Datenschutzerklärung

Hosting

Die Website wird extern gehostet bei Netlify, Inc., 2325 3rd Street, Suite 296, San Francisco, CA 94107 USA. Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Bereitstellung des Internetangebots). Die Datenübermittlung in die USA erfolgt auf Basis von EU-Standardvertragsklauseln (SCCs).

Server-Log-Dateien

Der Provider erhebt automatisch Informationen in Server-Log-Dateien (Browsertyp, Betriebssystem, Referrer URL, Uhrzeit, IP-Adresse). Diese Daten werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zur technisch fehlerfreien Bereitstellung der Website verarbeitet und nicht mit anderen Datenquellen zusammengeführt.

Cookies & Einwilligungsverwaltung (Klaro)

Wir verwenden Klaro (selbst gehostet, Open Source) als Consent-Management-Tool. Klaro speichert Ihre Cookie-Präferenzen in einem Cookie namens klaro. Dieses Cookie ist technisch notwendig für die Speicherung Ihrer Einwilligungsentscheidung und fällt unter § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich). Es werden keine Daten an Dritte übermittelt. Sie können Ihre Cookie-Einstellungen jederzeit über den Link „Cookie-Einstellungen“ in der Fußzeile ändern.

Webanalyse: Google Analytics 4

Wir verwenden Google Analytics 4 (GA4) zur Analyse der Websitenutzung. GA4 wird nur nach Ihrer ausdrücklichen Einwilligung aktiviert (Basic Consent Mode — vor Ihrer Einwilligung werden keinerlei Daten an Google gesendet und kein Script geladen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. § 25 Abs. 1 TTDSG.

Erfasste Daten: IP-Adresse (automatisch anonymisiert durch GA4), Geräte- und Browserinformationen, besuchte Seiten, Verweildauer, Referrer-URL, Interaktionsereignisse, Cookie-Kennungen (_ga, Laufzeit: bis zu 2 Jahre).

Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Als Unterauftragsverarbeiter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA, USA.

Datenübermittlung in die USA: Auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission gem. Art. 45 DSGVO (EU-US Data Privacy Framework). Google LLC ist unter dem DPF zertifiziert.

Auftragsverarbeitung: Es bestehen Datenverarbeitungsbedingungen mit Google gem. Art. 28 DSGVO (akzeptiert am 1. April 2026).

Speicherdauer: Die Datenaufbewahrung in Google Analytics ist auf 2 Monate eingestellt. Google Signals ist deaktiviert. Personalisierte Werbung ist deaktiviert.

Widerruf: Sie können Ihre Einwilligung jederzeit über die „Cookie-Einstellungen“ in der Fußzeile widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Zusätzlich können Sie das Google Analytics Opt-Out Browser Add-On verwenden.

Marketing-Messung: Microsoft Advertising (UET)

Wir verwenden das Universal Event Tracking (UET) von Microsoft Advertising zur Messung der Effektivität unserer Werbeanzeigen auf Bing und im Microsoft Audience Network. Das UET-Tag wird nur nach Ihrer ausdrücklichen Einwilligung geladen (Consent Mode — vor Ihrer Einwilligung werden keine Daten an Microsoft übermittelt und kein Script geladen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. § 25 Abs. 1 TTDSG.

Erfasste Daten: IP-Adresse, Geräte- und Browserinformationen, besuchte Seiten, Conversion-Ereignisse (z. B. Anmeldung, Vertragsabschluss), Microsoft-Click-ID (msclkid) bei Klick auf eine Anzeige, Cookie-Kennungen (_uetsid, _uetvid, MUID).

Empfänger: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA. EU-Vertretung: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.

Datenübermittlung in die USA: Auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission gem. Art. 45 DSGVO (EU-US Data Privacy Framework). Microsoft Corporation ist unter dem DPF zertifiziert.

Conversion-Messung mit erweiterter Genauigkeit (Enhanced Conversions): Bei Conversion-Ereignissen (Anmeldung, Start der Testphase, Vertragsabschluss) übermitteln wir zusätzlich zu den Standard-Tracking-Daten eine SHA-256-gehashte Form Ihrer E-Mail-Adresse an Microsoft. Die Hash-Berechnung erfolgt vollständig in Ihrem Browser bzw. auf unserem Server; Ihre E-Mail-Adresse selbst verlässt zu keinem Zeitpunkt unseren Server in Klartext-Form. Microsoft nutzt den Hash, um die Werbe-Conversion auch dann einer Anzeigen-Auslieferung zuordnen zu können, wenn Browser-Cookies dies nicht zulassen (z. B. Safari ITP, Cross-Device-Klicks). Diese Übermittlungen erfolgen ausschließlich, wenn Sie zuvor in das Marketing-Tracking eingewilligt haben.

Speicherung der Microsoft-Click-ID (msclkid): Wenn Sie über eine Microsoft-Anzeige (Bing) auf unsere Seite gelangen, hängt Microsoft den Parameter msclkid an die URL. Diesen Identifier speichern wir mit Ihrer Marketing-Einwilligung in Ihrem Nutzerkonto, um spätere Conversion-Ereignisse (insbesondere Vertragsabschluss) der ursprünglichen Anzeige zuordnen zu können. Die Speicherung erfolgt nach dem „first-touch“-Prinzip (nur der erste Klick zählt) und nur für die maximale Conversion-Window-Dauer von 90 Tagen. Bei Vertragsabschluss übermitteln wir die msclkid serverseitig an Microsoft. Wenn Sie Ihre Einwilligung widerrufen oder Ihren Account löschen, wird die msclkid in unserer Datenbank gelöscht; bereits an Microsoft übertragene Conversion-Daten können wir nicht zurückrufen.

Speicherdauer der Cookies: _uetsid 24 Stunden, _uetvid 16 Monate, MUID 13 Monate.

Widerruf: Sie können Ihre Einwilligung jederzeit über die „Cookie-Einstellungen“ in der Fußzeile widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Zusätzlich können Sie das Microsoft-Werbe-Opt-Out nutzen.

Marketing-Messung: Google Ads

Wir verwenden das Conversion-Tracking von Google Ads zur Messung der Effektivität unserer Werbeanzeigen auf Google-Properties (Google Suche, Google Display Netzwerk, YouTube). Das Google-Ads-Tag wird nur nach Ihrer ausdrücklichen Einwilligung geladen (Consent Mode v2 — vor Ihrer Einwilligung werden keine Daten an Google übermittelt und kein Script geladen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. § 25 Abs. 1 TTDSG.

Erfasste Daten: IP-Adresse, Geräte- und Browserinformationen, besuchte Seiten, Conversion-Ereignisse (z. B. Anmeldung, Vertragsabschluss), Google-Click-Identifier (gclid bei Web-Anzeigen, gbraid/wbraid bei iOS-App- bzw. Web-zu-iOS-Anzeigen unter Apples Restricted Data Processing), Cookie-Kennungen (_gcl_au, _gcl_aw, _gcl_dc).

Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (verantwortlich für Nutzer im EWR). Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (technische Verarbeitung).

Datenübermittlung in die USA: Auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission gem. Art. 45 DSGVO (EU-US Data Privacy Framework). Google LLC ist unter dem DPF zertifiziert.

Conversion-Messung mit erweiterter Genauigkeit (Enhanced Conversions for Web): Bei Conversion-Ereignissen (Anmeldung, Start der Testphase) übermitteln wir zusätzlich zu den Standard-Tracking-Daten eine SHA-256-gehashte Form Ihrer E-Mail-Adresse an Google. Die Hash-Berechnung erfolgt vollständig in Ihrem Browser; Ihre E-Mail-Adresse selbst verlässt zu keinem Zeitpunkt unseren Server in Klartext-Form. Google nutzt den Hash, um die Werbe-Conversion auch dann einer Anzeigen-Auslieferung zuordnen zu können, wenn Browser-Cookies dies nicht zulassen (z. B. Safari ITP, Cross-Device-Klicks). Diese Übermittlungen erfolgen ausschließlich, wenn Sie zuvor in das Marketing-Tracking eingewilligt haben.

Speicherung der Google-Click-Identifier (gclid/gbraid/wbraid): Wenn Sie über eine Google-Anzeige auf unsere Seite gelangen, hängt Google einen der Parameter gclid, gbraid oder wbraid an die URL. Diesen Identifier speichern wir mit Ihrer Marketing-Einwilligung in Ihrem Nutzerkonto, um spätere Conversion-Ereignisse (insbesondere Vertragsabschluss) der ursprünglichen Anzeige zuordnen zu können. Die Speicherung erfolgt nach dem „first-touch“-Prinzip (nur der erste Klick je Identifier-Typ zählt) und nur für die maximale Conversion-Window-Dauer von 90 Tagen. Wenn Sie Ihre Einwilligung widerrufen oder Ihren Account löschen, werden die gespeicherten Identifier in unserer Datenbank gelöscht; bereits an Google übertragene Conversion-Daten können wir nicht zurückrufen.

Speicherdauer der Cookies: _gcl_au, _gcl_aw, _gcl_dc jeweils 90 Tage.

Widerruf: Sie können Ihre Einwilligung jederzeit über die „Cookie-Einstellungen“ in der Fußzeile widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Zusätzlich können Sie die Google-Werbeeinstellungen anpassen.

Erstkontakt-Attribution (UTM-Parameter & Referrer)

Wenn Sie über einen markierten Marketing-Link (UTM-Parameter wie utm_source, utm_medium, utm_campaign, utm_term, utm_content) oder über eine verweisende Website (document.referrer) auf unsere Seite gelangen, erfassen wir diese Herkunftsinformationen, um die Wirksamkeit unserer Akquisitionskanäle (Suche, Newsletter, Empfehlungen) auswerten zu können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. § 25 Abs. 1 TTDSG.

Erfasste Daten: Bis zu fünf UTM-Parameter aus der Landingpage-URL sowie der document.referrer-Wert (Adresse der zuvor besuchten Webseite).

Verarbeitung auf der Landingpage: Die Parameter werden zur Laufzeit ausschließlich im Arbeitsspeicher des Browsers gehalten und in CTA-Links zur Anwendung (app.kalender-sync.de) eingefügt. Es findet keine Speicherung in Cookies, localStorage oder sessionStorage auf der Landingpage statt (TTDSG-konform).

Verarbeitung in der Anwendung: Nach Weiterleitung speichert die Anwendung die Werte vorübergehend für maximal 24 Stunden in sessionStorage, bis Sie sich registriert und in das Marketing-Tracking eingewilligt haben. Erst nach Ihrer Einwilligung werden die Werte serverseitig in Ihrem Nutzerkonto gespeichert, nach dem „first-touch“-Prinzip und für maximal 90 Tage. Ohne Einwilligung erfolgt keine dauerhafte Speicherung.

Empfänger: Keine Übermittlung an Dritte. Die Daten verbleiben in unserer Datenbank (PostgreSQL, gehostet bei Hetzner, Falkenstein, Deutschland) und dienen ausschließlich unserer internen Auswertung.

Speicherdauer: 90 Tage ab Erstkontakt; danach werden die Werte überschrieben oder bei einem neuen Erstkontakt aktualisiert. Bei Widerruf der Marketing-Einwilligung oder Löschung des Nutzerkontos werden die Werte unmittelbar gelöscht.

Widerruf: Sie können Ihre Marketing-Einwilligung jederzeit über die „Cookie-Einstellungen“ in der Fußzeile oder über Ihre Einstellungen in der Anwendung widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Newsletter-Anmeldung (Funnel)

Wenn Sie sich über das Formular auf der Website anmelden, wird Ihre E-Mail-Adresse sowie optional Ihre Angaben zum Anwendungsfall und genutzten Kalender-Anbietern an Brevo (Sendinblue SAS, Frankreich, EU) übermittelt. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie erhalten zunächst eine Bestätigungs-E-Mail (Double-Opt-In). Nach Bestätigung erhalten Sie Informationen zum Dienst. Die Einwilligung ist jederzeit über den Abmelde-Link in jeder E-Mail widerrufbar.

Sofern Sie über einen Marketing-Link auf unsere Website gelangen, werden die Herkunftsinformationen (UTM-Parameter: Quelle, Medium, Kampagne) zusammen mit Ihrer E-Mail-Adresse als Kontaktattribute bei Brevo gespeichert. Dies dient der Auswertung, über welchen Kanal Sie auf unseren Dienst aufmerksam geworden sind. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung unserer Marketingmaßnahmen). Diese Daten werden ausschließlich im Arbeitsspeicher des Browsers gehalten und erst bei der Formularabsendung übermittelt.

Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben zur Bearbeitung der Anfrage verarbeitet (Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anfragen, sonst Art. 6 Abs. 1 lit. f DSGVO). Die Daten werden gelöscht, sobald der Zweck entfällt, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

3.1 Welche Daten werden verarbeitet?

• E-Mail-Adresse — zur Anmeldung per einmaligem Login-Code und zur Kontoverwaltung
• OAuth-Tokens — verschlüsselt gespeichert (ChaCha20-Poly1305), um auf Ihre Kalender bei Google und Microsoft zuzugreifen
• CalDAV-Zugangsdaten — verschlüsselt gespeichert (ChaCha20-Poly1305), für Apple iCloud und KSuite-Kalender
• iCal-Feed-URLs — zum Abruf externer Kalender-Feeds (nur lesen)
• Zahlungsdaten — werden ausschließlich von Stripe verarbeitet; wir speichern keine Kreditkarten- oder Bankdaten. Wir speichern lediglich die Stripe-Kunden-ID und Abonnement-ID.
• Kalender-Metadaten — Name und Farbe Ihrer Kalender
• Event-ID-Zuordnungen — ausschließlich IDs zur Zuordnung synchronisierter Termine; keine Termininhalte werden gespeichert

3.2 Was wird NICHT gespeichert?

• Keine Termininhalte (Titel, Beschreibung, Ort, Anhänge)
• Keine Teilnehmer-E-Mails (Schutz personenbezogener Daten Dritter)
• Analyse-Cookies (Google Analytics) nur nach ausdrücklicher Einwilligung; keine Werbe-Cookies
• Keine IP-Adressen über die zur Verbindungsherstellung notwendige Dauer hinaus

3.3 Zweck und Rechtsgrundlage

• Art. 6 Abs. 1 S. 1 lit. a DS-GVO (Einwilligung) — Sie willigen bei der ersten Anmeldung in die Verarbeitung Ihrer Daten wie hier beschrieben ein.
• Art. 6 Abs. 1 S. 1 lit. b DS-GVO (Vertragserfüllung) — Die Verarbeitung ist erforderlich, um den Kalender-Synchronisierungsdienst bereitzustellen.
• Art. 6 Abs. 1 S. 1 lit. f DS-GVO (Berechtigte Interessen) — Zur Gewährleistung der Sicherheit und Stabilität des Dienstes.

3.4 Cookies und lokale Speicherung

Die folgende Tabelle listet alle Cookies und localStorage-Einträge auf, die auf unserer Website und in unserer Anwendung verwendet werden. localStorage fällt ebenso wie Cookies unter § 25 TTDSG.

Die Google-Analytics-Cookies (_ga, _gid) werden nur nach Ihrer ausdrücklichen Einwilligung gesetzt. Ohne Einwilligung werden keinerlei Analyse-Cookies gesetzt und kein Script geladen. Details siehe Abschnitt 2 „Webanalyse: Google Analytics 4“.

3.5 E-Mail-Kommunikation und Marketing

Kalender-Sync sendet transaktionale E-Mails (Login-Codes, Einladungen, Sync-Benachrichtigungen) über Brevo SMTP. Diese E-Mails sind für die Nutzung des Dienstes erforderlich (Art. 6 Abs. 1 lit. b DSGVO).

Nach der Anmeldung in der App erhalten Sie automatisierte Onboarding-E-Mails, die Ihnen bei der Einrichtung helfen. Diese E-Mails basieren auf Ihrem Nutzungsstatus (z.B. ob ein Kalender verbunden wurde). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der erfolgreichen Aktivierung des Dienstes).

Optional können Sie bei der Registrierung einwilligen, Feature-Updates und Tipps per E-Mail zu erhalten (Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung ist jederzeit über den Abmelde-Link in jeder E-Mail widerrufbar.

Zur Steuerung der E-Mail-Kommunikation werden folgende Attribute bei Brevo gespeichert: E-Mail-Adresse, Registrierungszeitpunkt, ob ein Kalender verbunden wurde, ob ein Sharing erstellt wurde, welche Anbieter verbunden sind (Google, Microsoft, Apple, iCloud), und Anzahl aktiver Sharings. Rechtsgrundlage für diese Attribute ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Personalisierung der Onboarding-Kommunikation). Bei Kontolöschung wird der zugehörige Brevo-Kontakt automatisch gelöscht.

3.6 Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen nutzen wir Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA). Wenn Sie ein kostenpflichtiges Abonnement abschließen, werden Sie auf eine von Stripe gehostete Checkout-Seite weitergeleitet. Stripe verarbeitet Ihre Zahlungsdaten (z.B. Kreditkartennummer, IBAN) direkt — wir haben keinen Zugriff auf diese Daten und speichern sie nicht.

Wir speichern lediglich die von Stripe zugewiesene Kunden-ID und Abonnement-ID, um Ihr Abonnement Ihrem Konto zuordnen zu können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenübermittlung in die USA: Auf Grundlage von EU-Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DS-GVO sowie des EU-US Data Privacy Framework gem. Art. 45 DSGVO. Stripe ist unter dem DPF zertifiziert.

Datenschutzhinweise von Stripe: stripe.com/privacy

3.7 Speicherdauer

• Kontodaten und OAuth-Tokens: bis zur Kontolöschung durch den Nutzer
• Event-ID-Zuordnungen: bis das zugehörige Sharing beendet wird
• Sessions: 30 Tage, danach automatisch gelöscht
• Protokolldaten: maximal 30 Tage

Eine Speicherung über die angegebene Zeit hinaus erfolgt nur im Falle einer (drohenden) Rechtsstreitigkeit oder wenn gesetzliche Aufbewahrungspflichten bestehen (z.B. § 257 HGB, § 147 AO).

3.8 Datensicherheit

• OAuth-Tokens und CalDAV-Zugangsdaten werden mit ChaCha20-Poly1305 (authentifizierte Verschlüsselung) verschlüsselt gespeichert
• Alle Verbindungen sind TLS-verschlüsselt (HTTPS)
• Termininhalte werden ausschließlich im Arbeitsspeicher verarbeitet und nicht persistiert
• Teilnehmer-E-Mails werden grundsätzlich nicht verarbeitet oder weitergegeben

3.9 Nutzung von Google-API-Daten (Google API Services User Data Policy)

Kalender-Sync nutzt Google-API-Dienste, um auf Ihre Google-Kalender zuzugreifen. Die Nutzung der von Google erhaltenen Daten unterliegt den Google API Services User Data Policy, einschließlich der Anforderungen zur eingeschränkten Nutzung (Limited Use).

Weitergabe, Übermittlung und Offenlegung:

• Google-Nutzerdaten werden nicht an Dritte weitergegeben, verkauft oder offengelegt.
• Die Übermittlung von Kalenderdaten erfolgt ausschließlich zwischen den vom Nutzer selbst verbundenen Kalenderkonten im Rahmen der Synchronisierungsfunktion.
• Es erfolgt keine Weitergabe an Werbetreibende, Datenbroker oder sonstige Dritte.

Eingeschränkte Nutzung (Limited Use):

• Google-Nutzerdaten werden ausschließlich zur Bereitstellung der Kalender-Synchronisierung verwendet.
• Termininhalte (Titel, Beschreibung, Ort, Teilnehmer) werden nur im Arbeitsspeicher verarbeitet und nicht dauerhaft gespeichert.
• Google-Nutzerdaten werden nicht für Werbung, KI-/ML-Modelltraining oder andere Zwecke verwendet, die nicht unmittelbar mit der Bereitstellung des Synchronisierungsdienstes zusammenhängen.
• Es werden nur die für die Synchronisierung erforderlichen Google-API-Berechtigungen angefordert.

Widerspruchsrecht (Art. 21 DSGVO)

Wenn die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen. Werden Ihre personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen.