1. Verantwortlicher im Sinne der DSGVO
Name: René Gäng
Adresse: Kolpingstraße 62, 68753 Waghäusel, Deutschland
E-Mail: info@combany.de
Website: combany.de
Bei Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte E-Mail-Adresse.
2. Welche Daten wir verarbeiten
CombAny ist eine serverbasierte Kollaborationsplattform. Alle Inhalte, die Sie in der App erstellen, werden auf unseren Servern gespeichert, um die Zusammenarbeit in Teams („Waben") zu ermöglichen. Es gibt keine rein lokale Datenhaltung für Plattforminhalte.
2.1 Kontodaten
- Name und Anzeigename
- E-Mail-Adresse
- Passwort (als kryptografischer Hash, nicht im Klartext)
- Profilbild / Avatar
- Mitgliedschaften in Waben und zugewiesene Rollen
2.2 Plattforminhalte
Alle Inhalte, die Sie in CombAny erstellen, werden serverseitig gespeichert:
- Waben (Teams): Name, Beschreibung, Einstellungen, Mitgliederliste
- Themen (Topics): Titel, Inhalt, Status, Erstellungsdatum
- Diskussionen: Beiträge, Kommentare, Reaktionen
- Aufgaben (Tasks): Titel, Beschreibung, Zuweisungen, Status, Fälligkeitsdaten
- Abstimmungen (Votes): Fragen, Antwortoptionen, abgegebene Stimmen
- Direktnachrichten: Inhalt, Zeitstempel, Sender- und Empfänger-ID
- Schichten (Shifts): Einträge, Notizen, Zeiträume
- Archiv-Einträge: archivierte Inhalte mit Metadaten
2.3 Dateianhänge
- Bilder: JPG, PNG, WEBP, GIF (max. 5 MB pro Datei, max. 5 Dateien pro Nachricht)
- Dokumente: PDF, DOC, DOCX, TXT
- Verwendet in: Diskussionen, Direktnachrichten, Avatare
- Speicherung: in unserer Datenbank oder auf Cloudflare R2 (S3-kompatibler Speicher)
Alle Dateien werden vor der Speicherung auf Dateityp und Inhalt geprüft (MIME-Typ und Magic-Bytes-Validierung).
2.4 Technische und Sicherheitsdaten
- Session-Daten: Session-ID, Zeitstempel (für sichere Anmeldung)
- Audit-Logs: sicherheitsrelevante Aktionen (z.B. Login, Passwortänderung, Kontolöschung)
- Push-Tokens: Geräte-Token für Push-Benachrichtigungen (iOS/Android)
- Benachrichtigungseinstellungen: Ihre Präferenzen für Benachrichtigungstypen
- API-Keys: selbst erstellte Schlüssel für externe Integrationen
- Webhook-Registrierungen: URLs für externe Systeme, die Sie selbst konfigurieren
2.5 Zahlungsdaten
- Abonnement-Status und gewählter Plan
- Stripe Customer ID und Subscription ID
Zahlungsdaten (Kreditkartennummern etc.) werden ausschließlich von Stripe verarbeitet und nicht auf unseren Servern gespeichert.
2.6 KI-Nutzungsdaten
- Protokoll der KI-Anfragen: Typ, Zeitstempel, verwendete Token
- Textinhalte, die an die KI übermittelt werden (aus Diskussionen, Aufgaben, Abstimmungen)
3. Zweck und Rechtsgrundlage der Verarbeitung
| Datenart | Zweck | Rechtsgrundlage |
|---|---|---|
| Kontodaten | Registrierung, Authentifizierung, Accountverwaltung | Art. 6 I b DSGVO (Vertrag) |
| Plattforminhalte | Bereitstellung der Kollaborationsfunktionen | Art. 6 I b DSGVO (Vertrag) |
| Dateianhänge | Dateifreigabe in Waben und Direktnachrichten | Art. 6 I b DSGVO (Vertrag) |
| Session-Daten | Sichere Anmeldung und Sitzungsverwaltung | Art. 6 I b DSGVO (Vertrag) |
| Audit-Logs | Sicherheit und Missbrauchsprävention | Art. 6 I f DSGVO (berechtigtes Interesse) |
| Push-Tokens | Versand von Benachrichtigungen (nur mit Erlaubnis) | Art. 6 I a DSGVO (Einwilligung) |
| KI-Nutzungsdaten | Bereitstellung KI-gestützter Funktionen | Art. 6 I a DSGVO (Einwilligung) |
| Stripe-Daten | Abonnementverwaltung und Zahlungsabwicklung | Art. 6 I b DSGVO (Vertrag) |
4. Datenweitergabe an Drittanbieter
Wir geben Ihre Daten nur an Dritte weiter, soweit dies für die Bereitstellung der App-Funktionen erforderlich ist.
4.1 OpenAI LLC (USA)
- Zweck: Bereitstellung der KI-Funktionen (Coaching, Textverbesserung, Zusammenfassung, Analyse)
- Übermittelte Daten: Textinhalte, die Sie explizit an eine KI-Funktion senden
- Speicherdauer bei OpenAI: max. 30 Tage, kein Training mit API-Daten
- Drittlandtransfer: USA, auf Basis von Standardvertragsklauseln (SCC, Art. 46 DSGVO)
- Datenschutz: openai.com/policies/privacy-policy
4.2 Stripe Inc. (USA)
- Zweck: Zahlungsabwicklung und Abonnementverwaltung
- Übermittelte Daten: E-Mail-Adresse, Abonnementstatus, Zahlungstransaktionen
- Standard: PCI-DSS-zertifiziert
- Drittlandtransfer: USA, auf Basis von SCC
- Datenschutz: stripe.com/de/privacy
4.3 Expo Inc. (USA)
- Zweck: Versand von Push-Benachrichtigungen (iOS und Android)
- Übermittelte Daten: Push-Token Ihres Geräts, Benachrichtigungsinhalt
- Hinweis: Nur aktiv, wenn Sie Push-Benachrichtigungen erlaubt haben
- Drittlandtransfer: USA, auf Basis von SCC
- Datenschutz: expo.dev/privacy
4.4 Cloudflare R2 (Cloudflare Inc., USA)
- Zweck: Speicherung von Dateianhängen und Avataren
- Übermittelte Daten: hochgeladene Dateien (Bilder, Dokumente, Avatare)
- Drittlandtransfer: USA/EU, auf Basis von SCC
- Datenschutz: cloudflare.com/de-de/privacypolicy
CombAny verwendet keine Google-Dienste (kein Google Fonts, kein Google Analytics, keine Firebase), kein Microsoft Azure und keine externen Tracking- oder Analyse-SDKs.
5. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Kontodaten | Bis zur Kontolöschung |
| Plattforminhalte (Topics, Discussions, Tasks, Votes, DMs) | Bis zur Kontolöschung oder manuellen Löschung |
| Dateianhänge | Bis zur Löschung des zugehörigen Inhalts oder des Kontos |
| Session-Daten | Bis zum Ablauf der Sitzung oder Logout |
| Audit-Logs | 90 Tage (automatische Bereinigung) |
| KI-Nutzungslogs | 90 Tage (automatische Bereinigung) |
| Push-Tokens | Bis zur Kontolöschung oder Deaktivierung von Push |
| Stripe-Abonnementdaten | Bis zur Kontolöschung, ggf. länger gem. § 147 AO (Rechnungen: 10 Jahre) |
| Daten bei OpenAI | Max. 30 Tage (gemäß OpenAI API-Richtlinien) |
6. Ihre Rechte nach DSGVO
| Recht | Umsetzung in CombAny |
|---|---|
| Auskunft (Art. 15) | Auf Anfrage per E-Mail |
| Berichtigung (Art. 16) | In den App-Einstellungen direkt möglich |
| Löschung (Art. 17) | App → Einstellungen → Konto löschen |
| Einschränkung (Art. 18) | Auf Anfrage per E-Mail |
| Datenübertragbarkeit (Art. 20) | App → Einstellungen → Daten exportieren |
| Widerspruch (Art. 21) | Auf Anfrage per E-Mail |
| Widerruf der Einwilligung | Jederzeit in den App-Einstellungen (KI, Push) |
Kontakt zur Rechteausübung: info@combany.de
Beschwerderecht: Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) — lfd.bwl.de
7. App-Berechtigungen
| Berechtigung | Zweck |
|---|---|
| Netzwerkzugriff | Pflicht — für alle App-Funktionen erforderlich |
| Push-Benachrichtigungen (iOS/Android) | Optional — für Benachrichtigungen über neue Inhalte. Jederzeit in den Systemeinstellungen widerrufbar. |
| Foto- / Dateizugriff (Galerie) | Optional — nur wenn Sie Dateien aus Ihrer Galerie hochladen. Kein automatischer Zugriff. |
CombAny verwendet keine Kamera-API, kein Mikrofon und keine Standortdienste. Es gibt keinen Zugriff auf Kontakte, Kalender oder andere Systeminhalte.
8. Datensicherheit
- Verschlüsselte Übertragung über HTTPS/TLS
- Passwörter werden ausschließlich als kryptografischer Hash gespeichert
- Sichere Session-Tokens mit automatischem Ablauf
- Zwei-Pass-Dateivalidierung (MIME-Typ + Magic Bytes) bei Uploads
- Rate Limiting zum Schutz vor Brute-Force und Missbrauch
- Audit-Logging sicherheitsrelevanter Aktionen
9. KI-gestützte Funktionen
Die folgenden Funktionen übermitteln Textinhalte an OpenAI zur Verarbeitung:
| Funktion | Was übermittelt wird |
|---|---|
| Coaching-Assistent | Ihr eingegebener Text / Ihre Frage |
| Textverbesserung | Der Text, den Sie verbessern möchten |
| Diskussions-Zusammenfassung | Inhalte der ausgewählten Diskussion |
| Abstimmungsanalyse | Frage und Ergebnisse der Abstimmung |
| Archiv-Insights | Metadaten und Inhalte des Archiveintrags |
Die KI-Verarbeitung erfolgt ausschließlich serverseitig. Es gibt keine KI-Verarbeitung auf Ihrem Gerät. Die Nutzung aller KI-Funktionen ist freiwillig — alle anderen Plattformfunktionen sind ohne KI vollständig nutzbar.
10. Kontolöschung und Datenexport
Kontolöschung
Konto jederzeit löschbar über: App → Einstellungen → Konto löschen
- Zur Bestätigung ist eine Passwort-Eingabe erforderlich
- Alle personenbezogenen Daten werden innerhalb von 30 Tagen gelöscht
- Ausnahme: steuerrechtlich aufbewahrungspflichtige Rechnungsdaten (§ 147 AO, max. 10 Jahre)
- Wichtig: Eine Deinstallation der App ohne Kontolöschung löscht keine serverseitigen Daten
Datenexport
Datenexport anforderbar über: App → Einstellungen → Daten exportieren
- Enthält: Kontodaten, Plattforminhalte, Mitgliedschaften
- Rechtsgrundlage: Art. 20 DSGVO (Datenübertragbarkeit)
11. Änderungen dieser Datenschutzerklärung
Wir passen diese Erklärung bei Bedarf an geänderte gesetzliche Anforderungen oder neue Funktionen an. Die aktuelle Version ist abrufbar unter combany.de/datenschutz und innerhalb der App. Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder In-App-Benachrichtigung.