Datenschutzerklärung

Zuletzt aktualisiert: 10. April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

27Street GmbH Gleimstrasse 36, 10437 Berlin E-Mail: privacy@27street.de Verantwortliche Person: Gero Keller

2. Datenschutzbeauftragter

Wir sind gesetzlich nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Sie erreichen uns für datenschutzrelevante Anfragen unter der oben genannten E-Mail-Adresse.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen der DSGVO:

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung des SaaS-Dienstes, Benutzerkonto, Authentifizierung, Kernfunktionen der Anwendung.
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Sicherheitsprotokollierung (Audit-Logs mit IP-Adresse und User-Agent zur Missbrauchserkennung), semantische Einbettungen zur Verbesserung der Suchfunktionalität, Cookie-freie Webanalyse zur aggregierten Nutzungsmessung sowie Betrieb und Optimierung unseres Dienstes.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit wir zukünftig Einwilligungen einholen, werden wir dies gesondert ausweisen.

Soweit wir Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, besteht unser berechtigtes Interesse in der Bereitstellung und Verbesserung unseres Dienstes, der aggregierten Nutzungsmessung, der Gewährleistung der IT-Sicherheit und der Betrugsprävention.

4. Erhobene Daten

Wir erheben und verarbeiten folgende Kategorien personenbezogener Daten:

Authentifizierungsdaten

E-Mail-Adresse, Passwort (gehasht gespeichert)
OAuth-Token bei Anmeldung über Drittanbieter
Sitzungs-Token (JWT, Refresh-Token)
CSRF-Token zum Schutz vor Cross-Site-Request-Forgery

Nutzerprofildaten

Anzeigename
Avatar-URL
Theme-Einstellung (hell/dunkel)
E-Mail-Benachrichtigungseinstellungen

Organisationsdaten

Organisationszugehörigkeit und Rolle
Zeitstempel der Mitgliedschaft

Protokolldaten (Audit Trail)

Zur Gewährleistung der IT-Sicherheit und Nachvollziehbarkeit protokollieren wir:

Benutzeraktionen innerhalb der Anwendung
IP-Adressen
User-Agent-Zeichenketten (Browserkennung)
Zeitstempel

Diese Daten werden automatisiert nach 90 Tagen gelöscht.

Nutzungsdaten (Vercel Web Analytics)

Zur aggregierten Reichweitenmessung und technischen Optimierung unseres Dienstes verarbeiten wir mit Vercel Web Analytics folgende Nutzungsdaten:

Zeitpunkt des Seitenaufrufs
Aufgerufene URL und dynamisches Routenmuster
Referrer-Domain
Query-Parameter werden vor der Übertragung entfernt
Ungefähre Geolokalisierung (Land, Region, Stadt)
Gerätetyp, Betriebssystem, Browser und Version sowie Version des Analytics-Skripts

Nach Angaben von Vercel werden Besucher dabei ausschließlich über einen aus der eingehenden Anfrage abgeleiteten Hash unterschieden, der nach 24 Stunden verworfen wird. Es werden keine Third-Party-Cookies für diese Webanalyse verwendet.

Besprechungsdaten

Teilnehmernamen und Kontaktinformationen
Tagesordnungen und Besprechungsnotizen
Aus Google Gemini importierte Besprechungsdokumente (wörtlicher Inhalt)

Kundenprojektdaten

Kundennamen und Kontaktdaten
Projektdetails, Aufgaben und Kostenkalkulationen
Antworten auf Fragebögen
Angebotsberechnungen und Zeitpläne

Semantische Einbettungen

Zur Verbesserung der Suchfunktionalität erzeugen wir mittels OpenAI (text-embedding-3-small) Vektorrepräsentationen folgender Inhalte:

Aufgabennamen und -beschreibungen
Kommentare
Fragebogenantworten

Hierbei werden die Textinhalte an OpenAI zur Erzeugung der Einbettungsvektoren übermittelt. Die resultierenden Vektoren werden in unserer Datenbank gespeichert. OpenAI verarbeitet die Daten gemäß seiner Datenschutzrichtlinie als Auftragsverarbeiter. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer verbesserten Suchfunktion).

Abrechnungsdaten

Bei Abschluss eines kostenpflichtigen Abonnements erheben und verarbeiten wir folgende abrechnungsbezogene Daten:

Name und E-Mail-Adresse des Rechnungskontakts
Rechnungsadresse und Umsatzsteuer-Identifikationsnummer (USt-IdNr.), sofern angegeben
Stripe-Kunden-ID und Abonnement-ID
Zahlungsmittel-Metadaten: letzte 4 Ziffern, Kartenmarke und Ablaufdatum. Vollständige Kartennummern werden direkt von Stripe erfasst und erreichen niemals unsere Server.

Diese Daten werden von Stripe, Inc. (USA) als Auftragsverarbeiter verarbeitet. Stripe ist unter dem EU-US-Datenschutzrahmen (DPF) zertifiziert; zusätzlich haben wir Standardvertragsklauseln (SCCs) mit Stripe vereinbart.

Rechtsgrundlage für die Verarbeitung der Abrechnungsdaten ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Abonnementvertrags). Für die Aufbewahrung von Rechnungen und Buchungsbelegen ist die Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung), konkret die 10-jährige Aufbewahrungspflicht nach der Abgabenordnung (AO §147).

5. Auftragsverarbeiter (Sub-Processors)

Wir setzen folgende Auftragsverarbeiter ein:

Dienst	Zweck	Übermittelte Daten	Standort	Transfermechanismus
Supabase Inc.	Datenbank, Authentifizierung, Dateispeicher, Verschlüsselung (Vault)	Alle Anwendungsdaten	EU	Verarbeitung in der EU
OpenAI, L.P.	Semantische Sucheinbettungen (text-embedding-3-small)	Aufgabennamen, Beschreibungen, Kommentare, Fragebogenantworten	USA	EU-US Data Privacy Framework (DPF), Standardvertragsklauseln (SCCs)
Google LLC	Google Drive OAuth-Integration, Gemini-Dokumentimport	OAuth-Token, Dokumentinhalte	USA	EU-US Data Privacy Framework (DPF), Standardvertragsklauseln (SCCs)
Resend Inc.	Transaktionale E-Mails (Einladungen, Benachrichtigungen, Fragebogenversand)	E-Mail-Adressen, Benachrichtigungsinhalte	USA	Standardvertragsklauseln (SCCs)
Stripe, Inc.	Abonnementverwaltung, Zahlungsabwicklung, Rechnungsstellung	Rechnungs-E-Mail, Organisationsname, Stripe-Kunden-ID, Abonnement-Metadaten. Vollständige Kartendaten werden direkt von Stripe erfasst und erreichen niemals unsere Server.	USA	EU-US-Datenschutzrahmen (DPF), Standardvertragsklauseln (SCCs)
Vercel Inc.	Hosting, Bereitstellung der Webanwendung und Cookie-freie Webanalyse zur aggregierten Reichweitenmessung und technischen Optimierung	Anfrage-Logs, IP-Adressen sowie Webanalyse-Daten wie aufgerufene Seiten-URL, Referrer-Domain, ungefähre Geolokalisierung, Geräte- und Browserinformationen sowie ein aus der Anfrage abgeleiteter Besucher-Hash	EU/USA	EU-US Data Privacy Framework (DPF), Standardvertragsklauseln (SCCs)

6. Datenübermittlung in Drittländer

Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten in die USA erfolgt auf Basis des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework (DPF) gemäß Art. 45 DSGVO, soweit der jeweilige Auftragsverarbeiter unter dem DPF zertifiziert ist.

Zusätzlich haben wir mit allen US-amerikanischen Auftragsverarbeitern Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart, um ein angemessenes Datenschutzniveau sicherzustellen.

7. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist:

Datenkategorie	Speicherdauer
Authentifizierungs- und Profildaten	Bis zur Kontolöschung
Organisationsmitgliedschaft	Bis zum Austritt aus der Organisation
Audit-Logs (IP, User-Agent, Aktionen)	90 Tage (automatische Bereinigung)
Kundenprojektdaten	30 Tage nach Löschung (automatische Bereinigung)
Besprechungsdaten	30 Tage nach Löschung (automatische Bereinigung)
Semantische Einbettungen	Bis zur Löschung des zugehörigen Quelldatensatzes oder sofort bei Opt-Out
OAuth-Token (Google)	30 Tage nach Widerruf der Berechtigung
Abonnement- und Rechnungsdaten	Bis zur Kontolöschung. Rechnungsreferenzen werden 10 Jahre lang aufbewahrt, um den deutschen steuerrechtlichen Aufbewahrungspflichten zu entsprechen (AO §147).
Kontolöschung	Alle vom Nutzer erstellten Inhalte werden bei Kontolöschung als gelöscht markiert und nach 30 Tagen endgültig entfernt

Gelöschte Datensätze werden zunächst als gelöscht markiert (Soft-Delete) und automatisch nach 30 Tagen endgültig entfernt.

8. Ihre Rechte als betroffene Person

Ihnen stehen folgende Rechte gemäß der DSGVO zu:

Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung Ihrer Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten. Eine Exportfunktion steht Ihnen in der Anwendung unter den Kontoeinstellungen zur Verfügung. Der Export umfasst Ihr Profil, Organisationsmitgliedschaften, Kunden, Aufgaben, Besprechungen, Kommentare und Kalenderverbindungen.
Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten, die auf Art. 6 Abs. 1 lit. f DSGVO basiert, jederzeit widersprechen. Dies umfasst insbesondere die Verarbeitung zum Zweck der semantischen Einbettungen. Organisationsadministratoren können die Einbettungsgenerierung in den Organisationseinstellungen unter KI & Datenschutz deaktivieren (Self-Service-Opt-Out).

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die oben genannte E-Mail-Adresse. Für das Embedding-Opt-Out können Sie den Self-Service-Schalter in Ihren Organisationseinstellungen verwenden.

9. Widerruf von Einwilligungen

Soweit die Verarbeitung Ihrer Daten auf einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) beruht, haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt.

10. Recht auf Beschwerde bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde ist der/die Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Unternehmen seinen Sitz hat. Eine Liste der Datenschutzbeauftragten und deren Kontaktdaten finden Sie unter: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html

11. Cookies und lokale Speicherung

Unsere Anwendung verwendet ausschließlich technisch notwendige Cookies und lokale Speichermechanismen, die für den Betrieb des Dienstes erforderlich sind. Eine Einwilligung ist hierfür gemäß § 25 Abs. 2 TTDSG nicht erforderlich.

Speicher	Zweck	Typ	Speicherdauer
sb-*-auth-token (Cookie)	Sitzungsauthentifizierung (JWT, Refresh-Token)	Technisch notwendig	Sitzungsdauer
csrf-token (Cookie)	Schutz vor Cross-Site-Request-Forgery	Technisch notwendig	Sitzungsdauer
preferred_org (Cookie)	Speicherung der zuletzt gewählten Organisation	Funktional	1 Jahr
theme (localStorage)	Speicherung der Theme-Einstellung (hell/dunkel)	Funktional	Bis zur Abmeldung
crt-{orgId} (IndexedDB)	Offline-Datencache für die Anwendung	Funktional	Bis zur Abmeldung oder Organisationswechsel
Service Worker Caches	API-Antwort-Caching für Offline-Funktionalität	Funktional	Bis zur Abmeldung

Zusätzlich kann Stripe.js während des Zahlungsvorgangs folgende Cookies setzen:

Speicher	Zweck	Typ	Speicherdauer
__stripe_mid (Cookie)	Stripe-Betrugsprävention — eindeutige Gerätekennung	Technisch notwendig	1 Jahr
__stripe_sid (Cookie)	Stripe-Betrugsprävention — Sitzungskennung	Technisch notwendig	30 Minuten

Diese Cookies sind für die Zahlungsabwicklung und Betrugsprävention technisch notwendig. Eine Einwilligung ist gemäß § 25 Abs. 2 TTDSG nicht erforderlich.

Zusätzlich setzen wir Vercel Web Analytics, einen Cookie-freien Webanalysedienst der Vercel Inc., ein, um aggregierte Seitenaufrufe und Nutzungsmuster zu messen und unseren Dienst technisch zu optimieren.

Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO. Da Vercel Web Analytics keine Cookies oder vergleichbaren Speichermechanismen auf Ihrem Endgerät setzt, ist hierfür keine Einwilligung nach § 25 TTDSG erforderlich.

12. Automatisierte Entscheidungsfindung und Profiling

Unsere Anwendung nutzt eine KI-gestützte semantische Suchfunktion, die mittels OpenAI Vektorrepräsentationen (Embeddings) aus Textinhalten erzeugt. Diese werden verwendet für:

Semantische Suche über Aufgaben, Kommentare und Fragebogenantworten
Erkennung ähnlicher oder doppelter Einträge
Rückverfolgbarkeitsanalysen innerhalb von Projekten

Es handelt sich hierbei um eine Unterstützungsfunktion. Es werden keine automatisierten Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung getroffen (Art. 22 DSGVO). Die Ergebnisse der semantischen Suche dienen ausschließlich als Hilfestellung für die Nutzer.

Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Sie können der Verarbeitung zum Zweck der semantischen Einbettungen jederzeit gemäß Art. 21 DSGVO widersprechen. Ein Self-Service-Opt-Out ist in den Organisationseinstellungen unter KI & Datenschutz verfügbar.

13. Daten, die nicht direkt bei Ihnen erhoben werden (Art. 14 DSGVO)

In bestimmten Fällen verarbeiten wir personenbezogene Daten, die nicht direkt von der betroffenen Person erhoben wurden:

Portal-/Fragebogen-Befragte

Wenn Nutzer unserer Anwendung Fragebögen über das Portal teilen, können die Empfänger ohne eigenes Benutzerkonto Antworten abgeben. Dabei werden die eingegebenen Antworten gespeichert. Der Verantwortliche für diese Daten ist der Nutzer, der den Fragebogen versendet hat (bzw. dessen Organisation).

Besprechungsteilnehmer

Bei der Nutzung der Google Drive-Integration können Besprechungsnotizen importiert werden, die Namen und Diskussionsinhalte von Besprechungsteilnehmern enthalten. Diese Daten stammen aus Google Gemini-Dokumenten und werden wörtlich in unsere Anwendung übernommen.

14. Technische und organisatorische Maßnahmen

Wir setzen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

Row-Level Security (RLS) für mandantenfähige Datenisolation
Verschlüsselung sensibler Daten mittels Supabase Vault
HMAC-Token-Verifizierung für API-Zugriffe
CSRF-Schutz für alle Authentifizierungsflüsse
Verschlüsselte Übertragung aller Daten via HTTPS/TLS

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Anforderungen oder Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite verfügbar. Das Datum der letzten Aktualisierung finden Sie am Anfang dieser Datenschutzerklärung.