Mira Mental Health LogoMira Mental HealthAnmelden

Datenschutzerklärung

Stand: 29.10.2025

1. Verantwortlicher

ShiftCore UG (haftungsbeschränkt)
Weilstraße 10, 65183 Wiesbaden
support@shiftcore.de

2. Zwecke der Datenverarbeitung

Wir verarbeiten personenbezogene Daten zur Bereitstellung und Verbesserung von „Mira“, darunter insbesondere:

  • Login (Google OAuth)
  • Verarbeitung von Gesprächen (KI-Antworten über OpenAI Realtime für Sprache und Google Cloud Vertex AI für Text)
  • Abwicklung von Zahlungen (Stripe, PayPal)
  • Webanalyse & Conversion-Tracking (Google Analytics 4 & Google Tag Manager, standardmäßig cookieless; Cookies nur bei Zustimmung)
  • Fehleranalyse und Systemsicherheit

Die Verarbeitung dient ausschließlich dem Zweck, die Funktionalität des Dienstes sicherzustellen und zu verbessern.

3. Kategorien verarbeiteter Daten

  • Gesprächsdaten: Audio-, Text- oder Transkriptdaten der Therapiesitzung
  • Technische Daten: IP-Adresse, Browsertyp, Zeitstempel
  • Nutzerdaten via Google OAuth: Name, E-Mail, OAuth-ID
  • Zahlungsdaten: Name, E-Mail, Betrag, Zahlungs-ID

Gesprächsdaten können im Rahmen der Nutzung gesundheitsbezogene Informationen enthalten. Diese werden ausschließlich mit ausdrücklicher Einwilligung verarbeitet (Art. 9 Abs. 2 lit. a DSGVO).

4. Cookies

Wir verwenden folgende notwendige Cookies für die Funktionalität der Anwendung:

CookieZweckSpeicherdauer
next-auth.session-tokenVerwaltung der Benutzersitzung und Authentifizierung30 Tage oder bis Logout
next-auth.callback-urlWeiterleitung nach OAuth-Anmeldung (Google)Temporär während Anmeldeprozess
__Host-authjs.csrf-tokenSchutz vor Cross-Site Request Forgery (CSRF) AngriffenSession-basiert
__Host-csrf-tokenZusätzlicher CSRF-Schutz für API-AnfragenSession-basiert
cookieConsentSpeicherung der Cookie-EinstellungenPermanent (localStorage)

Optionale Statistik- & Marketing-Cookies (nur bei Zustimmung)

Bei Zustimmung zu optionalen Cookies setzen Google Analytics 4 und Google Tag Manager zusätzliche Cookies:

CookieZweckSpeicherdauer
_gaEindeutige ID zur Identifizierung des Nutzers für die Webanalyse2 Jahre
_ga_*Speicherung und Zählung von Seitenaufrufen2 Jahre
consentSpeicherung des Cookie-Einwilligungsstatus zur Freigabe an Subdomains180 Tage

Hinweis: Ohne Zustimmung erfolgt die Erfassung der Interaktionen auf der Landingpage cookieless und anonymisiert im Rahmen des Advanced Consent Mode v2. Es werden keine Identifikatoren auf Ihrem Endgerät gespeichert.

5. Verarbeitung durch OpenAI (USA) und Google Cloud Vertex AI (EU/EWR)

Zur Bereitstellung der KI-Funktionalität nutzt „Mira“ die Dienste der OpenAI, L.L.C., 3180 18th St, San Francisco, CA 94110, USA.

Gesprächsdaten (Text, Audio) werden verschlüsselt an OpenAI übermittelt und ausschließlich zur Generierung der KI-Antworten verarbeitet. OpenAI ist Auftragsverarbeiter im Sinne von Art. 28 DSGVO; ein Data Processing Addendum (DPA) einschließlich Standardvertragsklauseln (SCCs) wurde abgeschlossen.

OpenAI speichert API-Daten maximal 30 Tage zur Missbrauchserkennung und löscht diese anschließend automatisch. Eine Nutzung zur Modellweiterbildung findet nicht statt.

Die Verarbeitung erfolgt in Rechenzentren außerhalb der EU (USA) auf Grundlage der Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO).

Mehr Informationen: https://openai.com/enterprise-privacy

Zusätzlich nutzen wir für textbasierte KI-Antworten die Google Cloud Vertex AI (Google Cloud EMEA Ltd., Gordon House, Barrow Street, Dublin 4, Irland).

Gesprächsdaten (Text) werden verschlüsselt verarbeitet und ausschließlich zur Generierung der KI-Antworten genutzt. Google ist Auftragsverarbeiter i. S. d. Art. 28 DSGVO; der Google Cloud Data Processing Addendum (DPA) gilt. Eine Nutzung zur Modellweiterbildung findet nicht statt.

Die Verarbeitung erfolgt primär in der EU/EWR. Soweit aus technischen Gründen Subprozessoren in Drittländern (z. B. Google LLC, USA) eingebunden werden, erfolgt die Übermittlung auf Grundlage der Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Mehr Informationen: Google Cloud DPA | Google Cloud Privacy

6. Einwilligung in die Verarbeitung besonderer Kategorien von Daten

Da im Rahmen der Nutzung gesundheitsbezogene Inhalte entstehen können, holen wir vor der Nutzung eine ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO ein.

Diese Einwilligung umfasst insbesondere:

  • die Verarbeitung von Gesprächsdaten über die OpenAI API (USA),
  • die Verarbeitung von Textdaten über die Google Cloud Vertex AI (EU/EWR; ggf. USA),
  • die vorübergehende Speicherung der Daten zur KI-Antwortgenerierung,
  • die Übermittlung in die USA auf Grundlage der Standardvertragsklauseln.

Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, etwa per E-Mail an  support@shiftcore.de.

Ohne Einwilligung ist eine Nutzung von „Mira“ nicht möglich.

7. Google Analytics 4 & Google Tag Manager (Webanalyse)

Wir nutzen Google Tag Manager und Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) zur Reichweitenmessung und Verbesserung unseres Angebots. Auf der Landingpage wird Google Tag Manager unter Verwendung des Advanced Consent Mode v2 geladen.

Standardmäßig werden Daten cookieless und anonymisiert übertragen. Erst nach Ihrer ausdrücklichen Einwilligung im Cookie-Banner werden optionale Cookies (wie unter Ziff. 4 aufgeführt) gesetzt, um wiederkehrende Besuche zu analysieren.

Zusätzlich nutzen wir in der Webanwendung eine server-seitige Integration (GA4 Measurement Protocol). Dabei werden keine Client-seitigen Skripte von Google oder Drittanbietern geladen, um Ihre Privatsphäre zu schützen und das Blockieren durch Ad-Blocker zu verhindern. Wenn Sie der Webanalyse zustimmen, werden Ihre Einwilligungspräferenzen verschlüsselt an unsere Backend-Server übermittelt und dort zur Messung verarbeitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit im Cookie-Banner anpassen. Weitere Details finden Sie in der Datenschutzerklärung von Google unter: https://policies.google.com/privacy.

8. Erfolgsmessung unserer Werbung (Meta & Google Ads)

Art und Umfang der Datenverarbeitung

Wir nutzen server-seitiges Tracking über das Google Analytics 4 Measurement Protocol sowie den Google Tag Manager zur anonymisierten Erfolgsmessung unserer Werbekampagnen (Meta & Google Ads). Auf dem Client der Webanwendung werden hierfür keine externen Tracking-Skripte oder Cookies von Werbenetzwerken geladen.

Bei erfolgreichen Conversions (wie Registrierung oder Kauf eines Abonnements) sendet unser Server eine sichere Verbindung an Google/Meta. Wenn Sie der Webanalyse und Erfolgsmessung nicht zugestimmt haben, werden diese Daten nur in vollständig anonymisierter Form (ohne personenbeziehbare Cookies oder Identifier) übermittelt.

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit über das Cookie-Banner widerrufen.

9. Zahlungsabwicklung (Stripe & PayPal)

Für die Zahlungsabwicklung nutzen wir:

Es werden u. a. Name, E-Mail und Zahlungsbetrag übermittelt. Zahlungsdaten werden nicht bei uns gespeichert. Die Anbieter sind nach dem EU-US Data Privacy Framework zertifiziert.

10. Speicherung & Verschlüsselung

Gesprächsdaten werden während der Übertragung per TLS/SSL geschützt. Sensible Inhalte werden in der Datenbank anwendungsseitig feldweise verschlüsselt (AES‑256‑GCM). Für jede Speicherung wird ein zufälliger Initialisierungsvektor (IV) und ein Authentifizierungstag (GCM) verwendet. Der 32‑Byte‑Schlüssel wird als 64‑stelliger HEX‑Wert ausschließlich in der Server‑Umgebung (ENV) gehalten und nicht in der Datenbank gespeichert.

Verschlüsselte Felder: Sitzungs‑Transkripte und ‑Zusammenfassungen, Crisis‑Events (Nutzermeldung/Antwort), Ziele (Titel, Beschreibung, Meilensteine), Muster‑Analysen (Insights, Empfehlungen), persönliche Themen (helpAreas).

Klartextzugriff: Eine Entschlüsselung erfolgt ausschließlich zur Anzeige innerhalb deiner authentifizierten Sitzung. Es besteht kein manueller Zugriff von Mitarbeitenden auf Klartexte; Backups enthalten nur Chiffretexte.

Vektor‑Embeddings: Für Suche/Analyse speichern wir numerische Vektor‑Darstellungen (pgvector). Diese enthalten keine Klartexte; eine Rekonstruktion des Originaltexts ist praktisch nicht möglich.

11. Aufbewahrung & Löschung

  • Gesprächsdaten (z. B. Transkripte, Zusammenfassungen, Ziele, Analysen) werden so lange gespeichert, wie es für die Bereitstellung deines Verlaufs erforderlich ist oder bis du sie in der App löschst.
  • OpenAI löscht verarbeitete Daten spätestens nach 30 Tagen.
  • Bei Google Cloud Vertex AI kann eine kurzzeitige sicherheitsbezogene Protokollierung stattfinden; keine Trainingsnutzung.
  • Kontodaten (Login, Zahlungsinformationen) werden gelöscht, sobald sie für den Zweck nicht mehr erforderlich sind oder du dein Konto löschst.

Du kannst jederzeit eine vollständige Datenlöschung beantragen.

12. Deine Rechte nach DSGVO

Du hast das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitung (Art. 21 DSGVO)

Kontakt: support@shiftcore.de

13. Sicherheit

Wir setzen technische und organisatorische Maßnahmen zum Schutz deiner Daten ein, darunter:

  • Transportverschlüsselung (TLS/SSL)
  • Serverseitige Zugriffskontrollen
  • Pseudonymisierung von Gesprächsdaten
  • Keine Speicherung sensibler Daten außerhalb der Session

14. Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Da die Verarbeitung besondere Kategorien personenbezogener Daten betrifft, wurde eine Datenschutz-Folgenabschätzung (DPIA) erstellt. Diese bewertet die Risiken und beschreibt die technischen und organisatorischen Maßnahmen zum Schutz der Daten.

Zusätzlich wurde ein Transfer Impact Assessment (TIA) zur Bewertung der Drittlandübermittlung (USA) erstellt. Öffentliche Zusammenfassungen findest du hier: DPIA – Öffentliche Zusammenfassung und TIA – Öffentliche Zusammenfassung.