Datenschutzerklärung
Informationen zum Schutz deiner personenbezogenen Daten
1. Verantwortlicher
Eberhard Janzen
Rohrheimer Weg 43
71735 Eberdingen
Deutschland
E-Mail: eberhard.janzen50@gmail.com
Telefon: +49 160 7029502
Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO nicht bestellt, da die Voraussetzungen hierfür nicht vorliegen. Bei datenschutzrechtlichen Fragen wende dich bitte direkt an die oben genannte Kontaktadresse.
2. Erhobene Daten
Wir verarbeiten folgende personenbezogene Daten:
- E-Mail-Adresse und Name (bei Registrierung)
- Chat-Inhalte (Gedanken, die du eingibst, und KI-Antworten)
- Stimmungs-Check-ins und Reflexionen
- Technische Zugriffsdaten (IP-Adresse, Browser, Betriebssystem) in Server-Logs
- Nutzungsstatistiken (anonym über Plausible Analytics)
3. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Hinweis: Die App verarbeitet potenziell gesundheitsbezogene Daten (Gedanken, Stimmungen, emotionale Reflektionen). Diese Verarbeitung erfolgt ausschließlich auf Basis deiner ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), die du bei der Registrierung erteilst.
Die Einwilligung wird im Rahmen des Onboarding-Prozesses über eine aktive Bestätigung (Checkbox) eingeholt. Du kannst deine Einwilligung jederzeit widerrufen, indem du deinen Account löschst (siehe Abschnitt 9). Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
4. Zweck und Rechtsgrundlage (Art. 6 DSGVO)
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung der App-Funktionen | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Verarbeitung gesundheitsbezogener Daten | Art. 9 Abs. 2 lit. a DSGVO (Einwilligung) |
| KI-gestützte Reflexionsgespräche | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Fehlermonitoring (Sentry) | Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) |
| Analytics (Plausible) | Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) |
5. KI-gestützte Datenverarbeitung
Wichtig: Bei Nutzung des Gedanken-Checks werden deine Eingaben an externe KI-Anbieter (Anthropic, OpenAI) übermittelt. Bitte lies diesen Abschnitt sorgfältig.
Was wird übermittelt? Deine Texteingaben im Gedanken-Check werden an die API der KI-Anbieter gesendet, um eine Antwort zu generieren. Dabei werden keine personenbezogenen Identifikationsmerkmale (Name, E-Mail) mitgesendet — die Anfrage enthält ausschließlich den Gesprächsinhalt.
Werden meine Daten für KI-Training verwendet? Nein. Wir nutzen ausschließlich API-Zugänge, bei denen die Anbieter vertraglich zusichern, dass Eingaben nicht für das Training ihrer Modelle verwendet werden (Anthropic API Terms, OpenAI API Data Usage Policy).
Wie lange speichern die Anbieter meine Daten? Anthropic und OpenAI speichern API-Anfragen für maximal 30 Tage zur Missbrauchserkennung und löschen sie danach automatisch. Es erfolgt keine dauerhafte Speicherung durch die Anbieter.
Auftragsverarbeitung: Mit allen KI-Anbietern bestehen Data Processing Agreements (DPA) gemäß Art. 28 DSGVO, die den Umgang mit deinen Daten regeln.
6. Empfänger der Daten und Drittlandtransfer
Wir setzen folgende Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO) ein. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge.
| Anbieter | Zweck | Standort |
|---|---|---|
| Supabase | Datenbank, Authentifizierung | EU (Frankfurt) |
| Railway | Hosting der Webanwendung | USA* |
| Brevo | Transaktionale E-Mails | EU |
| Anthropic | KI-API (Gedanken-Check) | USA* |
| OpenAI | KI-API (Gedanken-Check, Fallback) | USA* |
| Sentry | Fehlermonitoring | USA* |
| Plausible | Analytics (cookieless) | EU |
* Drittlandtransfer (USA): Für US-Anbieter stützen wir die Datenübermittlung auf das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) sowie ergänzend auf Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. An Sentry werden keine Chat-Inhalte übermittelt, sondern ausschließlich technische Fehlerdaten.
7. Speicherdauer und Löschung
Deine Daten werden gespeichert, solange dein Account besteht. Du kannst jederzeit alle Daten löschen lassen (siehe Abschnitt 9).
- Account-Daten: Bis zur Account-Löschung (+ 7 Tage Karenzzeit)
- Chat-Inhalte: Bis zur Account-Löschung
- Server-Logs (IP-Adressen): Maximal 14 Tage
- Backups: Backups werden innerhalb von 30 Tagen nach Account-Löschung vollständig entfernt
8. Deine Rechte
Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO) – siehe Abschnitt 9
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenportabilität (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Zur Ausübung deiner Rechte wende dich per E-Mail an eberhard.janzen50@gmail.com. Wir werden dein Anliegen innerhalb von 30 Tagen bearbeiten.
9. Recht auf Löschung – Account-Löschung
Du kannst deinen Account und alle zugehörigen Daten jederzeit unter Einstellungen → Account → Account und alle Daten löschen löschen. Nach der Beantragung gilt eine 7-tägige Karenzzeit. In dieser Zeit kannst du die Löschung durch erneutes Einloggen abbrechen. Nach Ablauf werden folgende Daten unwiderruflich gelöscht:
- Alle Gespräche und KI-Antworten
- Alle Check-ins und Fortschrittsdaten
- Alle Erinnerungen
- Dein Profil und Login-Daten
10. Automatisierte Entscheidungsfindung und Profiling (Art. 22 DSGVO)
Die App setzt KI-Modelle ein, um auf deine Eingaben zu antworten. Diese KI-gestützten Antworten stellen keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO dar, da sie:
- Keine rechtliche Wirkung entfalten
- Keine Entscheidungen mit erheblicher Beeinträchtigung treffen
- Ausschließlich als Reflexionshilfe dienen
- Keine Diagnosen oder Bewertungen deiner Person vornehmen
Es findet kein Profiling statt. Die App erstellt keine Persönlichkeitsprofile und trifft keine Vorhersagen über dein Verhalten.
11. Datensicherheit
Wir setzen angemessene technische und organisatorische Maßnahmen zum Schutz deiner Daten ein:
- Verschlüsselte Datenübertragung (TLS/HTTPS) für alle Verbindungen
- Verschlüsselte Speicherung sensibler Daten in der Datenbank
- Zugriffskontrolle über Row Level Security (RLS) in Supabase
- Keine Speicherung von Passwörtern im Klartext (bcrypt-Hashing)
- Regelmäßige Sicherheitsupdates der eingesetzten Software
12. Beschwerderecht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für den Verantwortlichen zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Telefon: 0711 / 615541-0
Website: www.baden-wuerttemberg.datenschutz.de
13. Cookies
MindsetChange verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung (Session-Cookies). Es werden keine Tracking-Cookies oder Drittanbieter-Cookies eingesetzt. Plausible Analytics arbeitet vollständig ohne Cookies. Eine gesonderte Einwilligung für diese technisch notwendigen Cookies ist nach § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich.
14. Monitoring-Tools
Sentry (Fehlermonitoring)
Wir nutzen Sentry zur Erkennung und Behebung technischer Fehler. Dabei werden technische Informationen (Browser, Betriebssystem, Fehlermeldung) übermittelt. Chat-Inhalte werden nicht an Sentry gesendet.
Plausible Analytics
Plausible ist ein datenschutzfreundliches Analytics-Tool, das ohne Cookies und ohne personenbezogene Daten arbeitet. Es werden nur aggregierte Nutzungsstatistiken erfasst. Plausible wird in der EU gehostet und ist DSGVO-konform.