← Zurück

Datenschutzerklärung

Stand: 21. Mai 2026 · Version 1.0 · juristische Schlussprüfung läuft

Diese Erklärung beschreibt verständlich, welche Daten wir verarbeiten und warum. Für konkrete datenschutzrechtliche Anfragen oder die Geltendmachung deiner Rechte: hello@uplifts.de. Eine vollständige Liste der eingesetzten Auftragsverarbeiter findest du unter /legal/auftragsverarbeiter.

1. Verantwortlicher

Uplifts GmbH, Deutschland. hello@uplifts.de
Vollständige Anbieterkennzeichnung im Impressum.

2. Welche Daten wir verarbeiten

Wir verarbeiten — getrennt nach Zweck:

  • Account-Daten: Name, E-Mail, Passwort-Hash (bcrypt), optionale 2FA-Geheime. Rechtsgrundlage: Art. 6 Abs. 1 b DSGVO (Vertragserfüllung).
  • Profil- und Stammdaten: Anschrift, Steuernummer, USt-ID, IBAN/BIC (Anwendungs-Layer-verschlüsselt mit AES-256-GCM), Plattform-Handles, Tonalitäts-Präferenzen. Rechtsgrundlage: Art. 6 Abs. 1 b + c DSGVO (Rechnungslegung).
  • Kooperations- und Brand-Daten: Brand-Stammdaten, Kontaktpersonen, Verhandlungs-/Vertragsstand, Preise, Termine, Nachrichten-Verlauf (Mail-Inhalte). Rechtsgrundlage: Art. 6 Abs. 1 b DSGVO.
  • Finanz- und Buchhaltungs-Daten: Angebote, Auftragsbestätigungen, Rechnungen (inkl. E-Rechnung im XRechnung-/ ZUGFeRD-Format), Mahnstufen, Zahlungseingänge. Aufbewahrung gemäß § 147 AO (10 Jahre). Rechtsgrundlage: Art. 6 Abs. 1 c DSGVO.
  • Datei-Anhänge: Briefing-PDFs, Vertrags-PDFs, Content-Dateien — in privatem Supabase-Storage (Signed URLs, Aufbewahrungsfrist 7 Jahre). Rechtsgrundlage: Art. 6 Abs. 1 b DSGVO.
  • KI-Interaktions-Logs: Welcher KI-Aufruf wann mit welchen Eingabe-/Ausgabe-Tokens. 90 Tage Retention. Rechtsgrundlage: Art. 6 Abs. 1 f DSGVO (berechtigtes Interesse: Audit der automatisierten Verarbeitung gemäß Art. 22).
  • Security-Audit-Log: Sicherheits­ relevante Aktionen (IBAN-/Tax-ID-Änderung, Daten-Export, Rollen-Wechsel, Manager-Zuweisung). 24 Monate Retention. Rechtsgrundlage: Art. 6 Abs. 1 f DSGVO + Art. 32 DSGVO (Datensicherheit).

3. Hosting und Standort

Sämtliche Anwendungsdaten werden in der EU verarbeitet — Datenbank und Storage bei Supabase Frankfurt, Hosting bei Vercel (EU-Edge), Background-Jobs bei Inngest EU, Error-Logging bei Sentry EU-Region. Für Übertragungen an US-Anbieter (Anthropic, Stripe, Dropbox Sign) gelten EU-Standardvertragsklauseln und — wo anwendbar — das Data Privacy Framework (DPF). Details mit Datenkategorien und DPA-Links: Auftragsverarbeiter-Übersicht.

4. KI-gestützte Verarbeitung

Calie nutzt Anthropic Claude (USA, DPF-zertifiziert) für die folgenden Zwecke:

  • Klassifikation eingehender Brand-Mails (Spam vs. Anfrage)
  • Extraktion strukturierter Daten aus Mails und Briefing-PDFs (Posting-Datum, Preis-Vorstellungen, Content-Format-Wünsche, Exklusivitäts-Klauseln)
  • Vorschläge für Antwort-Mails (3 Varianten je nach Richtung)
  • Konzept- und Caption-Entwürfe für einzelne Content-Pieces (Reels, Stories, Posts)
  • Kompakte Konversations-Zusammenfassung (1-Satz) zur besseren Übersicht auf der Kanban-Karte
  • Vorausgefüllte Steuerberater-Mails auf Basis aggregierter Monatszahlen

Personenbezogene Daten werden nur dann an Anthropic übertragen, wenn du sie aktiv in die App eingibst (z.B. den Mail-Text einer Brand-Anfrage). Im System-Prompt befinden sich grundsätzlich keine personenbezogenen Daten. Jeder KI-Aufruf wird intern protokolliert (90 Tage). Anthropic darf die Inhalte gemäß ihrer Datenschutzrichtlinie nicht zum Training von Foundation-Modellen verwenden.

Bei Brand-Reliability-Scoring (Bewertung der Zuverlässigkeit einer Brand auf Basis eigener bisheriger Kooperations-Erfahrung) findet kein KI-Profiling statt — die Berechnung erfolgt regelbasiert auf unserer eigenen Infrastruktur in der EU.

5. E-Mail-Verarbeitung

Wenn du dein E-Mail-Konto verbindest (Gmail OAuth oder IMAP), lesen wir Inbound- Mails ausschließlich zum Zweck der Klassifikation, Threading und Verknüpfung mit Brand-Kooperationen. Brand-Mails ohne erkennbare Kooperation landen im Orphan-Posteingang und können nach Sichtung als irrelevant markiert werden (Soft-Dismiss, bleiben als Audit erhalten). Outbound-Versand erfolgt über Resend (EU). Du kannst dein E-Mail-Konto in den Einstellungen jederzeit trennen.

6. Datei-Anhänge (z.B. Briefing-PDFs)

Hochgeladene PDFs, Bilder und Vertrags-Dokumente werden in unserem privaten Storage (Supabase EU) abgelegt — nur über Signed URLs zugänglich, kein öffentlicher Direkt-Zugriff. Aufbewahrung wegen Buchhaltungs- und Audit-Pflichten bis zu 7 Jahre. PDF-Briefings werden zur strukturierten Auswertung an Anthropic übermittelt (siehe Punkt 4).

7. Zahlungsdaten

Subscription- und Provisionszahlungen verarbeitet Stripe Payments Europe Ltd. (Dublin) mit Backend-Verarbeitung in der EU und USA. Wir selbst speichern keine Kreditkarten- oder Konto-Daten — nur eine Stripe-Kunden-ID und den Subscription- Status. Stripe ist PCI-DSS Level 1 zertifiziert.

8. Vertrags-Signatur

Für die rechtsgültige digitale Unterzeichnung von Kooperations-Verträgen nutzen wir Dropbox Sign (USA, DPF-zertifiziert). Dabei werden Vertrags-Dokumente, Signatur-Metadaten und die E-Mail-Adressen der Vertragsparteien übermittelt.

9. Sicherheitsmaßnahmen

Wir setzen branchenübliche technische und organisatorische Maßnahmen ein: TLS-Verschlüsselung im Transport, AES-256-GCM-Verschlüsselung für besonders sensible Felder (IBAN, Steuer-ID, OAuth-Tokens), zweischichtige Tenant-Isolation (Applikations-Layer + Postgres-Row-Level-Security), Sentry-Logs mit PII-Redaction, optionale Zwei-Faktor-Authentifizierung (TOTP) in den Sicherheits-Einstellungen. Details: Security-Spec.

10. Speicherdauer

  • Account-Daten: bis 14 Tage nach Löschungsantrag (Grace-Period), danach Hard-Delete
  • Rechnungen, Verträge, signierte Quotes: 10 Jahre (§ 147 AO Aufbewahrungspflicht)
  • Datei-Anhänge in Storage: 7 Jahre (Audit-Trail)
  • KI-Interaktions-Logs: 90 Tage
  • Security-Audit-Logs: 24 Monate
  • Activity- und Status-History pro Coop: solange die Coop existiert, danach gemeinsam mit der Coop gelöscht

11. Deine Rechte

Dir stehen folgende Rechte zu:

  • Auskunft (Art. 15): vollständiger Export aller deiner Daten als ZIP, unter Einstellungen → Daten & DSGVO
  • Berichtigung (Art. 16): Editier- möglichkeiten direkt in der App
  • Löschung (Art. 17): Konto-Löschung mit 14-Tage-Grace-Period, danach Hard-Delete. Buchhaltungspflichtige Daten bleiben im Rahmen gesetzlicher Aufbewahrungsfristen erhalten.
  • Einschränkung (Art. 18): per E-Mail an hello@uplifts.de
  • Datenübertragbarkeit (Art. 20): gleicher ZIP-Export wie bei Auskunft, JSON-Format
  • Widerspruch (Art. 21): gegen Verarbeitungen auf Grundlage berechtigten Interesses
  • Widerruf der Einwilligung(Art. 7 Abs. 3): wo wir auf Einwilligung gestützt verarbeiten (aktuell: Marketing-Mails, falls aktiviert)

12. Cookies und Tracking

Wir verwenden ausschließlich technisch notwendige Cookies für die Auth-Session (Supabase). Stripe.js setzt Funktionscookies im Bezahlvorgang. Es findet kein Tracking, kein Web-Analytics, keine Werbe-Cookies statt.

13. Automatisierte Entscheidungen

Calie trifft keine vollständig automatisierten Entscheidungen mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO. KI-generierte Vorschläge (Antwort-Mails, Pricing-Empfehlungen, Coop-Updates) sind Vorschläge — du entscheidest selbst, ob du sie übernimmst, anpasst oder ablehnst.

14. Beschwerderecht

Du hast das Recht, dich bei einer Aufsichtsbehörde zu beschweren — zuständig ist die jeweilige Landesdatenschutzbehörde deines Wohnsitzes oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI).

15. Änderungen dieser Erklärung

Bei wesentlichen Änderungen — insbesondere bei Aufnahme neuer Auftragsverarbeiter — informieren wir registrierte Nutzer per E-Mail mindestens 30 Tage vor Wirksamwerden.