Datenschutzerklärung

1. Verantwortlicher

2. Übersicht der Verarbeitungen

Diese Anwendung ist ein persönliches Kanban-Werkzeug. Es werden nur die Daten verarbeitet, die für den Betrieb der Anwendung notwendig sind. Es findet kein Tracking, keine Werbung und keine Weitergabe an Dritte zu Marketingzwecken statt.

3. Erhobene Daten und Zwecke

3.1 Anmeldung über Google OAuth

Die Anmeldung erfolgt ausschließlich über Google OAuth 2.0. Dabei werden folgende Daten von Google übermittelt und gespeichert:

• Name — zur Anzeige im Profil
• E-Mail-Adresse — zur Identifikation des Kontos
• Profilbild-URL — zur Anzeige im Profil (das Bild selbst wird nicht gespeichert, sondern von Google-Servern geladen)

Rechtsgrundlage: Einwilligung durch den OAuth-Consent (Art. 6 Abs. 1 lit. a DSGVO).

3.2 Sitzungsdaten

Zur Aufrechterhaltung der Anmeldung wird ein Session-Token in einem Cookie gespeichert. Dieses Cookie ist technisch notwendig und enthält keine personenbezogenen Daten über die Session-ID hinaus. IP-Adressen und User-Agent-Strings werden nicht gespeichert.

Rechtsgrundlage: Berechtigtes Interesse an der Bereitstellung der Anwendung (Art. 6 Abs. 1 lit. f DSGVO).

3.3 Nutzungsdaten

Alle Inhalte, die du in der Anwendung erstellst (Boards, Spalten, Karten, Einstellungen), werden in einer PostgreSQL-Datenbank gespeichert und sind ausschließlich deinem Konto zugeordnet.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

3.4 API-Schlüssel

Für die MCP-Integration und API-Zugriff können persönliche API-Schlüssel erstellt werden. Diese werden ausschließlich als SHA-256-Hash gespeichert. Der Klartext-Schlüssel wird nur einmalig bei der Erstellung angezeigt.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

3.5 Server-Logs

Für die MCP- und OAuth-Endpunkte werden Zugriffsprotokolle in den Container-Logs gespeichert. Diese enthalten: Zeitstempel, HTTP-Methode, Pfad, Statuscode und Antwortzeit. IP-Adressen werden nicht protokolliert.

Rechtsgrundlage: Berechtigtes Interesse an der Sicherheit und Fehlerdiagnose (Art. 6 Abs. 1 lit. f DSGVO).

4. Cookies

Diese Anwendung verwendet ausschließlich technisch notwendige Cookies für die Sitzungsverwaltung (Session-Cookie). Es werden keine Analyse-, Tracking- oder Werbe-Cookies eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich.

5. Empfänger und Drittanbieter

5.1 Google (OAuth-Provider)

Bei der Anmeldung werden Daten zwischen deinem Browser und Google ausgetauscht. Profilbilder werden von Google-Servern geladen (lh3.googleusercontent.com), wobei kein Referrer übermittelt wird. Es gelten die Datenschutzbestimmungen von Google.

5.2 Hosting

Die Anwendung wird auf einem Virtual Private Server (VPS) der Firma netcup GmbH, Standort Nürnberg, Deutschland, betrieben. netcup verarbeitet technisch bedingt Verbindungsdaten (IP-Adressen) im Rahmen der Bereitstellung der Server-Infrastruktur.

5.3 MCP-Integration (optional)

Wenn du einen persönlichen API-Schlüssel erstellst und ihn in einem MCP-fähigen AI-Client hinterlegst (z. B. Claude Desktop, Cursor oder ein eigenes Skript), kann dieser Client auf deine Boards und Karten zugreifen. Welche Daten dabei an welchen AI-Anbieter übermittelt werden, hängt vom gewählten Client und dessen Anbieter ab.

Die Verantwortung für diese Übermittlung liegt bei dir — du entscheidest, welchen Client du autorisierst und welchem Anbieter du vertraust. Wir empfehlen, vor der Nutzung die Datenschutzbestimmungen des jeweiligen Anbieters zu prüfen. Erstellte Schlüssel kannst du jederzeit in deinem Profil widerrufen.

6. Speicherdauer und Löschung

• Kontodaten — werden gespeichert, solange dein Konto besteht. Bei Löschung des Kontos werden alle personenbezogenen Daten und zugehörigen Inhalte (Boards, Karten, Sessions, API-Schlüssel) sofort und unwiderruflich gelöscht.
• Backups — tägliche Sicherungen werden 7 Tage aufbewahrt, wöchentliche Sicherungen 4 Wochen. Daten gelöschter Konten rotieren passiv aus den Backups innerhalb dieser Fristen.
• Server-Logs — werden durch den Container-Lebenszyklus begrenzt und nicht dauerhaft archiviert.

7. Deine Rechte

Du hast nach der DSGVO folgende Rechte:

• Auskunft (Art. 15) — Du kannst Auskunft über deine gespeicherten Daten verlangen.
• Berichtigung (Art. 16) — Du kannst die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17) — Du kannst dein Konto und alle Daten jederzeit selbst über die Profil-Seite löschen.
• Einschränkung (Art. 18) — Du kannst die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20) — Du kannst die Herausgabe deiner Daten in einem strukturierten Format verlangen.
• Widerspruch (Art. 21) — Du kannst der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.

Für die Ausübung dieser Rechte wende dich an: philip.jurke.92@gmail.com

8. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem du wohnst, oder die des Verantwortlichen:

Sächsischer Datenschutzbeauftragter
Devrientstraße 1
01067 Dresden

9. Änderungen

Diese Datenschutzerklärung wird bei Bedarf aktualisiert, etwa wenn sich die Datenverarbeitung ändert oder neue gesetzliche Anforderungen entstehen. Der aktuelle Stand ist oben angegeben.