Diese Datenschutzerklärung beschreibt, wie Online Presence Builder SRL ("RespirAIA", "wir", "uns") personenbezogene Daten in der mobilen RespirAIA-App, der Marketing-Website respiraiapp.com und den dazugehörigen Diensten verarbeitet.
Wir verarbeiten deine Daten rechtmäßig, transparent und nur so weit, wie es nötig ist, um RespirAIA bereitzustellen und weiterzuentwickeln. Wir sitzen in Rumänien, betreuen aber Nutzerinnen und Nutzer weltweit.
1. Wer wir sind
Verantwortlicher / Vertragspartner:
| Firmenname | Online Presence Builder SRL |
| Geschäftssitz | Bd. Siderurgiștilor 15, Bl. SD10B, parter, Galați, România |
| Rumänische Steuernummer (CUI/CIF) | 35799807 |
| EU-USt-IdNr. | RO45030362 (nur innergemeinschaftliche Vorgänge) |
| Handelsregister | J17/450/2016 · J2016000450170 |
| Alleiniger Geschäftsführer | Gabriel Ursan |
| Öffentlicher Kontakt | [email protected] |
Datenschutzkontakt: Gabriel Ursan, erreichbar unter [email protected].
2. Was wir erheben
Was du angibst
- Kontoangaben (E-Mail, optional Name, Passwort — gehasht über Clerk)
- Profil (Sprache, Zeitzone, Geburtsdatum für die Altersprüfung)
- Rauchprofil (Tageskonsum, Jahre, Kosten pro Packung, FTND-Wert)
- Gründe für den rauchfreien Weg und Auslöser
- Versuche, Impuls-Notizen, Tagebucheinträge
- Gespräche mit dem KI-Coach
Automatisch erzeugt
- Zusammenfassungen und Embeddings des KI-Coachs (damit dein Coach Kontext hat)
- Krisen-Metadaten — die Tatsache, dass eine Nachricht markiert wurde, plus die markierende Schicht. Den Nachrichtentext selbst speichern wir nicht.
- Abo-Status von RevenueCat (Apple IAP + Google Play)
- App-Nutzungsstatistik (nur mit deiner Zustimmung — Amplitude EU)
- Absturzberichte (Sentry)
- Audit-Protokolle (Aktionszeitstempel mit gehashter IP + User-Agent)
Was wir nicht erheben
- Daten in Krankenakten-Qualität (Blutdruck, Laborwerte usw.)
- Facebook-, Google-Analytics-, TikTok- oder andere Werbe-Tracking-SDKs
- Wir verkaufen deine Daten niemals.
3. Warum wir verarbeiten (Rechtsgrundlage)
| Den Kerndienst bereitstellen | Vertrag (DSGVO Art. 6 Abs. 1 lit. b) |
| Gesundheitsbezogene Daten verarbeiten (Rauchprofil, Tagebuch, Coach) | Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a) |
| Hinweise auf psychische Krisen erkennen und reagieren | Lebenswichtige Interessen (Art. 9 Abs. 2 lit. c) + deine Einwilligung |
| Premium-Abrechnung | Vertrag |
| Transaktions-E-Mails versenden | Vertrag |
| Marketing-E-Mails versenden | Einwilligung — Opt-in, jederzeit Opt-out |
| Betrug und Missbrauch erkennen | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
| Gesetzliche Pflichten erfüllen (Steuern, ANSPDCP-Anfragen) | Rechtliche Verpflichtung |
4. Auftragsverarbeiter
Wir nutzen Drittanbieter, um RespirAIA zu betreiben. Jeder hat einen Auftragsverarbeitungsvertrag unterzeichnet und verarbeitet Daten ausschließlich auf unsere Weisung.
| Auftragsverarbeiter | Zweck | Region |
|---|---|---|
| Render | Compute, Web-Service, Cron, Logs | EU (Frankfurt) |
| Cloudflare R2 | Objektspeicher, Backups, DSGVO-Exporte | EU-Jurisdiktion |
| Clerk | Authentifizierung | EU konfiguriert |
| Anthropic | KI-Coach + Klassifikator (Claude Sonnet + Haiku) | EU-Endpunkt |
| RevenueCat | Vereinheitlichung Apple IAP + Play Store IAP | USA (SCCs) |
| Brevo | Transaktions- und Marketing-E-Mails | EU |
| Amplitude EU | Produktstatistik (mit Einwilligung) | EU (Frankfurt) |
| Sentry | Fehler-Tracking | EU-Region (de.sentry.io) |
| Cloudflare Web Analytics | Statistik der Marketing-Website — cookielos | Globales Edge-Netz |
Für US-amerikanische Auftragsverarbeiter stützen wir uns auf Standardvertragsklauseln (SCCs) gemäß DSGVO Kapitel V. Wir verkaufen oder teilen deine personenbezogenen Daten weder mit Werbetreibenden noch mit Datenhändlern oder Marketingnetzwerken.
5. Wie lange wir speichern
| Kontoangaben, Rauchprofil, Tagebuch, Coach-Gespräche | Bis du dein Konto löschst |
| Krisen-Metadaten | 24 Monate, danach anonymisiert |
| Audit-Protokolle | 12 Monate |
| Backups | 90 Tage, rollierend |
| Steuerrechnungen | 10 Jahre (rumänisches Steuerrecht) |
| Marketing-E-Mail-Einwilligung | Bis du dich abmeldest |
6. Deine Rechte (DSGVO + UK GDPR)
- Auskunft über die zu dir gespeicherten Daten (Art. 15)
- Berichtigung unrichtiger Daten (Art. 16)
- Löschung deiner Daten (Art. 17)
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit in einem strukturierten Format (Art. 20)
- Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 21)
- Widerruf der Einwilligung jederzeit (Art. 7 Abs. 3)
- Beschwerde bei deiner Aufsichtsbehörde — für Rumänien ANSPDCP unter dataprotection.ro
Die meisten Rechte kannst du direkt in der App ausüben (Einstellungen → Datenschutz). Du kannst auch eine E-Mail an [email protected] schreiben. Wir antworten innerhalb von 30 Tagen, meist schneller.
7. Kinder
RespirAIA ist für Erwachsene ab 18 Jahren. Wir erheben wissentlich keine Daten von Personen unter 18 Jahren. Wenn du erfährst, dass sich ein Minderjähriger registriert hat, schreib bitte an [email protected], und wir löschen das Konto.
8. Cookies
Die Marketing-Website nutzt Cloudflare Web Analytics — einen cookielosen, datenschutzfreundlichen Statistikdienst. Wir setzen auf dieser Seite weder Marketing- noch Drittanbieter-Cookies. Die mobile App verwendet überhaupt keine Cookies. Eine vollständige Liste der eingesetzten notwendigen Technologien findest du in unserer Cookie-Richtlinie.
9. Sicherheit
Wir folgen branchenüblichen Standards: TLS 1.3 in der Übertragung, Verschlüsselung im Ruhezustand (AES-256-GCM Envelope-Verschlüsselung für sensible Inhalte), Least-Privilege-Zugriffe, Audit-Logging, Secrets in 1Password, signierte URLs für gespeicherte Medien, vierteljährliche Sicherheitsprüfungen.
Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigen wir die rumänische ANSPDCP innerhalb von 72 Stunden, sofern erforderlich, und informieren betroffene Nutzer, wenn die Verletzung ein hohes Risiko für ihre Rechte mit sich bringt.
10. Internationale Übermittlungen
Wenn Daten den EWR verlassen, nutzen wir Standardvertragsklauseln (Modul 2, Verantwortlicher zu Auftragsverarbeiter) und verlangen vom Empfänger ein der DSGVO gleichwertiges Schutzniveau.
11. Änderungen dieser Erklärung
Wir aktualisieren diese Erklärung, wenn sich unsere Verarbeitung ändert. Wesentliche Änderungen kündigen wir per E-Mail und über ein In-App-Banner an; das "Zuletzt aktualisiert"-Datum spiegelt immer die jüngste Fassung wider.
12. Kontakt
Datenschutzfragen: [email protected].