# Datenschutzerklärung ## Consigliere AI *Stand: Mai 2026 — Entwurf, vor Veröffentlichung rechtlich prüfen lassen* --- ### 1. Verantwortlicher [Firmenname] [Straße, PLZ Ort] [Land] E-Mail: privacy@[domain] --- ### 2. Datenschutzbeauftragter Sofern gesetzlich erforderlich, ist ein Datenschutzbeauftragter zu benennen. Kontakt: privacy@[domain] --- ### 3. Welche Daten wir verarbeiten und warum #### 3.1 Registrierung und Konto Bei der Registrierung erheben wir Ihre E-Mail-Adresse und, wenn Sie sich über Apple oder Google anmelden, einen Authentifizierungstoken. Diese Daten werden benötigt, um Ihr Konto anzulegen und Sie zu authentifizieren. **Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) #### 3.2 KI-Gespräche Anfragen, die Sie an die KI stellen, werden an das Sprachmodell (Anthropic Claude) übertragen. Wir protokollieren Metadaten (Zeitpunkt, Modell, Tokenanzahl) in pseudonymisierter Form. Der Inhalt Ihrer Anfragen und Antworten wird nach 30 Tagen automatisch gelöscht; nach 90 Tagen wird auch das Pseudonym entfernt. **Zero Data Retention bei Anthropic:** Anthropic speichert keine Inhalte Ihrer Anfragen und verwendet diese nicht zum Trainieren von Modellen. **Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO #### 3.3 Abonnement und In-App-Käufe Käufe werden über Apple App Store bzw. Google Play abgewickelt. Wir erhalten von diesen Diensten lediglich eine anonyme Transaktions-ID und die Information über das erworbene Produkt. Zahlungsdaten (Kreditkarte etc.) werden nicht an uns übermittelt. **Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO #### 3.4 Nutzungsanalyse Wir erheben aggregierte, nicht personenbezogene Nutzungsdaten (z. B. Anzahl der Anfragen pro Tag) zur Produktverbesserung und Kapazitätsplanung. **Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) #### 3.5 Fehlermeldungen Bei technischen Fehlern werden anonymisierte Fehlerberichte an Sentry (Functional Software Inc.) übermittelt. Personenbezogene Daten werden vor der Übermittlung automatisch entfernt. Fehlerberichte werden nach 7 Tagen gelöscht. **Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Systemsicherheit) --- ### 4. Weitergabe an Dritte Wir geben Ihre Daten nur in dem Umfang weiter, der für den Betrieb des Dienstes erforderlich ist: | Empfänger | Zweck | Land | Schutzmaßnahmen | |---|---|---|---| | Supabase Inc. | Datenbank (Auth, Logs) | EU Frankfurt | AVV | | Anthropic PBC | KI-Verarbeitung | USA | AVV + SCCs + Zero Data Retention | | OpenAI LLC | Vektorgenerierung | USA | AVV + SCCs | | Hetzner Online GmbH | Serverhosting | Deutschland | AVV | | Cloudflare Inc. | CDN, Sicherheit | USA | AVV + SCCs | | Functional Software Inc. (Sentry) | Fehlermonitoring | USA | AVV + SCCs | Wir verkaufen Ihre Daten nicht und geben sie nicht zu Werbezwecken weiter. --- ### 5. Drittlandübermittlungen Einige unserer Dienstleister befinden sich in den USA. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Copies der Klauseln können auf Anfrage bereitgestellt werden. --- ### 6. Speicherdauer | Datenart | Speicherdauer | |---|---| | Kontodaten | Bis zur Löschung des Kontos | | Gesprächsinhalte | 30 Tage, danach Nullstellung | | Nutzungsmetadaten | 90 Tage, danach vollständige Anonymisierung | | Fehlerberichte (Sentry) | 7 Tage | | Abrechnungsmetadaten (anonymisiert nach Kontolöschung) | 10 Jahre (GoBD), danach Löschung | | Audit-Log (pseudonymisiert) | 3 Jahre | --- ### 7. Ihre Rechte Sie haben das Recht auf: - **Auskunft** über Ihre gespeicherten Daten (Art. 15 DSGVO) - **Berichtigung** unrichtiger Daten (Art. 16 DSGVO) - **Löschung** Ihrer Daten (Art. 17 DSGVO) — in der App über „Konto löschen" oder per E-Mail - **Einschränkung** der Verarbeitung (Art. 18 DSGVO) - **Datenübertragbarkeit** in maschinenlesbarem Format (Art. 20 DSGVO) - **Widerspruch** gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO) - **Beschwerde** bei der zuständigen Datenschutzaufsichtsbehörde Anfragen richten Sie bitte an: **privacy@[domain]** Wir antworten innerhalb von 30 Tagen. --- ### 8. Beschwerderecht Sie können sich bei der für Sie zuständigen Datenschutzaufsichtsbehörde beschweren. Für Nutzer in Deutschland ist dies die Behörde des Bundeslandes, in dem Sie wohnen (Verzeichnis: [www.bfdi.bund.de](https://www.bfdi.bund.de)). --- ### 9. Sicherheit Wir setzen technische und organisatorische Maßnahmen ein (TLS-Verschlüsselung, Zugriffskontrolle, Pseudonymisierung, Row-Level Security), um Ihre Daten zu schützen. Details siehe unsere [Pseudonymisierungs-Policy](pseudonymisierung-policy.md). --- ### 10. Änderungen dieser Erklärung Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder In-App-Benachrichtigung mindestens 14 Tage vor dem Inkrafttreten. --- *Diese Datenschutzerklärung ist ein Entwurf und muss vor Veröffentlichung von einem* *spezialisierten Rechtsanwalt für IT-/Datenschutzrecht geprüft werden.*