Datenschutzerklärung
1. Verantwortlicher und Kontakt
kapio UG (haftungsbeschränkt)
Lademannbogen 1522339 Hamburg
Deutschland
- Telefon
- 040 29856997
- moin@kapio.eu
- Geschäftsführer
- Martin Miersch
- Registergericht
- Amtsgericht Hamburg
- Registernummer
- HRB 170634
- USt-IdNr.
- DE346887978
2. Zwecke, Datenkategorien und Rechtsgrundlagen
- Datenarten
- Name, E-Mail, Firmenname, Rechnungsadresse, USt-ID
- Zweck
- Vertragserfüllung, Verwaltung
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. b DSGVO
- Datenarten
- Session-Token, IP-Adresse, User-Agent, Zeitstempel
- Zweck
- Betrieb, Sicherheit, Fehleranalyse
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. b, lit. f DSGVO
- Datenarten
- Sprachpräferenz, Consent-Status, E-Mail-Präferenzen (digestEmailsEnabled)
- Zweck
- Plattformfunktion, Kommunikation
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. b DSGVO
- Datenarten
- Name, Bio, Skills, Branchen, Tools, Links (Website/LinkedIn)
- Zweck
- Profilanzeige, Matching, Öffentlichkeit
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. b DSGVO; Veröffentlichung: Art. 6 Abs. 1 lit. a DSGVO
- Datenarten
- Name, E-Mail, Firma, Telefonnummer, originExpertId
- Zweck
- Kontaktaufnahme, Personalisierung
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. b DSGVO
- Datenarten
- stripeCustomerId, payment_method_brand/last4, payout-Status
- Zweck
- Abrechnung/Zahlungsabwicklung (PCI-DSS)
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. b DSGVO
- Datenarten
- Teilnehmer, Zeitpunkt, Dauer, Text-Transkript (anonym. Sprecher-Labels)
- Zweck
- Leistungserbringung, Abrechnung, Support
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. b DSGVO; Transkription: Art. 6 Abs. 1 lit. a DSGVO
- Datenarten
- rating, displayName (mit Einwilligung), takeaway, npsScore
- Zweck
- Qualität, Transparenz, Matching
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. f DSGVO; Veröffentlichung: Art. 6 Abs. 1 lit. a DSGVO
- Datenarten
- Events, Pageviews, interne UUID, UTM (utm_source/medium/campaign, gclid, fbclid, msclkid, referer)
- Zweck
- Produktanalyse, Fehleranalyse
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. a DSGVO (bei Cookies/IDs); cookieless s. Abschnitt 5
- Datenarten
- Rate-Limiting (IP-Hash), contactAttemptLogs
- Zweck
- Missbrauchsschutz, Plattformintegrität
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. f DSGVO
- Datenarten
- Experten: Identitäts-/Steuerdaten, Umsätze/Transaktionen, Bankdaten (DAC7/PStTG)
- Zweck
- Erfüllung Meldepflichten
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. c DSGVO
3. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
- Digest-E-Mails: Nutzerfreundlichkeit und zeitnahe Information über neue Inhalte/Nachrichten; jederzeit abwählbar über digestEmailsEnabled.
- Rate-Limiting (IP-Hash, SHA-256): Missbrauchs-/Angriffsschutz bei minimaler Datenverarbeitung (kein Klartext-IP).
- Session-Tracking (IP/User-Agent): Absicherung des Logins, Betrugserkennung, technische Fehleranalyse.
- Contact-Detection Logs: Schutz der Plattformintegrität und Fairness (Verhinderung unerlaubter Direktkontakte/Umgehungen).
Interessenabwägung: Die genannten Maßnahmen sind erforderlich, verhältnismäßig und minimieren die Datenverarbeitung; überwiegende entgegenstehende Interessen der Betroffenen sind nicht ersichtlich.
4. Empfänger/Kategorien von Empfängern und Drittlandübermittlung
- Dienst
- Zahlungsdienst
- Land
- USA
- Garantien
- SCCs, EU-US Data Privacy Framework
- Dienst
- Land
- USA
- Garantien
- DPA/SCCs/DPF; Aufbewahrung ca. 45 Tage
- Dienst
- Meetings/Transkripte
- Land
- USA
- Garantien
- SCCs
- Dienst
- Speicher
- Land
- EU/USA
- Garantien
- SCCs
- Dienst
- Analytics
- Land
- EU (Frankfurt)
- Garantien
- EU Cloud
- Dienst
- Analytics
- Land
- EU
- Garantien
- Cookieless
- Dienst
- KI
- Land
- USA
- Garantien
- SCCs
- Dienst
- KI
- Land
- USA
- Garantien
- SCCs
- Dienst
- Push/Realtime
- Land
- EU
- Garantien
- EU-Standort
- Dienst
- CMS
- Land
- EU
- Garantien
- EU-Standort
- Dienst
- Kalenderintegrationen
- Land
- USA
- Garantien
- OAuth, SCCs
- Dienst
- Behörde (DAC7)
- Land
- Deutschland/EU
- Garantien
- gesetzliche Pflicht
5. Cookies, Consent und Tracking (TDDDG-konform)
Rechtsgrundlagen:
- Technisch notwendige Cookies und ähnliche Technologien: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
- Nicht-essenzielle Speicherung/Zugriffe auf Endgeräte: Einwilligung nach § 25 TDDDG.
- Analytics/Marketing: Aktivierung ausschließlich nach Einwilligung.
Consent-Mode v2 (Google Tags):
- Für Nutzer im EWR werden GA4/Ads-Tags nur nach Einwilligung ausgelöst.
- Wir übermitteln Signale gemäß Ihrer Auswahl: ad_user_data, ad_personalization, ad_storage, analytics_storage.
Consent-Versionierung:
- Das Banner speichert consentVersion und consentAt zur Nachweisbarkeit.
Consent-Kategorien:
- essential: ausschließlich technisch notwendige Cookies.
- all: technisch notwendige + Analytics/Marketing.
Cookie-/Tag-Übersicht
- Kategorie
- essential
- Zweck
- Session-ID für Gäste
- Dauer
- 30 Tage
- Einwilligung
- Nein
- Kategorie
- essential
- Zweck
- Consent-Status
- Dauer
- 1 Jahr
- Einwilligung
- Nein
- Kategorie
- essential
- Zweck
- Consent-Zeitstempel
- Dauer
- 1 Jahr
- Einwilligung
- Nein
- Kategorie
- essential
- Zweck
- Login-Session
- Dauer
- Session
- Einwilligung
- Nein
- Kategorie
- analytics
- Zweck
- EU Cloud; bei Einsatz von Cookies/IDs nur mit Einwilligung; cookieless via EU-Proxy möglich; Autocapture/Session Recording deaktiviert
- Dauer
- variabel
- Einwilligung
- Ja
- Kategorie
- analytics
- Zweck
- Cookieless, EU-Standort; steuerbar über Banner-Opt-out
- Dauer
- keine Cookies
- Einwilligung
- Nein
- Kategorie
- marketing
- Zweck
- EWR-weit nur nach Einwilligung; Consent Mode v2 aktiv
- Dauer
- variabel
- Einwilligung
- Ja
6. KI/AI-Dienste und Datenschutz
Übermittelte Inhalte:
- Suchanfragen, Expertenprofile, sachliche Chat-Verläufe und Transkripte mit anonymisierten Sprecher-Labels.
- Keine PII wie Kundennamen, E-Mails, Telefonnummern, Zahlungsdaten, Kalender/Verfügbarkeiten oder IP-Adressen.
KI-Features:
- Expert-Matching (Embeddings), Chat-Suche, Deliberation, Transkript-Zusammenfassung, Briefing-Generierung.
AI Access Controls (granular je Organisation/Nutzer; standardmäßig aus):
- allowAiAccessToChat: false
- allowAiAccessToNotes: false
- allowAiTranscriptSummary: false
- allowAiAccessToDocuments: false
Automatisierte Entscheidungen:
- Es finden keine automatisierten Einzelentscheidungen mit rechtlicher Wirkung oder Profiling i.S.d. Art. 22 DSGVO statt.
EU-KI-Verordnung (KI-VO):
- Wir richten KI-Funktionen an den geltenden und kommenden Pflichten aus; keine Hochrisiko-Anwendungen, keine verbotenen Praktiken.
7. Meetings und Transkripte
- Während Video-Calls wird ein Live-Transkript erstellt.
- Es werden keine Video- oder Audioaufnahmen angefertigt oder gespeichert.
- Gespeichert wird ausschließlich das Text-Transkript.
- Transparenz/Einwilligung: Vor Beginn der Session informieren wir über die Transkription; die Transkription setzt aktive Zustimmung voraus.
8. Zahlungsabwicklung (PCI-DSS)
- Zahlungen (Kunden/Experten-Auszahlungen) erfolgen über Stripe.
- kapio speichert keine Kreditkartennummern; sensible Zahlungsdetails verbleiben bei Stripe (z. B. Customer-/Payment-Method-IDs).
9. Kalender-Integrationen
- Zugriff via OAuth (Google Calendar, Microsoft Graph), Datenminimierung (Verfügbarkeiten/Ereignisse).
- Kalenderinhalte und Verfügbarkeiten verbleiben lokal.
- Es werden keine Kalenderdaten an KI-Dienste gesendet.
10. Speicherdauern
- Dauer
- bis Löschung + 3 Jahre
- Begründung
- Verjährung
- Dauer
- 10 Jahre
- Begründung
- § 147 AO, § 257 HGB
- Dauer
- bis zu 10 Jahre
- Begründung
- Abrechnung/Buchhaltung
- Dauer
- 5 Jahre
- Begründung
- Support, Leistungsnachweis
- Dauer
- bis Widerruf
- Begründung
- Berechtigtes Interesse
- Dauer
- 7–30 Tage
- Begründung
- IT-Sicherheit
- Dauer
- 24 Stunden (autom. Bereinigung)
- Begründung
- Missbrauchsschutz/Minimierung
11. Betroffenenrechte
Sie haben folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO, vorbehaltlich Aufbewahrungspflichten)
- Einschränkung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
Kontakt zur Ausübung: moin@kapio.eu
Beschwerde: Zuständige Aufsichtsbehörde Hamburg oder jede andere EU-Aufsichtsbehörde.
12. Minderjährige
- Angebot richtet sich ausschließlich an Personen ab 18 Jahren.
- Es erfolgt keine wissentliche Verarbeitung von Daten Minderjähriger.
13. Datensicherheit (TOMs)
- TLS-Transportverschlüsselung, ruhende Verschlüsselung (z. B. AES)
- Rollenbasierte Zugriffskontrollen
- Regelmäßige Backups und Penetrationstests
- Schulungen und Audit-Logs
14. DAC7-Meldepflicht für Experten (PStTG)
Bei Überschreitung der Schwellenwerte (≥ 2.000 € Jahresumsatz oder ≥ 30 Transaktionen/Jahr) sind wir verpflichtet, jährlich bis zum 31. Januar an das Bundeszentralamt für Steuern (BZSt) zu melden:
- Name, Anschrift, Geburtsdatum, Steuer-ID/USt-ID, Umsätze/Transaktionen, Bankdaten
Rechtsgrundlage: gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO).
Hinweis: Bei Unterschreiten beider Schwellen gilt die Kleinanbieter-Ausnahme.
15. Änderungen und Versionierung
- Wir aktualisieren diese Datenschutzerklärung bei technischen oder rechtlichen Änderungen.
- Die aktuelle Version und das Änderungsdatum sind oben ausgewiesen.
- Consent-Versionen werden gesondert gespeichert (consentVersion, consentAt).
16. Rollenklärung
- Experten handeln für ihre eigenen Zwecke grundsätzlich als eigenständige Verantwortliche (kein Auftragsverarbeitungsverhältnis).
- Externe Infrastruktur-/SaaS-Dienstleister werden als Auftragsverarbeiter eingesetzt, sofern sie ausschließlich weisungsgebunden für kapio tätig sind.
Stand: 22. Januar 2026