Datenschutzerklärung
Zuletzt aktualisiert: 27. März 2026
Diese Datenschutzerklärung erläutert, wie OpenCream SAS („OpenCream", „wir", „uns", „unser"), die unter dem Markennamen Corial tätig ist, Ihre personenbezogenen Daten erhebt, nutzt, speichert und schützt, wenn Sie unsere Website und Anwendung unter corial.app (die „Anwendung") sowie zugehörige Dienste (zusammenfassend die „Dienste") nutzen.
OpenCream SAS ist eine vereinfachte Aktiengesellschaft (société par actions simplifiée) mit Sitz in Frankreich. Die KI-Integration und -Durchführung innerhalb der Dienste wird von OpenCream SAS entwickelt und betrieben.
Wir sind dem Schutz Ihrer Privatsphäre und der Einhaltung der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO"), des französischen Datenschutzgesetzes (Loi n° 78-17 du 6 janvier 1978, in der jeweils geltenden Fassung) und der EU-KI-Verordnung (Verordnung (EU) 2024/1689) verpflichtet.
1. Verantwortlicher
Der Verantwortliche für Ihre personenbezogenen Daten ist:
OpenCream SAS
15 Avenue Marie-Amélie
60500 Chantilly
Frankreich
E-Mail: privacy@corial.app
Bei Fragen zu dieser Datenschutzerklärung, zu Ihren personenbezogenen Daten oder zur Ausübung Ihrer Datenschutzrechte wenden Sie sich bitte an unseren Datenschutzkontakt unter privacy@corial.app.
2. Welche personenbezogenen Daten wir erheben
2.1 Von Ihnen direkt bereitgestellte Daten
- Kontodaten: Name, E-Mail-Adresse, Unternehmensname, Berufsbezeichnung bei der Kontoerstellung oder der Anmeldung zur Warteliste.
- Kommunikationsdaten: E-Mail-Adresse und Nachrichteninhalt, wenn Sie uns kontaktieren.
- Zahlungsdaten: Rechnungsdaten, die über unseren Zahlungsanbieter verarbeitet werden. Wir speichern keine Kreditkartennummern auf unseren Servern.
2.2 Im Rahmen der Dienste erhobene Daten
Wenn Sie die Corial-Anwendung im Rahmen des Abonnements Ihrer Organisation nutzen, können folgende Daten verarbeitet werden:
- Kundenbeziehungsdaten: Namen von Kontakten, Unternehmensnamen, E-Mail-Adressen, Telefonnummern, Berufsbezeichnungen und Interaktionsaufzeichnungen, die Sie oder Ihre Organisation über Sprachnotizen, E-Mails, Dokumente oder direkte Eingabe in die Dienste einpflegen.
- Kommunikationsinhalte: E-Mails, Transkriptionen von Sprachnotizen, Besprechungsnotizen, Telegram-Nachrichten und andere Geschäftskommunikation, die Sie zur Verarbeitung an die Dienste übermitteln.
- KI-generierte Daten: Zusammenfassungen, Aufgaben, Beziehungseinblicke, Wettbewerbsinformationen und andere Ausgaben, die unsere KI-Systeme auf Basis der von Ihnen bereitgestellten Daten generieren.
2.3 Automatisch erhobene Daten
- Nutzungsdaten: Besuchte Seiten, genutzte Funktionen, Zeitstempel und Interaktionsmuster innerhalb der Anwendung.
- Technische Daten: IP-Adresse, Browsertyp, Gerätetyp, Betriebssystem und verweisende URL.
- Cookies: Wir verwenden unbedingt erforderliche Cookies für Authentifizierung und Sitzungsverwaltung sowie PostHog für Produktanalysen (EU-gehostet). Siehe Abschnitt 7 für Details.
3. Wie wir Ihre personenbezogenen Daten verwenden
Wir verarbeiten Ihre personenbezogenen Daten für folgende Zwecke und Rechtsgrundlagen:
| Zweck | Rechtsgrundlage (DSGVO Art. 6) |
|---|---|
| Bereitstellung und Betrieb der Dienste | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Verarbeitung von Sprachnotizen, E-Mails und Dokumenten durch KI-Systeme | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Versand transaktionaler E-Mails (Passwort-Reset, Kontobenachrichtigungen) | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Versand von Marketingkommunikation (Newsletter, Produktaktualisierungen) | Einwilligung (Art. 6 Abs. 1 lit. a) |
| Wartelisten-Verwaltung und Kommunikation zum Früh-Zugang | Einwilligung (Art. 6 Abs. 1 lit. a) |
| Verbesserung der Dienste und Fehlerbehebung | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
| Einhaltung gesetzlicher Pflichten (inkl. Steuer und Buchhaltung) | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) |
| Rechnungsstellung und Abrechnung | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Gewährleistung der Sicherheit der Dienste | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
Interessenabwägung: Wenn wir uns auf berechtigte Interessen als Rechtsgrundlage stützen, haben wir eine Abwägungsprüfung durchgeführt. Unsere berechtigten Interessen an der Verbesserung von Qualität, Sicherheit und Benutzerfreundlichkeit der Dienste überwiegen Ihre Rechte nicht, da diese Verarbeitung aggregierte Nutzungsmuster und technische Daten betrifft — keine individuelle Profilbildung. Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen, indem Sie uns unter privacy@corial.app kontaktieren (siehe Abschnitt 9).
4. KI-Verarbeitung und Datenhandhabung
Corial nutzt KI-Systeme zur Verarbeitung von Geschäftskommunikation und zur Extraktion strukturierter Daten. Gemäß der EU-KI-Verordnung (Verordnung (EU) 2024/1689) informieren wir Sie darüber, dass die Dienste KI-Systeme zur Verarbeitung von Daten und zur Generierung von Inhalten verwenden, einschließlich Zusammenfassungen, Aufgaben, E-Mail-Entwürfen und Beziehungseinblicken. Alle KI-generierten Ausgaben werden innerhalb der Anwendung als solche gekennzeichnet.
Diese Verarbeitung ist integraler Bestandteil der Dienste und funktioniert wie folgt:
- Sprachnotizen und Audiodateien: Über die Dienste eingereichte Audioaufnahmen werden transkribiert und von unseren KI-Systemen verarbeitet, um relevante Geschäftsdaten zu extrahieren. Audiodateien werden nach der Transkription gelöscht.
- E-Mails und Dokumente: Wenn Sie E-Mails weiterleiten oder Dokumente in die Dienste hochladen, extrahieren unsere KI-Systeme relevante Geschäftsinformationen. Der Originalinhalt wird im Mandantenbereich Ihrer Organisation gespeichert.
- Telegram-Nachrichten: Wenn Sie über Telegram mit den Diensten interagieren, werden Ihre Nachrichten (einschließlich Sprachnotizen) von unseren KI-Systemen verarbeitet. Nachrichten werden über die Infrastruktur von Telegram übertragen, bevor sie von unseren Diensten verarbeitet werden.
- KI-Modellanbieter: Wir nutzen KI-Dienste von Drittanbietern zur Verarbeitung Ihrer Daten, wie in Abschnitt 6 aufgeführt. An diese Anbieter übermittelte Daten werden ausschließlich zur Generierung von Antworten auf unsere API-Anfragen verwendet und nicht zum Training ihrer Modelle genutzt. Wir unterhalten Auftragsverarbeitungsverträge mit allen KI-Anbietern.
- Datenanreicherung: Auf Ihren Wunsch hin führen wir webbasierte Recherchen und Anreicherungen zu Geschäftskontakten und Unternehmen durch, ausschließlich auf Basis öffentlich verfügbarer Informationen.
- Keine automatisierte Entscheidungsfindung: Die KI-Systeme generieren Vorschläge, Entwürfe und Zusammenfassungen. Es werden keine vollautomatisierten Entscheidungen mit rechtlichen oder erheblichen Auswirkungen ohne menschliche Überprüfung getroffen. Alle externen Kommunikationen (E-Mails, Nachrichten) erfordern eine ausdrückliche Genehmigung des Nutzers vor dem Versand.
Datenschutz-Folgenabschätzung: Wir haben gemäß DSGVO Art. 35 eine Datenschutz-Folgenabschätzung (DSFA) für unsere KI-Verarbeitungsaktivitäten durchgeführt, angesichts der Art und des Umfangs der verarbeiteten Daten. Diese Abschätzung steht Aufsichtsbehörden auf Anfrage zur Verfügung.
5. Mandantentrennung
Corial ist eine mandantenfähige Plattform. Die Daten jeder abonnierenden Organisation („Mandant") sind logisch isoliert und für andere Organisationen nicht zugänglich. Plattformadministratoren (OpenCream-Mitarbeiter) dürfen auf Mandantendaten ausschließlich zum Zweck des technischen Supports zugreifen, mit entsprechender Protokollierung und Prüfnachweisen.
6. Datenweitergabe und Auftragsverarbeiter
Wir geben personenbezogene Daten an folgende Auftragsverarbeiter weiter, ausschließlich für die beschriebenen Zwecke. Wir unterhalten Auftragsverarbeitungsverträge mit jedem Auftragsverarbeiter.
| Auftragsverarbeiter | Land | Zweck |
|---|---|---|
| Anthropic, Inc. | Vereinigte Staaten | KI-Verarbeitung von Kommunikation |
| Google LLC | Vereinigte Staaten | KI-Verarbeitung von Kommunikation; E-Mail-Integration über Google Workspace |
| Deepgram, Inc. | Vereinigte Staaten | Transkription von Sprachnotizen und Audiodateien |
| Resend, Inc. | Vereinigte Staaten | Versand transaktionaler E-Mails (Passwort-Reset, Kontobenachrichtigungen) |
| Bright Data Ltd. | Israel | Webbasierte Anreicherung von Unternehmensdaten |
| Hetzner Online GmbH | Deutschland | Infrastruktur-Hosting |
| Telegram FZ-LLC | Vereinigte Arabische Emirate | Messaging-Schnittstelle (wenn vom Mandanten genutzt) |
| PostHog, Inc. | Irland (EU) | Produktanalysen |
Eine aktuelle Liste unserer Auftragsverarbeiter wird unter corial.app/de/legal/subprocessors gepflegt. Wir informieren Mandanten mindestens 30 Tage im Voraus über Änderungen an unserer Auftragsverarbeiterliste und geben Gelegenheit zum Widerspruch.
E-Mail-Versand: Die Dienste können E-Mails in Ihrem Namen über die eigene E-Mail-Infrastruktur Ihrer Organisation versenden (SMTP über Gmail, Google Workspace oder Microsoft 365). Für systemgenerierte transaktionale E-Mails (wie Passwort-Reset und Kontobenachrichtigungen) nutzen wir Resend, Inc. als E-Mail-Versanddienstleister.
Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte. Wir geben Ihre Daten nicht an Werbetreibende weiter.
7. Cookies
Die Anwendung verwendet Cookies für:
- Unbedingt erforderliche Cookies: Authentifizierung, Sitzungsverwaltung und Sicherheit (CSRF-Schutz)
- Analyse-Cookies: PostHog (EU-gehostet) verwendet Cookies zur Erhebung anonymisierter Produktnutzungsdaten, um uns bei der Verbesserung der Dienste zu helfen. Diese Cookies verfolgen Sie nicht über andere Websites hinweg.
Wir verwenden keine Werbe-Cookies, Tracking-Pixel oder Social-Media-Cookies.
8. Datenspeicherung
- Kontodaten: Für die Dauer Ihres Kontos oder des Abonnements Ihrer Organisation, zuzüglich 30 Tagen nach Kontolöschung.
- Kundenbeziehungsdaten innerhalb der Anwendung: Für die Dauer des Mandantenabonnements. Nach Kündigung des Abonnements werden die Daten 30 Tage lang aufbewahrt, um einen Export zu ermöglichen, und danach dauerhaft gelöscht.
- Audiodateien: Werden sofort nach Abschluss der Transkription gelöscht. Es werden nur Texttranskriptionen aufbewahrt.
- Wartelistendaten: Bis wir Sie mit einem Zugang kontaktieren oder Sie die Löschung beantragen.
- Marketingkommunikation: Bis zur Abmeldung.
- Rechnungsdaten: Für den nach französischem Steuerrecht erforderlichen Zeitraum (10 Jahre).
- Server-Logs: 90 Tage.
- Prüfprotokolle: 3 Jahre für Sicherheits- und Compliance-Zwecke.
9. Ihre Rechte
Nach der DSGVO haben Sie folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15): Anforderung einer Kopie Ihrer personenbezogenen Daten.
- Recht auf Berichtigung (Art. 16): Anforderung der Korrektur unrichtiger Daten.
- Recht auf Löschung (Art. 17): Anforderung der Löschung Ihrer personenbezogenen Daten.
- Recht auf Einschränkung der Verarbeitung (Art. 18): Anforderung der Einschränkung der Verarbeitung.
- Recht auf Datenübertragbarkeit (Art. 20): Anforderung Ihrer Daten in einem strukturierten, maschinenlesbaren Format.
- Widerspruchsrecht (Art. 21): Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen, einschließlich der Verarbeitung zur Serviceverbesserung und Sicherheitsanalyse.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3): Widerruf der Einwilligung zur Marketingkommunikation jederzeit.
- Recht auf Nichtunterliegen automatisierter Entscheidungsfindung (Art. 22): Die Dienste treffen keine automatisierten Entscheidungen mit rechtlichen oder erheblichen Auswirkungen. KI-generierte Ausgaben werden als Vorschläge bereitgestellt, die einer menschlichen Überprüfung bedürfen.
Zur Ausübung dieser Rechte kontaktieren Sie uns unter privacy@corial.app. Wir bestätigen den Eingang und antworten innerhalb von 30 Tagen. Bei komplexen Anfragen kann diese Frist um bis zu 60 Tage verlängert werden, mit vorheriger Benachrichtigung.
Für Mandantennutzer: Wenn Sie die Dienste als autorisierter Nutzer einer Organisation (Mandant) nutzen, sollten bestimmte Rechte bezüglich Kundendaten an Ihre Organisation als Verantwortlichen gerichtet werden. Wir unterstützen Ihre Organisation bei der Bearbeitung solcher Anfragen.
Sie haben außerdem das Recht, eine Beschwerde bei der französischen Datenschutzbehörde einzureichen:
CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr
10. Internationale Datenübermittlungen
Ihre Daten werden vorrangig innerhalb der Europäischen Union gespeichert und verarbeitet (Deutschland, über Hetzner Online GmbH). Wenn Daten durch außerhalb der EU ansässige Dienstleister verarbeitet werden, stellen wir sicher, dass angemessene Schutzmaßnahmen getroffen sind:
| Anbieter | Land | Transfermechanismus |
|---|---|---|
| Anthropic, Inc. | Vereinigte Staaten | Standardvertragsklauseln (SCC), Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter) |
| Google LLC | Vereinigte Staaten | Standardvertragsklauseln (SCC), Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter) |
| Deepgram, Inc. | Vereinigte Staaten | Standardvertragsklauseln (SCC), Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter) |
| Resend, Inc. | Vereinigte Staaten | Standardvertragsklauseln (SCC), Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter) |
| Bright Data Ltd. | Israel | EU-Angemessenheitsbeschluss (Überprüfung ausstehend); SCC als ergänzende Schutzmaßnahme |
| Telegram FZ-LLC | Vereinigte Arabische Emirate | Standardvertragsklauseln (SCC), Modul 2 (Verantwortlicher zu Auftragsverarbeiter) |
Wir haben für jede Übermittlung in ein Land ohne EU-Angemessenheitsbeschluss eine Datentransfer-Folgenabschätzung (TIA) durchgeführt. Ergänzende Maßnahmen umfassen die Verschlüsselung von Daten bei der Übertragung und vertragliche Schutzmaßnahmen mit jedem Anbieter.
11. Meldung von Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten:
- Wir melden die Verletzung der CNIL innerhalb von 72 Stunden nach Bekanntwerden, wie von DSGVO Art. 33 gefordert, sofern die Verletzung nicht voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
- Führt die Verletzung voraussichtlich zu einem hohen Risiko für Ihre Rechte und Freiheiten, werden betroffene Personen unverzüglich benachrichtigt, wie von DSGVO Art. 34 gefordert.
- Betroffene Mandanten werden innerhalb von 48 Stunden nach Bekanntwerden der Verletzung informiert, um ihnen die Erfüllung eigener regulatorischer Verpflichtungen zu ermöglichen.
- Wir führen ein internes Verzeichnis aller Verletzungen, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen.
12. Sicherheit
Wir implementieren geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten, einschließlich Verschlüsselung bei der Übertragung, Zugriffskontrollen mit rollenbasierter Berechtigung, Prüfprotokollierung und regelmäßigen Sicherheitsüberprüfungen. Eine detaillierte Beschreibung unserer Sicherheitsmaßnahmen ist für Mandanten unter NDA auf Anfrage verfügbar.
13. Datenschutz von Kindern
Die Dienste richten sich nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Sollten wir feststellen, dass wir Daten von einem Kind erhoben haben, werden wir diese umgehend löschen.
14. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Über wesentliche Änderungen informieren wir Sie durch Veröffentlichung der aktualisierten Erklärung auf der Website und, wo angemessen, per E-Mail mindestens 15 Tage vor Inkrafttreten der Änderungen. Das Datum der „Letzten Aktualisierung" am Anfang dieser Erklärung gibt an, wann sie zuletzt überarbeitet wurde.
15. Kontakt
Bei Fragen zu dieser Datenschutzerklärung oder zur Ausübung Ihrer Datenschutzrechte:
OpenCream SAS
15 Avenue Marie-Amélie
60500 Chantilly, Frankreich
E-Mail: privacy@corial.app
Siehe auch: Nutzungsbedingungen · Auftragsverarbeitungsvertrag · Auftragsverarbeiterliste