Mit dieser Datenschutzerklärung informieren wir Sie über die Verarbeitung personenbezogener Daten bei der Nutzung des „Aideline Workspace" (auch „Echomotion Workspace"), erreichbar unter workspace.echomotion.ai. Der Aideline Workspace ist ein einladungsbasiertes, internes B2B-Arbeitswerkzeug mit einem KI-Agenten („Aideline"/„Ela"): Text-Chat, Sprach-/Voice-Modus, Whiteboard, Wissensdatenbank, Projekte/Pläne, Routinen sowie Content- und Bildgenerierung. Eine öffentliche Selbstregistrierung gibt es nicht; Konten werden ausschließlich durch einen Administrator angelegt und freigegeben. Wir nennen Ihnen nachfolgend, welche Daten zu welchen Zwecken, auf welcher Rechtsgrundlage und durch welche Empfänger verarbeitet werden, sowie Ihre Rechte als betroffene Person.
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist (Art. 13 Abs. 1 lit. a DSGVO):
Datenschutzbeauftragter (Art. 13 Abs. 1 lit. b DSGVO): Es ist kein Datenschutzbeauftragter bestellt; eine gesetzliche Pflicht zur Benennung besteht nicht. Verantwortlich ist der unter Ziffer 1 genannte Geschäftsführer; Datenschutzanfragen richten Sie bitte an datenschutz@echomotion.ai.
Der Aideline Workspace ist ein rein einladungsbasiertes B2B-Werkzeug. Eine öffentliche Selbstregistrierung besteht nicht. Konten werden von einem Administrator (z. B. der Administrator Ihrer Organisation oder ein Mitarbeiter der Echomotion GmbH) angelegt und freigegeben. Die Erst-Anmeldung des eingeladenen Nutzers gilt als Zeitpunkt der Zustimmung zu den Nutzungsbedingungen und der Kenntnisnahme dieser Datenschutzerklärung.
Information bei Erhebung von Daten, die nicht bei der betroffenen Person erhoben werden (Art. 14 DSGVO): Da Konten teilweise durch einen Administrator angelegt werden, werden bestimmte Stammdaten (insbesondere E-Mail-Adresse, Anzeigename) nicht unmittelbar bei Ihnen, sondern beim einladenden Administrator erhoben. Quelle dieser Daten ist somit der jeweilige Administrator bzw. die einladende Organisation (Art. 14 Abs. 2 lit. f DSGVO). Die betroffenen Datenkategorien entsprechen den unter Ziffer 3 genannten Konto- und Profildaten.
Rollenverteilung B2B: Für die Stammdaten der Nutzerkonten und den Betrieb der Plattform ist die Echomotion GmbH Verantwortliche. Für die Inhalte, die ein Nutzer im Auftrag bzw. im Namen seiner Organisation in den Workspace eingibt (z. B. Chat-Eingaben, Wissensdokumente), kann die jeweilige Kundenorganisation eine eigene datenschutzrechtliche Verantwortlichkeit treffen; insoweit kann die Echomotion GmbH als Auftragsverarbeiterin für die Kundenorganisation tätig werden. Die konkrete Einordnung richtet sich nach den vertraglichen Vereinbarungen mit der jeweiligen Organisation. Soweit die Echomotion GmbH personenbezogene Daten im Auftrag einer Kundenorganisation verarbeitet, besteht hierüber ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO; eine Kopie kann über datenschutz@echomotion.ai angefordert werden.
Wir verarbeiten personenbezogene Daten getrennt nach Verarbeitungszweck. Tragende Rechtsgrundlage für die Bereitstellung des Dienstes ist die Erfüllung des Nutzungsverhältnisses/Vertrags (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse am sicheren und funktionsfähigen Betrieb (Art. 6 Abs. 1 lit. f DSGVO). Eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) holen wir nur dort ein, wo sie erforderlich ist (Push-Benachrichtigungen).
Konto und Login (via Google-OAuth/Firebase oder E-Mail/Passwort): Verarbeitet werden E-Mail-Adresse, Nutzer-ID (UID), Anzeigename, Profilfoto sowie Authentifizierungs-Token. Zweck: Bereitstellung des Zugangs, Authentifizierung, Sitzungsverwaltung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des Dienstes), ergänzend Art. 6 Abs. 1 lit. f DSGVO (sichere Authentifizierung).
Chat-Agent: Verarbeitet werden Ihre Chat-Eingaben, die Antworten des KI-Agenten, hochgeladene Texte sowie Chat-Sitzungen und -Nachrichten. Zweck: Erbringung der Kernfunktion (Interaktion mit dem KI-Agenten). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Voice/Sprachmodus (STT/TTS): Verarbeitet werden Audiostreams Ihrer Spracheingabe, daraus erzeugte Transkripte (Speech-to-Text) sowie die synthetisierte Sprachausgabe des Agenten (Text-to-Speech). Zweck: Sprachgesteuerte Bedienung des Agenten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Einzelheiten zur Sprachverarbeitung und den beteiligten Dienstleistern siehe Ziffern 4 und 5.
Whiteboard: Verarbeitet werden die von Ihnen erstellten Whiteboard-Inhalte und -Snapshots. Zweck: Bereitstellung der Whiteboard-Funktion. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Wissensdatenbank und Embeddings: Verarbeitet werden die von Ihnen hinterlegten Wissensinhalte (Links, Dokumente/PDFs, Notizen, Rechercheergebnisse) sowie daraus erzeugte Vektor-Repräsentationen (Embeddings). Zweck: semantische Suche und Bereitstellung relevanten Kontexts für den Agenten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Hinweis: Inhalte der Wissensdatenbank können personenbezogene Daten Dritter enthalten; für die Rechtmäßigkeit der Einstellung solcher Inhalte sind Sie bzw. Ihre Organisation (mit-)verantwortlich (siehe Ziffer 4).
Projekte, Pläne und Routinen: Verarbeitet werden die von Ihnen angelegten Projekt-, Plan- und Routinendaten sowie zugehörige Inhalte. Zweck: Organisation und automatisierte Wiederholung von Arbeitsabläufen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Content- und Bildgenerierung: Verarbeitet werden Ihre Eingabeaufforderungen (Prompts) und ggf. zugehörige Inhalte zur Erzeugung von Texten, Bildern und weiteren Inhalten. Zweck: Bereitstellung der Generierungsfunktionen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Push-Benachrichtigungen (optional): Verarbeitet werden Ihre Push-Subscription (Endpunkt und zugehörige Schlüssel) sowie der Inhalt der Benachrichtigung. Zweck: Zustellung proaktiver Benachrichtigungen an Ihren Browser/Ihr Gerät. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Diese ist jederzeit mit Wirkung für die Zukunft widerrufbar (siehe Ziffer 8).
Zahlungsabwicklung und Guthaben (bei kostenpflichtiger Nutzung): Verarbeitet werden Ihr Guthabenstand und -verbrauch (Talks), gekaufte Pakete/Abonnements sowie eine Kunden-/Vorgangskennung unseres Zahlungsdienstleisters Stripe. Die eigentlichen Zahlungsdaten (z. B. Kreditkartennummer) geben Sie direkt bei Stripe ein; sie werden von Stripe verarbeitet und sind uns nicht im Klartext zugänglich. Zweck: Abrechnung und Vertragserfüllung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) sowie Art. 6 Abs. 1 lit. c DSGVO (steuer-/handelsrechtliche Pflichten).
Onboarding-Website-Analyse (optional): Geben Sie beim geführten Einstieg die Adresse Ihrer Unternehmenswebsite an, rufen wir deren öffentlich zugängliche Inhalte einmalig ab und werten sie automatisiert aus, um ein Unternehmensprofil (Branche, Angebot, Tonalität, typische Kundentypen) für Ihren Workspace vorzubereiten. Wir verarbeiten dabei nur öffentlich abrufbare Seiteninhalte; die Angabe der Website ist freiwillig und kann übersprungen werden. Zweck: Einrichtung und Personalisierung des Dienstes. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-durchführung).
Einwilligungs- und Annahmeprotokoll: Beim Login protokolliert das System Version und Zeitstempel der Annahme der Nutzungsbedingungen sowie der Kenntnisnahme dieser Datenschutzerklärung. Zweck: Nachweis (Rechenschaftspflicht). Rechtsgrundlage: Art. 6 Abs. 1 lit. c i. V. m. Art. 5 Abs. 2 und Art. 7 Abs. 1 DSGVO (Erfüllung rechtlicher Nachweispflichten) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Nachweisbarkeit erteilter Zustimmungen).
Technische Daten / lokale Speicherung (localStorage): Zur technischen Bereitstellung werden Sitzungs-/Login-Token sowie im localStorage Ihres Browsers bestimmte Zustandsdaten (z. B. Sprach- und Login-Zustand) gespeichert. Zweck: Funktionsfähigkeit und Sicherheit der Anwendung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO; der Zugriff auf bzw. das Speichern dieser Informationen auf Ihrem Endgerät ist technisch erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG, siehe Ziffer 7).
Berechtigtes Interesse (zu Art. 6 Abs. 1 lit. f DSGVO; Art. 13 Abs. 1 lit. d DSGVO): Unser berechtigtes Interesse besteht im sicheren und stabilen Betrieb der Plattform, in der Abwehr von Missbrauch und Angriffen sowie in der Gewährleistung der Funktionsfähigkeit des KI-Agenten.
Ist der Vertragspartner eine natürliche Person (z. B. Solo-Selbstständige oder Verbraucher), ist Rechtsgrundlage der Verarbeitung Ihrer Bestands-, Nutzungs- und Zahlungsdaten die Erfüllung des mit Ihnen geschlossenen Vertrags bzw. die Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO). Handelt es sich um Beschäftigtendaten eines Unternehmenskunden, stützen wir die Verarbeitung auf unser berechtigtes Interesse an der Vertragsdurchführung mit dem Kunden (Art. 6 Abs. 1 lit. f DSGVO).
Die Checkbox beim Login dient ausschließlich (a) der Zustimmung zu den Nutzungsbedingungen (Vertragsannahme) und (b) der Kenntnisnahme dieser Datenschutzerklärung. Sie stellt KEINE pauschale Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DSGVO für Verarbeitungen dar, die bereits auf einer anderen Rechtsgrundlage beruhen.
Tragende Rechtsgrundlage für die Bereitstellung und Nutzung des Dienstes ist Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Nutzungsverhältnis), ergänzt um Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb). Eine echte Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) holen wir nur für die optionalen Push-Benachrichtigungen ein.
Der Aideline Workspace nutzt externe KI-Dienste. Wir legen diese Verarbeitungsschritte transparent als eigene Zwecke und Empfänger offen.
KI-Gateway OpenRouter (OpenRouter, Inc., USA): Ihre Eingaben, Chat-Inhalte und hochgeladene Texte werden zur Verarbeitung über das KI-Gateway OpenRouter an Sprachmodelle (u. a. Google Gemini) weitergeleitet, um die Antworten des Agenten zu erzeugen. Dies stellt eine Übermittlung in ein Drittland (USA) dar (siehe Ziffer 7).
Berechnung von Embeddings: Zur Bereitstellung der semantischen Wissenssuche werden Inhalte der Wissensdatenbank in Vektor-Repräsentationen (Embeddings) umgewandelt. Die Berechnung dieser Embeddings erfolgt über OpenRouter (USA); die berechneten Embeddings werden anschließend in Supabase (EU/Deutschland, siehe Ziffer 6) gespeichert.
Sprachverarbeitung (getrennt dargestellt): Der Audio-Transport im Sprachmodus erfolgt in Echtzeit über LiveKit (WebRTC, USA) und verarbeitet den Audiostream. Die Umwandlung Ihrer Spracheingabe in Text (Speech-to-Text) erfolgt über Deepgram (USA) und verarbeitet den Audiostream sowie das daraus erzeugte Transkript. Die Sprachausgabe des Agenten (Text-to-Speech) erzeugt ElevenLabs (USA) aus dem Antworttext. Es handelt sich jeweils um eine Übermittlung in ein Drittland (USA).
Speicherung der Transkripte: Die im Sprachmodus erzeugten Transkripte werden in Supabase (EU/Deutschland) gespeichert und können von Ihnen bzw. Ihrem Administrator gelöscht werden (siehe Ziffer 6).
Zweckbindung / kein Modelltraining: Die über das KI-Gateway verarbeiteten Eingaben dienen ausschließlich der Beantwortung Ihrer Anfragen und der Bereitstellung der Funktionen. Eine Nutzung Ihrer Eingaben zu Trainingszwecken der Modellanbieter ist nicht vorgesehen und wird – soweit vertraglich umsetzbar – ausgeschlossen. Dieser Ausschluss der Nutzung zu Trainingszwecken ist mit den eingesetzten Anbietern (insbesondere OpenRouter) vertraglich sichergestellt.
Inhalte mit Drittbezug: Inhalte, die Sie als Eingabe oder in der Wissensdatenbank hinterlegen, können personenbezogene Daten Dritter enthalten. Für die Rechtmäßigkeit der Verarbeitung solcher Drittdaten sind Sie bzw. Ihre Organisation (mit-)verantwortlich.
Keine automatisierte Entscheidung mit Rechtswirkung: Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO), findet nicht statt. Der KI-Agent erzeugt Vorschläge und Inhalte zur Unterstützung Ihrer Arbeit; verbindliche Entscheidungen treffen Sie selbst (Art. 13 Abs. 2 lit. f DSGVO).
Zur Erbringung des Dienstes setzen wir die folgenden Dienstleister ein. Mit den Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO (Firebase/Google, OpenRouter, LiveKit, Deepgram, ElevenLabs, Hosting bei Hetzner/Coolify sowie das selbst-gehostete Supabase). Diese Verträge zur Auftragsverarbeitung liegen vor und werden aktuell gehalten.
Eine Übermittlung personenbezogener Daten in die USA findet statt bei der Nutzung von OpenRouter, LiveKit, Deepgram und ElevenLabs sowie – im Rahmen der Authentifizierung – bei Firebase/Google. Soweit Web-Push genutzt wird, kann auch hierbei ein Drittlandbezug über den Push-Dienst des Browser-Herstellers entstehen sowie ggf. bei der Zahlungsabwicklung über Stripe (Stripe, Inc., USA).
Diese Übermittlungen erfolgen auf Grundlage von Standardvertragsklauseln der EU-Kommission (SCC, Art. 46 Abs. 2 lit. c DSGVO) und – soweit der jeweilige Empfänger zertifiziert ist – auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss). Google ist nach dem EU-US Data Privacy Framework zertifiziert.
Eine Kopie der geeigneten Garantien (insbesondere der Standardvertragsklauseln) können Sie über den unter Ziffer 1 genannten Datenschutz-Kontakt (datenschutz@echomotion.ai) anfordern (Art. 13 Abs. 1 lit. f, Art. 46 DSGVO).
Klarstellung zu Supabase: Der primäre Datenspeicher Supabase ist selbst-gehostet auf eigener Infrastruktur in Deutschland/EU (db.echomotion.ai, Hetzner). Eine Übermittlung der dort gespeicherten Daten in ein Drittland findet durch den Speicherbetrieb selbst nicht statt. Firebase (Authentifizierung) und Supabase (Datenspeicher) sind technisch getrennt und nicht zu verwechseln.
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist, und nennen je Datenart die maßgeblichen Kriterien (Art. 13 Abs. 2 lit. a DSGVO):
Gesetzliche Aufbewahrungspflichten bleiben unberührt; in diesem Fall werden die betroffenen Daten für die Dauer der jeweiligen Pflicht eingeschränkt verarbeitet und anschließend gelöscht.
Beim ersten Besuch fragen wir Ihre Einwilligung über ein Consent-Banner ab. Sie können „Alle akzeptieren“, „Nur notwendige“ wählen oder unter „Einstellungen“ je Kategorie entscheiden. Ihre Auswahl können Sie jederzeit mit Wirkung für die Zukunft über den Link „Cookie-Einstellungen“ im Seitenfuß ändern oder widerrufen.
Technisch notwendige Speicher: Für den Betrieb verwenden wir technisch notwendige Mechanismen: Login-/Sitzungs-Token zur Authentifizierung sowie localStorage zur Speicherung notwendiger Zustandsdaten (z. B. Sprach- und Login-Zustand). Der Zugriff auf bzw. die Speicherung dieser Informationen auf Ihrem Endgerät ist unbedingt erforderlich, damit Sie den von Ihnen ausdrücklich gewünschten Dienst nutzen können (§ 25 Abs. 2 Nr. 2 TTDSG). Eine Einwilligung ist hierfür nicht erforderlich. Die anschließende datenschutzrechtliche Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. b und lit. f DSGVO.
Statistik und Marketing (nur mit Einwilligung): Cookies bzw. vergleichbare Technologien der nachstehenden Dienste setzen wir erst nach Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG). Die Google-Dienste (Analytics, Ads) sind über den Google Consent Mode v2 eingebunden: Vor Ihrer Einwilligung werden keine Cookies gesetzt und keine für Sie identifizierenden Daten verarbeitet (allenfalls cookielose, anonyme Signale). Meta-Pixel und LinkedIn Insight Tag werden erst nach Ihrer Einwilligung geladen. Ihre Einwilligung ist freiwillig und jederzeit mit Wirkung für die Zukunft widerrufbar.
Eingesetzte Dienste: (1) Google Analytics 4 sowie Google Ads Conversion-Tracking, eingebunden über den Google Tag Manager — Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (ggf. Google LLC, USA); Zweck: Reichweiten- und Nutzungsanalyse sowie Messung des Werbeerfolgs, mit Kürzung der IP-Adresse. (2) Meta-Pixel — Anbieter: Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland; Zweck: Conversion- und Retargeting-Messung für Werbung auf Facebook/Instagram. (3) LinkedIn Insight Tag — Anbieter: LinkedIn Ireland Unlimited Company, Wilton Plaza, Dublin 2, Irland; Zweck: Conversion- und Reichweitenmessung für LinkedIn-Werbung.
Drittlandübermittlung: Bei diesen Diensten kann es zu einer Verarbeitung Ihrer Daten in den USA kommen. Rechtsgrundlage der Übermittlung ist das EU-US Data Privacy Framework (soweit der jeweilige Anbieter zertifiziert ist) bzw. die Standardvertragsklauseln der EU-Kommission (Art. 46 DSGVO). Ein dem EU-Niveau vollständig entsprechendes Datenschutzniveau kann in Drittländern nicht in jedem Fall garantiert werden. Nähere Informationen finden Sie in den Datenschutzhinweisen der jeweiligen Anbieter.
Ihnen stehen nach der DSGVO folgende Rechte zu (Art. 13 Abs. 2 lit. b DSGVO):
Widerrufsrecht bei Einwilligung: Soweit eine Verarbeitung auf Ihrer Einwilligung beruht (insbesondere Push-Benachrichtigungen, Art. 6 Abs. 1 lit. a DSGVO), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Den Widerruf können Sie z. B. durch Deaktivieren der Benachrichtigungen in den Einstellungen oder über den unter Ziffer 1 genannten Kontakt erklären.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an datenschutz@echomotion.ai.
Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 13 Abs. 2 lit. d DSGVO). Die für uns zuständige Aufsichtsbehörde ist:
Die Bereitstellung bestimmter Daten ist für die Nutzung des Aideline Workspace erforderlich (Art. 13 Abs. 2 lit. e DSGVO). Ohne Konto- und Anmeldedaten kann der Zugang nicht eingerichtet und der Dienst nicht bereitgestellt werden. Ohne die jeweiligen Eingaben (z. B. Chat-Eingaben, Spracheingaben, Wissensinhalte) können die entsprechenden Funktionen nicht erbracht werden. Eine Nutzung des Dienstes ist insoweit ohne Bereitstellung dieser Daten nicht möglich. Die Bereitstellung der Push-Subscription ist hingegen freiwillig; ohne sie entfallen lediglich die optionalen Push-Benachrichtigungen.
Eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung einschließlich Profiling, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt (Art. 22 i. V. m. Art. 13 Abs. 2 lit. f DSGVO). Der KI-Agent unterstützt Sie durch Vorschläge und generierte Inhalte; verbindliche Entscheidungen treffen Sie selbst.
Wir treffen technische und organisatorische Maßnahmen, um Ihre Daten gegen unbefugten Zugriff, Verlust und Missbrauch zu schützen. Der primäre Datenspeicher (Supabase) wird selbst-gehostet auf eigener Infrastruktur in Deutschland/EU betrieben. Der Zugang zum Workspace ist einladungsbasiert und durch Authentifizierung geschützt. Zu diesen Maßnahmen gehören insbesondere: Transportverschlüsselung (TLS/HTTPS) bei der Datenübertragung; verschlüsselte Datenhaltung in der selbst-gehosteten Datenbank in Deutschland/EU; Zugriffsschutz durch Authentifizierung (Firebase) und ein einladungsbasiertes Zugangsmodell; rollen- und projektbezogene Beschränkung der Sichtbarkeit von Inhalten; Schutz des Einwilligungsprotokolls durch Row-Level-Security mit Zugriff ausschließlich über einen privilegierten Dienst-Schlüssel (service_role); technische Trennung von Authentifizierung (Firebase) und Datenspeicher (Supabase); sowie regelmäßige Datensicherungen (Backups).
Diese Datenschutzerklärung liegt als Erstfassung 1.0 vor; Stand: Juni 2026.
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, etwa bei Änderungen der Funktionen, der eingesetzten Dienstleister oder der Rechtslage. Es gilt jeweils die auf der Plattform veröffentlichte aktuelle Fassung. Über wesentliche Änderungen informieren wir in geeigneter Weise.
With this privacy policy, we inform you about the processing of personal data when using the "Aideline Workspace" (also "Echomotion Workspace"), accessible at workspace.echomotion.ai. The Aideline Workspace is an invitation-based, internal B2B working tool with an AI agent ("Aideline"/"Ela"): text chat, voice mode, whiteboard, knowledge base, projects/plans, routines, as well as content and image generation. There is no public self-registration; accounts are created and approved exclusively by an administrator. In the following, we set out which data is processed for which purposes, on which legal basis, and by which recipients, as well as your rights as a data subject.
The controller within the meaning of Art. 4(7) GDPR is (Art. 13(1)(a) GDPR):
Data protection officer (Art. 13(1)(b) GDPR): No data protection officer has been appointed; there is no statutory obligation to appoint one. The controller is the managing director named in Section 1; please address data protection enquiries to datenschutz@echomotion.ai.
The Aideline Workspace is a purely invitation-based B2B tool. There is no public self-registration. Accounts are created and approved by an administrator (e.g. your organisation's administrator or an employee of Echomotion GmbH). The invited user's first login is deemed to be the point in time of acceptance of the terms of use and of acknowledgement of this privacy policy.
Information where data has not been obtained from the data subject (Art. 14 GDPR): As accounts are in part created by an administrator, certain master data (in particular email address, display name) is not collected directly from you, but from the inviting administrator. The source of this data is therefore the respective administrator or the inviting organisation (Art. 14(2)(f) GDPR). The categories of data concerned correspond to the account and profile data set out under section 3.
Allocation of roles in the B2B context: Echomotion GmbH is the controller for the master data of the user accounts and for the operation of the platform. For the content that a user enters into the workspace on behalf of or in the name of their organisation (e.g. chat inputs, knowledge documents), the respective customer organisation may bear its own responsibility under data protection law; in this respect, Echomotion GmbH may act as a processor for the customer organisation. The specific classification depends on the contractual arrangements with the respective organisation. Insofar as Echomotion GmbH processes personal data on behalf of a customer organisation, a data processing agreement pursuant to Art. 28 GDPR is in place; a copy can be requested via datenschutz@echomotion.ai.
We process personal data separately according to the purpose of processing. The principal legal basis for providing the service is the performance of the usage relationship/contract (Art. 6(1)(b) GDPR) as well as our legitimate interest in the secure and functional operation (Art. 6(1)(f) GDPR). We only obtain consent (Art. 6(1)(a) GDPR) where it is required (push notifications).
Account and login (via Google OAuth/Firebase or email/password): The data processed includes email address, user ID (UID), display name, profile photo, and authentication tokens. Purpose: provision of access, authentication, session management. Legal basis: Art. 6(1)(b) GDPR (provision of the service), supplemented by Art. 6(1)(f) GDPR (secure authentication).
Chat agent: The data processed includes your chat inputs, the AI agent's responses, uploaded texts, as well as chat sessions and messages. Purpose: provision of the core function (interaction with the AI agent). Legal basis: Art. 6(1)(b) GDPR.
Voice mode (STT/TTS): The data processed includes audio streams of your voice input, the transcripts generated from them (speech-to-text), as well as the agent's synthesised speech output (text-to-speech). Purpose: voice-controlled operation of the agent. Legal basis: Art. 6(1)(b) GDPR. For details on voice processing and the service providers involved, see sections 4 and 5.
Whiteboard: The data processed includes the whiteboard content and snapshots you create. Purpose: provision of the whiteboard function. Legal basis: Art. 6(1)(b) GDPR.
Knowledge base and embeddings: The data processed includes the knowledge content you store (links, documents/PDFs, notes, research results) as well as the vector representations (embeddings) generated from them. Purpose: semantic search and provision of relevant context for the agent. Legal basis: Art. 6(1)(b) GDPR. Note: Content of the knowledge base may contain personal data of third parties; you or your organisation are (jointly) responsible for the lawfulness of entering such content (see section 4).
Projects, plans, and routines: The data processed includes the project, plan, and routine data you create as well as the associated content. Purpose: organisation and automated repetition of workflows. Legal basis: Art. 6(1)(b) GDPR.
Content and image generation: The data processed includes your prompts and, where applicable, associated content used to generate texts, images, and other content. Purpose: provision of the generation functions. Legal basis: Art. 6(1)(b) GDPR.
Push notifications (optional): The data processed includes your push subscription (endpoint and associated keys) as well as the content of the notification. Purpose: delivery of proactive notifications to your browser/device. Legal basis: Art. 6(1)(a) GDPR (consent). This can be revoked at any time with effect for the future (see section 8).
Payment processing and credit (for paid use): We process your credit balance and consumption (Talks), purchased packages/subscriptions and a customer/transaction identifier of our payment service provider Stripe. You enter the actual payment data (e.g. credit card number) directly with Stripe; it is processed by Stripe and is not accessible to us in plain text. Purpose: billing and performance of the contract. Legal basis: Art. 6(1)(b) GDPR (contract) and Art. 6(1)(c) GDPR (tax/commercial obligations).
Onboarding website analysis (optional): If you provide the address of your company website during guided onboarding, we retrieve its publicly accessible content once and analyse it automatically in order to prepare a company profile (industry, offering, tone, typical customer types) for your workspace. We only process publicly available page content; providing the website is voluntary and can be skipped. Purpose: setup and personalisation of the service. Legal basis: Art. 6(1)(b) GDPR (initiation/performance of the contract).
Consent and acceptance log: At login, the system logs the version and timestamp of the acceptance of the terms of use as well as the acknowledgement of this privacy policy. Purpose: evidence (accountability). Legal basis: Art. 6(1)(c) in conjunction with Art. 5(2) and Art. 7(1) GDPR (fulfilment of legal documentation obligations) as well as Art. 6(1)(f) GDPR (legitimate interest in being able to demonstrate the consents given).
Technical data / local storage (localStorage): For the technical provision of the service, session/login tokens as well as certain state data (e.g. language and login state) are stored in your browser's localStorage. Purpose: functionality and security of the application. Legal basis: Art. 6(1)(b) and (f) GDPR; accessing or storing this information on your device is technically necessary (Section 25(2) no. 2 TTDSG, see section 7).
Legitimate interest (regarding Art. 6(1)(f) GDPR; Art. 13(1)(d) GDPR): Our legitimate interest lies in the secure and stable operation of the platform, in the prevention of misuse and attacks, and in ensuring the functionality of the AI agent.
Where the contracting party is a natural person (e.g. a solo self-employed person or consumer), the legal basis for processing your master, usage and payment data is the performance of the contract concluded with you or the taking of pre-contractual steps (Art. 6(1)(b) GDPR). Where the data concerns employees of a corporate customer, we base the processing on our legitimate interest in performing the contract with that customer (Art. 6(1)(f) GDPR).
The checkbox at login serves exclusively (a) to accept the terms of use (acceptance of the contract) and (b) to acknowledge this privacy policy. It does NOT constitute blanket consent within the meaning of Art. 6(1)(a) GDPR for processing operations that are already based on another legal basis.
The principal legal basis for the provision and use of the service is Art. 6(1)(b) GDPR (contract/usage relationship), supplemented by Art. 6(1)(f) GDPR (legitimate interest in operation). We only obtain genuine consent (Art. 6(1)(a) GDPR) for the optional push notifications.
The Aideline Workspace uses external AI services. We transparently disclose these processing steps as separate purposes and recipients.
AI gateway OpenRouter (OpenRouter, Inc., USA): Your inputs, chat content, and uploaded texts are forwarded for processing via the AI gateway OpenRouter to language models (including Google Gemini) in order to generate the agent's responses. This constitutes a transfer to a third country (USA) (see section 7).
Calculation of embeddings: To provide the semantic knowledge search, content of the knowledge base is converted into vector representations (embeddings). The calculation of these embeddings is carried out via OpenRouter (USA); the calculated embeddings are then stored in Supabase (EU/Germany, see section 6).
Voice processing (presented separately): The audio transport in voice mode takes place in real time via LiveKit (WebRTC, USA) and processes the audio stream. The conversion of your voice input into text (speech-to-text) is carried out via Deepgram (USA) and processes the audio stream as well as the transcript generated from it. The agent's speech output (text-to-speech) is generated by ElevenLabs (USA) from the response text. In each case, this constitutes a transfer to a third country (USA).
Storage of transcripts: The transcripts generated in voice mode are stored in Supabase (EU/Germany) and can be deleted by you or your administrator (see section 6).
Purpose limitation / no model training: The inputs processed via the AI gateway serve exclusively to answer your queries and to provide the functions. Use of your inputs for the model providers' training purposes is not envisaged and is – to the extent contractually feasible – excluded. This exclusion of any use for training purposes is contractually ensured with the providers used (in particular OpenRouter).
Content relating to third parties: Content that you enter as input or store in the knowledge base may contain personal data of third parties. You or your organisation are (jointly) responsible for the lawfulness of processing such third-party data.
No automated decision-making with legal effect: There is no solely automated decision-making, including profiling, that produces legal effects concerning you or similarly significantly affects you (Art. 22 GDPR). The AI agent generates suggestions and content to support your work; you make binding decisions yourself (Art. 13(2)(f) GDPR).
To provide the service, we use the following service providers. Data processing agreements pursuant to Art. 28 GDPR are in place with the processors (Firebase/Google, OpenRouter, LiveKit, Deepgram, ElevenLabs, hosting at Hetzner/Coolify, as well as the self-hosted Supabase). These data processing agreements are in place and are kept up to date.
A transfer of personal data to the USA takes place when using OpenRouter, LiveKit, Deepgram, and ElevenLabs, as well as – in the context of authentication – with Firebase/Google. Where Web Push is used, a third-country transfer may also arise via the browser manufacturer's push service and, where applicable, for payment processing via Stripe (Stripe, Inc., USA).
These transfers take place on the basis of the European Commission's Standard Contractual Clauses (SCC, Art. 46(2)(c) GDPR) and – to the extent the respective recipient is certified – on the basis of the EU-US Data Privacy Framework (adequacy decision). Google is certified under the EU-US Data Privacy Framework.
You can request a copy of the appropriate safeguards (in particular the Standard Contractual Clauses) via the data protection contact named under section 1 (datenschutz@echomotion.ai) (Art. 13(1)(f), Art. 46 GDPR).
Clarification regarding Supabase: The primary data store Supabase is self-hosted on our own infrastructure in Germany/EU (db.echomotion.ai, Hetzner). The storage operation itself does not involve a transfer of the data stored there to a third country. Firebase (authentication) and Supabase (data store) are technically separate and must not be confused.
We store personal data only for as long as is necessary for the respective purpose, and we state the relevant criteria for each type of data (Art. 13(2)(a) GDPR):
Statutory retention obligations remain unaffected; in such a case, the data concerned is restricted from further processing for the duration of the respective obligation and is subsequently deleted.
On your first visit we ask for your consent via a consent banner. You can choose “Accept all”, “Only necessary”, or decide per category under “Settings”. You can change or withdraw your choice at any time with effect for the future via the “Cookie settings” link in the footer.
Technically necessary storage: For operation, we use technically necessary mechanisms: login/session tokens for authentication as well as localStorage for storing necessary state data (e.g. language and login state). Accessing or storing this information on your device is strictly necessary in order for you to use the service you have expressly requested (Section 25(2) no. 2 TTDSG). No consent is required for this. The subsequent processing under data protection law is based on Art. 6(1)(b) and (f) GDPR.
Statistics and marketing (only with consent): We set cookies or comparable technologies of the services listed below only after your explicit consent (Art. 6(1)(a) GDPR, Section 25(1) TTDSG). The Google services (Analytics, Ads) are integrated via Google Consent Mode v2: before your consent, no cookies are set and no data identifying you is processed (at most cookieless, anonymous signals). The Meta Pixel and LinkedIn Insight Tag are loaded only after your consent. Your consent is voluntary and can be withdrawn at any time with effect for the future.
Services used: (1) Google Analytics 4 and Google Ads conversion tracking, integrated via Google Tag Manager — provider: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Ireland (possibly Google LLC, USA); purpose: reach and usage analysis and measurement of advertising success, with IP address truncation. (2) Meta Pixel — provider: Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Ireland; purpose: conversion and retargeting measurement for advertising on Facebook/Instagram. (3) LinkedIn Insight Tag — provider: LinkedIn Ireland Unlimited Company, Wilton Plaza, Dublin 2, Ireland; purpose: conversion and reach measurement for LinkedIn advertising.
Third-country transfers: With these services, your data may be processed in the USA. The legal basis for the transfer is the EU-US Data Privacy Framework (where the respective provider is certified) or the European Commission's Standard Contractual Clauses (Art. 46 GDPR). A level of data protection fully equivalent to the EU standard cannot always be guaranteed in third countries. For more information, please see the privacy notices of the respective providers.
Under the GDPR, you have the following rights (Art. 13(2)(b) GDPR):
Right to withdraw consent: Where processing is based on your consent (in particular push notifications, Art. 6(1)(a) GDPR), you can withdraw it at any time with effect for the future (Art. 7(3) GDPR). The lawfulness of the processing carried out up to the withdrawal remains unaffected. You can declare the withdrawal, for example, by deactivating notifications in the settings or via the contact named under section 1.
To exercise your rights, please contact datenschutz@echomotion.ai.
Without prejudice to any other legal remedy, you have the right to lodge a complaint with a data protection supervisory authority (Art. 13(2)(d) GDPR). The supervisory authority responsible for us is:
The provision of certain data is necessary for the use of the Aideline Workspace (Art. 13(2)(e) GDPR). Without account and login data, access cannot be set up and the service cannot be provided. Without the respective inputs (e.g. chat inputs, voice inputs, knowledge content), the corresponding functions cannot be provided. To that extent, use of the service is not possible without providing this data. The provision of the push subscription, on the other hand, is voluntary; without it, only the optional push notifications are unavailable.
There is no decision based solely on automated processing, including profiling, that produces legal effects concerning you or similarly significantly affects you (Art. 22 in conjunction with Art. 13(2)(f) GDPR). The AI agent supports you through suggestions and generated content; you make binding decisions yourself.
We take technical and organisational measures to protect your data against unauthorised access, loss, and misuse. The primary data store (Supabase) is operated self-hosted on our own infrastructure in Germany/EU. Access to the workspace is invitation-based and protected by authentication. These measures include in particular: transport encryption (TLS/HTTPS) for data transmission; encrypted data storage in the self-hosted database in Germany/EU; access protection via authentication (Firebase) and an invitation-based access model; role- and project-based restriction of content visibility; protection of the consent log via row-level security with access exclusively through a privileged service key (service_role); technical separation of authentication (Firebase) and data storage (Supabase); and regular data backups.
This privacy policy is available as first version 1.0; as of: June 2026.
We reserve the right to amend this privacy policy, for example in the event of changes to the functions, the service providers used, or the legal situation. The current version published on the platform applies in each case. We will inform you of material changes in an appropriate manner.