Datenschutzerklärung (DS-GVO) für Klausi.app

Stand: 30.06.2026

1

Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

CLOCKKNOCK GmbH

Buchheimer Str. 1a

51063 Köln

Deutschland

Vertreten durch den Geschäftsführer: Cem Tekin

E-Mail: hello@klausi.app

Website: https://klausi.app

Hinweis zum Datenschutzkontakt: Anfragen zum Datenschutz kannst du jederzeit an hello@klausi.app richten.

2

Begriffe und Grundsätze

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Wir verarbeiten personenbezogene Daten nur, soweit dies zulässig ist, insbesondere auf Basis einer der folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen)
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
3

Verarbeitung bei Nutzung von Klausi.app

3.1 Registrierung, Konto und Vertragsdurchführung

Kategorien von Daten:

  • Stammdaten und Kontodaten (z. B. Name, E-Mail, Login-Daten, Account-Einstellungen)
  • Nutzungs- und Inhaltsdaten, die du in Klausi eingibst oder erzeugst (z. B. Zeit-, Projekt- und Reisedaten)
  • Dateiuploads (z. B. Belege, Audio-, Bild- oder andere Dateien)

Zwecke:

  • Kontoanlage, Authentifizierung und Bereitstellung der Plattform
  • Erbringung der von dir genutzten Funktionen (Free/Pro, Module)
  • Support und Kommunikation zu deinem Konto

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO

3.2 Zahlung, Abrechnung und Buchführung

Kategorien von Daten:

  • Abrechnungs- und Transaktionsdaten (z. B. Rechnungsdaten, Zahlungsstatus, Transaktions-IDs)
  • Ggf. umsatzsteuerrelevante Angaben (z. B. Unternehmensangaben, USt-ID, Rechnungsadresse)

Zwecke:

  • Zahlungsabwicklung, Rechnungsstellung, Verwaltung deines Tarifeinsatzes
  • Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
  • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten)

3.3 System- und Transaktionskommunikation (E-Mails)

Kategorien von Daten:

  • E-Mail-Adresse
  • Technische Metadaten zum E-Mail-Versand (z. B. Zeitpunkt, Zustellstatus)
  • Inhalt von System-E-Mails (z. B. Einladungen, Benachrichtigungen, Abrechnungs-Hinweise)

Zwecke:

  • Versand von System- und Transaktionsnachrichten zur Bereitstellung und Sicherheit des Dienstes

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO

Hinweis: Passwort-Zurücksetzen und Authentifizierungs-E-Mails können über Supabase versendet werden (z. B. Passwort-Reset). Sonstige Transaktions- und Produkt-E-Mails (z. B. Einladungen, Benachrichtigungen) versenden wir über Postmark.

3.4 Sicherheit, Stabilität, Fehleranalyse und Missbrauchsprävention (Logs)

Kategorien von Daten:

  • Technische Verbindungsdaten (z. B. IP-Adresse, Zeitstempel)
  • Technische Geräte-/Browser-Metadaten (minimiert)
  • Event- und Fehlerdaten (z. B. Fehlertyp, Seitenpfad ohne Suchparameter)
  • Pseudonymisierte Nutzerkennung (z. B. hash-basierte ID), soweit erforderlich

Zwecke:

  • Gewährleistung von IT-Sicherheit, Störungsbehebung, Stabilitätsverbesserung
  • Erkennung und Abwehr missbräuchlicher Nutzung und Sicherheitsvorfälle

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb)

3.5 Optionale Analyse-Funktionen (Analytics)

Falls du Analyse-Funktionen aktivierst, verarbeiten wir pseudonyme Nutzungsdaten (z. B. Feature-Nutzung, Seitenaufrufe, Ereignisse), um Klausi zu verbessern.

Zwecke:

  • Produktanalyse, UX-Optimierung, Funktionsverbesserung

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Widerruf:

Du kannst deine Einwilligung jederzeit über das Cookie-Banner oder die Einstellungen widerrufen. Ab Widerruf werden Analyse-Daten nicht weiter erhoben.

3.6 Google-Kalender-Integration (Google API Services)

Du kannst dein Google-Konto optional mit Klausi verbinden, um Kalenderfunktionen zu nutzen. Diese Verbindung wird ausschließlich nach deiner ausdrücklichen Autorisierung über den Google-Anmeldedialog (OAuth) hergestellt und kann jederzeit widerrufen werden. Solange du dein Google-Konto nicht verbindest, werden keine Google-Nutzerdaten verarbeitet.

Berechtigungen (Scopes) und Zwecke:

Je nachdem, welche Funktion du aktivierst, fragen wir nur die dafür erforderlichen Berechtigungen ab:

  • Termin-Synchronisierung (calendar.app.created): Klausi legt in deinem Google-Kalender einen eigenen, von Klausi erstellten Kalender an und schreibt, ändert oder löscht ausschließlich die von Klausi selbst dort angelegten Termine. Auf deine übrigen Kalender und Termine greift Klausi mit dieser Berechtigung nicht zu.
  • Verfügbarkeit (calendar.calendarlist.readonly, calendar.events.freebusy): Klausi liest die Liste deiner Kalender (zur Auswahl) sowie deine Frei/Belegt-Zeiten, um deine Verfügbarkeit für die Terminbuchung zu ermitteln. Inhalte deiner Termine (Titel, Teilnehmer, Beschreibung) werden hierbei nicht gelesen.
  • Tagesplanung (calendar.calendarlist.readonly, calendar.events.readonly): Klausi liest – nur lesend – Termine aus den von dir ausgewählten Kalendern, um daraus deine persönliche Tages- und Planungsansicht zu erstellen.

Kategorien der verarbeiteten Daten:

  • OAuth-Zugriffs- und Aktualisierungstoken (Access-/Refresh-Token), die erteilten Berechtigungen (Scopes) und die Token-Gültigkeit
  • Je nach genutzter Funktion: Kalenderliste, Frei/Belegt-Zeiten und Termindaten
  • Eine Zuordnung zwischen Klausi-Einträgen und den von Klausi erstellten Google-Terminen (für die Synchronisierung)

Die E-Mail-Adresse deines Google-Kontos wird nicht abgefragt und nicht gespeichert.

Speicherung und Schutz:

Deine OAuth-Token werden verschlüsselt gespeichert (AES-256-GCM) und sind durch Zugriffskontrollen (Row Level Security) auf dein Konto beschränkt. Frei/Belegt- und Termindaten werden grundsätzlich nur zum Zeitpunkt der jeweiligen Anfrage verarbeitet und nicht dauerhaft vorgehalten; dauerhaft gespeichert wird lediglich die für die Synchronisierung notwendige Zuordnung der von Klausi erstellten Termine.

Weitergabe:

Wir geben deine Google-Nutzerdaten nicht an Dritte weiter und verkaufen sie nicht. Eine Ausnahme besteht nur, soweit dies zur Bereitstellung der von dir gewählten Funktion erforderlich ist: Nutzt du die Tagesplanung, können die hierfür relevanten Termindaten an unseren KI-Dienstleister Anthropic (Anthropic PBC) übermittelt werden, der sie ausschließlich zur Erstellung deiner Tagesplanung verarbeitet und nicht zum Training von KI-Modellen verwendet.

Löschung und Widerruf:

Du kannst die Verbindung jederzeit in den Einstellungen über „Verbindung trennen" beenden. Dabei widerrufen wir das erteilte Token bei Google und löschen die bei uns gespeicherten Google-Kalender-Daten (Token, Einstellungen, Zuordnungen). Bei Löschung deines Klausi-Kontos werden diese Daten ebenfalls vollständig gelöscht. Zusätzlich kannst du den Zugriff jederzeit direkt in deinem Google-Konto entziehen unter myaccount.google.com/permissions.

Limited Use (eingeschränkte Nutzung):

Die Nutzung und Weitergabe der von Google APIs erhaltenen Informationen durch Klausi unterliegt der Google API Services User Data Policy einschließlich der Anforderungen zur eingeschränkten Nutzung (Limited Use). Insbesondere verwenden wir die über Google APIs erhaltenen Daten ausschließlich, um die von dir genutzten und für dich sichtbaren Funktionen bereitzustellen und zu verbessern. Wir verwenden diese Daten nicht für Werbung, übertragen oder verkaufen sie nicht an Dritte (z. B. Datenbroker), nutzen sie nicht zur Bonitätsprüfung und nicht zum Training generalisierter KI- oder ML-Modelle. Menschen lesen diese Daten nicht, es sei denn, (a) du hast ausdrücklich eingewilligt, (b) es ist aus Sicherheits- oder Missbrauchsabwehrgründen bzw. zur Einhaltung geltenden Rechts erforderlich, oder (c) die Daten wurden zuvor aggregiert bzw. anonymisiert und werden für interne Betriebszwecke verwendet.

3.7 Anbindung externer KI-Clients (Model Context Protocol, MCP)

Du kannst dein Klausi-Konto optional über das Model Context Protocol (MCP) mit externen KI-Anwendungen (z. B. Claude, Cursor) verbinden, damit diese in deinem Auftrag auf deine Klausi-Daten zugreifen. Diese Verbindung wird ausschließlich nach deiner ausdrücklichen, separaten Einwilligung hergestellt und kann jederzeit widerrufen werden. Solange du keine Verbindung herstellst, findet keine solche Übermittlung statt.

Wege der Verbindung:

  • Connector (OAuth): Du bestätigst die Verbindung direkt in Klausi. Wählst du den claude.ai-Connector, werden die abgerufenen Daten an Anthropic (Anthropic PBC, USA) übermittelt.
  • Zugriffstoken (PAT): Du erstellst ein Token und trägst es in deinem KI-Client ein (z. B. Claude Desktop, Cursor). An welchen Anbieter die Daten dabei fließen, richtet sich nach dem von dir gewählten Client.

Kategorien der übermittelten Daten:

Je nach den von dir freigegebenen Berechtigungen (Scopes) können an den KI-Client übermittelt werden:

  • Lesen: Projekte, Aufgaben, Zeiterfassung, Notizen, Kunden- und CRM-Daten, Reisen, Buchungen, Leistungen
  • Bearbeiten: Anlegen und Ändern von Zeiten, Aufgaben, Notizen, Projekten und CRM-Einträgen
  • Finanzen lesen: Rechnungen und finanzielle Zusammenfassungen

Wichtig: Diese Daten enthalten regelmäßig auch personenbezogene Daten Dritter (z. B. Namen, E-Mail-Adressen und Telefonnummern deiner Kunden und Kontakte, Rechnungsempfänger, Gäste von Terminbuchungen).

Rechtsgrundlage und Verantwortlichkeit:

Für deine eigenen personenbezogenen Daten stützt sich die Übermittlung auf deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Soweit du über die Anbindung personenbezogene Daten Dritter übermittelst, bist du insoweit selbst Verantwortlicher (Art. 4 Nr. 7 DSGVO); CLOCKKNOCK handelt dabei als Auftragsverarbeiter auf deine Weisung. Du bist dafür verantwortlich, für diese Übermittlung eine eigene Rechtsgrundlage sicherzustellen und – soweit erforderlich – mit dem Anbieter des KI-Clients einen Auftragsverarbeitungsvertrag zu schließen. Eine Einwilligung kannst du für die Daten Dritter nicht an deren Stelle wirksam erteilen.

Drittlandtransfer:

Der von dir gewählte KI-Client und dessen Anbieter können ihren Sitz in einem Drittland (insbesondere USA) haben. Da du den KI-Client frei wählst und Klausi mit diesem keine vertragliche Beziehung unterhält, stellt Klausi für diese Übermittlung keine eigenen Garantien (z. B. Standardvertragsklauseln) bereit. Für ein angemessenes Schutzniveau dieser Übermittlung bist du selbst verantwortlich. Ergänzend gilt Abschnitt 6.

Protokollierung (Audit-Log):

Zur Sicherheit und Nachvollziehbarkeit protokollieren wir jeden Tool-Aufruf datenminimiert: Werkzeugname, Berechtigung, Status, betroffener Datensatztyp und dessen Kennung, ausschließlich die Schlüssel (nicht die Werte) der übergebenen Parameter sowie IP-Adresse und User-Agent der Anfrage. Inhalte der abgerufenen Daten werden nicht protokolliert. Diese Protokolle kannst du in deinem Konto einsehen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Missbrauchsabwehr).

Widerruf:

Du kannst die Einwilligung und alle erteilten Zugänge jederzeit in den Einstellungen (Bereich „Apps") widerrufen; dabei werden sämtliche Tokens sofort deaktiviert. Ein Widerruf lässt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung unberührt.

4

Cookies und ähnliche Technologien

Wir verwenden:

  • Technisch notwendige Cookies/Technologien, die für Login, Sicherheit und grundlegende Funktionen erforderlich sind. Diese können nicht deaktiviert werden, soweit der Dienst sonst nicht nutzbar wäre.
  • Optionale Cookies/Technologien für Analyse-Funktionen nur nach Einwilligung.

Details (Kategorien, Anbieter, Laufzeiten) werden im Cookie-Banner bzw. in den Cookie-Einstellungen angezeigt.

5

Empfänger und Dienstleister (Auftragsverarbeiter)

Wir setzen Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten (Auftragsverarbeiter). Dazu gehören insbesondere:

5.1 Hosting, Backend, Authentifizierung

  • Supabase (Backend-Infrastruktur, Datenbank, Authentifizierung). Verarbeitung innerhalb der EU, soweit konfiguriert.

5.2 Datei- und Medien-Speicherung sowie KI-gestützte Funktionen

  • Google Cloud / Google LLC (Datei- und Medien-Speicherung; ggf. KI-gestützte Funktionen wie Transkription oder Textverarbeitung, sofern von dir genutzt)

5.3 Zahlungsdienstleister

  • Stripe (Zahlungsabwicklung und Abrechnungsverwaltung)

5.4 E-Mail-Dienstleister

  • Externer E-Mail-Dienstleister für System- und Transaktions-E-Mails (Anbietername wird in der jeweils aktuellen Version dieser Erklärung bzw. in einer Subprozessorenliste ausgewiesen)

5.5 Kartenfunktionen

  • Mapbox (Darstellung von Karten, Routen und Entfernungen). Bei Nutzung der Kartenfunktionen werden technische Daten (insb. IP-Adresse) an Mapbox übermittelt.

5.6 Subprozessorenliste (optional, empfohlen)

Sofern verfügbar, führen wir eine aktuelle Liste unserer Auftragsverarbeiter/Subauftragsverarbeiter unter: https://klausi.app (Bereich Datenschutz/Subprozessoren).

6

Drittlandtransfers (insbesondere USA)

Einige Dienstleister können Daten in Drittländern (insbesondere USA) verarbeiten oder darauf zugreifen. Soweit dies der Fall ist, stützen wir Übermittlungen – je nach Dienstleister und Datenfluss – auf:

  • Einen Angemessenheitsbeschluss (z. B. EU-US Data Privacy Framework), sofern der Dienstleister zertifiziert ist, und/oder
  • Standardvertragsklauseln der EU-Kommission sowie ergänzende technische und organisatorische Maßnahmen.

Es kann ein Restrisiko nicht vollständig ausgeschlossen werden, dass Behörden in Drittländern Zugriff auf Daten erhalten.

Sonderfall KI-Anbindung: Bei der optionalen Verbindung externer KI-Clients (Abschnitt 3.7) wählst du den Empfänger selbst. Für die dabei stattfindende Übermittlung – auch in Drittländer – bist du als Verantwortlicher zuständig; Klausi stellt für diesen Datenfluss keine eigenen Garantien bereit (siehe Abschnitt 3.7).

7

Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Typische Speicherfristen:

  • Kontodaten und Inhaltsdaten: bis zur Löschung des Accounts, sofern keine längere Speicherung erforderlich ist
  • Abrechnungs- und buchungsrelevante Daten: gemäß handels- und steuerrechtlicher Aufbewahrungspflichten
  • Sicherheits- und Fehlerlogs: grundsätzlich bis zu 30 Tage, längere Speicherung nur, wenn dies zur Aufklärung von Sicherheitsvorfällen erforderlich ist
  • Dateiuploads: bis zur Löschung durch dich oder im Rahmen der Accountlöschung; technische Löschung spätestens innerhalb von 7 Tagen, vorbehaltlich Backup-Zyklen
  • MCP-Anbindung: Einwilligungs- und Token-Nachweise sowie das Protokoll der KI-Anbindung (Audit-Log) werden bis zum Widerruf bzw. bis zur Löschung deines Kontos gespeichert

Backups:

Daten können in Backups für einen begrenzten Zeitraum gespeichert sein und werden im Rahmen der Backup-Zyklen überschrieben bzw. gelöscht.

8

Deine Rechte

Du hast die folgenden Rechte nach der DSGVO:

  • Auskunft (Art. 15)
  • Berichtigung (Art. 16)
  • Löschung (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21), soweit Verarbeitung auf Art. 6 Abs. 1 lit. f beruht
  • Widerruf von Einwilligungen (Art. 7 Abs. 3)

Zur Ausübung deiner Rechte genügt eine E-Mail an hello@klausi.app.

Beschwerderecht:

Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat deines gewöhnlichen Aufenthalts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

9

Pflicht zur Bereitstellung von Daten

Ohne bestimmte Daten (insb. E-Mail-Adresse und Login-Daten) können wir Konto und Dienst nicht bereitstellen. Optionale Angaben sind entsprechend gekennzeichnet.

10

Keine automatisierten Einzelfallentscheidungen

Wir treffen keine automatisierten Entscheidungen einschließlich Profiling im Sinne von Art. 22 DSGVO, die dir gegenüber rechtliche Wirkung entfalten oder dich in ähnlicher Weise erheblich beeinträchtigen. Sofern einzelne Sicherheitsmechanismen automatisiert auslösen (z. B. Missbrauchserkennung), erfolgt dies zum Schutz des Dienstes und kann manuell überprüft werden.

11

Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung, wenn dies aus rechtlichen oder technischen Gründen erforderlich ist.

Die jeweils aktuelle Version ist unter https://klausi.app/datenschutz abrufbar.