Datenschutzerklärung

Stand: 26. April 2026

Wir erklären hier in einfacher Sprache, welche Daten Coolblack verarbeitet — und was wir nicht tun. Coolblack ist eine Hybrid-App: vieles passiert direkt auf Ihrem iPhone, einiges braucht unsere Server in Deutschland und ausgewählte Dienste in der EU. Wir versuchen, jeden Schritt offen zu zeigen.

1. Wer ist verantwortlich

Coolblack GmbH
Südfeldwiese 14
32107 Bad Salzuflen
Deutschland

Geschäftsführer: Dirk Nesner
E-Mail: info@coolblack.gmbh
Telefon: +49 (0) 5222 917 90 917

Bei Fragen zum Datenschutz schreiben Sie uns einfach an dieselbe E-Mail-Adresse.

2. Kein Konto, keine Werbe-IDs

Coolblack verlangt keine Registrierung, kein Passwort, keine E-Mail-Adresse. Nach dem Download ist die App sofort nutzbar.

Damit Ihr Guthaben (siehe §6) Ihrem iPhone zugeordnet werden kann, erzeugt die App eine zufällige Geräte-ID (UUID) und speichert sie im Schlüsselbund (Keychain) Ihres iPhones. Diese ID enthält keinen Namen und keinen Kontakt — sie identifiziert das Gerät, nicht Sie.

Wir nutzen keine Werbe-IDs, keine Analytics-SDKs (also kein Firebase, kein Adjust, kein Facebook-SDK) und keine Cookies auf der App-Seite. Diese Webseite verwendet keine Tracking-Cookies.

3. Was lokal auf Ihrem iPhone bleibt

Folgende Daten verlassen Ihr iPhone nicht:

• Ihre Agenten-Konfigurationen (Name, Begrüßung, Stimme, Modus)
• Ihre Wissensbasis (FAQ, Preise, importierte Webseiten-Inhalte)
• Gesprächsprotokolle (sofern Sie nicht aktiv den Upload aktivieren — siehe §5)
• SIP-Zugangsdaten zu Ihrem Telefonanbieter (im Keychain)
• Lokale Sprachmodelle (z. B. Qwen) und lokale Piper-Stimmen
• Zugriff auf Kontakte / Kalender / Erinnerungen — nur wenn Sie die jeweilige iOS-Berechtigung erteilen, und ausschließlich, um Termine oder Kontakte des aktuellen Anrufers anzulegen

Rechtsgrundlage für die lokale Verarbeitung: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

4. Spracherkennung (was Apple verarbeitet)

Coolblack nutzt für die Spracherkennung das Apple Speech Framework. Apple kann Audio-Ausschnitte zur Erkennung an seine eigenen Server übertragen — abhängig vom iPhone-Modell, der iOS-Version und der gewählten Sprache. Wir als Coolblack bekommen das Audio nicht und speichern es auch nicht.

Was an Apple geht, regelt Apples Datenschutzerklärung (apple.com/legal/privacy). Auf neueren iPhones (mit Apple-Intelligence-Fähigkeit) erfolgt die Erkennung in vielen Fällen direkt auf dem Gerät.

5. Was an unseren Server (app.coolblack.gmbh) übertragen wird

Unser Server steht in Deutschland und übernimmt nur das, was lokal nicht geht. Er ist kein Agenten-Gehirn — Prompts, Wissensbasis-Suche und Tool-Aufrufe laufen auf Ihrem iPhone.

An unseren Server gehen:

• Geräte-ID + Geräte-Geheimnis für die Authentifizierung am Server.
• Anrufnutzung (verbrauchte Minuten, Modus „online" / „offline" / „setup") — für die Guthabenabrechnung. Keine Inhalte.
• Käufe aus dem App Store (Transaktions-ID, Produkt-ID) — damit Ihr Guthaben aufgeladen werden kann.
• Push-Token Ihres iPhones + Anrufer-Telefonnummer bei eingehenden Anrufen — damit das iPhone aufwacht und CallKit den Anruf anzeigen kann (Apple Push Notification Service als Transport).
• Im Online-Modus: Gesprächstexte als Anfrage an unsere LLM- und TTS-Proxys — diese geben sie an Google bzw. Cartesia weiter (siehe §7). Wir speichern die Inhalte auf unserem Server nicht — sie passieren nur durch.
• Beim Setup-Wizard: Webseiten-URL Ihres Unternehmens, optional ergänzt um eine Google-Maps-URL — unser Server lädt diese Seiten und erstellt mit Google Vertex AI eine Wissensbasis-Zusammenfassung. Die Original-URL und das Ergebnis werden auf den Server-Logs nicht persistent gespeichert.
• Optional: Gesprächsprotokolle — nur wenn Sie das in den App-Einstellungen aktivieren. Standardmäßig ist dieser Upload aus (Datenschutz durch Voreinstellungen, Art. 25 DSGVO).

Was nicht an den Server geht: Audio-Streams, Ihre lokale Wissensbasis, Ihre Kontakte/Termine, Ihr SIP-Passwort (bei direkter SIP-Verbindung).

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für Server-Betrieb und Guthaben; berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für Sicherheits-Logs (max. 14 Tage); Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für den optionalen Transkript-Upload.

6. Guthaben und In-App-Käufe

Käufe laufen über Apple StoreKit 2. Wir bekommen keine Zahlungsdaten (Kreditkarte, IBAN, Name) — Apple übernimmt die Zahlungsabwicklung komplett.

Auf unserem Server speichern wir je Gerät:

• Anonyme Geräte-ID
• Aktuellen Guthabenstand
• Verbrauchsprotokoll (Datum, Minuten, Modus — keine Inhalte)
• Kaufbelege (Transaktions-ID, Produkt-ID)

7. Externe Dienstleister (Auftragsverarbeiter)

Im Online-Modus und beim Setup-Wizard binden wir folgende Dienste ein. Mit allen besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

7.1 Google Cloud / Vertex AI

• Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
• Zweck: KI-Antworten (LLM) und Webseiten-Zusammenfassungen
• Daten: Anrufinhalte (Text), Webseiten-Inhalte aus dem Setup
• Verarbeitungsort: ausschließlich in der EU (Region europe-west1, Belgien)
• Aufbewahrung: nach Google-Standard maximal 30 Tage; kein Training der KI-Modelle mit Ihren Daten
• AVV: Cloud Data Processing Addendum — cloud.google.com/terms/data-processing-addendum

7.2 Cartesia (Premium-Stimmen)

• Empfänger: Cartesia AI Inc., San Francisco, USA
• Zweck: Echtzeit-Sprachsynthese der Antwort
• Daten: nur der Antworttext (kein Audio des Anrufers)
• Drittland-Übermittlung: USA. Abgesichert durch EU-Standardvertragsklauseln (SCCs, Art. 46 DSGVO) und durch Cartesias Zertifizierung im EU-US Data Privacy Framework
• Aufbewahrung: vertraglich zugesicherte Zero Data Retention — Inhalte werden nach der Synthese sofort gelöscht; kein Training
• Datenschutzerklärung: cartesia.ai/privacy

7.3 Apple Push Notification Service

• Empfänger: Apple Inc.
• Zweck: das iPhone bei eingehenden Anrufen aufwecken (CallKit)
• Daten: anonymer Push-Token, Anrufer-Telefonnummer
• Datenschutzerklärung: apple.com/legal/privacy

7.4 Apple Speech Framework

• Empfänger: Apple Inc.
• Zweck: Spracherkennung (siehe §4)
• Daten: kurze Audioausschnitte zur Transkription

7.5 Eigene API-Keys (BYOK, optional)

Wenn Sie in den Einstellungen einen eigenen API-Key für OpenAI, Anthropic oder Cartesia hinterlegen, gehen Anfragen direkt an diese Anbieter. Ihr Key wird ausschließlich im Keychain Ihres iPhones gespeichert und niemals an unseren Server übertragen. Es gilt zusätzlich die Datenschutzerklärung des jeweiligen Anbieters.

7.6 Ihr SIP-Provider

Die eigentliche Telefonie-Verbindung (Audio-Stream) läuft direkt zwischen Ihrem iPhone und dem von Ihnen gewählten SIP-Provider (z. B. easybell, sipgate, Telekom). Wir sehen den Audio-Stream nicht. Die Datenschutzbedingungen Ihres SIP-Providers gelten zusätzlich.

7.7 Hetzner Online GmbH (Server-Hosting)

• Empfänger: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
• Zweck: Hosting unserer Server (`app.coolblack.gmbh`, `push.coolblack.gmbh`)
• Daten: alle Server-seitig verarbeiteten Daten gemäß §5
• Verarbeitungsort: Deutschland
• Vertrag: AVV nach Art. 28 DSGVO

8. Speicherdauer

• Lokal auf Ihrem iPhone: bis Sie die App löschen oder Daten manuell entfernen
• Server-Logs (Sicherheit): maximal 14 Tage
• Verarbeitung bei Vertex AI: nach Google-Standard maximal 30 Tage
• Verarbeitung bei Cartesia: keine Speicherung (Zero Retention)
• Guthaben- und Kaufdaten: für gesetzliche Aufbewahrungspflichten (HGB / AO) bis zu 10 Jahre, danach Löschung
• Optional hochgeladene Transkripte: bis zu Ihrem Widerruf, längstens 90 Tage
• SIP-Passwörter im Push-Gateway: nur im Arbeitsspeicher während der Registrierung; keine Speicherung auf Disk

9. Ihre Rechte

Nach DSGVO haben Sie das Recht auf:

• Auskunft (Art. 15) — welche Daten haben wir über Sie?
• Berichtigung (Art. 16) — falsche Daten korrigieren
• Löschung (Art. 17) — App löschen oder per Mail an info@coolblack.gmbh anfordern
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch (Art. 21)
• Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3) — z. B. für den Transkript-Upload, jederzeit in den App-Einstellungen oder per Mail

Sie können sich außerdem jederzeit bei einer Datenschutz-Aufsichtsbehörde beschweren — für uns zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (ldi.nrw.de).

10. Datensicherheit

• TLS-Verschlüsselung für alle Server-Verbindungen (Let's-Encrypt-Zertifikate)
• Authentifizierung über Pro-Geräte-Geheimnisse (im iOS-Keychain)
• API-Keys von Drittanbietern liegen nur auf unserem Server, nie in der App
• Server gehärtet (Firewall, automatische Sicherheitsupdates, fail2ban)
• Tägliche Backups, restriktive Datei-Berechtigungen

11. Änderungen dieser Erklärung

Wir passen diese Erklärung an, wenn sich die App oder unsere Dienstleister ändern. Die jeweils aktuelle Version steht unter app.coolblack.gmbh/datenschutz/. Wesentliche Änderungen kommunizieren wir per App-Hinweis.