Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
Tobias Prang, Oparis
E-Mail: [email protected]
Website: oparis.de

Diese Datenschutzerklärung gilt für: oparis.de, hr.oparis.de, ai.oparis.de, hub.oparis.de, oparis.de sowie alle weiteren Subdomains.

2. Erhebung personenbezogener Daten

2.1 Websitebesuch
Beim Besuch werden technische Daten erfasst: IP-Adresse, Zeitpunkt, Browser, Betriebssystem. Löschung nach 30 Tagen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

2.2 Kontaktformular
Name, E-Mail, Betreff, Nachricht + IP/User-Agent zum Missbrauchsschutz. Löschung nach 6 Monaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO.

2.3 Registrierung (HR-Plattform)
Vor-/Nachname, E-Mail, Firma, Anschrift, Telefon (optional), Passwort (Argon2id gehasht). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.4 Registrierung (AI & Hub Desktop-Apps)
E-Mail, Vor-/Nachname, Passwort (Argon2id). Bei Kauf: Stripe-Referenz-ID. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.5 Browser-Sitzungen
IP-Adresse, User-Agent, Gerätetyp, Zeitpunkt. Löschung nach 30 Tagen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

3. Plattform-spezifische Datenverarbeitung

OPARIS HR: Mitarbeiterdaten, Chat-Nachrichten, Community, Recruiting, Analysen. Dedizierte Kundendatenbank pro Kunde. Sensible Daten XChaCha20-Poly1305 verschlüsselt.

OPARIS AI: Chat-Verläufe (AES-256 verschlüsselt), API-Keys (verschlüsselt), Smart-Home-Credentials (verschlüsselt), Geräte-Sessions.

OPARIS Hub: Tagebucheinträge (AES-256 verschlüsselt), Medikamenten-Daten, Finanzdaten. Alle persönlichen Inhalte verschlüsselt.

4. Cookies und Tracking

Wir verwenden ausschließlich technisch notwendige Session-Cookies. Kein Tracking (kein Google Analytics, kein Facebook Pixel). Ein Cookie-Banner ist daher nicht erforderlich (§ 25 Abs. 2 TDDDG).

5. Datenspeicherung und Sicherheit

Serverstandort: Karlsruhe, Deutschland. Daten verlassen nie den EWR (Ausnahme: Stripe Zahlungsabwicklung, EU-US DPF zertifiziert).

Verschlüsselung: XChaCha20-Poly1305 (HR), AES-256 (AI/Hub). SSL/TLS mit HSTS. Argon2id Passwort-Hashing.

Kundendatenbanken: Jeder HR-Kunde erhält eine eigene, isolierte Datenbank.

6. Zahlungsdaten

Zahlungsabwicklung über Stripe, Inc. (Irland). Keine Kreditkarten-/Bankdaten bei uns gespeichert. Stripe Datenschutz.

7. Drittanbieter

Stripe, Inc. – Zahlungen (Irland, EU-US DPF)
STRATO AG – VServer-Hosting (Karlsruhe)
Google Fonts – lokal eingebunden, keine Verbindung zu Google

8. Ihre Rechte (DSGVO)

• Auskunft (Art. 15) – Datenexport im Dashboard möglich
• Berichtigung (Art. 16) – über Kontoeinstellungen
• Löschung (Art. 17) – Self-Service im Dashboard, 30 Tage Frist
• Einschränkung (Art. 18)
• Datenübertragbarkeit (Art. 20) – JSON-Export
• Widerspruch (Art. 21)

9. Datenlöschung

Bei Kontolöschung werden alle Daten unwiderruflich gelöscht. 30 Tage Export-Frist. Rechnungsdaten: 10 Jahre Aufbewahrung (§ 147 AO, § 257 HGB). Aktivitätsprotokolle: 180 Tage.

10. Kontakt und Beschwerderecht

Datenschutzanfragen: [email protected]. Antwort innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

Stand: April 2026