Datenschutzerklärung – Achievable

Stand: 23.12.2025

Diese Datenschutzerklärung gilt für die iOS-App „Achievable“, unsere Website unter www.achievable-app.com sowie die Server-Dienste, die die App zur Bereitstellung ihrer Funktionen nutzt.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist:
Jan Oberwahrenbrock
Glauchauer Str. 7, 33739 Bielefeld, Deutschland
E-Mail: info@achievable-app.com

2. Welche Daten verarbeiten wir?

Wir verarbeiten personenbezogene Daten, soweit dies zur Bereitstellung und dem Betrieb von Achievable erforderlich ist.

2.1 Nutzerkonto und App-Inhalte

• Kontodaten: E-Mail-Adresse zur Erstellung und Verwaltung Ihres Nutzerkontos.
• Inhalte in Achievable: Von Ihnen angelegte Projekte (inkl. der Spezifikationen der Projekte) sowie daraus erzeugte Projektpläne.
• Server-Speicherung: Diese Inhalte werden zur Bereitstellung der Funktionen auf unseren Servern gespeichert.

2.2 Google-Konto / Google Kalender

Um die kalenderbasierten Funktionen bereitzustellen, nutzt Achievable Ihren Google-Kalender. Dafür ist eine Anmeldung mit Ihrem Google-Konto erforderlich. Welche Daten dabei verarbeitet werden, wofür sie genutzt werden und wie Sie den Zugriff wieder entziehen können, erfahren Sie in Abschnitt 5 (Google Kalender – Datenzugriffe und Aktionen in Ihrem Auftrag).

2.3 KI- und Spracheingabe-Funktionen

Wenn Sie Spracheingabe oder KI-Funktionen nutzen, verarbeiten wir:

• Eingaben für KI-Anfragen: z.B. Audiodateien, Transkripte oder Texteingaben, die den KI-Modellen die zur Ausführung der jeweiligen Funktion erforderlichen Informationen liefern.
• Ergebnisse der KI-Anfragen: z.B. Transkripte, Planvorschläge oder generierte Projektpläne.

Die Verarbeitung erfolgt nur, soweit dies zur Bereitstellung der jeweiligen Funktion erforderlich ist. Bitte vermeiden Sie nach Möglichkeit die Eingabe sensibler Daten (z.B. Gesundheitsdaten), sofern dies nicht notwendig ist.

2.4 OTP-Verifizierung (Einmalcodes)

Zur Sicherheit kann Achievable Einmalcodes (OTP) versenden. Dabei verarbeiten wir:

• E-Mail-Adresse, OTP-Inhalt, Versand-/Status- und Zeitinformationen.

2.5 Abonnements / Pro-Funktionen

Wenn Sie ein Abo nutzen, verarbeiten wir:

• Informationen über Ihren Abo-Status/Entitlements, die für die Freischaltung von Funktionen erforderlich sind.

2.6 Technische Protokolldaten (Server-Logs)

Aus Sicherheits- und Betriebsgründen verarbeiten wir technische Daten wie:

• IP-Adresse, Zeitstempel, Request-Informationen, Fehlermeldungen.

3. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken und auf folgenden Rechtsgrundlagen:

3.1 Bereitstellung des Dienstes (Art. 6 Abs. 1 lit. b DSGVO)

Zur Erfüllung des Vertrags bzw. zur Durchführung vorvertraglicher Maßnahmen verarbeiten wir personenbezogene Daten, um Achievable bereitzustellen und die von Ihnen genutzten Funktionen auszuführen, insbesondere zur Kontoführung, Projekt- und Planerstellung, Speicherung und Verwaltung Ihrer Pläne, Kalenderplanung und -synchronisation sowie zur Nutzung von KI- und Spracheingabe-Funktionen.

3.2 Sicherheit und Stabilität (Art. 6 Abs. 1 lit. f DSGVO)

Wir verarbeiten Daten, um Achievable sicher und stabil zu betreiben (z.B. OTP-Verifizierung, Missbrauchs- und Betrugsschutz, Fehleranalyse sowie Server-Protokolldaten). Unser berechtigtes Interesse liegt in der sicheren, zuverlässigen und missbrauchsarmen Bereitstellung des Dienstes.

3.3 Abonnementverwaltung (Art. 6 Abs. 1 lit. b DSGVO)

Verarbeitung zur Bereitstellung und Verwaltung abonnierter Leistungen (Freischaltung von Pro-Funktionen).

4. KI-Dienste: Transkription und Verarbeitung von Eingaben

4.1 Transkription (Spracheingabe)

Wenn Sie die Spracheingabe nutzen, wird Ihre Audiodatei zur Transkription an einen KI-Dienstleister übermittelt und dort in Text umgewandelt. Je nach gewählter Funktion bzw. Modell setzen wir hierfür OpenAI, Google (Gemini) oder xAI ein. Das Transkript verwenden wir zur weiteren Verarbeitung in der App.

4.2 Planerstellung mit KI

Wenn Sie KI-Funktionen zur Planerstellung nutzen, können Ihre Eingaben (z.B. Projektbeschreibung, Regeln, Transkript) an KI-Dienstleister übermittelt werden. Je nach Funktion bzw. Modell setzen wir hierfür OpenAI, Google (Gemini) oder xAI ein. Die KI-Ergebnisse (z.B. Transkripte, Planvorschläge oder generierte Projektpläne) verarbeiten wir zur Bereitstellung der Funktion und speichern sie soweit erforderlich auf unseren Servern.

Wir übermitteln an KI-Dienste nur die Informationen, die für die jeweilige Funktion erforderlich sind.

5. Google Kalender – Datenzugriffe und Aktionen in Ihrem Auftrag

Wenn Sie Ihr Google-Konto verbinden, verarbeitet Achievable Google-Kalenderdaten ausschließlich zur Bereitstellung kalenderbasierter Funktionen, die in der App sichtbar und wesentlich sind.

(a) Technische Anbindung (OAuth-Zugangsdaten)

Zur Verbindung mit Ihrem Google-Konto verarbeitet Achievable technische Anbindungsdaten, insbesondere OAuth-Zugangsdaten (z.B. Access- und Refresh-Tokens). Diese werden benötigt, um die Verbindung herzustellen und aufrechtzuerhalten sowie um kalenderbezogene Aktionen in Ihrem Auftrag auszuführen.

(b) Kalenderliste (nur lesend)

Wir verarbeiten Kalender-Metadaten (z.B. Kalendername, Kalender-ID, Zugriffsrolle), damit Sie in Achievable auswählen können, welche Ihrer Kalender bei der Free/Busy-Abfrage berücksichtigt werden sollen, um freie Zeitfenster zu bestimmen.

(c) Verfügbarkeit (Free/Busy)

Zur Terminfindung verarbeitet Achievable Belegt/Frei-Informationen (Zeitblöcke, in denen Sie beschäftigt bzw. frei sind). Dabei werden aus bestehenden Kalendern (einschließlich Ihres primären Kalenders) keine Termindetails wie Titel, Beschreibung, Ort oder Teilnehmer abgerufen.

(d) Projektkalender pro Projekt (von Achievable erstellt)

Für jedes Projekt kann Achievable einen eigenen sekundären Google-Kalender („Projektkalender“) erstellen. Von Achievable geplante Events werden grundsätzlich in diesen Projektkalendern erstellt, geändert und gelöscht. Dafür verarbeiten wir die Inhalte der in den Projektkalendern erstellten Plan-Events sowie technische Referenzen (z.B. Kalender-IDs, Event-IDs), damit Termine später wiedergefunden, aktualisiert oder abgeglichen werden können.

(e) Synchronisation & Webhooks/Push Notifications

Zur Synchronisation können technische Webhook-/Push-Informationen verarbeitet werden (z.B. Channel-/Resource-IDs, Zeitpunkte, Zustellinformationen), um Änderungen in Projektkalendern zu erkennen und den Plan konsistent zu halten.

Prinzip der minimal erforderlichen Berechtigungen (Minimum Required Scopes)

Wir halten uns bei Google-API-Zugriffen an das Prinzip der minimal erforderlichen Berechtigungen („All access to Google APIs must adhere to the principle of minimum required scopes“). Das bedeutet: Wir beantragen und verwenden nur die Berechtigungen (Scopes), die für die jeweilige Funktion zwingend notwendig sind.

Widerruf (Zugriff entziehen)

Sie können den Zugriff von Achievable auf Ihr Google-Konto jederzeit in Ihrem Google-Konto widerrufen. Anleitung:

1. Öffnen Sie in Ihrem Google-Konto den Abschnitt Security & sign-in.
2. Navigieren Sie zu Your connections to third-party apps & services.
3. Dort können Sie den Zugriff von Achievable entfernen.

Nach dem Widerruf kann Achievable kalenderbasierte Funktionen (z.B. Terminfindung, Erstellung und Synchronisation von Projektkalendern) nicht mehr ausführen.

Keine Werbung / kein Profiling

Wir verwenden Google-Nutzerdaten nicht für Werbung, Profiling oder den Verkauf/Weitergabe an Dritte außerhalb der zur Bereitstellung erforderlichen Dienstleister.

Keine Nutzung für KI-Training

Wir geben Google-Nutzerdaten nicht zum Training, zur Weiterentwicklung oder zur Verbesserung allgemeiner KI-/Machine-Learning-Modelle weiter und verwenden diese Daten nicht für solche Zwecke.

Schutz der Daten

Wir treffen angemessene technische und organisatorische Maßnahmen, um Google-Nutzerdaten und Anbindungsdaten zu schützen (z.B. verschlüsselte Übertragung, Zugriffsbeschränkungen und Protokollierung von Zugriffen).

6. OTP-E-Mails (Brevo)

Für den Versand von Einmalcodes (OTP) und ggf. notwendigen Systemmails nutzen wir Brevo als Dienstleister im Rahmen einer Auftragsverarbeitung. Dabei werden insbesondere Ihre E-Mail-Adresse sowie Versand-/Statusinformationen verarbeitet, damit die Nachricht zugestellt werden kann.

7. Abonnements und Zahlungen (Apple / RevenueCat)

Zahlungen für Abonnements werden über Apple In-App Purchase abgewickelt. Zahlungsdaten wie Kreditkartendaten erhalten wir in der Regel nicht.

Zur technischen Verwaltung und Validierung des Abo-Status (Entitlements) nutzen wir RevenueCat, damit Pro-Funktionen korrekt freigeschaltet und Ihrem Achievable-Konto zugeordnet werden können.

8. Empfänger / Dienstleister

Zur Bereitstellung von Achievable setzen wir Dienstleister ein, insbesondere:

• Hosting/Serverbetrieb: Hetzner (Betrieb unserer Server/Datenbank)
• E-Mail-Versand: Brevo (OTP/Systemmails)
• KI-Transkription & KI-Verarbeitung: OpenAI, Google, xAI
• Google-Dienste: OAuth, Google Calendar API
• Apple-Dienste: App Store / In-App Purchase
• Abo-Status: RevenueCat

Eine Weitergabe erfolgt nur, soweit sie zur Bereitstellung der Dienste erforderlich ist.

9. Drittlandübermittlungen

Je nach Anbieter können Daten auch in Drittländern (z.B. USA) verarbeitet werden. Soweit erforderlich, stützen wir Übermittlungen auf geeignete Garantien (z.B. Standardvertragsklauseln).

10. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist:

• E-Mail-Adresse (Nutzerkonto): grundsätzlich solange Ihr Konto besteht; Löschung bei Account-Löschung, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Projekte/Pläne inkl. Plan-Events: grundsätzlich solange das jeweilige Projekt besteht; Löschung bei Projekt-Löschung bzw. bei Account-Löschung (soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen).
• Projektkalender-IDs, Event-IDs, Sync-/Webhook-Daten: solange der jeweilige Projektkalender bzw. das jeweilige Projekt aktiv ist; Löschung/Deaktivierung bei Projekt-Löschung, Entkopplung des Google-Kontos oder Account-Löschung (soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen).*
• OAuth-Tokens: bis zur Entkopplung des Google-Kontos.
• OTP-Daten: bis zur Verifizierung bzw. für notwendige Fehleranalyse.
• Server-Logs: zur Sicherheit und Fehleranalyse, maximal 1 Monat.
• Audiodateien/Transkripte: nur solange, wie dies zur Bereitstellung der Spracheingabe-/Planerstellungsfunktionen erforderlich ist, maximal 1 Monat.

11. Ihre Rechte

Sie haben – je nach Voraussetzungen – Rechte auf:

• Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch.

Sie haben außerdem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

12. Pflicht zur Bereitstellung von Daten

Die Bereitstellung der E-Mail-Adresse ist erforderlich, um ein Nutzerkonto zu erstellen und Achievable nutzen zu können.

Ohne Verknüpfung mit dem Google-Kalender stehen kalenderbasierte Funktionen (z.B. automatische Terminplanung und Synchronisation in Projektkalendern) nicht oder nur eingeschränkt zur Verfügung.

Ohne Nutzung der KI-Funktionen können keine Voice-to-Text-Transkriptionen erstellt werden und die Planerstellung ist stark eingeschränkt.

13. Automatisierte Entscheidungsfindung

Die Erstellung von Planvorschlägen kann automatisiert (KI-gestützt) erfolgen. Es findet dabei keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO mit rechtlicher Wirkung oder ähnlicher erheblicher Beeinträchtigung statt.

14. Konto-Löschung

Sie können die Löschung Ihres Kontos in der App anstoßen. Dabei löschen wir die mit Ihrem Konto verbundenen Daten, soweit keine gesetzlichen Pflichten entgegenstehen.

15. Cookies/Tracking auf der Website

Wir nutzen aktuell kein Analytics/Tracking. Soweit technisch notwendige Cookies/ähnliche Technologien eingesetzt werden, dienen sie ausschließlich dem Betrieb und der Sicherheit der Website.

16. Änderungen

Wir können diese Datenschutzerklärung aktualisieren, wenn sich Funktionen, Anbieter oder rechtliche Anforderungen ändern.