Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

Karl – Eventlocation-CRM
Isadora Riege
Baumhofstr. 49
44799 Bochum
Deutschland
E-Mail: info@get-karl.de

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich. Vollständige Anbieterangaben siehe Impressum.

2. Begriffsbestimmungen

Diese Datenschutzerklärung verwendet die in Art. 4 DSGVO definierten Begriffe (u. a. personenbezogene Daten, Verarbeitung, Verantwortlicher, Auftragsverarbeiter, Einwilligung, betroffene Person).

3. Rechte der betroffenen Personen

Sie haben jederzeit folgende Rechte:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO).
• Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO).
• Löschung Ihrer Daten („Recht auf Vergessenwerden", Art. 17 DSGVO).
• Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Datenübertragbarkeit (Art. 20 DSGVO).
• Widerspruch gegen Verarbeitungen, die auf einem berechtigten Interesse beruhen (Art. 21 DSGVO), insbesondere gegen Direktwerbung.
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
• Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO). Zuständig für den Verantwortlichen ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestr. 2–4, 40213 Düsseldorf.

Anfragen zur Ausübung Ihrer Rechte richten Sie formlos an info@get-karl.de.

4. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO, um Ihre Daten gegen unberechtigten Zugriff, Verlust, Veränderung oder Zerstörung zu schützen. Dazu gehören insbesondere Transportverschlüsselung (TLS), verschlüsselte Speicherung von Passwörtern (Hashing), rollenbasierte Zugriffskontrollen, regelmäßige Backups sowie die Protokollierung sicherheitsrelevanter Vorgänge.

5. Bereitstellung der Website (Server-Logfiles)

Beim Aufruf der Website werden durch unseren Hosting-Anbieter automatisch Informationen erhoben, die Ihr Browser übermittelt. Dies sind:

• IP-Adresse (gekürzt bzw. anonymisiert)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL und Referrer-URL
• Browser-Typ, Browser-Version und Betriebssystem
• HTTP-Statuscode und übertragene Datenmenge

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherstellung eines stabilen, funktionalen und sicheren Betriebs sowie der Abwehr von Angriffen. Die Daten werden spätestens nach 30 Tagen gelöscht, soweit nicht im Einzelfall eine längere Speicherung zur Aufklärung eines Sicherheitsvorfalls erforderlich ist.

6. Hosting und Auslieferung der Anwendung

Karl wird gehostet bei der Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Die Auslieferung erfolgt über das globale CDN von Vercel, primär aus Rechenzentren innerhalb der EU. Mit Vercel besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO einschließlich EU-Standardvertragsklauseln. Vercel ist nach dem EU-U.S. Data Privacy Framework zertifiziert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und f DSGVO.

7. Web-Analyse (Vercel Analytics)

Wir setzen Vercel Web Analytics ein, um die Nutzung unserer öffentlichen Seiten statistisch auszuwerten. Vercel Analytics arbeitet cookielos und ohne dauerhafte Identifikatoren. Es werden aggregierte Daten (z. B. Seitenaufrufe, Verweildauer, Gerätekategorie, Herkunftsland) erhoben. Da hierbei kurzzeitig technische Metadaten Ihres Endgeräts ausgelesen werden, holen wir vorab Ihre Einwilligung ein. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG. Die Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

8. Cookies und vergleichbare Technologien

Wir verwenden technisch notwendige Cookies und lokale Speichermechanismen, um Authentifizierung, Sitzungsverwaltung und sicherheitsrelevante Funktionen (z. B. CSRF-Schutz) bereitzustellen. Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. b DSGVO. Nicht erforderliche Cookies werden ausschließlich auf Grundlage Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO gesetzt. Details siehe Cookie-Richtlinie.

9. Registrierung und Account-Verwaltung

Für die Nutzung von Karl ist die Anlage eines Kontos erforderlich. Verarbeitet werden:

• Vor- und Nachname
• E-Mail-Adresse
• Passwort (ausschließlich als Hash gespeichert)
• Rolle und Berechtigungen innerhalb des Workspaces
• Zeitstempel zu Anmeldung, Login und Sicherheitsereignissen

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen). Authentifizierung und Speicherung erfolgen über unseren Auftragsverarbeiter Supabase (vgl. Ziffer 14).

10. Verarbeitung von Inhaltsdaten in Karl

Im Rahmen der Nutzung legen Sie Daten zu Ihrem Eventbetrieb an, insbesondere:

• Kundendaten (Name, Anschrift, Telefon, E-Mail, Firma, Notizen)
• Buchungs- und Angebotsdaten, Veranstaltungsdetails, Preise
• Kommunikationsverläufe und Termine
• hochgeladene Dokumente und Dateien

Soweit diese Daten personenbezogen sind und sich auf Ihre eigenen Kunden oder Kontakte beziehen, sind Sie gegenüber diesen Personen datenschutzrechtlich verantwortlich. Wir verarbeiten diese Daten als Auftragsverarbeiter im Sinne des Art. 28 DSGVO ausschließlich nach Ihren Weisungen auf Grundlage der Auftragsverarbeitungsvereinbarung (AVV), die als Anhang Bestandteil unserer AGB ist. Rechtsgrundlage für die Verarbeitung durch uns als Anbieter ist Art. 6 Abs. 1 lit. b DSGVO; für Ihre Verarbeitung als Verantwortlicher ist eine eigene Rechtsgrundlage erforderlich.

11. E-Mail-Integration (IMAP/SMTP, Google, Microsoft)

Karl bietet optional die Anbindung Ihres E-Mail-Postfachs über IMAP/SMTP sowie über OAuth-Schnittstellen von Google (Gmail) und Microsoft (Outlook/Microsoft 365). Bei aktivierter Anbindung verarbeiten wir:

• Zugangsdaten bzw. OAuth-Tokens (verschlüsselt gespeichert)
• Metadaten und Inhalte einzelner E-Mails, die einem Vorgang in Karl zugeordnet werden
• Absender-, Empfänger- und Zeitstempel-Informationen

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, soweit sensible Inhalte verarbeitet werden. Die Anbindung können Sie jederzeit in den Einstellungen widerrufen. Verbindungen zu Google und Microsoft werden im Rahmen der OAuth-Berechtigung ausschließlich für den von Ihnen gewählten Funktionsumfang genutzt; eine Auswertung Ihrer E-Mails zu Werbe- oder Trainingszwecken findet nicht statt.

12. KI-gestützte Funktionen

Karl nutzt für bestimmte Funktionen (z. B. Vorschläge für Antworten, Zusammenfassungen, Klassifizierungen) die API von OpenAI, Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland. Dabei werden ausschließlich die für die jeweilige Funktion erforderlichen Inhalte (z. B. der Text einer E-Mail, eine Beschreibung) an OpenAI übermittelt. OpenAI verarbeitet diese Daten gemäß seinem Data Processing Addendum als Auftragsverarbeiter und nutzt API-Inhalte vertraglich zugesichert nicht für das Training von Modellen. Eine Übermittlung in die USA kann stattfinden und ist durch EU-Standardvertragsklauseln abgesichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie unser berechtigtes Interesse an einer produktiven Bereitstellung des Dienstes (Art. 6 Abs. 1 lit. f DSGVO). KI-Funktionen lassen sich in den Einstellungen deaktivieren.

13. Zahlungsabwicklung (Stripe)

Für die Abwicklung kostenpflichtiger Abonnements nutzen wir den Zahlungsdienstleister Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Bei Buchung eines kostenpflichtigen Plans werden die zur Zahlungsabwicklung erforderlichen Daten (Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsmittel-Daten, Transaktions-ID, Zahlungsstatus) direkt an Stripe übermittelt. Vollständige Zahlungsdaten (z. B. Kartennummern) werden ausschließlich von Stripe verarbeitet und gespeichert; Karl erhält und speichert nur eine pseudonyme Kunden-Referenz und den Abrechnungsstatus. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Eine Übermittlung an die Konzernmutter Stripe, Inc. in den USA kann stattfinden und ist durch EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert. Details: Stripe Datenschutzerklärung.

14. Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir Ihre Angaben (Name, E-Mail-Adresse, Inhalt der Nachricht) zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anfragen, im Übrigen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung). Die Nachrichten werden gelöscht, sobald sie für den Zweck nicht mehr erforderlich sind, spätestens nach Ablauf gesetzlicher Aufbewahrungsfristen.

15. Auftragsverarbeiter und Empfänger

Wir setzen sorgfältig ausgewählte Auftragsverarbeiter ein. Mit allen Anbietern bestehen Verträge nach Art. 28 DSGVO. Eingesetzt werden insbesondere:

• Supabase – Supabase Inc., 970 Toa Payoh North, #07-04, Singapore 318992 (Hosting der Datenbank, Authentifizierung, Dateiablage, Versand von System-E-Mails wie Bestätigungen und Passwort-Rücksetzung; Datenhaltung in EU-Region Frankfurt). Drittlandtransfers werden durch EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.
• Vercel – Vercel Inc., USA (Anwendungs-Hosting, Analytics). EU-U.S. Data Privacy Framework, ergänzend EU-Standardvertragsklauseln.
• Stripe – Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (Zahlungsabwicklung). Übermittlung in die USA an Stripe, Inc. auf Grundlage von EU-Standardvertragsklauseln.
• OpenAI – OpenAI Ireland Ltd. (KI-Funktionen). Übermittlung in die USA auf Grundlage von Standardvertragsklauseln.
• Google / Microsoft – OAuth- und Mail-Anbieter, nur bei aktiver Postfach-Anbindung durch Sie.

Eine Weitergabe an Behörden erfolgt nur, soweit wir hierzu gesetzlich verpflichtet sind.

16. Übermittlung in Drittländer

Soweit Daten an Empfänger außerhalb der EU/des EWR übermittelt werden, erfolgt dies entweder auf Grundlage eines Angemessenheitsbeschlusses (z. B. EU-U.S. Data Privacy Framework), durch EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO oder mit Ihrer ausdrücklichen Einwilligung (Art. 49 Abs. 1 lit. a DSGVO). Auf Anfrage stellen wir Ihnen die getroffenen Garantien zur Verfügung.

17. Speicherdauer

Personenbezogene Daten werden so lange gespeichert, wie es zur Erfüllung der genannten Zwecke erforderlich ist. Account- und Inhaltsdaten werden für die Dauer der Vertragsbeziehung gespeichert und innerhalb von 30 Tagen nach Vertragsende gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Handels- und steuerrechtliche Aufbewahrungspflichten betragen in der Regel sechs (§ 257 HGB) bzw. acht oder zehn Jahre (§ 147 AO). Server-Logfiles werden nach 30 Tagen gelöscht.

18. Automatisierte Entscheidungen und Profiling

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt. KI-gestützte Vorschläge in Karl sind ausschließlich unterstützender Natur und entfalten keine rechtliche Wirkung gegenüber Ihnen oder Dritten.

19. Pflicht zur Bereitstellung der Daten

Die Bereitstellung der für die Vertragsdurchführung erforderlichen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne diese Daten ist die Nutzung von Karl jedoch nicht möglich.

20. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen, eingesetzte Dienstleister oder rechtliche Rahmenbedingungen ändern. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar. Wesentliche Änderungen kommunizieren wir aktiv.