Datenschutzerklärung

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der DSGVO ist:

2. Überblick der Datenverarbeitung

InsideSpark ist eine KI-gestützte persönliche Coaching-Plattform. Wir verarbeiten deine personenbezogenen Daten ausschließlich zur Erbringung unserer Coaching-Leistungen, zur Verbesserung der Nutzererfahrung und zur Erfüllung unserer rechtlichen Pflichten.

Wir verkaufen, vermieten oder handeln nicht mit deinen personenbezogenen Daten. Wir nutzen keine Tracking-Technologien, Analyseservices oder zielgerichtete Werbung. Alle Daten werden auf Servern innerhalb der Europäischen Union (Deutschland) gespeichert.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten deine personenbezogenen Daten auf folgenden Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO:

• Art. 6 Abs. 1 lit. a – Einwilligung: Soweit du ausdrücklich eingewilligt hast (z. B. Push-Benachrichtigungen, Sprachverarbeitung).
• Art. 6 Abs. 1 lit. b – Vertragserfüllung: Soweit die Verarbeitung zur Erbringung des Dienstes erforderlich ist (z. B. Coaching-Gespräche, Kontoverwaltung, Zahlungsabwicklung).
• Art. 6 Abs. 1 lit. f – Berechtigte Interessen: Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist (z. B. Systemsicherheit, Betrugsprävention).

4. Registrierung und Nutzerkonto

Bei der Erstellung deines InsideSpark-Kontos erheben und verarbeiten wir folgende personenbezogene Daten:

Dein Passwort wird niemals im Klartext gespeichert. Wir verwenden den bcrypt-Hash-Algorithmus mit einem Kostenfaktor von 12.

5. KI-Coaching und Sprachverarbeitung

5.1 Textgespräche

Wenn du Textnachrichten im Coaching-Chat sendest, werden diese:

• Durch einen Sicherheitsfilter geleitet (Krisenerkennungssystem)
• An ein Large Language Model (Google Gemini) zur Antwortgenerierung gesendet
• Mit AES-256-GCM verschlüsselt in unserer Datenbank gespeichert
• Optional in semantische Einbettungen für das KI-Gedächtnis umgewandelt

5.2 Spracheingabe

Bei Nutzung der Spracheingabe wird deine Aufnahme:

• Im Browser aufgezeichnet und über eine verschlüsselte WebSocket-Verbindung übertragen
• An OpenAI Whisper (Speech-to-Text) zur Echtzeit-Transkription gesendet
• Nicht als Audio gespeichert: Die Originalaufnahme wird unmittelbar nach der Transkription gelöscht
• Das Texttranskript wird identisch zu Textnachrichten verarbeitet

5.3 Sprachausgabe (Pro-Tarif)

Für Pro-Abonnentinnen kann die KI-Antwort mittels OpenAI Text-to-Speech in Sprache umgewandelt werden. Das generierte Audio wird direkt an deinen Browser gestreamt und nicht auf unseren Servern gespeichert.

5.4 KI-Gedächtnis (Semantische Einbettungen)

Um personalisiertes Coaching zu ermöglichen, das auf früheren Gesprächen aufbaut, erstellen wir semantische Einbettungen (mathematische Repräsentationen) deiner Gesprächsinhalte. Diese werden in einer selbst gehosteten Qdrant-Vektordatenbank auf unseren EU-Servern gespeichert und bei Kontolöschung gelöscht.

6. Cookies und Speichertechnologien

InsideSpark verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb des Dienstes unerlässlich sind. Wir nutzen keine Tracking-Cookies, Analyse-Cookies oder Werbe-Cookies von Drittanbietern.

Diese Cookies sind als technisch notwendig gemäß § 25 Abs. 2 TTDSG und Art. 5 Abs. 3 der ePrivacy-Richtlinie einzustufen und bedürfen daher keiner gesonderten Einwilligung.

7. Zahlungsabwicklung

Wir nutzen Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA) als Zahlungsdienstleister. Bei einem Abonnement erhebt Stripe deine Zahlungsdaten (z. B. Kreditkartennummer, Rechnungsadresse) direkt. Wir haben keinen Zugriff auf deine vollständigen Zahlungsdaten.

Stripe verarbeitet deine Daten als eigenverantwortlicher Verarbeiter. Weitere Informationen findest du in der Datenschutzerklärung von Stripe. Stripe ist nach dem EU-US Data Privacy Framework zertifiziert und nutzt Standardvertragsklauseln (SCC) für internationale Datentransfers.

8. Hosting und Infrastruktur

Alle InsideSpark-Dienste werden auf einem dedizierten Server der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) gehostet. Alle Server befinden sich ausschließlich innerhalb der Europäischen Union (Deutschland). Hetzner verarbeitet Daten in unserem Auftrag als Auftragsverarbeiter gemäß Art. 28 DSGVO.

9. Internationale Datentransfers

Bestimmte Verarbeitungstätigkeiten erfordern die Übermittlung von Daten an Dienstleister in den USA. Wir stellen sicher, dass alle solchen Übermittlungen durch geeignete Garantien gemäß Kapitel V DSGVO abgesichert sind:

SCC = Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914). EU-US DPF = EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023).

10. Datensicherheit

• Verschlüsselung gespeicherter Daten: Alle Chat-Nachrichten werden mit AES-256-GCM verschlüsselt.
• Verschlüsselung bei der Übertragung: TLS/HTTPS und WSS (WebSocket Secure) für alle Verbindungen.
• Passwortsicherheit: bcrypt mit Kostenfaktor 12 – niemals im Klartext gespeichert.
• Zugangskontrollen: Admin-Zugriff nur per IP-Whitelist und Zwei-Faktor-Authentifizierung (TOTP).
• Brute-Force-Schutz: Max. 10 Versuche pro 30 Minuten pro IP-Adresse.
• Audit-Log: Alle sicherheitsrelevanten Ereignisse werden protokolliert.

11. Speicherdauer

• Aktives Konto: Daten werden für die Dauer deines aktiven Abonnements gespeichert.
• Kontolöschung: Nach einer Löschungsanfrage werden alle personenbezogenen Daten nach einer Karenzzeit von 30 Tagen unwiderruflich gelöscht.
• Einwilligungsnachweise: Werden auch nach Kontolöschung aus Compliance-Gründen aufbewahrt (Art. 5 Abs. 2 DSGVO).
• Sicherheitslogs: Anonymisierte Protokolle bis zu 12 Monate zur Betrugsprävention.

12. Deine Rechte

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:

• Auskunftsrecht (Art. 15): Kopie deiner gespeicherten Daten – direkt im Konto als Datenexport verfügbar.
• Berichtigungsrecht (Art. 16): Korrektur unrichtiger Daten – direkt in den Kontoeinstellungen.
• Löschungsrecht (Art. 17): Löschung deines Kontos – direkt in den Datenschutzeinstellungen.
• Einschränkungsrecht (Art. 18): Einschränkung der Verarbeitung unter bestimmten Voraussetzungen.
• Datenübertragbarkeit (Art. 20): Export deiner Daten im JSON-Format jederzeit möglich.
• Widerspruchsrecht (Art. 21): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen.
• Widerruf der Einwilligung (Art. 7 Abs. 3): Jederzeit widerrufbar ohne Auswirkung auf frühere Verarbeitung.

Zur Ausübung dieser Rechte nutze bitte die Self-Service-Funktionen in deinen Kontoeinstellungen oder kontaktiere uns unter [email protected]. Wir antworten innerhalb von einem (1) Monat gemäß Art. 12 Abs. 3 DSGVO.

13. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren. Bei wesentlichen Änderungen informieren wir dich mindestens 30 Tage im Voraus per E-Mail oder In-App-Benachrichtigung.