llokri.io

Datenschutzerklärung

1. Datenschutz auf einen Blick

lokri.io ist ein DSGVO-konformer MCP-Gateway für persönliche Wissensdaten. Diese Datenschutzerklärung informiert darüber, wie personenbezogene Daten bei der Nutzung von lokri.io verarbeitet werden. Unser Datenmodell ist strikt mandantengetrennt: Daten eines Accounts werden niemals mit Daten anderer Accounts vermischt, weder für Suchergebnisse noch für Embeddings oder Modell-Trainings.

2. Verantwortliche Stelle

Hannes Mehr
Claudiusstraße 107
22043 Hamburg
Deutschland

E-Mail: hello@lokri.io

3. Erhebung und Speicherung personenbezogener Daten

Beim Besuch der Website

Bei jedem Aufruf werden technisch notwendige Informationen an den Server übermittelt und in Log-Dateien temporär gespeichert. Erhoben werden:

  • IP-Adresse (gekürzt zur Rate-Limit-Bestimmung)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufener Pfad
  • Referrer-URL
  • Verwendeter Browser und Betriebssystem (User-Agent)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb). Hosting und Zustellung erfolgen über Vercel (siehe Abschnitt 9).

Bei Registrierung und Nutzung

Bei der Registrierung speichern wir die von dir angegebene Email-Adresse, einen frei wählbaren Anzeigenamen sowie einen gehashten Passwort-Wert (bcrypt). Authentifizierungs-Sessions werden über serverseitige Cookies verwaltet (Better-Auth). Bei aktivierter Zwei-Faktor-Authentifizierung speichern wir zusätzlich den TOTP-Secret sowie Backup-Codes.

Bei Nutzung der App

Spaces, Notes, Files und API-Tokens werden inhaltlich gespeichert, um sie dir über die Web-UI und das MCP-Protokoll zur Verfügung zu stellen. Zur semantischen Suche werden Text-Embeddings berechnet und in unserer Datenbank als Vektor abgelegt. File-Inhalte (Dateien) speichern wir ausschließlich im privaten Modus — Zugriff nur über authentifizierte Requests.

OAuth 2.1 (MCP-Clients)

MCP-Clients (z.B. Claude Desktop, ChatGPT, Cursor) registrieren sich dynamisch per OAuth 2.1 (RFC 7591 / PKCE). Wir speichern pro Client: Client-Id, Redirect-URIs, erteiltes Consent sowie die ausgestellten Access- und Refresh-Tokens (zeitlich begrenzt). Du kannst Clients und Tokens jederzeit im Dashboard unter Settings widerrufen.

4. Cookies

lokri.io verwendet ausschließlich technisch notwendige Cookies:

  • Session-Cookie (Better-Auth) — hält dich eingeloggt. HTTP-only, Same-Site-Lax, verschlüsselt.
  • Rate-Limit-Identifier (optional) — nur wenn kein Anmelde-Cookie vorhanden ist. Enthält keine persönlichen Daten.

Wir setzen keine Tracking- oder Werbe-Cookies. Eine explizite Einwilligung ist daher nicht erforderlich (Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 25 Abs. 2 TTDSG).

5. Webanalyse

Wir nutzen Vercel Analytics und Vercel Speed Insights. Diese Dienste messen aggregierte Nutzungs- und Performance-Daten (z.B. Seiten-Ladezeit, Web-Vitals) ohne Cookies und ohne Profilbildung. Eine Übermittlung an Dritte erfolgt nicht.

6. KI-Integrationen

Zur semantischen Suche senden wir Note- und Datei-Inhalte an das Vercel AI Gateway, das intern das Modell openai/text-embedding-3-small aufruft. Die so erzeugten Vektoren werden in unserer Datenbank gespeichert. Die von uns übermittelten Texte werden laut Vercel/OpenAI nicht für das Training der Modelle verwendet.

MCP-Clients wie Claude Desktop oder ChatGPT können auf deinen Account über einen Bearer-Token oder OAuth-Access-Token zugreifen. Die dabei übertragenen Inhalte verlassen lokri.io in Richtung dieser Clients; die Verarbeitung dort richtet sich nach dem jeweiligen Anbieter (z.B. Anthropic, OpenAI). Du kontrollierst über die Consent-Seite, welche Clients Zugriff haben.

7. Speicherdauer

Account-Daten bleiben gespeichert, solange dein Account existiert. Du kannst deinen Account jederzeit im Dashboard unter Settings → Account löschen entfernen — dabei werden alle Spaces, Notes, Files, Tokens und OAuth-Consents samt Blob-Storage-Inhalten unverzüglich gelöscht. Email-Verifizierungs- und Password-Reset-Tokens werden nach max. 1 Stunde automatisch invalidiert.

8. Deine Rechte

Du hast das Recht auf:

  • Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)

Für Auskunft und alle weiteren Anfragen kontaktiere uns unter hello@lokri.io. Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

9. Auftragsverarbeiter / Drittanbieter

Folgende Dienste verarbeiten in unserem Auftrag personenbezogene Daten:

  • Vercel Inc. (USA) — Hosting, CDN, Analytics, Speed Insights, AI Gateway. EU-Server-Regionen werden bevorzugt; Transfers in die USA erfolgen auf Basis der EU-Standardvertragsklauseln.
  • Neon (Databricks) (EU — Frankfurt) — Postgres-Datenbank.
  • Vercel Blob — Datei-Storage. Private Access-Policy, Auslieferung ausschließlich nach Authentifizierung.
  • Upstash — Redis für Rate-Limiting. Keine personenbezogenen Inhalte, nur anonymisierte Request-Identifier.
  • Resend — Versand transaktionaler Emails (Verifizierung, Password-Reset, Account-Löschung, 2FA).
  • OpenAI via Vercel AI Gateway — Embedding-Erzeugung. Text-Eingaben werden nicht zum Training verwendet.

10. Änderungen

Wir können diese Datenschutzerklärung anpassen, um Gesetzesänderungen oder Änderungen unseres Dienstes abzubilden. Wesentliche Änderungen teilen wir dir per Email mit, sofern du einen Account hast.

Stand: April 2026