Datenschutzerklärung
Platzhalter — vor Veröffentlichung ausfüllen
Dies ist ein Entwurf. Vor Veröffentlichung sind (1) die [PLATZHALTER] zum Verantwortlichen mit den echten Betreiberdaten zu füllen und (2) der gesamte Text rechtlich prüfen zu lassen (Anwältin/Anwalt oder Datenschutzbeauftragte). Dieser Entwurf ersetzt keine Rechtsberatung.
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
[VOLLSTÄNDIGER NAME]
[STRASSE HAUSNR.]
[PLZ ORT]
E-Mail: [E-MAIL]
Die vollständigen Anbieterangaben finden sich im Impressum.
2. Überblick
Solpho ist eine Web-Anwendung zur Organisation der eigenen selbstständigen Tätigkeit (Projekte, Notizen, Aufgaben, Links, Rechnungen, Belege und Geld-Auswertungen). Personenbezogene Daten werden nur insoweit verarbeitet, wie es für die Bereitstellung dieser Funktionen erforderlich ist oder eine Einwilligung vorliegt. Ein Verkauf von Daten an Dritte findet nicht statt; es findet auch keine Analyse des Nutzungsverhaltens durch Werbe- oder Tracking-Dienste statt.
3. Welche Daten verarbeitet werden und zu welchem Zweck
Kontodaten. Für die Registrierung und Anmeldung werden E-Mail-Adresse und Passwort verarbeitet. Das Passwort wird ausschließlich als kryptografischer Hash gespeichert, niemals im Klartext. Optional können ein Anzeigename und ein Nutzername im Profil hinterlegt werden. Zweck ist die Bereitstellung eines geschützten, persönlichen Zugangs.
Selbst eingegebene Inhalte. Alle Inhalte, die in der Anwendung angelegt werden, werden im Konto der jeweiligen Person gespeichert: Projekte und Aufgaben, Notizen, Ideen-Flächen (Canvas), Links und Watchlist-Einträge, Kunden- und Adressdaten, Rechnungen und Rechnungseinstellungen, hochgeladene Belege sowie die daraus abgeleiteten Geld-Auswertungen. Diese Inhalte können personenbezogene Daten Dritter enthalten (etwa Namen und Anschriften von Kundinnen und Kunden auf Rechnungen); für deren rechtmäßige Verarbeitung ist die nutzende Person als Verantwortliche selbst zuständig.
Hochgeladene Dateien. Hochgeladene Dateien (z. B. Belege als PDF oder Bild, Bilder auf Ideen-Flächen) werden in einem zugriffsgeschützten Speicher abgelegt und sind nur der hochladenden Person zugänglich.
Server-Logs. Beim Aufruf der Anwendung werden durch den Hosting-Anbieter automatisch technische Zugriffsdaten verarbeitet (u. a. IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Ressource, übertragene Datenmenge, Browser-/Betriebssystem-Kennung). Diese Daten dienen dem sicheren und stabilen Betrieb sowie der Abwehr von Missbrauch und werden nicht mit einzelnen Nutzerkonten zusammengeführt.
4. Rechtsgrundlagen
Die Verarbeitung erfolgt auf folgenden Rechtsgrundlagen:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Bereitstellung des Kontos und der Anwendungsfunktionen einschließlich der Speicherung der eingegebenen Inhalte.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für den sicheren, stabilen und missbrauchsfreien Betrieb, insbesondere für Server-Logs.
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für die Aufbewahrung von Unterlagen, die steuer- und handelsrechtlichen Aufbewahrungspflichten unterliegen (z. B. erstellte Rechnungen).
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Verarbeitungen, die erst durch eine bewusste, freiwillige Aktivierung ausgelöst werden, insbesondere für die optionalen KI-Funktionen (siehe Abschnitt 6). Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
5. Hosting, Datenbank und Auftragsverarbeitung
Hosting (Vercel). Die Anwendung wird bei Vercel Inc. gehostet. In diesem Rahmen fallen die oben beschriebenen Server-Logs an. Die Infrastruktur kann Server innerhalb der EU und in den USA umfassen.
Datenbank, Authentifizierung und Speicher (Supabase). Konten, Anmeldung und sämtliche Inhalte werden über Supabase (Supabase Inc.) verwaltet, mit Datenhaltung in einer EU-Region. Der Zugriff auf die Daten ist datenbankseitig so abgesichert, dass jede Person nur auf ihre eigenen Inhalte zugreifen kann.
Mit den genannten Anbietern werden Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen. Soweit dabei eine Verarbeitung in Ländern außerhalb der EU/des EWR (insbesondere in den USA) stattfindet, wird ein angemessenes Datenschutzniveau durch geeignete Garantien sichergestellt, etwa die Standardvertragsklauseln der Europäischen Kommission nach Art. 46 DSGVO.
6. KI-Funktionen (optional)
Die Anwendung bietet optionale KI-Funktionen an. Eine Übermittlung von Daten an einen KI-Anbieter findet ausschließlich dann statt, wenn diese Funktionen aktiv genutzt werden. Wer sie nicht nutzt, löst keine derartige Verarbeitung aus.
In-App-Assistent. Wird der integrierte Assistent verwendet, werden die eingegebene Anfrage sowie der dafür nötige Kontext an Anthropic (Anthropic PBC, USA) übermittelt und dort zur Erzeugung der Antwort verarbeitet.
Eigener Schlüssel (BYO). Alternativ kann in den Einstellungen ein eigener API-Schlüssel eines KI-Anbieters hinterlegt werden (Anthropic, OpenAI oder Google). In diesem Fall werden die Anfragen an den vom Nutzer selbst gewählten Anbieter übermittelt; es gelten dessen Datenschutzbedingungen.
KI-Anschluss (MCP). Optional lässt sich ein externer KI-Dienst des Nutzers (z. B. der eigene Claude- oder ChatGPT-Zugang) über eine Schnittstelle mit dem Konto verbinden. Erst nach ausdrücklicher Anbindung und Freigabe kann dieser Dienst lesend auf die vom Nutzer freigegebenen Inhalte zugreifen. Der Datenfluss richtet sich nach dem vom Nutzer gewählten externen Anbieter.
Die Verarbeitung durch die KI-Funktionen beruht auf der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, die durch die aktive Nutzung bzw. Anbindung erteilt wird. Bei Übermittlungen in die USA gelten die in Abschnitt 5 genannten Garantien entsprechend.
7. Favicon-Dienst für Links
Für angelegte Links wird zur Anzeige des Website-Symbols (Favicon) ein Dienst von DuckDuckGo eingebunden. Dabei wird die Ziel-Domain des jeweiligen Links an DuckDuckGo übermittelt, um das passende Symbol abzurufen. Rechtsgrundlage ist das berechtigte Interesse an einer übersichtlichen Darstellung nach Art. 6 Abs. 1 lit. f DSGVO.
8. YouTube-Einbindungen in der Watchlist
In der Watchlist können Verweise auf YouTube-Videos gespeichert werden. Das eigentliche Video und die Verbindung zu YouTube-Servern (Google Ireland Limited bzw. Google LLC) werden erst hergestellt, wenn das Video aktiv angeklickt wird, nicht bereits beim Laden der Seite. Vorschaubilder und Titel können vorab von YouTube abgerufen werden. Mit dem Start eines Videos gelten die Datenschutzbestimmungen von Google.
9. Cookies
Es werden ausschließlich technisch notwendige Cookies zur Anmeldung und zur Aufrechterhaltung des angemeldeten Zustands (Session) eingesetzt. Sie sind für den Betrieb erforderlich (Art. 6 Abs. 1 lit. f DSGVO; § 25 Abs. 2 Nr. 2 TDDDG). Es werden keine Cookies zu Analyse-, Tracking- oder Werbezwecken gesetzt; entsprechend kommt auch kein Cookie-Einwilligungsbanner zum Einsatz.
10. Speicherdauer und Löschung des Kontos
Personenbezogene Daten werden nur so lange gespeichert, wie es für die Bereitstellung der Anwendung erforderlich ist oder bis das Konto gelöscht wird. Für Unterlagen, die gesetzlichen Aufbewahrungspflichten unterliegen (z. B. erstellte Rechnungen), gelten die entsprechenden steuer- und handelsrechtlichen Aufbewahrungsfristen.
Das Konto lässt sich jederzeit selbst in den Einstellungen löschen. Bei der Löschung werden das Konto und die zugehörigen Inhalte (einschließlich hochgeladener Dateien) unwiderruflich entfernt; dieser Vorgang kann nicht rückgängig gemacht werden. Server-Logs werden nach einer angemessenen, kurzen Frist automatisch gelöscht.
11. Rechte der betroffenen Personen
Betroffene Personen haben nach der DSGVO insbesondere folgende Rechte:
Recht auf Auskunft (Art. 15 DSGVO), auf Berichtigung (Art. 16 DSGVO), auf Löschung (Art. 17 DSGVO), auf Einschränkung der Verarbeitung (Art. 18 DSGVO), auf Datenübertragbarkeit (Art. 20 DSGVO) sowie das Recht auf Widerspruch gegen bestimmte Verarbeitungen (Art. 21 DSGVO).
Widerspruchsrecht. Soweit eine Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht, besteht das Recht, aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, jederzeit Widerspruch einzulegen.
Widerruf von Einwilligungen. Erteilte Einwilligungen (etwa für die KI-Funktionen) können jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Zur Ausübung dieser Rechte genügt eine Nachricht an die im Impressum bzw. unter Abschnitt 1 genannten Kontaktdaten.
12. Beschwerderecht bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs besteht das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere in dem Mitgliedstaat des Aufenthaltsorts, des Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt.
13. Aktualität und Änderungen
Diese Datenschutzerklärung wird angepasst, sobald Änderungen an der Anwendung oder an der Rechtslage dies erforderlich machen. Es gilt jeweils die auf dieser Seite abrufbare Fassung.