Datenschutzerklärung

Stand: März 2026 · Letzte Änderung: 2026-03-26

Kurzfassung: Ihre Daten werden ausschließlich auf EU-Servern verarbeitet (Hetzner, Nürnberg). Die KI-Verarbeitung erfolgt über AWS Bedrock (Frankfurt, EU) mit Claude als primärem Modell. Mistral AI (Frankreich) steht als Fallback bereit — kein Drittlandtransfer, kein CLOUD Act. Keine Cookies außer technisch notwendigen.

1. Verantwortlicher

Catalina Rojas Ugarte, handelnd als ClapNClaw
Gneisenaustrasse 51, Wohnung 9, 10961 Berlin
E-Mail: [email protected]
Website: https://clapnclaw.io

Bei Datenschutzfragen wenden Sie sich bitte an: [email protected]
(Ein gesetzlich vorgeschriebener Datenschutzbeauftragter ist nicht erforderlich, da weniger als 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.)

2. Erhobene Daten, Zwecke und Rechtsgrundlagen

2.1 Registrierung und Vertragsabschluss

Daten: Name, E-Mail-Adresse, Unternehmensname, Passwort (gehasht).
Zweck: Erstellung und Verwaltung Ihres Benutzerkontos, Erfüllung des Nutzungsvertrags.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Vertragsdauer + 3 Jahre

2.2 Nutzung der KI-Plattform

Daten: Prompts und Dokumente, die Sie zur Verarbeitung einreichen; Kommunikationsdaten aus verbundenen Integrationen (Gmail, Slack, etc.) nur nach expliziter Freigabe durch Sie.
Zweck: Erbringung der KI-Agenten-Dienste gemäß Ihren Weisungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Verarbeitungsinhalt: 0 Tage bei AWS Bedrock / Mistral AI (kein Drittlandtransfer, EU); auf unserem Server: Vertragsdauer + 3 Jahre

2.3 Technische Protokolldaten

Daten: IP-Adresse (anonymisiert nach 24 Stunden), Zeitstempel, Fehlermeldungen, Token-Nutzung.
Zweck: Betrieb, Sicherheit und Debugging der Plattform.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit)
Speicherdauer: 7 Tage

2.4 Zahlungs- und Rechnungsdaten

Daten: Rechnungsadresse, Zahlungsart, Transaktionskennungen. Kreditkartendaten werden ausschließlich durch Stripe verarbeitet — wir speichern keine Kreditkartennummern.
Zweck: Abwicklung von Zahlungen, Ausstellung von Rechnungen, steuerliche Dokumentation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); § 147 AO (gesetzliche Aufbewahrungspflicht)
Speicherdauer: 10 Jahre (steuerrechtliche Aufbewahrungspflicht gemäß § 147 AO)

2.5 Transaktionale E-Mails (Onboarding, Benachrichtigungen)

Daten: E-Mail-Adresse, Name.
Zweck: Versand von Willkommens-E-Mails, Systembenachrichtigungen, Rechnungen, Sicherheitswarnungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: E-Mail-Protokolle bei Resend: 30 Tage

2.6 Marketing-E-Mails

Daten: E-Mail-Adresse, Name.
Zweck: Zusendung von Produktneuigkeiten und Angeboten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung nach Double-Opt-In, § 7 UWG)
Speicherdauer: Bis Widerruf

3. Auftragsverarbeiter

Wir haben mit folgenden Auftragsverarbeitern Verträge gemäß Art. 28 DSGVO geschlossen:

Anbieter	Sitz	Zweck	Datentransfer & Safeguards
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen	🇩🇪 Deutschland	Hosting, Server, Datenspeicherung, selbstgehosteter E-Mail-Server (Postal)	Kein Drittlandtransfer (EU/EWR) ISO 27001:2022, BSI C5 Type 2 AVV abgeschlossen am 2026-03-24
Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy, L-1855 Luxemburg	🇱🇺 Luxemburg (EU)	KI-Inferenz via AWS Bedrock (Region eu-central-1, Frankfurt)	Kein Drittlandtransfer (EU/EWR) Anthropic hat keinen Zugriff auf Daten via Bedrock ISO 27001, SOC 2, BSI C5 AVV (AWS GDPR DPA) inkorporiert
Mistral AI SAS 15 rue des Halles, 75001 Paris	🇫🇷 Frankreich (EU)	KI-Sprachverarbeitung (Fallback-Inferenz)	Kein Drittlandtransfer (EU/EWR) DPA gemäß Art. 28 DSGVO verfügbar über La Plateforme
Stripe Payments Europe, Limited 1 Grand Canal Street Lower, Dublin 2, Irland	🇮🇪 Irland (EU)	Zahlungsabwicklung, Abonnementverwaltung	EU-Niederlassung, kein Drittlandtransfer für EU-Daten PCI DSS Level 1 DPA inkorporiert in Stripe Services Agreement
Resend, Inc. via Funktional Inc., 2261 Market Street #5039, San Francisco, CA	🇺🇸 USA	Versand transaktionaler E-Mails (Onboarding, Systembenachrichtigungen)	EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO SOC 2 Type II DPA inkorporiert in Resend Terms of Service

Hinweis zu Geschäfts-E-Mails: E-Mails an [email protected] und [email protected] werden über Postal verarbeitet — eine selbstgehostete E-Mail-Software, die auf unserem eigenen Hetzner-Server in Nürnberg betrieben wird. Diese Daten verlassen Deutschland nicht.

Hinweis zur KI-Verarbeitung: Alle KI-Anfragen werden primär über AWS Bedrock (Frankfurt, EU) mit Claude verarbeitet. Mistral AI (Frankreich, EU) dient als Fallback. Es findet kein Datentransfer in Drittländer statt. Kein US CLOUD Act anwendbar.

Hinweis zu Berufsgeheimnisträgern: Rechtsanwälten, Ärzten und Steuerberatern wird empfohlen, den gesonderten Auftragsverarbeitungsvertrag (AVV) und die Verschwiegenheitsverpflichtung gemäß § 203 StGB abzuschließen. Bitte kontaktieren Sie uns unter [email protected].

4. Speicherdauer — Übersicht

Datenart	Speicherdauer	Grund
Kontodaten	Vertragsdauer + 3 Jahre	Verjährungsfristen BGB
KI-Prompts (AWS Bedrock / Mistral AI)	0 Tage	EU-Verarbeitung, keine Speicherung
Konversationsverlauf (eigener Server)	90 Tage	Nutzungsvertrag / Art. 5 Abs. 1 lit. e DSGVO
Technische Logs	7 Tage	Sicherheit, Debugging
Rechnungsdaten	10 Jahre	§ 147 AO (steuerrechtlich)
Transaktionale E-Mails (Resend)	30 Tage	Zustellnachweis
Marketing-Einwilligung	Bis Widerruf	Art. 6 Abs. 1 lit. a DSGVO

5. Ihre Rechte als betroffene Person (Art. 15–22 DSGVO)

Sie haben das Recht auf:

Auskunft (Art. 15): Welche Daten wir über Sie gespeichert haben
Berichtigung (Art. 16): Korrektur unrichtiger Daten
Löschung (Art. 17): „Recht auf Vergessenwerden“
Einschränkung (Art. 18): Begrenzung der Verarbeitung
Datenübertragbarkeit (Art. 20): Export Ihrer Daten auf Anfrage unter [email protected]
Widerspruch (Art. 21): Gegen auf berechtigtem Interesse gestützte Verarbeitung
Widerruf: Jederzeit für erteilte Einwilligungen

Kontakt für alle Anfragen: [email protected]
Wir antworten innerhalb von 30 Tagen, in komplexen Fällen innerhalb von 90 Tagen (Art. 12 Abs. 3 DSGVO).

Sie können Ihre Daten auf Anfrage unter [email protected] anfordern oder löschen lassen (binnen 30 Tagen gemäß Art. 12 DSGVO).

6. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe steht Ihnen das Recht zu, Beschwerde einzulegen bei:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59–61 · 10555 Berlin
Telefon: +49 30 13889-0
[email protected] · www.datenschutz-berlin.de

7. Soziale Medien und externe Kanäle

Wir betreiben folgende externe Kanäle für Marketing und öffentliche Kommunikation:

Instagram: Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland. Bei Interaktion mit unserer Seite verarbeitet Meta Daten gemäß ihrer Datenschutzrichtlinie. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Telegram: Öffentlicher Kanal. Nachrichten sind öffentlich. Keine Kundendaten werden über Telegram verarbeitet. Direkte Anfragen werden an [email protected] weitergeleitet.

Wichtig: Über diese Kanäle werden keine Kundendaten verarbeitet. Für Supportanfragen nutzen Sie ausschließlich [email protected].

8. Cookies und Tracking

Wir verwenden ausschließlich technisch notwendige Cookies:

Cookie	Zweck	Laufzeit
session_id	Verwaltung der Anmeldesitzung	Sitzungsende
csrf_token	Schutz vor Cross-Site-Request-Forgery	24 Stunden
theme	Speicherung der gewählten Darstellung (Dark/Light/Cream)	1 Jahr

Kein Tracking, kein Analytics, keine Werbecookies. Ein Cookie-Banner ist für ausschließlich technisch notwendige Cookies nicht erforderlich (vgl. § 25 Abs. 2 TDDDG).

Privacy Policy

As of: March 2026 · Last updated: 2026-03-26

Summary: Your data is processed exclusively on EU servers (Hetzner, Nuremberg, Germany). AI processing uses AWS Bedrock (Frankfurt, EU) with Claude as the primary model. Mistral AI (France) serves as fallback — no third-country transfer, no US CLOUD Act. No cookies except technically necessary ones.

1. Data Controller

Catalina Rojas Ugarte, operating as ClapNClaw
Gneisenaustrasse 51, Apt. 9, 10961 Berlin
Email: [email protected]
Website: https://clapnclaw.io

For privacy inquiries, please contact: [email protected]
(A statutory Data Protection Officer is not required, as fewer than 20 persons are involved in automated processing of personal data.)

2. Data Collected, Purposes, and Legal Basis

2.1 Registration and Contract

Data: Name, email address, company name, password (hashed).
Purpose: Creation and management of your user account, fulfillment of the service agreement.
Legal basis: Art. 6(1)(b) GDPR (contract performance)
Retention: Contract duration + 3 years

2.2 Use of the AI Platform

Data: Prompts and documents you submit for processing; communication data from connected integrations (Gmail, Slack, etc.) only after your explicit authorization.
Purpose: Providing AI agent services according to your instructions.
Legal basis: Art. 6(1)(b) GDPR (contract performance)
Retention: Processing content: 0 days at AWS Bedrock / Mistral AI (no third-country transfer, EU); on our server: Contract duration + 3 years

2.3 Technical Log Data

Data: IP address (anonymized after 24 hours), timestamps, error messages, token usage.
Purpose: Operation, security, and debugging of the platform.
Legal basis: Art. 6(1)(f) GDPR (legitimate interest in system security)
Retention: 7 days

2.4 Payment and Billing Data

Data: Billing address, payment method, transaction IDs. Credit card data is processed exclusively by Stripe — we do not store credit card numbers.
Purpose: Payment processing, invoicing, tax documentation.
Legal basis: Art. 6(1)(b) GDPR (contract performance); § 147 AO (statutory retention obligation)
Retention: 10 years (tax retention obligation under § 147 AO)

2.5 Transactional Emails (Onboarding, Notifications)

Data: Email address, name.
Purpose: Sending welcome emails, system notifications, invoices, security alerts.
Legal basis: Art. 6(1)(b) GDPR (contract performance)
Retention: Email logs at Resend: 30 days

2.6 Marketing Emails

Data: Email address, name.
Purpose: Sending product news and offers.
Legal basis: Art. 6(1)(a) GDPR (explicit consent via double opt-in, § 7 UWG)
Retention: Until withdrawal

3. Data Processors

We have concluded data processing agreements (DPAs) pursuant to Art. 28 GDPR with the following processors:

Provider	Location	Purpose	Data Transfer & Safeguards
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen	🇩🇪 Germany	Hosting, servers, data storage, self-hosted email server (Postal)	No third-country transfer (EU/EEA) ISO 27001:2022, BSI C5 Type 2 DPA signed on 2026-03-24
Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy, L-1855 Luxembourg	🇱🇺 Luxembourg (EU)	AI inference via AWS Bedrock (Region eu-central-1, Frankfurt)	No third-country transfer (EU/EEA) Anthropic has no access to data via Bedrock ISO 27001, SOC 2, BSI C5 DPA (AWS GDPR DPA) incorporated
Mistral AI SAS 15 rue des Halles, 75001 Paris	🇫🇷 France (EU)	AI language processing (fallback inference)	No third-country transfer (EU/EEA) DPA per Art. 28 GDPR available via La Plateforme
Stripe Payments Europe, Limited 1 Grand Canal Street Lower, Dublin 2, Ireland	🇮🇪 Ireland (EU)	Payment processing, subscription management	EU entity, no third-country transfer for EU data PCI DSS Level 1 DPA incorporated in Stripe Services Agreement
Resend, Inc. via Funktional Inc., 2261 Market Street #5039, San Francisco, CA	🇺🇸 USA	Transactional email delivery (onboarding, system notifications)	EU Standard Contractual Clauses (SCCs) per Art. 46 GDPR SOC 2 Type II DPA incorporated in Resend Terms of Service

Note on business emails: Emails to [email protected] and [email protected] are processed via Postal — a self-hosted email software running on our own Hetzner server in Nuremberg. This data does not leave Germany.

Note on AI processing: All AI requests are primarily processed via AWS Bedrock (Frankfurt, EU) using Claude. Mistral AI (France, EU) serves as fallback. No data transfer to third countries. US CLOUD Act does not apply.

Note for regulated professionals: Attorneys, physicians, and tax advisors are recommended to sign a separate Data Processing Agreement (DPA) and confidentiality undertaking per § 203 StGB. Please contact us at [email protected].

4. Retention Periods — Overview

Data Type	Retention	Reason
Account data	Contract duration + 3 years	Statute of limitations (BGB)
AI Prompts (AWS Bedrock / Mistral AI)	0 days	EU processing, no storage
Conversation history (own server)	Contract duration	Service agreement
Technical logs	7 days	Security, debugging
Billing data	10 years	§ 147 AO (tax law)
Transactional emails (Resend)	30 days	Delivery proof
Marketing consent	Until withdrawal	Art. 6(1)(a) GDPR

5. Your Rights as a Data Subject (Art. 15–22 GDPR)

You have the right to:

Access (Art. 15): What data we store about you
Rectification (Art. 16): Correction of inaccurate data
Erasure (Art. 17): “Right to be forgotten”
Restriction (Art. 18): Limitation of processing
Data portability (Art. 20): Request your data export by email at [email protected]
Objection (Art. 21): Against processing based on legitimate interest
Withdrawal: At any time for granted consents

Contact for all requests: [email protected]
We respond within 30 days, in complex cases within 90 days (Art. 12(3) GDPR).

You can export or delete your data at any time via Settings → Privacy → Export or delete data.

6. Right to Lodge a Complaint

Without prejudice to any other administrative or judicial remedy, you have the right to lodge a complaint with:

Berlin Commissioner for Data Protection and Freedom of Information
Alt-Moabit 59–61 · 10555 Berlin
Phone: +49 30 13889-0
[email protected] · www.datenschutz-berlin.de

7. Social Media and External Channels

We operate the following external channels for marketing and public communication:

Instagram: Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Ireland. When interacting with our page, Meta processes data according to their privacy policy. Legal basis: Art. 6(1)(f) GDPR.
Telegram: Public channel. Messages are public. No customer data is processed via Telegram. Direct inquiries are forwarded to [email protected].

Important: No customer data is processed through these channels. For support requests, please use [email protected] exclusively.

8. Cookies and Tracking

We use only technically necessary cookies:

Cookie	Purpose	Duration
session_id	Session management	Session end
csrf_token	Cross-Site Request Forgery protection	24 hours
theme	Storage of selected display mode (Dark/Light/Cream)	1 year

No tracking, no analytics, no advertising cookies. A cookie banner is not required for exclusively technically necessary cookies (cf. § 25(2) TDDDG).