Datenschutzerklärung

Stand: 19. April 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und in der KarmaFlow-App ist:

SHOP-Construct UG (haftungsbeschränkt)
von-Schwind-Str. 17, 45768 Marl
Kontakt: E-Mail schreiben

2. Erhobene Daten

Wir erheben und verarbeiten folgende Daten:

  • Kontodaten: E-Mail-Adresse, Vorname und verschlüsseltes Passwort bei der Registrierung
  • Nutzungsdaten: Deine Karma-Einträge, KI-Auswertungen, Streaks und Meilensteine
  • Technische Daten: Geräteinformationen, App-Version, Spracheinstellung, Zeitzone
  • Zahlungsdaten: Bei Web-Checkout über Stripe: E-Mail, Zahlungsstatus (keine Kreditkartendaten bei uns)

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten deine Daten auf Grundlage folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung der KarmaFlow-Kernfunktionen — Einträge erfassen, KI-Auswertung, Karma-Score, Streaks, Achievements. Dies ist die vertragliche Hauptleistung.
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Kontosicherheit, Missbrauchsprävention, Token-basierte Authentifizierung, Rate Limiting.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Push-Benachrichtigungen (tägliche Erinnerung, Streak-Warnung, Wochenrückblick) — nur nach aktiver Zustimmung.

4. KI-Verarbeitung und Auftragsverarbeiter

Deine Journal-Einträge werden durch KI-Dienste analysiert, um Karma-Dimensionen (z.B. Mitgefühl, Achtsamkeit, Disziplin) zuzuordnen, eine Karma-Bewertung zu vergeben und Reflexionsimpulse zu generieren.

Eingesetzter KI-Anbieter (Stand TASK-254, Juni 2026):

  • Anthropic PBC (San Francisco, USA) — Claude-Modelle als primaerer KI-Anbieter fuer die Karma-Auswertung. Deine Eintraege werden per API an Anthropic uebermittelt. Gemaess der Anthropic Usage Policy werden API-Daten nicht fuer KI-Training verwendet.

Drittlandtransfer in die USA: Die Verarbeitung erfolgt auf Servern in den USA. Anthropic stellt fuer seine API die Standard-Vertragsklauseln (SCC) nach Durchfuehrungsbeschluss (EU) 2021/914 zur Verfuegung; diese gelten ueber die Anthropic Commercial Terms. Ein separates schriftliches Data Processing Addendum (DPA) ist beim Verantwortlichen in Vorbereitung. Verarbeitungsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung) sowie deine explizite Einwilligung in der App (Consent-Type ai_analysis).

Es erfolgt keine Weitergabe an Dritte zu Werbezwecken.

4a. Anonymisierter Feedback-Pool (sekundäre Nutzung)

Um Free-Usern auch ohne KI-Aufruf unmittelbare, hilfreiche Reflexionsimpulse liefern zu können, wiederverwenden wir die in der Vergangenheit bereits generierten KI-Antworten in anonymisierter Form. Konkret heißt das:

  • Der Original-Eintragstext wird nicht gespeichert. Wiederverwendet wird ausschließlich der von der KI generierte Output (Reflexions-Zusammenfassung, Frage, Karma-Dimension, Karma-Wert) — nicht die Eingabe.
  • Automatisierte PII-Filterung: Vor der Wiederverwendung werden die KI-Antworten durch einen Filter geprüft, der E-Mail-Adressen, Telefonnummern, URLs, längere Ziffernfolgen und mutmaßliche Eigennamen erkennt. Antworten mit einem solchen Fund werden verworfen und nicht in den Pool übernommen.
  • Kein Personenbezug: Die so gespeicherten anonymisierten Einträge enthalten keine Nutzer-ID und keinen Eintragstext; eine Rückführung auf einen einzelnen Nutzer ist durch uns nicht möglich.
  • Aufbewahrung: Anonymisierte Pool-Einträge werden spätestens 6 Monate nach ihrer letzten Verwendung gelöscht. Zusätzlich gilt eine FIFO-Obergrenze von 50.000 Einträgen pro Sprache.
  • Rechtsgrundlage (Stand TASK-254, Juni 2026): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einspeisung deiner anonymisierten KI-Antworten in den gemeinsamen Pool erfolgt nur, wenn du den separaten Consent feedback_pool_contribution in der App erteilt hast. Im Anti-Bias-Defaultzustand bleibt der Pool fuer dich deaktiviert. Vorherige Rechtsgrundlage (berechtigtes Interesse, Art. 6 Abs. 1 lit. f) wurde mit dem Einwilligungs-Modell ersetzt, um maximale Transparenz zu gewaehrleisten.
  • Audit-Protokoll: Zu Nachweiszwecken wird pro Speicherversuch ein internes Prüfprotokoll geführt (Nutzer-ID, Eintrag-ID, Entscheidung, Ablehnungsgrund). Rohtexte landen darin nur, wenn ein Eintrag nach erfolgreicher PII-Prüfung tatsächlich in den anonymisierten Pool übernommen wurde; bei Ablehnung wird stattdessen ein kurzer, nicht zurückführbarer Hash abgelegt. Das Audit-Protokoll wird spätestens nach 90 Tagen automatisch gelöscht.

4b. Werbung (Google AdMob)

In der KarmaFlow-App können Free-Nutzer freiwillig ein Belohnungsvideo ansehen, um sich einen zusätzlichen Eintrag pro Tag zu verdienen (maximal 3 Videos pro Tag). Die Werbung wird über Google AdMob (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) bereitgestellt. Premium-Nutzer sehen keine Werbung.

Von AdMob verarbeitete Daten:

  • Werbe-ID (Android Advertising ID — in den Geräte-Einstellungen jederzeit zurücksetzbar)
  • IP-Adresse
  • Gerätedaten (Modell, Betriebssystem, Sprache)
  • Ungefährer Standort (IP-basiert, kein GPS)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Vor dem ersten Laden einer Werbeanzeige zeigen wir dir über Google UMP einen Consent-Dialog gemäß §25 TDDDG. Du kannst deine Einwilligung jederzeit in den App-Einstellungen widerrufen. Ohne Einwilligung werden keine Videos geladen und kein Bonus-Eintrag angeboten.

Details zur Datenverarbeitung durch Google: policies.google.com/privacy.

4c. Bilder zu Tagebuch-Einträgen (Photo Journal)

Seit Version 0.4.4 kannst du deinen Karma-Einträgen Bilder anhängen (Free: ein Bild pro Eintrag, Premium: bis zu drei Bilder). Das Hochladen ist optional — Einträge ohne Bild funktionieren unverändert.

Wo die Bilder gespeichert werden:

  • Cloudflare R2 (EU-Jurisdiktion): Wir nutzen einen Objekt-Speicher-Bucket mit Standort European Union (Endpoint *.eu.r2.cloudflarestorage.com). Die Bilder verlassen die EU nicht.
  • Pro App ein eigener Bucket: KarmaFlow, KarmaDream und KarmaPrisma haben jeweils ein getrenntes Bucket — Bilder einer App sind technisch isoliert von den anderen.

Welche Daten wir verarbeiten:

  • Bildinhalt (JPEG oder PNG, max. 5 MB pro Bild)
  • Technische Metadaten: Dateigröße, Breite × Höhe
  • EXIF-Daten werden nicht übermittelt. Die App entfernt EXIF-Felder (inkl. GPS-Standort) vor dem Upload aus jedem Bild.

Auftragsverarbeiter:

  • Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA — Objekt-Speicher (Cloudflare R2). Die physische Speicherung erfolgt in Cloudflare-Rechenzentren innerhalb der EU. Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standard Contractual Clauses (SCCs).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — das Anhängen eines Bildes ist eine vom Nutzer aktiv gewählte Kernfunktion der App.

Speicherdauer: Bilder werden zusammen mit dem zugehörigen Eintrag gespeichert und bei Kontolöschung automatisch aus dem Cloudflare-Bucket entfernt. Ein automatischer Aufräum-Job prüft stündlich, ob Upload-Fragmente (z. B. angefangene und abgebrochene Uploads älter als eine Stunde) existieren, und löscht diese.

Hinweis zu Inhalten Dritter: Wenn ein Bild identifizierbare andere Menschen zeigt (Gesichter, Nummernschilder usw.), liegt die Verantwortung für deren Rechte bei dir als Nutzer. Bitte verzichte auf Bilder, die ohne Einwilligung Dritter deren Persönlichkeitsrechte verletzen.

5. Drittlandtransfer (USA)

Für die KI-Auswertung, Werbung, Web-Zahlungsabwicklung und technische Fehleranalyse werden Daten an Anbieter in den USA übermittelt:

  • Anthropic PBC: Übermittlung von Journal-Einträgen zur KI-Analyse, gestützt auf Standard-Vertragsklauseln (SCC) nach Beschluss (EU) 2021/914 sowie deine explizite Einwilligung (Consent-Type ai_analysis)
  • Google LLC (AdMob): Übermittlung von Werbe-ID, IP und Gerätedaten für Belohnungsvideos (nur nach Einwilligung)
  • Stripe, Inc.: Übermittlung von E-Mail-Adresse und Zahlungsstatus bei Web-Checkout
  • Functional Software, Inc. dba Sentry: Übermittlung technischer Fehlerberichte (Stack-Traces, Geräte-Metadaten, App-Version) zur Stabilitätsverbesserung

Rechtsgrundlage je Anbieter: Google LLC, Stripe Inc. und Sentry sind nach EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023) zertifiziert. Fuer Anthropic PBC ist im Repo aktuell **keine** DPF-Zertifizierung belegt; die Uebermittlung stuetzt sich daher allein auf die Standard Contractual Clauses (SCC) nach Beschluss (EU) 2021/914 sowie auf deine explizite Einwilligung (Consent-Type ai_analysis).

5a. Fehleranalyse (Sentry)

Zur Stabilitätsverbesserung der App und API setzen wir Sentry für die Aufzeichnung technischer Fehler ein.

Anbieter:

  • Functional Software, Inc. dba Sentry, 132 Hawthorne Street, San Francisco, CA 94107, USA

Welche Daten erfasst werden:

  • Fehler-Stack-Trace (welche Code-Stelle ist abgestürzt)
  • App-/API-Version, Plattform (Android/iOS/Web), Locale, Zeitzone
  • Anonyme Sitzungs-ID (nicht mit Account-Daten verknüpft)
  • Browser-/Geräte-Typ (Sentry-Standard-Tags)

Welche Daten nicht erfasst werden:

  • Klartext deiner Journal-Einträge oder Fotos
  • Dein Account-Passwort oder Zahlungsdaten
  • Standortdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionierenden, sicheren App). Eine Pseudonymisierung erfolgt durch Sentry-seitige Standard-IP-Maskierung.

Speicherdauer bei Sentry: 90 Tage (Sentry Standard-Retention).

6. Zahlungsabwicklung

  • Stripe, Inc. (San Francisco, USA) — Zahlungsabwicklung für Web-Checkout auf karmaflow.app. Stripe verarbeitet Zahlungsdaten als eigenständiger Auftragsverarbeiter. Das Stripe Data Processing Agreement (DPA) ist Bestandteil der Stripe Services Agreement.
  • Apple (App Store): In-App-Käufe auf iOS. Apple verarbeitet Zahlungsdaten in eigener datenschutzrechtlicher Verantwortung.
  • Google (Play Store): In-App-Käufe auf Android. Google verarbeitet Zahlungsdaten in eigener datenschutzrechtlicher Verantwortung.

Wir haben keinen Zugriff auf Kreditkarten- oder Bankdaten.

7. Datenspeicherung und Aufbewahrungsfristen

  • Daten werden auf sicheren Servern in der EU gespeichert (Standort: Deutschland)
  • Passwörter werden nur als Hash gespeichert (bcrypt)
  • Übertragung erfolgt verschlüsselt (HTTPS/TLS)

Aufbewahrungsfristen:

  • Account-Daten: Gespeichert bis zur Kontolöschung durch den Nutzer
  • Bei Kontolöschung: Sofortige Deaktivierung des Kontos (Soft-Delete). Endgültige Löschung aller personenbezogenen Daten nach 30 Tagen. Zahlungsdaten werden gemäß steuerlicher Aufbewahrungsfristen bis zu 10 Jahre aufbewahrt (§ 147 AO).
  • KI-Antwort-Cache: 24 Stunden, danach automatisch gelöscht
  • Bilder (Photo Journal, siehe Ziffer 4c): gespeichert bis Löschung des zugehörigen Eintrags oder Kontos; verwaiste Upload-Fragmente werden stündlich entfernt
  • Anonymisierter Feedback-Pool (siehe Ziffer 4a): spätestens 6 Monate nach letzter Verwendung gelöscht, FIFO-Obergrenze 50.000 Einträge pro Sprache
  • Feedback-Audit-Protokoll (siehe Ziffer 4a): automatische Löschung nach 90 Tagen
  • Sitzungs-Token: Access-Token 15 Minuten, Refresh-Token 7 Tage

8. Deine Rechte (Art. 15-22 DSGVO)

Du hast jederzeit das Recht auf:

  • Auskunft (Art. 15): Welche Daten wir über dich speichern
  • Berichtigung (Art. 16): Korrektur unrichtiger Daten
  • Löschung (Art. 17): Vollständige Löschung deines Kontos und aller Daten
  • Einschränkung (Art. 18): Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20): Export deiner Daten in maschinenlesbarem Format
  • Widerspruch (Art. 21): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
  • Widerruf (Art. 7 Abs. 3): Jederzeit Widerruf erteilter Einwilligungen (z.B. Push-Benachrichtigungen)

Die Kontolöschung und den Datenexport kannst du direkt in der App unter Einstellungen vornehmen.

Beschwerderecht: Du hast das Recht auf Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde. Zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (Kavalleriestr. 2-4, 40213 Düsseldorf, www.ldi.nrw.de).

9. Cookies und Web-Analytics (Matomo, Hybrid-Modus)

Essenziell: Wir speichern lokal in deinem Browser (localStorage) deine Theme-Auswahl (hell/dunkel) sowie deine Cookie-Consent-Entscheidung. Diese Daten verlassen deinen Browser nicht und sind technisch notwendig.

Standard: Cookielose Erfassung (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO). Wir nutzen Matomo Analytics auf einem eigenen Server in Deutschland (Hosting bei IONOS Cloud Germany; keine Datenuebermittlung an Dritte). Beim ersten Seitenaufruf laeuft Matomo im cookielosen ModusMatomo selbst setzt keine Cookies und schreibt nichts ins localStorage. § 25 TDDDG greift fuer das Tracking dadurch nicht; die Verarbeitung stuetzt sich auf das berechtigte Interesse an der Verbesserung der Webseite. Do-Not-Track-Header werden respektiert. Der oben genannte technisch-notwendige localStorage-Eintrag (Theme/Consent) ist davon unabhaengig.

Optional: Cross-Session-Cookies (Einwilligung, Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG). Wenn du im Cookie-Banner "Alle akzeptieren" oder den Cross-Session-Toggle waehlst, schaltet Matomo zusaetzlich 1st-Party-Cookies an (Lebensdauer 13 Monate). Damit koennen wir dich beim Wiederbesuch erkennen und Multi-Session-Funnels auswerten. Du kannst die Einwilligung jederzeit ueber den Footer-Link "Cookie-Einstellungen" widerrufen — Matomo loescht die Cookies dann clientseitig (via forgetCookieConsentGiven) beim naechsten Tracker-Aufruf.

Was Matomo erfasst (in beiden Modi):

  • Aufgerufene Seiten + Verweildauer + Einstiegs-/Ausstiegsseite
  • Geraete-/Browser-Typ + Spracheinstellung
  • Referrer (von welcher Seite du gekommen bist)
  • IP-Adresse — auf Serverseite anonymisiert (letzte 2 Bytes gekuerzt; in der Matomo-Admin-Konfiguration aktiviert)
  • Klicks auf externe Links (Outbound-Tracking)

Zusaetzliche Daten nur im Cookie-Modus:

  • 1st-Party-Cookies (_pk_id.*, _pk_ses.*) — Visitor-ID + Session-Marker
  • Wiedererkennung des Visitors ueber Sessions hinweg (max. 13 Monate)

Was Matomo NICHT erfasst:

  • Inhalte aus Eingabefeldern (Formulare/Suche)
  • Cross-Domain-Tracking ueber andere Webseiten hinweg
  • Re-Targeting oder Marketing-Profile

Speicherdauer: Matomo-Logs werden auf unserem eigenen Server in Deutschland gespeichert und periodisch im Rahmen unserer Backup-Rotation bereinigt. Auf Anfrage (siehe Art. 17 DSGVO oben) loeschen wir Daten zu deiner Person binnen 30 Tagen. Server-Logs (Webserver) max. 7 Tage zur Missbrauchspraevention.

Admin-Sitzungen: Fuer die Admin-Sitzungsverwaltung im /admin-Bereich werden technisch notwendige Cookies verwendet (HttpOnly, Secure, SameSite=Strict). Diese sind nur fuer eingeloggte Admin-User aktiv.

10. Kontakt

Bei Fragen zum Datenschutz: E-Mail schreiben