Datenschutzerklärung
Diese Datenschutzerklärung beschreibt, wie Calmauria (nachfolgend „Calmauria“, „wir“, „uns“) die personenbezogenen Daten der Nutzer der Website calmauria.com und des zugehörigen Dienstes (der „Dienst“) verarbeitet, im Einklang mit der Verordnung (EU) 2016/679 („DSGVO“) und dem italienischen Gesetzesvertretenden Dekret 196/2003 in der durch das Gesetzesvertretende Dekret 101/2018 geänderten Fassung.
Calmauria ist ein KI-gestützter Dienst für emotionale Unterstützung und Wellness. Er ist keine Gesundheitsdienstleistung, stellt keine Diagnosen, bietet weder Therapie noch Behandlung und ersetzt nicht den Rat eines Arztes oder Psychologen.
1. Verantwortlicher
Verantwortlicher für die Datenverarbeitung ist CR OÜ (società di diritto estone, codice registro 16778262), che opera con il marchio Calmauria mit eingetragenem Sitz in Nõmme tee 64-3, Kristiine linnaosa, 11311 Tallinn, Harju maakond, Estonia. Für jedes Anliegen zu deinen Daten kannst du uns unter [email protected] schreiben.
2. Kategorien der von uns verarbeiteten Daten
- Kontodaten: E-Mail-Adresse, Name (optional), Passwort (ausschließlich als kryptografischer Hash gespeichert), Bestätigung der Volljährigkeit.
- Sitzungsdaten: gewähltes Thema, kurze Anfangsbeschreibung, Modus (Audio/Telefon), gewählte Stimme, Dauer und Zeitpunkt der Sitzungen.
- Gesprächsinhalte: was du während deiner Sitzungen mit Auria sagst und die entsprechenden Antworten. Diese Inhalte können besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO offenbaren (insbesondere Daten zur Gesundheit und zum psychischen Wohlbefinden).
- Zahlungsdaten: werden direkt von Stripe verarbeitet. Wir verarbeiten oder speichern keine Kartennummern; wir erhalten lediglich Transaktionskennungen, Betrag, Zahlungsstatus und Rechnungs-E-Mail.
- Technische Daten: IP-Adresse, Geräte- und Browsertyp, technische und Sicherheitsprotokolle, die für den Betrieb und den Schutz des Dienstes erforderlich sind.
3. Zwecke und Rechtsgrundlagen
- Bereitstellung des Dienstes (Konto, Sitzungen, Zahlungen): Rechtsgrundlage ist die Erfüllung des Vertrags (Art. 6 Abs. 1 lit. b DSGVO).
- Verarbeitung der Gesprächsinhalte und der sitzungsübergreifenden Erinnerung (besondere Kategorien personenbezogener Daten): Rechtsgrundlage ist deine ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), die du jederzeit widerrufen kannst.
- Sicherheit, Missbrauchsprävention und Umgang mit Krisensituationen: berechtigtes Interesse (Art. 6 Abs. 1 lit. f) und, soweit einschlägig, Schutz lebenswichtiger Interessen (Art. 9 Abs. 2 lit. c).
- Steuer- und Buchführungspflichten im Zusammenhang mit Zahlungen: rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c).
- Dienstmitteilungen (z. B. Bestätigungen, Sicherheitshinweise): Vertragserfüllung und berechtigtes Interesse.
4. Sitzungsübergreifende Erinnerung
Nur wenn du eine gesonderte, optionale Einwilligung erteilst, bewahrt Auria eine verschlüsselte Zusammenfassung deiner Gespräche auf, damit du in späteren Sitzungen dort weitermachen kannst, wo du aufgehört hast. Du kannst diese Einwilligung jederzeit in deinem Kontobereich oder per E-Mail an uns widerrufen: Ab diesem Zeitpunkt wird die Erinnerung nicht mehr verwendet und die Zusammenfassungen werden gelöscht.
5. Wie wir deine Daten schützen
Sensible Inhalte (Sitzungstranskripte und Zusammenfassungen) werden auf Anwendungsebene verschlüsselt, und zwar mit dem Algorithmus AES-256-GCM; die Verschlüsselungsschlüssel werden getrennt von der Datenbank verwaltet. Passwörter werden mit Schlüsselableitungsfunktionen (scrypt) geschützt. Wir treffen geeignete technische und organisatorische Maßnahmen, um Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten.
6. Dienstleister und Auftragsverarbeiter
Zur Bereitstellung des Dienstes setzen wir Dienstleister ein, die als Auftragsverarbeiter tätig sind, jeweils auf Grundlage geeigneter vertraglicher Garantien:
- Stripe — Zahlungen;
- Neon — Datenbank;
- LiveKit — Audio-/Videoübertragung in Echtzeit;
- Anam — Video-Avatar (Funktion derzeit nicht aktiv);
- Cartesia — Sprachsynthese;
- Deepgram — Sprachtranskription;
- Anthropic — das KI-Modell, das die Antworten generiert.
Einige Dienstleister können Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten. In diesem Fall erfolgen die Übermittlungen auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO (insbesondere Standardvertragsklauseln). Soweit technisch möglich bevorzugen wir Anbieter mit Datenhaltung in der EU und vertraglichen Zusagen, ihre Modelle nicht mit deinen Inhalten zu trainieren.
7. Automatisierte Entscheidungsfindung
Der Dienst nutzt künstliche Intelligenz zur Generierung der Antworten und parallel dazu einen automatisierten Sicherheitsklassifikator, der jeden Gesprächsbeitrag analysiert, um Risikosignale zu erkennen (z. B. suizidale Gedanken, Gefahr für dich selbst oder andere). Diese Verarbeitung entfaltet dir gegenüber keine rechtliche Wirkung: Ihr einziger Zweck ist deine Sicherheit. Wir führen kein Profiling zu Marketingzwecken durch.
8. Speicherdauer
- Kontodaten: für die Dauer des Vertragsverhältnisses und solange das Konto aktiv bleibt.
- Transkripte und Zusammenfassungen: werden nur mit deiner Einwilligung aufbewahrt; ohne Einwilligung in die Erinnerung werden die Inhalte nicht über die Sitzung hinaus aufbewahrt bzw. innerhalb der in unseren Aufbewahrungsrichtlinien festgelegten Fristen gelöscht.
- Zahlungsdaten und steuerliche Unterlagen: für den gesetzlich vorgeschriebenen Zeitraum.
- Sicherheitsprotokolle: für die zu Sicherheitszwecken unbedingt erforderliche Zeit.
9. Minderjährige
Der Dienst ist ausschließlich Erwachsenen (ab 18 Jahren) vorbehalten. Wir erheben wissentlich keine Daten von Minderjährigen. Stellen wir Anzeichen dafür fest, dass ein Nutzer minderjährig sein könnte, beenden wir die Sitzung und verweisen auf geeignete Anlaufstellen. Wenn du glaubst, dass uns ein Minderjähriger Daten übermittelt hat, schreibe uns bitte, und wir werden sie löschen.
10. Umgang mit Krisensituationen
Calmauria ist nicht für Notfälle zuständig. Bei Anzeichen einer Lebensgefahr unterbricht Auria das Gespräch und verweist auf sofortige menschliche Hilfe (Notrufnummern und Hilfetelefone). In Situationen unmittelbarer Gefahr rufe die 112 an (oder deine örtliche Notrufnummer).
11. Deine Rechte
Als betroffene Person kannst du jederzeit die in Art. 15-22 DSGVO vorgesehenen Rechte ausüben:
- Auskunft über deine Daten und Erhalt einer Kopie davon;
- Berichtigung unrichtiger Daten;
- Löschung („Recht auf Vergessenwerden“);
- Einschränkung der Verarbeitung und Widerspruch gegen sie;
- Datenübertragbarkeit;
- Widerruf der Einwilligung jederzeit, ohne dass die Rechtmäßigkeit der zuvor erfolgten Verarbeitung berührt wird.
Zur Ausübung deiner Rechte schreibe an [email protected]. Wir antworten innerhalb der gesetzlich vorgesehenen Fristen.
12. Beschwerde bei einer Aufsichtsbehörde
Du hast das Recht, Beschwerde bei der italienischen Datenschutzbehörde (Garante per la protezione dei dati personali, www.garanteprivacy.it) oder bei der Aufsichtsbehörde des EU-Mitgliedstaats, in dem du wohnst, einzulegen.
13. Änderungen
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Änderungen werden auf dieser Seite zusammen mit dem jeweiligen Aktualisierungsdatum veröffentlicht.
Zusätzlicher Hinweis für Einwohner der Vereinigten Staaten — Consumer Health Data
Der Inhalt deiner Gespräche mit Auria kann nach bestimmten Gesetzen von US-Bundesstaaten „Consumer Health Data“ (Verbrauchergesundheitsdaten) darstellen, darunter der Washington My Health My Data Act. Dieser Abschnitt gilt für Einwohner der USA. In Bezug auf solche Daten gilt:
- wir erheben und verarbeiten sie nur mit deiner ausdrücklichen Einwilligung und ausschließlich zur Bereitstellung des Dienstes für dich;
- wir verkaufen keine Consumer Health Data und geben sie nicht zu Werbezwecken weiter;
- du kannst deine Rechte auf Auskunft, Löschung und Widerruf der Einwilligung jederzeit ausüben, indem du an [email protected] schreibst;
- diese Daten sind durch Verschlüsselung auf Anwendungsebene geschützt, wie in Abschnitt 5 beschrieben.
Hinweis: Dies ist eine höfliche Übersetzung, die lediglich der Verständlichkeit dient. Bei Abweichungen zwischen der deutschen und der italienischen Fassung ist die italienische Fassung maßgeblich, soweit zwingendes Verbraucherrecht dem nicht entgegensteht. Diese Erklärung wurde mit größter Sorgfalt erstellt, ersetzt jedoch keine individuelle Rechtsberatung: Vor dem öffentlichen Start wird die Prüfung durch qualifizierte Rechtsberater empfohlen, zusammen mit einer Datenschutz-Folgenabschätzung (DSFA).