Datenschutzerklärung

Stand: 19. April 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und in der KarmaFlow-App ist:

SHOP-Construct UG (haftungsbeschränkt)
von-Schwind-Str. 17, 45768 Marl
Kontakt: E-Mail schreiben

2. Erhobene Daten

Wir erheben und verarbeiten folgende Daten:

  • Kontodaten: E-Mail-Adresse, Vorname und verschlüsseltes Passwort bei der Registrierung
  • Nutzungsdaten: Deine Karma-Einträge, KI-Auswertungen, Streaks und Meilensteine
  • Technische Daten: Geräteinformationen, App-Version, Spracheinstellung, Zeitzone
  • Zahlungsdaten: Bei Web-Checkout über Stripe: E-Mail, Zahlungsstatus (keine Kreditkartendaten bei uns)

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten deine Daten auf Grundlage folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung der KarmaFlow-Kernfunktionen — Einträge erfassen, KI-Auswertung, Karma-Score, Streaks, Achievements. Dies ist die vertragliche Hauptleistung.
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Kontosicherheit, Missbrauchsprävention, Token-basierte Authentifizierung, Rate Limiting.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Push-Benachrichtigungen (tägliche Erinnerung, Streak-Warnung, Wochenrückblick) — nur nach aktiver Zustimmung.

4. KI-Verarbeitung und Auftragsverarbeiter

Deine Journal-Einträge werden durch KI-Dienste analysiert, um Karma-Dimensionen (z.B. Mitgefühl, Achtsamkeit, Disziplin) zuzuordnen, eine Karma-Bewertung zu vergeben und Reflexionsimpulse zu generieren.

Eingesetzte KI-Anbieter:

  • OpenAI, L.P. (San Francisco, USA) — GPT-Modelle für die Karma-Auswertung. Deine Einträge werden per API an OpenAI übermittelt. Gemäß den OpenAI API Terms of Use (Section 3) werden API-Daten nicht für das Training von KI-Modellen verwendet.
  • Anthropic PBC (San Francisco, USA) — Claude-Modelle als Fallback-System. Es gelten dieselben Schutzmaßnahmen. Gemäß der Anthropic Usage Policy werden API-Daten nicht für KI-Training verwendet.

Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglichen Leistung (Art. 6 Abs. 1 lit. b DSGVO). Es erfolgt keine Weitergabe an Dritte zu Werbezwecken.

4a. Anonymisierter Feedback-Pool (sekundäre Nutzung)

Um Free-Usern auch ohne KI-Aufruf unmittelbare, hilfreiche Reflexionsimpulse liefern zu können, wiederverwenden wir die in der Vergangenheit bereits generierten KI-Antworten in anonymisierter Form. Konkret heißt das:

  • Der Original-Eintragstext wird nicht gespeichert. Wiederverwendet wird ausschließlich der von der KI generierte Output (Reflexions-Zusammenfassung, Frage, Karma-Dimension, Karma-Wert) — nicht die Eingabe.
  • Automatisierte PII-Filterung: Vor der Wiederverwendung werden die KI-Antworten durch einen Filter geprüft, der E-Mail-Adressen, Telefonnummern, URLs, längere Ziffernfolgen und mutmaßliche Eigennamen erkennt. Antworten mit einem solchen Fund werden verworfen und nicht in den Pool übernommen.
  • Kein Personenbezug: Die so gespeicherten anonymisierten Einträge enthalten keine Nutzer-ID und keinen Eintragstext; eine Rückführung auf einen einzelnen Nutzer ist durch uns nicht möglich.
  • Aufbewahrung: Anonymisierte Pool-Einträge werden spätestens 6 Monate nach ihrer letzten Verwendung gelöscht. Zusätzlich gilt eine FIFO-Obergrenze von 50.000 Einträgen pro Sprache.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung der Dienstqualität und der Reduzierung von KI-Kosten für Free-User). Eine Nutzer-Einwilligung ist nicht erforderlich, weil keine personenbezogenen Daten in den Pool übernommen werden.
  • Audit-Protokoll: Zu Nachweiszwecken wird pro Speicherversuch ein internes Prüfprotokoll geführt (Nutzer-ID, Eintrag-ID, Entscheidung, Ablehnungsgrund). Rohtexte landen darin nur, wenn ein Eintrag nach erfolgreicher PII-Prüfung tatsächlich in den anonymisierten Pool übernommen wurde; bei Ablehnung wird stattdessen ein kurzer, nicht zurückführbarer Hash abgelegt. Das Audit-Protokoll wird spätestens nach 90 Tagen automatisch gelöscht.

4b. Werbung (Google AdMob)

In der KarmaFlow-App können Free-Nutzer freiwillig ein Belohnungsvideo ansehen, um sich einen zusätzlichen Eintrag pro Tag zu verdienen (maximal 3 Videos pro Tag). Die Werbung wird über Google AdMob (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) bereitgestellt. Premium-Nutzer sehen keine Werbung.

Von AdMob verarbeitete Daten:

  • Werbe-ID (Android Advertising ID — in den Geräte-Einstellungen jederzeit zurücksetzbar)
  • IP-Adresse
  • Gerätedaten (Modell, Betriebssystem, Sprache)
  • Ungefährer Standort (IP-basiert, kein GPS)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Vor dem ersten Laden einer Werbeanzeige zeigen wir dir über Google UMP einen Consent-Dialog gemäß §25 TDDDG. Du kannst deine Einwilligung jederzeit in den App-Einstellungen widerrufen. Ohne Einwilligung werden keine Videos geladen und kein Bonus-Eintrag angeboten.

Details zur Datenverarbeitung durch Google: policies.google.com/privacy.

4c. Bilder zu Tagebuch-Einträgen (Photo Journal)

Seit Version 0.4.4 kannst du deinen Karma-Einträgen Bilder anhängen (Free: ein Bild pro Eintrag, Premium: bis zu drei Bilder). Das Hochladen ist optional — Einträge ohne Bild funktionieren unverändert.

Wo die Bilder gespeichert werden:

  • Cloudflare R2 (EU-Jurisdiktion): Wir nutzen einen Objekt-Speicher-Bucket mit Standort European Union (Endpoint *.eu.r2.cloudflarestorage.com). Die Bilder verlassen die EU nicht.
  • Pro App ein eigener Bucket: KarmaFlow, KarmaDream und KarmaPrisma haben jeweils ein getrenntes Bucket — Bilder einer App sind technisch isoliert von den anderen.

Welche Daten wir verarbeiten:

  • Bildinhalt (JPEG oder PNG, max. 5 MB pro Bild)
  • Technische Metadaten: Dateigröße, Breite × Höhe
  • EXIF-Daten werden nicht übermittelt. Die App entfernt EXIF-Felder (inkl. GPS-Standort) vor dem Upload aus jedem Bild.

Auftragsverarbeiter:

  • Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA — Objekt-Speicher (Cloudflare R2). Die physische Speicherung erfolgt in Cloudflare-Rechenzentren innerhalb der EU. Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standard Contractual Clauses (SCCs).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — das Anhängen eines Bildes ist eine vom Nutzer aktiv gewählte Kernfunktion der App.

Speicherdauer: Bilder werden zusammen mit dem zugehörigen Eintrag gespeichert und bei Kontolöschung automatisch aus dem Cloudflare-Bucket entfernt. Ein automatischer Aufräum-Job prüft stündlich, ob Upload-Fragmente (z. B. angefangene und abgebrochene Uploads älter als eine Stunde) existieren, und löscht diese.

Hinweis zu Inhalten Dritter: Wenn ein Bild identifizierbare andere Menschen zeigt (Gesichter, Nummernschilder usw.), liegt die Verantwortung für deren Rechte bei dir als Nutzer. Bitte verzichte auf Bilder, die ohne Einwilligung Dritter deren Persönlichkeitsrechte verletzen.

5. Drittlandtransfer (USA)

Für die KI-Auswertung, Werbung und Web-Zahlungsabwicklung werden Daten an Anbieter in den USA übermittelt:

  • OpenAI und Anthropic: Übermittlung von Journal-Einträgen zur KI-Analyse
  • Google LLC (AdMob): Übermittlung von Werbe-ID, IP und Gerätedaten für Belohnungsvideos (nur nach Einwilligung)
  • Stripe, Inc.: Übermittlung von E-Mail-Adresse und Zahlungsstatus bei Web-Checkout

Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10.07.2023). Zusätzlich bestehen Standard Contractual Clauses (SCCs) als Absicherung.

6. Zahlungsabwicklung

  • Stripe, Inc. (San Francisco, USA) — Zahlungsabwicklung für Web-Checkout auf karmaflow.app. Stripe verarbeitet Zahlungsdaten als eigenständiger Auftragsverarbeiter. Das Stripe Data Processing Agreement (DPA) ist Bestandteil der Stripe Services Agreement.
  • Apple (App Store): In-App-Käufe auf iOS. Apple verarbeitet Zahlungsdaten in eigener datenschutzrechtlicher Verantwortung.
  • Google (Play Store): In-App-Käufe auf Android. Google verarbeitet Zahlungsdaten in eigener datenschutzrechtlicher Verantwortung.

Wir haben keinen Zugriff auf Kreditkarten- oder Bankdaten.

7. Datenspeicherung und Aufbewahrungsfristen

  • Daten werden auf sicheren Servern in der EU gespeichert (Standort: Deutschland)
  • Passwörter werden nur als Hash gespeichert (bcrypt)
  • Übertragung erfolgt verschlüsselt (HTTPS/TLS)

Aufbewahrungsfristen:

  • Account-Daten: Gespeichert bis zur Kontolöschung durch den Nutzer
  • Bei Kontolöschung: Sofortige Deaktivierung des Kontos (Soft-Delete). Endgültige Löschung aller personenbezogenen Daten nach 30 Tagen. Zahlungsdaten werden gemäß steuerlicher Aufbewahrungsfristen bis zu 10 Jahre aufbewahrt (§ 147 AO).
  • KI-Antwort-Cache: 24 Stunden, danach automatisch gelöscht
  • Bilder (Photo Journal, siehe Ziffer 4c): gespeichert bis Löschung des zugehörigen Eintrags oder Kontos; verwaiste Upload-Fragmente werden stündlich entfernt
  • Anonymisierter Feedback-Pool (siehe Ziffer 4a): spätestens 6 Monate nach letzter Verwendung gelöscht, FIFO-Obergrenze 50.000 Einträge pro Sprache
  • Feedback-Audit-Protokoll (siehe Ziffer 4a): automatische Löschung nach 90 Tagen
  • Sitzungs-Token: Access-Token 15 Minuten, Refresh-Token 7 Tage

8. Deine Rechte (Art. 15-22 DSGVO)

Du hast jederzeit das Recht auf:

  • Auskunft (Art. 15): Welche Daten wir über dich speichern
  • Berichtigung (Art. 16): Korrektur unrichtiger Daten
  • Löschung (Art. 17): Vollständige Löschung deines Kontos und aller Daten
  • Einschränkung (Art. 18): Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20): Export deiner Daten in maschinenlesbarem Format
  • Widerspruch (Art. 21): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
  • Widerruf (Art. 7 Abs. 3): Jederzeit Widerruf erteilter Einwilligungen (z.B. Push-Benachrichtigungen)

Die Kontolöschung und den Datenexport kannst du direkt in der App unter Einstellungen vornehmen.

Beschwerderecht: Du hast das Recht auf Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde. Zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (Kavalleriestr. 2-4, 40213 Düsseldorf, www.ldi.nrw.de).

9. Cookies und Tracking

Diese Website verwendet keine Tracking-Cookies und kein Analytics. Es werden nur technisch notwendige Cookies für die Admin-Sitzungsverwaltung verwendet (HttpOnly, Secure, SameSite=Strict).

10. Kontakt

Bei Fragen zum Datenschutz: E-Mail schreiben