Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist: OzDreamWalk – Oliver Bardenheier, Am Carlusbaum 10, 65812 Bad Soden, Deutschland.

Bei Fragen zum Datenschutz erreichst du uns unter info [at] ozdreamwalk [dot] com.

2. Hosting und Speicherung in der EU

Die Anwendung wird über Vercel bereitgestellt. Deine Inhalts- und Kontodaten (Konto, Meetings, Transkripte, Zusammenfassungen) liegen in einer eigenen, von uns selbst betriebenen und isolierten Datenbank-Infrastruktur (Supabase/PostgreSQL) auf Servern der IONOS SE in Deutschland.

Der Zugriff ist auf Datenbankebene pro Konto isoliert (Row Level Security): Kein Nutzer kann Daten eines anderen Nutzers einsehen.

3. Welche Daten wir verarbeiten

Kontodaten: E-Mail-Adresse, Anzeigename und – bei Anmeldung über Google oder Microsoft – die von dort übermittelten Profilangaben (Name, E-Mail, ggf. Profilbild).

Meeting-Daten: Aufzeichnung, Transkript, Teilnehmernamen, Redeanteile, Anwesenheit sowie von dir erzeugte KI-Zusammenfassungen.

Kalender-Daten (bei verbundenem Kalender): Termin-Basisdaten (Titel, Beginn, Meeting-Link) zur Steuerung des automatischen Bot-Beitritts. Teilnehmerlisten deiner Termine speichern wir nicht in unserer Datenbank.

Weitere Daten: optionales Profilbild, Empfehlungs-/Referral-Daten, optionale Webhook-Konfiguration sowie optionale eigene KI-Schlüssel (BYOK), die ausschließlich verschlüsselt gespeichert werden.

Technische Daten: Server-Logs sowie funktionsnotwendige Cookies (Anmelde-Session, Sprach- und Theme-Einstellung, Empfehlungs-Cookie).

4. Zwecke und Rechtsgrundlagen

Wir verarbeiten deine Daten zur Bereitstellung und Erfüllung des Dienstes (Art. 6 Abs. 1 lit. b DSGVO – Vertrag/Nutzungsverhältnis), zur Gewährleistung von Sicherheit und Betrieb (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse) sowie, soweit erforderlich, auf Grundlage deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

5. Aufnahme von Meetings — Informationen auch für Meeting-Teilnehmer

Wenn du ein Meeting aufnehmen lässt, tritt der Murmel-Bot dem Call als sichtbarer Teilnehmer bei, trägt einen erkennbaren Namen und weist im Kamerabild auf die Aufzeichnung hin (Consent-first). Der Gastgeber kann den Bot jederzeit aus dem Meeting entfernen; die automatische Aufnahme von Kalender-Terminen ist standardmäßig deaktiviert und muss aktiv eingeschaltet werden.

Von den Meeting-Teilnehmern werden verarbeitet: Stimme/Audio (plattformabhängig auch Video), Anzeigename, Redeanteile und Anwesenheitszeiten. Aus der Aufnahme entstehen ein Transkript und auf Wunsch KI-Zusammenfassungen; die Aufnahme-Mediendaten selbst werden nach der Transkription gelöscht (siehe Speicherdauer). Verarbeitung und Speicherung erfolgen in der EU.

Rollenverteilung: Für die Entscheidung über die Aufzeichnung und deren Inhalte ist der Nutzer/Gastgeber, der den Bot einsetzt, datenschutzrechtlich verantwortlich; Murmel verarbeitet diese Inhalte in seinem Auftrag. Als Nutzer bist du verpflichtet, die Teilnehmer vorab zu informieren und die erforderlichen Einwilligungen einzuholen bzw. eine andere Rechtsgrundlage sicherzustellen. Die heimliche Aufnahme des nicht öffentlich gesprochenen Worts ist in Deutschland strafbar (§ 201 StGB).

Wurdest du in einem Meeting aufgezeichnet, kannst du deine Betroffenenrechte (siehe unten) sowohl gegenüber dem Nutzer geltend machen, der den Bot eingesetzt hat, als auch jederzeit unter info [at] ozdreamwalk [dot] com.

6. Eingesetzte Dienste / Auftragsverarbeiter

Zur Erbringung des Dienstes setzen wir sorgfältig ausgewählte Dienstleister ein, die in unserem Auftrag verarbeiten:

Recall.ai Inc. (USA) – Beitritt des Bots, Aufzeichnung und Transkription der Meetings. Die Verarbeitung erfolgt in einem EU-Rechenzentrum (Region eu-central-1, Frankfurt am Main). Soweit daneben Übermittlungen in die USA stattfinden (z. B. administrative Zugriffe des Anbieters), sind diese durch EU-Standardvertragsklauseln abgesichert. Bei verbundenem Kalender verwahrt Recall.ai zudem das ausschließlich lesende Kalender-Zugriffstoken; Murmel selbst speichert dieses Token nicht.

IONOS SE (Deutschland) – Hosting der Datenbank-Server.

Vercel Inc. (USA) – Hosting und Auslieferung der Web-Anwendung. Übermittlungen in die USA sind durch EU-Standardvertragsklauseln bzw. das EU-US Data Privacy Framework abgesichert.

Anthropic PBC (USA) – Erstellung der KI-Zusammenfassungen (Standardmodell). Übermittelt wird ausschließlich der Transkript-Text; nach Angaben des Anbieters werden über die API übermittelte Daten nicht zum Training der KI-Modelle verwendet. Absicherung durch EU-Standardvertragsklauseln.

Google LLC bzw. Microsoft Corporation – sofern du dich darüber anmeldest oder deinen Google-Kalender verbindest (Kalenderzugriff ausschließlich lesend).

Hinterlegst du einen eigenen KI-Schlüssel (BYOK), wählst du den KI-Anbieter selbst; für diese Verarbeitung gelten die Bedingungen des von dir gewählten Anbieters.

7. Google-API-Dienste (Limited Use)

Die Nutzung der von Google-APIs erhaltenen Informationen durch Murmel richtet sich nach der Google API Services User Data Policy einschließlich der Limited-Use-Anforderungen.

Der Kalender-Zugriff umfasst ausschließlich den lesenden Scope „calendar.events.readonly“ (Termin-Basisdaten). Diese Daten werden ausschließlich zur Bereitstellung der Kalender-Funktion (automatischer Bot-Beitritt zu von dir ausgewählten Terminen) verwendet — nicht für Werbung und nicht zum Training von KI-Modellen.

Du kannst die Kalender-Verbindung in den Einstellungen jederzeit trennen. Die Google-Berechtigung selbst widerrufst du zusätzlich in deinen Google-Kontoeinstellungen.

• Google-Berechtigungen verwalten (myaccount.google.com/permissions)

8. Speicherdauer

Aufnahme-Mediendaten (Audio/Video) bei Recall.ai werden unmittelbar nach Übernahme des Transkripts gelöscht, spätestens automatisch nach 7 Tagen.

Transkripte, Zusammenfassungen und Kontodaten speichern wir, solange dein Konto besteht bzw. solange es für den jeweiligen Zweck erforderlich ist. Du kannst einzelne Meetings jederzeit selbst löschen; gesetzliche Aufbewahrungspflichten bleiben unberührt. Server-Logs werden nur kurzfristig zu Betriebs- und Sicherheitszwecken vorgehalten.

9. Datensicherheit

Alle Verbindungen sind TLS-verschlüsselt. Auf Datenbankebene erzwingt Row Level Security die Trennung pro Konto. Eigene KI-Schlüssel (BYOK) werden ausschließlich AES-256-verschlüsselt gespeichert und nie an den Browser übertragen. Eingehende und ausgehende Webhooks sind kryptografisch signiert.

10. Cookies

Wir verwenden ausschließlich funktionsnotwendige Cookies: die Anmelde-Session, die gewählte Sprache und das gewählte Design (hell/dunkel) sowie ein Empfehlungs-Cookie (mm_ref), das einen geteilten Werbe-Link 30 Tage festhält. Es findet kein Tracking zu Werbezwecken statt.

11. Deine Rechte

Du hast das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21 DSGVO). Eine erteilte Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung deiner Rechte genügt eine Nachricht an info [at] ozdreamwalk [dot] com.

12. Auftragsverarbeitung für Geschäftskunden

Setzt du Murmel im geschäftlichen Kontext ein, verarbeitet Murmel die Meeting-Inhalte als Auftragsverarbeiter für dich als Verantwortlichen. Den Abschluss eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO) bieten wir auf Anfrage an: info [at] ozdreamwalk [dot] com.

13. Beschwerderecht

Dir steht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat deines Aufenthaltsorts oder des mutmaßlichen Verstoßes.