Datenschutzerklärung

Informationen gemäß DSGVO

1. Verantwortlicher

Carovo GmbH

Am Juliusturm 31 · 13599 Berlin · Deutschland

Vertreten durch: Metehan Kartal (Geschäftsführer)

Website: https://usepilot.de

2. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten im Rahmen der Bereitstellung unserer KI-gestützten Tagesplaner-Anwendung „Pilot“ (erreichbar unter app.usepilot.de). Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten, die Zwecke ihrer Verarbeitung und die betroffenen Personen zusammen.

4. Bereitstellung des Onlineangebots und Webhosting

4.1 Hosting

Unser Dienst wird über Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet. Vercel verarbeitet in unserem Auftrag Zugriffsdaten (IP-Adresse, Zeitpunkt des Zugriffs, angeforderte Inhalte, übertragene Datenmenge, verweisende Seite, Browserkennung und Betriebssystem).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung). Vercel ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Zudem besteht ein Auftragsverarbeitungsvertrag (AVV/DPA) gemäß Art. 28 DSGVO.

4.2 Datenbank

Nutzerdaten werden in einer Datenbank gespeichert, die bei Supabase Inc. betrieben wird. Ihre Daten werden auf Servern in der EU gespeichert. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

5. Registrierung und Authentifizierung

5.1 E-Mail-Authentifizierung

Bei der Registrierung bzw. Anmeldung erheben wir Ihre E-Mail-Adresse. Wir senden Ihnen einen einmaligen Anmeldelink zu, der zeitlich begrenzt gültig ist. Hierfür wird ein kryptografisch gehashter Verifizierungstoken in unserer Datenbank gespeichert und nach Ablauf automatisch gelöscht.

Der E-Mail-Versand erfolgt über Brevo GmbH (Köpenicker Str. 126, 10179 Berlin, Deutschland) als E-Mail-Versanddienstleister.

Verarbeitete Daten: E-Mail-Adresse, Verifizierungstoken, Zeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Zugang zum Dienst).

5.2 Anmeldung über Google

Sie können sich mit Ihrem Google-Konto anmelden. Dabei erhalten wir von Google Ihren Namen, Ihre E-Mail-Adresse sowie Ihre Profilbild-URL. Zugangsberechtigungen werden verschlüsselt gespeichert.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, USA – zertifiziert unter dem EU-U.S. Data Privacy Framework). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5.3 Anmeldung über Microsoft

Sie können sich mit Ihrem Microsoft-Konto anmelden. Dabei erhalten wir von Microsoft Ihren Namen, Ihre E-Mail-Adresse sowie Ihre Profilbild-URL. Zugangsberechtigungen werden verschlüsselt gespeichert.

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland (Muttergesellschaft: Microsoft Corporation, USA – zertifiziert unter dem EU-U.S. Data Privacy Framework). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

6. Funktionsbezogene Datenverarbeitung

6.1 Aufgabenverwaltung

Wir speichern die von Ihnen erstellten Aufgaben einschließlich Titel, Beschreibung, Status, Priorität, geschätzter Dauer, Fälligkeitsdatum, Start-/Endzeit, Projekt-Zuordnung und Labels.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Kern des Dienstes).

6.2 Kalender-Synchronisation

Bei aktivierter Kalender-Synchronisation lesen und schreiben wir Kalendereinträge über die Kalender-Schnittstellen von Google bzw. Microsoft. Synchronisiert werden: Titel, Beschreibung, Ort, Start-/Endzeit und Ganztagesstatus.

Das Synchronisationsfenster umfasst 7 Tage rückwirkend bis 30 Tage in die Zukunft. Die Berechtigung wird explizit über den jeweiligen Anmeldedialog eingeholt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

6.3 KI-gestützte Funktionen

Sprach-Transkription

Wenn Sie die optionale Spracheingabe-Funktion nutzen, wird Ihre Audioaufnahme an einen externen Transkriptionsdienst (OpenAI, L.L.C., San Francisco, CA, USA) übermittelt. Die Audiodatei wird ausschließlich im Arbeitsspeicher verarbeitet und nicht dauerhaft gespeichert. Die Daten werden vom Anbieter nicht zum Training von Modellen verwendet.

KI-Absichtserkennung und Chat

Ihre Texteingaben werden an einen KI-Dienst (Anthropic PBC, San Francisco, CA, USA) weitergeleitet, um Ihre Absicht zu erkennen und passende Aktionen auszuführen. Übermittelt werden kontextbezogene Daten wie das Transkript, der Konversationsverlauf sowie aggregierte Metadaten (Anzahl Aufgaben/Termine, Projektliste). Keine vollständigen Aufgabeninhalte werden übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vom Nutzer aktiv ausgelöste Funktion). Datentransfer USA: Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO und/oder EU-U.S. Data Privacy Framework.

6.4 Gewohnheiten und Wellness-Einstellungen

Wir speichern Ihre Gewohnheiten (Titel, Dauer, Wiederholungsregeln, bevorzugte Zeit) sowie Wellness-Einstellungen (Pausen, Mittagspause, Meditation) zur automatischen Planung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

6.5 Nutzerpräferenzen

Wir speichern Ihre Einstellungen wie Energiemuster, bevorzugte Arbeitszeiten, Fokusblock-Dauer, Arbeitszeitenmodell, Zeitzone und Pufferzeiten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

6.6 Automatische Terminplanung

Die automatische Terminplanung erfolgt serverseitig auf unserer eigenen Infrastruktur. Dabei werden Ihre Aufgaben, Kalendereinträge, Gewohnheiten, Arbeitsstunden und Präferenzen verarbeitet, um optimale Zeitfenster zu berechnen. Es findet keine Weitergabe an externe Dienste statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kernfunktion des Dienstes).

7. Cookies und Einwilligungsmanagement

7.1 Technisch notwendige Cookies

CookieZweckDauer
Sitzungs-CookieSitzungsverwaltung (Authentifizierung)Sitzung
CSRF-Schutz-CookieSchutz vor Cross-Site-Request-ForgerySitzung
Callback-CookieWeiterleitungs-URL nach AnmeldungSitzung

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich) i.V.m. Art. 6 Abs. 1 lit. f DSGVO.

7.2 Einwilligungsmanagement

Wir verwenden ein eigenes Cookie-Consent-Banner. Ihre Einwilligungen werden lokal in Ihrem Browser gespeichert und sind 365 Tage gültig. Sie können Ihre Einwilligungen jederzeit über die Cookie-Einstellungen in der App anpassen.

7.3 Analyse-Cookies (nur mit Einwilligung)

Nutzungsstatistiken und Performance-Messung werden ausschließlich nach Ihrer ausdrücklichen Einwilligung erhoben. Ohne Einwilligung werden keine Analytics-Daten erfasst. Anbieter: Vercel Inc. (siehe oben). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. § 25 Abs. 1 TTDSG.

7.4 Marketing-Cookies

Derzeit setzen wir keine Marketing-Cookies ein. Sollte sich dies ändern, werden wir diese Datenschutzerklärung entsprechend aktualisieren und Ihre Einwilligung einholen.

8. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur weiter, soweit dies für die Erbringung des Dienstes erforderlich ist. Folgende Kategorien von Empfängern sind beteiligt:

EmpfängerZweck
Vercel Inc.Hosting, Analytics
Google Ireland Ltd.Authentifizierung, Kalender
Microsoft Ireland Operations Ltd.Authentifizierung, Kalender
Brevo GmbHE-Mail-Versand
OpenAI, L.L.C.Sprach-Transkription
Anthropic PBCKI-Textverarbeitung
Supabase Inc.Infrastruktur

Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.

9. Datenübermittlung in Drittländer

Personenbezogene Daten werden an Empfänger in den USA übermittelt (siehe Tabelle oben). Die Übermittlung erfolgt auf Grundlage von:

  • EU-U.S. Data Privacy Framework – Angemessenheitsbeschluss der Europäischen Kommission vom 10.07.2023 für zertifizierte Unternehmen.
  • Standardvertragsklauseln (SCCs) – Gemäß Art. 46 Abs. 2 lit. c DSGVO als ergänzende oder alternative Garantie.

10. Speicherdauer

  • Nutzerkonto-DatenFür die Dauer der Nutzung bis zur Löschung des Kontos
  • Aufgaben, Termine, GewohnheitenFür die Dauer der Nutzung; gelöschte Einträge werden zunächst als gelöscht markiert
  • Kalender-SynchronisationsdatenFür die Dauer der aktiven Synchronisation; bei Deaktivierung entfernt
  • Zugangsberechtigungen (Tokens)Für die Dauer der Kontoverbindung; bei Trennung gelöscht
  • VerifizierungstokenZeitlich begrenzt nach Erstellung (automatische Bereinigung)
  • Server-LogdatenIn der Regel max. 30 Tage
  • Cookie-Einwilligungen365 Tage im Browser
  • Audiodaten (Spracheingabe)Nicht gespeichert; nur kurzfristig im Arbeitsspeicher

11. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte:

AuskunftArt. 15
BerichtigungArt. 16
LöschungArt. 17
EinschränkungArt. 18
DatenübertragbarkeitArt. 20
WiderspruchArt. 21
Widerruf der EinwilligungArt. 7 Abs. 3

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@usepilot.de

Beschwerderecht: Sie haben das Recht, bei einer Datenschutz-Aufsichtsbehörde Beschwerde einzulegen (Art. 77 DSGVO). Die für Berlin zuständige Aufsichtsbehörde ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit.

12. Pflicht zur Bereitstellung personenbezogener Daten

Die Bereitstellung Ihrer E-Mail-Adresse ist für die Registrierung und Nutzung des Dienstes erforderlich (Vertragserfüllung). Ohne diese Angabe kann der Dienst nicht genutzt werden.

Die Verbindung externer Kalenderkonten (Google, Microsoft) ist optional. Ohne diese Verbindung stehen Synchronisationsfunktionen nicht zur Verfügung. Die Nutzung der Spracheingabe-Funktion ist ebenfalls optional.

13. Automatisierte Entscheidungsfindung

Unser Planungsalgorithmus nimmt eine automatisierte Priorisierung und zeitliche Einplanung Ihrer Aufgaben vor. Diese Verarbeitung erfolgt ausschließlich zur Erbringung der von Ihnen gewünschten Dienstleistung (Art. 22 Abs. 2 lit. a DSGVO). Sie können automatisch geplante Zeiten jederzeit manuell überschreiben.

14. Sicherheitsmaßnahmen

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten zu schützen:

  • Verschlüsselte Datenübertragung (TLS/HTTPS) für alle Verbindungen
  • Kryptografische Sicherung sensibler Token und Zugangsdaten
  • Restriktive Sicherheitsrichtlinien im Browser (Content-Security, Frame-Schutz, Referrer-Kontrolle)
  • Eingeschränkte Geräteberechtigungen (Kamera und Standort deaktiviert, Mikrofon nur für Spracheingabe)
  • Authentifizierter Datenbankzugriff ausschließlich über gesicherte Schnittstellen
  • Schutz vor Missbrauch durch Anfragebegrenzung bei sicherheitsrelevanten Vorgängen

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die aktuelle Fassung ist stets unter usepilot.de/datenschutz abrufbar.

Stand: Februar 2026

Datenschutzerklärung | Pilot