Datenschutzerklärung
Stand: 29.10.2025
1. Verantwortlicher
ShiftCore UG (haftungsbeschränkt)
Weilstraße 10, 65183 Wiesbaden
support@shiftcore.de
2. Zwecke der Datenverarbeitung
Wir verarbeiten personenbezogene Daten zur Bereitstellung und Verbesserung von „Mira“, darunter insbesondere:
- Login (Google OAuth)
- Verarbeitung von Gesprächen (KI-Antworten über OpenAI Realtime für Sprache und Google Cloud Vertex AI für Text)
- Abwicklung von Zahlungen (Stripe, PayPal)
- Webanalyse (Matomo, standardmäßig cookieless; Cookies nur bei Zustimmung)
- Fehleranalyse und Systemsicherheit
Die Verarbeitung dient ausschließlich dem Zweck, die Funktionalität des Dienstes sicherzustellen und zu verbessern.
3. Kategorien verarbeiteter Daten
- Gesprächsdaten: Audio-, Text- oder Transkriptdaten der Therapiesitzung
- Technische Daten: IP-Adresse, Browsertyp, Zeitstempel
- Nutzerdaten via Google OAuth: Name, E-Mail, OAuth-ID
- Zahlungsdaten: Name, E-Mail, Betrag, Zahlungs-ID
Gesprächsdaten können im Rahmen der Nutzung gesundheitsbezogene Informationen enthalten. Diese werden ausschließlich mit ausdrücklicher Einwilligung verarbeitet (Art. 9 Abs. 2 lit. a DSGVO).
4. Cookies
Wir verwenden folgende notwendige Cookies für die Funktionalität der Anwendung:
| Cookie | Zweck | Speicherdauer |
|---|---|---|
| next-auth.session-token | Verwaltung der Benutzersitzung und Authentifizierung | 30 Tage oder bis Logout |
| next-auth.callback-url | Weiterleitung nach OAuth-Anmeldung (Google) | Temporär während Anmeldeprozess |
| __Host-authjs.csrf-token | Schutz vor Cross-Site Request Forgery (CSRF) Angriffen | Session-basiert |
| __Host-csrf-token | Zusätzlicher CSRF-Schutz für API-Anfragen | Session-basiert |
| cookieConsent | Speicherung der Cookie-Einstellungen | Permanent (localStorage) |
Optionale Statistik-Cookies (nur bei Zustimmung)
Bei Zustimmung zu Statistik-Cookies setzt unsere selbst gehostete Webanalyse (Matomo) zusätzliche Cookies:
| Cookie | Zweck | Speicherdauer |
|---|---|---|
| _pk_id.* | Wiedererkennung eines Browsers für Reichweitenmessung | 13 Monate |
| _pk_ref.* | Speicherung der Referrer-Information für Kampagnenzuordnung | 6 Monate |
| _pk_ses.*, _pk_cvar, _pk_hsr | Session-Cookies für kurzfristige Analyse (z. B. Seitenaufrufe) | 30 Minuten |
Hinweis: Ohne Zustimmung erfolgt die Webanalyse ausschließlich cookieless (ohne Speicherung am Endgerät). Do‑Not‑Track wird respektiert; IP-Adressen werden anonymisiert.
5. Verarbeitung durch OpenAI (USA) und Google Cloud Vertex AI (EU/EWR)
Zur Bereitstellung der KI-Funktionalität nutzt „Mira“ die Dienste der OpenAI, L.L.C., 3180 18th St, San Francisco, CA 94110, USA.
Gesprächsdaten (Text, Audio) werden verschlüsselt an OpenAI übermittelt und ausschließlich zur Generierung der KI-Antworten verarbeitet. OpenAI ist Auftragsverarbeiter im Sinne von Art. 28 DSGVO; ein Data Processing Addendum (DPA) einschließlich Standardvertragsklauseln (SCCs) wurde abgeschlossen.
OpenAI speichert API-Daten maximal 30 Tage zur Missbrauchserkennung und löscht diese anschließend automatisch. Eine Nutzung zur Modellweiterbildung findet nicht statt.
Die Verarbeitung erfolgt in Rechenzentren außerhalb der EU (USA) auf Grundlage der Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO).
Mehr Informationen: https://openai.com/enterprise-privacy
Zusätzlich nutzen wir für textbasierte KI-Antworten die Google Cloud Vertex AI (Google Cloud EMEA Ltd., Gordon House, Barrow Street, Dublin 4, Irland).
Gesprächsdaten (Text) werden verschlüsselt verarbeitet und ausschließlich zur Generierung der KI-Antworten genutzt. Google ist Auftragsverarbeiter i. S. d. Art. 28 DSGVO; der Google Cloud Data Processing Addendum (DPA) gilt. Eine Nutzung zur Modellweiterbildung findet nicht statt.
Die Verarbeitung erfolgt primär in der EU/EWR. Soweit aus technischen Gründen Subprozessoren in Drittländern (z. B. Google LLC, USA) eingebunden werden, erfolgt die Übermittlung auf Grundlage der Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Mehr Informationen: Google Cloud DPA | Google Cloud Privacy
6. Einwilligung in die Verarbeitung besonderer Kategorien von Daten
Da im Rahmen der Nutzung gesundheitsbezogene Inhalte entstehen können, holen wir vor der Nutzung eine ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO ein.
Diese Einwilligung umfasst insbesondere:
- die Verarbeitung von Gesprächsdaten über die OpenAI API (USA),
- die Verarbeitung von Textdaten über die Google Cloud Vertex AI (EU/EWR; ggf. USA),
- die vorübergehende Speicherung der Daten zur KI-Antwortgenerierung,
- die Übermittlung in die USA auf Grundlage der Standardvertragsklauseln.
Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, etwa per E-Mail an support@shiftcore.de.
Ohne Einwilligung ist eine Nutzung von „Mira“ nicht möglich.
7. Matomo (Webanalyse)
Wir verwenden Matomo zur Reichweitenmessung und zur Verbesserung unseres Angebots. Standardmäßig erfolgt die Auswertung ohne Cookies (cookieless); bei Zustimmung zu Statistik-Cookies können die unter Ziff. 4 genannten Matomo-Cookies gesetzt werden. IP-Adressen werden anonymisiert, Do‑Not‑Track wird respektiert. Die Datenverarbeitung erfolgt auf unserem eigenen Server (keine Weitergabe an Dritte).
Rechtsgrundlage ist je nach Einstellung Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die cookiebasierte Webanalyse bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für die rein cookielose, aggregierte Reichweitenmessung. Du kannst deine Einwilligung jederzeit im Cookie-Banner ändern.
8. Erfolgsmessung unserer Werbung (Meta & Google Ads)
Art und Umfang der Datenverarbeitung
Wir nutzen Conversion-Tracking-Technologien zur Erfolgsmessung unserer Werbekampagnen:
- Meta Conversion API (Facebook/Instagram) - Server-zu-Server Tracking
- Google Ads Conversion Tracking (gtag.js) - Client-seitiges Tracking
Diese Technologien ermöglichen es uns zu messen, wie viele Nutzer über unsere Werbeanzeigen zu uns gefunden haben und sich registriert haben.
Rechtsgrundlage
Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen.
Verarbeitete Daten
Mit Ihrer Einwilligung (Kategorie "Erfolgsmessung"):
- E-Mail-Adresse (gehashed SHA256 und ungehashed für besseres Matching)
- IP-Adresse (gehashed SHA256)
- Browser-Informationen (User-Agent)
- Facebook Browser ID (_fbp Cookie)
- Facebook Click ID (aus URL-Parameter fbclid)
- Google Click ID (_gcl_aw Cookie)
- Zeitpunkt der Registrierung
Ohne Ihre Einwilligung:
- E-Mail-Adresse (nur gehashed SHA256)
- IP-Adresse (nur gehashed SHA256)
- Browser-Informationen (User-Agent)
- Zeitpunkt der Registrierung
Datenempfänger
Meta Platforms Ireland Limited
4 Grand Canal Square
Dublin 2, Irland
Google Ireland Limited
Gordon House, Barrow Street
Dublin 4, Irland
Beide Unternehmen sind nach dem EU-US Data Privacy Framework zertifiziert und bieten somit ein angemessenes Datenschutzniveau.
Zweck der Verarbeitung
Die Daten werden ausschließlich verwendet um:
- Die Effektivität unserer Instagram/Facebook Werbekampagnen zu messen
- Zu verstehen, welche Werbeanzeigen zu Registrierungen führen
- Unsere Werbeausgaben zu optimieren
Meta und Google nutzen die Daten NICHT für eigene Werbezwecke auf unserer Website. Die Conversion-Tracking-Technologien sind reine Messlösungen für Werbetreibende.
Speicherdauer
- Meta: Speichert Conversion-Daten für maximal 28 Tage zur Zuordnung von Werbeklicks zu Conversions
- Google Ads: Speichert Conversion-Daten für maximal 90 Tage
Danach werden die Daten aggregiert und können nicht mehr einzelnen Personen zugeordnet werden.
Widerruf Ihrer Einwilligung
Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen. Der Widerruf wirkt für die Zukunft, bereits erfolgte Datenübermittlungen bleiben davon unberührt.
Weitere Informationen
Meta:
- Datenschutzerklärung: https://www.facebook.com/privacy/policy/
- Einstellmöglichkeiten: https://www.facebook.com/settings?tab=ads
Google Ads:
- Datenschutzerklärung: https://policies.google.com/privacy
- Einstellmöglichkeiten: https://adssettings.google.com/
9. Zahlungsabwicklung (Stripe & PayPal)
Für die Zahlungsabwicklung nutzen wir:
Es werden u. a. Name, E-Mail und Zahlungsbetrag übermittelt. Zahlungsdaten werden nicht bei uns gespeichert. Die Anbieter sind nach dem EU-US Data Privacy Framework zertifiziert.
10. Speicherung & Verschlüsselung
Gesprächsdaten werden während der Übertragung per TLS/SSL geschützt. Sensible Inhalte werden in der Datenbank anwendungsseitig feldweise verschlüsselt (AES‑256‑GCM). Für jede Speicherung wird ein zufälliger Initialisierungsvektor (IV) und ein Authentifizierungstag (GCM) verwendet. Der 32‑Byte‑Schlüssel wird als 64‑stelliger HEX‑Wert ausschließlich in der Server‑Umgebung (ENV) gehalten und nicht in der Datenbank gespeichert.
Verschlüsselte Felder: Sitzungs‑Transkripte und ‑Zusammenfassungen, Crisis‑Events (Nutzermeldung/Antwort), Ziele (Titel, Beschreibung, Meilensteine), Muster‑Analysen (Insights, Empfehlungen), persönliche Themen (helpAreas).
Klartextzugriff: Eine Entschlüsselung erfolgt ausschließlich zur Anzeige innerhalb deiner authentifizierten Sitzung. Es besteht kein manueller Zugriff von Mitarbeitenden auf Klartexte; Backups enthalten nur Chiffretexte.
Vektor‑Embeddings: Für Suche/Analyse speichern wir numerische Vektor‑Darstellungen (pgvector). Diese enthalten keine Klartexte; eine Rekonstruktion des Originaltexts ist praktisch nicht möglich.
11. Aufbewahrung & Löschung
- Gesprächsdaten (z. B. Transkripte, Zusammenfassungen, Ziele, Analysen) werden so lange gespeichert, wie es für die Bereitstellung deines Verlaufs erforderlich ist oder bis du sie in der App löschst.
- OpenAI löscht verarbeitete Daten spätestens nach 30 Tagen.
- Bei Google Cloud Vertex AI kann eine kurzzeitige sicherheitsbezogene Protokollierung stattfinden; keine Trainingsnutzung.
- Kontodaten (Login, Zahlungsinformationen) werden gelöscht, sobald sie für den Zweck nicht mehr erforderlich sind oder du dein Konto löschst.
Du kannst jederzeit eine vollständige Datenlöschung beantragen.
12. Deine Rechte nach DSGVO
Du hast das Recht auf:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitung (Art. 21 DSGVO)
Kontakt: support@shiftcore.de
13. Sicherheit
Wir setzen technische und organisatorische Maßnahmen zum Schutz deiner Daten ein, darunter:
- Transportverschlüsselung (TLS/SSL)
- Serverseitige Zugriffskontrollen
- Pseudonymisierung von Gesprächsdaten
- Keine Speicherung sensibler Daten außerhalb der Session
14. Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
Da die Verarbeitung besondere Kategorien personenbezogener Daten betrifft, wurde eine Datenschutz-Folgenabschätzung (DPIA) erstellt. Diese bewertet die Risiken und beschreibt die technischen und organisatorischen Maßnahmen zum Schutz der Daten.
Zusätzlich wurde ein Transfer Impact Assessment (TIA) zur Bewertung der Drittlandübermittlung (USA) erstellt. Öffentliche Zusammenfassungen findest du hier: DPIA – Öffentliche Zusammenfassung und TIA – Öffentliche Zusammenfassung.