Privacy Policy / Datenschutzerklärung
Last updated / Stand: May 2026
Controller: MOMO.AI UG (haftungsbeschränkt), Cologne, Germany | Contact: frank@momo.ai
1. Who We Are
momo.ai is an AI-powered email scheduling assistant operated by MOMO.AI UG (haftungsbeschränkt), incorporated in Germany. All data is processed and stored on EU-based servers (Hetzner, Germany).
2. What Data We Process
2.1 Registered Users
| Data Category | Purpose | Legal Basis |
|---|---|---|
| Email address | Account identification, notifications | Art. 6(1)(b) GDPR |
| Password (scrypt hash) | Authentication | Art. 6(1)(b) GDPR |
| Calendar access tokens (OAuth) | Availability checking, calendar event creation | Art. 6(1)(b) GDPR |
| Scheduling request metadata | Meeting coordination | Art. 6(1)(b) GDPR |
| Session token | Session management | Art. 6(1)(b) GDPR |
| Timezone, preferences | Accurate time slot calculation | Art. 6(1)(b) GDPR |
Email content: Incoming email text is processed solely for intent recognition and not stored permanently. Only extracted parameters (time, participants, modality) are stored.
Additional technical means for intent classification: Depending on configuration, short fragments of inbound email may be processed solely to infer scheduling intent when rule-based processing alone does not yield a reliable result. Any such processing is purpose-limited to operating the service. We do not maintain the full text of customer emails as a permanent training corpus for general-purpose AI models. Processor names, locations, and safeguards for optional stages are available on request and are reflected in this policy as configurations go live.
2.2 Non-Registered Guests
When a momo.ai user invites you to a meeting, we process the following data based on our legitimate interest (Art. 6(1)(f) GDPR) — coordinating the meeting in the interest of all participants:
| Data Category | Purpose |
|---|---|
| Email address | Sending the calendar invitation |
| Name (from the invitation email) | Personalizing the invitation |
| Selected time slot | Meeting confirmation |
| Acknowledgement timestamp | Proof of notice |
You have the right to object to this processing at any time (Art. 21 GDPR, see Section 6). Your confirmation email contains a personalized link to submit a privacy request.
2.3 Payment Data (Paid Plans)
Payments are processed by Stripe (Stripe Payments Europe, Ltd., Dublin, Ireland). We do not store credit card data. Legal basis: Art. 6(1)(b) GDPR.
2.4 Visitors to public marketing pages
When you visit our public marketing sites (in particular momo.ai and www.momo.ai), we may process aggregated usage statistics through a self-hosted web analytics deployment (Umami). The script is served from stats.momo.ai; collection and storage run on infrastructure under our operational control in the EU (hosted via Hetzner, Germany). We do not use external marketing or remarketing platforms (for example Google Analytics). Legal basis: Art. 6(1)(f) GDPR (legitimate interest in measuring reach and site usage without ad profiling).
3. Third Parties & Data Transfers
| Provider | Purpose | Location | Safeguard |
|---|---|---|---|
| Hetzner Online GmbH | Hosting & data storage | Germany (EU) | ✅ EU hosting |
| Google LLC | Google Calendar OAuth | USA | Standard Contractual Clauses (SCCs) |
| Microsoft Corporation | Microsoft 365 Calendar OAuth | USA | Standard Contractual Clauses (SCCs) |
| Stripe Payments Europe | Payment processing | Ireland (EU) | ✅ EU-based |
4. Retention Periods
| Data Category | Retention Period |
|---|---|
| Account data | Until account deletion |
| Sessions | 30 days |
| Pending email verifications | 24 hours |
| Completed scheduling requests | 12 months after completion |
| Guest data (after acknowledgement) | Up to 90 days after meeting confirmation |
| Payment/invoice data | 10 years (statutory retention obligation) |
| Aggregated website / marketing analytics (self-hosted Umami, public marketing pages) | Up to 24 months (Umami configuration; current setting available on request) |
| Audit logs | 12 months |
5. Technical & Organizational Measures
- All data encrypted at rest (AES-256) and in transit (TLS 1.3)
- Passwords stored exclusively as scrypt hashes
- OAuth tokens stored encrypted in the database
- Production data access restricted to system administrators with documented purpose
- Audit log for all privacy-relevant access
6. Your Rights (GDPR Art. 15–22)
- Access (Art. 15): Know what data we hold about you
- Rectification (Art. 16): Correct inaccurate data
- Erasure (Art. 17): Full deletion of your data
- Restriction (Art. 18): Restrict processing of your data
- Data portability (Art. 20): Receive your data in machine-readable format
- Objection (Art. 21): Object to processing based on legitimate interest — including for guests
To exercise your rights: email frank@momo.ai with subject "Privacy Request". We will respond within 30 days.
Right to lodge a complaint: You may lodge a complaint with the State Commissioner for Data Protection and Freedom of Information of North Rhine-Westphalia (ldi.nrw.de).
7. Cookies & Tracking
We do not use cross-site advertising cookies or third-party marketing/analytics platforms (such as Google Analytics). For aggregated website statistics on public marketing pages, see Section 2.4. For the logged-in application we use technically necessary session cookies (Art. 6(1)(f) GDPR; no consent banner required).
8. No Automated Decision-Making
momo.ai does not make automated decisions with legal or similarly significant effects (Art. 22 GDPR).
9. Changes to This Policy
We will notify registered users by email of material changes. The current version is always available at momo.ai/privacy.
Verantwortlicher: MOMO.AI UG (haftungsbeschränkt), Köln, Deutschland | Kontakt: frank@momo.ai
1. Wer wir sind
momo.ai ist ein KI-gestützter E-Mail-Scheduling-Assistent, betrieben von der MOMO.AI UG (haftungsbeschränkt) mit Sitz in Deutschland. Alle Daten werden auf EU-basierten Servern (Hetzner, Deutschland) verarbeitet und gespeichert.
2. Welche Daten wir verarbeiten
2.1 Registrierte Nutzer
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| E-Mail-Adresse | Konto-Identifikation, Benachrichtigungen | Art. 6 Abs. 1b DSGVO |
| Passwort (scrypt-Hash) | Authentifizierung | Art. 6 Abs. 1b DSGVO |
| Kalender-Zugriffstoken (OAuth) | Verfügbarkeitsprüfung, Terminanlage | Art. 6 Abs. 1b DSGVO |
| Scheduling-Anfragen (Metadaten) | Terminkoordination | Art. 6 Abs. 1b DSGVO |
| Session-Token | Sitzungsverwaltung | Art. 6 Abs. 1b DSGVO |
| Zeitzone, Präferenzen | Korrekte Zeitslot-Berechnung | Art. 6 Abs. 1b DSGVO |
E-Mail-Inhalte: Textinhalt eingehender E-Mails wird ausschließlich zur Intent-Erkennung verarbeitet und nicht dauerhaft gespeichert. Es werden nur die extrahierten Parameter gespeichert.
Technische Erweiterungen der Intent-Klassifikation: Konfigurationsabhängig können Textfragmente eingehender E-Mails ausschließlich zur operativen Intent-Klassifikation zusätzlich verarbeitet werden, wenn regelbasierte Verfahren allein kein belastbares Ergebnis liefern. Eine solche Verarbeitung ist zweckgebunden auf den Betrieb des Dienstes beschränkt. Wir führen kein dauerhaftes Volltextarchiv von Kunden-E-Mails als Trainingskorpora für allgemein verfügbare KI-Modelle. Anbieter, Speicherorte und Garantien für optionale Stufen teilen wir procurement-gerecht mit und ergänzen diese Erklärung bei produktiver Nutzung entsprechend.
2.2 Nicht-registrierte Gäste
Wenn ein momo.ai-Nutzer Sie zu einem Termin einlädt, verarbeiten wir auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1f DSGVO) — die Koordination des Termins im Interesse aller Beteiligten:
| Datenkategorie | Zweck |
|---|---|
| E-Mail-Adresse | Zusendung der Kalendereinladung |
| Name (aus der Einladungs-E-Mail) | Personalisierung der Einladung |
| Gewählter Zeitslot | Terminbestätigung |
| Bestätigungs-Zeitstempel | Nachweis der Kenntnisnahme |
Sie haben das Recht, dieser Verarbeitung jederzeit zu widersprechen (Art. 21 DSGVO, siehe Abschnitt 6). Die Bestätigungs-E-Mail enthält einen personalisierten Link zur Datenschutzanfrage.
2.3 Zahlungsdaten (Paid Plans)
Zahlungen werden über Stripe (Stripe Payments Europe, Ltd., Dublin, Irland) abgewickelt. Wir speichern keine Kreditkartendaten. Rechtsgrundlage: Art. 6 Abs. 1b DSGVO.
2.4 Besucher öffentlicher Webseiten
Beim Aufruf öffentlicher Marketing-Seiten (insbesondere momo.ai und www.momo.ai) können aggregierte Nutzungsstatistiken über ein selbst gehostetes Webanalyse-System (Umami) verarbeitet werden. Das Skript wird von stats.momo.ai ausgeliefert; Auswertung und Speicherung erfolgen auf Infrastruktur unter unserem betrieblichen Einfluss in der EU (Hosting über Hetzner, Deutschland). Es kommen keine externen Marketing- oder Remarketing-Plattformen (z. B. Google Analytics) zum Einsatz. Rechtsgrundlage: Art. 6 Abs. 1f DSGVO (betriebssicheres Interesse an Reichweiten- und Nutzungsmessung ohne werbliches Profiling).
3. Drittanbieter & Datenübermittlungen
| Anbieter | Zweck | Sitz | Garantie |
|---|---|---|---|
| Hetzner Online GmbH | Hosting & Datenspeicherung | Deutschland (EU) | ✅ EU-Hosting |
| Google LLC | Google Calendar OAuth | USA | Standardvertragsklauseln (SCCs) |
| Microsoft Corporation | Microsoft 365 Calendar OAuth | USA | Standardvertragsklauseln (SCCs) |
| Stripe Payments Europe | Zahlungsabwicklung | Irland (EU) | ✅ EU-Ansässig |
4. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Konto-Daten | Bis zur Konto-Löschung |
| Sessions | 30 Tage |
| Ausstehende E-Mail-Verifizierungen | 24 Stunden |
| Abgeschlossene Scheduling-Anfragen | 12 Monate nach Abschluss |
| Gäste-Daten (nach Kenntnisnahme) | Bis 90 Tage nach Terminbestätigung |
| Zahlungs-/Rechnungsdaten | 10 Jahre (handelsrechtliche Aufbewahrungspflicht) |
| Aggregierte Web-/Marketing-Analytics (selbst gehostetes Umami, öffentliche Marketing-Seiten) | Bis zu 24 Monate (Umami-Konfiguration; aktueller Wert auf Anfrage) |
| Audit-Logs | 12 Monate |
5. Technische & organisatorische Maßnahmen
- Alle Daten verschlüsselt at rest (AES-256) und in transit (TLS 1.3)
- Passwörter werden ausschließlich als scrypt-Hash gespeichert
- OAuth-Token werden verschlüsselt in der Datenbank gespeichert
- Zugriff auf Produktionsdaten nur für Systemadministratoren mit nachvollziehbarem Zweck
- Audit-Log für alle datenschutzrelevanten Zugriffe
6. Ihre Rechte (DSGVO Art. 15–22)
- Auskunft (Art. 15): Welche Daten wir über Sie gespeichert haben
- Berichtigung (Art. 16): Korrektur unrichtiger Daten
- Löschung (Art. 17): Vollständige Löschung Ihrer Daten
- Einschränkung (Art. 18): Einschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20): Ihre Daten in maschinenlesbarem Format
- Widerspruch (Art. 21): Widerspruch gegen Verarbeitung auf Basis berechtigten Interesses — auch für Gäste
Zur Ausübung Ihrer Rechte: E-Mail an frank@momo.ai mit dem Betreff "Datenschutzanfrage". Wir bearbeiten Ihre Anfrage innerhalb von 30 Tagen.
Beschwerderecht: Sie haben das Recht, Beschwerde bei der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW einzulegen (ldi.nrw.de).
7. Cookies & Tracking
Wir setzen keine werblichen Tracking-Cookies und keine Analyse-Tools externer Drittanbieter (z. B. Google Analytics) ein. Für aggregierte Webstatistik auf öffentlichen Marketing-Seiten siehe Abschnitt 2.4. Für die Nutzung der Anwendung setzen wir technisch notwendige Session-Cookies ein (Art. 6 Abs. 1f DSGVO; kein Einwilligungsbanner erforderlich).
8. Keine automatisierte Entscheidungsfindung
momo.ai trifft keine automatisierten Entscheidungen mit rechtlicher oder vergleichbar erheblicher Wirkung (Art. 22 DSGVO).
9. Änderungen dieser Erklärung
Wir informieren registrierte Nutzer per E-Mail über wesentliche Änderungen. Die aktuelle Version ist stets unter momo.ai/privacy abrufbar.