Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Sandro Ieva
Arnimstrasse 13
23566 Lübeck
Deutschland
E-Mail: support@i7os.com
2. Anwendungsbereich
Diese Datenschutzerklärung gilt für die Web-Anwendung „i7 OS" (im Folgenden „Anwendung" oder „Dienst"), erreichbar unter alpha.i7os.com sowie deren Subdomains. Sie informiert dich darüber, welche personenbezogenen Daten wir verarbeiten, zu welchem Zweck wir das tun und welche Rechte dir zustehen.
3. Begriffsdefinitionen
Wir verwenden die Begriffe entsprechend Art. 4 DSGVO. „Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
4. Welche Daten verarbeiten wir?
4.1 Account-Daten
Wenn du dich registrierst (über Google OAuth), verarbeiten wir:
- Vor- und Nachname
- E-Mail-Adresse
- Profilbild (sofern bei Google hinterlegt)
- Eindeutige User-ID
4.2 Inhalte, die du in der Anwendung erstellst
Wir speichern Inhalte, die du selbst in der Anwendung anlegst: Workspace- und Projekt-Informationen, Chat-Nachrichten, Aufgaben, Notizen, Brand-Profile (Name, Logos, Farben, Beschreibungen), Datei-Uploads, Personas, Strategie-Notizen, Channel-Verknüpfungen.
4.3 Google-Integrations-Daten
Wenn du der Anwendung Zugriff auf dein Google-Konto gewährst, verarbeiten wir folgende Daten aus den von uns angeforderten Scopes:
auth/calendar.events: Lesen, Erstellen, Ändern und Löschen von Terminen in deinem primären Google-Kalender — ausschließlich auf deine aktive Aktion hinauth/drive.file: Zugriff auf Dateien, die von dieser Anwendung erstellt oder explizit von dir freigegeben wurden — die Anwendung sieht keine anderen Dateien in deinem Drive
Wir speichern dauerhaft nur Referenzen (Datei-IDs, Termin-IDs) zu Inhalten, mit denen du in der Anwendung arbeitest, nicht die vollständigen Daten.
4.4 Technische Daten
IP-Adresse (während der Sitzung, nicht dauerhaft gespeichert), Zugriffszeitpunkte, Browser- und Geräteinformationen, Authentifizierungs-Tokens (verschlüsselt gespeichert), Push-Notification-Endpoints (falls aktiviert).
4.5 Cookies und LocalStorage
Wir verwenden technisch notwendige Cookies und Browser-LocalStorage für: Authentifizierung (Session-Tokens), Sprach- und Theme-Präferenzen, App-State. Wir setzen keine Tracking-, Analyse- oder Werbe-Cookies.
5. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung des Dienstes | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
| Google-Integrationen (Kalender, Drive) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung – OAuth) |
| Transaktionale E-Mails (Einladungen) | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
| Push-Benachrichtigungen | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Sicherheit, Missbrauchsvermeidung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Auftragsverarbeitung | Art. 28 DSGVO |
6. Empfänger und Auftragsverarbeiter
6.1 Supabase (Datenbank- und Storage-Hosting)
Anbieter: Supabase, Inc., 970 Toa Payoh North #07-04 Singapore 318992. Region: EU (Frankfurt, Deutschland). Auftragsverarbeitungsvertrag geschlossen. supabase.com/privacy
6.2 Vercel (Hosting)
Anbieter: Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA. Rechtsgrundlage für Drittlandtransfer: EU-Standardvertragsklauseln, EU-US Data Privacy Framework. vercel.com/legal/privacy-policy
6.3 Resend (Transaktionale E-Mails)
Anbieter: Resend, Inc., 2261 Market Street #4391, San Francisco, CA 94114, USA. Rechtsgrundlage: EU-Standardvertragsklauseln. resend.com/legal/privacy-policy
6.4 Google (OAuth & APIs)
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (für Nutzer im EWR). Verarbeitete Daten: Login, Kalender-Events, Drive-Datei-Metadaten — nur auf deine Aktion hin. policies.google.com/privacy
Die Anwendung hält sich an die Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen.
6.5 KI-Anbieter
Wenn du KI-Features nutzt, werden Anfragen an folgende Anbieter übermittelt:
- Anthropic (Claude): Anthropic PBC, 548 Market St, PMB 90375, San Francisco, CA 94104, USA
- OpenAI (GPT): OpenAI Ireland Limited, 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, Irland
- Google (Gemini): siehe 6.4
Die KI-Anbieter verarbeiten Anfragen ausschließlich zur Bereitstellung der Antwort und (gemäß ihren API-Bedingungen) nicht zum Modell-Training.
7. Datenübermittlung in Drittländer
Einzelne Auftragsverarbeiter (Vercel, Resend, Anthropic, OpenAI) sind in den USA ansässig. Wir stützen diese Übermittlungen auf EU-Standardvertragsklauseln, das EU-US Data Privacy Framework (sofern zertifiziert) und zusätzliche technische Schutzmaßnahmen (Verschlüsselung in Transit und at Rest).
8. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Account-Daten | Solange dein Konto aktiv ist |
| Inhalts-Daten | Solange dein Konto aktiv ist |
| Auth-Tokens | Max. 7 Tage; werden bei Logout gelöscht |
| Logs (technisch) | 30 Tage |
| Daten nach Konto-Löschung | Soft-Delete: 30-Tage-Wiederherstellung, danach automatische harte Löschung |
Auf ausdrückliche Anfrage an support@i7os.com löschen wir deine Daten sofort und unwiderruflich (Art. 17 DSGVO).
9. Push-Benachrichtigungen
Wenn du Push-Benachrichtigungen aktivierst, speichern wir den Push-Endpoint deines Browsers/Geräts, um dir transaktionale Nachrichten zukommen zu lassen (z. B. Erwähnungen, Reminder, Projekt-Einladungen). Wir senden keine Marketing-Push-Benachrichtigungen. Du kannst Push jederzeit in deinem Browser oder in den Einstellungen widerrufen.
10. Sicherheit
Wir treffen technische und organisatorische Maßnahmen entsprechend Art. 32 DSGVO:
- TLS/HTTPS-Verschlüsselung der gesamten Kommunikation
- Datenbank-Verschlüsselung at Rest (AES-256)
- Row-Level Security — jeder Nutzer sieht nur eigene oder geteilte Daten
- Zugangskontrollen über etablierte OAuth-Provider
- Minimale Berechtigungs-Scopes (
drive.file,calendar.events) - Regelmäßige Backups
11. Deine Rechte
Du hast jederzeit das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Widerruf einer Einwilligung (Art. 7 Abs. 3) sowie auf Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO). Für uns zuständig ist das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.
Anfragen richte an support@i7os.com. Wir antworten innerhalb von 30 Tagen.
12. Änderungen dieser Datenschutzerklärung
Wir können diese Erklärung anpassen, wenn sich Funktionen oder Rechtslage ändern. Wesentliche Änderungen kommunizieren wir rechtzeitig per E-Mail oder in der Anwendung.
Privacy Policy
1. Controller
The controller under the EU General Data Protection Regulation (GDPR) is:
Sandro Ieva
Arnimstrasse 13
23566 Lübeck
Germany
Email: support@i7os.com
2. Scope
This policy applies to the web application "i7 OS" (the "Service") at alpha.i7os.com and its subdomains.
3. What data do we process?
3.1 Account data
Name, email, profile picture (if set on Google), unique user ID.
3.2 Content you create
Workspace/project info, chat messages, tasks, notes, brand profiles, file uploads, personas, strategy notes, channel links.
3.3 Google integration data
auth/calendar.events: read, create, modify and delete events in your primary calendar — only on your active requestauth/drive.file: access to files created by this Service or explicitly granted by you — the Service does not see any other files
3.4 Technical data
IP (session-only, not persisted), timestamps, browser/device info, auth tokens (encrypted), push endpoints if enabled.
3.5 Cookies / LocalStorage
Only technically necessary cookies and LocalStorage (auth, language, theme, app state). No tracking, analytics or advertising cookies.
4. Purposes and legal bases
| Purpose | Legal basis |
|---|---|
| Providing the Service | Art. 6(1)(b) GDPR (contract) |
| Google integrations | Art. 6(1)(a) GDPR (consent — OAuth) |
| Transactional emails | Art. 6(1)(b) GDPR (contract) |
| Push notifications | Art. 6(1)(a) GDPR (consent) |
| Security / abuse prevention | Art. 6(1)(f) GDPR (legitimate interest) |
| Processors | Art. 28 GDPR |
5. Processors
Supabase (database & storage, EU region — Frankfurt); Vercel (hosting, USA, SCC + EU-US DPF); Resend (transactional email, USA, SCC); Google (OAuth, Calendar, Drive — Google Ireland for EEA users); AI providers: Anthropic (Claude, USA), OpenAI (Ireland), Google (Gemini). Requests to AI providers are used only to provide responses and (per API terms) not for model training.
The Service complies with the Google API Services User Data Policy, including the Limited Use requirements.
6. International transfers
Transfers to the USA rely on EU Standard Contractual Clauses, EU-US Data Privacy Framework (where the processor is certified) and additional technical safeguards (TLS, encryption at rest).
7. Retention
Account & content data: while your account is active. Auth tokens: max 7 days. Technical logs: 30 days. After deletion: 30-day soft-delete recovery window, then permanent automatic deletion.
On explicit request to support@i7os.com we delete your data immediately and irrevocably (GDPR Art. 17).
8. Push notifications
Stored push endpoint is used only for transactional messages (mentions, reminders, project invites). No marketing pushes. Revoke any time in browser or app settings.
9. Security
TLS/HTTPS, AES-256 at rest, Row-Level Security, minimal OAuth scopes, regular backups — per Art. 32 GDPR.
10. Your rights
Access (Art. 15), rectification (Art. 16), erasure (Art. 17), restriction (Art. 18), portability (Art. 20), objection (Art. 21), withdrawal of consent (Art. 7(3)), complaint to a supervisory authority (Art. 77 — for us: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Germany). Send requests to support@i7os.com; we respond within 30 days.
11. Changes
We may update this policy when features or legal requirements change. Material changes will be communicated with reasonable notice.