1. Verantwortlicher

2. Allgemeines zur Datenverarbeitung

2.1 Umfang der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung der Plattform, zur Vertragserfüllung oder aufgrund gesetzlicher Verpflichtungen erforderlich ist.

2.2 Rechtsgrundlagen (DSGVO)

• Art. 6 Abs. 1 lit. a - Einwilligung
• Art. 6 Abs. 1 lit. b - Vertragserfüllung
• Art. 6 Abs. 1 lit. c - Rechtliche Verpflichtung
• Art. 6 Abs. 1 lit. f - Berechtigtes Interesse
• Art. 9 Abs. 2 lit. a - Einwilligung bei Gesundheitsdaten

3. Erhobene Daten

3.1 Registrierung und Nutzerkonto

• E-Mail-Adresse (Pflicht)
• Passwort (verschlüsselt gespeichert)
• Registrierungszeitpunkt
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.2 Gesundheitsdaten (besondere Kategorie)

• Blutwerte und Laborberichte (PDF, Fotos)
• Medikamente und Diagnosen (freiwillig)
• Gesundheitsziele und Symptome (freiwillig)
• Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)

Speicherort: Supabase (PostgreSQL), EU-Region (Deutschland/Irland)

Verschlüsselung: TLS 1.3 bei Übertragung, AES-256 im Ruhezustand

3.3 Nutzungsdaten

• Chat-Verlauf (Fragen an KIRA)
• Zeitstempel der Nutzung
• Gewählte Supplement-Empfehlungen
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.4 Technische Daten

• IP-Adresse (anonymisiert nach 7 Tagen)
• Browser-Typ und Version
• Betriebssystem
• Referrer-URL
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit)

4. Datenempfänger und Drittanbieter

4.1 Supabase (Hosting & Datenbank)

• Anbieter: Supabase Inc., USA (Datenverarbeitung in EU)
• Zweck: Hosting der Datenbank und Backend-Funktionen
• Standort: EU-Region (Frankfurt/Irland)
• AVV: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
• Website: supabase.com/privacy

4.2 Strato (Frontend-Hosting)

• Anbieter: Strato AG, Deutschland
• Zweck: Hosting der Website
• Standort: Deutschland
• AVV: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

4.3 OpenAI (KI-Verarbeitung)

• Anbieter: OpenAI Inc., USA
• Zweck: KI-basierte Chat-Antworten und Analysen
• Datenübermittlung: Nur anonymisierte/pseudonymisierte Daten
• Speicherung: OpenAI speichert keine Chat-Daten für Training (API-Nutzung)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + Standardvertragsklauseln (SCC)
• Website: openai.com/privacy

4.4 Stripe (Zahlungsabwicklung)

• Anbieter: Stripe Inc., USA
• Zweck: Abwicklung von Zahlungen und Abonnements
• Daten: Zahlungsdaten (Kreditkarte, IBAN), E-Mail, Name
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Website: stripe.com/privacy

4.5 Analytics [PLATZHALTER - WIRD NOCH SPEZIFIZIERT]

Details zu Analytics-Tools werden ergänzt, sobald implementiert.

5. Speicherdauer

• Nutzerkonto: Bis zur Löschung durch Nutzer oder Kündigung
• Gesundheitsdaten: Bis zur Löschung durch Nutzer (jederzeit möglich)
• Chat-Verlauf: Bis zur Löschung durch Nutzer
• Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht § 147 AO)
• Server-Logs: 7 Tage (IP-Anonymisierung nach 7 Tagen)

6. Cookies und Tracking

6.1 Technisch notwendige Cookies

• Session-Cookie (Login-Status)
• Spracheinstellung
• Theme (Hell/Dunkel-Modus)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

6.2 Analytics-Cookies [PLATZHALTER]

Wird ergänzt, sobald Analytics-Tool implementiert ist. Bei Nutzung von Google Analytics erfolgt Cookie-Banner mit Einwilligungsmanagement.

7. Ihre Rechte (Art. 12-23 DSGVO)

7.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über Ihre bei uns gespeicherten Daten zu erhalten.

7.2 Berichtigung (Art. 16 DSGVO)

Sie können falsche Daten jederzeit in den Einstellungen korrigieren.

7.3 Löschung (Art. 17 DSGVO)

Sie können Ihr Konto und alle Daten jederzeit löschen:

• In den Einstellungen unter "Konto löschen"
• Per E-Mail an mail@kigenic.com
• Ausnahme: Aufbewahrungspflichten (Rechnungsdaten 10 Jahre)

7.4 Einschränkung (Art. 18 DSGVO)

Sie können die Verarbeitung einschränken lassen (z.B. während Prüfung der Richtigkeit).

7.5 Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format (JSON) exportieren.

7.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.

7.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie können Ihre Einwilligung zur Verarbeitung von Gesundheitsdaten jederzeit widerrufen. Dies hat keine Auswirkung auf die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

7.8 Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:

8. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

• TLS 1.3 Verschlüsselung für alle Datenübertragungen
• AES-256 Verschlüsselung für gespeicherte Daten
• Regelmäßige Sicherheitsupdates
• Zugriffsbeschränkungen (Role-Based Access Control)
• Backup-Strategie mit verschlüsselter Speicherung
• Penetrationstests und Security-Audits

9. Minderjährige

Unsere Plattform richtet sich an Personen ab 18 Jahren. Wir verarbeiten wissentlich keine Daten von Minderjährigen unter 18 Jahren.

10. Änderungen dieser Datenschutzrichtlinie

Wir behalten uns vor, diese Datenschutzrichtlinie anzupassen, um sie an geänderte Rechtslagen oder Dienste anzupassen.

Wesentliche Änderungen werden per E-Mail mitgeteilt. Die aktuelle Version finden Sie stets auf dieser Seite.

11. Kontakt Datenschutz

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte: