Datenschutzerklärung für „Knüpf"
Stand: Juli 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Betrieb der Web-App „Knüpf" (nachfolgend „App") ist:
Daniel Schaller [STRASSE HAUSNUMMER] [PLZ ORT], Deutschland E-Mail: [E-MAIL-ADRESSE]
Ein Datenschutzbeauftragter ist nicht benannt, da die gesetzlichen Voraussetzungen für eine Benennungspflicht (Art. 37 DSGVO, § 38 BDSG) derzeit nicht vorliegen.
2. Was „Knüpf" ist — und die zwei Rollen der Datenverarbeitung
Knüpf ist ein digitales Beziehungs- und Netzwerk-Gedächtnis: Nutzerinnen und Nutzer erfassen Informationen über ihre beruflichen Kontakte (Dritte), um Beziehungen besser zu pflegen. Daraus ergeben sich zwei klar zu trennende Verarbeitungsverhältnisse:
2.1 Verarbeitung Ihrer eigenen Daten (wir sind Verantwortlicher)
Für die Daten, die Sie selbst als Nutzer betreffen (Nutzerkonto, Anmeldedaten, technische Zugriffsdaten, Kommunikation mit uns), sind wir Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Für diese Verarbeitungen gilt diese Datenschutzerklärung unmittelbar.
2.2 Verarbeitung von Kontaktdaten Dritter (Sie sind Verantwortlicher, wir sind Auftragsverarbeiter)
Die Inhaltsdaten, die Sie in der App über Ihre Kontakte anlegen — Namen, Firmen, E-Mail-Adressen, Telefonnummern, Gesprächsnotizen, persönliche Merk-Hooks, Sprachtranskripte — betreffen dritte Personen. Für diese Daten gilt:
- Sie als Nutzer sind datenschutzrechtlich Verantwortlicher (Art. 4 Nr. 7 DSGVO), soweit Sie die App im beruflichen oder geschäftlichen Kontext (B2B) einsetzen. Sie entscheiden allein, welche Kontakte Sie erfassen, welche Informationen Sie notieren und wie lange Sie diese aufbewahren.
- Wir verarbeiten diese Daten ausschließlich in Ihrem Auftrag und nach Ihrer Weisung als Auftragsverarbeiter (Art. 28 DSGVO). Wir nutzen diese Inhaltsdaten nicht für eigene Zwecke, werten sie nicht aus, verkaufen sie nicht und verwenden sie nicht zu Werbe- oder Trainingszwecken.
- Grundlage dieser Auftragsverarbeitung ist ein Auftragsverarbeitungsvertrag (AVV) zwischen Ihnen und uns, der Bestandteil der Nutzungsbedingungen ist bzw. gesondert abgeschlossen wird: [LINK ZUM AVV].
- Wir setzen für diese Verarbeitung die in Abschnitt 8 genannten Unterauftragsverarbeiter ein, die wir Ihnen im AVV benennen.
Ihre Pflichten als Verantwortlicher: Wenn Sie personenbezogene Daten Dritter in Knüpf erfassen, benötigen Sie hierfür eine eigene Rechtsgrundlage — im B2B-Kontext regelmäßig das berechtigte Interesse an Kontaktpflege und Geschäftsanbahnung (Art. 6 Abs. 1 lit. f DSGVO). Zudem können Informationspflichten gegenüber den erfassten Personen bestehen (Art. 14 DSGVO), soweit keine Ausnahme (z. B. Art. 14 Abs. 5 DSGVO, unverhältnismäßiger Aufwand) greift. Bitte erfassen Sie keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO — z. B. Gesundheitsdaten, politische Meinungen, religiöse Überzeugungen) über Ihre Kontakte.
Hinweis für rein private Nutzung: Bei ausschließlich persönlicher oder familiärer Nutzung kann die sog. Haushaltsausnahme (Art. 2 Abs. 2 lit. c DSGVO) greifen; für uns als Anbieter gilt die DSGVO gleichwohl.
3. Rechtsgrundlagen im Überblick
Soweit wir Verantwortlicher sind, verarbeiten wir Daten auf folgenden Grundlagen:
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Bereitstellung des Nutzerkontos, Login, Kernfunktionen | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
| Technisch notwendige Server-Logs, Session-Cookies, IT-Sicherheit | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: sicherer, stabiler Betrieb); § 25 Abs. 2 Nr. 2 TDDDG |
| Microsoft-365-Anbindung (optional) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive OAuth-Verbindung, jederzeit widerrufbar) |
| Erfüllung gesetzlicher Pflichten (z. B. Aufbewahrung) | Art. 6 Abs. 1 lit. c DSGVO |
4. Nutzerkonto (Registrierung und Login)
Bei der Registrierung verarbeiten wir:
- Name
- E-Mail-Adresse
- Passwort (ausschließlich als kryptografischer Hash gespeichert; wir haben zu keinem Zeitpunkt Kenntnis Ihres Klartext-Passworts)
Zweck: Einrichtung und Betrieb Ihres Nutzerkontos, Authentifizierung, ggf. transaktionale E-Mails (z. B. Passwort-Zurücksetzung). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: bis zur Löschung Ihres Kontos (siehe Abschnitt 10).
5. Cookies und Server-Logs
5.1 Cookies
Die App verwendet ausschließlich technisch notwendige Session-Cookies zur Aufrechterhaltung Ihrer Anmeldung. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich: Das Speichern technisch unbedingt erforderlicher Cookies ist nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei; die anschließende Datenverarbeitung stützt sich auf Art. 6 Abs. 1 lit. b und f DSGVO. Session-Cookies werden mit Ende der Sitzung bzw. beim Logout gelöscht.
5.2 Hosting und Server-Logfiles (Vercel)
Die App wird gehostet bei Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA. Beim Aufruf der App verarbeitet Vercel technisch bedingt insbesondere: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene URL, Referrer-URL, Browser-Typ/-Version und Betriebssystem. Diese Daten dienen der Auslieferung der App, der Stabilität und der IT-Sicherheit (Art. 6 Abs. 1 lit. f DSGVO). Server-Logs werden nach kurzer Zeit automatisch gelöscht [KONKRETE LOG-AUFBEWAHRUNGSDAUER PRÜFEN/EINTRAGEN]. Mit Vercel besteht ein Auftragsverarbeitungsvertrag (DPA); zur Drittlandübermittlung siehe Abschnitt 9.
6. Datenbank (Neon)
Sämtliche Anwendungsdaten (Nutzerkonten und die von Ihnen erfassten Kontaktdaten) werden in einer PostgreSQL-Datenbank bei Neon Inc. [ANSCHRIFT NEON EINTRAGEN, z. B. 2261 Market Street, San Francisco, CA, USA] gespeichert, Serverstandort: [REGION EINTRAGEN — z. B. AWS eu-central-1, Frankfurt; EU-Region dringend empfohlen]. Die Datenbankverbindung ist transportverschlüsselt; Daten werden verschlüsselt gespeichert (Encryption at Rest). Mit Neon besteht ein Auftragsverarbeitungsvertrag (DPA); zur Drittlandübermittlung siehe Abschnitt 9.
7. KI-gestützte Strukturierung (Anthropic Claude API)
Kernfunktion der App ist die Umwandlung Ihrer Eingaben (insbesondere Sprachtranskripte und Freitext-Notizen, die Kontaktdaten Dritter enthalten können) in strukturierte Einträge. Hierzu übermitteln wir die betreffenden Inhalte an die Claude-API von Anthropic (Anthropic PBC, 500 Howard Street, San Francisco, CA 94105, USA [bzw. bei EU-Vertragspartner: Anthropic Ireland Ltd. — VERTRAGSPARTNER PRÜFEN]).
Wichtige Punkte:
- Die Übermittlung erfolgt ausschließlich zur Verarbeitung im Einzelfall (Strukturierung, Zusammenfassung, Extraktion). Es findet keine Profilbildung durch uns statt.
- Anthropic verarbeitet API-Daten nach seinen Commercial Terms nicht zum Training seiner KI-Modelle.
- Mit Anthropic besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum mit EU-Standardvertragsklauseln), der automatisch Bestandteil der Commercial Terms ist.
- API-Eingaben und -Ausgaben werden von Anthropic nur zeitlich begrenzt gespeichert [AKTUELLE RETENTION-EINSTELLUNG PRÜFEN UND KONKRET BENENNEN; sofern eine Zero-Data-Retention-Vereinbarung besteht: „Es besteht eine Zero-Data-Retention-Vereinbarung; Ein- und Ausgaben werden nach der Verarbeitung nicht gespeichert, ausgenommen gesetzlich erforderliche Fälle und Missbrauchsbekämpfung."].
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kernfunktion des Dienstes) bzw. — für Kontaktdaten Dritter — die Auftrags-/Unterauftragsverarbeitung nach Abschnitt 2.2.
- Zur Drittlandübermittlung siehe Abschnitt 9.
Transparenzhinweis (KI): Die Strukturierungsvorschläge werden durch ein KI-System erzeugt. Es findet keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO statt; alle Ergebnisse sind Vorschläge, die Sie prüfen und ändern können.
8. Optionale Integrationen
8.1 Microsoft 365 / Graph API (optional, nur nach Ihrer aktiven Verbindung)
Sie können Ihr Microsoft-Konto freiwillig per OAuth verbinden. Erst nach dieser aktiven Verbindung — und nur im Umfang der von Ihnen im Microsoft-Consent-Dialog erteilten Berechtigungen — greift die App auf die Microsoft Graph API zu (Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland):
- Senden von E-Mails in Ihrem Namen (Berechtigung
Mail.Send): nur bei von Ihnen ausgelöstem Versand. - Lesen Ihres Postausgangs (Berechtigung
Mail.Read) zur Analyse Ihres Schreibstils, damit E-Mail-Entwürfe in Ihrem Ton formuliert werden. Die gelesenen E-Mails werden hierzu an die Claude-API übermittelt (siehe Abschnitt 7); gespeichert wird nur das abgeleitete Stilprofil, nicht der E-Mail-Inhalt [TECHNISCHE UMSETZUNG PRÜFEN UND GGF. ANPASSEN].
Rechtsgrundlage: Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), erteilt durch den OAuth-Verbindungsvorgang. Sie können die Verbindung jederzeit in der App oder unter https://myaccount.microsoft.com (Apps und Berechtigungen) mit Wirkung für die Zukunft widerrufen. OAuth-Tokens werden verschlüsselt gespeichert und bei Trennung der Verbindung gelöscht.
8.2 Kalender-Feed (ICS-Abonnement)
Die App stellt Ihnen einen persönlichen Kalender-Feed als tokenbasierte ICS-URL bereit, den Sie z. B. in Apple Kalender abonnieren können. Dabei ruft Ihr Kalenderprogramm die Termindaten von unserem Server ab; wir übermitteln keine Daten aktiv an Apple. Die URL enthält ein geheimes Token als Zugangsschutz — behandeln Sie sie wie ein Passwort und geben Sie sie nicht weiter. Bei Bedarf können Sie das Token in der App zurücksetzen (die alte URL wird damit ungültig). Für die Verarbeitung der abgerufenen Daten in Ihrem Kalenderdienst (z. B. Apple iCloud) gelten die Datenschutzbestimmungen des jeweiligen Anbieters. Rechtsgrundlage der Bereitstellung: Art. 6 Abs. 1 lit. b DSGVO.
9. Empfänger und Übermittlung in Drittländer (insbesondere USA)
Wir setzen folgende Auftragsverarbeiter bzw. Unterauftragsverarbeiter ein:
| Dienstleister | Zweck | Sitz | Übermittlungsgrundlage |
|---|---|---|---|
| Vercel Inc. | Hosting, Auslieferung der App | USA | EU-US Data Privacy Framework (zertifiziert) und EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) |
| Neon Inc. | PostgreSQL-Datenbank | USA (Serverstandort: [REGION]) | EU-Standardvertragsklauseln; [DPF-ZERTIFIZIERUNG PRÜFEN] |
| Anthropic PBC | KI-Strukturierung (Claude API) | USA | EU-Standardvertragsklauseln (im DPA enthalten); [DPF-ZERTIFIZIERUNG PRÜFEN] |
| Microsoft Ireland Operations Ltd. | Graph API (nur bei aktiver Verbindung) | Irland/EU; konzernintern ggf. USA | EU-US Data Privacy Framework und EU-Standardvertragsklauseln |
Bei Übermittlungen in die USA stützen wir uns auf den Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF), soweit der jeweilige Anbieter zertifiziert ist, sowie ergänzend und unabhängig davon auf die EU-Standardvertragsklauseln (SCC) mit zusätzlichen technischen Schutzmaßnahmen (Transportverschlüsselung, Verschlüsselung im Ruhezustand, Pseudonymisierung soweit möglich). Hintergrund: Der Fortbestand des DPF ist Gegenstand laufender gerichtlicher Verfahren; die doppelte Absicherung stellt sicher, dass Übermittlungen auch bei einem Wegfall des Angemessenheitsbeschlusses auf einer gültigen Grundlage beruhen. Eine Kopie der Garantien können Sie über die in Abschnitt 1 genannten Kontaktdaten anfordern.
Eine Weitergabe an sonstige Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet. Es findet keine Werbung, kein Tracking und keine Web-Analyse statt.
10. Speicherdauer und Löschung
- Nutzerkonto: bis zur Löschung durch Sie oder bis zur Beendigung des Nutzungsverhältnisses; anschließend Löschung binnen [30] Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Kontaktdaten Dritter (Inhaltsdaten): Sie bestimmen die Speicherdauer selbst; Sie können Einträge jederzeit einzeln löschen. Mit Löschung Ihres Kontos werden sämtliche Inhaltsdaten gelöscht. Backups werden nach spätestens [BACKUP-ZYKLUS, z. B. 30 Tagen] überschrieben.
- Server-Logs: [AUFBEWAHRUNGSDAUER] — anschließend automatische Löschung.
- Session-Cookies: mit Sitzungsende/Logout.
- OAuth-Tokens (Microsoft): bis zum Widerruf der Verbindung.
11. Ihre Rechte als betroffene Person
Soweit wir Verantwortlicher sind, haben Sie gegenüber uns folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Zur Ausübung genügt eine formlose Mitteilung an [E-MAIL-ADRESSE].
Sie haben außerdem das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts oder am Ort des mutmaßlichen Verstoßes. Für uns zuständig ist: [ZUSTÄNDIGE LANDESDATENSCHUTZBEHÖRDE JE NACH SITZ-BUNDESLAND, z. B. „Der Bayerische Landesbeauftragte für den Datenschutz / BayLDA"].
Hinweis für Personen, deren Daten von einem Nutzer erfasst wurden ("Kontakte"): Wenn Ihre Daten von einem Knüpf-Nutzer erfasst wurden, ist datenschutzrechtlich in erster Linie dieser Nutzer Ihr Ansprechpartner (Verantwortlicher, siehe Abschnitt 2.2). Wenden Sie sich dennoch an uns, leiten wir Ihr Anliegen an den Nutzer weiter bzw. unterstützen ihn weisungsgemäß bei der Erfüllung Ihrer Rechte.
12. Datensicherheit
Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, insbesondere: TLS-Transportverschlüsselung, Verschlüsselung gespeicherter Daten, Passwort-Hashing mit modernen Verfahren, mandantengetrennte Datenhaltung, Zugriff nach dem Need-to-know-Prinzip, tokenbasierter Zugriffsschutz für Kalender-Feeds sowie regelmäßige Sicherheitsupdates.
13. Keine Pflicht zur Bereitstellung, keine automatisierte Entscheidungsfindung
Die Bereitstellung Ihrer Daten ist weder gesetzlich noch vertraglich vorgeschrieben; ohne die in Abschnitt 4 genannten Daten kann das Nutzungsverhältnis jedoch nicht begründet werden. Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.
14. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Verarbeitung oder die Rechtslage ändert. Es gilt die jeweils hier veröffentlichte Fassung. Über wesentliche Änderungen informieren wir registrierte Nutzer in der App oder per E-Mail.