Datenschutzerklärung

Hosting

Die Website wird extern gehostet bei Netlify, Inc., 2325 3rd Street, Suite 296, San Francisco, CA 94107 USA. Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Bereitstellung des Internetangebots). Die Datenübermittlung in die USA erfolgt auf Basis von EU-Standardvertragsklauseln (SCCs).

Server-Log-Dateien

Der Provider erhebt automatisch Informationen in Server-Log-Dateien (Browsertyp, Betriebssystem, Referrer URL, Uhrzeit, IP-Adresse). Diese Daten werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zur technisch fehlerfreien Bereitstellung der Website verarbeitet und nicht mit anderen Datenquellen zusammengeführt.

Cookies & Einwilligungsverwaltung (Klaro)

Wir verwenden Klaro (selbst gehostet, Open Source) als Consent-Management-Tool. Klaro speichert Ihre Cookie-Präferenzen in einem Cookie namens klaro. Dieses Cookie ist technisch notwendig für die Speicherung Ihrer Einwilligungsentscheidung und fällt unter § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich). Es werden keine Daten an Dritte übermittelt. Sie können Ihre Cookie-Einstellungen jederzeit über den Link „Cookie-Einstellungen“ in der Fußzeile ändern.

Webanalyse: Google Analytics 4

Wir verwenden Google Analytics 4 (GA4) zur Analyse der Websitenutzung. GA4 wird nur nach Ihrer ausdrücklichen Einwilligung aktiviert (Basic Consent Mode — vor Ihrer Einwilligung werden keinerlei Daten an Google gesendet und kein Script geladen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. § 25 Abs. 1 TTDSG.

Erfasste Daten: IP-Adresse (automatisch anonymisiert durch GA4), Geräte- und Browserinformationen, besuchte Seiten, Verweildauer, Referrer-URL, Interaktionsereignisse, Cookie-Kennungen (_ga, Laufzeit: bis zu 2 Jahre).

Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Als Unterauftragsverarbeiter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA, USA.

Datenübermittlung in die USA: Auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission gem. Art. 45 DSGVO (EU-US Data Privacy Framework). Google LLC ist unter dem DPF zertifiziert.

Auftragsverarbeitung: Es bestehen Datenverarbeitungsbedingungen mit Google gem. Art. 28 DSGVO (akzeptiert am 1. April 2026).

Speicherdauer: Die Datenaufbewahrung in Google Analytics ist auf 2 Monate eingestellt. Google Signals ist deaktiviert. Personalisierte Werbung ist deaktiviert.

Widerruf: Sie können Ihre Einwilligung jederzeit über die „Cookie-Einstellungen“ in der Fußzeile widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Zusätzlich können Sie das Google Analytics Opt-Out Browser Add-On verwenden.

Newsletter-Anmeldung (Funnel)

Wenn Sie sich über das Formular auf der Website anmelden, wird Ihre E-Mail-Adresse sowie optional Ihre Angaben zum Anwendungsfall und genutzten Kalender-Anbietern an Brevo (Sendinblue SAS, Frankreich, EU) übermittelt. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie erhalten zunächst eine Bestätigungs-E-Mail (Double-Opt-In). Nach Bestätigung erhalten Sie Informationen zum Dienst. Die Einwilligung ist jederzeit über den Abmelde-Link in jeder E-Mail widerrufbar.

Sofern Sie über einen Marketing-Link auf unsere Website gelangen, werden die Herkunftsinformationen (UTM-Parameter: Quelle, Medium, Kampagne) zusammen mit Ihrer E-Mail-Adresse als Kontaktattribute bei Brevo gespeichert. Dies dient der Auswertung, über welchen Kanal Sie auf unseren Dienst aufmerksam geworden sind. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung unserer Marketingmaßnahmen). Diese Daten werden ausschließlich im Arbeitsspeicher des Browsers gehalten und erst bei der Formularabsendung übermittelt.

Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben zur Bearbeitung der Anfrage verarbeitet (Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anfragen, sonst Art. 6 Abs. 1 lit. f DSGVO). Die Daten werden gelöscht, sobald der Zweck entfällt, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

3.1 Welche Daten werden verarbeitet?

• E-Mail-Adresse — zur Anmeldung per Magic Link und zur Kontoverwaltung
• OAuth-Tokens — verschlüsselt gespeichert (ChaCha20-Poly1305), um auf Ihre Kalender bei Google und Microsoft zuzugreifen
• CalDAV-Zugangsdaten — verschlüsselt gespeichert (ChaCha20-Poly1305), für Apple iCloud und KSuite-Kalender
• iCal-Feed-URLs — zum Abruf externer Kalender-Feeds (nur lesen)
• Kalender-Metadaten — Name und Farbe Ihrer Kalender
• Event-ID-Zuordnungen — ausschließlich IDs zur Zuordnung synchronisierter Termine; keine Termininhalte werden gespeichert

3.2 Was wird NICHT gespeichert?

• Keine Termininhalte (Titel, Beschreibung, Ort, Anhänge)
• Keine Teilnehmer-E-Mails (Schutz personenbezogener Daten Dritter)
• Analyse-Cookies (Google Analytics) nur nach ausdrücklicher Einwilligung; keine Werbe-Cookies
• Keine IP-Adressen über die zur Verbindungsherstellung notwendige Dauer hinaus

3.3 Zweck und Rechtsgrundlage

• Art. 6 Abs. 1 S. 1 lit. a DS-GVO (Einwilligung) — Sie willigen bei der ersten Anmeldung in die Verarbeitung Ihrer Daten wie hier beschrieben ein.
• Art. 6 Abs. 1 S. 1 lit. b DS-GVO (Vertragserfüllung) — Die Verarbeitung ist erforderlich, um den Kalender-Synchronisierungsdienst bereitzustellen.
• Art. 6 Abs. 1 S. 1 lit. f DS-GVO (Berechtigte Interessen) — Zur Gewährleistung der Sicherheit und Stabilität des Dienstes.

3.4 Cookies und lokale Speicherung

Die folgende Tabelle listet alle Cookies und localStorage-Einträge auf, die auf unserer Website und in unserer Anwendung verwendet werden. localStorage fällt ebenso wie Cookies unter § 25 TTDSG.

Die Google-Analytics-Cookies (_ga, _gid) werden nur nach Ihrer ausdrücklichen Einwilligung gesetzt. Ohne Einwilligung werden keinerlei Analyse-Cookies gesetzt und kein Script geladen. Details siehe Abschnitt 2 „Webanalyse: Google Analytics 4“.

3.5 E-Mail-Kommunikation und Marketing

Kalender-Sync sendet transaktionale E-Mails (Magic Links, Einladungen, Sync-Benachrichtigungen) über Brevo SMTP. Diese E-Mails sind für die Nutzung des Dienstes erforderlich (Art. 6 Abs. 1 lit. b DSGVO).

Nach der Anmeldung in der App erhalten Sie automatisierte Onboarding-E-Mails, die Ihnen bei der Einrichtung helfen. Diese E-Mails basieren auf Ihrem Nutzungsstatus (z.B. ob ein Kalender verbunden wurde). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der erfolgreichen Aktivierung des Dienstes).

Optional können Sie bei der Registrierung einwilligen, Feature-Updates und Tipps per E-Mail zu erhalten (Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung ist jederzeit über den Abmelde-Link in jeder E-Mail widerrufbar.

Zur Steuerung der E-Mail-Kommunikation werden folgende Attribute bei Brevo gespeichert: E-Mail-Adresse, Registrierungszeitpunkt, ob ein Kalender verbunden wurde, ob ein Sharing erstellt wurde, welche Anbieter verbunden sind (Google, Microsoft, Apple, iCloud), und Anzahl aktiver Sharings. Rechtsgrundlage für diese Attribute ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Personalisierung der Onboarding-Kommunikation). Bei Kontolöschung wird der zugehörige Brevo-Kontakt automatisch gelöscht.

3.6 Speicherdauer

• Kontodaten und OAuth-Tokens: bis zur Kontolöschung durch den Nutzer
• Event-ID-Zuordnungen: bis das zugehörige Sharing beendet wird
• Sessions: 30 Tage, danach automatisch gelöscht
• Protokolldaten: maximal 30 Tage

Eine Speicherung über die angegebene Zeit hinaus erfolgt nur im Falle einer (drohenden) Rechtsstreitigkeit oder wenn gesetzliche Aufbewahrungspflichten bestehen (z.B. § 257 HGB, § 147 AO).

3.7 Datensicherheit

• OAuth-Tokens und CalDAV-Zugangsdaten werden mit ChaCha20-Poly1305 (authentifizierte Verschlüsselung) verschlüsselt gespeichert
• Alle Verbindungen sind TLS-verschlüsselt (HTTPS)
• Termininhalte werden ausschließlich im Arbeitsspeicher verarbeitet und nicht persistiert
• Teilnehmer-E-Mails werden grundsätzlich nicht verarbeitet oder weitergegeben

3.8 Nutzung von Google-API-Daten (Google API Services User Data Policy)

Kalender-Sync nutzt Google-API-Dienste, um auf Ihre Google-Kalender zuzugreifen. Die Nutzung der von Google erhaltenen Daten unterliegt den Google API Services User Data Policy, einschließlich der Anforderungen zur eingeschränkten Nutzung (Limited Use).

Weitergabe, Übermittlung und Offenlegung:

• Google-Nutzerdaten werden nicht an Dritte weitergegeben, verkauft oder offengelegt.
• Die Übermittlung von Kalenderdaten erfolgt ausschließlich zwischen den vom Nutzer selbst verbundenen Kalenderkonten im Rahmen der Synchronisierungsfunktion.
• Es erfolgt keine Weitergabe an Werbetreibende, Datenbroker oder sonstige Dritte.

Eingeschränkte Nutzung (Limited Use):

• Google-Nutzerdaten werden ausschließlich zur Bereitstellung der Kalender-Synchronisierung verwendet.
• Termininhalte (Titel, Beschreibung, Ort, Teilnehmer) werden nur im Arbeitsspeicher verarbeitet und nicht dauerhaft gespeichert.
• Google-Nutzerdaten werden nicht für Werbung, KI-/ML-Modelltraining oder andere Zwecke verwendet, die nicht unmittelbar mit der Bereitstellung des Synchronisierungsdienstes zusammenhängen.
• Es werden nur die für die Synchronisierung erforderlichen Google-API-Berechtigungen angefordert.

Widerspruchsrecht (Art. 21 DSGVO)

Wenn die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen. Werden Ihre personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen.