Datenschutzerklärung
Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten Callday erhebt, wie sie verarbeitet werden und welche Rechte du in Bezug auf deine Daten hast. Sie gilt für die Webseite callday.io sowie die Callday-iOS-App.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO:
Jan Bettermann Bensberger Marktweg 338 51069 Köln Deutschland
E-Mail: hello@callday.io
2. Welche Daten wir erheben
2.1 Beim Besuch dieser Webseite
Beim Aufruf dieser Webseite werden automatisch Informationen vom Browser deines Endgeräts an unseren Hosting-Provider übertragen und temporär in Server-Logs gespeichert:
- IP-Adresse (gekürzt bzw. anonymisiert)
- Datum und Uhrzeit des Aufrufs
- Aufgerufene Seite
- Übertragenes Datenvolumen
- Browser-Typ und -Version
- Betriebssystem
- Referrer-URL
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Webseiten-Betrieb).
2.2 Bei Eintragung in die Warteliste
Wenn du dich für die Callday-Warteliste oder den Early-Access registrierst, erheben wir:
- E-Mail-Adresse
- Zeitpunkt der Eintragung
Zweck: Information über den Launch und Beta-Zugang. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).
2.3 Bei Nutzung der iOS-App
Die Callday-App speichert Lead-Daten und Anrufergebnisse zunächst lokal auf deinem Gerät. Wenn du dich anmeldest, synchronisieren wir folgende Daten in unsere Datenbank:
- Account-Daten: Name, E-Mail-Adresse, Authentifizierungsmethode (Apple, Google oder E-Mail)
- Profildaten: Tagesziel, Telefon-Tage, Branchen-Kategorisierung
- App-Daten: importierte Lead-Listen, Anrufergebnisse, Notizen, Termine, Kalender- und Erinnerungs-Einstellungen
- Optional bei Verbindung deines Google-Accounts: ein OAuth-Refresh-Token, damit Callday Bestätigungsmails über deinen Gmail-Account versenden kann. Der Token wird verschlüsselt gespeichert und nur server-seitig verwendet.
Zweck: Bereitstellung der App-Funktionalität, geräteübergreifende Synchronisation, automatischer Mail-Versand bei gebuchten Terminen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.4 Bei Abschluss eines Web-Abonnements (Stripe)
Wenn du Callday über unsere Webseite abonnierst, läuft die Zahlungsabwicklung über unseren Zahlungsdienstleister Stripe. Dabei werden verarbeitet:
- E-Mail-Adresse (an Stripe übermittelt für Rechnungsstellung)
- Rechnungsadresse (Name, Straße, Postleitzahl, Land — soweit für Steuerzwecke erforderlich)
- Zahlungsmittel-Informationen (Kreditkarte, SEPA-Lastschrift etc.) — diese werden ausschließlich von Stripe verarbeitet und uns nicht übermittelt; wir sehen lediglich die letzten vier Ziffern der Karte bzw. die Bank zur Wiedererkennung
- Subscription-Status (aktiv, gekündigt, pausiert) und Abrechnungshistorie
Beim Abschluss via Apple In-App-Purchase erhalten wir ausschließlich eine Apple-Transaktions-ID und den Subscription-Status — keine Zahlungsmittel-Daten.
Zweck: Vertragsabwicklung, Rechnungsstellung, wiederkehrende Abrechnung, gesetzliche Aufbewahrung von Buchhaltungsbelegen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Buchführungspflichten gem. § 147 AO, § 257 HGB).
3. Empfänger und Drittanbieter
Wir nutzen sorgfältig ausgewählte Auftragsverarbeiter (Art. 28 DSGVO):
- Supabase (Inc., USA / Frankfurt-Region) — Authentifizierung und Datenbank. Datenverarbeitung erfolgt in der EU-Region (Frankfurt). Vertragliche Grundlage: Auftragsverarbeitungsvertrag (DPA) und EU-Standardvertragsklauseln, soweit Datenflüsse in die USA notwendig sind.
- Vercel (Inc., USA) — Hosting der Webseite. Standardvertragsklauseln gemäß DSGVO.
- Google LLC (USA) — Optional, wenn du dein Gmail-Konto verbindest. Callday sendet dann Termin-Bestätigungsmails über deinen eigenen Account; Google verarbeitet diese Mails nach den Google-Datenschutzbestimmungen.
- Apple Inc. (USA) — Bei Anmeldung über „Mit Apple anmelden" und für In-App-Käufe.
- Stripe Payments Europe, Limited (Irland) — Zahlungsabwicklung für Web-Abonnements. Stripe verarbeitet Zahlungsmittel-Daten als eigenständig Verantwortlicher (im Sinne von Art. 4 Nr. 7 DSGVO) und ist PCI-DSS Level 1 zertifiziert. Für die in unserem Auftrag erfolgenden Verarbeitungen (z. B. Subscription-Verwaltung) gilt der Auftragsverarbeitungsvertrag mit Stripe sowie EU-Standardvertragsklauseln, soweit Datenflüsse in die USA notwendig sind.
- Resend (Inc., USA) — Versand transaktionaler E-Mails (Account-Bestätigungen, Abonnement-Belege, Beta-Application-Bestätigungen). Verarbeitet wird ausschließlich die E-Mail-Adresse und der Mail-Inhalt. Standardvertragsklauseln gemäß DSGVO.
Wir geben deine Daten nicht zu Werbezwecken an Dritte weiter und verkaufen sie nicht.
4. Google API Services User Data Policy
Wenn du dein Google-Konto (Gmail) mit Callday verbindest, greifen wir über
den OAuth-Scope gmail.send auf dein Google-Konto zu, um
Termin-Bestätigungsmails in deinem Namen aus deinem Gmail-Account zu
versenden. Wir lesen, speichern oder verarbeiten keine eingehenden Mails,
Kontakte oder anderen Gmail-Inhalte. Der OAuth-Refresh-Token wird
verschlüsselt server-seitig gespeichert und ausschließlich zum Versand der
von dir ausgelösten Bestätigungsmails verwendet.
Callday's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.
Das heißt konkret: Die über Google-APIs erhaltenen Daten werden ausschließlich zur Bereitstellung der oben beschriebenen Funktion verwendet, nicht zu Werbezwecken eingesetzt, nicht zum Training von KI- oder Machine-Learning-Modellen verwendet, nicht an Dritte weitergegeben und nicht von Menschen eingesehen — außer mit deiner ausdrücklichen Zustimmung, zur Wahrung der Sicherheit (z. B. Missbrauchs-Erkennung), zum anonymisierten Betrieb oder soweit gesetzlich vorgeschrieben.
5. Speicherdauer
- Server-Logs: maximal 14 Tage
- Warteliste-E-Mails: bis zum Widerruf bzw. spätestens 24 Monate nach Launch der App
- Account- und App-Daten: für die Dauer der Account-Existenz. Bei Account-Löschung werden alle Daten innerhalb von 30 Tagen aus den aktiven Systemen entfernt; Backups werden mit der nächsten Backup-Rotation überschrieben.
- Rechnungs- und Zahlungsdaten: 10 Jahre gemäß § 147 AO und § 257 HGB (gesetzliche Aufbewahrungspflicht für Buchhaltungsunterlagen). Hiervon abweichend werden Subscription-Status und Account-Verknüpfung mit Account-Löschung entfernt.
6. Deine Rechte
Du hast jederzeit das Recht:
- auf Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
- auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- auf Löschung deiner Daten (Art. 17 DSGVO)
- auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- auf Datenübertragbarkeit (Art. 20 DSGVO)
- auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Du kannst deinen Account inkl. aller Daten direkt in der App löschen: Settings → Account → Account löschen.
Für sonstige Anfragen wende dich bitte an hello@callday.io.
7. Beschwerderecht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat deines gewöhnlichen Aufenthalts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.
In Deutschland ist die für unseren Sitz zuständige Behörde: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf.
8. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten zu schützen — insbesondere SSL-/TLS-Verschlüsselung für jede Datenübertragung, verschlüsselte Speicherung sensibler Werte (z. B. OAuth-Tokens) sowie Zugriffsbeschränkungen auf der Datenbankebene (Row-Level-Security).
9. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, sobald sich Funktionsumfang, rechtliche Anforderungen oder genutzte Drittanbieter ändern. Die jeweils aktuelle Version ist auf callday.io/privacy/de abrufbar.
Stand: 11.06.2026