Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
Florian Daiß, Ehrenbergstr. 6, 10245 Berlin
E-Mail: florian.daiss@gmail.com

2. Welche Daten wir verarbeiten

Accountdaten: E-Mail-Adresse und verschlüsseltes Passwort, die du bei der Registrierung angibst. Diese werden bei Supabase (EU-Region) gespeichert. Bei Registrierung oder Anmeldung über Google OAuth erhält Candor von Google ausschließlich E-Mail-Adresse, Anzeigename und Profilbild — kein Passwort.

Sitzungs-Cookies: Für die Authentifizierung setzt Candor technisch notwendige Cookies (Session-Token via Supabase Auth). Diese Cookies enthalten keine personenbezogenen Inhalte und sind für den Betrieb des Logins erforderlich. Eine Einwilligung nach TTDSG ist für technisch notwendige Cookies nicht erforderlich.

Analysedaten: Wenn du einen Text analysierst, wird der Text an die Anthropic API (Claude) übermittelt und dort verarbeitet. Wir speichern deinen Text nicht. In deiner Analyse-History speichern wir ausschließlich: Datum, Analyse-Modus, die ersten 80 Zeichen als Vorschau (nur zur Wiedererkennung) sowie die Analyse-Ergebnisse (Scores, Muster, Vorschläge).

Zahlungsdaten: Zahlungen werden über Stripe abgewickelt. Wir sehen keine Kreditkartendaten — Stripe ist eigenverantwortlicher Verarbeiter.

Transaktions-E-Mails: Für Benachrichtigungen (z.B. Trial-Ende) nutzen wir Resend. Dabei wird deine E-Mail-Adresse an Resend übermittelt.

3. Dritte-Personendaten & Anonymisierung

Wenn du den Konversations-Modus nutzt und E-Mail-Verläufe einfügst, können diese personenbezogene Daten Dritter (z.B. Kollegen) enthalten. Du bist als Nutzer selbst verantwortlich dafür, dass du zur Analyse dieser Daten berechtigt bist (z.B. durch entsprechende Unternehmensrichtlinien oder Einwilligung der Betroffenen).

Wir empfehlen, Namen und eindeutige Bezeichnungen vor der Analyse durch Platzhalter zu ersetzen. Das integrierte Anonymisierungs-Tool hilft dir dabei direkt in der App: Die Ersetzungen erfolgen ausschließlich in deinem Browser — die Originaldaten verlassen dein Gerät zu keinem Zeitpunkt. An die Anthropic API wird ausschließlich der bereits anonymisierte Text übertragen.

Für Unternehmen, die Candor im Rahmen der Mitarbeiterkommunikation einsetzen, stellen wir auf Anfrage einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zur Verfügung. Kontakt: florian.daiss@gmail.com

4. Rechtsgrundlagen

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für Accountdaten und Analyse-Ergebnisse. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) bei Anmeldung über Google OAuth. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für technisch notwendige Cookies und anonymisierte Nutzungsstatistiken.

5. Deine Rechte

Du hast das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21 DSGVO). Anfragen richte an: florian.daiss@gmail.com

Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für Berlin ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin (datenschutz-berlin.de).

6. Datenübertragung in Drittländer

Anthropic (USA): Analyse-Texte werden für den API-Aufruf übertragen und nicht dauerhaft gespeichert. Grundlage: Standardvertragsklauseln (SCC) der EU-Kommission.

Netlify (USA): Hosting und CDN; verarbeitet Server-Logs inkl. IP-Adressen. Grundlage: SCCs.

Resend (USA): Versand von Transaktions-E-Mails. Grundlage: SCCs.

Google (USA): Bei Nutzung des Google-Logins findet eine Datenübertragung zu Google LLC (USA) statt. Grundlage: SCCs sowie das EU-U.S. Data Privacy Framework.

7. Speicherdauer

Account- und Analysedaten werden gespeichert, solange dein Account aktiv ist. Nach Kontolöschung werden alle Daten innerhalb von 30 Tagen gelöscht.

8. Drittanbieter im Überblick

  • Netlify (USA, SCCs) — Hosting und CDN
  • Supabase (EU-Region) — Auth und Datenbank
  • Anthropic (USA, SCCs) — KI-Analyse, kein dauerhaftes Speichern
  • Stripe (EU-Infrastruktur) — Zahlungsabwicklung
  • Resend (USA, SCCs) — Transaktions-E-Mails
  • Google OAuth (USA, SCCs + DPF) — optionale Anmeldung über Google-Konto