Datenschutzerklärung
Diese Datenschutzerklärung informiert Nutzerinnen und Nutzer sowie sonstige betroffene Personen über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Website emiliaiva.com, dem Chat-Dienst chat.emiliaiva.com, den dort bereitgestellten KI-Funktionen, den Konto-, Zahlungs-, Benachrichtigungs-, Sicherheits- und Supportfunktionen sowie den optional aktivierbaren Zusatzfunktionen. Sie gilt für die Nutzung über Webbrowser, mobile Browser, Progressive-Web-App-Funktionen und sonstige technisch angebundene Kommunikationswege, soweit diese von der Verantwortlichen für den Dienst bereitgestellt werden.
Hinweis: Emilia ist eine fiktive, KI-gestützte Persona und kein Mensch. Nutzerinnen und Nutzer kommunizieren mit einem KI-System. Die KI-generierten Inhalte können unvollständig, fehlerhaft, veraltet, erfunden, missverständlich oder für die konkrete persönliche Situation ungeeignet sein. Emilia ersetzt keine medizinische, psychologische, psychotherapeutische, rechtliche, steuerliche, finanzielle, seelsorgerische oder sonstige fachliche Beratung. Bei Notfällen, akuten Krisen, Suizidgedanken, Selbstgefährdung, Fremdgefährdung, medizinischen Beschwerden oder sonstigen Gefahrenlagen ist unverzüglich professionelle Hilfe, der ärztliche Notdienst, die Telefonseelsorge, eine Krisenstelle oder der Notruf zu kontaktieren.
1. Verantwortliche Stelle und Kontakt
Verantwortliche im Sinne der Datenschutz-Grundverordnung, des Bundesdatenschutzgesetzes, des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes und sonstiger datenschutzrechtlicher Vorschriften ist:
Foth Group GmbH
Seehofstraße 137
14167 Berlin
Deutschland
Geschäftsführer: Lars Foth
E-Mail für Datenschutzanfragen: hello@emiliaiva.com
Alternative Kontaktadresse: kontakt@fothgroup.de
Website: https://emiliaiva.com
Soweit gesetzlich erforderlich, werden Angaben zu einer oder einem Datenschutzbeauftragten gesondert ergänzt. Nach der gegenwärtigen internen Systemdokumentation besteht derzeit keine Benennungspflicht, weil weniger als zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Verantwortliche überprüft diese Bewertung regelmäßig und benennt eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, sobald die gesetzlichen Voraussetzungen vorliegen.
2. Gegenstand des Dienstes und wesentliche Funktionsweise
emiliaiva.com ist ein kostenpflichtiger, webbasierter KI-Companion-Dienst. Nutzerinnen und Nutzer können über natürliche Sprache mit einer KI-gestützten Persona namens Emilia interagieren. Der Dienst umfasst insbesondere einen Chat, optional Audioeingaben, optional Sprachausgaben, optional Bild- und Dateianhänge, optional KI-generierte Bilder, optionale Web-Push-Benachrichtigungen, optional eine Memory-Funktion zur Personalisierung sowie die Verwaltung eines kostenpflichtigen Abonnements mit Probephase.
Die technische Architektur beruht nach der gegenwärtigen Systemdokumentation im Kern auf einem Web-Frontend und Backend mit Next.js 16, TypeScript und Node.js, einer lokal betriebenen PostgreSQL-16-Datenbank, einem Magic-Link-Login per E-Mail, lokaler Sprache-zu-Text-Verarbeitung mittels whisper.cpp, einem selbst gehosteten Umami-Analysesystem, dem Hosting auf einem dedizierten Hetzner-Server in Deutschland, der KI-Dialogverarbeitung über Anthropic Claude, der optionalen Text-zu-Sprache-Ausgabe über ElevenLabs, der optionalen KI-Bildgenerierung über Bytedance/Volcengine beziehungsweise BytePlus und der Zahlungsabwicklung über Stripe. Maßgeblich ist jeweils die produktiv tatsächlich aktivierte Anbieterintegration; soweit die Anbieterbezeichnung technisch oder konzernrechtlich zwischen Bytedance, Volcengine und BytePlus differenziert, werden Nutzerinnen und Nutzer vor Nutzung der Bildfunktion über den konkret eingesetzten Anbieter und das jeweilige Drittland informiert.
Der typische Datenfluss besteht darin, dass Nutzerinnen und Nutzer eine Nachricht, eine Audioaufnahme, ein Bild oder einen sonstigen Inhalt übermitteln. Der Server nimmt die Anfrage entgegen, speichert die für die Vertragserfüllung erforderlichen Inhalte in der lokalen Datenbank, transkribiert Audioinhalte soweit technisch umgesetzt lokal, übermittelt den für die Antwort erforderlichen Konversationskontext an das eingesetzte KI-Sprachmodell und gibt die KI-generierte Antwort an die Nutzerin oder den Nutzer zurück. Optional können aus Konversationen personalisierende Erinnerungen abgeleitet und in strukturierter Form gespeichert werden, wenn die Memory-Funktion aktiviert ist oder soweit die Speicherung für die gewünschte personalisierte Nutzung erforderlich und rechtlich zulässig ist.
3. Grundsätze der Verarbeitung
Die Verantwortliche verarbeitet personenbezogene Daten nur, soweit hierfür eine Rechtsgrundlage besteht. Die Verarbeitung erfolgt nach den Grundsätzen der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Vertraulichkeit und Rechenschaftspflicht. Funktionen, die für die Bereitstellung des ausdrücklich gewünschten Dienstes technisch oder vertraglich erforderlich sind, werden auf Grundlage der Vertragserfüllung, gesetzlicher Pflichten oder berechtigter Interessen verarbeitet. Freiwillige Zusatzfunktionen werden nur nach Aktivierung, Einwilligung oder ausdrücklicher Anforderung genutzt, soweit keine andere Rechtsgrundlage eingreift.
Personalisierung findet nur zur Bereitstellung der gewünschten KI-Interaktion statt. Es werden keine Bonitäts-, Gesundheits-, Risiko-, Eignungs-, Sozial-, Persönlichkeits- oder Verhaltensscores für Zwecke außerhalb des Dienstes erstellt. Es erfolgt kein Verkauf personenbezogener Daten. Es erfolgt keine Verwendung von Chatdaten, Anhängen oder Memory-Daten für Werbung Dritter. Es findet keine automatisierte Einzelentscheidung statt, die gegenüber Nutzerinnen und Nutzern rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Die Verantwortliche verwendet personenbezogene Inhalte nicht zum Training eigener KI-Grundmodelle. Eine Nutzung übermittelter Inhalte zum Training durch eingesetzte KI-Dienstleister wird vertraglich ausgeschlossen, soweit dies nach den jeweils verfügbaren kommerziellen Vertragsbedingungen technisch und rechtlich möglich ist. Technisch notwendige Zwischenspeicherungen durch Dienstleister für Sicherheit, Missbrauchserkennung, Fehleranalyse, Verfügbarkeit oder Abrechnung bleiben hiervon unberührt, soweit sie vertraglich und datenschutzrechtlich zulässig sind.
4. Kategorien personenbezogener Daten
4.1. Registrierungs-, Konto- und Authentifizierungsdaten
Bei der Erstellung und Nutzung eines Kontos verarbeitet die Verantwortliche insbesondere E-Mail-Adresse, Account-ID, Anzeigename, Spracheinstellung, Tarif- und Vertragsstatus, Login-Zeitpunkte, Magic-Link-Token, Session-Token, technische Sitzungsdaten und sicherheitsbezogene Login-Informationen. Magic-Link-Token und Session-Token dienen ausschließlich der Authentifizierung und Sitzungsverwaltung.
4.2. Chat-, Konversations- und Inhaltsdaten
Im Chat werden insbesondere eingegebene Textnachrichten, KI-generierte Antworten, Zeitpunkte der Kommunikation, Konversationsverläufe, Reaktionen, Emoji-Reaktionen, technische Systeminformationen zur Durchführung der Unterhaltung, Kontextinformationen, Sicherheitsinformationen zur Missbrauchserkennung sowie die für die Antwortgenerierung erforderlichen System- und Persona-Anweisungen verarbeitet. Die Inhalte können je nach Eingabe persönliche, intime, emotionale, biographische, berufliche, soziale oder sonstige vertrauliche Informationen enthalten.
4.3. Audio-, Sprach- und Transkriptionsdaten
Soweit Nutzerinnen und Nutzer Audioaufnahmen oder Sprachnachrichten übermitteln, können die Audiodatei, technische Audiodaten, Transkripte, Zeitpunkte und Zuordnungen zum jeweiligen Konto verarbeitet werden. Die Transkription erfolgt nach der gegenwärtigen Systemdokumentation lokal auf dem Server in Deutschland mittels whisper.cpp. Zusätzlich können nicht-biometrische technische Merkmale wie Sprechtempo, Lautstärke, Pausenstruktur oder Tonhöhenbereich verarbeitet werden, soweit dies für die Antwortgenerierung oder Interaktion innerhalb des konkreten Chats erforderlich ist. Es findet keine Identifizierung einer Person anhand der Stimme und keine Erstellung biometrischer Sprachprofile statt.
4.4. Bild-, Datei- und Anhangsdaten
Soweit Nutzerinnen und Nutzer Bilder, PDF-Dateien, Textdateien, Audioaufnahmen, Videodateien oder sonstige Dateien hochladen, werden die Datei, Dateiname, Dateityp, Dateigröße, technische Metadaten, gegebenenfalls automatisch erzeugte Beschreibungen, Transkripte oder Auszüge sowie die Zuordnung zum Konto verarbeitet. Bei Bildern und Videostandbildern kann eine KI-gestützte Beschreibung erzeugt werden, um eine Antwort im Chat zu ermöglichen. Es findet keine Gesichtserkennung, keine biometrische Identifizierung und keine Erstellung biometrischer Profile statt.
4.5. Onboarding-, Präferenz- und Personalisierungsdaten
Im Onboarding und während der Nutzung können freiwillige Angaben verarbeitet werden, insbesondere Name oder gewünschte Ansprache, Kommunikationsstil, bevorzugte Beziehungsebene zur Persona, Interessen, Kontextangaben, Grenzen, Vorlieben, Themenpräferenzen, Spracheinstellungen und sonstige Informationen, die Nutzerinnen und Nutzer selbst eingeben. Diese Angaben dienen der Personalisierung der KI-Interaktion und der Bereitstellung des gewünschten Dienstes.
4.6. Memory-Daten und abgeleitete Erinnerungen
Wenn die Memory-Funktion aktiviert ist oder wenn Nutzerinnen und Nutzer eine dauerhafte Personalisierung ausdrücklich wünschen, können aus dem Chatverlauf strukturierte Erinnerungen und Kontextnotizen abgeleitet werden. Hierzu können insbesondere Vorlieben, Abneigungen, Kommunikationspräferenzen, wiederkehrende Themen, biographische Angaben, Beziehungskontext, persönliche Ziele und sonstige für die gewünschte Interaktion relevante Kontextinformationen gehören. Memory-Daten werden ausschließlich zur Personalisierung innerhalb des Dienstes verwendet und können gelöscht oder deaktiviert werden.
4.7. Abrechnungs-, Vertrags- und Zahlungsdaten
Bei kostenpflichtiger Nutzung verarbeitet die Verantwortliche insbesondere E-Mail-Adresse, Stripe-Customer-ID, Subscription-ID, Tarif, Vertragsbeginn, Vertragsende, Probephase, Zahlungsstatus, Rechnungsstatus, Rechnungsmetadaten, steuerlich relevante Rechnungsdaten und sonstige für die Vertragsverwaltung erforderliche Daten. Vollständige Kreditkarten-, IBAN- oder Bankdaten werden nicht durch die Verantwortliche gespeichert, sondern durch den Zahlungsdienstleister verarbeitet.
4.8. Push-, Benachrichtigungs- und Reaktivierungsdaten
Wenn Web-Push-Benachrichtigungen aktiviert werden, verarbeitet die Verantwortliche insbesondere Web-Push-Endpunkt-URL, p256dh-Schlüssel, auth-Schlüssel, technische Browser- oder Geräteinformationen, Zustellinformationen, Einwilligungsstatus und Zeitpunkt der Aktivierung oder Deaktivierung. Push-Benachrichtigungen dienen optionalen Erinnerungen, Reaktivierungsnachrichten, Sicherheitsinformationen oder sonstigen freiwillig gewünschten Mitteilungen.
4.9. WhatsApp- und sonstige Kommunikationskanal-Daten
Soweit eine WhatsApp-Anbindung oder ein sonstiger externer Kommunikationskanal bereitgestellt und von Nutzerinnen und Nutzern aktiviert wird, können Telefonnummer, WhatsApp-Kennung, durch Meta oder den jeweiligen Anbieter bereitgestellte Kennungen, Nachrichteninhalte, Zustellinformationen, Zeitpunkte und technische Metadaten verarbeitet werden. Diese Anbindung ist freiwillig. Nutzerinnen und Nutzer können den Dienst ohne WhatsApp über die Website nutzen, soweit die Website-Nutzung verfügbar ist.
4.10. Server-, Log-, Sicherheits- und Missbrauchsdaten
Beim Aufruf und bei der Nutzung des Dienstes werden insbesondere IP-Adresse, Datum, Uhrzeit, aufgerufene Ressource, Referrer, User-Agent, HTTP-Statuscode, technische Fehlerdaten, Login-Ereignisse, sicherheitsrelevante Ereignisse, Missbrauchsindikatoren, Rate-Limiting-Informationen, Webhook-Ereignisse und technische Betriebsdaten verarbeitet. Diese Daten dienen der Betriebssicherheit, der Fehleranalyse, der Missbrauchsabwehr, der Angriffserkennung, der Durchsetzung der Nutzungsbedingungen und der Sicherstellung der Verfügbarkeit.
4.11. Analyse- und Reichweitenmessungsdaten
Die Verantwortliche setzt nach der gegenwärtigen Systemdokumentation Umami selbst gehostet ein. Dabei werden für Landing-Page und Legal-Seiten cookieless und ohne personenbezogene Identifier insbesondere Seitenaufrufe, Referrer, grobe geografische Einordnung auf Länderebene, Browser-Familie und aggregierte Nutzungsdaten verarbeitet. Die Analyse dient der technischen und inhaltlichen Verbesserung des Dienstes und erfolgt ohne Erstellung personenbezogener Werbeprofile.
4.12. Einwilligungs-, Nachweis- und Dokumentationsdaten
Zur Erfüllung gesetzlicher Nachweis- und Rechenschaftspflichten verarbeitet die Verantwortliche Zeitpunkt, Inhalt, Version, Status und Widerruf erteilter Einwilligungen, technische Nachweise, Account-Zuordnung, Dokumentationsstände, Sicherheitsentscheidungen, Löschanträge, Auskunftsanträge und sonstige Nachweisdaten.
5. Besondere Kategorien personenbezogener Daten
In einem KI-Companion-Dienst können Nutzerinnen und Nutzer freiwillig besonders sensible Informationen offenlegen, etwa Angaben zu Gesundheit, psychischer Verfassung, Sexualleben, sexueller Orientierung, religiösen oder weltanschaulichen Überzeugungen, politischen Meinungen, Gewerkschaftszugehörigkeit, ethnischer Herkunft oder vergleichbaren persönlichen Umständen. Solche Angaben können besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO darstellen.
Die Verantwortliche fordert Nutzerinnen und Nutzer nicht dazu auf, besondere Kategorien personenbezogener Daten offenzulegen, soweit dies für die Nutzung nicht erforderlich ist. Da der Dienst aber gerade auf freie, persönliche und kontextbezogene Kommunikation angelegt ist, kann eine Verarbeitung solcher Daten eintreten, wenn Nutzerinnen und Nutzer entsprechende Angaben selbst in den Dienst eingeben, hochladen oder in Anhängen offenlegen. Die Verarbeitung erfolgt in diesem Fall nur auf Grundlage einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO oder soweit eine andere gesetzliche Ausnahme einschlägig ist.
Die ausdrückliche Einwilligung für sensible Inhalte wird im Onboarding oder vor Nutzung entsprechender Funktionen gesondert eingeholt. Ohne diese Einwilligung darf der Dienst nicht bewusst für besonders sensible Inhalte genutzt werden. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung. Nach Widerruf kann der Dienst nur eingeschränkt oder nicht weiter genutzt werden, soweit die Verarbeitung sensibler Inhalte für den konkret gewünschten Nutzungszweck erforderlich ist.
Die Verantwortliche verwendet besondere Kategorien personenbezogener Daten nicht für Werbung, Verkauf an Dritte, Bonitätsprüfung, rechtlich erhebliche Entscheidungen, Social Scoring, biometrische Identifizierung oder Profiling außerhalb der vertragsgegenständlichen KI-Interaktion.
6. Zwecke und Rechtsgrundlagen der Verarbeitung
| Verarbeitung | Zweck | Rechtsgrundlage |
|---|---|---|
| Konto, Registrierung, Login, Magic-Link, Sessionverwaltung | Bereitstellung eines persönlichen Kontos, Authentifizierung, Vertragsdurchführung, Sicherheit | Art. 6 Abs. 1 lit. b DSGVO; für Sicherheitsanteile Art. 6 Abs. 1 lit. f DSGVO |
| Chatnachrichten, KI-Antworten, Konversationskontext | Bereitstellung des KI-Companion-Dienstes, Antwortgenerierung, Kontextbezug innerhalb des Dialogs | Art. 6 Abs. 1 lit. b DSGVO |
| Freiwillige Onboarding- und Präferenzdaten | Personalisierung der gewünschten Interaktion | Art. 6 Abs. 1 lit. b DSGVO, soweit für die gewünschte Nutzung erforderlich; im Übrigen Art. 6 Abs. 1 lit. a DSGVO |
| Besondere Kategorien personenbezogener Daten | Verarbeitung freiwillig eingegebener sensibler Inhalte innerhalb des Chats oder von Anhängen | Art. 9 Abs. 2 lit. a DSGVO in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO |
| Memory-Daten | Dauerhafte Personalisierung, Kontextwiederaufnahme, Verbesserung der gewünschten Interaktion | Art. 6 Abs. 1 lit. a DSGVO; bei Art.-9-Inhalten zusätzlich Art. 9 Abs. 2 lit. a DSGVO |
| Audio- und Transkriptdaten | Sprachnachrichten verstehen und beantworten, lokale Transkription | Art. 6 Abs. 1 lit. b DSGVO; bei freiwilliger Zusatzfunktion zusätzlich Art. 6 Abs. 1 lit. a DSGVO; bei Art.-9-Inhalten Art. 9 Abs. 2 lit. a DSGVO |
| Bilder, Dateien, Videostandbilder und Dateianhänge | Analyse und Beantwortung im Chat, technische Bereitstellung | Art. 6 Abs. 1 lit. b DSGVO; bei freiwilligen Zusatzfunktionen Art. 6 Abs. 1 lit. a DSGVO; bei Art.-9-Inhalten Art. 9 Abs. 2 lit. a DSGVO |
| KI-generierte Bilder und Bildgenerierung | Erzeugung optional angeforderter KI-Bilder | Art. 6 Abs. 1 lit. a DSGVO und/oder Art. 6 Abs. 1 lit. b DSGVO, soweit ausdrücklich angefordert; bei Drittlandtransfer ggf. Art. 49 Abs. 1 lit. a DSGVO als Ausnahme nur nach gesonderter Information, sofern keine geeigneten Garantien greifen |
| Sprachausgabe / Text-to-Speech | Optionale Ausgabe von Antworten als Audiodatei | Art. 6 Abs. 1 lit. b DSGVO, soweit Bestandteil der gewünschten Leistung; im Übrigen Art. 6 Abs. 1 lit. a DSGVO |
| Web-Push-Benachrichtigungen | Optionale Erinnerungen, Reaktivierung, Sicherheits- oder Systemhinweise | Art. 6 Abs. 1 lit. a DSGVO; für Endeinrichtungszugriff § 25 Abs. 1 TDDDG |
| Zahlung, Abo, Rechnung, Probephase | Vertragsdurchführung, Zahlungsabwicklung, Rechnungsstellung, steuerliche Dokumentation | Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit HGB und AO |
| Serverlogs, Sicherheit, Missbrauchsabwehr | Betriebssicherheit, Fehleranalyse, Angriffserkennung, Missbrauchsverhinderung, Durchsetzung von Nutzungsbedingungen | Art. 6 Abs. 1 lit. f DSGVO |
| Einwilligungsnachweise | Nachweis erteilter oder widerrufener Einwilligungen | Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit Art. 7 Abs. 1 DSGVO; hilfsweise Art. 6 Abs. 1 lit. f DSGVO |
| Analyse mit selbst gehostetem Umami | Aggregierte Reichweitenmessung, Verbesserung von Landing-Page und Legal-Seiten | Art. 6 Abs. 1 lit. f DSGVO, soweit ohne Cookies und ohne personenbezogene Identifier; bei nicht notwendigen Technologien Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG |
| Support- und Kontaktanfragen | Bearbeitung von Anfragen, Durchsetzung und Abwehr von Ansprüchen | Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO, gegebenenfalls Art. 6 Abs. 1 lit. c DSGVO |
Das berechtigte Interesse der Verantwortlichen liegt, soweit Art. 6 Abs. 1 lit. f DSGVO herangezogen wird, insbesondere im sicheren, stabilen und missbrauchsfreien Betrieb des Dienstes, in der Abwehr von Angriffen, Betrug, Spam, rechtswidriger Nutzung und technischen Störungen, in der Fehleranalyse, in der Wahrung und Durchsetzung eigener Rechte, in der Erfüllung von Nachweis- und Rechenschaftspflichten sowie in der datensparsamen Verbesserung der öffentlichen Informationsseiten.
7. Freiwillige Funktionen, Einwilligungen und Steuerungsmöglichkeiten
Folgende Funktionen sind freiwillig und werden nur genutzt, wenn Nutzerinnen und Nutzer sie aktiv auswählen, technisch aktivieren oder ausdrücklich einwilligen: Memory-Funktion, Verarbeitung besonderer Kategorien personenbezogener Daten, Audioeingabe, Sprachausgabe, Analyse von Bildern und Videostandbildern, Upload von Anhängen, Web-Push-Benachrichtigungen, WhatsApp-Anbindung, Web-Search-Funktion, KI-Bildgenerierung, Verarbeitung von Persona-Referenzbildern, optionale E-Mail-Erinnerungen und sonstige nicht zwingend erforderliche Personalisierungsfunktionen.
Einwilligungen sind freiwillig. Nutzerinnen und Nutzer können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft im Konto-Bereich, über die jeweiligen Browser- oder Geräteeinstellungen oder per E-Mail an hello@emiliaiva.com widerrufen. Nach Widerruf werden die betroffenen Daten gelöscht oder nicht weiter für den widerrufenen Zweck verarbeitet, soweit keine gesetzlichen Aufbewahrungspflichten, Sicherheitsgründe, Nachweispflichten oder vorrangige berechtigte Gründe entgegenstehen.
Soweit eine freiwillige Funktion für einen bestimmten Leistungswunsch technisch erforderlich ist, kann die Deaktivierung oder der Widerruf dazu führen, dass diese Funktion nicht mehr bereitgestellt werden kann. Der übrige Dienst bleibt nutzbar, soweit die jeweilige Funktion nicht zwingender Bestandteil des gebuchten Leistungsumfangs ist.
8. Empfänger, Auftragsverarbeiter und eingesetzte Dienstleister
Personenbezogene Daten werden nur an Empfänger übermittelt, soweit dies für Betrieb, Vertragserfüllung, Zahlungsabwicklung, Sicherheit, freiwillig aktivierte Funktionen, gesetzliche Pflichten oder Rechtsdurchsetzung erforderlich ist. Mit Auftragsverarbeitern werden Verträge nach Art. 28 DSGVO geschlossen, soweit die Anbieter als Auftragsverarbeiter tätig werden. Soweit Anbieter eigenständig verantwortlich oder gemeinsam verantwortlich handeln, wird dies entsprechend berücksichtigt.
| Empfänger / Anbieter | Funktion | Datenkategorien | Transfer / Schutz |
|---|---|---|---|
| Hetzner Online GmbH, Deutschland | Hosting, dedizierter Root-Server, Infrastruktur | Kontodaten, Datenbank, Chatdaten, Anhänge, Backups, Serverdaten, soweit lokal gespeichert | EU/EWR, kein Drittlandtransfer |
| Anthropic PBC, USA | KI-Sprachmodell, LLM-Inferenz, Antwortgenerierung, Memory-Extraktion | Nachrichten, Konversationskontext, System- und Persona-Anweisungen, gegebenenfalls Bildbeschreibungen und technische Metadaten | USA; EU-US DPF soweit zertifiziert und/oder Standardvertragsklauseln, Transfer Impact Assessment, Datenminimierung |
| ElevenLabs Inc., USA | Optionale Text-zu-Sprache-Synthese | Zur Sprachausgabe erforderliche Textinhalte, technische Anfrage- und Audiodaten | USA; EU-US DPF soweit zertifiziert und/oder Standardvertragsklauseln, Datenminimierung |
| Bytedance / Volcengine, China, und/oder BytePlus Pte. Ltd., Singapur | Optionale KI-Bildgenerierung, Seedream/vergleichbare Bildmodelle | Bild-Prompt, gegebenenfalls Persona-Referenzbild, technische Metadaten; keine Zahlungsdaten, keine Klar-E-Mail-Adressen, keine unnötigen Konversationshistorien | China/Singapur; Standardvertragsklauseln und zusätzliche Schutzmaßnahmen; Aktivierung nur freiwillig und gesondert informiert |
| Stripe Payments Europe Ltd., Irland, und verbundene Stripe-Unternehmen | Zahlungsabwicklung, Checkout, Customer Portal, Abonnementverwaltung, Rechnungen | Abrechnungs-, Vertrags-, Zahlungsstatus-, Rechnungs- und technische Zahlungsdaten | EU/EWR; Stripe kann Daten in Drittländer, insbesondere USA, nach eigenen Transfermechanismen übermitteln |
| Resend Inc., USA | Magic-Link-E-Mails, Transaktions-E-Mails, System- und Sicherheitsmeldungen | E-Mail-Adresse, E-Mail-Inhalt, Versandzeitpunkt, Zustell- und technische Metadaten | USA; EU-US DPF soweit zertifiziert und/oder Standardvertragsklauseln |
| Apple, Google, Mozilla, Microsoft oder jeweilige Browser-/Betriebssystemanbieter | Technische Zustellung von Web-Push-Benachrichtigungen | Push-Endpunkt, technische Zustellinformationen, Browser- oder Gerätemetadaten | Je nach Anbieter; teilweise eigenständige Verantwortlichkeit und Drittlandtransfer möglich |
| Meta Platforms Ireland Ltd. / WhatsApp, sofern aktiviert | Freiwillige WhatsApp-Kommunikation | Telefonnummer, WhatsApp-Kennung, Nachrichteninhalte, Zustellinformationen, technische Metadaten | EU und ggf. Drittländer nach Datenschutzbedingungen von Meta; Meta kann eigenständig verantwortlich sein |
| Umami, selbst gehostet | Cookieless Analyse von Landing-Page und Legal-Seiten | Aggregierte Nutzungsdaten, Referrer, grobe Geo, Browser-Familie | Lokal auf Server in Deutschland, keine externen Empfänger |
9. Drittlandübermittlungen
Eine Übermittlung personenbezogener Daten in Staaten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Dies kann insbesondere auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission, einer Zertifizierung nach dem EU-US Data Privacy Framework, von Standardvertragsklauseln nach Art. 46 DSGVO, zusätzlichen technischen und organisatorischen Schutzmaßnahmen, einer ausdrücklichen Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO oder einer sonstigen gesetzlichen Ausnahme erfolgen.
Bei US-Anbietern wie Anthropic, ElevenLabs und Resend stützt die Verantwortliche Drittlandübermittlungen auf das EU-US Data Privacy Framework, soweit der jeweilige Anbieter hierfür wirksam zertifiziert ist, sowie ergänzend oder hilfsweise auf Standardvertragsklauseln nach dem Durchführungsbeschluss (EU) 2021/914 und zusätzliche Schutzmaßnahmen. Hierzu gehören insbesondere Datenminimierung, Zweckbindung, vertragliche Beschränkungen, Prüfung der Anbieterinformationen, Beschränkung der übermittelten Inhalte auf das Erforderliche und organisatorische Zugriffsbeschränkungen.
Bei der optionalen Bildgenerierung über Bytedance/Volcengine beziehungsweise BytePlus können Daten je nach konkret aktivierter Anbieterintegration in China oder Singapur verarbeitet werden. Für China und Singapur besteht kein Angemessenheitsbeschluss der Europäischen Kommission. Die Übermittlung ist datenschutzrechtlich besonders sensibel. Daher werden nur die für die Bildgenerierung erforderlichen Daten übermittelt, insbesondere der Bild-Prompt, gegebenenfalls ein freiwillig bereitgestelltes Persona-Referenzbild und technische Anfrage-Metadaten. Kontodaten, Zahlungsdaten, Klar-E-Mail-Adressen, User-IDs und vollständige Chat-Historien werden nicht übermittelt, soweit dies technisch nicht zwingend erforderlich ist. Die Verantwortliche stützt die Übermittlung auf Standardvertragsklauseln und zusätzliche Schutzmaßnahmen; die Funktion wird nur freiwillig und nach gesonderter Information aktiviert. Die Verantwortliche prüft regelmäßig, ob eine Substitution durch einen Anbieter innerhalb der EU, des EWR oder eines Landes mit günstigerem Datenschutzniveau möglich ist.
Bei Stripe, Browser-Push-Anbietern, Meta/WhatsApp oder sonstigen optionalen Drittanbietern können je nach Anbieter weitere Drittlandübermittlungen stattfinden. Insoweit gelten die Datenschutzinformationen und Transfermechanismen der jeweiligen Anbieter, soweit diese eigenständig verantwortlich handeln. Die Verantwortliche begrenzt die Weitergabe auf das für die jeweilige Funktion Erforderliche.
10. Einzelne Verarbeitungsvorgänge
10.1. Website-Aufruf, Hosting und technische Bereitstellung
Beim Aufruf der Website und des Chat-Dienstes verarbeitet der Server technische Zugriffsdaten, um die angeforderte Seite oder Funktion auszuliefern, die Verbindung abzusichern, Angriffe zu erkennen und Fehler zu analysieren. Hierzu gehören IP-Adresse, Datum und Uhrzeit, angeforderte URL, Referrer, User-Agent, HTTP-Statuscode und technische Fehlerdaten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit der Abruf des Dienstes vertraglich oder vorvertraglich erfolgt, sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheit, Verfügbarkeit und Missbrauchsabwehr.
10.2. Kontoerstellung und Magic-Link-Login
Für die Nutzung des persönlichen Chat-Dienstes ist ein Konto erforderlich. Die Anmeldung erfolgt über einen Magic-Link, der per E-Mail versendet wird. Hierbei werden E-Mail-Adresse, Login-Anfrage, Token, Ablaufzeitpunkt, Versandstatus und Sessiondaten verarbeitet. Die Verarbeitung dient der Vertragserfüllung und sicheren Authentifizierung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO; sicherheitsbezogene Logdaten werden zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO gestützt.
10.3. KI-Chat und Antwortgenerierung
Zur Generierung von Antworten werden die jeweils erforderlichen Chatnachrichten, Kontextinformationen, Systemanweisungen und Persona-Vorgaben verarbeitet. Je nach Anfrage können Inhalte an Anthropic als KI-Sprachmodell-Anbieter übermittelt werden. Die Übermittlung wird auf das für die Antwortgenerierung Erforderliche begrenzt. Die Verarbeitung dient der Bereitstellung des gebuchten KI-Companion-Dienstes und erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Soweit Nutzerinnen und Nutzer besondere Kategorien personenbezogener Daten in den Chat einbringen, erfolgt diese Verarbeitung zusätzlich auf Grundlage ausdrücklicher Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO.
10.4. Memory-Extraktion und Personalisierung
Die Memory-Funktion erlaubt es, aus Konversationen Erinnerungen und Kontextnotizen zu speichern, damit Emilia später auf persönliche Präferenzen und relevante Hintergründe Bezug nehmen kann. Die Extraktion kann periodisch und KI-gestützt erfolgen. Memory-Daten werden strukturiert in der lokalen Datenbank gespeichert. Nutzerinnen und Nutzer können Memory-Daten deaktivieren oder löschen, soweit die Funktion technisch bereitgestellt ist. Rechtsgrundlage ist die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO; bei sensiblen Inhalten zusätzlich Art. 9 Abs. 2 lit. a DSGVO.
10.5. Audioeingabe und lokale Transkription
Bei Audioeingaben wird die Audiodatei für die Verarbeitung entgegengenommen und, soweit technisch umgesetzt, lokal auf dem Server in Deutschland mittels whisper.cpp in Text umgewandelt. Das Transkript wird genutzt, um die Anfrage im Chat zu beantworten. Eine Übermittlung an externe Transkriptionsanbieter findet für diese lokale Transkription nicht statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit Audioeingaben Bestandteil der gewünschten Nutzung sind; bei freiwilliger Aktivierung kann zusätzlich Art. 6 Abs. 1 lit. a DSGVO einschlägig sein.
10.6. Sprachausgabe über ElevenLabs
Wenn Nutzerinnen und Nutzer eine Sprachausgabe wünschen oder diese Funktion aktivieren, können die hierfür erforderlichen Textinhalte an ElevenLabs übermittelt werden, um eine Audiodatei zu erzeugen. Die Verarbeitung ist auf den für die Sprachausgabe erforderlichen Text und technische Metadaten beschränkt. Audioausgaben können als KI-generiert gekennzeichnet sein oder Anbieter-Wasserzeichen enthalten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Funktion Bestandteil des gebuchten Leistungsumfangs ist, und im Übrigen Art. 6 Abs. 1 lit. a DSGVO.
10.7. Bildanalyse und Dateianhänge
Wenn Nutzerinnen und Nutzer Bilder oder Dateien hochladen, werden diese zur Analyse und Beantwortung innerhalb des Chats verarbeitet. Bilder und Videostandbilder können beschrieben werden, um eine kontextbezogene Antwort zu ermöglichen. Es findet keine Gesichtserkennung, keine biometrische Identifizierung und keine Erstellung biometrischer Profile statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO; bei freiwilligen Zusatzfunktionen und sensiblen Inhalten gelten Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO.
10.8. KI-Bildgenerierung und generierte Selfies
Wenn Nutzerinnen und Nutzer ausdrücklich eine KI-Bildgenerierung, ein generiertes Selfie oder eine vergleichbare Bildfunktion anfordern, können ein Bild-Prompt, freiwillig bereitgestellte Referenzinformationen, technische Metadaten und die für die Bildgenerierung erforderlichen Kontextinformationen an den jeweils produktiv eingesetzten Bildgenerierungsanbieter übermittelt werden, derzeit nach der technischen Dokumentation Bytedance/Volcengine beziehungsweise nach der bisherigen Datenschutzerklärung BytePlus. Diese Funktion ist freiwillig. Nachrichtenhistorien, Kontodaten, Zahlungsdaten, Klar-E-Mail-Adressen und unnötige biographische Memory-Daten werden nicht übermittelt, soweit dies technisch nicht erforderlich ist. Die Verantwortliche erlaubt keine Generierung von Bildern realer Personen des öffentlichen Lebens und keine biometrische Identifizierung. Generierte Bilder werden nach Maßgabe der geltenden gesetzlichen Anforderungen als KI-generiert gekennzeichnet, insbesondere durch sichtbare Hinweise, Metadaten oder technische Kennzeichnungen, soweit verfügbar.
10.9. Web-Search-Funktion
Soweit eine Web-Search-Funktion aktiviert ist, kann Emilia auf externe Informationen zugreifen, um Antworten zu aktualisieren oder zu ergänzen. Dabei können Suchanfragen oder Suchkontexte an Such- oder Abrufdienste übermittelt werden. Nutzerinnen und Nutzer sollten keine sensiblen personenbezogenen Daten in Suchanfragen einbringen, soweit dies nicht erforderlich ist. Die Web-Search-Funktion wird nur genutzt, soweit sie aktiviert oder für die gewünschte Antwort erforderlich ist und eine geeignete Rechtsgrundlage besteht.
10.10. Zahlungsabwicklung über Stripe
Bei Buchung kostenpflichtiger Tarife, insbesondere des Abonnements mit monatlicher Vergütung und Probephase, erfolgt die Zahlungsabwicklung über Stripe. Stripe verarbeitet Zahlungsdaten, Rechnungsdaten, Vertragsdaten und technische Daten zur Zahlungsabwicklung. Die Verantwortliche erhält insbesondere Customer-ID, Subscription-ID, Zahlungsstatus und Rechnungsmetadaten, jedoch keine vollständigen Kreditkarten- oder Bankdaten. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für Vertragsdurchführung und Art. 6 Abs. 1 lit. c DSGVO für handels- und steuerrechtliche Aufbewahrungspflichten.
10.11. Transaktions-E-Mails über Resend
Für Magic-Link-E-Mails, System-E-Mails, Sicherheitsmeldungen, Vertragsinformationen und sonstige transaktionale Nachrichten kann Resend eingesetzt werden. Verarbeitet werden insbesondere E-Mail-Adresse, Inhalt der jeweiligen transaktionalen Nachricht, Versandzeitpunkt, Zustellstatus und technische Metadaten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für vertragsbezogene Kommunikation, Art. 6 Abs. 1 lit. c DSGVO für gesetzlich erforderliche Informationen und Art. 6 Abs. 1 lit. f DSGVO für Sicherheitsmeldungen.
10.12. Web-Push-Benachrichtigungen
Web-Push-Benachrichtigungen werden nur nach aktiver Zustimmung im Browser oder Gerät versendet. Die technische Zustellung erfolgt über Push-Dienste der jeweiligen Browser- oder Betriebssystemanbieter, etwa Apple, Google, Mozilla oder Microsoft. Die Einwilligung kann jederzeit im Browser, im Gerät oder im Konto-Bereich widerrufen werden. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
10.13. Analyse mit selbst gehostetem Umami
Die Verantwortliche kann Umami selbst gehostet einsetzen, um die Nutzung der Landing-Page und der Legal-Seiten aggregiert zu messen. Nach der gegenwärtigen technischen Ausgestaltung erfolgt diese Analyse cookieless, ohne personenbezogene Identifier und ohne Drittanbietertracking. Erfasst werden insbesondere Seitenaufrufe, Referrer, grobe Länderzuordnung und Browser-Familie. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Soweit künftig nicht notwendige Cookies oder vergleichbare Technologien eingesetzt werden, erfolgt dies nur nach Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
10.14. Support, Rechtsdurchsetzung und Missbrauchsabwehr
Bei Kontaktaufnahme, Supportanfragen, Beschwerden, Sicherheitsmeldungen, Streitigkeiten oder mutmaßlichem Missbrauch verarbeitet die Verantwortliche die zur Bearbeitung, Prüfung, Dokumentation, Abwehr oder Durchsetzung von Ansprüchen erforderlichen Daten. Bei schweren Rechtsverstößen, Gefahrenlagen, Missbrauch, Angriffen oder gesetzlich relevanten Vorgängen können Daten dokumentiert und, soweit gesetzlich zulässig oder erforderlich, an zuständige Stellen übermittelt werden. Rechtsgrundlagen sind je nach Fall Art. 6 Abs. 1 lit. b, lit. c und lit. f DSGVO.
11. Endeinrichtungszugriff, Cookies, localStorage und ähnliche Technologien
Der Dienst verwendet technisch notwendige Cookies, localStorage-Einträge, Session-Speicher oder vergleichbare Technologien zur Anmeldung, Sitzungsverwaltung, Sicherheit, Spracheinstellung, Bereitstellung des ausdrücklich gewünschten Chat-Dienstes, Missbrauchsabwehr und technischen Stabilität. Rechtsgrundlage für den Zugriff auf Informationen in der Endeinrichtung oder die Speicherung von Informationen in der Endeinrichtung ist § 25 Abs. 2 Nr. 2 TDDDG, soweit dies unbedingt erforderlich ist. Die anschließende Verarbeitung personenbezogener Daten erfolgt nach Art. 6 Abs. 1 lit. b oder lit. f DSGVO.
Nicht notwendige Speicherungen, Tracking, Marketing, personenbezogene Reichweitenmessung oder vergleichbare Technologien werden nur nach gesonderter Einwilligung eingesetzt. Rechtsgrundlage ist dann § 25 Abs. 1 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
12. Automatisierte Entscheidungen, Profiling und Scoring
Es findet keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO statt, die gegenüber Nutzerinnen und Nutzern rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Emilia trifft keine rechtsverbindlichen Entscheidungen über Nutzerinnen und Nutzer, entscheidet nicht über Vertragsabschluss außerhalb technischer Zahlungs- oder Missbrauchsmechanismen, führt keine Bonitätsprüfung durch und erstellt keine extern verwendeten Risiko-, Gesundheits-, Persönlichkeits-, Eignungs- oder Verhaltensscores.
Die Memory-Funktion und Personalisierung können dazu führen, dass Präferenzen, Kontextinformationen und wiederkehrende Themen gespeichert und bei Antworten berücksichtigt werden. Diese Verarbeitung dient ausschließlich der personalisierten KI-Interaktion innerhalb des Dienstes. Sie wird nicht für Werbung Dritter, Verkauf, Social Scoring, rechtlich erhebliche Entscheidungen oder Profiling außerhalb des Dienstes verwendet.
13. KI-Transparenz und EU-KI-Verordnung
Nutzerinnen und Nutzer werden klar und sichtbar darüber informiert, dass sie mit einem KI-System und einer fiktiven KI-Persona kommunizieren. Diese Information erfolgt in dieser Datenschutzerklärung, in den Nutzungsbedingungen, im Onboarding und im Dienst selbst. Die Marketing-Kommunikation und die Produktpositionierung bezeichnen Emilia als AI Companion beziehungsweise KI-Begleiterin.
Der Dienst ist nach der gegenwärtigen Einordnung ein generatives KI-System für Konversationszwecke und kein Hochrisiko-KI-System im Sinne der Hochrisiko-Kategorien des Anhangs III der Verordnung (EU) 2024/1689, weil er nicht für kritische Infrastruktur, Bildungsauswahl, Beschäftigungsentscheidungen, Strafverfolgung, Migration, Justiz, demokratische Prozesse, biometrische Fernidentifizierung oder vergleichbare Hochrisikozwecke eingesetzt wird. Die Verantwortliche setzt den Dienst nicht für verbotene Praktiken ein, insbesondere nicht für subliminale oder manipulative Techniken zum Schaden von Personen, Ausnutzung besonderer Verletzlichkeit, Social Scoring, ungezieltes Scraping zum Aufbau von Gesichtserkennungsdatenbanken, verbotene biometrische Kategorisierung oder Emotionserkennung in Beschäftigung oder Bildung.
Für Emilia gelten Transparenzpflichten für KI-Systeme mit begrenztem Risiko. Nutzerinnen und Nutzer müssen erkennen können, dass sie mit einer KI interagieren. Soweit synthetische Inhalte wie Bilder, Audio oder vergleichbare Ausgaben erzeugt werden, werden diese nach Maßgabe der jeweils geltenden gesetzlichen Anforderungen als KI-generiert kenntlich gemacht. Bei KI-generierten Bildern können hierzu sichtbare Hinweise, Metadaten, C2PA/IPTC-Kennzeichnungen oder vergleichbare technische Kennzeichnungen genutzt werden. Bei Audiodateien können Anbieter-Wasserzeichen oder sonstige technische Markierungen eingesetzt werden.
Die Verantwortliche dokumentiert eingesetzte KI-Modelle, Modellversionen, Anbieter, Zwecke, System-Prompts, Persona-Spezifikationen, Sicherheitsvorgaben und relevante Vorfälle. Mit der Verarbeitung beschäftigte Personen werden entsprechend ihrer Aufgaben in datenschutzrechtlichen und KI-bezogenen Grundsätzen eingewiesen. Bei wesentlichen Funktionsänderungen, insbesondere bei höher personalisierter Bildgenerierung, Videogenerierung, stärkerer emotionaler Analyse oder neuen Kommunikationskanälen, wird die datenschutz- und KI-rechtliche Bewertung aktualisiert.
14. Speicherdauer und Löschkonzept
| Datenart | Speicherdauer |
|---|---|
| Kontodaten, E-Mail-Adresse, Account-ID, Spracheinstellung, Tarifstatus | Solange das Konto besteht; danach Löschung, soweit keine Aufbewahrungspflichten oder Rechtsgründe entgegenstehen. |
| Chat-Inhalte, Textnachrichten, KI-Antworten, Bilder, Audiodaten, Transkripte, Anhänge | Bis zur Kontolöschung oder bis zur Löschung einzelner Inhalte. Soft gelöschte Nachrichten können nach gegenwärtiger Systemdokumentation für 30 Tage mit Löschvermerk im System verbleiben und werden danach per Cron endgültig gelöscht, soweit keine Rechtsgründe entgegenstehen. |
| Memory-Daten und personalisierende Erinnerungen | Bis zur Deaktivierung oder Löschung der Memory-Funktion, bis zur Kontolöschung oder bis zum Widerruf der zugrunde liegenden Einwilligung, soweit keine Rechtsgründe entgegenstehen. |
| Stripe-, Abrechnungs- und Rechnungsdaten | Während der Vertragslaufzeit und anschließend regelmäßig zehn Jahre für steuerlich und handelsrechtlich relevante Belege. |
| Serverlogs, IP-Adressen, Sicherheitsprotokolle | Grundsätzlich maximal 30 Tage nach gegenwärtiger Systemdokumentation; längere Speicherung nur bei Sicherheitsvorfällen, Missbrauch, Angriffen, Rechtsstreitigkeiten oder gesetzlicher Erforderlichkeit. |
| Web-Push-Endpunkte und Push-Schlüssel | Bis Widerruf der Einwilligung, Deaktivierung der Funktion oder Kontolöschung. |
| Analyse-Rohdaten bei selbst gehostetem Umami | Rohdaten nach gegenwärtiger Systemdokumentation bis zu 90 Tage; aggregierte Daten können dauerhaft gespeichert werden, soweit sie keinen Personenbezug aufweisen. |
| Einwilligungs- und Nachweisdaten | Für die Dauer der Nutzung und anschließend für die Dauer möglicher Nachweis-, Rechenschafts- und Verjährungsfristen. |
| Backups | Backups werden regelmäßig überschrieben oder gelöscht. Löschungen aus Backups erfolgen im Rahmen der technischen Backup-Zyklen; im Wiederherstellungsfall werden gelöschte Daten erneut gelöscht, soweit rechtlich erforderlich und technisch möglich. |
Nutzerinnen und Nutzer können die Kontolöschung über den Konto-Bereich auslösen, soweit diese Funktion bereitgestellt ist, oder eine Löschung per E-Mail an hello@emiliaiva.com verlangen. Eine Löschung umfasst, soweit rechtlich und technisch möglich, Konto, Chat-Historie, Anhänge, Memory-Daten und Push-Subscriptions. Gesetzliche Aufbewahrungspflichten, Sicherheitsgründe, Nachweispflichten, Rechtsdurchsetzung und sonstige zwingende Rechtsgründe bleiben unberührt.
15. Technische und organisatorische Maßnahmen
Die Verantwortliche trifft angemessene technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu gehören nach der gegenwärtigen Systemdokumentation insbesondere der Betrieb auf einem dedizierten Server in Deutschland, HTTPS/TLS-gesicherte Verbindungen, eine nicht öffentlich erreichbare PostgreSQL-Datenbank, Zugriff auf die Server-Infrastruktur nur per SSH-Key, deaktivierte Passwort-Logins, Firewall-Regeln, Fail2Ban, automatische Sicherheitsupdates, serverseitige Eingabevalidierung, Prüfung von Stripe-Webhook-Signaturen, Rollen- und Berechtigungskonzepte, Magic-Link-Login ohne Passwortspeicherung, Trennung von Admin- und Nutzerrollen, regelmäßige Backups, RAID-1-Spiegelung, Monitoring, Wiederherstellungsdokumentation, Dependency-Audits und Sicherheits-Advisory-Überwachung.
Die Verantwortliche verfolgt als Zielwerte nach der Systemdokumentation eine Wiederherstellungszeit und einen maximalen Datenverlustzeitraum von jeweils unter 24 Stunden. Backups werden off-server bei einem getrennten Anbieter gespeichert; die Verschlüsselung der Backups ist nach der Systemdokumentation vorgesehen beziehungsweise wird umgesetzt, soweit noch nicht abgeschlossen. Sicherheitsmaßnahmen werden regelmäßig überprüft und dem Stand der Technik, den Risiken, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung angepasst.
16. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
Die Verantwortliche berücksichtigt die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Hierzu gehören insbesondere lokale Speicherung zentraler Daten auf dem deutschen Server, lokale Audio-Transkription, Datenminimierung bei Drittanbieterübermittlungen, keine unnötige Übermittlung von Klar-E-Mail-Adressen oder Zahlungsdaten an KI-Bildanbieter, freiwillige Aktivierung sensibler Zusatzfunktionen, cookieless Analyse ohne personenbezogene Identifier, getrennte Rechtsgrundlagen für notwendige und freiwillige Funktionen, Löschmöglichkeiten für Konto und einzelne Inhalte sowie die Beschränkung der Personalisierung auf den gewünschten Dienstzweck.
17. Datenschutz-Folgenabschätzung und Risikobewertung
Der Dienst verarbeitet potenziell sensible Inhalte und verwendet innovative KI-Technologien. Die Verantwortliche bewertet daher fortlaufend, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist. Nach der gegenwärtigen internen Bewertung liegen risikomindernde Faktoren darin, dass die Verarbeitung auf Wunsch der Nutzerinnen und Nutzer erfolgt, keine Bewertung gegenüber Dritten stattfindet, keine automatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung erfolgt, keine biometrische Identifizierung vorgenommen wird, Datenminimierung und Löschkonzepte vorgesehen sind und zentrale Inhalte lokal gespeichert werden. Gleichwohl wird die Bewertung bei wesentlichen Funktionsausweitungen, insbesondere höher personalisierter Bildgenerierung, Videogenerierung, stärkerer emotionaler Analyse, neuen Drittlandanbindungen oder systematischer Auswertung sensibler Inhalte, erneut durchgeführt.
18. Datenpannen und Sicherheitsvorfälle
Bei einer Verletzung des Schutzes personenbezogener Daten, etwa unbefugtem Zugriff, Datenabfluss, Kompromittierung eines Drittanbieters, Datenleck durch Softwarefehler, Fehlversand oder sonstigem Sicherheitsvorfall, bewertet die Verantwortliche unverzüglich das Risiko für die Rechte und Freiheiten betroffener Personen. Bei einem meldepflichtigen Risiko erfolgt eine Meldung an die zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden, soweit gesetzlich erforderlich. Bei voraussichtlich hohem Risiko werden betroffene Personen unverzüglich benachrichtigt, soweit keine gesetzliche Ausnahme eingreift. Sicherheitsvorfälle werden dokumentiert und für die Verbesserung der Schutzmaßnahmen ausgewertet.
19. Minderjährige
Der Dienst richtet sich nicht an Minderjährige. Die Nutzung ist nur Personen gestattet, die das in den Nutzungsbedingungen festgelegte Mindestalter erreicht haben; nach der gegenwärtigen Systemdokumentation ist eine Nutzung ab 18 Jahren vorgesehen. Die Verantwortliche verarbeitet wissentlich keine Daten von Minderjährigen, wenn die Nutzung Minderjährigen untersagt ist. Werden der Verantwortlichen Anhaltspunkte dafür bekannt, dass ein Konto entgegen diesen Vorgaben durch eine minderjährige Person genutzt wird, kann die Verantwortliche das Konto sperren, löschen oder weitere Nachweise verlangen, soweit dies rechtlich zulässig ist.
20. Betroffenenrechte
Betroffene Personen haben nach Maßgabe der DSGVO insbesondere das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, das Recht auf Unterrichtung nach Art. 19 DSGVO, das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO, das Recht auf Widerspruch nach Art. 21 DSGVO und das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung nach Art. 22 DSGVO unterworfen zu werden, soweit die jeweiligen gesetzlichen Voraussetzungen vorliegen.
Soweit die Verarbeitung auf einer Einwilligung beruht, besteht das Recht, die Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt unberührt. Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht, können betroffene Personen aus Gründen, die sich aus ihrer besonderen Situation ergeben, Widerspruch gegen die Verarbeitung einlegen. Bei Direktwerbung besteht ein jederzeitiges Widerspruchsrecht; die Verantwortliche setzt nach gegenwärtiger Ausgestaltung keine personenbezogene Direktwerbung auf Grundlage von Chat-, Memory- oder sensiblen Daten ein.
Anfragen zur Ausübung von Betroffenenrechten können an hello@emiliaiva.com oder an kontakt@fothgroup.de gerichtet werden. Zur Bearbeitung kann die Verantwortliche eine angemessene Identifizierung verlangen, soweit dies erforderlich ist, um unbefugte Auskunft oder Löschung zu verhindern. Datenexporte können, soweit technisch bereitgestellt, über den Konto-Bereich oder eine API-Funktion als maschinenlesbares Format erfolgen.
21. Beschwerderecht bei der Aufsichtsbehörde
Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt. Zuständig kann insbesondere sein:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59-61
10555 Berlin
Deutschland
Betroffene Personen können sich auch an eine Datenschutzaufsichtsbehörde ihres gewöhnlichen Aufenthaltsortes, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes wenden.
22. Änderungen dieser Datenschutzerklärung
Die Verantwortliche kann diese Datenschutzerklärung anpassen, wenn sich Rechtslage, technische Umsetzung, eingesetzte Anbieter, Funktionen, Zwecke, Rechtsgrundlagen oder organisatorische Abläufe ändern. Die jeweils aktuelle Fassung ist auf der Website abrufbar. Wesentliche Änderungen, die die Rechte oder Pflichten von Nutzerinnen und Nutzern erheblich betreffen, werden in geeigneter Weise mitgeteilt.
23. Verarbeitungsübersicht für Nutzerinnen und Nutzer
| Situation | Daten | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Nutzung ohne Konto | Technische Zugriffsdaten, gegebenenfalls cookieless Analyse | Anzeige der Website, Sicherheit, Verbesserung | Art. 6 Abs. 1 lit. f DSGVO; § 25 Abs. 2 Nr. 2 TDDDG für notwendige Speicherungen |
| Konto und Login | E-Mail, Magic-Link, Session, Tarifstatus | Anmeldung, Kontoverwaltung, Vertragserfüllung | Art. 6 Abs. 1 lit. b DSGVO |
| Chat mit Emilia | Nachrichten, Antworten, Kontext, Zeitpunkte | KI-Dialog, Vertragsleistung | Art. 6 Abs. 1 lit. b DSGVO |
| Sensible Inhalte im Chat | Freiwillig eingegebene Art.-9-Daten | Antwort auf persönliche Inhalte | Art. 9 Abs. 2 lit. a DSGVO und Art. 6 Abs. 1 lit. a DSGVO |
| Memory | Aus Chat abgeleitete Erinnerungen | Personalisierung | Einwilligung, Art. 6 Abs. 1 lit. a DSGVO |
| Audio | Audio, Transkript | Sprachnachricht verstehen | Art. 6 Abs. 1 lit. b DSGVO, ggf. Einwilligung |
| Sprachausgabe | Text für TTS, Audiodatei | Antwort vorlesen | Art. 6 Abs. 1 lit. b oder lit. a DSGVO |
| KI-Bilder | Prompt, ggf. Referenzbild | Bildgenerierung | Einwilligung und/oder Vertrag; Drittlandtransfer nach Art. 46 DSGVO oder ggf. Art. 49 DSGVO |
| Abo und Zahlung | Stripe-ID, Abo-Status, Rechnung | Zahlung, Rechnung, Steuerpflicht | Art. 6 Abs. 1 lit. b und lit. c DSGVO |
| Push | Push-Endpunkt, Schlüssel | Benachrichtigungen | Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG |