Pflichtangaben
Datenschutzerklärung
Informationen nach Art. 13 DSGVO · gilt für die Pilot-Suite unter pilot.krynexlabs.de
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung in der Pilot-Suite im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Krynex Labs UG (haftungsbeschränkt)
Theodor-Gampe-Straße 48
09127 Chemnitz
Deutschland
E-Mail: datenschutz@krynexlabs.de
Hinweis: Die Pilot-Suite wird im Auftrag von Krynex-Kunden betrieben. Soweit Mitarbeiter-Daten oder Kundendaten unserer Auftraggeber verarbeitet werden, handelt es sich um Auftragsverarbeitung gemäß Art. 28 DSGVO. Verantwortlicher für diese Daten ist der jeweilige Auftraggeber; Krynex Labs UG ist Auftragsverarbeiter im Rahmen der mit dem Auftraggeber abgeschlossenen Auftragsverarbeitungsvereinbarung (AVV).
2. Zweck und Rechtsgrundlage der Verarbeitung
Wir verarbeiten personenbezogene Daten, soweit dies zur Bereitstellung der Pilot-Suite und der vom Auftraggeber gebuchten Module erforderlich ist:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der Pilot-Suite, Account-Verwaltung, Lieferung der gebuchten Module (Zeiterfassung, KI-Audit, CRM, Voice-AI etc.).
- Auftragsverarbeitung (Art. 28 DSGVO): Verarbeitung von Mitarbeiter-/Kundendaten unserer Auftraggeber zur Lieferung der gebuchten Module — Grundlage ist die jeweilige AVV.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Erfüllung gesetzlicher Aufbewahrungs- und Dokumentations-Pflichten — z. B. § 16 ArbZG (Arbeitszeit-Aufzeichnungen), § 257 HGB, § 147 AO (Buchungsunterlagen).
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): IT-Sicherheit, Missbrauchs-Erkennung, Server-Logs (max. 14 Tage zur Fehler-Diagnose).
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Wo erforderlich, z. B. bei Cloud-LLM-Modulen mit Drittland-Übermittlung.
3. Welche Daten wir verarbeiten
Welche Daten konkret verarbeitet werden, hängt von den vom Auftraggeber gebuchten Modulen ab. Die wichtigsten Kategorien:
Bei jedem Zugriff (Server-Logs)
IP-Adresse (gekürzt anonymisiert nach 7 Tagen), Zeitstempel, abgerufener Pfad, Browser-User-Agent, HTTP-Statuscode. Speicherdauer max. 14 Tage, Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (Server-Sicherheit).
Login & Session
E-Mail oder interne Benutzer-ID, Session-Token (verschlüsselt, HttpOnly-Cookie, 7 Tage TTL). Admin-Sessions: HMAC-SHA256-signiert, 7 Tage TTL.
Zeiterfassung (Modul „time")
Mitarbeiter-Stammdaten (Name, ID), Stempel-Zeitpunkte (Check-In/Out, Pausen), Pausen-Art (pflicht/privat), ArbZG-Verstoß-Protokolle, Korrektur-Anträge mit Begründung. Aufbewahrung: 3 Jahre nach Schicht-Ende (ArbZG-Mindestaufbewahrung 2J + 1J Puffer für BUrlG-Verjährung). Danach automatischer Hard-Delete.
KI-Readiness-Audit (Modul „audit")
Audit-Teilnehmer-Stammdaten, Antworten zu den 6 Audit-Dimensionen, Bewertungen, Use-Case-Beschreibungen, Roadmap-Items. Aufbewahrung: 5 Jahre nach Audit-Abschluss, danach Anonymisierung oder Löschung auf Wunsch des Auftraggebers.
Kundenverwaltung (Modul „crm")
Stammdaten der Endkunden des Auftraggebers — Firmenname, Ansprechpartner, Kontaktdaten, Notizen, Verlauf. Verarbeitung als Auftragsverarbeiter im Rahmen der AVV.
Voice-AI (Modul „voice", optional)
Anruf-Metadaten (Nummer, Dauer, Zeitpunkt, Outcome). Audio-Aufzeichnungen und Transkripte nur mit ausdrücklicher Einwilligung der Anrufer (§ 201 StGB). LLM-Verarbeitung erfolgt wahlweise EU-gehostet oder über DPF-zertifizierte US-Anbieter (siehe Sub-Auftragsverarbeiter).
4. Empfänger der Daten / Sub-Auftragsverarbeiter
Wir setzen sorgfältig ausgewählte Sub-Auftragsverarbeiter ein, die uns bei der Bereitstellung der Pilot-Suite unterstützen. Mit allen Sub-Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO:
- Hetzner Online GmbH (Gunzenhausen, Deutschland) — Server-Hosting. Verarbeitung in den Rechenzentren Falkenstein und Nürnberg. Keine Drittland-Übermittlung.
- IONOS SE (Montabaur, Deutschland) — SMTP-Versand (Magic-Links, Benachrichtigungen). Verarbeitung in Karlsruhe. Keine Drittland-Übermittlung.
- Let's Encrypt (ISRG, USA) — SSL/TLS-Zertifikate. Keine Übermittlung personenbezogener Daten (nur Domain-Verifizierung).
- Anthropic PBC (San Francisco, USA) — optional, nur bei Cloud-LLM-Modulen. Übermittlung auf Grundlage des EU-US Data Privacy Framework und Standardvertragsklauseln.
- OpenAI L.L.C. (San Francisco, USA) — optional, nur bei Cloud-LLM-Modulen mit Speech-to-Text. DPF + SCC.
Der jeweilige Auftraggeber kann auf EU-gehostete oder lokale (On-Prem) LLM-Varianten umstellen, um Drittland-Übermittlungen zu vermeiden. Hierfür gilt ein abweichender Leistungsumfang und ein abweichendes Preismodell gemäß Hauptvertrag.
5. Drittland-Übermittlung
Eine Übermittlung personenbezogener Daten in die USA findet ausschließlich statt, wenn der Auftraggeber Module mit Cloud-LLM-Anteil gebucht hat (insbesondere Voice-AI, Cloud-LLM, automatisierte Audit-Auswertung).
Die Übermittlung erfolgt auf Grundlage:
- des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023);
- ergänzender Standardvertragsklauseln (SCC, Modul 4) zwischen Krynex Labs UG und dem jeweiligen US-Anbieter.
6. Speicherdauer
Wir speichern personenbezogene Daten so lange wie für den jeweiligen Zweck erforderlich oder gesetzlich vorgeschrieben:
- Server-Logs: 14 Tage
- Session-Cookies: 7 Tage
- Zeiterfassungs-Daten: 3 Jahre nach Schicht-Ende (ArbZG + BUrlG-Puffer)
- Audit-Daten: 5 Jahre nach Audit-Abschluss
- Magic-Link-Tokens: bis Ablauf (typisch 14-30 Tage) + 90 Tage Nachhalte-Logs
- Rechnungs-/Vertragsdaten: 10 Jahre (§ 257 HGB, § 147 AO)
- Anruf-Metadaten: 6 Monate nach Anruf, danach Anonymisierung
Nach Ablauf der Aufbewahrungsfristen erfolgt automatische Löschung; bei Anonymisierung wird der Personenbezug unumkehrbar entfernt.
7. Ihre Rechte als betroffene Person
Sie haben gegenüber dem Verantwortlichen die folgenden Rechte:
- Auskunft über die Sie betreffenden Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO), soweit keine Aufbewahrungspflicht entgegensteht
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Anfragen richten Sie bitte an datenschutz@krynexlabs.de. Mitarbeiter unserer Auftraggeber können ihre Auskunfts-Rechte auch direkt in der Pilot-Suite wahrnehmen (Self-Service unter /zeiterfassung/auskunft).
8. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Für den Verantwortlichen zuständig ist:
9. Cookies und ähnliche Technologien
Die Pilot-Suite verwendet ausschließlich technisch notwendige Cookies (Art. 25 Abs. 2 TDDDG):
pilot_session— Session-Cookie für eingeloggte Benutzer (7 Tage)pilot_admin— HMAC-signierte Admin-Session (7 Tage), nur Auditorenpilot_audit_access_token,pilot_customer_access_token— Magic-Link-Tokens für Audit-Zugangpersona— nur in der öffentlichen Demo-Vorschau (Branchen-Persona-Switcher)
Keine Tracking-, Marketing- oder Analyse-Cookies. Keine Einbettung Dritter ohne explizite Einwilligung.
10. Datenschutzbeauftragter
Krynex Labs UG hat aktuell keinen Datenschutzbeauftragten bestellt, da die Voraussetzungen nach Art. 37 DSGVO bzw. § 38 BDSG derzeit nicht erfüllt sind (weniger als 20 Personen mit regelmäßiger automatisierter Verarbeitung). Sobald die Voraussetzungen vorliegen, werden wir einen Datenschutzbeauftragten benennen und an dieser Stelle informieren.
Datenschutz-Anfragen sind direkt an datenschutz@krynexlabs.de zu richten.
11. Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig. Durch die Weiterentwicklung der Pilot-Suite oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Wesentliche Änderungen werden Auftraggebern und Endkunden vorab mitgeteilt.
Stand: 28. Mai 2026