Datenschutzerklärung

1. Verantwortlicher

Vollständige Anbieterkennzeichnung siehe Impressum. Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO ist die oben genannte Person.

2. Erhebung & Speicherung

2.1 Beim Besuch der Website (Marketing)

Server-Log: IP-Adresse (anonymisiert nach 7 Tagen), URL, Zeitstempel, User-Agent. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Sicherheit und Verfügbarkeit. Keine Cookies, kein Tracking, keine Analytics.

2.2 Bei Nutzung der App

• Login-Daten: E-Mail-Adresse + bcrypt-gehashtes Passwort.
• Session-Cookies: yolo_access (15 min), yolo_refresh (7 Tage), httpOnly, SameSite=Lax, Secure. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung.
• App-Inhalte (E-Mails, Dokumente, Wissensquellen): Verarbeitung im Auftrag des Kunden auf Basis eines AVV nach Art. 28 DSGVO.

2.3 Beim Versand einer Pilot-Anfrage / Kontakt

Name, Firma, E-Mail. Rechtsgrundlage Art. 6 Abs. 1 lit. b/f DSGVO (Anbahnung & berechtigtes Interesse). Speicherdauer: 24 Monate, danach Löschung.

3. Integrationen / Verbundene Dienste (Connectors)

YOLO kann optional in Ihrem Auftrag mit externen Diensten verbunden werden (z. B. Postfach, Kalender, Dokumentenspeicher, CRM, Ticketing, Meeting-Tools). Für jeden Connector gelten die folgenden Grundsätze:

• Nichts ohne Konfiguration: Wenn Sie keinen Connector einrichten, werden KEINE Daten an Dritte übermittelt. Standardmäßig nutzt YOLO ausschließlich unsere EU-Infrastruktur (siehe Abschnitt 4).
• EU-Only-Infrastruktur: Unsere Verarbeitung und Speicherung erfolgen ausschließlich in der EU (Hetzner Frankfurt, Mistral AI Paris). Von Ihnen aktivierte Connectors kontaktieren ggf. den jeweiligen Anbieter (z. B. Google, Microsoft, Zoom); diese Anbieter wählen Sie selbst und bleiben für diese Verbindung verantwortlich.
• Datenminimierung — nur das Nötige lesen: Lesezugriffe sind auf das für die Aufgabe Notwendige beschränkt. Insbesondere bei Kalendern lesen wir AUSSCHLIESSLICH die Belegt-Zeiten (WANN Sie belegt sind) über die Free/Busy-Schnittstelle — niemals Titel, Teilnehmer oder Inhalt Ihrer Termine (WAS).
• Keine Aktion ohne Freigabe: Ausgehende Aktionen (E-Mail senden, Ticket/CRM-Eintrag anlegen, Meeting erstellen, Nachricht posten) werden nur als Vorschlag vorbereitet und ausschließlich NACH Ihrer ausdrücklichen Freigabe in der Inbox ausgeführt. Es wird nichts automatisch versendet.
• Verschlüsselte Zugangsdaten: Von Ihnen hinterlegte Zugangsdaten / API-Schlüssel eines Connectors werden verschlüsselt gespeichert (AES-256) und können von Ihnen jederzeit in der App widerrufen werden.

3.1 Connectors nach Anbieter — wer erhält was

Die folgende Liste zeigt — gruppiert nach Anbieter — welche Connectors es gibt und welche Daten jeweils gelesen oder geschrieben werden. Ein Anbieter erhält erst dann Daten, wenn SIE den jeweiligen Connector aktivieren und konfigurieren.

Google (Google Ireland Ltd. / Google LLC)

• Gmail — liest eingehende Nachrichten des verbundenen Postfachs; versendet Antworten erst nach Freigabe.
• Google Kalender — liest ausschließlich Free/Busy-Zeiten (wann belegt) über die FreeBusy-API — niemals Titel, Teilnehmer oder Inhalte.
• Google Drive — liest ausschließlich Namen und Links passender Dokumente — nicht deren Inhalte.
• Google Meet — erstellt ein Meeting + Beitritts-Link, nur nach Freigabe.

Microsoft (Microsoft Ireland Operations Ltd.)

• Outlook / Microsoft 365 Mail — liest eingehende Mails; versendet Antworten erst nach Freigabe.
• Microsoft 365 Kalender — liest ausschließlich Free/Busy-Zeiten (calendarView auf Beginn/Ende beschränkt) — Betreff/Inhalt werden nie angefragt.
• OneDrive / SharePoint — liest ausschließlich Namen und Links passender Dokumente — nicht deren Inhalte.
• Microsoft Teams — erstellt ein Meeting + Beitritts-Link und/oder postet eine freigegebene Nachricht — nur nach Freigabe.

E-Mail-Server (IMAP/SMTP) — Ihr eigener Anbieter

• IMAP — liest eingehende Nachrichten Ihres Postfachs. SMTP — versendet die von Ihnen freigegebene Antwort. Kein Drittanbieter — Ihr eigener Mailserver.

Meetings — Zoom (Zoom Video Communications, Inc.)

• Zoom — erstellt ein Meeting und liefert den Beitritts-Link — nur nach Freigabe.

Messaging — Slack (Slack Technologies / Salesforce)

• Slack — postet eine freigegebene Nachricht in den konfigurierten Kanal. (Microsoft-Teams-Nachrichten: siehe Microsoft oben.)

Ticketing & Projektmanagement

• Atlassian Jira — legt ein Issue an.
• Linear — legt ein Issue an.
• Zendesk — legt ein Ticket an.
• Freshdesk (Freshworks) — legt ein Ticket an.
• Asana — legt eine Aufgabe an.
• Jeweils nur nach Freigabe, mit Betreff/Zusammenfassung aus dem zugrunde liegenden Vorgang.

CRM

• HubSpot — legt einen Kontakt an/aktualisiert ihn (optional einen Deal).
• Pipedrive — legt einen Lead/Deal an.
• Salesforce — legt einen Lead an.
• Jeweils nur nach Freigabe; die Kontaktdaten (z. B. Absendername/-E-Mail) stammen aus dem zugrunde liegenden Vorgang.

Buchungslinks & eigene Systeme

• Cal.com, Zeeg, Calendly, Metergo — teilt den von Ihnen hinterlegten Buchungslink; mit API-Key kann nach Freigabe direkt ein Slot gebucht werden.
• Webhook — sendet das freigegebene Ergebnis als JSON an die von Ihnen konfigurierte URL (Ihr eigenes System).

Beim Einsatz eines Connectors handeln Sie als Verantwortlicher und der jeweilige Anbieter als Ihr Auftragsverarbeiter/Empfänger; beachten Sie deren Datenschutzhinweise und Ihre Verträge mit diesen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO (Vertragserfüllung & berechtigtes Interesse an effizienter Bearbeitung). Mehrere der genannten Anbieter sitzen außerhalb der EU — siehe Abschnitt 5 (Drittlandtransfer).

4. Empfänger / Auftragsverarbeiter

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen — Hosting (Rechenzentrum Frankfurt, EU).
• Mistral AI, Paris, Frankreich — KI-Inferenz (EU, Zero-Data-Retention).

Eine vollständige Liste der Sub-Auftragsverarbeiter stellen wir auf Anfrage zur Verfügung (E-Mail an compliance@getyourloop.de).

5. Drittlandtransfer

Unsere Infrastruktur: keiner. Die gesamte Verarbeitung durch Y.OLO selbst (Hosting, KI-Inferenz, Speicherung) erfolgt ausschließlich in der Europäischen Union (Hetzner Frankfurt, Mistral AI Paris).

Von Ihnen aktivierte Connectors: Verbinden Sie einen Anbieter mit Sitz außerhalb der EU/des EWR (z. B. Google, Microsoft, Zoom, Slack, Atlassian, HubSpot, Salesforce), werden von Ihnen freigegebene Daten an diesen Anbieter in ein Drittland übertragen. Über diese Übermittlung entscheiden und bestimmen Sie; Rechtsgrundlage ist Ihr Vertrag mit dem jeweiligen Anbieter (i. d. R. EU-Standardvertragsklauseln und/oder das EU-US Data Privacy Framework). Ohne aktivierten Connector findet kein Drittlandtransfer statt.

6. Speicherdauer

• Server-Logs: 7 Tage.
• Kontakt-/Pilot-Anfragen: 24 Monate.
• Tenant-Daten (App-Inhalte): für die Vertragslaufzeit; nach Kündigung Löschung innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Rechnungs- & Buchhaltungsdaten: 10 Jahre (§ 147 AO, § 257 HGB).

7. Ihre Rechte

Sie haben gemäß Art. 15–22 DSGVO das Recht auf:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15).
• Berichtigung unrichtiger Daten (Art. 16).
• Löschung („Recht auf Vergessenwerden", Art. 17).
• Einschränkung der Verarbeitung (Art. 18).
• Datenübertragbarkeit (Art. 20).
• Widerspruch gegen die Verarbeitung (Art. 21).
• Beschwerde bei einer Aufsichtsbehörde (Art. 77), z. B. der zuständigen Landesdatenschutzbehörde oder dem Bundesbeauftragten für den Datenschutz (BfDI), Bonn.

Anfragen richten Sie bitte an compliance@getyourloop.de. Als eingeloggter Kunde können Sie Ihre Daten zudem direkt im Customer-Admin (Tab „Vertrag“ / „Team“) einsehen, berichtigen und exportieren.

8. Cookies

Wir setzen ausschließlich technisch notwendige Cookies (Login-Session). Es gibt kein Tracking-, Analyse- oder Marketing-Cookie. Eine Einwilligung nach § 25 Abs. 1 TDDDG ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

9. Datensicherheit

Wir verwenden TLS 1.3 für sämtliche Übertragungen, Verschlüsselung ruhender Daten (AES-256), bcrypt-Passwort-Hashing, rollenbasierte Zugriffskontrolle und ein vollständiges Audit-Log aller administrativen Aktionen. Technische und organisatorische Maßnahmen (TOM) sind im Auftragsverarbeitungsvertrag (AVV) dokumentiert.

10. Änderungen

Bei wesentlichen Änderungen werden aktive Kunden per E-Mail mit 30 Tagen Vorlauf informiert. Die jeweils aktuelle Version finden Sie stets unter /datenschutz.