Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und in der KarmaFlow-App ist:

SHOP-Construct UG (haftungsbeschränkt)
von-Schwind-Str. 17, 45768 Marl
Kontakt: E-Mail schreiben

2. Erhobene Daten

Wir erheben und verarbeiten folgende Daten:

  • Kontodaten: E-Mail-Adresse, Vorname und verschlüsseltes Passwort bei der Registrierung
  • Nutzungsdaten: Deine Karma-Einträge, KI-Auswertungen, Streaks und Meilensteine
  • Technische Daten: Geräteinformationen, App-Version, Spracheinstellung, Zeitzone
  • Zahlungsdaten: Bei Web-Checkout über Stripe: E-Mail, Zahlungsstatus (keine Kreditkartendaten bei uns)

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten deine Daten auf Grundlage folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung der KarmaFlow-Kernfunktionen — Einträge erfassen, KI-Auswertung, Karma-Score, Streaks, Achievements. Dies ist die vertragliche Hauptleistung.
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Kontosicherheit, Missbrauchsprävention, Token-basierte Authentifizierung, Rate Limiting.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Push-Benachrichtigungen (tägliche Erinnerung, Streak-Warnung, Wochenrückblick) — nur nach aktiver Zustimmung.

4. KI-Verarbeitung und Auftragsverarbeiter

Deine Journal-Einträge werden durch KI-Dienste analysiert, um Karma-Dimensionen (z.B. Mitgefühl, Achtsamkeit, Disziplin) zuzuordnen, eine Karma-Bewertung zu vergeben und Reflexionsimpulse zu generieren.

Eingesetzte KI-Anbieter:

  • OpenAI, L.P. (San Francisco, USA) — GPT-Modelle für die Karma-Auswertung. Deine Einträge werden per API an OpenAI übermittelt. Gemäß den OpenAI API Terms of Use (Section 3) werden API-Daten nicht für das Training von KI-Modellen verwendet.
  • Anthropic PBC (San Francisco, USA) — Claude-Modelle als Fallback-System. Es gelten dieselben Schutzmaßnahmen. Gemäß der Anthropic Usage Policy werden API-Daten nicht für KI-Training verwendet.

Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglichen Leistung (Art. 6 Abs. 1 lit. b DSGVO). Es erfolgt keine Weitergabe an Dritte zu Werbezwecken.

5. Drittlandtransfer (USA)

Für die KI-Auswertung und die Web-Zahlungsabwicklung werden Daten an Anbieter in den USA übermittelt:

  • OpenAI und Anthropic: Übermittlung von Journal-Einträgen zur KI-Analyse
  • Stripe, Inc.: Übermittlung von E-Mail-Adresse und Zahlungsstatus bei Web-Checkout

Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10.07.2023). Zusätzlich bestehen Standard Contractual Clauses (SCCs) als Absicherung.

6. Zahlungsabwicklung

  • Stripe, Inc. (San Francisco, USA) — Zahlungsabwicklung für Web-Checkout auf karmaflow.app. Stripe verarbeitet Zahlungsdaten als eigenständiger Auftragsverarbeiter. Das Stripe Data Processing Agreement (DPA) ist Bestandteil der Stripe Services Agreement.
  • Apple (App Store): In-App-Käufe auf iOS. Apple verarbeitet Zahlungsdaten in eigener datenschutzrechtlicher Verantwortung.
  • Google (Play Store): In-App-Käufe auf Android. Google verarbeitet Zahlungsdaten in eigener datenschutzrechtlicher Verantwortung.

Wir haben keinen Zugriff auf Kreditkarten- oder Bankdaten.

7. Datenspeicherung und Aufbewahrungsfristen

  • Daten werden auf sicheren Servern in der EU gespeichert (Standort: Deutschland)
  • Passwörter werden nur als Hash gespeichert (bcrypt)
  • Übertragung erfolgt verschlüsselt (HTTPS/TLS)

Aufbewahrungsfristen:

  • Account-Daten: Gespeichert bis zur Kontolöschung durch den Nutzer
  • Bei Kontolöschung: Sofortige Markierung als gelöscht (Soft-Delete). Endgültige Löschung personenbezogener Daten nach Ablauf steuerlicher Aufbewahrungsfristen (bis zu 10 Jahre für Zahlungsdaten gemäß § 147 AO)
  • KI-Antwort-Cache: 24 Stunden, danach automatisch gelöscht
  • Sitzungs-Token: Access-Token 15 Minuten, Refresh-Token 7 Tage

8. Deine Rechte (Art. 15-22 DSGVO)

Du hast jederzeit das Recht auf:

  • Auskunft (Art. 15): Welche Daten wir über dich speichern
  • Berichtigung (Art. 16): Korrektur unrichtiger Daten
  • Löschung (Art. 17): Vollständige Löschung deines Kontos und aller Daten
  • Einschränkung (Art. 18): Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20): Export deiner Daten in maschinenlesbarem Format
  • Widerspruch (Art. 21): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
  • Widerruf (Art. 7 Abs. 3): Jederzeit Widerruf erteilter Einwilligungen (z.B. Push-Benachrichtigungen)

Die Kontolöschung und den Datenexport kannst du direkt in der App unter Einstellungen vornehmen.

Beschwerderecht: Du hast das Recht auf Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde. Zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (Kavalleriestr. 2-4, 40213 Düsseldorf, www.ldi.nrw.de).

9. Cookies und Tracking

Diese Website verwendet keine Tracking-Cookies und kein Analytics. Es werden nur technisch notwendige Cookies für die Admin-Sitzungsverwaltung verwendet (HttpOnly, Secure, SameSite=Strict).

10. Kontakt

Bei Fragen zum Datenschutz: E-Mail schreiben