BackEnglish

Datenschutzerklärung

Stand: 17. Februar 2026

Diese deutschsprachige Fassung der Datenschutzerklärung ist die rechtlich verbindliche Version.

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Henri Matteo Mache
Dorothea-Erxleben-Straße 56
23562 Lübeck, Deutschland
Telefon: +4915164327820
E-Mail: hello@simpleopenclaw.com

Vollständige Kontaktdaten finden Sie in unserem Impressum.

2. Übersicht der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur in dem Umfang, der für die Erbringung unseres Dienstes, den Betrieb unserer Website und die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Wir halten den Grundsatz der Datenminimierung ein (Art. 5 Abs. 1 lit. c DSGVO) und erheben nicht mehr Daten als für den jeweiligen Zweck erforderlich.

Folgende Datenkategorien werden verarbeitet:

  • Kontodaten (Registrierungs- und Profilinformationen)
  • Zahlungsdaten (über Stripe)
  • Instanz-Konfigurationsdaten
  • Server-Logs und Zugriffsdaten
  • Einwilligungsnachweise
  • Kommunikationsdaten (Supportanfragen)

3. Erhobene Daten und Zwecke

Kontodaten (E-Mail-Adresse, Passwort-Hash, Name falls angegeben) — erhoben bei der Registrierung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Zweck: Kontoerstellung, Authentifizierung und Diensterbringung.

Zahlungsdaten (Stripe-Kunden-ID, Abonnementstatus, Tarifart, Abrechnungszeitraum) — verarbeitet durch Stripe. Wir speichern keine Kreditkartennummern oder vollständigen Zahlungsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Zweck: Abrechnung, Abonnementverwaltung und Rechnungsstellung.

Instanz-Konfigurationsdaten (API-Schlüssel, Channel-Tokens, Gateway-Tokens) — verschlüsselt gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Zweck: Bereitstellung und Betrieb von Kundeninstanzen.

Server-Logs (IP-Adresse, Browsertyp und -version, Betriebssystem, Referrer-URL, Zeitstempel) — automatisch beim Zugriff auf die Website erhoben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit, Stabilität und Missbrauchsprävention). Aufbewahrung: 30 Tage, danach automatische Löschung.

Einwilligungsnachweise (Einwilligungstyp, Zeitstempel, IP-Adresse, User-Agent) — aufgezeichnet bei Annahme der AGB, der Datenschutzerklärung oder des Widerrufsverzichts. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Dokumentation der Einwilligung). Zweck: Nachweis der Einhaltung gesetzlicher Einwilligungsanforderungen.

Kommunikationsdaten (E-Mail-Inhalt, Absenderinformationen) — erhoben bei Kontaktaufnahme für Support. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen oder Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen). Zweck: Bearbeitung von Supportanfragen und Anfragen.

4. Hosting und Content Delivery

Website-Hosting: Unsere Website wird von Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Beim Besuch unserer Website verarbeitet Vercel Server-Log-Daten (IP-Adresse, Browser-Informationen, Zeitstempel). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger und sicherer Website-Bereitstellung).

Instanz-Hosting: Kundeninstanzen werden auf Railway (Railway Corp., USA) gehostet. Railway verarbeitet die für den Betrieb containerisierter Anwendungen erforderlichen Daten, einschließlich Netzwerkverkehr und Anwendungslogs. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler Infrastruktur).

5. Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter ein, die jeweils durch Auftragsverarbeitungsverträge (AVV) gebunden sind:

  • Supabase (Supabase Inc., USA) — Datenbank-Hosting, Authentifizierung und Edge Functions. Verarbeitet Kontodaten, Instanz-Metadaten und Einwilligungsnachweise.
  • Railway (Railway Corp., USA) — Container-Hosting für Kundeninstanzen. Verarbeitet Instanz-Konfiguration und Laufzeitdaten.
  • Stripe (Stripe Inc., USA) — Zahlungsabwicklung. Verarbeitet Zahlungsmitteldetails, Rechnungsadressen und Transaktionsdaten. Für von Stripe direkt erhobene Daten gilt die eigene Datenschutzerklärung von Stripe.
  • Vercel (Vercel Inc., USA) — Website-Hosting und Content Delivery. Verarbeitet Server-Log-Daten.

Übermittlungsgarantien: Alle oben genannten Auftragsverarbeiter nehmen am EU-U.S. Data Privacy Framework teil und/oder haben Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.

6. Internationale Datenübermittlungen

Personenbezogene Daten werden im Rahmen der Nutzung der in Abschnitt 5 genannten Auftragsverarbeiter in die Vereinigten Staaten übermittelt. Folgende Übermittlungsmechanismen sind eingerichtet:

  • EU-U.S. Data Privacy Framework (DPF): Soweit Auftragsverarbeiter unter dem DPF zertifiziert sind, dient dies als primärer Angemessenheitsmechanismus (Art. 45 DSGVO).
  • Standardvertragsklauseln (SCCs): Soweit keine DPF-Zertifizierung vorliegt oder als Auffangmechanismus werden Übermittlungen durch von der Europäischen Kommission verabschiedete SCCs abgesichert (Art. 46 Abs. 2 lit. c DSGVO).

Ergänzende technische Maßnahmen umfassen Verschlüsselung bei der Übertragung (TLS/HTTPS) und Verschlüsselung im Ruhezustand für sensible Daten (API-Schlüssel, Tokens).

7. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Website zwingend erforderlich sind:

  • Sitzungs-/Authentifizierungs-Cookies: Erforderlich für die Verwaltung des Anmeldestatus und den CSRF-Schutz. Diese Cookies verfallen mit dem Ende der Sitzung oder nach einer definierten Zeitspanne.

Wir verwenden keine Analyse-Cookies, Werbe-Cookies, Social-Media-Tracking- Pixel oder sonstige nicht-essentielle Cookies. Daher ist kein Cookie-Consent-Banner nach §25 Abs. 2 TTDSG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) erforderlich, da ausschließlich technisch notwendige Cookies gesetzt werden.

8. Speicherdauer

  • Kontodaten: Gespeichert, solange das Konto aktiv ist, plus 30 Tage nach Kontolöschung zur Ermöglichung einer Kontowiederherstellung.
  • Instanzdaten: Löschung 7 Tage nach Instanzlöschung oder Kontokündigung.
  • Rechnungen und Abrechnungsunterlagen: Aufbewahrung 10 Jahre gemäß handels- und steuerrechtlichen Vorschriften (§147 AO, §257 HGB).
  • Server-Logs: Automatische Löschung nach 30 Tagen.
  • Einwilligungsnachweise: Aufbewahrung 3 Jahre nach Ende des Vertragsverhältnisses, entsprechend der allgemeinen gesetzlichen Verjährungsfrist (§195 BGB).
  • Kommunikationsdaten (Support): Aufbewahrung für die Dauer der Geschäftsbeziehung plus 3 Jahre (§195 BGB).

Nach Ablauf der jeweiligen Aufbewahrungsfrist werden Daten gelöscht oder anonymisiert, sofern keine weitergehende gesetzliche Aufbewahrungspflicht besteht.

9. Ihre Rechte

Nach der DSGVO stehen Ihnen folgende Rechte in Bezug auf Ihre personenbezogenen Daten zu:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger personenbezogener Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass Ihre Daten Ihnen oder einem anderen Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die auf berechtigtes Interesse gestützte Verarbeitung Widerspruch einlegen.
  • Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen.

Zuständige Aufsichtsbehörde: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Holstenstraße 98, 24103 Kiel, Deutschland.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hello@simpleopenclaw.com. Wir werden Ihre Anfrage innerhalb eines Monats nach Eingang beantworten (Art. 12 Abs. 3 DSGVO). Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und Anzahl der Anfragen erforderlich ist.

10. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten gegen zufällige oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang zu schützen (Art. 32 DSGVO). Diese Maßnahmen umfassen:

  • Verschlüsselung bei der Übertragung: Alle zwischen Ihrem Browser und unseren Servern übermittelten Daten sind durch TLS/HTTPS geschützt.
  • Verschlüsselung im Ruhezustand: Sensible Daten (API-Schlüssel, Tokens, Zugangsdaten) werden in unserer Datenbank verschlüsselt gespeichert.
  • Zugriffskontrollen: Der Zugang zu personenbezogenen Daten ist auf autorisiertes Personal nach dem Need-to-know-Prinzip beschränkt.
  • Regelmäßige Backups: Daten werden regelmäßig gesichert, um Datenverlust vorzubeugen.

11. Datenverarbeitung innerhalb von Instanzen

Wenn Sie unseren Dienst zum Betrieb einer OpenClaw-Instanz nutzen, können Sie über diese Instanz personenbezogene Daten Ihrer eigenen Endnutzer verarbeiten (z.B. Nachrichten, die über Telegram, Discord oder andere verbundene Kanäle empfangen werden).

In Bezug auf solche Daten:

  • Sie (der Kunde) sind der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.
  • Wir (der Anbieter) handeln als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO und verarbeiten Daten ausschließlich auf Ihre Weisung.

Als Verantwortlicher sind Sie dafür verantwortlich:

  • eine gültige Rechtsgrundlage für die Verarbeitung der Daten Ihrer Endnutzer sicherzustellen;
  • Ihren Endnutzern angemessene Datenschutzhinweise bereitzustellen;
  • Betroffenenanfragen Ihrer Endnutzer zu beantworten;
  • alle geltenden Datenschutzgesetze in Ihrer Rechtsordnung einzuhalten.

Wir greifen auf in Ihren Instanzen verarbeitete Daten nicht zu, es sei denn, dies ist für den technischen Betrieb des Dienstes erforderlich oder gesetzlich vorgeschrieben.

12. Änderungen

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Datenverarbeitungspraktiken oder rechtlicher Anforderungen Rechnung zu tragen. Wesentliche Änderungen werden Ihnen mindestens 14 Tage vor Inkrafttreten per E-Mail an die mit Ihrem Konto verknüpfte E-Mail-Adresse mitgeteilt.

Das oben auf dieser Seite angezeigte Aktualisierungsdatum gibt an, wann diese Datenschutzerklärung zuletzt überarbeitet wurde.