne Einwilligung der Erziehungsberechtigten an uns übermittelt werden, bitten wir um einen Hinweis an info@sumiki.de; wir löschen diese Daten dann umgehend.

19. Keine Pflicht zur Bereitstellung

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die für den Vertragsabschluss notwendigen Daten (insbesondere E-Mail-Adresse und Name) ist eine Registrierung und Nutzung der Sumi-Anwendung jedoch nicht möglich.

20. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich rechtliche Rahmenbedingungen oder unsere Verarbeitungsprozesse ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar. Wesentliche Änderungen kündigen wir Bestandskunden per E-Mail an.

21. Kontakt

Bei Fragen zu dieser Datenschutzerklärung oder zur Verarbeitung deiner personenbezogenen Daten wende dich bitte an info@sumiki.de.

Stand: April 2026