Datenschutzerklärung

Diese Erklärung beschreibt, welche personenbezogenen Daten Ankaa verarbeitet, auf welcher Rechtsgrundlage, mit welchen Dienstleistern und welche Rechte du als betroffene Person hast.

Stand: [Datum] · Anbieter: [Anbieter/Adresse]

⚠️

Entwurf — vor Veröffentlichung prüfen lassen. Dieser Text ist ein von Ankaa-intern erstellter Entwurf zur Orientierung und keine Rechtsberatung. Vor dem Live-Gang bitte von Max bzw. einer Anwältin/einem Anwalt oder Datenschutzbeauftragten prüfen und an den finalen Anbieter, die tatsächlich eingesetzten Dienste und das gewählte Geschäftsmodell anpassen. Alle [Platzhalter] müssen ausgefüllt werden.

Inhalt
  1. Verantwortlicher
  2. Überblick der Verarbeitung
  3. Rechtsgrundlagen
  4. Verarbeitete Datenarten
  5. Zwecke der Verarbeitung
  6. Eingesetzte Dienste & Empfänger
  7. Datenübermittlung in Drittländer
  8. Speicherdauer & Löschung
  9. Sicherheit der Verarbeitung
  10. Deine Rechte
  11. Beschwerderecht
  12. Änderungen dieser Erklärung

1Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

[Anbieter/Adresse]
(Name / Firma, Straße, PLZ, Ort, Land)

E-Mail: [E-Mail]
Datenschutz-Kontakt: [E-Mail]

Ein Datenschutzbeauftragter ist [ggf. benannt: Name/Kontakt — sonst entfernen] bzw. gesetzlich nicht erforderlich. Bitte prüfen, ob nach Art. 37 DSGVO bzw. § 38 BDSG eine Benennungspflicht besteht.

2Überblick der Verarbeitung

Ankaa ist ein persönliches Lebens-System (App und Wand-Display): Routinen, Gesundheits- und Gewohnheits-Tracking, Sucht-Reduktion, ein KI-Coach, Finanzübersicht, Kalender und optionale Smart-Home-Steuerung. Zur Bereitstellung dieser Funktionen verarbeiten wir die unten beschriebenen Daten. Die App ist so aufgebaut, dass jeder Nutzer-Account technisch von anderen Accounts getrennt ist und das Hosting auf die EU ausgerichtet ist.

3Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf Grundlage der DSGVO insbesondere:

  • Vertragserfüllung und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) — Bereitstellung der App-Funktionen, des Accounts und kostenpflichtiger Leistungen.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — z. B. für die Verarbeitung von Gesundheitsdaten (Art. 9 Abs. 2 lit. a DSGVO), für optionale Drittdienst-Anbindungen (Smart Home, Kalender, Smartwatch) und für die Aufnahme in eine Warteliste/Newsletter.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Sicherheit, Missbrauchsvermeidung, technische Stabilität und Weiterentwicklung; nur soweit deine schutzwürdigen Interessen nicht überwiegen.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) — z. B. handels- und steuerrechtliche Aufbewahrungspflichten bei Zahlungen.

Gesundheitsdaten (z. B. Recovery-Werte, Schmerz-/Beschwerde-Angaben, Sucht-/Gewohnheits-Tracking) sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Wir verarbeiten sie nur mit deiner ausdrücklichen Einwilligung und ausschließlich zur Erbringung der von dir gewählten Funktionen.

4Verarbeitete Datenarten

  • Stammdaten / Account: E-Mail-Adresse, Passwort (verschlüsselt/gehasht), Konto- und Abostatus.
  • Nutzungsdaten: erledigte Routinen, Tagesziele, eingegebene Notizen, App-Einstellungen, Geräte-/Synchronisationsstand.
  • Gesundheits- & Gewohnheitsdaten (sensibel): Sucht-/Reduktions-Tracking, selbst angegebene Beschwerden (z. B. Rücken), optional Recovery-Werte (Schlaf, Ruhepuls, HRV) aus einer angebundenen Smartwatch/Health-Quelle.
  • Finanzdaten (sofern genutzt): selbst eingegebene Budget-/Portfolio-Angaben. Diese dienen nur deiner Übersicht und sind keine Anlageberatung.
  • Kalender- & Smart-Home-Daten (optional): bei aktiver Anbindung Termine sowie Steuerbefehle/Status der verbundenen Geräte.
  • KI-Coach-Inhalte: deine Chat-/Diktat-Eingaben an den Coach sowie relevanter Kontext, der zur Beantwortung an den KI-Dienstleister übermittelt wird.
  • Kommunikations- & Wartelisten-Daten: E-Mail und Angaben, die du bei Anfragen oder einer Wartelisten-Anmeldung machst.
  • Technische Daten: IP-Adresse, Zeitstempel, technische Protokolle (z. B. zur Abwehr von Angriffen), gekürzt/aggregiert soweit möglich.
  • Zahlungsdaten: werden vom Zahlungsdienstleister erhoben; wir erhalten i. d. R. nur Transaktions-/Abostatus, keine vollständigen Zahlungsmittel-Daten.

5Zwecke der Verarbeitung

  • Bereitstellung, Personalisierung und Synchronisation der App über deine Geräte.
  • Betrieb des KI-Coaches (Antworten erzeugen, Routinen/Termine vorschlagen, mit deiner Bestätigung Aktionen ausführen).
  • Gesundheits-, Gewohnheits- und Finanz-Übersicht im Rahmen der von dir gewählten Module.
  • Abwicklung von Abos/Käufen und Erfüllung gesetzlicher Pflichten.
  • Sicherheit, Stabilität, Missbrauchsabwehr und Fehlerbehebung.
  • Kommunikation (Support, Service-Mails, optional Warteliste).
  • Soweit überhaupt durchgeführt: statistische Auswertung ausschließlich auf aggregierter, anonymisierter Basis — kein Verkauf personenbezogener Daten.

6Eingesetzte Dienste & Empfänger (Auftragsverarbeiter)

Zur Bereitstellung von Ankaa setzen wir sorgfältig ausgewählte Dienstleister ein, mit denen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO bestehen bzw. abzuschließen sind. Die folgende Übersicht ist anzupassen an die tatsächlich eingesetzten Dienste:

DienstZweckDatenartenHinweis
Cloudflare (Workers, Pages, KV)Hosting, Auslieferung, Edge-Speicher, Sicherheittechnische Daten, gespeicherte App-DatenEU-/Edge-Verarbeitung; Vertrag zur Auftragsverarbeitung vorhanden
Supabase (Auth & Datenbank)Konten/Anmeldung, isolierte Speicherung der NutzerdatenAccount-, Nutzungs-, sensible App-DatenEU-Region wählen; Account-Isolation per Row-Level-Security
Paddle (Zahlungsabwicklung)Abo-/Kaufabwicklung, Rechnungsstellung, EU-UmsatzsteuerZahlungs-/RechnungsdatenMerchant of Record; eigene Datenschutzhinweise des Anbieters
Anthropic (KI-Coach)Erzeugung der Coach-Antwortendeine Coach-Eingaben + relevanter KontextÜbermittlung nur bei Coach-Nutzung; ggf. Drittland (s. u.)
Google (optional: Kalender, Sprache-zu-Text)Kalender-Anbindung, optionale DiktatfunktionTermine, Sprach-/Audiodaten der Diktatfunktionnur bei aktiver Anbindung/Einwilligung; ggf. Drittland
E-Mail-/Versand-DienstService- und Wartelisten-MailsE-Mail-Adresse[konkreten Anbieter eintragen oder entfernen]

Eine Weitergabe an Behörden erfolgt nur, soweit gesetzlich vorgeschrieben. Wir verkaufen keine personenbezogenen Daten und geben sie nicht zu Werbezwecken an Dritte weiter.

7Datenübermittlung in Drittländer

Soweit Dienstleister Daten außerhalb der EU/des EWR (z. B. in den USA) verarbeiten, geschieht dies nur auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO — insbesondere EU-Standardvertragsklauseln und/oder einer Zertifizierung nach dem EU-US Data Privacy Framework, sowie ergänzender Schutzmaßnahmen. Wir streben an, Daten vorrangig in der EU zu verarbeiten und Drittland-Übermittlungen zu minimieren. Welche Dienste konkret in Drittländern verarbeiten, ist im finalen Text je Dienst zu konkretisieren: [ggf. Anthropic, Google — Garantien benennen].

8Speicherdauer & Löschung

  • App- und Nutzungsdaten werden gespeichert, solange dein Account besteht, und nach Konto-Löschung innerhalb angemessener Frist gelöscht (Vorschlag: spätestens [z. B. 30 Tage] nach Löschanfrage, abzüglich gesetzlich aufbewahrungspflichtiger Daten).
  • Rechnungs-/Zahlungsdaten werden im Rahmen der gesetzlichen Aufbewahrungsfristen (handels-/steuerrechtlich i. d. R. bis zu 10 Jahre) aufbewahrt.
  • Wartelisten-/Newsletter-Daten verarbeiten wir bis zum Widerruf bzw. Wegfall des Zwecks.
  • Technische Protokolle werden zeitnah gelöscht oder anonymisiert.

9Sicherheit der Verarbeitung

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO: Verschlüsselte Übertragung (HTTPS/TLS), Account-Isolation auf Datenbankebene (Row-Level-Security), Zugriffsbeschränkungen, sowie regelmäßige Überprüfung der eingesetzten Dienste. Trotz aller Sorgfalt kann keine vollständige Sicherheit garantiert werden; bitte schütze deine Zugangsdaten.

10Deine Rechte als betroffene Person

Dir stehen nach der DSGVO insbesondere folgende Rechte zu:

  • Auskunft (Art. 15) über die zu dir verarbeiteten Daten.
  • Berichtigung (Art. 16) unrichtiger Daten.
  • Löschung (Art. 17) — „Recht auf Vergessenwerden".
  • Einschränkung der Verarbeitung (Art. 18).
  • Datenübertragbarkeit (Art. 20) in einem gängigen, maschinenlesbaren Format.
  • Widerspruch (Art. 21) gegen Verarbeitungen auf Grundlage berechtigter Interessen.
  • Widerruf von Einwilligungen (Art. 7 Abs. 3) mit Wirkung für die Zukunft.

Zur Ausübung deiner Rechte genügt eine Nachricht an [E-Mail]. Eine Konto-Löschung kannst du zudem in den App-Einstellungen anstoßen.

11Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe hast du das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere in dem Mitgliedstaat deines Aufenthaltsorts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. In Deutschland ist die zuständige Behörde i. d. R. die des Bundeslandes des Verantwortlichen: [zuständige Aufsichtsbehörde — z. B. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit].

12Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Verarbeitung oder die Rechtslage ändert. Es gilt jeweils die hier veröffentlichte Fassung. Stand: [Datum].