Datenschutzerklärung

vencly GmbH
Leopoldstraße 31
80802 München
E-Mail: datenschutz@vencly.com
Geschäftsführer: Clemens Eugen Theodor Pompeÿ
HRB 290524, Amtsgericht München

a) Account-Daten (Name, E-Mail-Adresse, Passwort-Hash)
Zweck: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

b) Meeting-Transkripte
Zweck: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Hinweis: Bei BYOK werden Inhalte direkt an den gewählten KI-Anbieter übermittelt (keine dauerhafte Speicherung auf AutoToDo-Servern).

c) Nutzungs- und Logdaten (IP-Adresse, Zugriffszeiten, Fehlermeldungen)
Zweck: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – IT-Sicherheit, Missbrauchsprävention

d) LLM-API-Keys
Zweck: Vertragserfüllung (lit. b). Keys werden AES-256-GCM-verschlüsselt gespeichert. Nur der jeweilige Workspace-Inhaber hat Zugang.

e) Zahlungsdaten
Zweck: Vertragserfüllung (lit. b); Verarbeitung durch externen Zahlungsdienstleister.

f) Feedback
Zweck: Freiwillig eingereichte Nachrichten. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Absenden).

Bei Nutzung des BYOK-Modells werden Transkriptinhalte direkt an den vom Nutzer gewählten Anbieter übermittelt. AutoToDo ist in diesem Verhältnis kein Verantwortlicher für die Verarbeitung durch den KI-Anbieter. Der Workspace-Betreiber agiert als eigener Verantwortlicher gegenüber dem KI-Anbieter.

Es gelten jeweils die Datenschutzrichtlinien des gewählten Anbieters:

• Anthropic: anthropic.com/privacy
• OpenAI: openai.com/privacy
• Microsoft Azure OpenAI: privacy.microsoft.com

Beide US-amerikanischen Anbieter (Anthropic, OpenAI) haben Standardvertragsklauseln mit der EU abgeschlossen. Die Datenübermittlung erfolgt auf Grundlage von Art. 46 Abs. 2 lit. c DSGVO.

Vercel Inc., 340 Pine Street, Suite 701, San Francisco, CA 94104, USA
Zweck: Hosting, CDN. Grundlage: Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
Datenschutzrichtlinie: vercel.com/legal/privacy-policy

Supabase Inc.
Zweck: Datenbank, Authentifizierung, Storage. Serverstandort: EU (Frankfurt am Main).
Datenschutzrichtlinie: supabase.com/privacy

Zahlungsanbieter: [TODO – ergänzen, z. B. Stripe Inc.]

• Account-Daten: bis zur Kündigung + 30 Tage Kulanzfrist
• Transkripte: bis zur manuellen Löschung, spätestens 90 Tage nach Vertragsende
• Logdaten (Server-Logs): maximal 30 Tage rollierend
• Feedback-Daten: anonymisiert nach 12 Monaten
• Steuerrelevante Daten: 10 Jahre (§ 147 AO)

Sie haben das Recht auf:

• Auskunft (Art. 15) über gespeicherte Daten
• Berichtigung (Art. 16) unrichtiger Daten
• Löschung (Art. 17) – „Recht auf Vergessenwerden“
• Einschränkung (Art. 18) der Verarbeitung
• Datenübertragbarkeit (Art. 20) – Export als XLSX oder JSON auf Anfrage
• Widerspruch (Art. 21) gegen Verarbeitungen auf Basis berechtigter Interessen
• Widerruf einer Einwilligung jederzeit mit Wirkung für die Zukunft

Zur Ausübung dieser Rechte: datenschutz@vencly.com

Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

AutoToDo verwendet ausschließlich funktional notwendige Cookies für die Sitzungsverwaltung (Supabase Auth). Es werden keine Analyse-, Werbe- oder Tracking-Cookies eingesetzt. Technisch notwendige Session-Cookies werden ohne Einwilligung gesetzt (§ 25 Abs. 2 Nr. 2 TTDSG). Eine Cookie-Einwilligung ist daher nicht erforderlich.

AutoToDo setzt folgende technische und organisatorische Maßnahmen (TOMs) um:

• TLS 1.3 + HSTS für alle Datenübertragungen
• AES-256-GCM-Verschlüsselung für Transkripte und API-Keys
• PostgreSQL Row-Level Security (Mandantentrennung)
• SHA-256-Hash für API-Keys
• Security Headers (HSTS, X-Frame-Options DENY, nosniff)
• Eingabevalidierung auf allen API-Routen

Detaillierte Informationen unter autotodo / Datensicherheit.

B2B-Kunden, die personenbezogene Daten über AutoToDo verarbeiten, können einen AVV nach Art. 28 DSGVO anfordern: datenschutz@vencly.com

Diese Datenschutzerklärung wird bei wesentlichen Änderungen der Datenverarbeitung aktualisiert. Nutzer werden über wesentliche Änderungen per E-Mail informiert.