Datenschutz
Datenschutzerklärung
Diese Erklärung beschreibt die Verarbeitung personenbezogener Daten beim Besuch unserer Website und bei der Nutzung der Desktop-Anwendung CC-AI einschließlich des Assistenten Lunar.
Stand: 10. Juli 2026
1. Verantwortlicher
C&C Snacks und GetränkeInhaber: Cem Zeytinözü
Königstraße 15
71139 Ehningen
Deutschland
E-Mail: kontakt@ccaiautomation.de
2. Geltungsbereich und Rollen
Diese Datenschutzerklärung gilt für die Website unter api.ccaiautomation.de, die CC-AI-Desktop-Anwendung, die zugehörigen Backend-Dienste und Lunar.
Soweit wir Daten von Interessenten, Kunden oder Nutzern für eigene Zwecke verarbeiten, sind wir Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO). Soweit Unternehmenskunden CC-AI zur Verarbeitung eigener Rechnungen, E-Mails, Bestellungen oder sonstiger Geschäftsdaten einsetzen und über Zweck und Mittel dieser Verarbeitung entscheiden, handeln wir grundsätzlich als Auftragsverarbeiter nach Art. 28 DSGVO. Die datenschutzrechtliche Verantwortlichkeit des Unternehmenskunden für die Rechtmäßigkeit der von ihm eingebrachten Daten bleibt unberührt.
Für eine produktive Verarbeitung personenbezogener Geschäftsdaten ist vorab zu prüfen, ob ein Vertrag zur Auftragsverarbeitung erforderlich ist. Diese Datenschutzerklärung ersetzt einen solchen Vertrag nicht.
3. Aufruf der Website und Server-Protokolle
Beim Aufruf der Website übermittelt Ihr Browser technisch notwendige Daten an unseren Server. Verarbeitet werden können insbesondere:
- IP-Adresse und Zeitpunkt des Abrufs,
- aufgerufene Adresse und übertragene Datenmenge,
- HTTP-Statuscode, Referrer und Browser-/Betriebssystemangaben,
- technische Fehler- und Sicherheitsinformationen.
Die Verarbeitung erfolgt zur sicheren und stabilen Bereitstellung der Website auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in Betriebssicherheit, Missbrauchserkennung und Fehleranalyse. Die Nginx-Protokolle werden täglich rotiert und grundsätzlich für höchstens 14 Rotationen vorgehalten. Bei einem konkreten Sicherheitsvorfall können betroffene Auszüge bis zur Klärung und Durchsetzung von Ansprüchen länger gespeichert werden.
Die Website setzt derzeit keine Analyse-, Werbe- oder Social-Media-Trackingdienste ein. Sie lädt keine externen Schriftarten. Für den reinen Besuch der Website werden durch uns keine nicht technisch erforderlichen Cookies gesetzt.
4. Hosting
Die Website und das CC-AI-Backend werden auf einem Server der IONOS SE in Deutschland beziehungsweise im Europäischen Wirtschaftsraum betrieben. Der Hosting-Anbieter verarbeitet technische Verbindungs- und Betriebsdaten, soweit dies zur Bereitstellung und Absicherung der Infrastruktur erforderlich ist. Die Einbindung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO und, soweit IONOS Daten in unserem Auftrag verarbeitet, auf Grundlage eines Vertrags nach Art. 28 DSGVO.
5. Kontaktaufnahme
Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir Absenderadresse, Nachrichteninhalt, Zeitpunkt und gegebenenfalls weitere von Ihnen übermittelte Angaben. Die Verarbeitung erfolgt zur Bearbeitung Ihrer Anfrage nach Art. 6 Abs. 1 lit. b DSGVO, soweit sie einen Vertrag oder vorvertragliche Maßnahmen betrifft, andernfalls aufgrund unseres berechtigten Interesses an der Beantwortung von Anfragen nach Art. 6 Abs. 1 lit. f DSGVO.
Kontaktanfragen löschen wir grundsätzlich, wenn die Bearbeitung abgeschlossen ist und keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen an einer weiteren Speicherung bestehen.
6. Nutzung von CC-AI und Lunar
Abhängig von den aktivierten Funktionen können folgende Datenarten verarbeitet werden:
- Unternehmens-, Benutzer-, Konfigurations- und Verbindungsdaten,
- Service- und OAuth-Token für verbundene Systeme,
- E-Mail-Metadaten und Rechnungsanhänge,
- Rechnungsdaten einschließlich Lieferanten, Rechnungsnummern, Beträgen, Steuersätzen und Einzelpositionen,
- Shop-, Produkt-, Varianten-, Bestands-, Bestell-, Umsatz- und Steuerdaten,
- Chatnachrichten, Gesprächskontext, bestätigte Nutzerpräferenzen und Aktionsprotokolle,
- Mikrofonaudio zur Transkription sowie Text zur Sprachausgabe,
- technische Diagnose-, Sicherheits-, Kosten- und Fehlerdaten.
Wir verarbeiten diese Daten zur Bereitstellung der gebuchten Funktionen, zur Ausführung ausdrücklich veranlasster Aktionen, zur Fehlerbehebung und zur Sicherheit. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für Vertragsdurchführung und vorvertragliche Maßnahmen sowie Art. 6 Abs. 1 lit. f DSGVO für sicheren Betrieb, Missbrauchsschutz und Fehleranalyse. Soweit wir Geschäftsdaten im Auftrag eines Unternehmenskunden verarbeiten, richtet sich die Rechtsgrundlage für die Verarbeitung betroffener Personen nach den Festlegungen des jeweiligen Unternehmenskunden.
7. Rechnungen, OCR und automatische Erfassung
Rechnungen können aus einem verbundenen E-Mail-Konto, einem ausgewählten Zeitraum oder durch manuellen Upload als PDF oder Bild verarbeitet werden. Dabei werden Dokumenttext, Rechnungsdatum, Lieferant, Nummer, Beträge, Steuersätze und Positionen extrahiert. Fotografierte Belege können hierfür per OCR analysiert werden.
Nicht eindeutige Dokumente, fehlende Rechnungsdaten, unklare Produktzuordnungen, Gebinde, Bundles oder Lagerorte werden zur manuellen Prüfung markiert. CC-AI soll keine Bestandsbuchung ausführen, wenn die Zuordnung oder Einheit nicht ausreichend sicher ist. Duplikatmerkmale und Verarbeitungsergebnisse werden gespeichert, um Mehrfachbuchungen zu verhindern.
8. Verbundene E-Mail-Dienste
Google Gmail
Bei Verbindung eines Gmail-Kontos nutzt CC-AI die Google-API mit dem konfigurierten, grundsätzlich lesenden Gmail-Zugriff. OAuth-Token und zur Rechnungsverarbeitung erforderliche E-Mail-/Anhangsdaten werden verarbeitet. Anbieter ist für Nutzer im EWR regelmäßig Google Ireland Limited. Es gelten ergänzend die Datenschutzbedingungen von Google und die vom Kunden erteilten OAuth-Berechtigungen.
Microsoft 365 / Outlook
Bei Verbindung eines Microsoft-Kontos greift CC-AI über Microsoft Graph auf die freigegebenen Nachrichten und Anhänge zu. Dabei werden OAuth-Token sowie erforderliche E-Mail- und Anhangsdaten verarbeitet. Anbieter ist regelmäßig Microsoft Ireland Operations Limited. Es gelten ergänzend die Datenschutzbedingungen von Microsoft und die erteilten Berechtigungen.
Die Nutzung dieser Integrationen ist freiwillig. Eine Verbindung kann in der Anwendung getrennt werden. Die Löschung beim jeweiligen Plattformanbieter richtet sich zusätzlich nach dessen Einstellungen und Aufbewahrungsregeln.
9. Shopify und weitere Verkaufsplattformen
Bei Verbindung eines Shopify-Shops verarbeitet CC-AI je nach freigegebenem Funktionsumfang Shop-Domain, OAuth-Token, Produkte, Varianten, SKUs, Barcodes, Preise, Lagerorte, Bestände, Bestellungen, Umsätze, Steuer- und Versandinformationen. Schreibzugriffe, etwa Preis- oder Bestandsänderungen, werden nur für die jeweils autorisierte Aktion verwendet und erfordern innerhalb von Lunar eine Bestätigung.
Anbieter für europäische Händler ist regelmäßig Shopify International Limited. Daten können nach den Bedingungen des Plattformanbieters auch außerhalb des EWR verarbeitet werden. Weitere Plattformen werden nur verarbeitet, wenn der Kunde sie ausdrücklich verbindet und die jeweilige Integration tatsächlich aktiviert ist.
10. KI-, Sprach- und Audioverarbeitung
OpenAI API
CC-AI verwendet die OpenAI API für Sprachverständnis, strukturierte Extraktion, OCR/Beleganalyse, Transkription und gegebenenfalls Sprachausgabe. Hierzu werden nur die für die jeweilige Aufgabe erforderlichen Texte, Bilder, Audiodaten und Kontextinformationen an OpenAI übermittelt. Für Kunden im EWR ist Vertragspartner regelmäßig OpenAI Ireland Limited. Nach dem Data Processing Addendum verarbeitet OpenAI API-Kundendaten als Auftragsverarbeiter; konzerninterne oder weitere Übermittlungen in Drittländer können auf Standardvertragsklauseln oder einem Angemessenheitsbeschluss beruhen.
Informationen: OpenAI Data Processing Addendum.
ElevenLabs (optionale Sprachausgabe)
Wenn die ElevenLabs-Sprachausgabe aktiviert ist, wird der auszugebende Antworttext an ElevenLabs übermittelt und dort in Audiodaten umgewandelt. Rechnungsdateien oder vollständige Produktdatenbanken werden für die reine Sprachausgabe nicht benötigt. Ist ElevenLabs nicht aktiviert, kann die konfigurierte OpenAI-Sprachausgabe verwendet werden.
Mikrofonaudio
Mikrofonaudio wird zur Wake-Word-/Spracherkennung und Transkription verarbeitet. Rohes Mikrofonaudio wird durch CC-AI nicht als Gesprächsarchiv gespeichert. Technische Diagnosewerte können ohne dauerhafte Rohaufnahme protokolliert werden. Die vom jeweiligen API-Anbieter durchgeführte Verarbeitung richtet sich ergänzend nach dem mit ihm vereinbarten Auftragsverarbeitungs- und Aufbewahrungsrahmen.
11. Gesprächsspeicher und Nutzerpräferenzen
Lunar kann Gesprächszusammenhänge, zuletzt ausgewählte Geschäftsentitäten, offene Aktionen sowie ausdrücklich bestätigte Aliase oder Nutzerpräferenzen speichern. Diese Daten dienen dazu, Folgefragen und spätere Bezüge zu verstehen. Vollständige Mikrofonaufnahmen werden hierfür nicht benötigt.
Gesprächs- und Profildaten werden pro Unternehmen und Benutzer getrennt gespeichert. Der Gesprächsspeicher kann über die dafür vorgesehene Funktion gelöscht werden. Sicherheits- oder Aktionsprotokolle können unabhängig davon aufbewahrt werden, soweit sie zur Nachvollziehbarkeit einer ausgeführten Geschäftsaktion erforderlich sind.
12. Mandantentrennung und Sicherheit
Neue Unternehmenskunden erhalten einen eigenen technischen Mandanten und einen eigenen Service-Token. Shopify-Tokens, Rechnungen, Uploads, Memory, Dialogzustände, Caches, Worker-Konfigurationen und Protokolle werden mandantenbezogen geführt. Übertragungen erfolgen verschlüsselt per TLS.
Wir setzen außerdem Zugriffsbeschränkungen, Bestätigungspflichten für kritische Schreibaktionen, Duplikatprüfungen, atomare Dateischreibvorgänge sowie technische Protokollierung ein. Kein technisches System kann absolute Sicherheit garantieren; Maßnahmen werden deshalb risikoorientiert überprüft und weiterentwickelt.
13. Empfänger und Kategorien von Auftragsverarbeitern
Je nach aktivierter Funktion können Daten an folgende Empfängerkategorien gelangen:
| Empfänger/Kategorie | Zweck | Betroffene Daten |
|---|---|---|
| Hostinganbieter (IONOS) | Server- und Websitebetrieb | Verbindungs-, Konto-, Anwendungs- und Geschäftsdaten |
| OpenAI Ireland Ltd. und Unterauftragsverarbeiter | KI, OCR, STT und gegebenenfalls TTS | Aufgabenbezogene Texte, Dokumentauszüge, Bilder, Audio und Kontext |
| ElevenLabs (optional) | Sprachausgabe | Auszugebender Antworttext |
| Google bzw. Microsoft (optional) | E-Mail-Verbindung | OAuth-, Nachrichten- und Anhangsdaten |
| Shopify und weitere aktivierte Plattformen | Shop-, Produkt-, Bestands- und Umsatzfunktionen | OAuth-, Produkt-, Bestands-, Bestell- und Steuerdaten |
| Berater, Behörden oder Rechtsdienstleister | Rechtspflichten und Anspruchsdurchsetzung | Nur erforderliche Einzelfalldaten |
Eine Weitergabe zu Werbezwecken oder ein Verkauf personenbezogener Daten findet nicht statt.
14. Drittlandübermittlungen
Einige aktivierte Anbieter oder deren Unterauftragsverarbeiter können Daten außerhalb der EU und des EWR, insbesondere in den USA, verarbeiten. Eine Übermittlung erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, etwa durch einen Angemessenheitsbeschluss, EU-Standardvertragsklauseln und erforderliche ergänzende Schutzmaßnahmen. Welche Anbieter betroffen sind, hängt von den vom Kunden aktivierten Integrationen ab.
15. Speicherdauer und Löschung
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck, die Vertragserfüllung, Sicherheit oder gesetzliche Pflichten erforderlich ist:
- Website-Serverlogs: grundsätzlich höchstens 14 tägliche Rotationen, soweit kein Sicherheitsfall eine längere Sicherung erfordert.
- Konten, Mandanten- und Konfigurationsdaten: für die Dauer des Vertrags und anschließend bis zur ordnungsgemäßen Abwicklung.
- Rechnungen, Exporte und steuerlich relevante Unterlagen: entsprechend der Konfiguration und den gesetzlichen Aufbewahrungspflichten des jeweiligen Unternehmenskunden.
- OAuth-Token: bis zur Trennung der Integration, Rotation, Löschung oder Vertragsbeendigung.
- Gesprächs-Memory und Präferenzen: bis zur Löschung durch den Nutzer, Wegfall des Zwecks oder Vertragsbeendigung.
- Aktions-, Sicherheits- und Fehlerprotokolle: solange sie für Nachweis, Systemsicherheit oder Anspruchsabwehr erforderlich sind.
Backups können aus technischen Gründen für einen begrenzten zusätzlichen Zeitraum fortbestehen und werden anschließend turnusmäßig überschrieben.
16. Automatisierte Entscheidungen
CC-AI verwendet automatische Erkennung und KI-gestützte Vorschläge. Es findet jedoch keine ausschließlich automatisierte Entscheidung mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne von Art. 22 DSGVO statt. Kritische Preis- und Bestandsänderungen benötigen eine Bestätigung. Unsichere Rechnungs- oder Produktzuordnungen sollen zur Prüfung vorgelegt werden.
17. Pflicht zur Bereitstellung
Für den bloßen Websitebesuch müssen Sie außer den technisch notwendigen Verbindungsdaten keine personenbezogenen Daten bereitstellen. Für die Nutzung von CC-AI sind bestimmte Vertrags-, Konfigurations- und Verbindungsdaten erforderlich. Ohne die jeweils benötigten Daten oder Plattformberechtigungen kann die betreffende Funktion nicht bereitgestellt werden.
18. Ihre Rechte
Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen insbesondere das Recht auf:
- Auskunft nach Art. 15 DSGVO,
- Berichtigung nach Art. 16 DSGVO,
- Löschung nach Art. 17 DSGVO,
- Einschränkung der Verarbeitung nach Art. 18 DSGVO,
- Datenübertragbarkeit nach Art. 20 DSGVO,
- Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO nach Art. 21 DSGVO,
- Widerruf einer Einwilligung mit Wirkung für die Zukunft nach Art. 7 Abs. 3 DSGVO.
Zur Ausübung Ihrer Rechte wenden Sie sich an kontakt@ccaiautomation.de. Betrifft die Anfrage Daten, die ein Unternehmenskunde als Verantwortlicher über CC-AI verarbeitet, kann die Bearbeitung gemeinsam mit diesem Kunden erfolgen.
19. Beschwerderecht
Sie haben nach Art. 77 DSGVO das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für unseren Sitz ist insbesondere zuständig:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Website: www.baden-wuerttemberg.datenschutz.de
20. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich Funktionen, Anbieter, Rechtslage oder Verarbeitungsvorgänge ändern. Die jeweils aktuelle Fassung ist auf dieser Website abrufbar. Wesentliche Änderungen, die bestehende Kunden betreffen, werden zusätzlich in geeigneter Form mitgeteilt.