Vertrauen & Hosting

Wo deine Daten liegen —
und warum das zählt.

Klausi ist für selbstständige Arbeit in Deutschland gebaut. Das bedeutet: EU-Hosting als Standard, KI nur mit deiner Einwilligung, und Vorgänge, die Prüfungen standhalten.

Stand: 19.04.2026

EU-Hosting als Standard

Deine Kerndaten liegen in Supabase und Google Cloud Storage mit EU-Regionen. Das Frontend kommt aus dem globalen CDN von Vercel; serverseitige Logik läuft in EU-Regionen als Supabase Edge Functions.

KI nur mit deiner Einwilligung

Tagesplan, Command Center, Spracheingabe und OCR sind standardmäßig aus. Sobald du sie aktivierst, hast du jederzeit Einblick in Status und Rechtsgrundlage — und kannst alles mit einem Klick widerrufen.

Prüfsichere Vorgänge

Ausgestellte Rechnungen sind unveränderlich, Rechnungsnummern laufen lückenlos, Änderungen an sensiblen Datensätzen werden in einem Audit-Log erfasst. Retention-Fenster und Scrubbing sind hinterlegt.

Dein Widerruf zählt

Einwilligungen für KI, Analytics und optionale Features kannst du in den Einstellungen jederzeit zurücknehmen. Ab Widerruf werden keine weiteren Daten an den jeweiligen Dienst gesendet.

1

Dienstleister und Regionen im Überblick

Diese Aufstellung zeigt, welche Dienstleister welche Daten in welcher Region verarbeiten. Sie ergänzt die rechtlich verbindliche Datenschutzerklärung um einen schnellen, nicht-juristischen Überblick.

Kernsysteme (deine Daten, Konten, App-Inhalte)

Supabase

Datenbank, Authentifizierung, Edge Functions

Projekt „klausi-production" fest in AWS eu-west-1 bereitgestellt. Datenbank, Auth und alle Edge Functions laufen in dieser Region.

EU-West (AWS eu-west-1, Irland)
Verifiziert

Google Cloud Storage

Datei- und Medien-Speicherung (Belege, Audio, Uploads)

Bucket „klausiapp_eu" ist als GCS EU Multi-Region konfiguriert: Daten werden ausschließlich auf EU-Rechenzentren verteilt und nicht außerhalb der EU gespiegelt. (Vorgängerbucket „klausiapp" wurde nach Migration in die EU-Region am 2026-04-28 gelöscht.)

EU Multi-Region (nur Rechenzentren innerhalb der EU)
Verifiziert

Vercel

Frontend-Auslieferung (statisches React-Bundle)

Klausi hat keine serverseitigen Vercel-Funktionen. Alle Backend-Logik läuft in Supabase Edge Functions in der EU.

Global CDN, Abrechnungssitz EU
Verifiziert

Optionale KI- und Sprach-Dienste (nur mit Einwilligung)

Gladia

Live-Übersetzung, Live-Transkription

Region hart gesetzt (GLADIA_REGION = "eu-west").

EU-West
Verifiziert

Deepgram

Audio-Transkription (Upload) und Live-Spracheingabe

Alle REST- und WebSocket-Aufrufe gehen hart gegen den EU-Endpoint api.eu.deepgram.com. Keine US-Routen im Produktionscode.

EU (api.eu.deepgram.com)
Verifiziert

Anthropic (Claude)

KI-gestützte Analysen, Tagesplan, Command Center

Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Daten werden max. 30 Tage gespeichert und nicht für KI-Training genutzt. Standardvertragsklauseln sind Teil des DPA.

USA
Drittanbieter

Kommunikation, Zahlung und Produktmetriken

Postmark

Transaktions- und Produkt-E-Mails

Auftragsverarbeitungsvertrag (DPA) mit aktualisierten Standardvertragsklauseln (SCCs) wird allen Kunden angeboten.

USA (mit DPA)
Drittanbieter

Stripe

Zahlungsabwicklung

Irland / EU (Stripe Payments Europe)
Drittanbieter

PostHog

Produkt-Analytics (nur mit Einwilligung)

Endpoint: eu.posthog.com (EU-Cloud-Instanz).

EU
Verifiziert

VerifiziertIm Produktionscode hart gesetzt oder per Endpoint belegt.

In PrüfungIm jeweiligen Anbieter-Dashboard konfiguriert; Region wird regelmäßig verifiziert.

DrittanbieterAnbieter-Sitz außerhalb der EU mit DPA und Standardvertragsklauseln; Nutzung nur für den genannten Zweck.

2

Prüfsichere Vorgänge (GoBD-nah)

Ausgestellte Rechnungen werden technisch gegen Änderung geschützt: Sobald eine Rechnung den Status „issued" erreicht, blockieren Datenbank-Trigger jede nachträgliche Bearbeitung der rechnungsrelevanten Felder. Korrekturen laufen über eine separate Korrekturrechnung.

  • Rechnungsnummern werden pro Nummernkreis lückenlos vergeben (Serverseitige RPC, keine Client-Logik).
  • Änderungen an sensiblen Datensätzen werden in ein Audit-Log geschrieben (Append-only).
  • IP-Adressen werden im Audit-Log maskiert; Passwörter und Tokens werden vor Speicherung entfernt (Scrubbing).
  • Für Audit-Daten sind Retention-Fenster hinterlegt (90, 365, 730 Tage je nach Ereignis-Kategorie).

Die zugrunde liegende Verfahrensdokumentation beschreibt, wie Belege entstehen, gespeichert und unveränderlich gehalten werden. Sie ist auf Anfrage über hello@klausi.app erhältlich.

3

KI nur mit deiner Einwilligung

Funktionen wie Tagesplan, Command Center, Spracheingabe oder OCR für Belege sind standardmäßig deaktiviert. Du aktivierst sie in den Einstellungen unter „DSGVO & KI" — dort siehst du jederzeit, welche Dienste beteiligt sind, auf welcher Rechtsgrundlage sie arbeiten und wie du deine Einwilligung widerrufen kannst. Widerrufst du die Einwilligung, werden keine weiteren Daten an Anthropic übermittelt; die KI-Endpunkte sind serverseitig gesperrt.

Was Anthropic im Klartext sieht

Wir sind hier transparent: Wenn du KI aktivierst, verarbeitet Anthropic die Arbeitsinhalte, die für die Aufgabe nötig sind, unverschlüsselt im Klartext. Dazu gehören Projekt- und Kundennamen, Aufgaben-Titel, Notizen, Sprachaufzeichnungen (als Transkript) und vollständige Belegscans bei OCR. Wir pseudonymisieren diese Inhalte heute nicht.

In der Ask-/Command-Center-Funktion entfernen wir in deiner Eingabe automatisch E-Mail-Adressen, Telefonnummern, deutsche Rechtsformen (GmbH, UG, AG …) sowie „Herr/Frau"-Anreden, bevor die Anfrage an Anthropic geht. Bei Tagesplan, Transkript-Optimierung und Beleg-OCR findet diese Filterung nicht statt — hier brauchen die Funktionen die vollständigen Inhalte, um sinnvolle Ergebnisse zu liefern.

Rechtsgrundlage: DSGVO Art. 6 Abs. 1 lit. a, Art. 7 und Art. 46 (Standardvertragsklauseln). KI-Daten werden maximal 30 Tage bei Anthropic gespeichert und nicht für Training verwendet; Anthropic sitzt in den USA, es gilt der DPA mit aktualisierten SCCs.

4

Auskunft, Export und Löschung

Du kannst jederzeit Auskunft über deine bei Klausi gespeicherten Daten erhalten, einen Export anfragen oder dein Konto vollständig löschen.

  • Auskunft und Export über die Einstellungen im Bereich „DSGVO & KI" oder per E-Mail an hello@klausi.app.
  • Konto-Löschung als Self-Service über die Einstellungen (bei gemeinsamen Workspaces über den Support).
  • Nach Bestätigung werden App-Daten, Uploads und Account-Einträge in abgestuften Fenstern endgültig entfernt.
5

Fragen zu Datenschutz oder Hosting

Melde dich bei hello@klausi.app. Wir antworten in der Regel innerhalb eines Werktags und stellen auf Anfrage Auftragsverarbeitungsverträge, Subprocessor-Listen und die Verfahrensdokumentation bereit.