Datenschutzerklärung
Zuletzt aktualisiert: [DATUM] · Version [VERSION]
Diese Erklärung beschreibt, wie Workshopmatic (der Dienst) personenbezogene Daten erhebt, nutzt, speichert und schützt, wenn Sie die gehostete Version des Dienstes verwenden. Sie orientiert sich an der EU-Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).
1. Verantwortlicher
Für die gehostete (SaaS) Version des Dienstes ist Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten:
- [NAME DES BETREIBERS]
- [STRASSE HAUSNUMMER], [PLZ ORT], [LAND]
- E-Mail: [KONTAKT-E-MAIL]
- Verantwortliche Person: [NAME VERANTWORTLICHE PERSON]
Falls Sie einen Datenschutzbeauftragten benannt haben oder benennen müssen, ergänzen Sie hier dessen Kontaktdaten: [NAME UND KONTAKT DSB, FALLS ZUTREFFEND].
2. Self-Hosting-Bereitstellungen
Wenn Sie den Dienst in Ihrer eigenen Cloud betreiben, sind Sie Verantwortlicher, nicht wir.
Der Dienst kann von einem Kunden in dessen eigener Infrastruktur selbst gehostet werden. In diesem Fall ist der hostende Kunde alleiniger Verantwortlicher für alle in seiner Bereitstellung verarbeiteten personenbezogenen Daten. [NAME DES BETREIBERS] erhält, hostet oder verarbeitet keine personenbezogenen Daten aus einer Self-Hosting-Bereitstellung, und diese Erklärung gilt nicht für diese Verarbeitung. Der selbst hostende Kunde ist für seine eigene Datenschutzerklärung, Rechtsgrundlagen, Auftragsverarbeiterverträge und Betroffenenanfragen verantwortlich.
3. Welche Daten wir erheben
| Kategorie | Inhalt | Herkunft |
|---|---|---|
| Kontodaten | E-Mail-Adresse, Anzeigename, Authentifizierungskennungen, Passwort-Hash oder Google-Anmeldekennung | Von Ihnen, bei der Registrierung |
| Workshop-Inhalte | Agenden, Methoden, Notizen, Board-Einträge, Teilnehmereingaben und KI-generierte Zusammenfassungen, die Sie erstellen oder hochladen | Von Ihnen und Ihren Teilnehmenden, bei der Nutzung |
| Nutzungsdaten | Funktionsnutzung, Sitzungszahlen, der KI-Aufrufzähler, Fehlerprotokolle, technische Metadaten (Browser, Gerätetyp) | Automatisch, während der Nutzung |
| Zahlungsdaten | Abostufe, Abrechnungsstatus und eine Kundenreferenz. Kartendaten werden von Stripe verarbeitet und niemals auf unseren Servern gespeichert | Von Ihnen, über Stripe beim Bezahlvorgang |
4. Zwecke und Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b): Anlegen und Verwalten Ihres Kontos, Bereitstellung des Dienstes, Durchführung von Workshops, Speicherung Ihrer Inhalte und Abwicklung Ihres Abonnements.
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f): Absicherung des Dienstes, Missbrauchsprävention, grundlegende Produktanalyse und Betrieb des KI-Aufrufzählers zur Durchsetzung von Plan-Limits. Wir wahren dabei eine Abwägung mit Ihren Rechten, und Sie können widersprechen (siehe Abschnitt 9).
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Aufbewahrung von Rechnungen und Steuerunterlagen, soweit gesetzlich vorgeschrieben.
- Einwilligung (Art. 6 Abs. 1 lit. a): jede optionale Verarbeitung, die einer Einwilligung bedarf, etwa nicht notwendige Kommunikation. Sie können Ihre Einwilligung jederzeit widerrufen.
5. KI-Verarbeitung
Die KI-Funktionen zur Co-Moderation verarbeiten die von Ihnen eingereichten Workshop-Inhalte, um Vorschläge, Zusammenfassungen und Empfehlungen zu erzeugen. Diese Verarbeitung läuft auf Google Vertex AI (Gemini- oder Claude-Modelle auf Vertex) innerhalb einer EU-Region. Ihre Inhalte werden ausschließlich zur Erzeugung der angeforderten Ausgabe an Vertex AI übermittelt. Wir senden Ihre Daten an keine Drittanbieter-KI-API außerhalb von Google Cloud, und es findet kein Datenabfluss an externe Modellanbieter statt.
6. Auftragsverarbeiter (Sub-Prozessoren)
Wir setzen folgende Auftragsverarbeiter ein, um den Dienst bereitzustellen. Jeder ist durch einen Auftragsverarbeitungsvertrag gebunden und verarbeitet Daten nur nach unseren Weisungen.
| Auftragsverarbeiter | Zweck | Region |
|---|---|---|
| Google Cloud / Firebase (Hosting, Firestore, Firebase Authentication) | Anwendungs-Hosting, Datenbankspeicherung, Nutzer-Authentifizierung | EU-Region |
| Google Vertex AI | KI-Co-Moderation (Gemini oder Claude auf Vertex) | EU-Region, Inferenz in der Region |
| Stripe | Zahlungsabwicklung und Abo-Abrechnung | EU / global, mit DSGVO-Garantien |
Ergänzen oder entfernen Sie Auftragsverarbeiter hier, wenn sich Ihr Stack ändert: [WEITERE AUFTRAGSVERARBEITER, FALLS VORHANDEN].
7. Internationale Datenübermittlung
Der Dienst wird in der EU gehostet, und wir belassen personenbezogene Daten in der EU, wo immer der Dienst dies erlaubt. Soweit ein Auftragsverarbeiter (zum Beispiel Stripe) begrenzte Daten außerhalb der EU oder des EWR verarbeitet, ist diese Übermittlung durch geeignete Garantien nach Kapitel V DSGVO abgesichert, etwa die Standardvertragsklauseln der Europäischen Kommission. Details zu diesen Garantien können Sie über den oben genannten Kontakt anfragen.
8. Speicherdauer
- Konto- und Workshop-Daten: solange Ihr Konto aktiv ist. Nach Schließung Ihres Kontos löschen oder anonymisieren wir die Daten innerhalb von [AUFBEWAHRUNGSFRIST, z. B. 30 Tagen], sofern keine gesetzliche Pflicht zu längerer Aufbewahrung besteht.
- Abrechnungs- und Rechnungsunterlagen: Aufbewahrung für die gesetzliche Frist (in Deutschland in der Regel bis zu 10 Jahre).
- Protokoll- und Nutzungsdaten: Aufbewahrung für [PROTOKOLL-FRIST, z. B. 90 Tage], danach gelöscht oder aggregiert.
9. Ihre Rechte
Nach der DSGVO haben Sie das Recht auf:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15).
- Berichtigung unrichtiger oder unvollständiger Daten (Art. 16).
- Löschung Ihrer Daten, Recht auf Vergessenwerden (Art. 17).
- Einschränkung der Verarbeitung in bestimmten Fällen (Art. 18).
- Datenübertragbarkeit, also Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format (Art. 20).
- Widerspruch gegen eine auf berechtigten Interessen beruhende Verarbeitung (Art. 21).
- Widerruf der Einwilligung jederzeit, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.
Zur Ausübung dieser Rechte wenden Sie sich an [KONTAKT-E-MAIL]. Wir antworten innerhalb eines Monats. Sie haben zudem das Recht, sich bei einer Aufsichtsbehörde zu beschweren, in Deutschland bei Ihrer zuständigen Landesdatenschutzbehörde: [NAME UND KONTAKT DER AUFSICHTSBEHOERDE].
10. Sicherheit
Wir treffen technische und organisatorische Maßnahmen, die dem Risiko angemessen sind, darunter Verschlüsselung bei der Übertragung, Zugriffskontrollen und Speicherung in einer EU-Region. Keine Übertragungs- oder Speichermethode ist vollständig sicher, daher können wir keine absolute Sicherheit garantieren.
11. Änderungen dieser Erklärung
Wir können diese Erklärung anpassen, wenn sich der Dienst oder die Rechtslage ändert. Wir veröffentlichen die neue Version hier mit aktualisiertem Datum und informieren Sie bei wesentlichen Änderungen per E-Mail oder in der App.
12. Kontakt
Fragen zu dieser Erklärung oder Ihren Daten: [KONTAKT-E-MAIL].