Datenschutzerklärung

ULTIMATE KLOUD UNIPESSOAL LDA

NIPC: 519404670

Rua Dr. Francisco Sá Carneiro nº 371, Vila Nova de Paiva, Portugal

Datenschutzkontakt: dpo@dotgrey.co

Diese Erklärung gilt für dotgrey KI, verfügbar unter app.dotgrey.co, sowie für die CRM-, KI-Unterstützungs-, Kommunikations- und WhatsApp-Business-Funktionen für Autohäuser, die von ULTIMATE KLOUD UNIPESSOAL LDA betrieben werden.

Daten, die Sie direkt bereitstellen

• Identifikationsdaten wie Name, E-Mail und Telefonnummer
• Kontodaten einschließlich Zugangsdaten und Präferenzen
• Unternehmensdaten einschließlich Firmenname, NIPC und Adresse
• Kunden-, Lead-, Kontakt-, Fahrzeug-, Geschäfts- und Prozessdaten, die in die Plattform eingegeben werden
• Operative Kommunikation einschließlich Support, E-Mail, Inbox, WhatsApp, Notizen und Feedback
• Dokumente, Anhänge, Nachweise, Verträge und Fotos im Zusammenhang mit Vorgängen

Google- und Gmail-Daten

Wenn ein berechtigter Nutzer ein Gmail-Konto verbindet, verwendet ULTIMATE KLOUD UNIPESSOAL LDA Google OAuth und kann Gmail-Berechtigungen anfordern, um die verbundene E-Mail-Adresse zu identifizieren, eingehende Nachrichten und Metadaten für die dotgrey KI-Inbox zu lesen und Antworten vom verbundenen Konto zu senden, wenn der Nutzer oder ein genehmigter Workflow dies auswählt.

Gmail-Daten können die verbundene Kontoadresse, Nachrichten- und Thread-IDs, Header, Absender, Empfänger, Betreffzeilen, Nachrichtentexte, Zeitstempel, Labels und operative Metadaten enthalten. Wir nutzen diese Daten nur für sichtbare CRM-, Inbox-, Lead-Routing-, Support-, Filter-, genehmigte Automations- und E-Mail-Antwortfunktionen.

ULTIMATE KLOUD UNIPESSOAL LDA verkauft keine Google-Nutzerdaten, verwendet sie nicht für Werbung, nicht zur Bestimmung von Kredit- oder Finanzierungsfähigkeit und nutzt Gmail-Inhalte nicht zum Training allgemeiner KI-Modelle.

Nutzer können Gmail in den dotgrey KI-Einstellungen trennen und den Zugriff in den Google-Konto-Berechtigungen widerrufen. Löschanfragen können an privacy@dotgrey.co gesendet werden. Unsere Nutzung von Informationen aus Google APIs entspricht der Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen.

Automatisch erhobene Daten

• IP-Adresse und Geräteinformationen
• Browsertyp und Betriebssystem
• Navigationsdaten, besuchte Seiten und genutzte Funktionen
• Cookies und ähnliche Technologien gemäß unserem Cookie-Hinweis

KI-Gesprächsdaten

Wenn Sie KI-gestützte Funktionen nutzen, können wir Text, Anweisungen, operativen Kontext, Nutzungsmetadaten und in bestimmten Workflows Fahrzeugfotos verarbeiten, um die angeforderte Funktion, Audits, Sicherheit und operative Verbesserung bereitzustellen.

Soweit möglich wenden wir Minimierung, Pseudonymisierung, Tokenisierung, menschliche Validierung und Zweckbindung an. Sensible Dokumentenflüsse werden gegebenenfalls lokal verarbeitet oder manuell geprüft.

Daten Dritter, die von Geschäftskunden eingegeben werden

Wenn Sie die Plattform zur Verwaltung von Kunden, Leads, Lieferanten, Käufern, Verkäufern oder anderen Dritten nutzen, handeln Sie in der Regel als Verantwortlicher und wir als Auftragsverarbeiter zur Bereitstellung der Plattform. Sie sind verantwortlich für Rechtsgrundlage, Hinweise und erforderliche Berechtigungen.

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir können Informationen nur bei Bedarf weitergeben an:

• Infrastruktur-, Authentifizierungs-, Datenbank- und Speicheranbieter wie Cloud-Anbieter und Supabase
• Genehmigte KI-Anbieter wie OpenAI für spezifische Support-, Zusammenfassungs-, Generierungs-, Klassifizierungs- und Analysefunktionen
• Kommunikationsanbieter wie Resend, Meta WhatsApp und Twilio, wenn Sie diese Kanäle aktivieren
• Zahlungs- und Abrechnungsanbieter wie Stripe
• Zuständige Behörden, Berater und Prüfer, wenn gesetzlich erforderlich oder zur Rechtsverteidigung notwendig
• Von Ihnen aktivierte Partner oder Integrationen, nur gemäß Ihrer Konfiguration oder Autorisierung

Einige Anbieter können im Europäischen Wirtschaftsraum, im Vereinigten Königreich, in den USA oder anderen Ländern tätig sein. Bei Übermittlungen außerhalb des EWR wenden wir geeignete Garantien an und prüfen die Rechtsgrundlage der Übermittlung.

• Angemessenheitsbeschlüsse der Europäischen Kommission
• Von der EU genehmigte Standardvertragsklauseln
• Genehmigte Zertifizierungen oder Verhaltenskodizes

Für weitere Informationen zu Übermittlungen in Bezug auf Ihr Konto kontaktieren Sie privacy@dotgrey.co. Für betroffene Personen in der Schweiz wenden wir zusätzlich Grundsätze des nFADP/LPD an.

Nach der DSGVO können Sie folgende Rechte ausüben:

Zur Ausübung Ihrer Rechte nutzen Sie Datenschutzeinstellungen in Ihrem Konto oder kontaktieren Sie dpo@dotgrey.co. Wir antworten innerhalb von 30 Tagen gemäß DSGVO.

Wir setzen geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer Daten um:

• Verschlüsselung bei Übertragung und Speicherung
• Zwei-Faktor-Authentifizierung verfügbar
• Rollenbasierte Zugriffskontrolle
• Sicherheitsaudits, sichere Backups und Wiederherstellungspläne
• Datenschutzschulungen für Mitarbeitende
• Minimierung, Schwärzung oder Tokenisierung in ausgewählten KI-Flows
• Menschliche Prüfung und Audit-Trails für sensible Workflows

Wir nutzen KI-Systeme für Kundenunterstützung, Antwortvorschläge, Zusammenfassungen, operative Klassifizierung, strukturierte Extraktion, Produktivitätsunterstützung, unterstützte Fahrzeugbewertung und die Erstellung von Inhalten für Marketing, Verkauf und Kommunikation.

Diese Funktionen unterstützen menschliche Teams und ersetzen keine menschliche Prüfung, wenn Entscheidungen sensibel, vertraglich, finanziell oder rechtlich relevant sind. Nach Art. 22 DSGVO treffen wir keine ausschließlich automatisierten Entscheidungen mit rechtlichen oder ähnlich erheblichen Auswirkungen ohne anwendbare menschliche Aufsicht.

Finanzierungs-Autofill-Erweiterung

Die DotGrey Financing Autofill-Erweiterung hilft berechtigten Nutzern, Daten aus Finanzierungsanträgen von dotgrey KI in Formulare von Drittbankportalen zu übertragen. Sie sammelt keine Bankzugangsdaten, übermittelt keine finalen Formulare und läuft nur nach einer temporären Sitzung, die ein authentifizierter Nutzer erstellt.

Wenn eine Klassifizierung von Portal-Feldern erforderlich ist, kann die Anfrage Labels, Optionen, Platzhalter und visuellen Formularkontext enthalten. Wir senden keine Kundenwerte oder hochgeladenen Dokumente zur KI-Klassifizierung dieser Felder.

Unser Dienst richtet sich nicht an Minderjährige unter 18 Jahren. Wir erheben wissentlich keine Daten von Minderjährigen. Wenn Sie erfahren, dass ein Minderjähriger uns personenbezogene Daten bereitgestellt hat, kontaktieren Sie uns bitte sofort, damit wir diese löschen können.

Wir können diese Erklärung regelmäßig aktualisieren. Wesentliche Änderungen werden per E-Mail oder Plattformhinweis mitgeteilt. Die fortgesetzte Nutzung nach Veröffentlichung gilt als Zustimmung.

ULTIMATE KLOUD UNIPESSOAL LDA handelt als Verantwortlicher für Konto-, Abrechnungs-, Sicherheits-, eigenes Marketing-, Website-, Support-, einwilligungsbasierte Analytics- und Compliance-Daten. Es handelt als Auftragsverarbeiter, wenn es Endkunden-, Lead-, Verkäufer-, Käufer-, Mitarbeiter- oder Drittdaten verarbeitet, die Geschäftskunden zur Bereitstellung der Plattform eingeben.

Wenn wir als Auftragsverarbeiter handeln, verarbeiten wir Daten nach dokumentierten Kundenweisungen, sofern keine gesetzliche Pflicht entgegensteht. Der Kunde bleibt verantwortlich für Datenschutzhinweise an eigene Kontakte, Rechtsgrundlagen, Betroffenenanfragen und korrekte Konfiguration von Berechtigungen, Aufbewahrung und Integrationen.

Die Plattform ist nicht dafür ausgelegt, besondere Datenkategorien in großem Umfang, Strafdaten, Gesundheitsdaten, biometrische Daten zur eindeutigen Identifizierung oder Minderjährigendaten zu erheben. Lädt der Kunde solche Daten hoch, muss er spezifische Rechtsgrundlage, Minimierung, eingeschränkten Zugriff und geeignete Zusatzmaßnahmen sicherstellen.

Ausweisdokumente, Nachweise, Verträge, Auszüge, Fotos, Finanzdaten oder Kreditinformationen können sensible oder hochvertrauliche Daten enthalten. Der Kunde sollte nur erforderliche Daten hochladen und übermäßige Informationen soweit möglich schwärzen oder entfernen.

Wir können Anbieter für Hosting, Datenbank, Authentifizierung, Speicherung, E-Mail, Messaging, Zahlungen, Analytics, Monitoring, KI, Sicherheit, Support und Produktivität einsetzen. Wir verlangen von relevanten Anbietern angemessene technische und organisatorische Maßnahmen und risikogerechte vertragliche Beschränkungen.

Wenn ein Kunde eine Drittintegration aktiviert, kann dieser Dritte je nach Ablauf als unabhängiger Verantwortlicher, Auftragsverarbeiter des Kunden oder Unterauftragsverarbeiter von ULTIMATE KLOUD UNIPESSOAL LDA handeln. Der Kunde sollte auch deren Bedingungen und Richtlinien prüfen.

Wir können transaktionale, technische, Sicherheits-, Verwaltungs- und Supportkommunikation senden. Werbekommunikation von ULTIMATE KLOUD UNIPESSOAL LDA erfolgt nur bei geeigneter Rechtsgrundlage und kann über Abmeldelink oder direkten Kontakt abgelehnt werden.

Wenn Kunden die Plattform zur Kontaktaufnahme mit Dritten nutzen, ist der Kunde verantwortlich für Einwilligungen, Widersprüche, Sperrlisten, Opt-in-Nachweise, Inhalte, Zeitpunkte, Plattformregeln und anwendbare Direktmarketingpflichten.

Wir unterhalten Maßnahmen zur Verhinderung, Erkennung und Reaktion auf Sicherheitsvorfälle. Wenn ein Vorfall eine personenbezogene Datenverletzung darstellt und eine gesetzliche Meldepflicht besteht, benachrichtigen wir Kunden oder zuständige Behörden entsprechend Rolle, verfügbaren Informationen und gesetzlichen Fristen.

Backups, Logs und Sicherheitsaufzeichnungen können Daten nach operativer Löschung für begrenzte Zeit behalten, wenn dies für Wiederherstellung, Integrität, Betrugsprävention, Audit, Rechtsverteidigung oder Compliance erforderlich ist.

Wir können zusätzliche Informationen anfordern, um Identität, Befugnis oder Beziehung zu einer Organisation zu bestätigen, bevor wir auf Auskunfts-, Übertragbarkeits-, Berichtigungs-, Löschungs-, Widerspruchs- oder Einschränkungsanfragen antworten. Offensichtlich unbegründete, exzessive oder wiederholte Anfragen können abgelehnt oder berechnet werden, soweit gesetzlich zulässig.

Betrifft eine Anfrage Daten, die ein Geschäftskunde eingegeben hat, können wir sie an diesen Kunden verweisen oder die Antwort mit ihm koordinieren, da er regelmäßig der primäre Verantwortliche ist.

Bei Übermittlungen außerhalb des EWR nutzen wir anerkannte Mechanismen wie Angemessenheitsbeschlüsse, Standardvertragsklauseln, zusätzliche Maßnahmen, Anbieterbewertungen und risikogerechte Zugriffskontrollen.

Bestimmte Funktionen können blockiert, begrenzt oder menschlicher Prüfung unterworfen werden, wenn Anbieterunterlagen, Übermittlungsgrundlage, Region, Unterauftragsstatus oder Risikobewertung für den beabsichtigten Ablauf nicht geeignet sind.

Zum Schutz der Plattform können wir technische Signale, Nutzungsmuster, Logs, IP-Adressen, Gerätekennungen, Authentifizierungsversuche, Berechtigungsereignisse, Fehler, Aktions-Audit-Trails und Integrationsmetadaten verarbeiten.

Diese Verarbeitungen sind notwendig für Sicherheit, Betrugsprävention, Missbrauchsuntersuchung, Compliance, Rechtsverteidigung und Aufrechterhaltung der Serviceintegrität.

Für Datenschutzfragen oder zur Ausübung Ihrer Rechte kontaktieren Sie dpo@dotgrey.co.