1. Verantwortlicher

2. Allgemeines zur Datenverarbeitung

2.1 Umfang der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung der Plattform, zur Vertragserfüllung oder aufgrund gesetzlicher Verpflichtungen erforderlich ist.

2.2 Rechtsgrundlagen (DSGVO)

• Art. 6 Abs. 1 lit. a - Einwilligung
• Art. 6 Abs. 1 lit. b - Vertragserfüllung
• Art. 6 Abs. 1 lit. c - Rechtliche Verpflichtung
• Art. 6 Abs. 1 lit. f - Berechtigtes Interesse
• Art. 9 Abs. 2 lit. a - Einwilligung bei Gesundheitsdaten

3. Erhobene Daten

3.1 Registrierung und Nutzerkonto

• E-Mail-Adresse (Pflicht)
• Passwort (verschlüsselt gespeichert)
• Registrierungszeitpunkt
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.2 Gesundheitsdaten (besondere Kategorie)

• Blutwerte und Laborberichte (PDF, Fotos)
• Medikamente und Diagnosen (freiwillig)
• Gesundheitsziele und Symptome (freiwillig)
• Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)

Speicherort: Supabase (PostgreSQL), EU-Region (Deutschland/Irland)

Verschlüsselung: TLS 1.3 bei Übertragung, AES-256 im Ruhezustand

3.3 Nutzungsdaten

• Chat-Verlauf (Fragen an KIRA)
• Zeitstempel der Nutzung
• Gewählte Supplement-Empfehlungen
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.4 Technische Daten

• IP-Adresse (anonymisiert nach 7 Tagen)
• Browser-Typ und Version
• Betriebssystem
• Referrer-URL
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit)

4. Datenempfänger und Drittanbieter

4.1 Supabase (Hosting & Datenbank)

• Anbieter: Supabase Inc., USA (Datenverarbeitung in EU)
• Zweck: Hosting der Datenbank und Backend-Funktionen
• Standort: EU-Region (Frankfurt/Irland)
• AVV: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
• Website: supabase.com/privacy

4.2 Strato (Frontend-Hosting)

• Anbieter: Strato AG, Deutschland
• Zweck: Hosting der Website
• Standort: Deutschland
• AVV: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

4.3 OpenAI (KI-Verarbeitung)

• Anbieter: OpenAI Inc., USA
• Zweck: KI-basierte Chat-Antworten und Analysen
• Datenübermittlung: Nur anonymisierte/pseudonymisierte Daten
• Speicherung: OpenAI speichert keine Chat-Daten für Training (API-Nutzung)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + Standardvertragsklauseln (SCC)
• Website: openai.com/privacy

4.4 Stripe (Zahlungsabwicklung)

• Anbieter: Stripe Inc., USA
• Zweck: Abwicklung von Zahlungen und Abonnements
• Daten: Zahlungsdaten (Kreditkarte, IBAN), E-Mail, Name
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Website: stripe.com/privacy

4.5 Google Analytics 4 (Webanalyse)

• Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
• Zweck: Webanalyse zur Verbesserung unseres Angebots (Seitenaufrufe, Sitzungsdauer, Gerätetypen, Nutzerverhalten)
• Daten: Anonymisierte IP-Adresse, Seitenaufrufe, Sitzungsdauer, Geräteinformationen, ungefährer Standort (Land/Region)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. § 25 Abs. 1 TDDDG
• Datenübermittlung: USA - Angemessenheitsbeschluss der EU-Kommission (EU-US Data Privacy Framework) sowie Standardvertragsklauseln (SCC)
• Opt-out: Über den Cookie-Banner können Sie Ihre Einwilligung jederzeit widerrufen oder verweigern
• Website: policies.google.com/privacy

4.6 Sentry (Fehlerüberwachung)

• Anbieter: Functional Software Inc. (Sentry), San Francisco, USA
• Zweck: Fehlerüberwachung und Absturzberichte zur Sicherstellung der Plattformstabilität
• Daten: Anonymisierte Fehlerprotokolle, Browser-Informationen, Geräteinformationen, Betriebssystem
• Es werden ausdrücklich keine personenbezogenen Gesundheitsdaten an Sentry übermittelt
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilität und Sicherheit der Plattform)
• Datenübermittlung: USA - Standardvertragsklauseln (SCC)
• Website: sentry.io/privacy

5. KI-Verarbeitung von Gesundheitsdaten

5.1 Funktionsweise

KIRA analysiert Ihre Gesundheitsdaten (Blutwerte, Laborberichte, Symptome) mithilfe der OpenAI API, um personalisierte Supplement-Empfehlungen zu erstellen.

5.2 Pseudonymisierung

Vor der Übermittlung an OpenAI werden Ihre Daten pseudonymisiert. Es werden keine direkt identifizierenden Merkmale (Name, E-Mail, Adresse) an OpenAI übermittelt. Die Zuordnung zu Ihrem Nutzerkonto erfolgt ausschließlich auf unseren eigenen Servern.

5.3 Zero-Data-Retention

Wir nutzen die OpenAI API mit der Zero-Data-Retention-Policy. Das bedeutet: OpenAI speichert keine über die API übermittelten Daten und nutzt diese nicht zum Training von KI-Modellen.

5.4 Rechtsgrundlage

• Art. 6 Abs. 1 lit. b DSGVO - Vertragserfüllung (Bereitstellung der KI-gestützten Beratung)
• Art. 9 Abs. 2 lit. a DSGVO - Ausdrückliche Einwilligung in die Verarbeitung von Gesundheitsdaten durch KI

5.5 Drittlandübermittlung

Die pseudonymisierten Daten werden an OpenAI Inc. in den USA übermittelt. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

6. Drittlandübermittlung (Art. 44 ff. DSGVO)

Im Rahmen unserer Datenverarbeitung werden personenbezogene Daten an Empfänger in Drittländern (insbesondere USA) übermittelt. Wir stellen durch geeignete Garantien sicher, dass Ihre Daten auch in Drittländern angemessen geschützt sind.

6.1 Garantien für die Datenübermittlung

• EU-US Data Privacy Framework (DPF): Sofern der Empfänger unter dem DPF zertifiziert ist, erfolgt die Übermittlung auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO).
• Standardvertragsklauseln (SCC): Ergänzend oder alternativ setzen wir die von der EU-Kommission genehmigten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO ein.

6.2 Übersicht Drittlandtransfers

7. Speicherdauer

• Nutzerkonto: Bis zur Löschung durch Nutzer oder Kündigung
• Gesundheitsdaten: Bis zur Löschung durch Nutzer (jederzeit möglich)
• Chat-Verlauf: Bis zur Löschung durch Nutzer
• Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht § 147 AO)
• Server-Logs: 7 Tage (IP-Anonymisierung nach 7 Tagen)

8. Cookies und Tracking

Diese Website verwendet Cookies und ähnliche Technologien. Die Einwilligung in nicht technisch notwendige Cookies erfolgt gemäß § 25 Abs. 1 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) über unseren Cookie-Banner.

8.1 Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website unbedingt erforderlich und werden ohne Einwilligung gesetzt.

• Session-Cookie (Login-Status)
• Spracheinstellung
• Theme (Hell/Dunkel-Modus)
• Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig) i.V.m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

8.2 Analytics-Cookies (einwilligungspflichtig)

Diese Cookies werden nur nach Ihrer ausdrücklichen Einwilligung über den Cookie-Banner gesetzt.

Rechtsgrundlage: § 25 Abs. 1 TDDDG (Einwilligung erforderlich) i.V.m. Art. 6 Abs. 1 lit. a DSGVO

8.3 Consent-Management

Beim ersten Besuch unserer Website wird Ihnen ein Cookie-Banner angezeigt. Sie können dort wählen, welche Cookie-Kategorien Sie zulassen möchten. Ihre Einwilligung können Sie jederzeit über die Cookie-Einstellungen im Footer der Website widerrufen oder anpassen.

9. Ihre Rechte (Art. 12-23 DSGVO)

9.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über Ihre bei uns gespeicherten Daten zu erhalten.

9.2 Berichtigung (Art. 16 DSGVO)

Sie können falsche Daten jederzeit in den Einstellungen korrigieren.

9.3 Löschung (Art. 17 DSGVO)

Sie können Ihr Konto und alle Daten jederzeit löschen:

• In den Einstellungen unter "Konto löschen"
• Per E-Mail an mail@kigenic.com
• Ausnahme: Aufbewahrungspflichten (Rechnungsdaten 10 Jahre)

9.4 Einschränkung (Art. 18 DSGVO)

Sie können die Verarbeitung einschränken lassen (z.B. während Prüfung der Richtigkeit).

9.5 Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format (JSON) exportieren.

9.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.

9.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie können Ihre Einwilligung zur Verarbeitung von Gesundheitsdaten jederzeit widerrufen. Dies hat keine Auswirkung auf die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

9.8 Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:

10. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

• TLS 1.3 Verschlüsselung für alle Datenübertragungen
• AES-256 Verschlüsselung für gespeicherte Daten
• Regelmäßige Sicherheitsupdates
• Zugriffsbeschränkungen (Role-Based Access Control)
• Backup-Strategie mit verschlüsselter Speicherung
• Penetrationstests und Security-Audits

11. Minderjährige

Unsere Plattform richtet sich an Personen ab 18 Jahren. Wir verarbeiten wissentlich keine Daten von Minderjährigen unter 18 Jahren.

12. Änderungen dieser Datenschutzrichtlinie

Wir behalten uns vor, diese Datenschutzrichtlinie anzupassen, um sie an geänderte Rechtslagen oder Dienste anzupassen.

Wesentliche Änderungen werden per E-Mail mitgeteilt. Die aktuelle Version finden Sie stets auf dieser Seite.

13. Kontakt Datenschutz

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte: