Larena

Datenschutzerklärung

Stand: 10. Juni 2026

Diese Datenschutzerklärung informiert dich darüber, wie die Klara Ventures GmbH („Larena“) personenbezogene Daten verarbeitet. Wir verarbeiten Daten ausschließlich im Rahmen der hier beschriebenen Zwecke und geben sie nicht zu Werbezwecken an Dritte weiter.

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist die Klara Ventures GmbH, Wolfsbachweg 78, 45133 Essen, Deutschland, vertreten durch die Geschäftsführer Elena Eberz und Christoph Eberz, Amtsgericht Essen, HRB 29349.

Kontakt für Datenschutzanfragen: hallo@larena.ai.

2. Was Larena ist und welche Daten verarbeitet werden

Larena ist ein Familien-Organisations-System („Family-OS“): Ein Haushalt verwaltet darin gemeinsam Dokumente, Verträge, Termine, Fristen, Kontakte und — optional — besonders schützenswerte Unterlagen in einem verschlüsselten Tresor.

Wir verarbeiten insbesondere: Stamm- und Kontodaten der Nutzer (Registrierung, Authentifizierung, Abrechnung); Inhaltsdaten, die Nutzer aktiv einstellen (hochgeladene Dokumente, Verträge, Termine, Personen- und Haushalts-Stammdaten, Notizen); aus Dokumenten extrahierte Daten (Texterkennung, KI-Klassifizierung von Dokumenttyp, Beträgen, Fristen); besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO — nur soweit Nutzer sie aktiv einstellen und auf Grundlage einer gesonderten Einwilligung (siehe Abschnitt 4); sowie Nutzungs- und Protokolldaten (Audit-Log, technische Logs).

Wir klassifizieren Daten intern nach Sensibilität (Datenklassen DK1 bis DK5), von normalen Aufgaben und Terminen (DK1) über persönliche Daten (DK2), sensible Daten wie Steuer-ID oder Finanzdaten (DK3) und besonders sensible Daten wie Gesundheit oder Religion (DK4) bis zu kritischen Tresor-Inhalten wie Vollmachten oder Patientenverfügungen (DK5, Ende-zu-Ende-verschlüsselt).

3. Verarbeitungszwecke und Rechtsgrundlagen

Account und Authentifizierung sowie das Verwalten von Dokumenten, Verträgen und Terminen verarbeiten wir zur Bereitstellung des Dienstes auf Grundlage des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO).

Besondere Kategorien personenbezogener Daten (z. B. Gesundheit, religiöse Überzeugung) sowie deren KI-gestützte Verarbeitung stützen wir ausschließlich auf deine ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO); für den Tresor-Scan einer aktiven Sitzung gilt eine gesonderte, sitzungsbezogene ausdrückliche Einwilligung (siehe Abschnitt 8).

Abrechnung erfolgt zur Vertrags- und Zahlungsabwicklung sowie zur Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. b und lit. c DSGVO). Sicherheit, Missbrauchsabwehr und Audit dienen der Integrität und Nachvollziehbarkeit des Dienstes (Art. 6 Abs. 1 lit. f DSGVO, soweit gesetzlich vorgeschrieben lit. c).

Larena dokumentiert die Rechtsgrundlage pro Verarbeitungsvorgang. Soweit eine Verarbeitung auf einem berechtigten Interesse beruht, nehmen wir die erforderliche Interessenabwägung vor.

4. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Manche Inhalte fallen unter besondere Kategorien personenbezogener Daten (insbesondere Gesundheitsdaten, religiöse Überzeugungen, biometrische Daten). Diese verarbeiten wir nur auf Grundlage deiner ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO.

Die Einwilligung ist spezifisch pro Kategorie (z. B. Gesundheit getrennt von Religion), getrennt für die KI-gestützte Verarbeitung sowie jederzeit mit Wirkung für die Zukunft widerrufbar (Art. 7 Abs. 3 DSGVO). Du verwaltest und widerrufst diese Einwilligungen im Produkt unter „Einwilligungen verwalten“ (Kategorien: Gesundheitsdaten, religiöse Überzeugung, biometrische Daten, KI-gestützte Verarbeitung).

5. KI-gestützte Verarbeitung

Larena nutzt KI, um eingestellte Dokumente zu verstehen (z. B. Dokumenttyp, Beträge, Fristen) und im Chat („Frag LARENA“) Fragen zu beantworten.

Dabei gilt das Prinzip der Datenminimierung: An das KI-Modell wird nur der für die jeweilige Aufgabe benötigte Ausschnitt übergeben, keine vollständigen Profile. Im Produkt ist transparent, auf welcher Quelle und mit welcher Konfidenz eine Aussage beruht.

Als KI-Dienst setzen wir Anthropic (Claude-Modelle) als Auftragsverarbeiter ein; für die Texterkennung kann ein OCR-Dienst zum Einsatz kommen. Erfolgt eine KI-Verarbeitung auf besonderen Kategorien, setzt sie eine gesonderte ausdrückliche Einwilligung voraus; liegt diese nicht vor, unterbleibt die Verarbeitung.

6. Empfänger und Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter nach Art. 28 DSGVO ein. Eingesetzt werden insbesondere: Vercel (Hosting und Anwendungsplattform), Supabase (Datenbank, Storage und Authentifizierung), Anthropic (KI und Dokument-Intelligenz), Resend (Versand und Empfang von E-Mails) sowie Twilio (SMS und Zwei-Faktor-Codes). Für die Texterkennung kann zusätzlich ein OCR-Dienst eingesetzt werden.

Eine aktuelle Übersicht der eingesetzten Auftragsverarbeiter (Subprozessoren) stellen wir auf Anfrage bereit.

7. Hosting und Datenresidenz

Der Betrieb der Anwendung erfolgt über Vercel mit bevorzugter Edge-Region Frankfurt; Datenbank, Storage und Authentifizierung betreiben wir über Supabase in der EU-Region Frankfurt (eu-central-1).

Soweit einzelne Auftragsverarbeiter Daten außerhalb der EU bzw. des EWR verarbeiten — insbesondere bei der KI-Verarbeitung über Anthropic, bei der Inhalte zur Erzeugung der Antwort an den KI-Dienst übertragen werden — stützen wir die Übermittlung auf geeignete Garantien nach Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO).

8. Ende-zu-Ende-verschlüsselter Tresor und Tresor-Scan

Im Tresor abgelegte Inhalte sind Ende-zu-Ende-verschlüsselt: Sie werden auf deinem Gerät ver- und entschlüsselt; Larena speichert nur den verschlüsselten Inhalt und kann ihn ohne deine Mitwirkung nicht im Klartext lesen. Der Zugriff erfordert eine zusätzliche Authentifizierung (zweiter Faktor).

Gibst du Tresor-Inhalte ausdrücklich für eine KI-Sitzung frei („armed session“), verlässt der entschlüsselte Inhalt für die Dauer dieser einen Verarbeitung kurz die Ende-zu-Ende-Verschlüsselung — er durchläuft transient den Arbeitsspeicher unserer Server und wird an den KI-Dienst (Anthropic) übertragen. Es entstehen dabei keine dauerhaften Kopien; die Sitzung endet mit dem Schließen des Chats. Diese Verarbeitung erfolgt nur nach einer gesonderten, sitzungsbezogenen ausdrücklichen Einwilligung, die du im jeweiligen Freigabe-Dialog erteilst und jederzeit widerrufen kannst.

9. Protokollierung und Audit

Larena führt fälschungssichere, fortlaufend verkettete Audit-Protokolle über Schreibzugriffe, KI-Operationen und Lesezugriffe auf besonders sensible Daten. Diese dienen Nachvollziehbarkeit, Sicherheit und Compliance.

Sensitive-Read-Logs und das Tresor-Audit halten nur Metadaten („dass“ ein Zugriff stattfand, durch wen und wann), nicht die Inhalte und nicht die KI-Antworten.

10. Speicherdauer

Inhaltsdaten bewahren wir auf, solange dein Haushalt sie nutzt bzw. solange die jeweilige Funktion es erfordert; du kannst Daten jederzeit löschen.

Für bestimmte Dokumenttypen können gesetzliche Aufbewahrungsfristen gelten. Audit-Daten bewahren wir zu Sicherheits- und Compliance-Zwecken auf; bei Account-Löschung wird der Audit-Trail pseudonymisiert.

11. Deine Rechte als betroffene Person

Du hast jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO, soweit keine Aufbewahrungspflichten entgegenstehen), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) sowie Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO).

Erteilte Einwilligungen kannst du jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO) — insbesondere für besondere Kategorien und die KI-Verarbeitung, direkt im Produkt.

Außerdem hast du das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, https://www.ldi.nrw.de.

12. Cookies und lokale Speicherung

Larena setzt ausschließlich technisch notwendige Speicherung ein (insbesondere für Session und Authentifizierung). Diese ist nach § 25 Abs. 2 TTDSG nicht einwilligungspflichtig. Ein Cookie-Einwilligungsbanner ist daher nicht erforderlich; sollten künftig nicht notwendige Cookies hinzukommen, holen wir vorab deine Einwilligung ein.