Datenschutzerklärung

1. Verantwortlicher

Amoria · Inhaberin: Lara Möller · Lucia-Pogwisch-Ring 5 · 24253 Probsteierhagen · hello@kobel.app

2. Welche Daten wir erheben

Beim Besuch der Website

Beim Aufruf unserer Website werden durch den Webhoster technische Zugriffsdaten (IP-Adresse, Browsertyp und -version, Betriebssystem, Referrer-URL, Datum/Uhrzeit der Anfrage, übertragene Datenmenge, HTTP-Statuscode) im Server-Log gespeichert. Diese Daten dienen ausschließlich der technischen Bereitstellung, Fehleranalyse und IT-Sicherheit und werden nicht mit anderen Datenquellen verknüpft.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem technisch einwandfreien und sicheren Betrieb der Website).
Speicherdauer: maximal 14 Tage, danach automatische Löschung bzw. Anonymisierung. Eine längere Speicherung erfolgt nur bei konkret dokumentierten sicherheitsrelevanten Vorfällen.
Hoster: Die Website wird bei der 1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland, gehostet. Mit dem Hoster wurde ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen.

Beim Kauf / Abo über Paddle

Käufe und Abonnements (Pro-Einmalkauf, Pro-Abonnement, Team-Abonnement) werden über Paddle.com Market Ltd. (Judd House, 18–29 Mora Street, London EC1V 8BT, Vereinigtes Königreich) als Merchant of Record abgewickelt. Paddle tritt dir gegenüber als Verkäufer auf und verarbeitet Zahlungsdaten (Kreditkarte, PayPal, Rechnungsadresse, Steuerland, Checkout-IP-Adresse) in eigener Verantwortung.

Nach einem erfolgreichen Kauf übermittelt Paddle folgende Daten per Webhook an uns, die in der Lizenz-Datenbank gespeichert werden: Lizenzschlüssel, Plan-Typ, Status (aktiv / gekündigt), Kunden-E-Mail, Paddle-Kunden-ID, Aktivierungsanzahl (zur Durchsetzung von Seat-Limits) sowie Erstellungs- und Kündigungszeitstempel.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für die Aufbewahrung steuerrelevanter Daten zusätzlich Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO und § 257 HGB.
Speicherdauer: Bei Kündigung wird der Datensatz auf status=cancelled gesetzt. Steuerrechtlich aufbewahrungspflichtige Daten werden bis zu 10 Jahre aufbewahrt (§ 147 AO), handelsrechtlich relevante 6 Jahre (§ 257 HGB), danach gelöscht. Kunden-E-Mails ohne steuer- oder handelsrechtliche Relevanz werden spätestens 24 Monate nach Vertragsende gelöscht.
Datenschutzerklärung Paddle: paddle.com/legal/privacy

Kobel-App (lokal)

Die Kobel-App speichert Einstellungen, Ordnerkonfigurationen und Berechtigungen ausschließlich lokal auf deinem Computer. Dateiinhalte, Nutzungsstatistiken oder Telemetrie werden nicht an uns übertragen.

Lizenz-Validierung (Floating-License) — Pro-Einmalkauf, Pro-Abo & Team

Bei aktiver Pro-Einmalkauf-, Pro-Abonnement- oder Team-Lizenz übermittelt die Software einmal monatlich verschlüsselt über HTTPS an kobel.app/api/check-abo.php: den Lizenzschlüssel und einen 32-stelligen Geräte-Hash (SHA-256 der Windows-MachineGuid bzw. macOS-IOPlatformUUID). Der Hash ist nicht reversibel, enthält keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO und dient ausschließlich der Geräte-Bindung der Lizenz.

Zweck (Floating-License): Verhinderung der gleichzeitigen Nutzung einer Lizenz auf mehreren Geräten. Pro Lizenzschlüssel ist nur jeweils ein (1) Gerät gleichzeitig aktiv freigeschaltet.

Geräte-Wechsel: Wird der Schlüssel auf einem neuen Gerät eingegeben, erhält das bisherige Gerät eine siebentägige Karenzzeit, in der die Pro-Funktionen weiterlaufen; danach fällt das alte Gerät auf die Basis-Version zurück. Die erneute Eingabe auf dem ursprünglichen Gerät während der Karenzzeit macht den Transfer rückgängig.

Hinweis zur Änderung gegenüber v1.1: In Vorgängerversionen erfolgte bei Pro-Einmalkauf-Lizenzen keine Online-Prüfung. Mit der Einführung des Floating-License-Modells (v1.2) führen auch Einmalkauf-Lizenzen den monatlichen Status-Check durch, um die Geräte-Bindung zu verifizieren.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Der Validierungsaufruf wird serverseitig nicht personenbezogen protokolliert; das aktivierte Gerät wird mit Geräte-Hash, Zeitstempel und Status in der activations-Tabelle der Lizenz-Datenbank licenses.sqlite gespeichert und nach Lizenz-Transfer (Status released) bzw. Lizenz-Ende automatisch gelöscht.

Update-Prüfung

Die App prüft regelmäßig bei kobel.app, ob eine neuere Version vorliegt. Dabei werden — wie bei jeder Internetanfrage — die IP-Adresse und die aktuelle Versionsnummer übertragen; es wird kein Nutzerprofil gebildet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO sowie für Sicherheitsupdates Art. 6 Abs. 1 lit. c DSGVO.

Cloud-Anbindungen (Google Drive, Dropbox) – optional

Nur auf deinen ausdrücklichen Wunsch kann Kobel Ordner aus Google Drive und/oder Dropbox per OAuth 2.0 (Authorization Code Flow mit PKCE) einbinden.

Eigenständige Drittanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Google Drive); Dropbox International Unlimited Company, One Park Place, Upper Hatch Street, Dublin 2, Irland (Dropbox).

Lokal gespeichert: Access Token (kurzlebig), Refresh Token (zur stillen Erneuerung) und die E-Mail-Adresse des verbundenen Kontos (zur Anzeige in der Oberfläche), in %APPDATA%\studio.amoria.box\cloud-tokens.json — ausschließlich auf deinem Gerät. Token verlassen dein Gerät nur in Richtung der OAuth-Endpunkte der jeweiligen Anbieter.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Verbinden des Kontos); jederzeit widerruflich in den Kobel-Einstellungen über „Cloud-Verbindung trennen" sowie im jeweiligen Google- oder Dropbox-Konto.

ChatGPT-Tunnel über Cloudflare (nur Windows) – optional

Diese Funktion ist standardmäßig deaktiviert und wird ausschließlich auf deine ausdrückliche Aktion gestartet (z. B. Klick auf „ChatGPT verbinden"). In der Mac-App-Store-Version ist sie aufgrund der Apple-Sandbox-Vorgaben nicht verfügbar.

Wenn du die Funktion aktivierst, lädt Kobel einmalig das Hilfsprogramm cloudflared von GitHub, Inc. (88 Colin P Kelly Jr St, San Francisco, CA 94107, USA) herunter und prüft die Integrität anhand eines fest hinterlegten SHA-256-Hashs. Anschließend baut cloudflared einen verschlüsselten Tunnel zur Cloudflare, Inc. (101 Townsend St., San Francisco, CA 94107, USA) auf und stellt eine zufällige *.trycloudflare.com-URL bereit, über die ChatGPT als MCP-Client auf deine freigegebenen Dateien zugreifen kann. Beim Download und Tunnelbetrieb werden IP-Adresse, User-Agent und HTTP-Request-Header an GitHub bzw. Cloudflare übertragen; Cloudflare kann nach eigener Datenschutzerklärung Verbindungs- und Bedrohungsdaten verarbeiten.

Drittlandsübermittlung: Cloudflare, Inc. und GitHub, Inc. sind eigenständig Verantwortliche mit Sitz in den USA. Die Übermittlung stützt sich auf das EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023, ABl. L 231) sowie ergänzend auf EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Aktivieren der Funktion); für die Drittlandsübermittlung zusätzlich Art. 49 Abs. 1 lit. a DSGVO. Widerrufbar jederzeit durch „Tunnel beenden" in den Kobel-Einstellungen; cloudflared.exe kann manuell aus %APPDATA%\studio.amoria.box\ gelöscht werden.
Datenschutzhinweise: Cloudflare · GitHub

Team-Policy (Konfiguration durch IT-Administrator) – optional

Diese Funktion ist standardmäßig deaktiviert und greift nur, wenn ein IT-Administrator deiner Organisation in den Kobel-Einstellungen eine Policy-Quelle hinterlegt — als HTTPS-URL (z. B. https://it.muster-firma.de/kobel-policy.json) oder als lokaler/UNC-Pfad. Kobel lädt die JSON-Datei beim Programmstart und in regelmäßigen Abständen erneut; sie kann Pfad-Sperrlisten, erlaubte Dateitypen, Deaktivierung des App-Proxys, Schreib- und Löschbeschränkungen, KI-Whitelist sowie vorinstallierte App-Proxy-Einträge enthalten.

Bei HTTPS-Quellen werden beim Abruf IP-Adresse, User-Agent und ggf. Cookies an den Policy-Server der Organisation übermittelt; dieser Server wird von deinem Arbeitgeber oder dessen Dienstleister betrieben — Amoria hat darauf keinen Einfluss. Die zuletzt erfolgreich geladene Policy wird lokal in box-state.json zwischengespeichert.

Hinweis für Beschäftigte: Nutzt du Kobel im Rahmen deines Arbeitsverhältnisses und hat dein Arbeitgeber eine Policy-Quelle hinterlegt, kann er Kobel zentral einschränken. Er ist insoweit eigenständig Verantwortlicher und erfüllt seinerseits seine Informationspflichten nach Art. 13 DSGVO bzw. § 26 BDSG. Kobel überträgt im Rahmen der Policy-Synchronisation keine Inhalte deiner freigegebenen Dateien an den Policy-Server.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, regelkonformen Nutzung); im Beschäftigtenkontext zusätzlich § 26 Abs. 1 BDSG bzw. Art. 88 DSGVO.

App-Proxy (externe MCP-Server) – optional

Kobel kann auf deinen ausdrücklichen Wunsch externe, MCP-kompatible Anwendungen als Subprozesse starten. Pro App-Eintrag werden in box-state.json Anzeigename, Pfad zur ausführbaren Datei, Startparameter sowie von dir eingegebene Umgebungsvariablen (env) gespeichert. Letztere enthalten häufig Zugangsdaten zu Drittanbietern (API-Schlüssel für GitHub, Notion, Slack, Datenbanken, firmeneigene Systeme); sie liegen im Klartext im lokalen App-Datenverzeichnis und sind durch die Dateisystem-Berechtigungen deines Betriebssystems geschützt. Sie verlassen das Gerät nicht in Richtung Amoria oder Paddle.

Was die von dir ausgewählten MCP-Server tun, liegt außerhalb der Kontrolle von Kobel. Ein gestarteter Subprozess kann seinerseits Netzwerkverbindungen zu eigenen Drittanbietern aufbauen (GitHub-API, Notion-API, firmeneigene Server). Verantwortlicher für diese Verarbeitungen ist der jeweilige Anbieter des MCP-Servers; bitte konsultiere dessen Datenschutzbestimmungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Funktion auf deinen Wunsch); für die lokale Speicherung der env-Variablen Art. 6 Abs. 1 lit. f DSGVO. Empfehlung: Verwende API-Schlüssel mit minimalem Berechtigungsumfang („least privilege") und widerrufe nicht mehr benötigte Tokens zusätzlich beim jeweiligen Drittanbieter.

Anonyme Server-Statistiken

Bei bestimmten Server-Anfragen (Download einer Installer-Datei, Lizenzprüfung gegen unsere API) erhöhen wir einen rein statistischen Zähler. Dabei werden keine personenbezogenen Daten gespeichert: Die IP-Adresse wird innerhalb des PHP-Scripts sofort in ein Länderkürzel umgewandelt und anschließend verworfen. Länder mit weniger als 5 Ereignissen werden als „XX" zusammengefasst (K-Anonymität). Es findet kein Tracking, kein Profiling und keine Session-Verfolgung statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

3. Kontakt per E-Mail

Wenn du uns per E-Mail kontaktierst, werden die übermittelten Daten zur Bearbeitung deiner Anfrage genutzt und nach Abschluss gelöscht. Wir geben diese Daten nicht weiter.

4. Meldungen von Sicherheitsschwachstellen

Wer uns über security@kobel.app eine Sicherheitsschwachstelle meldet, übermittelt in der Regel Name, E-Mail-Adresse, technische Nachweise (Screenshots, Logs, Proof of Concept) und ggf. IP-Adressen. Details zum Meldeprozess stehen in unserer Sicherheitsrichtlinie.

Zweck und Rechtsgrundlage

Die Verarbeitung dient dem Erhalt und der Wiederherstellung der IT-Sicherheit unserer Produkte sowie der Erfüllung gesetzlicher Meldepflichten nach dem EU Cyber Resilience Act (CRA), insbesondere Art. 13 und 14. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Produktsicherheit).

Weitergabe an Dritte

In gesetzlich geregelten Fällen geben wir Daten an die EU-Agentur für Cybersicherheit (ENISA), das BSI oder andere zuständige Behörden weiter. Soweit zur Abklärung oder Dokumentation erforderlich, können Daten an unsere Rechtsberatung weitergegeben werden.

Speicherdauer

Meldungen werden für sieben Jahre aufbewahrt. Grund ist die CRA-Dokumentationspflicht, die Nachweisführung in Produkthaftungsfällen (§ 15 ProdHaftG) sowie handelsrechtliche Aufbewahrungsfristen.

Betroffenenrechte

Du kannst jederzeit Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO) und Einschränkung der Verarbeitung (Art. 18 DSGVO) verlangen. Eine Löschung (Art. 17 DSGVO) kann während der gesetzlichen Aufbewahrungsfrist nach Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen sein; in diesem Fall wird die Verarbeitung eingeschränkt.

5. Cookies

Unsere Website setzt nur technisch notwendige Cookies, die für den Betrieb und die Sicherheit der Seite erforderlich sind. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TDDDG bzw. Art. 6 Abs. 1 lit. f DSGVO.

6. Schriftarten (Google Fonts)

Zur einheitlichen Darstellung werden auf dieser Website Schriftarten lokal eingebunden. Bei der lokalen Einbindung wird beim Seitenaufruf keine Verbindung zu Google-Servern aufgebaut; es werden keine IP-Adressen oder sonstige personenbezogene Daten an Google übermittelt.

7. Deine Rechte

Du hast das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) sowie auf Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO). Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO). Wende dich dafür an hello@kobel.app.

Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Holstenstraße 98, 24103 Kiel, datenschutzzentrum.de.

8. Internationale Datenschutzhinweise

Kobel ist weltweit über den Microsoft Store und den Mac App Store verfügbar. Die folgenden länderspezifischen Hinweise ergänzen die Angaben oben.

8.1 Vereinigte Staaten – Kalifornien (CCPA/CPRA)

Einwohner Kaliforniens haben das Recht zu erfahren, welche personenbezogenen Daten erhoben werden, diese zu löschen, zu berichtigen und dem „Verkauf" oder „Weitergabe" zu widersprechen. Amoria verkauft oder teilt keine personenbezogenen Daten im Sinne des CCPA/CPRA. Die für Kauf oder Abonnement erforderlichen Zahlungs- und Lizenzdaten werden über Paddle (Merchant of Record) und in der Lizenz-Datenbank des Anbieters verarbeitet (vgl. Abschnitt 2). Zur Ausübung deiner Rechte wende dich an hello@kobel.app.

8.2 Vereinigtes Königreich (UK DSGVO)

Für Nutzer im Vereinigten Königreich gilt die UK-DSGVO entsprechend den oben beschriebenen Grundsätzen. Beschwerden können an das Information Commissioner's Office (ICO) gerichtet werden: ico.org.uk.

8.3 Kanada (PIPEDA)

Für kanadische Nutzer gelten die Grundsätze des PIPEDA für die oben beschriebenen Verarbeitungen. Für die Kaufabwicklung werden Daten an Paddle übermittelt (vgl. Abschnitt 2).

8.3a Québec (Loi 25 / Loi 64)

Für Nutzerinnen und Nutzer mit Wohnsitz in der Provinz Québec gilt zusätzlich die Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25, ehemals „Loi 64") in Verbindung mit der Loi sur la protection des renseignements personnels dans le secteur privé. Du hast insbesondere das Recht auf Auskunft, Berichtigung, Datenübertragbarkeit (seit September 2024) sowie das Recht, die Verarbeitung deiner personenbezogenen Daten einzuschränken. Vor einer Übermittlung personenbezogener Daten außerhalb Québecs führen wir eine Datenschutz-Folgenabschätzung durch; die Verarbeitung bei Paddle (Vereinigtes Königreich) sowie ggf. bei Cloudflare und GitHub (USA, optionaler ChatGPT-Tunnel) erfolgt auf Grundlage deiner Einwilligung und mit vertraglichen Garantien. Anfragen nach Loi 25 unter hello@kobel.app. Aufsichtsbehörde: Commission d'accès à l'information du Québec (CAI), cai.gouv.qc.ca.

8.4 Brasilien (LGPD)

Für brasilianische Nutzer gilt die LGPD entsprechend den oben beschriebenen Verarbeitungen. Die Betroffenenrechte nach Art. 18 LGPD können unter hello@kobel.app geltend gemacht werden.

8.5 Australien (Privacy Act)

Für australische Nutzer gelten die Australian Privacy Principles (APPs) des Privacy Act 1988 entsprechend den oben beschriebenen Verarbeitungen.

8.6 Hinweis zu KI-Anwendungen

Die von dir verbundenen KI-Anwendungen können Gesprächsinhalte (einschließlich Dateipfade und Dateiinhalte) gemäß ihren eigenen Datenschutzerklärungen an ihre Server übermitteln. Diese Verarbeitung liegt nicht im Einflussbereich von Kobel oder Amoria. Bitte lies die Datenschutzerklärungen der von dir eingesetzten KI-Anwendungen (z. B. Anthropic für Claude, OpenAI für ChatGPT, Microsoft für GitHub Copilot), bevor du sensible Dateien freigibst.

9. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die aktuelle Version ist stets auf dieser Seite abrufbar. Wesentliche Änderungen werden in Kobel über einen Hinweis-Dialog beim nächsten Programmstart angezeigt.