Compliance & Security
Alle Artefakte für euer Compliance-Review
Diese Seite ist für IT-, Security- und Compliance-Teams gedacht, die Kalender Sync vor dem Rollout prüfen. Hier findet ihr: AVV nach Art. 28 DSGVO, OAuth-Scopes pro Anbieter, Sub-Prozessoren mit Standort, Verschlüsselungs- und Hosting-Details — und den Microsoft-Admin-Consent-Link für Tenants mit strikter Consent-Policy.
Hosted in
Germany
Was eure IT wissen muss
Vier Fragen — vier Antworten
Die wiederkehrenden Reviews, die Kanzleien, Beratungsfirmen und Konzern-IT bei uns aufmachen — kompakt beantwortet.
Hosting in Deutschland
Alle Datenbanken laufen bei Hetzner Online GmbH in Falkenstein (Sachsen). Backups bleiben im selben Rechenzentrum. Caddy als Reverse-Proxy mit TLS 1.3 und HSTS-Preload.
Verschlüsselung
OAuth-Tokens (Google, Microsoft) und CalDAV-Zugangsdaten (Apple iCloud, Kalender-Suite) sind mit ChaCha20-Poly1305 authentifiziert verschlüsselt gespeichert. Verbindungen ausschließlich über TLS 1.3.
Datenminimierung
Wir lesen Free/Busy-Zeiten und schreiben anonymisierte Busy-Blocker. Termininhalte, Teilnehmerlisten und Beschreibungen werden weder gespeichert noch übertragen — sofern ihr nicht ausdrücklich Detail-Sync aktiviert.
Auftragsverarbeitung
Wir stellen einen signierten AVV nach Art. 28 DSGVO bereit (PDF, vorausgefüllt). Mit Brevo, Google (EU-US DPF), Microsoft (EU-US DPF + SCCs) und Stripe bestehen Auftragsverarbeitungsverträge.
OAuth-Scopes
Was wir bei eurer Anbieter anfragen
Vollständige Liste der Berechtigungen, die wir je Kalender-Anbieter abfragen. Keine Mail-Lesezugriffe, keine Kontakte, keine Dateien — nur Kalender und die Identität des Eingeloggten.
Google Calendar
openid, profile, email Authentifizierung — wer ist eingeloggt
calendar.events Lesen + Schreiben von Kalendereinträgen (für Busy-Blocker)
calendar.calendarlist.readonly Liste der verfügbaren Kalender abrufen
Inkrementelle Zustimmung — Nutzer können einzelne Scopes ablehnen.
Microsoft 365 / Outlook
User.Read Authentifizierung — wer ist eingeloggt
Calendars.ReadWrite Lesen + Schreiben von Kalendereinträgen (für Busy-Blocker)
offline_access Refresh-Token, damit Sync ohne Re-Login läuft
Keine Admin-Consent erforderlich — außer in strikten Tenants (siehe unten).
Apple iCloud / Kalender-Suite (CalDAV)
App-spezifisches Passwort Pro Verbindung ein App-Passwort, separat von der iCloud-/KSuite-Identität
CalDAV REPORT / PROPFIND Standard-CalDAV-Operationen zum Lesen + Schreiben
Keine OAuth — App-Passwörter sind jederzeit über die Apple ID widerrufbar.
Strikte Microsoft-Tenants
Admin-Consent vorab erteilen
Wenn euer Tenant den Standard-Consent für nicht verifizierte Publisher blockiert (häufig in Kanzlei-, Beratungs- und Konzern-Tenants), könnt ihr unsere Scopes als Admin einmalig vorab freigeben. Eure Nutzer müssen dann nicht selbst zustimmen.
Anmeldung als Global Admin erforderlich. Der Link öffnet die Microsoft-eigene Admin-Consent-Seite — wir sehen oder speichern dabei keine Daten.
client_id
f656be6d-e0c1-43a4-
a4a8-e1452eaf78f3
Sub-Prozessoren
Wer welche Daten sieht
Wir nutzen eine bewusst kleine Liste an Sub-Prozessoren. Alle haben einen AVV nach Art. 28 DSGVO mit uns. Änderungen kündigen wir 30 Tage vorab im Changelog an.
| Anbieter | Zweck | Standort | Rechtsgrundlage |
|---|---|---|---|
| Hetzner Online GmbH | Hosting (DB, Server) | Falkenstein, DE | AVV nach Art. 28 DSGVO |
| Brevo (Sendinblue SAS) | Transaktionale E-Mail + Marketing | Frankreich, EU | AVV nach Art. 28 DSGVO |
| Google Ireland Ltd. | Google Calendar API | EU + USA (EU-US DPF) | Google Data Processing Addendum |
| Microsoft Ireland Operations Ltd. | Microsoft Graph API | EU + USA (EU-US DPF, SCCs) | Microsoft Online Services DPA |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (Basic-/Business-Abos) | Irland, EU | Stripe DPA |
Compliance auf einen Blick
Die harten Fakten
DSGVO Art. 7
Einwilligungsentzug jederzeit möglich (in-App + per E-Mail).
DSGVO Art. 17
Recht auf Löschung — Self-Serve in den App-Einstellungen unter „Konto löschen“.
DSGVO Art. 20
Recht auf Datenübertragbarkeit — JSON-Export der eigenen Daten in den App-Einstellungen.
Sicherheitsaudits
Wir führen regelmäßig interne Sicherheitsaudits durch. Findings werden zeitnah behoben und dokumentiert.
Unternehmen
PPJ Venture Labs UG (haftungsbeschränkt), HRB 308771, Amtsgericht München. USt-IdNr DE460002167.
Compliance grünes Licht — bereit für den Rollout?
30 Tage kostenlos testenMomentan unterstützte Anbieter
Google Microsoft Apple iCloud KSuite iCal-FeedsNewsletter
Werde Teil der Kalender Sync Community
Melde dich für unseren Newsletter an und sichere dir die heißesten Beta-Features als Erstes – damit dein Setup noch produktiver wird.
Versprochen: kein Spam und keine KI-generierten Inhalte.
