Rechtliches

Datenschutzerklärung

Letzte Aktualisierung: 1. Mai 2026

1. Einleitung

LokyAssistant („wir“, „uns“, „unser“ oder „das Unternehmen“) respektiert Ihre Privatsphäre. Dieses Dokument erklärt, welche Daten wir erheben, wie wir sie verwenden und schützen.

Verantwortlicher: [Vollständiger Name], eine in der Ukraine registrierte Einzelunternehmerin/ein Einzelunternehmer (FOP) [Registernummer auf Anfrage]. Eine Korrespondenzanschrift wird auf Anfrage bereitgestellt. Kontakt für Fragen zum Datenschutz: support@lokyassistant.com.

2. Welche Daten wir erheben

2.1 Telegram-Daten

  • Telegram-ID — die eindeutige Kennung Ihres Kontos
  • Username — Ihr Telegram-Name (falls vorhanden)
  • Vor- und Nachname — aus Ihrem Telegram-Profil
  • Nachrichtentext — zur Verarbeitung von Anfragen

2.2 Integrationsdaten (sofern verbunden)

  • Google-OAuth-Token — für den Zugriff auf Google Calendar und Drive/Docs/Sheets (vor der Speicherung verschlüsselt)
  • E-Mail-Konfigurationen — Login und Passwort für IMAP/SMTP (verschlüsselt)
  • Zahlungsdaten — Zahlungen werden von Telegram (Telegram Stars) abgewickelt. Kartenzahlungsdaten erreichen uns nie; wir speichern lediglich die Telegram-Zahlungskennung für mögliche Rückerstattungen

2.3 Profildaten

  • E-Mail-Adresse
  • Geburtsdatum (optional)
  • Standort
  • Zeitzone
  • Bevorzugte Sprache
  • Kurzbiografie

2.4 Nutzungsdaten

  • IP-Adresse
  • Geräteinformationen (Typ, Betriebssystem)
  • Zeit und Art der Anfragen
  • Konversationsverlauf (zur Wahrung des Gesprächskontexts gespeichert)

3. Wie wir Ihre Daten verwenden

Kernfunktionalität

  • Bereitstellung des Dienstes und Bearbeitung von Anfragen
  • Integration mit Google Calendar, Google Drive und anderen Diensten
  • Erzeugung von PDF-Dokumenten
  • Bereitstellung von Support und technischer Hilfe

Verbesserung des Dienstes

  • Nutzungsanalyse zur Verbesserung der Funktionalität
  • Erfassung von Fehlern und Problemen
  • Verbesserung des Dienstes (anonymisierte Daten)

Kommerzielle Zwecke

  • Rechnungsstellung und Zahlungsabwicklung
  • Versand von Benachrichtigungen über Updates und Angebote
  • Marktforschung auf Basis aggregierter und anonymisierter Daten

Für Nutzer in der EU/im EWR verarbeiten wir personenbezogene Daten auf folgenden Grundlagen:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b) — Bereitstellung des Dienstes, Bearbeitung Ihrer Anfragen, die von Ihnen verbundenen Integrationen und die Rechnungsstellung.
  • Einwilligung (Art. 6 Abs. 1 lit. a) — Verbindung externer Konten (Google, E-Mail), optionale Profilfelder und Marketing-Nachrichten. Sie können die Einwilligung jederzeit widerrufen.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) — Sicherheit des Dienstes, Missbrauchsprävention, das Register gesperrter Konten, Fehlererkennung und Verbesserung des Dienstes auf anonymisierten Daten.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) — Aufzeichnung von Zahlungen und Einhaltung des geltenden Rechts.

4. Wie wir Ihre Daten schützen

Verschlüsselung

  • Alle sensiblen Daten (Passwörter, Token) werden mit Fernet (AES-128) verschlüsselt
  • HTTPS für alle HTTP-Anfragen
  • Datenübertragung über SSL/TLS

Zugriff

  • Daten werden pro user_id isoliert (jede:r Nutzer:in sieht nur eigene Daten)
  • Alle Zugriffe auf sensible Daten werden protokolliert
  • Eingeschränkter Datenbankzugriff (nur Entwickler)

Backups

  • Tägliche, verschlüsselte Datenbank-Backups
  • Speicherung in einem sicheren EU-Rechenzentrum — Hetzner Cloud (Nürnberg, Deutschland) mit unterzeichnetem AVV (DSGVO Art. 28)

5. Weitergabe von Daten an Dritte

Wir verkaufen Ihre Daten nicht. Wir geben sie jedoch an folgende Auftragsverarbeiter (DSGVO Art. 28) weiter, um den Dienst zu erbringen:

  • Anthropic (Claude AI) — Textverarbeitung
  • Anthropic (Claude Vision) — Foto-Erkennung und -Beschreibung
  • OpenAI (GPT Image 2) — Bildbearbeitung und -erzeugung
  • OpenAI — Sprachverarbeitung (Spracherkennung und -synthese), sofern Sie Sprachfunktionen nutzen
  • Google — Integrationen mit Google Calendar und Drive (sofern verbunden)
  • Serper.dev / Google — Websuche: Wenn Sie um eine Online-Recherche bitten, wird Ihre Suchanfrage an diesen Dienst übermittelt
  • Cloudflare — CDN und Anti-Bot-Schutz der Website (Turnstile); verarbeitet Ihre IP-Adresse
  • Hetzner — Hosting der Infrastruktur und der Backups (EU, Deutschland)
  • Telegram — Nachrichtenzustellung
  • Telegram (Telegram Stars) — Zahlungsabwicklung

Alle Drittanbieter haben eigene Datenschutzerklärungen. Wir empfehlen, sie zu lesen.

Internationale Datenübermittlung

Einige Auftragsverarbeiter (Anthropic, OpenAI, Serper.dev/Google, Cloudflare) haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten außerhalb der EU/des EWR stützt sich auf den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (für nach dem DPF zertifizierte Anbieter) und/oder auf Standardvertragsklauseln (SCCs, DSGVO Art. 46) als zusätzliche Schutzmaßnahme. Infrastruktur und Backups werden in der EU gespeichert (Hetzner, Deutschland).

5a. Foto-Verarbeitung

LokyAssistant ermöglicht es Ihnen, Fotos zur Erkennung, Bearbeitung und Erzeugung neuer Bilder zu senden.

Wie Fotos verarbeitet werden

  • Fotos werden flüchtig verarbeitet — Originale werden nicht lokal auf unseren Servern gespeichert.
  • Es wird nur die Telegram-file_id aufbewahrt (bis zu 7 Tagen) — der Verweis, der für Multi-Turn-Bearbeitung benötigt wird.
  • Nach Bearbeitung der Anfrage wird das Foto aus dem Speicher entfernt.
  • Fotos und generierte Bilder werden NICHT zum Trainieren der Anbieter-Modelle verwendet.
  • Übertragungen an Anbieter erfolgen ausschließlich über HTTPS/TLS.

Drittanbieter für Fotos

  • Anthropic Claude Vision — Erkennung und Beschreibung von Fotoinhalten (privacy).
  • OpenAI GPT Image 2 — Bearbeitung und Erzeugung von Bildern (privacy).

Jeder Anbieter hat eine eigene Content Policy, die für Ihre Anfragen gilt.

Verbotene Inhalte

Der Assistent verweigert die Verarbeitung von Fotos und Anfragen, die enthalten:

  • Dokumente Dritter mit deren personenbezogenen Daten (Reisepässe, Personalausweise usw.) ohne Rechtsgrundlage — Sie sind für die Rechtmäßigkeit der Verarbeitung fremder Dokumente verantwortlich.
  • NSFW-Inhalte, Gewalt, Diskriminierung, Hassrede.
  • Abbildungen realer Personen zu schädlichen Zwecken: Deepfakes, intime Darstellungen ohne Einwilligung der abgebildeten Person, Identitätsmissbrauch, Belästigung oder Erniedrigung.
  • Urheberrechtlich geschützte Inhalte (Reproduktion geschützter Werke, Markenlogos).

Beim Versuch, verbotene Inhalte zu verarbeiten, verweigert der Bot die Bearbeitung; die Anbieterkosten werden NICHT Ihrem Kontingent belastet (refund quota).

5b. Daten Ihrer Kunden (Client Cards)

Mit der Funktion Client Cards können Sie Informationen über Ihre Kunden und Kontakte speichern: Name, Firma, Telefon, Notizen und Kalendereinträge.

  • Sie sind der Verantwortliche, wir der Auftragsverarbeiter. Indem Sie Daten Dritter (Ihrer Kunden) eingeben, werden Sie zum Verantwortlichen für diese personenbezogenen Daten im Sinne der DSGVO, während LokyAssistant als Auftragsverarbeiter nach Ihren Weisungen handelt (wie CRM-Systeme HubSpot oder Pipedrive). Sie sind für eine Rechtsgrundlage der Verarbeitung und für die Information Ihrer Kunden verantwortlich.
  • Was wir speichern: nur die Felder, die Sie eingeben. Die Daten sind pro Konto (user_id) isoliert — andere Nutzer können sie nicht sehen.
  • Export (Portabilität): Sie können alle Kundenkarten jederzeit in einem maschinenlesbaren Format (CSV/vCard) exportieren.
  • Löschung: Das Löschen einer Karte bedeutet die tatsächliche Löschung der Daten (kein Verstecken) — damit Sie das „Recht auf Vergessenwerden" Ihres Kunden erfüllen können. Das Löschen Ihres Kontos über /delete_me löscht auch alle Kundenkarten.
  • Besondere Kategorien: Geben Sie keine besonderen Kategorien personenbezogener Daten (Gesundheits-, biometrische Daten, religiöse Überzeugungen usw.) ohne ausdrückliche Einwilligung der betroffenen Person ein — siehe Nutzungsbedingungen.

5c. Google-Workspace-Daten (Drive & Calendar)

Wenn Sie Ihr Google-Konto verbinden, greift LokyAssistant nur auf einen begrenzten Satz von Google-Daten zu, um die von Ihnen im Chat gewünschten Aktionen auszuführen.

Welche Scopes wir anfordern

  • .../auth/drive.file (non-sensitive) — Zugriff beschränkt auf die Dokumente und Tabellen, die der Assistent selbst erstellt oder die Sie ausdrücklich mit ihm öffnen. Wir können keine anderen Dateien in Ihrem Google Drive sehen oder darauf zugreifen.
  • .../auth/calendar.events (sensitive) — um auf Ihre Anfrage hin Termine in Ihrem Kalender zu lesen, zu erstellen, zu aktualisieren und zu löschen. Wir verwalten weder Ihre Kalenderliste noch Einstellungen oder Freigaben.

Wir fordern keinen Zugriff auf Gmail oder auf Ihr gesamtes Google Drive an.

Was wir mit diesen Daten tun

  • Wir handeln nur auf Ihre ausdrückliche Anweisung (z. B. „erstelle eine Ausgaben-Tabelle“, „füge morgen um 15 Uhr einen Termin hinzu“).
  • Kalendertermin-Daten werden vorübergehend verarbeitet — um Ihre Anfrage zu erfüllen und dem Assistenten Kontext zu geben; wir erstellen keine dauerhafte Kopie Ihres Kalenders.
  • Wir speichern die Inhalte Ihrer Google-Dateien nicht auf unseren Servern. Wir behalten nur die technischen Kennungen (File-ID / Event-ID), die für Aktionen an den über den Assistenten erstellten Objekten nötig sind.

Speicherung, Aufbewahrung und Löschung

  • OAuth-Token werden verschlüsselt (Fernet) und bis zur Trennung gespeichert.
  • Sie können die Verbindung jederzeit über den Bot (/services) trennen, wodurch die Token bei Google widerrufen werden.
  • Das Löschen Ihres Kontos über /delete_me widerruft Ihre Google-Token bei Google und löscht die gespeicherten Kennungen.

Limited Use

Die Nutzung und Weitergabe von über Google-APIs erhaltenen Informationen an andere Apps durch LokyAssistant entspricht der Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen. Insbesondere werden wir Google-Nutzerdaten nicht:

  • für Werbung verwenden;
  • verkaufen oder an Dritte weitergeben, außer soweit dies zur Bereitstellung oder Verbesserung des Dienstes, für die Sicherheit oder zur Einhaltung von Gesetzen erforderlich ist;
  • zum Trainieren verallgemeinerter KI-/ML-Modelle verwenden — unser KI-Auftragsverarbeiter (Anthropic) verwendet API-Daten standardmäßig nicht zum Training (Commercial Terms);
  • von Menschen lesen lassen, außer mit Ihrer Einwilligung, aus Sicherheitsgründen, zur Einhaltung von Gesetzen oder wenn die Daten aggregiert/anonymisiert sind.

6. Speicherdauer

  • Aktive Nutzer: Daten werden gespeichert, solange das Konto aktiv ist
  • Inaktive Nutzer (1+ Jahr): Daten können gelöscht werden
  • Nach Löschung: Daten werden innerhalb von 30 Tagen entfernt (außer bei rechtlichen Pflichten)
  • Backups: bis zu 90 Tage
  • Fotos (binärer Inhalt): nicht gespeichert (flüchtige Verarbeitung)
  • Telegram-file_id für Fotos: bis zu 7 Tagen (für Multi-Turn-Bearbeitung)

7. Ihre Rechte

DSGVO / Europäisches Recht

Wenn Sie in Europa leben, haben Sie folgende Rechte:

  • Auskunftsrecht — eine Kopie Ihrer Daten anfordern
  • Recht auf Löschung — das „Recht auf Vergessenwerden“
  • Recht auf Berichtigung — falsche Daten aktualisieren
  • Recht auf Datenübertragbarkeit — Daten in einem maschinenlesbaren Format erhalten
  • Widerspruchsrecht — der Datenverarbeitung widersprechen
  • Recht auf Einschränkung der Verarbeitung (Art. 18) — verlangen, dass wir die Verarbeitung Ihrer Daten vorübergehend aussetzen
  • Beschwerderecht (Art. 77) — Sie können sich an die Datenschutz-Aufsichtsbehörde in Ihrem Wohnsitzland wenden (für die EU/den EWR)

Zur Ausübung dieser Rechte schreiben Sie an support@lokyassistant.com.

Ausnahme für gesperrte Konten

Wenn Ihr Konto wegen Verstoß gegen die Nutzungsbedingungen gesperrt wurde, wird Ihre Telegram-ID auch nach dem Löschen der übrigen Daten via /delete_me in einem separaten Register gesperrter IDs gespeichert. Dies ist notwendig, um eine Umgehung der Sperre zu verhindern. Das Register enthält NUR: Telegram-ID, Sperrdatum, Sperrdauer, Grund. Einträge mit befristeter Sperrdauer werden nach deren Ablauf automatisch gelöscht. Dauerhafte Sperren werden nur nach einem erfolgreichen Einspruch über support@lokyassistant.com entfernt.

8. Cookies

Die Website lokyassistant.com verwendet keine Cookies zum Tracking oder zur Analyse (Google Analytics, Meta Pixel etc. sind nicht installiert). Es werden nur technisch notwendige Cookies verwendet:

  • Cloudflare Turnstile — Anti-Bot-Challenge im Kontaktformular (privacy).
  • Sitzungs-Cookies — CSRF-Token des Kontaktformulars (werden beim Schließen des Browsers gelöscht).
  • lang_pref — speichert Ihre Sprachauswahl der Website (Lebensdauer — 1 Jahr).

Sie können Cookies in den Browsereinstellungen deaktivieren; das Kontaktformular funktioniert in diesem Fall nicht.

9. Kinder

LokyAssistant ist nicht für Personen unter 16 Jahren bestimmt. Wir sammeln nicht wissentlich Daten von Kindern. Wenn wir erfahren, dass ein:e Nutzer:in unter 16 Jahre alt ist, ergreifen wir Maßnahmen zur Löschung seiner Daten.

10. Kontakt

Wenn Sie Fragen zu dieser Datenschutzerklärung haben:

11. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Über wesentliche Änderungen informieren wir Sie über den Bot oder per E-Mail.