Datenschutzerklärung

1. Verantwortlicher

Philipp Temme
Philipp Temme Productions
Am Alten Kreuz 14
59556 Lippstadt
E-Mail: mail@philipptemme.de

(nachfolgend „wir", „uns" oder „Verantwortlicher")

2. Allgemeine Hinweise und Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der Webanwendung Clamax OS© unter app.clamax.de sowie des zugehörigen Telegram-Bots (@getClamaxBot). Sie informiert dich darüber, welche personenbezogenen Daten wir erheben, wie wir sie verarbeiten und welche Rechte dir zustehen.

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der geltenden Datenschutzgesetze, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

Stand: 02. April 2026

3. Welche Daten wir verarbeiten

Bei der Nutzung von Clamax OS© können folgende personenbezogene Daten verarbeitet werden:

  • Kontodaten: E-Mail-Adresse, Name (freiwillig), Telegram-ID
  • Sprachaufnahmen: Sprachnachrichten, die du an den Telegram-Bot sendest (werden nach der Transkription nicht dauerhaft von uns gespeichert)
  • Transkripte: Textversionen deiner Sprachnachrichten
  • Generierte Inhalte: KI-generierte Social-Media-Posts und Carousels
  • Memory-Daten: Automatisch extrahierte Schreibstilmerkmale, Tonalität und Themen (KI-Memory-System)
  • Nutzungsdaten: Anzahl generierter Posts/Carousels, Plan-Status, Aktivitätslog, Schreibprofil-Einstellungen
  • Zahlungsdaten: Werden ausschließlich von Stripe verarbeitet — wir speichern keine vollständigen Kreditkartendaten
  • Technische Daten: IP-Adresse, Browser-Typ, Betriebssystem, Zeitpunkt des Zugriffs (Server-Logfiles)

4. Zwecke und Rechtsgrundlagen der Verarbeitung

ZweckRechtsgrundlage
Bereitstellung und Betrieb der AnwendungArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Registrierung und KontoverwaltungArt. 6 Abs. 1 lit. b DSGVO
KI-gestützte Verarbeitung von Sprachnachrichten und TextgenerierungArt. 6 Abs. 1 lit. b DSGVO
Speicherung und Nutzung des KI-Memory-Systems (Stilmerkmale)Art. 6 Abs. 1 lit. b DSGVO
Zahlungsabwicklung über StripeArt. 6 Abs. 1 lit. b DSGVO
Versand transaktionaler E-Mails (Magic Link, Löschungsbenachrichtigung)Art. 6 Abs. 1 lit. b DSGVO
Optionale Verbindung mit Notion (Post-Export)Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Anmeldung via Google OAuthArt. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Sicherheit, Fehlerbehebung und Server-LogfilesArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Einhaltung gesetzlicher AufbewahrungspflichtenArt. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
Automatische Account-Löschung nach 14-tägiger Soft-Delete-FristArt. 6 Abs. 1 lit. c DSGVO

5. Eingesetzte Dienste und Drittanbieter

5.1 Hosting und Infrastruktur

Vercel (Hosting Frontend)

Anbieter: Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA.

Vercel hostet die Webanwendung unter app.clamax.de. Bei jedem Seitenaufruf werden Verbindungsdaten (IP-Adresse, Browser-Informationen, Zeitstempel) verarbeitet.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässigem Hosting)
  • Drittlandtransfer: USA. Vercel ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich wurden Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO im Rahmen des AVV vereinbart.
  • AVV: Abgeschlossen ✅

Railway (Hosting Backend)

Anbieter: Railway Corp., 340 S Lemon Ave #4133, Walnut, CA 91789, USA.

Railway betreibt unseren Backend-Server. Die Datenverarbeitung findet auf Servern in der EU (Amsterdam, Niederlande) statt. Als US-Unternehmen kann Railway jedoch grundsätzlich aus den USA auf Daten zugreifen.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
  • Drittlandtransfer: USA (Firmensitz). Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO im Rahmen des AVV vereinbart.
  • AVV: Abgeschlossen ✅

Supabase (Datenbank, Authentifizierung)

Anbieter: Supabase Inc., 970 Toa Payoh North, #04-09, Singapur 318992.

Supabase speichert alle Nutzerdaten (Kontoinformationen, Posts, Memory-Einträge, Carousels, Aktivitätslog, Zahlungsstatus). Die Datenbank befindet sich in der EU (Frankfurt, eu-central-1). Supabase übernimmt außerdem die Authentifizierung (Magic Link, Google OAuth) und den SMTP-Versand über Resend.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Drittlandtransfer: Singapur (Firmensitz). Standardvertragsklauseln (SCCs) und ein Transfer Impact Assessment (TIA) wurden im Rahmen des AVV vereinbart. Daten werden ausschließlich in der EU gespeichert.
  • AVV: Abgeschlossen ✅ (inkl. TIA)

5.2 KI-Dienste

Anthropic Claude API (KI-Textgenerierung)

Anbieter: Anthropic, PBC, 548 Market Street, San Francisco, CA 94104, USA.

Transkripte deiner Sprachnachrichten, dein KI-Memory (Stilmerkmale, Tonalität, Themen) und ggf. bestehende Posts werden zur Generierung von Social-Media-Posts und Carousel-Inhalten an die Claude API von Anthropic übermittelt.

Wichtiger Hinweis zur KI-Verarbeitung:

  • Anthropic verwendet Daten, die über die API übermittelt werden, nicht zum Training seiner KI-Modelle.
  • Die Verarbeitung erfolgt ausschließlich zur Erbringung des angeforderten Dienstes (Textgenerierung).
  • Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt – die generierten Texte sind Vorschläge, die du vor Verwendung prüfen und bearbeiten kannst.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Drittlandtransfer: USA. Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO im Rahmen des AVV vereinbart.
  • AVV: Abgeschlossen ✅

OpenAI Whisper API (Sprachtranskription)

Anbieter: OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA.

Sprachnachrichten, die du an den Telegram-Bot sendest, werden zur Transkription an die Whisper API von OpenAI übermittelt. Die Audiodateien werden nach der Transkription nicht dauerhaft von OpenAI gespeichert.

Wichtiger Hinweis: OpenAI verwendet Daten, die über die API übermittelt werden, nicht zum Training seiner KI-Modelle (Zero Data Retention Policy für API-Nutzung).

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Drittlandtransfer: USA. OpenAI ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich wurden Standardvertragsklauseln (SCCs) im Rahmen des AVV vereinbart.
  • AVV: Abgeschlossen ✅

5.3 Kommunikation und Messaging

Telegram (Bot-Kommunikation)

Anbieter: Telegram FZ-LLC, Dubai, Vereinigte Arabische Emirate (VAE).

Sprachnachrichten und Interaktionen mit dem Clamax-Bot (@getClamaxBot) werden über die Telegram-Infrastruktur übertragen. Dabei werden deine Telegram-ID, dein Vorname und deine Nachrichten verarbeitet. Es gilt zusätzlich die Datenschutzerklärung von Telegram.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Drittlandtransfer: VAE (Drittland ohne Angemessenheitsbeschluss). Die Nutzung von Telegram erfolgt auf deine Initiative hin als Teil der Dienstleistung. Die Datenübermittlung stützt sich auf Art. 49 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags). Ein individueller AVV mit Telegram ist derzeit nicht verfügbar, da Telegram keinen AVV-Abschluss für Bot-Betreiber anbietet.

Resend (Transaktionale E-Mails)

Anbieter: Resend Inc., 2261 Market Street #5217, San Francisco, CA 94114, USA.

Resend versendet transaktionale E-Mails in unserem Auftrag, z. B. Magic-Link-Anmeldelinks (über Supabase SMTP), Account-Löschungsbenachrichtigungen und Feedback-Bestätigungen. Dabei werden E-Mail-Adresse und Nachrichteninhalt verarbeitet.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Drittlandtransfer: USA. Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO im Rahmen des AVV vereinbart.
  • AVV: Abgeschlossen ✅

5.4 E-Mail-Kommunikation

Transaktionale E-Mails

Wir versenden E-Mails, die für die Durchführung des Vertragsverhältnisses erforderlich sind. Dazu gehören Anmelde-Links (Magic Link), Benachrichtigungen bei Account-Änderungen (z. B. Kontoauflösung), Feedback-Bestätigungen sowie Informationen zu deinem Abonnement (z. B. Zahlungsbestätigungen).

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Verarbeitung durch: Resend Inc. (siehe Abschnitt 5.3)

Marketing-E-Mails (Produktupdates, Tipps, Neuigkeiten)

Mit deiner ausdrücklichen Einwilligung senden wir dir gelegentlich E-Mails zu Produktupdates, neuen Funktionen und Tipps zur Nutzung von Clamax OS©. Diese Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden – entweder über die Einstellungen in deinem Dashboard (Profil → E-Mail-Benachrichtigungen) oder per E-Mail an mail@philipptemme.de.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  • Einwilligungszeitpunkt: wird mit Zeitstempel protokolliert und nie überschrieben (Audit-Trail)
  • Verarbeitung durch: Resend Inc. (siehe Abschnitt 5.3)

5.5 Zahlungsabwicklung

Stripe (Abonnementverwaltung und Zahlungen)

Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland.

Stripe verarbeitet alle Zahlungsdaten für Abonnements (Starter, Pro). Die Zahlungsabwicklung erfolgt über die europäische Stripe-Gesellschaft mit Sitz in Irland. Wir haben zu keinem Zeitpunkt Zugriff auf vollständige Kreditkartendaten — wir speichern lediglich eine Stripe-Kunden-ID sowie die letzten vier Ziffern und den Kartentyp zur Anzeige im Dashboard.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Drittlandtransfer: Stripe Payments Europe Ltd. (Irland) ist Vertragspartner. Stripe kann Daten an Stripe Inc. (USA) weitergeben. Stripe Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
  • AVV: Abgeschlossen ✅

5.6 Authentifizierung

Google OAuth (Anmeldung via Google)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Wenn du dich über „Mit Google anmelden" registrierst oder einloggst, wird eine Verbindung zu Google-Servern hergestellt. Dabei werden dein Name und deine E-Mail-Adresse aus deinem Google-Konto an uns übertragen (über Supabase Auth). Weitere Daten aus deinem Google-Konto werden nicht abgerufen.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung des Google-Logins)
  • Drittlandtransfer: Google Ireland (EU) ist Vertragspartner. Google LLC (USA) ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.

5.7 Optionale Integrationen

Notion (Post-Export)

Anbieter: Notion Labs Inc., 2300 Harrison Street, San Francisco, CA 94110, USA.

Du kannst optional deinen Notion-Workspace mit Clamax OS© verbinden. In diesem Fall werden generierte Posts auf deinen ausdrücklichen Wunsch hin (per Button-Klick im Dashboard) in eine Notion-Datenbank in deinem Workspace exportiert. Die Verbindung erfolgt per OAuth und kann jederzeit im Dashboard getrennt werden.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive OAuth-Verbindung)
  • Drittlandtransfer: USA. Die Datenübermittlung stützt sich auf Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO.
  • AVV: Abgeschlossen ✅

5.8 Geplante Dienste (noch nicht aktiv)

Folgende Dienste sind geplant und werden nach Aktivierung in dieser Datenschutzerklärung ergänzt:

  • PayPal – PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg (zusätzliche Zahlungsoption)
  • Newsletter-Tools – z. B. ConvertKit, Brevo oder Mailchimp (E-Mail-Newsletter)
  • Facebook Pixel / LinkedIn Insight Tag / Google Ads – Tracking für Werbezwecke (über GTM, nur nach Consent)

6. Cookies und lokale Speicherung

Die Webanwendung unter app.clamax.de verwendet folgende Cookies bzw. lokale Speichertechnologien:

Name/TypZweckSpeicherdauerRechtsgrundlage
Supabase Auth Cookies (sb-*-auth-token) Authentifizierung / Session Bis zum Logout bzw. Token-Ablauf Art. 6 Abs. 1 lit. b DSGVO (erforderlich)
localStorage-Einträge (z. B. clamax_tour_completed) UX-Einstellungen (Tour, Onboarding) Dauerhaft bis manuelles Löschen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Es werden keine Marketing- oder Tracking-Cookies in der App eingesetzt. Die App enthält weder Google Analytics noch Google Tag Manager.

Hinweis: Die Landing Page unter clamax.de setzt optional Analyse-Cookies (GA4 via GTM), die separat über einen Cookie-Consent-Banner (Klaro) gesteuert werden. Siehe hierfür die Datenschutzerklärung unter clamax.de.

7. Übermittlung in Drittländer

Einige der von uns eingesetzten Dienstleister haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR). Die Übermittlung personenbezogener Daten in Drittländer erfolgt nur unter Einhaltung der in der DSGVO vorgesehenen Garantien:

AnbieterLandTransfermechanismus
VercelUSAEU-US DPF + SCCs
RailwayUSASCCs
AnthropicUSASCCs
OpenAIUSAEU-US DPF + SCCs
ResendUSASCCs
NotionUSASCCs
Stripe Inc.USAEU-US DPF (über Stripe Payments Europe, Irland)
Google LLCUSAEU-US DPF
Supabase Inc.SingapurSCCs + TIA (Daten in EU gespeichert)
TelegramVAEArt. 49 Abs. 1 lit. b DSGVO

Erläuterung:
EU-US DPF: Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO (gültig seit 10. Juli 2023).
SCCs: Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss 2021/914/EU).
Art. 49 DSGVO: Ausnahmen für bestimmte Fälle (Vertragserfüllung).

8. Automatisierte Entscheidungsfindung und Profiling

Die KI-gestützte Post-Generierung durch Clamax OS© stellt keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO dar. Die generierten Texte sind Vorschläge, die du vor Verwendung frei bearbeiten, verwerfen oder genehmigen kannst. Es werden keine Entscheidungen getroffen, die dir gegenüber rechtliche Wirkung entfalten oder dich in ähnlicher Weise erheblich beeinträchtigen.

Das KI-Memory-System erstellt ein Schreibprofil auf Basis deiner bisherigen Inhalte (Stilmerkmale, Tonalität, Themen). Dieses Profil wird ausschließlich zur Verbesserung der Textgenerierung verwendet und dient keinen anderen Zwecken. Du kannst einzelne Memory-Einträge jederzeit im Dashboard einsehen und löschen.

9. Speicherdauer und Löschung

DatenkategorieSpeicherdauer
Account-DatenBis zur Kündigung + 14 Tage Reaktivierungsfrist, danach automatische Löschung
Posts und CarouselsWerden mit dem Account gelöscht
Memory-EinträgeWerden mit dem Account gelöscht; inaktive Einträge (Konfidenz < 0,5, älter als 30 Tage) werden automatisch bereinigt
SprachaufnahmenWerden nach der Transkription nicht dauerhaft gespeichert
Zahlungsdaten bei StripeGemäß gesetzlicher Aufbewahrungspflichten (bis zu 10 Jahre, § 147 AO, § 257 HGB)
Server-Logfiles (Railway)30 Tage
Supabase Auth SessionsBis zum Logout oder Token-Ablauf
Widerrufs-Consent-DokumentationFür die Dauer der Geschäftsbeziehung + gesetzliche Aufbewahrungsfristen

10. Deine Rechte als betroffene Person

Dir stehen folgende Rechte gegenüber uns zu:

  • Recht auf Auskunft (Art. 15 DSGVO) – Du kannst Auskunft über die von uns verarbeiteten Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO) – Du kannst die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO) – Du kannst die Löschung deiner Daten verlangen. Im Dashboard kannst du deinen Account unter Einstellungen → Profil zur Löschung vormerken.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) – Du kannst unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Du kannst deine Daten in einem maschinenlesbaren Format (JSON) exportieren. Im Dashboard findest du diese Funktion unter Einstellungen → Profil → Meine Daten exportieren.
  • Recht auf Widerspruch (Art. 21 DSGVO) – Du kannst der Verarbeitung deiner Daten widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.
  • Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) – Soweit du eine Einwilligung erteilt hast (z. B. Google OAuth, Notion-Verbindung), kannst du diese jederzeit widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt unberührt. Siehe auch Widerrufsbelehrung.

Zur Ausübung deiner Rechte wende dich an: mail@philipptemme.de

Recht auf Beschwerde bei einer Aufsichtsbehörde: Du hast gem. Art. 77 DSGVO das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf (www.ldi.nrw.de).

11. Widerrufsrecht bei kostenpflichtigen Abonnements

Für kostenpflichtige Abonnements (Starter, Pro) gilt ein gesetzliches Widerrufsrecht gemäß § 355 BGB. Die vollständige Widerrufsbelehrung und das Muster-Widerrufsformular findest du unter /widerruf.

Vor Abschluss eines kostenpflichtigen Abonnements wirst du um Bestätigung gebeten, dass du mit der sofortigen Ausführung der Dienstleistung einverstanden bist und dein Widerrufsrecht bei vollständiger Vertragserfüllung erlischt (§ 356 Abs. 5 BGB). Diese Zustimmung wird dokumentiert.

12. Technische und organisatorische Maßnahmen

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um deine Daten zu schützen:

  • Verschlüsselung: Alle Datenübertragungen erfolgen über HTTPS/TLS.
  • Zugriffskontrolle: Supabase Row Level Security (RLS) stellt sicher, dass nur autorisierte Zugriffe möglich sind.
  • Passwortlose Authentifizierung: Anmeldung erfolgt über Magic Link oder Google OAuth – es werden keine Passwörter gespeichert.
  • Soft-Delete mit Reaktivierung: Bei der Account-Löschung wird der Account zunächst für 14 Tage deaktiviert, bevor er endgültig gelöscht wird.
  • Automatische Datenbereinigung: Veraltete Memory-Einträge und gelöschte Accounts werden automatisch durch geplante Datenbankjobs entfernt.
  • API-Schlüssel-Sicherheit: Alle Zugangsdaten werden als Umgebungsvariablen gespeichert und sind nicht im Quellcode enthalten.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen unseres Angebots oder der Rechtslage anzupassen. Die aktuelle Version ist stets unter app.clamax.de/datenschutz abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer über die App benachrichtigt.

© 2026 Clamax OS©

AGBImpressumWiderruf