Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Meluya GmbH
Itterstraße 162
40589 Düsseldorf
Deutschland
Geschäftsführer: Marc Taylor

Kontakt in Datenschutzangelegenheiten: [TODO-MARC: Datenschutz-Kontaktadresse festlegen (z. B. [email protected])]

Ein Datenschutzbeauftragter ist [TODO-ANWALT: prüfen, ob ein Datenschutzbeauftragter benannt werden muss (Art. 37 DSGVO / § 38 BDSG)] benannt.

Diese Erklärung gilt für die Software-as-a-Service-Plattform brandpocket.ai („Brandpocket"), einen Arbeits- und Team-Workspace für Marken-, Projekt- und Aufgabenmanagement. Sie gilt für registrierte Nutzerinnen und Nutzer sowie für Besucherinnen und Besucher der öffentlichen Seiten (z. B. Startseite, Rechtsseiten).

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der folgenden Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO:

• lit. a (Einwilligung): z. B. beim Verbinden optionaler Drittdienste (Google Gmail/Kalender) über den jeweiligen Berechtigungsdialog.
• lit. b (Vertragserfüllung): Bereitstellung des Workspace und der vereinbarten Funktionen sowie Verwaltung des Nutzerkontos.
• lit. c (rechtliche Verpflichtung): Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten.
• lit. f (berechtigtes Interesse): Sicherheit, Stabilität und Missbrauchsabwehr des Dienstes sowie die für Team-Verantwortliche bereitgestellten Auswertungen (siehe Abschnitt 4).

Abhängig von der Nutzung verarbeiten wir insbesondere folgende Datenkategorien:

• Account- und Profildaten: Name, E-Mail-Adresse, Profilbild, Rolle/Funktion im Team sowie Authentifizierungsdaten (Passwort ausschließlich als Hash, verwaltet über Supabase Auth).
• Team-, Projekt- und Aufgabendaten: erstellte Vorhaben, Projekte, Aufgaben, Status, Zuständigkeiten, Fristen und zugehörige Inhalte.
• Chat-Nachrichten: Text-, Sprach- und Videobotschaften sowie Datei-Anhänge in den Team- und Direktnachrichten.
• Notizen: Inhalte des Notizen-Moduls (private und geteilte Seiten).
• E-Mail-Daten (Gmail-Integration): nach ausdrücklicher Verbindung des Google-Kontos die zur Anzeige und zum Versand erforderlichen Postfachinhalte und Metadaten.
• Kalenderdaten: nach Verbindung Termine und Kalenderinformationen aus Google Calendar.
• Nutzungs- und Aktivitätsdaten: Aktivitäts- und Online-Zeiten sowie Nutzungsauswertungen. Transparenzhinweis: Team-Verantwortlichen (Inhaber/Administratoren) werden im Rahmen der Team-Insights ausgewählte Aktivitäts- und Nutzungsstatistiken der Teammitglieder angezeigt (z. B. Online-Zeiten, Aufgaben-Fortschritt). [TODO-ANWALT: Zulässigkeit/Umfang der Mitarbeiter-/Mitglieder-Auswertung und ggf. erforderliche Information/Beteiligung prüfen]
• Technische Daten/Logs: IP-Adresse, Datum/Uhrzeit des Zugriffs, Browser- und Geräteinformationen sowie Fehler- und Sicherheitsprotokolle.

Wenn Sie sich mit Google anmelden bzw. Google-Dienste verbinden, greift Brandpocket – nach Ihrer ausdrücklichen Einwilligung über den Google-Berechtigungsdialog – ausschließlich auf die freigegebenen Daten zu (z. B. Profil, Kalender, E-Mail), um die jeweilige Funktion im Workspace bereitzustellen.

Die Verwendung der von Google-APIs empfangenen Informationen entspricht der Google API Services User Data Policy einschließlich der Limited-Use-Anforderungen. Google-Nutzerdaten werden nicht verkauft, nicht für Werbung verwendet und nicht zum Training von KI-/ML-Modellen genutzt; ein Zugriff durch Menschen erfolgt nur in den von der Richtlinie zugelassenen Ausnahmefällen.

Zur Bereitstellung des Dienstes setzen wir sorgfältig ausgewählte Dienstleister ein. Mit diesen bestehen, soweit erforderlich, Verträge zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO; bei Drittlandübermittlungen werden geeignete Garantien (z. B. EU-Standardvertragsklauseln, Angemessenheitsbeschlüsse) verwendet.

• Supabase – Datenbank, Authentifizierung und Datei-Speicher. Hosting in der EU (AWS, Region Frankfurt). AVV geschlossen. [TODO-ANWALT: AVV und Region/Hosting bestätigen]
• Cloudflare – Hosting, CDN und Edge-Ausführung über ein globales Netz. Grundlage: EU-US Data Privacy Framework sowie AVV/EU-Standardvertragsklauseln. Daten ruhen nicht dauerhaft bei Cloudflare; es erfolgt eine flüchtige Verarbeitung zur Auslieferung.
• Anthropic – KI-Funktionen (Verarbeitung von Eingaben über die API). Eine Nutzung der übermittelten Daten zum Training der Modelle erfolgt nicht. DPA vorhanden. [TODO-ANWALT: Vertragsentität und Datentransfer (Drittland/Garantien) prüfen]
• OpenAI – Sprach-Transkription über die API. Eine Nutzung zum Training der Modelle erfolgt nicht. DPA vorhanden. [TODO-ANWALT: Vertragsentität und Datentransfer (Drittland/Garantien) prüfen]
• Google (Google Ireland Ltd.) – OAuth-Login sowie Gmail- und Calendar-API. Grundlage: Data Privacy Framework / EU-Standardvertragsklauseln. Es gilt zusätzlich der Limited-Use-Absatz aus Abschnitt 5.

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen es vorgeben.

• Account- und Inhaltsdaten: bis zur Löschung des Kontos bzw. des jeweiligen Inhalts durch die Nutzerin/den Nutzer oder das Team. [TODO-ANWALT: konkrete Regel-Speicherdauer festlegen]
• Technische Logs: regelmäßig kurzfristig. [TODO-ANWALT: konkrete Aufbewahrungsdauer der Logs festlegen (z. B. 7–30 Tage)]
• Daten mit gesetzlicher Aufbewahrungspflicht (z. B. handels-/steuerrechtlich): für die gesetzlich vorgeschriebene Dauer.

Wir treffen technische und organisatorische Maßnahmen zum Schutz Ihrer Daten: Transportverschlüsselung (TLS/HTTPS), verschlüsselte Speicherung sensibler Zugangsdaten (z. B. API-Schlüssel), Zugriffskontrolle auf Datenbankebene durch Row-Level-Security (mandanten-/nutzerbezogene Trennung) sowie rollenbasierte Berechtigungen. Der Zugriff auf personenbezogene Daten ist auf das erforderliche Maß beschränkt. [TODO-ANWALT: TOM vollständig dokumentieren (Art. 32 DSGVO)]

Brandpocket verwendet ausschließlich technisch notwendige bzw. funktionale Cookies sowie lokale Browser-Speicherung. Es werden keine Tracking-, Analyse- oder Marketing-Cookies und keine Dienste zur nutzerübergreifenden Reichweitenmessung eingesetzt.

• Authentifizierung/Session (Supabase Auth): erforderlich, um Sie angemeldet zu halten.
• Funktions-Cookies: z. B. das zuletzt gewählte Team sowie der Zustand der Seitenleiste, um die Bedienung zu erleichtern.
• Lokale Speicherung (localStorage): z. B. die gewählte Darstellung (Hell-/Dunkelmodus). Diese Angaben verbleiben im Browser und werden nicht an Dritte übertragen.

Da nur technisch notwendige bzw. funktionale Mechanismen verwendet werden, ist hierfür regelmäßig keine Einwilligung erforderlich. [TODO-ANWALT: Cookie-/Einwilligungspflicht (§ 25 TDDDG) abschließend bewerten]

Sie haben im Rahmen der gesetzlichen Voraussetzungen das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen die Verarbeitung (Art. 21 DSGVO). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zudem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts oder am Sitz des Verantwortlichen. Zuständige Aufsichtsbehörde am Unternehmenssitz ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. [TODO-ANWALT: zuständige Aufsichtsbehörde bestätigen]

Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder unsere Verarbeitungstätigkeiten ändern. Es gilt jeweils die hier veröffentlichte aktuelle Fassung. Stand dieser Fassung: Juni 2026. [TODO-MARC: Stand-Datum bei Veröffentlichung aktualisieren]