← Zurück

Pflichtangaben

Datenschutzerklärung

Informationen nach Art. 13 DSGVO · gilt für die Pilot-Suite unter pilot.krynexlabs.de

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung in der Pilot-Suite im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Krynex Labs UG (haftungsbeschränkt)

Theodor-Gampe-Straße 48

09127 Chemnitz

Deutschland

E-Mail: datenschutz@krynexlabs.de

Hinweis: Die Pilot-Suite wird im Auftrag von Krynex-Kunden betrieben. Soweit Mitarbeiter-Daten oder Kundendaten unserer Auftraggeber verarbeitet werden, handelt es sich um Auftragsverarbeitung gemäß Art. 28 DSGVO. Verantwortlicher für diese Daten ist der jeweilige Auftraggeber; Krynex Labs UG ist Auftragsverarbeiter im Rahmen der mit dem Auftraggeber abgeschlossenen Auftragsverarbeitungsvereinbarung (AVV).

2. Zweck und Rechtsgrundlage der Verarbeitung

Wir verarbeiten personenbezogene Daten, soweit dies zur Bereitstellung der Pilot-Suite und der vom Auftraggeber gebuchten Module erforderlich ist:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der Pilot-Suite, Account-Verwaltung, Lieferung der gebuchten Module (Zeiterfassung, KI-Audit, CRM, Voice-AI etc.).
  • Auftragsverarbeitung (Art. 28 DSGVO): Verarbeitung von Mitarbeiter-/Kundendaten unserer Auftraggeber zur Lieferung der gebuchten Module — Grundlage ist die jeweilige AVV.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Erfüllung gesetzlicher Aufbewahrungs- und Dokumentations-Pflichten — z. B. § 16 ArbZG (Arbeitszeit-Aufzeichnungen), § 257 HGB, § 147 AO (Buchungsunterlagen).
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): IT-Sicherheit, Missbrauchs-Erkennung, Server-Logs (max. 14 Tage zur Fehler-Diagnose).
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Wo erforderlich, z. B. bei Cloud-LLM-Modulen mit Drittland-Übermittlung.

3. Welche Daten wir verarbeiten

Welche Daten konkret verarbeitet werden, hängt von den vom Auftraggeber gebuchten Modulen ab. Die wichtigsten Kategorien:

Bei jedem Zugriff (Server-Logs)

IP-Adresse (gekürzt anonymisiert nach 7 Tagen), Zeitstempel, abgerufener Pfad, Browser-User-Agent, HTTP-Statuscode. Speicherdauer max. 14 Tage, Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (Server-Sicherheit).

Login & Session

E-Mail oder interne Benutzer-ID, Session-Token (verschlüsselt, HttpOnly-Cookie, 7 Tage TTL). Admin-Sessions: HMAC-SHA256-signiert, 7 Tage TTL.

Zeiterfassung (Modul „time")

Mitarbeiter-Stammdaten (Name, ID), Stempel-Zeitpunkte (Check-In/Out, Pausen), Pausen-Art (pflicht/privat), ArbZG-Verstoß-Protokolle, Korrektur-Anträge mit Begründung. Aufbewahrung: 3 Jahre nach Schicht-Ende (ArbZG-Mindestaufbewahrung 2J + 1J Puffer für BUrlG-Verjährung). Danach automatischer Hard-Delete.

KI-Readiness-Audit (Modul „audit")

Audit-Teilnehmer-Stammdaten, Antworten zu den 6 Audit-Dimensionen, Bewertungen, Use-Case-Beschreibungen, Roadmap-Items. Aufbewahrung: 5 Jahre nach Audit-Abschluss, danach Anonymisierung oder Löschung auf Wunsch des Auftraggebers.

Kundenverwaltung (Modul „crm")

Stammdaten der Endkunden des Auftraggebers — Firmenname, Ansprechpartner, Kontaktdaten, Notizen, Verlauf. Verarbeitung als Auftragsverarbeiter im Rahmen der AVV.

Voice-AI (Modul „voice", optional)

Anruf-Metadaten (Nummer, Dauer, Zeitpunkt, Outcome). Audio-Aufzeichnungen und Transkripte nur mit ausdrücklicher Einwilligung der Anrufer (§ 201 StGB). LLM-Verarbeitung erfolgt wahlweise EU-gehostet oder über DPF-zertifizierte US-Anbieter (siehe Sub-Auftragsverarbeiter).

4. Empfänger der Daten / Sub-Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Sub-Auftragsverarbeiter ein, die uns bei der Bereitstellung der Pilot-Suite unterstützen. Mit allen Sub-Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO:

  • Hetzner Online GmbH (Gunzenhausen, Deutschland) — Server-Hosting. Verarbeitung in den Rechenzentren Falkenstein und Nürnberg. Keine Drittland-Übermittlung.
  • IONOS SE (Montabaur, Deutschland) — SMTP-Versand (Magic-Links, Benachrichtigungen). Verarbeitung in Karlsruhe. Keine Drittland-Übermittlung.
  • Let's Encrypt (ISRG, USA) — SSL/TLS-Zertifikate. Keine Übermittlung personenbezogener Daten (nur Domain-Verifizierung).
  • Anthropic PBC (San Francisco, USA) — optional, nur bei Cloud-LLM-Modulen. Übermittlung auf Grundlage des EU-US Data Privacy Framework und Standardvertragsklauseln.
  • OpenAI L.L.C. (San Francisco, USA) — optional, nur bei Cloud-LLM-Modulen mit Speech-to-Text. DPF + SCC.

Der jeweilige Auftraggeber kann auf EU-gehostete oder lokale (On-Prem) LLM-Varianten umstellen, um Drittland-Übermittlungen zu vermeiden. Hierfür gilt ein abweichender Leistungsumfang und ein abweichendes Preismodell gemäß Hauptvertrag.

5. Drittland-Übermittlung

Eine Übermittlung personenbezogener Daten in die USA findet ausschließlich statt, wenn der Auftraggeber Module mit Cloud-LLM-Anteil gebucht hat (insbesondere Voice-AI, Cloud-LLM, automatisierte Audit-Auswertung).

Die Übermittlung erfolgt auf Grundlage:

  • des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023);
  • ergänzender Standardvertragsklauseln (SCC, Modul 4) zwischen Krynex Labs UG und dem jeweiligen US-Anbieter.

6. Speicherdauer

Wir speichern personenbezogene Daten so lange wie für den jeweiligen Zweck erforderlich oder gesetzlich vorgeschrieben:

  • Server-Logs: 14 Tage
  • Session-Cookies: 7 Tage
  • Zeiterfassungs-Daten: 3 Jahre nach Schicht-Ende (ArbZG + BUrlG-Puffer)
  • Audit-Daten: 5 Jahre nach Audit-Abschluss
  • Magic-Link-Tokens: bis Ablauf (typisch 14-30 Tage) + 90 Tage Nachhalte-Logs
  • Rechnungs-/Vertragsdaten: 10 Jahre (§ 257 HGB, § 147 AO)
  • Anruf-Metadaten: 6 Monate nach Anruf, danach Anonymisierung

Nach Ablauf der Aufbewahrungsfristen erfolgt automatische Löschung; bei Anonymisierung wird der Personenbezug unumkehrbar entfernt.

7. Ihre Rechte als betroffene Person

Sie haben gegenüber dem Verantwortlichen die folgenden Rechte:

  • Auskunft über die Sie betreffenden Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO), soweit keine Aufbewahrungspflicht entgegensteht
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Anfragen richten Sie bitte an datenschutz@krynexlabs.de. Mitarbeiter unserer Auftraggeber können ihre Auskunfts-Rechte auch direkt in der Pilot-Suite wahrnehmen (Self-Service unter /zeiterfassung/auskunft).

8. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Für den Verantwortlichen zuständig ist:

Der Sächsische Datenschutzbeauftragte

Bernhard-von-Lindenau-Platz 1

01067 Dresden

www.saechsdsb.de

9. Cookies und ähnliche Technologien

Die Pilot-Suite verwendet ausschließlich technisch notwendige Cookies (Art. 25 Abs. 2 TDDDG):

  • pilot_session — Session-Cookie für eingeloggte Benutzer (7 Tage)
  • pilot_admin — HMAC-signierte Admin-Session (7 Tage), nur Auditoren
  • pilot_audit_access_token, pilot_customer_access_token — Magic-Link-Tokens für Audit-Zugang
  • persona — nur in der öffentlichen Demo-Vorschau (Branchen-Persona-Switcher)

Keine Tracking-, Marketing- oder Analyse-Cookies. Keine Einbettung Dritter ohne explizite Einwilligung.

10. Datenschutzbeauftragter

Krynex Labs UG hat aktuell keinen Datenschutzbeauftragten bestellt, da die Voraussetzungen nach Art. 37 DSGVO bzw. § 38 BDSG derzeit nicht erfüllt sind (weniger als 20 Personen mit regelmäßiger automatisierter Verarbeitung). Sobald die Voraussetzungen vorliegen, werden wir einen Datenschutzbeauftragten benennen und an dieser Stelle informieren.

Datenschutz-Anfragen sind direkt an datenschutz@krynexlabs.de zu richten.

11. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig. Durch die Weiterentwicklung der Pilot-Suite oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Wesentliche Änderungen werden Auftraggebern und Endkunden vorab mitgeteilt.

Stand: 28. Mai 2026