Datenschutzerklärung
Informationen gemäß DSGVO
Inhaltsverzeichnis
1. Verantwortlicher
Carovo GmbH
Am Juliusturm 31 · 13599 Berlin · Deutschland
Vertreten durch: Metehan Kartal (Geschäftsführer)
Website: https://usepilot.de
2. Übersicht der Verarbeitungen
Wir verarbeiten personenbezogene Daten im Rahmen der Bereitstellung unserer KI-gestützten Tagesplaner-Anwendung „Pilot“ (erreichbar unter app.usepilot.de). Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten, die Zwecke ihrer Verarbeitung und die betroffenen Personen zusammen.
3. Maßgebliche Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TTDSG).
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Soweit wir Ihre Einwilligung einholen (z. B. für Analytics-Cookies).
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Verarbeitung zur Erfüllung unseres Nutzungsvertrags (Registrierung, Aufgabenverwaltung, Kalender-Synchronisation, KI-Planung).
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Verarbeitung zur Gewährleistung der Sicherheit und Funktionsfähigkeit des Dienstes, zur Fehlerbehebung und zur Verbesserung unseres Angebots.
4. Bereitstellung des Onlineangebots und Webhosting
4.1 Hosting
Unser Dienst wird über Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet. Vercel verarbeitet in unserem Auftrag Zugriffsdaten (IP-Adresse, Zeitpunkt des Zugriffs, angeforderte Inhalte, übertragene Datenmenge, verweisende Seite, Browserkennung und Betriebssystem).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung). Vercel ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Zudem besteht ein Auftragsverarbeitungsvertrag (AVV/DPA) gemäß Art. 28 DSGVO.
4.2 Datenbank
Nutzerdaten werden in einer Datenbank gespeichert, die bei Supabase Inc. betrieben wird. Ihre Daten werden auf Servern in der EU gespeichert. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
5. Registrierung und Authentifizierung
5.1 E-Mail-Authentifizierung
Bei der Registrierung bzw. Anmeldung erheben wir Ihre E-Mail-Adresse. Wir senden Ihnen einen einmaligen Anmeldelink zu, der zeitlich begrenzt gültig ist. Hierfür wird ein kryptografisch gehashter Verifizierungstoken in unserer Datenbank gespeichert und nach Ablauf automatisch gelöscht.
Der E-Mail-Versand erfolgt über Brevo GmbH (Köpenicker Str. 126, 10179 Berlin, Deutschland) als E-Mail-Versanddienstleister.
Verarbeitete Daten: E-Mail-Adresse, Verifizierungstoken, Zeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Zugang zum Dienst).
5.2 Anmeldung über Google
Sie können sich mit Ihrem Google-Konto anmelden. Dabei erhalten wir von Google Ihren Namen, Ihre E-Mail-Adresse sowie Ihre Profilbild-URL. Zugangsberechtigungen werden verschlüsselt gespeichert.
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, USA – zertifiziert unter dem EU-U.S. Data Privacy Framework). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
5.3 Anmeldung über Microsoft
Sie können sich mit Ihrem Microsoft-Konto anmelden. Dabei erhalten wir von Microsoft Ihren Namen, Ihre E-Mail-Adresse sowie Ihre Profilbild-URL. Zugangsberechtigungen werden verschlüsselt gespeichert.
Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland (Muttergesellschaft: Microsoft Corporation, USA – zertifiziert unter dem EU-U.S. Data Privacy Framework). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
6. Funktionsbezogene Datenverarbeitung
6.1 Aufgabenverwaltung
Wir speichern die von Ihnen erstellten Aufgaben einschließlich Titel, Beschreibung, Status, Priorität, geschätzter Dauer, Fälligkeitsdatum, Start-/Endzeit, Projekt-Zuordnung und Labels.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Kern des Dienstes).
6.2 Kalender-Synchronisation
Bei aktivierter Kalender-Synchronisation lesen und schreiben wir Kalendereinträge über die Kalender-Schnittstellen von Google bzw. Microsoft. Synchronisiert werden: Titel, Beschreibung, Ort, Start-/Endzeit und Ganztagesstatus.
Das Synchronisationsfenster umfasst 7 Tage rückwirkend bis 30 Tage in die Zukunft. Die Berechtigung wird explizit über den jeweiligen Anmeldedialog eingeholt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
6.3 KI-gestützte Funktionen
Sprach-Transkription
Wenn Sie die optionale Spracheingabe-Funktion nutzen, wird Ihre Audioaufnahme an einen externen Transkriptionsdienst (OpenAI, L.L.C., San Francisco, CA, USA) übermittelt. Die Audiodatei wird ausschließlich im Arbeitsspeicher verarbeitet und nicht dauerhaft gespeichert. Die Daten werden vom Anbieter nicht zum Training von Modellen verwendet.
KI-Absichtserkennung und Chat
Ihre Texteingaben werden an einen KI-Dienst (Anthropic PBC, San Francisco, CA, USA) weitergeleitet, um Ihre Absicht zu erkennen und passende Aktionen auszuführen. Übermittelt werden kontextbezogene Daten wie das Transkript, der Konversationsverlauf sowie aggregierte Metadaten (Anzahl Aufgaben/Termine, Projektliste). Keine vollständigen Aufgabeninhalte werden übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vom Nutzer aktiv ausgelöste Funktion). Datentransfer USA: Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO und/oder EU-U.S. Data Privacy Framework.
6.4 Gewohnheiten und Wellness-Einstellungen
Wir speichern Ihre Gewohnheiten (Titel, Dauer, Wiederholungsregeln, bevorzugte Zeit) sowie Wellness-Einstellungen (Pausen, Mittagspause, Meditation) zur automatischen Planung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
6.5 Nutzerpräferenzen
Wir speichern Ihre Einstellungen wie Energiemuster, bevorzugte Arbeitszeiten, Fokusblock-Dauer, Arbeitszeitenmodell, Zeitzone und Pufferzeiten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
6.6 Automatische Terminplanung
Die automatische Terminplanung erfolgt serverseitig auf unserer eigenen Infrastruktur. Dabei werden Ihre Aufgaben, Kalendereinträge, Gewohnheiten, Arbeitsstunden und Präferenzen verarbeitet, um optimale Zeitfenster zu berechnen. Es findet keine Weitergabe an externe Dienste statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kernfunktion des Dienstes).
8. Empfänger und Auftragsverarbeiter
Wir geben personenbezogene Daten nur weiter, soweit dies für die Erbringung des Dienstes erforderlich ist. Folgende Kategorien von Empfängern sind beteiligt:
| Empfänger | Zweck |
|---|---|
| Vercel Inc. | Hosting, Analytics |
| Google Ireland Ltd. | Authentifizierung, Kalender |
| Microsoft Ireland Operations Ltd. | Authentifizierung, Kalender |
| Brevo GmbH | E-Mail-Versand |
| OpenAI, L.L.C. | Sprach-Transkription |
| Anthropic PBC | KI-Textverarbeitung |
| Supabase Inc. | Infrastruktur |
Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.
9. Datenübermittlung in Drittländer
Personenbezogene Daten werden an Empfänger in den USA übermittelt (siehe Tabelle oben). Die Übermittlung erfolgt auf Grundlage von:
- EU-U.S. Data Privacy Framework – Angemessenheitsbeschluss der Europäischen Kommission vom 10.07.2023 für zertifizierte Unternehmen.
- Standardvertragsklauseln (SCCs) – Gemäß Art. 46 Abs. 2 lit. c DSGVO als ergänzende oder alternative Garantie.
10. Speicherdauer
- Nutzerkonto-DatenFür die Dauer der Nutzung bis zur Löschung des Kontos
- Aufgaben, Termine, GewohnheitenFür die Dauer der Nutzung; gelöschte Einträge werden zunächst als gelöscht markiert
- Kalender-SynchronisationsdatenFür die Dauer der aktiven Synchronisation; bei Deaktivierung entfernt
- Zugangsberechtigungen (Tokens)Für die Dauer der Kontoverbindung; bei Trennung gelöscht
- VerifizierungstokenZeitlich begrenzt nach Erstellung (automatische Bereinigung)
- Server-LogdatenIn der Regel max. 30 Tage
- Cookie-Einwilligungen365 Tage im Browser
- Audiodaten (Spracheingabe)Nicht gespeichert; nur kurzfristig im Arbeitsspeicher
11. Ihre Rechte als betroffene Person
Sie haben nach der DSGVO folgende Rechte:
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@usepilot.de
Beschwerderecht: Sie haben das Recht, bei einer Datenschutz-Aufsichtsbehörde Beschwerde einzulegen (Art. 77 DSGVO). Die für Berlin zuständige Aufsichtsbehörde ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit.
12. Pflicht zur Bereitstellung personenbezogener Daten
Die Bereitstellung Ihrer E-Mail-Adresse ist für die Registrierung und Nutzung des Dienstes erforderlich (Vertragserfüllung). Ohne diese Angabe kann der Dienst nicht genutzt werden.
Die Verbindung externer Kalenderkonten (Google, Microsoft) ist optional. Ohne diese Verbindung stehen Synchronisationsfunktionen nicht zur Verfügung. Die Nutzung der Spracheingabe-Funktion ist ebenfalls optional.
13. Automatisierte Entscheidungsfindung
Unser Planungsalgorithmus nimmt eine automatisierte Priorisierung und zeitliche Einplanung Ihrer Aufgaben vor. Diese Verarbeitung erfolgt ausschließlich zur Erbringung der von Ihnen gewünschten Dienstleistung (Art. 22 Abs. 2 lit. a DSGVO). Sie können automatisch geplante Zeiten jederzeit manuell überschreiben.
14. Sicherheitsmaßnahmen
Wir setzen angemessene technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten zu schützen:
- Verschlüsselte Datenübertragung (TLS/HTTPS) für alle Verbindungen
- Kryptografische Sicherung sensibler Token und Zugangsdaten
- Restriktive Sicherheitsrichtlinien im Browser (Content-Security, Frame-Schutz, Referrer-Kontrolle)
- Eingeschränkte Geräteberechtigungen (Kamera und Standort deaktiviert, Mikrofon nur für Spracheingabe)
- Authentifizierter Datenbankzugriff ausschließlich über gesicherte Schnittstellen
- Schutz vor Missbrauch durch Anfragebegrenzung bei sicherheitsrelevanten Vorgängen
15. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die aktuelle Fassung ist stets unter usepilot.de/datenschutz abrufbar.
Stand: Februar 2026