Skip to content

Rechtliches

Datenschutzerklärung

Welche Daten OpenBase verarbeitet, welche Auftragsverarbeiter wir einsetzen und welche Rechte du nach DSGVO hast.

Zuletzt aktualisiert: 24. Mai 2026

1. Verantwortlicher

The Nexus Collective GmbH („wir", „uns"), Poststraße 14-16, 20354 Hamburg, Deutschland, ist Verantwortlicher für die Verarbeitung deiner personenbezogenen Daten bei der Nutzung von OpenBase (getopenbase.ai).

Eingetragen beim Amtsgericht Hamburg unter HRB 196591. Umsatzsteuer-Identifikationsnummer: DE459881075.

Kontakt: [email protected]

2. Welche Daten wir verarbeiten

Bei der Nutzung von OpenBase verarbeiten wir folgende Kategorien personenbezogener Daten:

  • Kontodaten: Name, E-Mail-Adresse und Profilbild, bereitgestellt durch deinen SSO-Anbieter (Google Workspace oder Microsoft Entra ID).
  • Organisationsdaten: Deine E-Mail-Domäne wird verwendet, um dich automatisch dem Workspace deiner Organisation zuzuordnen.
  • Nutzungsdaten: Nutzung von KI-Modellen, Token-Mengen und damit verbundene Kosten zu Abrechnungs- und Analysezwecken.
  • Konversationsdaten: Nachrichten, die du in OpenBase sendest und empfängst, einschließlich KI-generierter Antworten.
  • Technische Daten: IP-Adresse, Browsertyp und Zeitstempel zu Sicherheits- und Betriebszwecken.

3. Zweck und Rechtsgrundlage

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Verarbeitung von Konto- und Konversationsdaten zur Bereitstellung des OpenBase-Dienstes.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Nutzungsanalyse, Sicherheitsüberwachung und Verbesserung des Dienstes.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Abrechnungsunterlagen gemäß Steuer- und Handelsrecht.

4. Auftragsverarbeiter

Für den Betrieb von OpenBase nutzen wir folgende Drittanbieter:

  • DigitalOcean (Frankfurt, Deutschland) — Anwendungs-Hosting und Managed PostgreSQL.
  • Cloudflare — CDN, Dateispeicher (R2, EU-Region) und DDoS-Schutz.
  • OpenRouter / KI-Modell-Anbieter — KI-Inferenz. Konversationsinhalte werden an den ausgewählten KI-Modell-Anbieter übertragen. Kein Training mit deinen Daten.
  • Stripe — Zahlungsabwicklung und Abonnementverwaltung.
  • Resend — Versand transaktionaler E-Mails.
  • Sentry — Fehler-Monitoring (keine personenbezogenen Daten werden geloggt).

Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) und es gelten geeignete Garantien gemäß DSGVO.

5. Speicherdauer

  • Aktive Workspaces: Konto- und Konversationsdaten werden für die Dauer eures aktiven Abonnements vorgehalten.
  • Pausierte Workspaces (paused): Bei ausstehender Zahlung wird der Workspace auf Read-Only gesetzt. Daten bleiben unverändert erhalten, bis das Abonnement reaktiviert oder gekündigt wird.
  • Gekündigte Workspaces (cancelled): Nach ausdrücklicher Kündigung werden alle Workspace-Daten innerhalb von 30 Tagen vollständig gelöscht.
  • Abrechnungsunterlagen: 10 Jahre Aufbewahrung gemäß deutschem Handels- und Steuerrecht.
  • Server-Logs: Automatische Löschung nach 90 Tagen.

6. Deine Rechte

Nach der DSGVO hast du das Recht auf:

  • Auskunft über deine personenbezogenen Daten
  • Berichtigung unrichtiger Daten
  • Löschung deiner Daten
  • Einschränkung oder Widerspruch gegen die Verarbeitung
  • Datenübertragbarkeit
  • Beschwerde bei einer Aufsichtsbehörde

Zur Ausübung deiner Rechte wende dich an [email protected].

7. Cookies

OpenBase verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung und das Sitzungsmanagement. Wir setzen keine Werbe- oder Tracking-Cookies ein. Für technisch notwendige Cookies ist nach DSGVO kein Cookie-Einwilligungsbanner erforderlich.

8. Nutzung von KI-Modellen

Wenn du KI-Funktionen in OpenBase nutzt, werden deine Konversationsinhalte über OpenRouter an KI-Modell-Anbieter von Drittanbietern übertragen. Diese Anbieter verarbeiten deine Eingaben ausschließlich zur Generierung einer Antwort und nutzen deine Daten nicht zum Modelltraining. Admins können erlaubte Modelle und Provider pro Workspace einschränken; im EU-Modus läuft das Routing ausschließlich über Provider mit Opt-out aus Trainingsdaten.

9. Google API Services — Nutzerdaten

OpenBase bietet optionale Integrationen mit Google-Diensten (Gmail, Google Calendar, Google Drive, Google Contacts, Google Tasks und Google Workspace Directory). Diese Integrationen sind vollständig opt-in. Du verbindest dein Google-Konto ausdrücklich und kannst den Zugriff jederzeit widerrufen.

Limited-Use-Hinweis

Die Verwendung und Übertragung von Informationen, die OpenBase über Google APIs erhält, an andere Anwendungen erfolgt im Einklang mit der Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen. Konkret heißt das, dass wir:

  • Google-Nutzerdaten nur dazu verwenden, um die von dir in OpenBase ausdrücklich angeforderten Funktionen bereitzustellen und zu verbessern.
  • Google-Nutzerdaten nicht an Dritte übertragen, außer es ist zur Bereitstellung der angeforderten Funktion erforderlich oder gesetzlich vorgeschrieben.
  • Google-Nutzerdaten nicht für Werbezwecke verwenden.
  • Menschen keinen Lesezugriff auf Google-Nutzerdaten erlauben, außer du hast ausdrücklich zugestimmt, es ist aus Sicherheitsgründen erforderlich oder gesetzlich vorgeschrieben.

Auf welche Google-Daten wir zugreifen und warum

Gmail (gmail.modify, gmail.send) — Wir lesen E-Mail-Metadaten (Absender, Betreff, Datum), Nachrichten-Auszüge und vollständige Nachrichteninhalte, damit der KI-Assistent dein Postfach durchsuchen, Threads zusammenfassen und Antworten in deinem Namen entwerfen kann. E-Mails werden nur versendet, nachdem du den Entwurf ausdrücklich überprüft und freigegeben hast. E-Mail-Inhalte werden nicht dauerhaft gespeichert — sie werden im Arbeitsspeicher zur Generierung der KI-Antwort verarbeitet und unmittelbar danach verworfen.

Google Calendar (calendar.readonly, calendar.events) — Wir lesen deine Kalendereinträge, damit der KI-Assistent deine Verfügbarkeit prüfen, deinen Zeitplan zusammenfassen und Meetings vorbereiten kann. Auf deine Anforderung erstellen oder aktualisieren wir Kalenderereignisse in deinem Namen. Ereignisdaten werden im Arbeitsspeicher verarbeitet und nicht dauerhaft gespeichert, abgesehen von den Metadaten, die zur Bestätigung der erfolgreichen Operation nötig sind.

Google Drive (drive.readonly, drive) — Wir greifen auf deine Drive-Dateien zu, damit der KI-Assistent Dokumente durchsuchen, lesen und zusammenfassen kann. Wenn du es ausdrücklich anforderst, erstellen oder aktualisieren wir Dokumente in deinem Drive (z. B. Speichern eines Berichts oder einer Meeting-Zusammenfassung). Dateiinhalte werden im Arbeitsspeicher zur Generierung der KI-Antwort verarbeitet und nicht auf unseren Servern gespeichert.

Google Contacts (contacts.readonly) — Wir lesen deine Kontaktliste, damit der KI-Assistent von dir namentlich erwähnte Personen identifizieren, E-Mail-Adressen nachschlagen und Kontext zu deinem beruflichen Netzwerk bereitstellen kann. Kontaktdaten werden nicht dauerhaft gespeichert.

Google Tasks (tasks) — Wir lesen und erstellen Aufgaben in Google Tasks, damit der KI-Assistent deine To-do-Listen verwalten, Einträge als erledigt markieren und auf deine Anforderung neue Aufgaben anlegen kann.

Google Workspace Directory (admin.directory.user.readonly) — Bei Google-Workspace-Konten lesen wir ggf. das Organisationsverzeichnis, damit der KI-Assistent Kollegen identifizieren, die Organisationsstruktur verstehen und Anfragen an die richtigen Personen weiterleiten kann. Diese Daten werden nicht dauerhaft gespeichert.

Datenspeicherung und Sicherheit

OAuth-Access-Tokens und Refresh-Tokens für Google-Dienste werden mit AES-256-GCM verschlüsselt gespeichert (Encryption at Rest) und sicher in unserer Datenbank abgelegt. Token-Daten werden niemals geloggt. Die Inhalte deiner Google-Daten (E-Mails, Dokumente, Kalendereinträge, Kontakte) werden ausschließlich im Arbeitsspeicher verarbeitet und niemals dauerhaft auf unseren Servern gespeichert. Wir greifen nur dann auf deine Google-Daten zu, wenn dies zur Ausführung deiner Anfragen über den KI-Assistenten erforderlich ist.

Zugriff widerrufen

Du kannst jede Google-Integration jederzeit über die OpenBase-Konnektor-Einstellungen trennen. Dadurch werden deine gespeicherten OAuth-Tokens sofort gelöscht. Du kannst den Zugriff auch direkt über deine Google-Konto-Berechtigungen widerrufen.

10. Änderungen

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden über die Anwendung oder per E-Mail mitgeteilt. Die fortgesetzte Nutzung von OpenBase nach Änderungen gilt als Zustimmung.