Datenschutzerklärung – Helloha GmbH

Stand: 15.04.2026

1. Verantwortlicher

Helloha GmbH
Burgstallstraße 99
70199 Stuttgart
Deutschland

Telefon: +49 7195 5929-798
E-Mail: [email protected]

Weitere Informationen findest du in unserem Impressum: https://helloha.ai/impressum

Ein Datenschutzbeauftragter ist derzeit nicht benannt.

2. Allgemeine Hinweise

Der Schutz deiner personenbezogenen Daten ist uns wichtig. Mit dieser Datenschutzerklärung informieren wir dich darüber, welche personenbezogenen Daten wir verarbeiten, zu welchen Zwecken dies geschieht, auf welcher Rechtsgrundlage dies erfolgt, wie lange wir Daten speichern und welche Rechte dir zustehen.

Diese Datenschutzerklärung gilt:

• für den Besuch unserer Website,

• für Warteliste, Early Access, Demo- und Testkunden-Anfragen,

• für Kontaktaufnahmen mit uns,

• sowie für die Datenverarbeitung im Rahmen unserer Helloha-Dienstleistungen.

Helloha bietet Unternehmen – insbesondere Restaurants und Veranstaltungsorten – KI-gestützte Kommunikationslösungen als Dienstleistung an. Wir stellen dabei in der Regel kein klassisches Self-Service-Tool zur eigenständigen Bedienung bereit, sondern übernehmen Einrichtung, Konfiguration, Pflege und laufende Betreuung.

Teil A – Datenschutz auf unserer Website

3. Bereitstellung der Website

Beim Aufruf unserer Website werden technisch erforderliche Daten verarbeitet, damit die Website korrekt ausgeliefert, stabil betrieben und gegen Missbrauch abgesichert werden kann. Dabei können insbesondere folgende Daten verarbeitet werden:

• IP-Adresse

• Datum und Uhrzeit des Zugriffs

• aufgerufene URL

• Referrer-URL

• Browsertyp und Browserversion

• Betriebssystem

• Geräteinformationen

• User-Agent

• Protokoll- und Statusdaten

Die Verarbeitung erfolgt zur technischen Bereitstellung der Website, zur Gewährleistung von Stabilität und Sicherheit sowie zur Fehleranalyse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Berechtigtes Interesse: sicherer, stabiler und funktionsfähiger Betrieb unserer Website

Die Speicherung erfolgt nur so lange, wie dies für Betrieb, Sicherheit, Fehleranalyse und die Untersuchung möglicher Sicherheitsvorfälle erforderlich ist. Anschließend werden die Daten gelöscht oder anonymisiert.

4. Hosting, Website-Funktionen und CRM-Infrastruktur über HighLevel

Für die Bereitstellung unserer Website, Formulare, Automationen, Kontaktverwaltung und technischer Kommunikationsprozesse nutzen wir HighLevel als technischen Dienstleister.

Dabei kann HighLevel insbesondere folgende Daten in unserem Auftrag verarbeiten:

• technische Zugriffsdaten,

• Formular- und Kontaktdaten,

• Zeitstempel,

• Browser- und Geräteinformationen,

• Kommunikations- und Prozessdaten,

• sowie weitere Daten, die für Website- und Automationsfunktionen erforderlich sind.

Soweit HighLevel personenbezogene Daten in unserem Auftrag verarbeitet, erfolgt dies auf Grundlage eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO für den Website-Betrieb und technische Prozesse; Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung erforderlich ist; Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung der Vertragsanbahnung oder Vertragserfüllung dient.

5. Warteliste / Early Access / Testkunden-Onboarding

Wenn du dich über unsere Website für eine Warteliste, Early Access, Demo oder Testkunden-Anfrage einträgst, verarbeiten wir die von dir angegebenen Daten, insbesondere:

• E-Mail-Adresse

• ggf. Name

• ggf. Unternehmensname

• ggf. Telefonnummer

• ggf. freiwillige Zusatzangaben

• Anmelde- und Bestätigungszeitpunkt

• ggf. IP-Adresse im Zusammenhang mit dem Double-Opt-in

Die Verarbeitung erfolgt zum Zweck,

• deine Anmeldung zu bearbeiten,

• den Double-Opt-in-Prozess durchzuführen,

• dich für Early Access, Demo-Test oder Testkunden-Onboarding vorzumerken,

• dir Informationen zu deiner Anfrage zu senden,

• und deine Anmeldung rechtssicher nachweisen zu können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

Für die Eintragung in die Warteliste ist die Angabe einer E-Mail-Adresse erforderlich. Ohne diese Angabe ist eine Aufnahme nicht möglich.

Wir verwenden ein Double-Opt-in-Verfahren. Das bedeutet: Nach deiner Anmeldung erhältst du eine E-Mail, in der du deine Anmeldung über einen Bestätigungslink nochmals bestätigen musst. Erst danach wird die Anmeldung abgeschlossen.

Wir speichern Wartelisten- und Early-Access-Daten bis zu deinem Widerruf oder deiner Abmeldung, längstens jedoch 12 Monate. Die Nachweisdaten zum Double-Opt-in speichern wir ebenfalls 12 Monate.

Wenn du dich abmeldest, löschen wir deinen aktiven Eintrag. Um sicherzustellen, dass du keine weiteren Nachrichten erhältst, können wir eine minimale Sperrliste mit deiner E-Mail-Adresse und dem Abmeldezeitpunkt führen.

Rechtsgrundlage für die Sperrliste: Art. 6 Abs. 1 lit. f DSGVO
Berechtigtes Interesse: Abmeldungen dauerhaft und zuverlässig zu berücksichtigen

6. Kontaktaufnahme

Wenn du uns per E-Mail, Telefon oder Formular kontaktierst, verarbeiten wir deine Angaben zur Bearbeitung deiner Anfrage.

Dabei können insbesondere verarbeitet werden:

• Name

• E-Mail-Adresse

• Telefonnummer

• Unternehmensangaben

• Inhalt deiner Nachricht

• Kommunikations- und Bearbeitungsdaten

Rechtsgrundlage:

• Art. 6 Abs. 1 lit. b DSGVO, soweit es um vorvertragliche Maßnahmen oder Vertragsfragen geht

• Art. 6 Abs. 1 lit. f DSGVO im Übrigen

Berechtigtes Interesse: sachgerechte Bearbeitung eingehender Anfragen und Pflege unserer Geschäftskontakte

Kontaktanfragen speichern wir grundsätzlich bis zu 6 Monate nach abschließender Bearbeitung, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Gründe für eine längere Speicherung bestehen.

7. Cookies, Consent-Management und ähnliche Technologien

Unsere Website verwendet Cookies und vergleichbare Technologien, soweit dies technisch erforderlich ist oder du hierin eingewilligt hast.

Wir unterscheiden zwischen:

• technisch notwendigen Cookies und Speichertechnologien

• optionalen Cookies und Technologien, die nur nach Einwilligung eingesetzt werden

Technisch notwendige Cookies dienen insbesondere dazu,

• die Website korrekt bereitzustellen,

• Sicherheit und Stabilität zu gewährleisten,

• deine Cookie-Auswahl zu speichern,

• und wesentliche Funktionen der Seite zu ermöglichen.

Rechtsgrundlage für notwendige Cookies: § 25 Abs. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO
Rechtsgrundlage für optionale Cookies: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO

Du kannst deine Cookie-Einstellungen jederzeit über die Consent-Einstellungen auf unserer Website ändern oder widerrufen.

Beispielhaft eingesetzte notwendige Speicherobjekte können sein:

• cookie-config
  Zweck: Speicherung deiner Cookie-Auswahl
  Kategorie: notwendig
  Speicherdauer: bis zu 6 Monate

• msgsndr_id
  Zweck: technische Besucher- bzw. Kontaktzuordnung innerhalb der Website-Funktionen
  Kategorie: notwendig
  Speicherdauer: bis zu 365 Tage

8. Schriftarten, Icons und technische Darstellung

Für die datenschutzfreundliche Darstellung von Schriftarten nutzen wir – soweit in der jeweiligen Seitenkonfiguration aktiviert – eine GDPR-konforme Fonts-Variante, bei der Schriftarten nicht direkt von Google Fonts, sondern über Bunny Fonts geladen werden.

Außerdem können Icons über ein plattformeigenes CDN geladen werden, damit die Website technisch korrekt dargestellt wird.

Dabei kann es technisch erforderlich sein, dass die IP-Adresse des aufrufenden Endgeräts an den jeweiligen Dienst übermittelt wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Berechtigtes Interesse: technisch korrekte, performante und ansprechende Darstellung unserer Website

Teil B – Datenverarbeitung im Rahmen unserer Helloha-Dienstleistungen

9. Beschreibung unserer Dienstleistungen

Wir verarbeiten personenbezogene Daten auch im Rahmen unserer Dienstleistungen für Geschäftskunden, insbesondere aus der Gastronomie und angrenzenden Dienstleistungsbereichen.

Je nach Leistungsumfang unterstützen wir unsere Kunden bei der digitalen und KI-gestützten Kommunikation mit Interessenten, Gästen und Bestandskunden sowie bei automatisierten Kommunikations- und Prozessabläufen.

10. Arten der verarbeiteten Daten

Je nach gebuchter Leistung und konkretem Einsatzfall können insbesondere folgende Datenkategorien verarbeitet werden:

• Kontaktdaten unserer Kunden und Ansprechpartner

• Kommunikationsdaten

• Telefonnummern

• Anruf- und Anfrageinhalte

• Reservierungs- und Buchungsdaten

• Verfügbarkeits- und Terminbezug

• SMS-bezogene Daten

• Status-, Bearbeitungs- und Prozessdaten

• technische Protokoll- und Automationsdaten

Die Verarbeitung erfolgt insbesondere zur:

• Einrichtung, Bereitstellung und Betreuung unserer Leistungen

• Bearbeitung von Anfragen und Reservierungen

• Unterstützung der Kundenkommunikation

• Versendung von SMS mit Informations- oder Buchungslinks

• Durchführung und Steuerung technischer Automationsprozesse

• Qualitätssicherung, Stabilität und Systemsicherheit

Soweit wir personenbezogene Daten von Endkunden unserer Geschäftskunden verarbeiten, erfolgt dies regelmäßig im Auftrag des jeweiligen Geschäftskunden. In diesen Fällen handeln wir als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Soweit wir personenbezogene Daten unserer eigenen Interessenten, Testkunden oder Vertragspartner für eigene Geschäftsprozesse verarbeiten, erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO und ergänzend Art. 6 Abs. 1 lit. f DSGVO.

11. Empfänger und Kategorien von Empfängern

Zur Bereitstellung unserer Website und Dienstleistungen setzen wir externe technische Dienstleister ein. Dabei können personenbezogene Daten – je nach Funktion und Einsatzfall – an folgende Empfänger bzw. Kategorien von Empfängern übermittelt werden:

• HighLevel
  Zweck: Website-Betrieb, Formulare, CRM-nahe Prozesse, Automationen und technische Kommunikationsinfrastruktur
  Datenschutzrechtliche Rolle: Auftragsverarbeiter
  Rechtsgrundlage: Art. 6 Abs. 1 lit. b, lit. f DSGVO bzw. Art. 6 Abs. 1 lit. a DSGVO bei einwilligungsbasierten Prozessen

• GatewayAPI
  Zweck: Versand von SMS-Nachrichten im Rahmen unserer Leistungen
  Datenschutzrechtliche Rolle: Auftragsverarbeiter bzw. technischer Dienstleister
  Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO
  Hinweis: Wir nutzen das EU-Setup von GatewayAPI, bei dem Daten nach Anbieterangaben durch einen Cloud-Provider innerhalb der EU gespeichert und Verbindungen standardmäßig über Telekommunikations- und A2P-Anbieter innerhalb der EU abgewickelt werden.

• Short.io
  Zweck: Bereitstellung verkürzter Links, insbesondere in digitalen Kommunikationsprozessen
  Datenschutzrechtliche Rolle: eigenständiger technischer Dienstleister / Empfänger je nach Verarbeitungskontext
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. b DSGVO
  Berechtigtes Interesse: nutzerfreundliche, technisch stabile und kompakte Bereitstellung von Links

• Anbieter für automatisierte browsergestützte Prozessausführung und Custom-API-Infrastruktur
  Zweck: technische Durchführung unterstützender Automations- und Prozesslogiken
  Datenschutzrechtliche Rolle: Auftragsverarbeiter bzw. technischer Dienstleister, soweit personenbezogene Daten verarbeitet werden
  Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO

Eine aktuelle Übersicht der von uns eingesetzten Unterauftragsverarbeiter stellen wir – soweit vertraglich erforderlich – ergänzend in unseren Vertragsunterlagen bzw. in der Anlage zu unserer Auftragsverarbeitung zur Verfügung.

12. Drittlandübermittlungen

Im Rahmen unserer Leistungserbringung kann es vorkommen, dass personenbezogene Daten an Empfänger in Staaten außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums übermittelt werden oder dort verarbeitet werden, insbesondere in den USA.

Soweit eine Drittlandübermittlung erfolgt, achten wir darauf, dass hierfür ein angemessenes Datenschutzniveau sichergestellt ist. Dies geschieht insbesondere durch:

• eine Zertifizierung nach dem EU-U.S. Data Privacy Framework, soweit einschlägig,

• den Abschluss von Standardvertragsklauseln der EU-Kommission,

• oder andere zulässige Garantien nach Art. 44 ff. DSGVO.

13. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Im Einzelnen gilt insbesondere:

• technische Protokoll- und Zugriffsdaten: nur so lange, wie dies für Betrieb, Sicherheit und Fehleranalyse erforderlich ist

• Kontaktanfragen: grundsätzlich bis zu 6 Monate nach abschließender Bearbeitung

• Wartelisten- und Early-Access-Daten: bis Widerruf oder Abmeldung, längstens 12 Monate

• Double-Opt-in-Nachweise: 12 Monate

• Sperrlisten zur Berücksichtigung von Abmeldungen: nur so lange, wie dies zur Vermeidung weiterer Zusendungen erforderlich ist

• Vertrags-, Abrechnungs- und steuerlich relevante Unterlagen: entsprechend den gesetzlichen Aufbewahrungsfristen

Wenn der Zweck der Speicherung entfällt und keine gesetzliche Aufbewahrungspflicht mehr besteht, werden die betreffenden Daten gelöscht oder anonymisiert.

14. Rechtsgrundlagen

Soweit in dieser Datenschutzerklärung keine speziellere Angabe enthalten ist, stützen wir die Verarbeitung personenbezogener Daten insbesondere auf folgende Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung oder vorvertragliche Maßnahmen

• Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung

• Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen

Unsere berechtigten Interessen liegen insbesondere in:

• dem sicheren und stabilen Betrieb unserer Website und Systeme,

• der Bearbeitung von Anfragen,

• der effizienten Bereitstellung unserer Dienstleistungen,

• der IT-Sicherheit,

• der Missbrauchs- und Betrugsprävention,

• der technischen Auslieferung und Prozessstabilität,

• sowie in der nachvollziehbaren Dokumentation von Einwilligungen, Anmeldungen und Abmeldungen.

15. Rechte der betroffenen Personen

Du hast im Rahmen der gesetzlichen Voraussetzungen das Recht:

• auf Auskunft nach Art. 15 DSGVO,

• auf Berichtigung nach Art. 16 DSGVO,

• auf Löschung nach Art. 17 DSGVO,

• auf Einschränkung der Verarbeitung nach Art. 18 DSGVO,

• auf Datenübertragbarkeit nach Art. 20 DSGVO,

• auf Widerspruch nach Art. 21 DSGVO,

• sowie auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft.

Wenn du eine Einwilligung widerrufst, bleibt die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung hiervon unberührt.

16. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren.

Zuständige Aufsichtsbehörde für uns ist insbesondere:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Deutschland

Telefon: +49 711 615541-0
E-Mail: [email protected]
Website: https://www.baden-wuerttemberg.datenschutz.de/

17. Pflicht zur Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist grundsätzlich freiwillig. Bestimmte Angaben sind jedoch erforderlich, damit wir einzelne Funktionen oder Leistungen bereitstellen können.

Beispielsweise ist für die Eintragung in unsere Warteliste mindestens die Angabe einer E-Mail-Adresse erforderlich. Ohne diese Angabe können wir die Anmeldung nicht durchführen.

18. Keine automatisierte Entscheidungsfindung

Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet durch uns nicht statt.

19. Aktualität und Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche, technische oder organisatorische Rahmenbedingungen ändern oder wenn neue oder geänderte Verarbeitungen dies erforderlich machen.

Es gilt die jeweils auf unserer Website veröffentlichte Fassung.