Datenschutz

Diese Datenschutzerklärung gilt für die Website kurokolabs.de sowie alle damit verbundenen digitalen Angebote und Dienstleistungen der KurokoLabs GmbH i.G., einschließlich des Kundenportals, der Kontaktformulare und aller im Rahmen unserer Geschäftstätigkeit eingesetzten KI-gestützten Dienste.

Diese Datenschutzerklärung berücksichtigt die Anforderungen der Europäischen Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG), des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG), der Verordnung (EU) 2024/1689 über Künstliche Intelligenz (EU KI-Verordnung / AI Act) sowie des japanischen Act on the Protection of Personal Information (APPI).

Wir nehmen den Schutz Ihrer personenbezogenen Daten ernst und behandeln Ihre Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften.

Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7):

KurokoLabs GmbH i.G.
Vertreten durch: Wessal Furmoly (Geschäftsführer)
Poccistraße 5
85375 Neufahrn bei Freising
Deutschland

E-Mail: kurokolabs@gmail.com
Telefon: +49 176 30472811

Handelsregister: Eintragung beim Amtsgericht München ist beantragt. Die Angaben (HRB-Nummer, USt-IdNr) werden nach Eintragung hier ergänzt.

Wir erbringen Dienstleistungen in den Bereichen KI-Agenten-Entwicklung, Webdesign, Prozessoptimierung und digitale Strategie für Geschäftskunden (B2B) im In- und Ausland.

Gemäß § 38 Abs. 1 BDSG ist die Benennung eines Datenschutzbeauftragten erforderlich, soweit mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig davon kann eine Benennungspflicht bestehen, wenn Verarbeitungen durchgeführt werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen (§ 38 Abs. 1 S. 2 BDSG).

Wir prüfen fortlaufend, ob eine Benennungspflicht besteht, und werden einen Datenschutzbeauftragten benennen, sobald die gesetzlichen Voraussetzungen dies erfordern.

Bei datenschutzrechtlichen Fragen wenden Sie sich bitte an:
kurokolabs@gmail.com

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Grundlage der folgenden Rechtsgrundlagen:

Rechtsgrundlage	Anwendungsbereich
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)	Analyse-Cookies (Google Analytics), freiwillige Zusatzfunktionen
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)	Kundenportal, Projektmanagement, Rechnungsstellung, Chat, KI-Dienste im Rahmen beauftragter Projekte
Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung)	Steuerliche Aufbewahrungspflichten (§ 147 AO, § 257 HGB), GoBD-Compliance
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)	Server-Logs, Bot-Schutz, IT-Sicherheit, Betrugsprävention, Audit-Logging. Unser berechtigtes Interesse liegt in der Gewährleistung eines sicheren, funktionsfähigen Webauftritts und der Absicherung unserer Geschäftsprozesse.
§ 26 BDSG	Verarbeitung von Bewerberdaten im Rahmen des Einstellungsverfahrens
§ 25 Abs. 2 TDDDG	Technisch notwendige Cookies und Zugriffe auf Endeinrichtungen (ohne Einwilligung zulässig)

5.1 Websitebesuch (Server-Logs)
Bei jedem Aufruf unserer Website werden automatisch folgende Daten erhoben: IP-Adresse (gekürzt/anonymisiert nach Verarbeitung), Datum und Uhrzeit des Zugriffs, aufgerufene URL, Referrer-URL, verwendeter Browser und Betriebssystem, übertragene Datenmenge.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherstellung eines störungsfreien Betriebs, der Erkennung und Abwehr von Angriffen sowie der Fehleranalyse.
Speicherdauer: 7 Tage, danach unwiderruflich gelöscht.

5.2 Kontaktformular und Anfragen
Bei Nutzung unseres Kontaktformulars oder bei Kontaktaufnahme per E-Mail oder Telefon erheben wir: Name, E-Mail-Adresse, Telefonnummer (sofern angegeben), gewünschte Leistungen, Projektdetails, Budget-Rahmen, Zeitrahmen sowie Zeitstempel der Kontaktaufnahme.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Geschäftsanfragen).
Speicherdauer: Anfragen ohne Vertragsanbahnung werden nach 6 Monaten gelöscht. Bei Vertragsanbahnung gelten die Aufbewahrungsfristen gemäß Abschnitt 18.

5.3 Kundenportal (Registrierung, Login, Zwei-Faktor-Authentifizierung)
Bei der Registrierung für unser Kundenportal erheben wir: Name, E-Mail-Adresse, Passwort (ausschließlich als kryptografischer Hash gespeichert), Anrede, Firmenname (optional) sowie Zeitstempel der Registrierung und AGB-Akzeptanz (Version, Zeitpunkt).

Zur Absicherung Ihres Kontos verwenden wir eine gerätebasierte Zwei-Faktor-Authentifizierung (2FA). Dabei werden folgende zusätzliche Daten erhoben: Geräte-Hash (SHA-256 aus Browser- und Verbindungsdaten), IP-Adresse, Gerätebezeichnung (z. B. „Chrome auf Windows"), Zeitpunkt der letzten Nutzung. Bei unbekannten Geräten wird ein zeitlich begrenzter Einmalcode (OTP) per E-Mail versandt.

Im Kundenprofil können darüber hinaus hinterlegt werden: Vor-/Nachname, Telefonnummer, Anschrift (Straße, PLZ, Ort), Land, Branche, Umsatzsteuer-Identifikationsnummer sowie eine abweichende Korrespondenz-E-Mail-Adresse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für die 2FA: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Kundenkonten).
Speicherdauer: Kontodaten werden für die Dauer der Geschäftsbeziehung gespeichert. Nicht verifizierte Konten werden nach 30 Tagen automatisch gelöscht.

5.4 Projektmanagement und Chat
Im Rahmen der Projektabwicklung verarbeiten wir: Projektdaten (Bezeichnung, Typ, Status, Fortschritt, Zeitplanung), Chat-Nachrichten zwischen Kunde und Projektteam (max. 2.000 Zeichen pro Nachricht), Lese-Markierungen, Beratungs- und Review-Terminvorschläge, Entwicklungs-Updates sowie hochgeladene Konzeptdokumente (PDF, max. 15 MB).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Für die Dauer der Geschäftsbeziehung zuzüglich gesetzlicher Aufbewahrungsfristen.

5.5 Rechnungen und Angebote
Zur Rechnungsstellung und Angebotserstellung verarbeiten wir: Empfängerdaten (Name, Firma, Anschrift, E-Mail), Rechnungs-/Angebotsnummern, Einzelpositionen, Beträge, Steuerdaten, Zahlungsstatus sowie bei Angebotsannahme: IP-Adresse und User-Agent zum Zeitpunkt der Zustimmung (Nachweispflicht gemäß § 126b BGB).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (steuerliche Aufbewahrungspflichten).
Speicherdauer: 8 Jahre gemäß § 147 Abs. 3 AO (Fassung ab 01.01.2025) bzw. 6 Jahre gemäß § 257 HGB für Handelsbriefe.

5.6 KI-Agenten und KI-gestützte Dienste
Bei der Nutzung unserer KI-basierten Dienste und Agenten im Rahmen beauftragter Projekte werden folgende Daten verarbeitet: Konversationsverläufe (Eingaben und Ausgaben), Sitzungsmetadaten sowie ggf. hochgeladene Dokumente.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: 30 Tage nach der letzten Sitzung, danach unwiderruflich gelöscht.
Wichtiger Hinweis: Bitte geben Sie bei der Nutzung von KI-Systemen keine besonders sensiblen personenbezogenen Daten ein (z. B. Gesundheitsdaten, Bankzugangsdaten, Passwörter, Daten nach Art. 9 DSGVO). Wir übernehmen keine Verantwortung für die freiwillige Eingabe solcher Daten durch Nutzer. Einzelheiten zum Einsatz von KI finden Sie in den Abschnitten 06–09.

5.7 Bewerbungen
Im Rahmen von Bewerbungsverfahren verarbeiten wir: Name, E-Mail-Adresse, Anschreiben/Nachricht, Lebenslauf (PDF-Upload), Qualifikationen und sonstige von Ihnen im Bewerbungsschreiben mitgeteilte Informationen sowie den Bewerbungsstatus.
Rechtsgrundlage: § 26 Abs. 1 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses).
Speicherdauer: 6 Monate nach Abschluss des Bewerbungsverfahrens (Absage), sofern keine Einwilligung zur längeren Speicherung für den Talentpool vorliegt. Bei Einstellung: Überführung in die Personalakte.

Wir entwickeln KI-Agenten und KI-gestützte Lösungen für unsere Geschäftskunden und setzen im Rahmen unserer Dienstleistungen verschiedene KI-Systeme im Sinne der Verordnung (EU) 2024/1689 (EU KI-Verordnung) ein.

6.1 Eingesetzte KI-Modelle und -Anbieter
Für die Erbringung unserer KI-Dienstleistungen nutzen wir API-Schnittstellen folgender Anbieter:

• OpenAI LLC (San Francisco, USA) — GPT-4, GPT-4 Turbo, GPT-4o und nachfolgende Modelle
• Anthropic PBC (San Francisco, USA) — Claude-Modelle
• Google LLC (Mountain View, USA) — Gemini-Modelle über Google Cloud Platform / Vertex AI

Der konkret eingesetzte Anbieter und das Modell werden im jeweiligen Projektvertrag festgelegt und dem Kunden mitgeteilt.

6.2 Art der Datenverarbeitung durch KI
KI-Systeme verarbeiten personenbezogene Daten ausschließlich zur Erfüllung des jeweiligen Projektauftrags (Art. 6 Abs. 1 lit. b DSGVO). Die Verarbeitung umfasst die Analyse von Eingabedaten (Prompts) und die Generierung von Ausgaben (Responses). Eine darüber hinausgehende Nutzung findet nicht statt.

6.3 Kein Modelltraining mit Kundendaten
Personenbezogene Daten, die über die API-Schnittstellen der genannten Anbieter übermittelt werden, werden nicht zum Training, Fine-Tuning oder zur Verbesserung der generativen KI-Modelle verwendet. Dies ist vertraglich durch die jeweiligen Data Processing Agreements (DPAs) und API-Nutzungsbedingungen abgesichert sowie technisch durch entsprechende Konfigurationen (Training-Opt-out) sichergestellt.

6.4 Menschliche Kontrolle (Human-in-the-Loop)
KI-generierte Ergebnisse werden durch qualifizierte Mitarbeiter überprüft, bevor sie gegenüber Kunden oder Dritten wirksam werden. KI-Systeme treffen keine eigenständigen rechtsverbindlichen Entscheidungen. Alle durch KI-Agenten ausgelösten Aktionen (z. B. Nachrichtenversand, Datenbankänderungen) unterliegen der Verantwortung des jeweiligen Betreibers. Soweit im Rahmen einzelner Projekte abweichende Regelungen zur Automatisierung vereinbart werden, wird dies im jeweiligen Projektvertrag und AVV gesondert geregelt und dokumentiert.

6.5 KI-Kompetenz (Art. 4 EU KI-VO)
Gemäß Art. 4 der EU KI-Verordnung stellen wir sicher, dass alle Mitarbeiter, die KI-Systeme einsetzen oder beaufsichtigen, über ein hinreichendes Maß an KI-Kompetenz verfügen. Dies umfasst Kenntnisse über Funktionsweise, Grenzen und Risiken der eingesetzten Systeme.

Wir treffen keine ausschließlich auf automatisierter Verarbeitung — einschließlich Profiling — beruhenden Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen (Art. 22 Abs. 1 DSGVO).

Soweit KI-Systeme im Rahmen unserer Dienstleistungen eingesetzt werden, dienen diese ausschließlich als Unterstützungswerkzeug für menschliche Entscheidungsträger. Die endgültige Entscheidung obliegt stets einem Menschen.

Sollte sich dies in Zukunft ändern, werden wir Sie gemäß Art. 13 Abs. 2 lit. f DSGVO vorab über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen einer solchen automatisierten Verarbeitung informieren und die erforderlichen Schutzmaßnahmen gemäß Art. 22 Abs. 3 DSGVO (menschliches Eingreifen, Darlegung des eigenen Standpunkts, Anfechtung der Entscheidung) gewährleisten.

Gemäß Art. 50 der Verordnung (EU) 2024/1689 informieren wir Sie über den Einsatz von KI-Systemen wie folgt:

8.1 Kennzeichnung von KI-Interaktionen
Wenn Sie im Rahmen unserer Dienste mit einem KI-System interagieren (z. B. KI-gestützte Chatbots, automatisierte Antwortvorschläge), wird dies deutlich kenntlich gemacht. Sie werden darauf hingewiesen, dass Sie mit einem KI-System und nicht mit einem Menschen kommunizieren (Art. 50 Abs. 1 EU KI-VO).

8.2 Kennzeichnung KI-generierter Inhalte
Von KI-Systemen erzeugte oder wesentlich bearbeitete Inhalte (Texte, Bilder, Code) werden als solche gekennzeichnet, soweit dies nach Art. 50 Abs. 2 EU KI-VO erforderlich ist. Die Kennzeichnung erfolgt in maschinenlesbarem Format, soweit technisch umsetzbar.

8.3 Unsere Rolle unter der EU KI-Verordnung
Kuroko Labs agiert je nach Kontext als Anbieter (Provider) — wenn wir eigenständige KI-Systeme für Kunden entwickeln und in Verkehr bringen — oder als Betreiber (Deployer) — wenn wir vorhandene KI-Modelle (GPT-4, Claude, Gemini) in eigenen Diensten einsetzen. Die jeweilige Rolle und die daraus resultierenden Pflichten werden im Projektvertrag mit dem Kunden festgelegt.

8.4 Verbotene KI-Praktiken
Wir setzen keine KI-Systeme ein, die unter die verbotenen Praktiken gemäß Art. 5 der EU KI-Verordnung fallen. Dies umfasst insbesondere: kein Social Scoring, keine Emotionserkennung am Arbeitsplatz, keine unterschwellige Manipulation, keine biometrische Kategorisierung zur Ableitung sensibler Merkmale.

Hinweis: Die vollständige Durchsetzung der Transparenzpflichten nach Art. 50 EU KI-VO erfolgt ab dem 2. August 2026. Wir implementieren diese Anforderungen bereits vorzeitig.

Ausführliche Informationen zu unserer KI-Governance, der Risikoklassifizierung und Ihren Pflichten als Betreiber finden Sie auf unserer KI-Transparenz-Seite.

Soweit unsere Datenverarbeitungen — insbesondere der Einsatz von KI-Systemen zur Verarbeitung personenbezogener Daten — voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, führen wir eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durch bzw. haben diese bereits durchgeführt.

Die DSFA umfasst insbesondere: eine systematische Beschreibung der Verarbeitungsvorgänge, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die zur Eindämmung der Risiken vorgesehenen Abhilfemaßnahmen und Sicherheitsvorkehrungen.

Ergänzend wird bei Einsatz von Hochrisiko-KI-Systemen im Sinne der EU KI-Verordnung eine Grundrechte-Folgenabschätzung (Art. 27 EU KI-VO) durchgeführt, soweit dies gesetzlich erforderlich ist. Beide Bewertungen können gemäß Erwägungsgrund 96 der EU KI-VO in einem Dokument zusammengeführt werden.

Informationen zu durchgeführten Datenschutz-Folgenabschätzungen können Sie unter kurokolabs@gmail.com anfordern.

Für die Erbringung unserer KI-gestützten Dienstleistungen setzen wir folgende Sub-Auftragsverarbeiter ein, die personenbezogene Daten im Rahmen der KI-Verarbeitung erhalten können:

Anbieter	Sitz	Zweck	Transfergrundlage	Modelltraining
OpenAI LLC	USA	GPT-Modelle / Sprachmodell-Inferenz	EU-US DPF + SCCs	Nein (API-Opt-out)
Anthropic PBC	USA	Claude-Modelle / Sprachmodell-Inferenz	SCCs + DPA	Nein (API-Policy)
Google LLC	USA / EU	Gemini-Modelle, Vertex AI, GCP	EU-US DPF + SCCs	Nein (Vertex AI Terms)

Mit allen KI-Anbietern bestehen Auftragsverarbeitungsverträge (AVV) bzw. Data Processing Agreements (DPA) gemäß Art. 28 DSGVO. Die konkret eingesetzten Anbieter werden im jeweiligen Projektvertrag festgelegt. Auf Anfrage informieren wir Sie über die in Ihrem Projekt eingesetzten Anbieter.

Wir behalten uns vor, weitere KI-Anbieter einzusetzen, sofern diese ein vergleichbares Datenschutzniveau gewährleisten und die Übermittlung auf einer geeigneten Rechtsgrundlage (SCCs, Angemessenheitsbeschluss oder DPF) erfolgt. Kunden werden über wesentliche Änderungen informiert.

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte findet grundsätzlich nur statt, wenn:

• Sie Ihre ausdrückliche Einwilligung erteilt haben (Art. 6 Abs. 1 lit. a DSGVO),
• die Weitergabe zur Erfüllung eines Vertrags erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO),
• eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO), oder
• berechtigte Interessen dies erfordern und Ihre schutzwürdigen Interessen nicht überwiegen (Art. 6 Abs. 1 lit. f DSGVO).

Kategorien von Empfängern:

• Steuerberater und Wirtschaftsprüfer — Erfüllung steuerrechtlicher und handelsrechtlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO).
• Qonto (Olinda SAS, Frankreich) — Geschäftsbankkonto und Rechnungsstellung: Synchronisierung von Transaktions- und Belegdaten sowie Übermittlung von Ausgangsrechnungen (Name, Anschrift, USt-IdNr., Rechnungsdaten) zur automatischen Zahlungszuordnung. Verarbeitung innerhalb der EU. AVV gem. Art. 28 DSGVO vorhanden. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b und f DSGVO. Details siehe Abschnitt 14.9.
• KI-Anbieter — gemäß Abschnitt 10 dieser Datenschutzerklärung.
• Hosting- und IT-Dienstleister — im Rahmen von AVVs gemäß Art. 28 DSGVO (siehe Abschnitt 14).
• Behörden und öffentliche Stellen — bei gesetzlicher Verpflichtung (z. B. Finanzbehörden, Strafverfolgungsbehörden).

Zahlungen erfolgen ausschließlich per SEPA-Banküberweisung. Es werden keine externen Zahlungsdienstleister (z. B. Stripe, PayPal) eingesetzt. Bankverbindungsdaten werden ausschließlich auf Rechnungen und in unserem Buchhaltungssystem gespeichert.

Mit allen Dienstleistern, die in unserem Auftrag personenbezogene Daten verarbeiten, bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.

Einige der von uns eingesetzten Dienstleister haben ihren Sitz außerhalb der EU/EWR. Bei Übermittlungen in Drittländer stellen wir ein angemessenes Datenschutzniveau sicher durch:

• Angemessenheitsbeschlüsse der Europäischen Kommission gemäß Art. 45 DSGVO,
• Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO in der aktuellen Fassung (Durchführungsbeschluss (EU) 2021/914),
• EU-US Data Privacy Framework (DPF) für zertifizierte US-Unternehmen (Angemessenheitsbeschluss vom 10. Juli 2023). Ergänzend werden SCCs als Rückfallgarantie aufrechterhalten.

Für jeden Drittlandtransfer führen wir eine Bewertung des Datenschutzniveaus im Empfängerland durch (Transfer Impact Assessment, TIA), soweit dies über einen Angemessenheitsbeschluss hinaus erforderlich ist.

USA: Übermittlungen an OpenAI, Anthropic, Google, Cloudflare und Supabase erfolgen auf Basis des EU-US DPF (soweit zertifiziert) und/oder SCCs. Wir sind uns des Risikos bewusst, das sich aus Section 702 FISA ergeben kann, und halten SCCs als ergänzende Garantie aufrecht.

Japan: Seit dem 23. Januar 2019 besteht ein Angemessenheitsbeschluss der Europäischen Kommission für Japan (Art. 45 DSGVO). Ergänzend beachten wir die Anforderungen des japanischen APPI. Datenübermittlungen nach Japan erfordern daher keine zusätzlichen Garantien.

Informationen zu den im Einzelfall angewandten Garantien können Sie unter kurokolabs@gmail.com anfordern.

Unsere Website verwendet Cookies und ähnliche Technologien. Die Rechtsgrundlage richtet sich nach § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, ehemals TTDSG).

Technisch notwendige Cookies (§ 25 Abs. 2 TDDDG — ohne Einwilligung):

Cookie	Zweck	Lebensdauer
access_token / access_token_admin	Authentifizierung (JWT, httpOnly, Secure, SameSite=Strict)	15 Minuten
refresh_token / refresh_token_admin	Token-Erneuerung (httpOnly, Secure, SameSite=Strict)	7 Tage
__csrf	CSRF-Schutz (httpOnly, Secure, SameSite=Strict)	Session

Diese Cookies sind unbedingt erforderlich für den sicheren Betrieb des Kundenportals und können nicht deaktiviert werden. Sie enthalten keine personenbezogenen Daten in lesbarer Form (JWT-Payload ist Base64-kodiert, Refresh-Token als SHA-256-Hash in der Datenbank).

Analyse-Cookies (§ 25 Abs. 1 TDDDG — nur mit Einwilligung):
Wir setzen Google Analytics 4 (Mess-ID: G-NZ501W0KK2) auf den öffentlichen Seiten unserer Website ein. Die Analyse-Scripts werden erst nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner geladen. Ohne Ihre Einwilligung findet kein Tracking statt. Einzelheiten zu Google Analytics finden Sie in Abschnitt 14.3.

Auf den geschützten Portalseiten (Login, Registrierung, Dashboard, Admin) werden keine Analyse- oder Marketing-Cookies eingesetzt.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Cookie-Einstellungen über den Cookie-Banner anpassen oder die Cookies in Ihrem Browser löschen.

14.1 Hosting — Hostinger International Ltd.
Unsere Website und unser Backend werden gehostet von: Hostinger International Ltd., 61 Lordou Vironos Street, 6023 Larnaca, Zypern. Die Serverinfrastruktur befindet sich auf EU-Servern in Europa. Es findet im Rahmen des Hostings keine systematische Übermittlung in Drittländer statt. AVV gemäß Art. 28 DSGVO vorhanden. Weitere Informationen: hostinger.de/datenschutz.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässigem Hosting).

14.2 Bot-Schutz — Cloudflare Turnstile
Zum Schutz unserer Formulare vor automatisiertem Missbrauch (Spam, Bots) setzen wir Cloudflare Turnstile der Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA ein. Turnstile verarbeitet dabei: IP-Adresse, Browser-Typ und -Version, Bildschirmauflösung, Interaktionsmuster (Mausbewegungen, Tastatureingaben) sowie einen kryptografischen Token. Eine CAPTCHA-Eingabe durch den Nutzer ist nicht erforderlich.
Datenübermittlung: USA. Cloudflare ist unter dem EU-US DPF zertifiziert; ergänzend bestehen SCCs.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Bot-Angriffen und Spam). Unser Interesse an der Absicherung unserer Formulare überwiegt das Interesse der Nutzer an der Vermeidung der Datenübermittlung, da die Verarbeitung minimal-invasiv ist (keine Tracking-Cookies, keine sichtbare Interaktion erforderlich).
Weitere Informationen: cloudflare.com/privacypolicy.

14.3 Webanalyse — Google Analytics 4
Auf den öffentlichen Seiten unserer Website (nicht auf Portalseiten) setzen wir Google Analytics 4 der Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, USA) ein. Google Analytics verwendet Cookies und ähnliche Technologien, um das Nutzungsverhalten in pseudonymisierter Form auszuwerten.
Verarbeitete Daten: IP-Adresse (anonymisiert), Seitenaufrufe, Verweildauer, Herkunftsquelle, Geräte- und Browserinformationen.
Datenübermittlung: Daten können in die USA übermittelt werden. Google Ireland ist Vertragspartner; für die Weiterübermittlung an Google LLC gelten EU-US DPF + SCCs.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Das Tracking wird erst nach Ihrer ausdrücklichen Einwilligung über den Cookie-Banner aktiviert (§ 25 Abs. 1 TDDDG).
Widerspruch/Opt-out: Sie können Ihre Einwilligung jederzeit widerrufen. Zusätzlich können Sie das Browser-Add-on zur Deaktivierung von Google Analytics nutzen: tools.google.com/dlpage/gaoptout.
Weitere Informationen: policies.google.com/privacy.

14.4 Webfonts — Google Fonts
Wir verwenden die Schriftart „Zen Kaku Gothic New" von Google Fonts (Google Ireland Ltd.). Beim Aufruf unserer Website stellt Ihr Browser eine Verbindung zu den Servern von Google her (fonts.googleapis.com, fonts.gstatic.com), um die Schriftdateien zu laden. Dabei werden Ihre IP-Adresse und Browser-Informationen an Google übermittelt.
Datenübermittlung: USA (über Google Ireland). EU-US DPF + SCCs.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen, typografisch konsistenten Darstellung unseres Webauftritts). Die Nutzung über Google Fonts gewährleistet eine stets aktuelle, optimierte Auslieferung der Schriftart.
Weitere Informationen: policies.google.com/privacy.

14.5 Kalender-Integration — Google Calendar API
Im Kundenportal bieten wir die optionale Integration mit Google Calendar (Google Ireland Ltd.) für die Terminplanung von Beratungs- und Review-Terminen an. Die Nutzung erfolgt ausschließlich nach Ihrer ausdrücklichen Autorisierung über den Google OAuth-Flow.
Verarbeitete Daten: Kalendereinträge (Titel, Datum, Uhrzeit, Teilnehmer) — ausschließlich für die im Portal vereinbarten Termine.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch OAuth-Autorisierung).
Sie können den Zugriff jederzeit in Ihren Google-Kontoeinstellungen unter myaccount.google.com/permissions widerrufen.

14.6 Content Delivery — Webflow CDN
Für die Auslieferung statischer Inhalte (Bilder, Stylesheets) nutzen wir das Content Delivery Network von Webflow Inc., San Francisco, CA, USA. Die Auslieferung erfolgt über Fastly Inc. und Amazon CloudFront (AWS). Beim Abruf dieser Inhalte wird Ihre IP-Adresse an die CDN-Server übermittelt.
Datenübermittlung: USA. SCCs als Transfergrundlage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an schneller und zuverlässiger Inhaltsauslieferung).

14.7 KI-Datenspeicherung — Supabase
Für die Speicherung von Konversationsverläufen und Nutzer-IDs im Rahmen unserer KI-Dienste setzen wir Supabase Inc., Oakland, CA, USA ein. Die Daten werden auf EU-Servern in Frankfurt gespeichert (AWS eu-central-1).
Verarbeitete Daten: Konversationsverläufe, Nutzer-IDs.
Speicherdauer: 30 Tage, danach automatisch gelöscht.
Datenübermittlung: Datenspeicherung in der EU. Für administrative Zugriffe durch Supabase (USA) gelten EU-US DPF + SCCs.
Weitere Informationen: supabase.com/privacy.

14.8 KI-Infrastruktur
Die eingesetzte KI-Infrastruktur variiert je nach Projekt und kann Dienste folgender Anbieter umfassen: Amazon Web Services (AWS), Hostinger, Google Cloud Platform (GCP), Microsoft Azure, Hetzner sowie DigitalOcean. Sofern Daten auf EU-Servern verarbeitet werden können, wird dies bevorzugt. Die konkret eingesetzten Dienste werden im jeweiligen Projektvertrag bzw. AVV festgelegt.

14.9 Banking & Rechnungsstellung — Qonto
Für unser Geschäftskonto nutzen wir Qonto (Olinda SAS), 18 rue de Navarin, 75009 Paris, Frankreich. Qonto ist ein in Frankreich (EU) ansässiges, von der ACPR (Autorité de Contrôle Prudentiel et de Résolution) reguliertes Zahlungsinstitut. Verarbeitung und Datenhaltung erfolgen ausschließlich auf Servern innerhalb der Europäischen Union (Frankreich, Irland) — eine Übermittlung in Drittländer findet nicht statt.
Verarbeitungszwecke:

• Transaktions-Synchronisierung (Lese-Zugriff): Kontobewegungen werden über die Qonto-API in unser Buchhaltungssystem importiert, um eingehende Zahlungen automatisch offenen Rechnungen zuzuordnen und Ausgaben zu verbuchen.
• Beleg-Archivierung (Lese-Zugriff): Mit Transaktionen verknüpfte Belege (Rechnungs-PDFs, Kassenbons) werden über die Qonto Attachments-API in unser GoBD-konformes Belegarchiv übertragen (Aufbewahrungsfrist: 10 Jahre gem. § 147 AO).
• Rechnungsstellung an Kunden (Schreib-Zugriff): Ausgangsrechnungen unseres Customer-Portals werden als „Client Invoices" an Qonto übermittelt. Qonto gleicht eingehende SEPA-Zahlungen automatisch gegen diese Rechnungen ab und kann den Rechnungsstatus an unser System zurückspielen. Verarbeitete Kundendaten: Name, Anschrift, E-Mail-Adresse, USt-IdNr. (sofern vorhanden), Rechnungsnummer, -datum, -betrag, Leistungspositionen, Zahlungsziel, Bankverbindung des Empfängers.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Rechnungsstellung ist gesetzlicher Bestandteil unserer Vertragsbeziehung), § 14 UStG (Pflicht zur Rechnungsausstellung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter, fehlerarmer Buchhaltung und automatisierter Zahlungszuordnung).
Auftragsverarbeitung: Mit Qonto besteht ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO. Der DPA ist über das Qonto-Kunden-Portal abrufbar.
Speicherdauer: Transaktions- und Belegdaten werden gemäß § 147 AO und § 257 HGB für 10 Jahre aufbewahrt. Anschließende Löschung erfolgt automatisiert über das in Qonto bzw. unserem System hinterlegte Aufbewahrungsende.
Weitere Informationen: qonto.com/de/legal/privacy-policy.

14.10 E-Mail / SMTP — Hostinger
Für den Versand von System-E-Mails (Verifizierung, Einmalcodes, Benachrichtigungen, Terminbestätigungen) nutzen wir den E-Mail-Dienst unseres Hosting-Anbieters Hostinger International Ltd. (Zypern). Die E-Mail-Server befinden sich in der EU.
Verarbeitete Daten: E-Mail-Adresse des Empfängers, Nachrichteninhalt, Zeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — z. B. Kontobestätigung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — z. B. Sicherheitsbenachrichtigungen).

14.11 SSL/TLS-Verschlüsselung
Alle Verbindungen zu unserer Website und unseren Diensten sind durch SSL/TLS-Verschlüsselung gesichert (HSTS mit Preload). Übertragungen zwischen Ihrem Browser und unseren Servern erfolgen ausschließlich verschlüsselt.

Soweit wir im Rahmen unserer Dienstleistungen personenbezogene Daten in Ihrem Auftrag verarbeiten, schließen wir mit Ihnen einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ab. Der AVV regelt insbesondere:

• Gegenstand und Dauer der Verarbeitung,
• Art und Zweck der Verarbeitung,
• die Art der personenbezogenen Daten und die Kategorien betroffener Personen,
• Pflichten und Rechte des Verantwortlichen,
• technische und organisatorische Maßnahmen (TOMs),
• Regelungen zur Unterbeauftragung (Sub-Auftragsverarbeiter).

Eine Vorlage unseres AVV erhalten Sie auf Anfrage unter kurokolabs@gmail.com.

Ihnen stehen folgende Rechte gemäß der DSGVO zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht auf Bestätigung, ob personenbezogene Daten verarbeitet werden, und auf Auskunft über diese Daten einschließlich einer Kopie.
• Recht auf Berichtigung (Art. 16 DSGVO): Unverzügliche Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten.
• Recht auf Löschung (Art. 17 DSGVO): Löschung Ihrer Daten, sofern kein gesetzlicher Aufbewahrungsgrund entgegensteht. Bitte beachten Sie, dass steuerrechtliche Aufbewahrungspflichten (§ 147 AO, § 257 HGB) einer sofortigen Löschung von Rechnungs- und Vertragsdaten entgegenstehen können.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Einschränkung der Verarbeitung unter den gesetzlichen Voraussetzungen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Erhalt Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON-Export über das Kundenportal möglich) und Übermittlung an einen anderen Verantwortlichen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit Widerruf mit Wirkung für die Zukunft. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Gesonderte Information zum Widerspruchsrecht gemäß Art. 21 DSGVO:

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Im Falle Ihres Widerspruchs werden wir die betroffenen personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Widerspruch richten Sie bitte an: kurokolabs@gmail.com.

Beschwerderecht bei der Aufsichtsbehörde:
Unbeschadet eines anderweitigen Rechtsbehelfs haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
www.lda.bayern.de

Anfragen zur Ausübung Ihrer Rechte richten Sie an: kurokolabs@gmail.com. Wir bearbeiten Ihre Anfragen ohne unangemessene Verzögerung, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). In komplexen Fällen kann die Frist um zwei weitere Monate verlängert werden; hierüber werden Sie innerhalb des ersten Monats informiert.

Wir setzen gemäß Art. 32 DSGVO technische und organisatorische Maßnahmen (TOMs) ein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

Allgemeine Maßnahmen:

• Transportverschlüsselung: TLS/SSL für alle Verbindungen, HSTS mit Preload (max-age 1 Jahr).
• Authentifizierung: Passwort-Hashing mit bcrypt (Salt-Rounds: 12), Zwei-Faktor-Authentifizierung (OTP per E-Mail), gerätebasiertes Trust-System, automatische Kontosperrung nach 5 Fehlversuchen in 15 Minuten.
• Session-Sicherheit: JWT-Tokens mit 15-Minuten-Lebensdauer (Access) und 7 Tagen (Refresh), httpOnly- und Secure-Flags, SameSite=Strict, CSRF-Schutz (Double-Submit-Pattern).
• Zugriffskontrolle: Rollenbasierte Autorisierung (Admin/Kunde), Need-to-know-Prinzip, strenge Ressourcentrennung zwischen Kundenkonten.
• Rate-Limiting: Differenzierte Ratenbegrenzung für Login, Registrierung, OTP-Verifikation, Kontaktformulare und allgemeine API-Zugriffe.
• Security Headers: Content Security Policy (CSP), X-Frame-Options: deny, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin.
• Audit-Logging: Sicherheitsrelevante Ereignisse (Login-Versuche, Registrierungen, Passwortänderungen, E-Mail-Verifizierungen) werden mit Zeitstempel, anonymisierter IP und Geräteinformationen protokolliert.
• Eingabevalidierung: Serverseitige Validierung aller Nutzereingaben, parametrisierte SQL-Queries zum Schutz vor SQL-Injection, Pfadtraversierungs-Schutz für Datei-Uploads.
• Regelmäßige Sicherheitsprüfungen: Unsere Systeme werden regelmäßig auf Schwachstellen geprüft und aktualisiert.

KI-spezifische Maßnahmen:

• Datenminimierung: Nur die für den jeweiligen KI-Auftrag erforderlichen personenbezogenen Daten werden an KI-Anbieter übermittelt.
• Kein Modelltraining: API-Konfigurationen stellen sicher, dass übermittelte Daten nicht zum Training verwendet werden.
• Automatische Löschung: KI-Konversationsdaten werden nach 30 Tagen automatisch gelöscht.
• Eingabe-/Ausgabeprotokollierung: Zur Qualitätssicherung und Nachvollziehbarkeit werden KI-Interaktionen protokolliert und nach Ablauf der Speicherfrist gelöscht.

Bitte beachten Sie, dass die Datenübertragung im Internet (z. B. bei E-Mail-Kommunikation) grundsätzlich Sicherheitslücken aufweisen kann. Ein lückenloser Schutz vor dem Zugriff durch Dritte ist technisch nicht möglich.

Wir speichern personenbezogene Daten nur so lange, wie dies für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

Datenkategorie	Speicherdauer	Rechtsgrundlage
Server-Logs	7 Tage	Art. 6 Abs. 1 lit. f DSGVO
Kontaktanfragen (ohne Vertrag)	6 Monate	Art. 6 Abs. 1 lit. f DSGVO
Kundenkonto-Daten	Dauer der Geschäftsbeziehung + Aufbewahrungsfristen	Art. 6 Abs. 1 lit. b DSGVO
Nicht verifizierte Konten	30 Tage (automatische Löschung)	—
Rechnungen, Buchungsbelege	8 Jahre (§ 147 Abs. 3 AO, Fassung ab 01.01.2025)	Art. 6 Abs. 1 lit. c DSGVO
Handelsbriefe, Verträge	6 Jahre (§ 257 Abs. 4 HGB)	Art. 6 Abs. 1 lit. c DSGVO
KI-Konversationen	30 Tage nach letzter Sitzung	Art. 6 Abs. 1 lit. b DSGVO
Bewerberdaten	6 Monate nach Absage	§ 26 BDSG
Audit-Logs	3 Jahre	Art. 6 Abs. 1 lit. f DSGVO
Projekt-Chat-Nachrichten	Dauer der Geschäftsbeziehung + Aufbewahrungsfristen	Art. 6 Abs. 1 lit. b DSGVO

Nach Ablauf der Speicherfrist werden personenbezogene Daten gelöscht oder irreversibel anonymisiert, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Löschungen erfolgen automatisiert (bei technisch gesteuerten Fristen) oder im Rahmen regelmäßiger manueller Prüfungen.

Im Falle einer Verletzung des Schutzes personenbezogener Daten handeln wir gemäß Art. 33 und 34 DSGVO:

• Meldung an die Aufsichtsbehörde (Art. 33 DSGVO): Meldung an das BayLDA innerhalb von 72 Stunden nach Bekanntwerden, sofern die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
• Benachrichtigung der Betroffenen (Art. 34 DSGVO): Unverzügliche Information der betroffenen Personen, sofern ein hohes Risiko für deren persönliche Rechte und Freiheiten besteht.

Wir dokumentieren alle Datenpannen intern gemäß Art. 33 Abs. 5 DSGVO und ergreifen unverzüglich geeignete technische und organisatorische Maßnahmen zur Eindämmung und Prävention.

Für Kunden und Betroffene mit Wohnsitz in Japan gelten ergänzend die Bestimmungen des japanischen Act on the Protection of Personal Information (APPI) in der aktuellen Fassung:

• Angemessenheitsbeschluss: Zwischen der EU und Japan besteht seit dem 23. Januar 2019 ein gegenseitiger Angemessenheitsbeschluss. Die Übermittlung personenbezogener Daten zwischen der EU und Japan erfordert daher keine zusätzlichen Garantien (Art. 45 DSGVO, Art. 28 APPI).
• Auskunftsrecht (Art. 33 APPI): Sie haben das Recht, Auskunft über die von uns gespeicherten personenbezogenen Daten zu verlangen. Über das Kundenportal steht Ihnen ein JSON-Export Ihrer Daten zur Verfügung.
• Berichtigung und Löschung (Art. 34/35 APPI): Sie können die Berichtigung unrichtiger Daten und die Einstellung der Nutzung Ihrer Daten verlangen.
• Sprache: E-Mail-Kommunikation und Rechnungen werden je nach hinterlegtem Land (Japan) in japanischer Sprache versandt.

Anfragen japanischer Betroffener werden innerhalb von 30 Tagen bearbeitet. Kontakt: kurokolabs@gmail.com.

Eine japanische Fassung dieser Datenschutzerklärung finden Sie unter: プライバシーポリシー (日本語版).

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, um sie an geänderte Rechtslagen, neue Dienstleister oder Änderungen unserer Datenverarbeitungspraktiken anzupassen.

Bei wesentlichen Änderungen, die Ihre Rechte als betroffene Person berühren, werden wir Sie in geeigneter Weise informieren (z. B. per E-Mail oder durch einen Hinweis auf unserer Website).

Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig einzusehen.

Version	Datum	Änderung
1.0	26.02.2025	Erstfassung
2.0	10.04.2026	Vollständige Überarbeitung: EU KI-Verordnung (Art. 50 Transparenz, Art. 5 verbotene Praktiken, Art. 22 DSGVO), TDDDG-Anpassung, Aufbewahrungsfristen aktualisiert (8 Jahre gem. § 147 AO n.F.), alle Dienste offengelegt (Cloudflare Turnstile, Google Analytics, Google Fonts, Google Calendar API, Webflow CDN, Qonto), Löschkonzept ergänzt, DSFA-Abschnitt, Japan/APPI-Abschnitt erweitert, Kundenportal-Datenverarbeitung detailliert