Datenschutzerklaerung

Name: KlugBüro Klein & Pro
Brand: KlugBüro
Price: 99 EUR
Availability: InStock

1. Verantwortlicher

KlugBüro (Grigorii Sardarian)

Melsunger Straße 3

60389 Frankfurt am Main, Deutschland

Datenschutzbeauftragter: Grigorii Sardarian, datenschutz@klugbuero.de

2. Welche Daten verarbeiten wir?

2.1 Mitarbeiter-Stammdaten

Name, geschaeftliche E-Mail, Rolle (Owner/Admin/User)
Rechtsgrundlage: Vertragserfuellung (Art. 6 Abs. 1 lit. b DSGVO)
Speicherdauer: Vertragsdauer + 30 Tage

2.2 Verbrauchsdaten

Anzahl Anfragen je Nutzer und Tag, Token-Counts, Kosten in EUR
Rechtsgrundlage: berechtigtes Interesse an Limit-Kontrolle (Art. 6 Abs. 1 lit. f DSGVO)
Speicherdauer: bis Vertragsende + 30 Tage (vorgesehene plan-spezifische Aggregation 6/12 Monate ist derzeit auf der Roadmap, siehe /roadmap); aggregierte Auswertungen auf Anfrage moeglich

2.3 Compliance-Audit-Log

IP-Adresse und User-Agent bei Akzeptanz von Rechtsdokumenten
Hash der akzeptierten Dokumentversion
Rechtsgrundlage: rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Speicherdauer: gesetzliche Aufbewahrungsfristen (10 Jahre)

2.4 Inhalte von KI-Konversationen

Vertraulichkeit als Default — mit ehrlicher Einschränkung. Prompts und Antworten werden auf zwei Wegen verarbeitet:

KI-Inferenz läuft zwischen unserem Cabinet-Server (Frankfurt, Contabo) und KI-Modellen europäischer Anbieter in EU-Rechenzentren — plattformseitig durch KlugBüro betrieben (Mistral AI La Plateforme, EU-Hosting). Als Failover sowie für den Produkt-Assistenten „Maja" können zusätzlich die EU-Subdienstleister OVHcloud und IONOS in EU-Rechenzentren genutzt werden. Im Regelbetrieb werden die Inhalte vom KlugBüro-Personal nicht eingesehen.
Verlaufsanzeige: Prompts und Antworten werden in der EU-Datenbank von KlugBüro (Grigorii Sardarian) (Supabase EU, Frankfurt) gespeichert, damit der Nutzer seinen Chat-Verlauf abrufen kann. Zugriff darauf ist per Row Level Security ausschließlich auf den jeweiligen Mandanten beschränkt.

Eingeschränkter administrativer Zugriff. KlugBüro betreibt einen Service-Role-Key, der die Row Level Security technisch umgehen kann. Dieser Schlüssel ist auf einen begrenzten Personenkreis (Geschäftsführung + verantwortliche Systemadministration) beschränkt. Sein Einsatz ist organisatorisch auf folgende Zwecke begrenzt: technische Fehlerbehebung, Migration, gesetzlich angeordnete Auskunft, Reaktion auf Sicherheitsvorfälle. Jeder Zugriff wird im Audit-Log protokolliert; eine routinemäßige Inhaltskontrolle findet nicht statt. Auftraggeber haben jederzeit das Recht auf Auskunft über erfolgte Zugriffe (Art. 15 DSGVO).

2.5 Lead-Magnet- und Kontaktformulare (klugbuero.de)

Wenn Sie auf [klugbuero.de](https://klugbuero.de) ein Kontakt- oder Lead-Magnet-Formular ausfüllen, erfassen wir:

E-Mail-Adresse, optional Firmenname / Branche
IP-Adresse und User-Agent (gesetzliche Pflicht zum Identifikations-Nachweis bei Doppel-Opt-In)
Zeitpunkt der Eintragung und der Doppel-Opt-In-Bestätigung

Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO + § 7 Abs. 2 UWG (kommerzielle Ansprache per E-Mail). Die Einwilligung wird als Doppel-Opt-In nachgewiesen und ist jederzeit über den Abmelde-Link in jeder E-Mail oder durch formlose E-Mail an info@klugbuero.de widerrufbar.

Zweck: Versand der angeforderten Materialien (z. B. DSGVO-Self-Check) sowie eines mehrteiligen Drip-Programms mit Produkt-Information. Die Inhalte bleiben thematisch eng am Anlass der Eintragung.

Speicherdauer: bis Widerruf der Einwilligung; spätestens 24 Monate nach letzter Interaktion erfolgt automatische Löschung. Die Einwilligungs-Belege selbst (E-Mail + IP + Zeitstempel) bewahren wir für die Dauer der gesetzlichen Beweisfristen (3 Jahre nach Widerruf, § 195 BGB) auf.

Empfänger: Brevo (Sendinblue) als technischer E-Mail-Dienstleister — siehe §4.

3. Wo werden Daten verarbeitet?

Plattform-Datenbank, Authentifizierung und Vault: Supabase EU (Frankfurt am Main)
Hosting der Cabinet-/Landing-Anwendung: Contabo Deutschland (Frankfurt am Main)
Datei-Speicherung (hochgeladene Dokumente, Bilder): Supabase Storage, EU-Region eu-central-1 (Frankfurt am Main)
KI-Inferenz (KI-Modelle europäischer Anbieter): EU-Rechenzentren — plattformseitig durch KlugBüro betrieben. Failover sowie Produkt-Assistent „Maja": EU-Subdienstleister OVHcloud und IONOS in EU-Rechenzentren.
Vertragspartner KI-Inferenz: Mistral AI SAS (La Plateforme, EU-Hosting), Paris, Frankreich — Auftragsverarbeitung gemäß Art. 28 DSGVO. Failover-Subdienstleister: OVHcloud (OVH SAS, Frankreich) und IONOS SE (Deutschland) — jeweils EU-Verarbeitung nach Art. 28 DSGVO.
Alle Regionen sind innerhalb der EU/EWR — es findet keine Drittlandsuebermittlung statt.

4. Auftragsverarbeiter / Empfaenger

Vollstaendige Liste mit Adressen, Region und SCC-Status siehe AVV § 7. Uebersicht:

Supabase (Supabase Inc., Vertragsentitaet Supabase Pte. Ltd., Singapur) — Datenbank, Authentifizierung, Storage, Vault. Datenresidenz: EU `eu-central-1` (Frankfurt am Main, AWS). SCCs gemaess Art. 46 DSGVO; AVV nach Art. 28 DSGVO.
Stripe Payments Europe Ltd. (Dublin, Irland) — Zahlungsabwicklung. Datenresidenz: EU. EU-Vertragsentitaet; Cloud-Act-Restrisiko ueber Mutterkonzern Stripe Inc. (USA), gedeckt durch SCCs nach Art. 46 DSGVO.
Sendinblue SAS d/b/a Brevo (Paris, Frankreich) — transaktionale E-Mails (Magic-Link, Onboarding, Lead-Magnet-Drip). Datenresidenz: EU (Paris-Roubaix, Frankreich). AVV abgeschlossen.
Contabo GmbH (Muenchen, Deutschland) — Hosting Cabinet + Landing + LiteLLM auf VPS in Datenzentrum Nuernberg-Ost (Deutschland). AVV abgeschlossen.
Mistral AI SAS (La Plateforme, EU-Hosting) (Paris, Frankreich) — KI-Inferenz mit KI-Modellen europäischer Anbieter. Datenresidenz: EU-Rechenzentren. Auftragsverarbeitung gemäß Art. 28 DSGVO; plattformseitig durch KlugBüro betrieben.
OVHcloud (OVH SAS) (Roubaix, Frankreich) — KI-Inferenz als Failover sowie für den Produkt-Assistenten „Maja", in EU-Rechenzentren. Auftragsverarbeitung gemäß Art. 28 DSGVO.
IONOS SE (Montabaur, Deutschland) — KI-Modelle europäischer Anbieter in EU-Rechenzentren als zusätzlicher EU-Subdienstleister. Modell-Inferenz erfolgt vollständig innerhalb der EU.
Functional Software, Inc. d/b/a Sentry (San Francisco, USA) — Fehler- und Performance-Telemetrie. Datenresidenz: EU `eu.sentry.io` (Frankfurt am Main, Deutschland), technisch ueber das Self-Hosted-EU-Cluster konfiguriert. SCCs nach Art. 46 DSGVO. Sensitive URL-Parameter und Header werden client-seitig vor Versand entfernt; keine Body-Payloads.
Intuition Machines, Inc. d/b/a hCaptcha (San Francisco, USA) — Spam- und Bot-Schutz auf den Lead-Magnet- und Kontaktformularen. Verarbeitung global (Anycast); kein konfigurierbares EU-Hosting — Restrisiko ueber SCCs nach Art. 46 DSGVO gedeckt. Verarbeitet IP-Adresse, User-Agent und ein anonymisiertes Token.
Cloudflare, Inc. (San Francisco, USA) — Bot-Schutz fuer Stripe-Checkout (__cf_bm-Cookie). Datenfluss erfolgt indirekt ueber die Stripe-Vertragskette; KlugBuero hat keinen direkten Vertrag. SCCs nach Art. 46 DSGVO via Stripe.

KlugBuero-Personal greift nicht auf Inhalte zu; ein temporaerer administrativer Zugang ueber Service-Role-Keys ist organisatorisch auf technische Wartung beschraenkt und im Audit-Log protokolliert.

5. Cookies

KlugBuero setzt nur technisch notwendige Cookies. Details siehe Cookie-Richtlinie.

6. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17), Einschraenkung (Art. 18), Datenuebertragbarkeit (Art. 20) und Widerspruch (Art. 21). Anfragen richten Sie bitte an datenschutz@klugbuero.de.

Sie koennen sich bei der zustaendigen Aufsichtsbehoerde beschweren. Zustaendig fuer KlugBuero (Sitz Frankfurt am Main, Hessen) ist:

Der Hessische Beauftragte fuer Datenschutz und Informationsfreiheit

Gustav-Stresemann-Ring 1

65189 Wiesbaden

Postfach: Postfach 3163, 65021 Wiesbaden

Telefon: +49 611 1408-0

E-Mail: poststelle@datenschutz.hessen.de

Web: https://datenschutz.hessen.de

Sollten Sie Ihren Wohnsitz oder Arbeitsplatz in einem anderen Bundesland haben, koennen Sie sich auch an die dort zustaendige Datenschutz-Aufsichtsbehoerde wenden — eine Liste finden Sie auf der Webseite der Datenschutzkonferenz (DSK) unter https://www.datenschutzkonferenz-online.de.

6.5 Anfrageformulare auf /leistungen

Wenn Sie über unser Anfrageformular (klugbuero.de/leistungen) Kontakt aufnehmen, verarbeiten wir folgende Daten:

Pflichtangaben: E-Mail-Adresse, Beschreibung Ihres Anliegens, Art der gewünschten Leistung.

Freiwillige Angaben: Name, Telefon, Rolle, Firmenname, Branche, Mitarbeiterzahl, Website, Budget-Rahmen, Zeitrahmen, bestehende Tools/Systeme.

Automatisch erfasste Daten: IP-Adresse, User-Agent (zur Missbrauchs-Erkennung), Quell-Seite, UTM-Parameter (für Marketing-Analyse), Zeitstempel der Einwilligung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).

Speicherdauer:

Bei zustande gekommenem Vertrag: gesetzliche Aufbewahrungsfristen (typisch 10 Jahre nach HGB / AO).
Bei keinem Vertragsschluss: 90 Tage ab Negativbescheid oder Verlust-Status, dann automatische Löschung.
Auf Anfrage: sofortige Löschung (datenschutz@klugbuero.de — Verarbeitung innerhalb 30 Tagen).

Empfänger: Daten werden nur von autorisierten KlugBüro-Mitarbeitern verarbeitet. Speicherung in unserer Supabase-Datenbank (EU-Region Frankfurt). Benachrichtigungs-E-Mails über Brevo (EU-Server).

Keine Weitergabe an Dritte ohne Ihre Einwilligung.

---

Stand: 22.6.2026 · Version 2026-05-29

DSGVO Art. 5 Abs. 1 lit. e — Speicherbegrenzung

Drei-Stufen-Aufbewahrung

Ihre Daten durchlaufen drei Aufbewahrungsstufen mit absteigender Identifizierbarkeit. Jede Stufe hat eine eigene Rechtsgrundlage und einen klar definierten Zweck.

Hot90 Tage
Daten
Vollständige personenbezogene Daten (Klartext, PII unverschlüsselt im Working Set)
Rechtsgrundlage
Art. 5 Abs. 1 lit. a DSGVO — Rechtmäßigkeit & Transparenz
Zweck
Aktive Geschäftstätigkeit: laufende Verträge, Rechnungen, Mandate, Meetings, Vorlagen.
Warm1-3 Jahre
Daten
Pseudonymisierte Daten (direkte Identifikatoren entfernt, Geschäftsmetadaten erhalten)
Rechtsgrundlage
Art. 4 Abs. 5 DSGVO (Pseudonymisierung) + Art. 6 Abs. 1 lit. f (berechtigtes Interesse)
Zweck
Statistische Analyse, Trend-Auswertung, Audit-Rückverfolgbarkeit — Re-Identifikation nicht mehr möglich.
Coldunbegrenzt
Daten
Aggregierte Metriken (Zählungen, Durchschnittswerte — keine Einzeldatensätze)
Rechtsgrundlage
Art. 30 DSGVO — Verzeichnis von Verarbeitungstätigkeiten (ROPA)
Zweck
Langzeit-Compliance-Nachweis und gesetzliche Aufbewahrungsfristen (§ 147 AO, AI Act Art. 12).

Stufe	Dauer	Daten	Rechtsgrundlage	Zweck
Hot	90 Tage	Vollständige personenbezogene Daten (Klartext, PII unverschlüsselt im Working Set)	Art. 5 Abs. 1 lit. a DSGVO — Rechtmäßigkeit & Transparenz	Aktive Geschäftstätigkeit: laufende Verträge, Rechnungen, Mandate, Meetings, Vorlagen.
Warm	1-3 Jahre	Pseudonymisierte Daten (direkte Identifikatoren entfernt, Geschäftsmetadaten erhalten)	Art. 4 Abs. 5 DSGVO (Pseudonymisierung) + Art. 6 Abs. 1 lit. f (berechtigtes Interesse)	Statistische Analyse, Trend-Auswertung, Audit-Rückverfolgbarkeit — Re-Identifikation nicht mehr möglich.
Cold	unbegrenzt	Aggregierte Metriken (Zählungen, Durchschnittswerte — keine Einzeldatensätze)	Art. 30 DSGVO — Verzeichnis von Verarbeitungstätigkeiten (ROPA)	Langzeit-Compliance-Nachweis und gesetzliche Aufbewahrungsfristen (§ 147 AO, AI Act Art. 12).

Die Übergänge zwischen den Stufen erfolgen automatisch durch nächtliche Cron-Jobs. Sie haben jederzeit das Recht auf vorzeitige Löschung (Art. 17 DSGVO) — schreiben Sie uns an die im Impressum genannte Adresse.

Marktvergleich

KlugBüro im Vergleich zu Notion AI, ChatGPT Team und n8n Cloud

Bewertung anhand der Privacy Policies und Auftragsverarbeitungs- Verträge der Anbieter (Stand Mai 2025). Die Tabelle ersetzt keine eigenständige Prüfung durch Ihren Datenschutzbeauftragten.

Daten verbleiben in der EU
Notion AI
Primärverarbeitung in den USA (AWS us-east-1). EU-Storage-Option deckt nicht die AI-Inferenz.
ChatGPT Team
OpenAI verarbeitet Anfragen weltweit — auch mit „EU Data Residency" verlässt der Prompt für die Inferenz die EU.
n8n Cloud
Self-Hosting in der EU möglich — aber Audit, Backups und KI-Anbindung sind Kundensache.
KlugBüro
Hetzner Frankfurt + KI-Inferenz in der EU. Keine Drittlandsübermittlung.
3-Stufen-Aufbewahrung (Hot / Warm / Cold)
Notion AI
Generische 30-Tage-Backups, keine differenzierte Aufbewahrung nach Identifizierbarkeit.
ChatGPT Team
Standardmäßig 30 Tage Chat-Retention, keine Pseudonymisierungs-Stufe.
n8n Cloud
Workflow-Engine ohne integriertes Retention-Modell.
KlugBüro
Hot 90 d Klartext, Warm 1–3 J pseudonymisiert, Cold ∞ aggregiert — DSGVO + §147 AO erfüllt.
Vollständiges Audit-Log (DSFA-fähig)
Notion AI
Audit-Log nur im Enterprise-Plan, ohne KI-Token-Granularität.
ChatGPT Team
API-Logs nur bei Enterprise, Mitarbeiter-Aktivitäten teilweise.
n8n Cloud
Workflow-Logs vorhanden, aber keine DSFA-konforme KI-Anfrage-Protokollierung.
KlugBüro
Jede Anfrage, jedes Modell, jeder Token im Audit-Log — exportierbar als CSV/JSON.
AVV nach Art. 28 DSGVO (signiert pro Kunde)
Notion AI
DPA-Template per Stripe-Style Copy-Paste, ohne Vertrags-Eingehensprozess für KMU.
ChatGPT Team
DPA per Self-Service-Checkbox — keine individualisierte Verhandlung möglich.
n8n Cloud
AVV verfügbar, aber TOM-Nachweis liegt beim Self-Host-Betreiber.
KlugBüro
Vollständiges AVV inkl. TOM, signiert pro Tenant, downloadbar als PDF.
AI Act Art. 4 (Schulungspflicht) inklusive
Notion AI
Kein integriertes Schulungs-Modul — Kunde muss separate Lösung beschaffen.
ChatGPT Team
Kein KI-Kompetenz-Test, kein Nachweis pro Mitarbeiter.
n8n Cloud
Workflow-Plattform — Schulung ist nicht Bestandteil.
KlugBüro
Schulungs-Test beim ersten Login, PDF-Zertifikat automatisch in der Personalakte.
§5 RDG-konformer Hinweis bei Dokumenten
Notion AI
KI-generierte Texte ohne expliziten Hinweis auf fehlende Rechtsberatung.
ChatGPT Team
Standardausgabe ohne automatische §5-RDG-Disclaimer.
n8n Cloud
Workflow-Output trägt keinen Rechtsdienstleistungs-Hinweis.
KlugBüro
Jedes generierte Dokument enthält automatisch den §5-RDG-Hinweis — keine Rechtsberatung.

Kriterium	Notion AIUSA	ChatGPT TeamUSA	n8n CloudEU mit Aufwand	KlugBüroEU-only
Daten verbleiben in der EU	Primärverarbeitung in den USA (AWS us-east-1). EU-Storage-Option deckt nicht die AI-Inferenz.	OpenAI verarbeitet Anfragen weltweit — auch mit „EU Data Residency" verlässt der Prompt für die Inferenz die EU.	Self-Hosting in der EU möglich — aber Audit, Backups und KI-Anbindung sind Kundensache.	Hetzner Frankfurt + KI-Inferenz in der EU. Keine Drittlandsübermittlung.
3-Stufen-Aufbewahrung (Hot / Warm / Cold)	Generische 30-Tage-Backups, keine differenzierte Aufbewahrung nach Identifizierbarkeit.	Standardmäßig 30 Tage Chat-Retention, keine Pseudonymisierungs-Stufe.	Workflow-Engine ohne integriertes Retention-Modell.	Hot 90 d Klartext, Warm 1–3 J pseudonymisiert, Cold ∞ aggregiert — DSGVO + §147 AO erfüllt.
Vollständiges Audit-Log (DSFA-fähig)	Audit-Log nur im Enterprise-Plan, ohne KI-Token-Granularität.	API-Logs nur bei Enterprise, Mitarbeiter-Aktivitäten teilweise.	Workflow-Logs vorhanden, aber keine DSFA-konforme KI-Anfrage-Protokollierung.	Jede Anfrage, jedes Modell, jeder Token im Audit-Log — exportierbar als CSV/JSON.
AVV nach Art. 28 DSGVO (signiert pro Kunde)	DPA-Template per Stripe-Style Copy-Paste, ohne Vertrags-Eingehensprozess für KMU.	DPA per Self-Service-Checkbox — keine individualisierte Verhandlung möglich.	AVV verfügbar, aber TOM-Nachweis liegt beim Self-Host-Betreiber.	Vollständiges AVV inkl. TOM, signiert pro Tenant, downloadbar als PDF.
AI Act Art. 4 (Schulungspflicht) inklusive	Kein integriertes Schulungs-Modul — Kunde muss separate Lösung beschaffen.	Kein KI-Kompetenz-Test, kein Nachweis pro Mitarbeiter.	Workflow-Plattform — Schulung ist nicht Bestandteil.	Schulungs-Test beim ersten Login, PDF-Zertifikat automatisch in der Personalakte.
§5 RDG-konformer Hinweis bei Dokumenten	KI-generierte Texte ohne expliziten Hinweis auf fehlende Rechtsberatung.	Standardausgabe ohne automatische §5-RDG-Disclaimer.	Workflow-Output trägt keinen Rechtsdienstleistungs-Hinweis.	Jedes generierte Dokument enthält automatisch den §5-RDG-Hinweis — keine Rechtsberatung.

Legende: erfüllt · teilweise / mit Aufwand · nicht erfüllt

Stand: 22.6.2026 · Datenschutz-Anfragen: datenschutz@klugbuero.de