Datenschutzerklärung
Stand: 24. Februar 2026
Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten bei der Nutzung unserer Anwendung BeratungsprotokollApp (nachfolgend „Dienst").
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7 DSGVO) ist:
Christian Göbert
Mirkstr. 7
46238 Bottrop
Deutschland
2. Übersicht der Verarbeitungstätigkeiten
Die folgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen:
- Kontodaten (E-Mail-Adresse, Passwort-Hash, Registrierungsdatum)
- Audioaufnahmen (Beratungsgespräche zur Transkription)
- Generierte Beratungsprotokolle (Textinhalte)
- Nutzungsdaten (Anzahl Protokolle, letzter Login)
- Zahlungsdaten (über Stripe, keine Kreditkartennummern bei uns)
- Technische Daten (IP-Adresse, Browser-Typ, Zugriffszeitpunkte)
3. Rechtsgrundlagen der Verarbeitung
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — Soweit Sie uns eine Einwilligung zur Verarbeitung personenbezogener Daten erteilt haben (z. B. Übermittlung von Audiodaten an OpenAI).
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Soweit die Verarbeitung für die Erfüllung des Vertrags (Bereitstellung des Dienstes, Transkription, Protokollerstellung) erforderlich ist.
- Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung) — Soweit wir einer rechtlichen Verpflichtung unterliegen (z. B. steuerrechtliche Aufbewahrungspflichten).
- Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) — Soweit die Verarbeitung zur Wahrung eines berechtigten Interesses erforderlich ist (z. B. Sicherheit des Dienstes, Betrugsprävention, Missbrauchsschutz).
4. Erhobene Daten im Detail
4.1 Kontodaten
Bei der Registrierung erheben wir Ihre E-Mail-Adresse und speichern ein kryptografisch gehashtes Passwort. Bei Anmeldung über Google OAuth erhalten wir Ihren Namen und Ihre E-Mail-Adresse von Google. Wir erhalten kein Google-Passwort.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Bis zur Löschung Ihres Kontos.
4.2 Audioaufnahmen und Transkription
Sie können Audioaufnahmen von Beratungsgesprächen direkt in der Anwendung aufnehmen oder hochladen. Diese Audioaufnahmen werden zur Transkription an die OpenAI Whisper API übertragen (siehe Abschnitt 5.1). Die Audioaufnahmen werden nach erfolgreicher Transkription auf unserem Server gelöscht und nicht dauerhaft gespeichert.
Besonderer Hinweis: In Audioaufnahmen von Beratungsgesprächen können personenbezogene Daten Dritter enthalten sein (z. B. Name, Gesundheitsdaten, finanzielle Verhältnisse von Kunden). Sie sind als verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO für die Rechtmäßigkeit der Aufnahme und Verarbeitung dieser Daten verantwortlich und müssen sicherstellen, dass eine geeignete Rechtsgrundlage vorliegt (z. B. Einwilligung der betroffenen Person oder berechtigtes Interesse).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Ihrer Einwilligung zur Datenübermittlung an OpenAI.
Speicherdauer: Audiodateien werden nach Transkription automatisch gelöscht.
4.3 Generierte Protokolle
Die aus Transkriptionen generierten Beratungsprotokolle werden auf der Grundlage Ihrer Transkriptionstexte mithilfe der OpenAI GPT API erstellt (siehe Abschnitt 5.2). Die fertigen Protokolle werden in unserer Datenbank gespeichert und sind nur für Sie zugänglich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Bis zur Löschung durch Sie oder Löschung Ihres Kontos.
4.4 Nutzungsdaten
- Anzahl erstellter Protokolle (zur Kontingentsteuerung)
- Letzter Login-Zeitpunkt
- Abonnementstatus (kostenlos / Pro)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Bis zur Kontolöschung.
4.5 Technische Zugriffsdaten (Server-Logs)
Bei jedem Zugriff auf unseren Dienst werden folgende Daten automatisch erhoben: IP-Adresse, Datum und Uhrzeit der Anfrage, aufgerufene URL, Browser-Typ und -Version, Betriebssystem, Referrer-URL.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität des Dienstes).
Speicherdauer: Maximal 30 Tage, danach automatische Löschung.
4.6 Zahlungsdaten
Für Pro-Abonnements erfolgt die Zahlungsabwicklung über Stripe (siehe Abschnitt 5.3). Wir erhalten von Stripe lediglich eine Kundennummer, den Zahlungsstatus und das Abonnement-Datum. Wir erhalten und speichern keine vollständigen Kreditkartennummern oder Bankdaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Gemäß gesetzlicher Aufbewahrungspflichten (§ 147 AO: 10 Jahre für Rechnungen).
5. Datenverarbeitung durch Drittanbieter (Auftragsverarbeiter)
Wir setzen zur Erbringung unseres Dienstes Drittanbieter als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit jedem Auftragsverarbeiter besteht ein Vertrag zur Auftragsverarbeitung (AVV), der die datenschutzkonforme Verarbeitung sicherstellt.
5.1 OpenAI — Whisper API (Audio-Transkription)
Anbieter: OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA
Zweck: Automatische Transkription (Umwandlung von Sprache in Text) Ihrer Audioaufnahmen von Beratungsgesprächen.
Übermittelte Daten: Audiodateien, die Sprachaufnahmen von Beratungsgesprächen enthalten. Diese können personenbezogene Daten wie Namen, Adressen, Gesundheitsinformationen oder finanzielle Verhältnisse enthalten.
Verarbeitung durch OpenAI: OpenAI verarbeitet die Audiodaten ausschließlich zur Erbringung der Transkriptionsleistung. Laut der OpenAI Enterprise Privacy Policy werden über die API übermittelte Daten nicht zum Training von KI-Modellen verwendet und nach spätestens 30 Tagen gelöscht.
Drittlandtransfer (USA): Die Datenübermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission zum EU-U.S. Data Privacy Framework (Art. 45 DSGVO) sowie ergänzend auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). OpenAI ist unter dem EU-U.S. Data Privacy Framework zertifiziert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Übermittlung).
5.2 OpenAI — GPT API (Protokollgenerierung)
Anbieter: OpenAI, L.L.C. (Adresse wie oben)
Zweck: Automatische Generierung strukturierter Beratungsprotokolle aus den Transkriptionstexten.
Übermittelte Daten: Transkribierte Texte der Beratungsgespräche. Diese können personenbezogene Daten enthalten, die im Gespräch erwähnt wurden.
Verarbeitung und Drittlandtransfer: Es gelten dieselben Bedingungen wie unter 5.1 beschrieben. Die Daten werden ausschließlich zur Erbringung der Generierungsleistung verarbeitet und nicht zum Modelltraining verwendet.
5.3 Stripe (Zahlungsabwicklung)
Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland
Zweck: Abwicklung von Zahlungen für Pro-Abonnements.
Übermittelte Daten: Zahlungsinformationen (Kreditkartendaten, IBAN), E-Mail-Adresse, Transaktionsdaten.
Stripe verarbeitet Zahlungsdaten gemäß PCI-DSS Level 1 und der Stripe-Datenschutzerklärung. Datenverarbeitung erfolgt innerhalb der EU (Irland).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
5.4 Google OAuth (Authentifizierung)
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Zweck: Optionale Anmeldung über ein bestehendes Google-Konto.
Übermittelte Daten: Bei der Anmeldung über Google erhalten wir Ihre E-Mail-Adresse und Ihren Namen. Wir erhalten keinen Zugriff auf Ihr Google-Passwort oder andere Google-Dienste.
Weitere Informationen: Google-Datenschutzerklärung
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Nutzung von Google Login).
5.5 Google Ads (Werbung und Conversion-Tracking)
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Zweck: Wir nutzen Google Ads zur Schaltung von Werbeanzeigen in den Google-Suchergebnissen und im Google-Werbenetzwerk. Google Ads Conversion-Tracking ermöglicht es uns, die Wirksamkeit unserer Werbeanzeigen zu messen und festzustellen, ob ein Nutzer über eine Google-Anzeige zu uns gelangt ist.
Übermittelte Daten: IP-Adresse, Geräteinformationen, besuchte Seiten, Zeitpunkt des Besuchs, Conversion-Daten (z. B. ob eine Registrierung nach einem Anzeigenklick erfolgte). Google kann diese Daten mit anderen Google-Diensten verknüpfen.
Cookies: Google Ads setzt Cookies (u. a. _gcl_au, _gcl_aw), um Anzeigenklicks und Conversions zu erfassen. Diese Cookies werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt (Opt-in über unser Cookie-Banner).
Drittlandtransfer: Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO) sowie ergänzend auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Widerspruch/Opt-out: Sie können die Einwilligung jederzeit widerrufen, indem Sie Ihre Cookie-Einstellungen ändern (Cookie-Banner erneut aufrufen oder Cookies in Ihrem Browser löschen). Darüber hinaus können Sie personalisierte Werbung in Ihrem Google-Konto deaktivieren.
Weitere Informationen: Google-Datenschutzerklärung, Google Ads-Richtlinien
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); § 25 Abs. 1 TDDDG (Einwilligung für nicht-notwendige Cookies).
5.6 Resend (E-Mail-Versand)
Anbieter: Resend, Inc., San Francisco, CA, USA
Zweck: Versand transaktionaler E-Mails (Registrierungsbestätigung, Passwort-Reset, Kontobenachrichtigungen).
Übermittelte Daten: E-Mail-Adresse, Name (falls vorhanden), E-Mail-Inhalt.
Drittlandtransfer: Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Weitere Informationen: Resend-Datenschutzerklärung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
5.7 Google Fonts (lokal eingebunden)
Wir verwenden Schriftarten von Google Fonts (Inter, Space Grotesk, JetBrains Mono). Diese werden nicht von Google-Servern geladen, sondern lokal auf unserem Server bereitgestellt (Self-Hosting über Next.js). Es findet daher keine Verbindung zu Google-Servern und keine Übermittlung Ihrer IP-Adresse an Google statt (vgl. LG München I, Urteil vom 20.01.2022, Az. 3 O 17493/20).
7. Ihre Rechte als betroffene Person
Sie haben gemäß der DSGVO folgende Rechte. Zur Ausübung genügt eine E-Mail an datenschutz@beratungsprotokoll.com:
- Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
- Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
- Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
8. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.
Zuständige Aufsichtsbehörde für Nordrhein-Westfalen:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Postfach 20 04 44
40102 Düsseldorf
www.ldi.nrw.de
9. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Wir setzen angemessene technische und organisatorische Maßnahmen ein, um Ihre Daten vor Verlust, Manipulation oder unberechtigtem Zugang zu schützen:
- Verschlüsselung der Datenübertragung mittels TLS 1.2+ (HTTPS)
- Kryptografisches Hashing von Passwörtern (bcrypt)
- Zugangskontrollen und rollenbasierte Autorisierung
- Regelmäßige Sicherheitsupdates und Schwachstellenprüfung
- Regelmäßige Datensicherungen (Backups)
- Rate Limiting und Schutz vor Brute-Force-Angriffen
10. Aufbewahrungsdauer
| Datenart | Speicherdauer |
|---|---|
| Kontodaten | Bis zur Kontolöschung |
| Audioaufnahmen | Automatisch nach Transkription gelöscht |
| Protokolle | Bis zur Löschung durch den Nutzer oder Kontolöschung |
| Zahlungsdaten | 10 Jahre (steuerrechtliche Aufbewahrungspflicht, § 147 AO) |
| Server-Logs / IP-Adressen | Maximal 30 Tage |
11. Pflicht zur Bereitstellung personenbezogener Daten
Die Bereitstellung Ihrer E-Mail-Adresse und eines Passworts ist für die Registrierung und Nutzung des Dienstes erforderlich. Ohne diese Daten können wir den Vertrag nicht erfüllen. Die Bereitstellung von Audiodaten ist freiwillig, jedoch zur Nutzung der Transkriptions- und Protokollfunktion notwendig.
12. Automatisierte Entscheidungsfindung und Profiling
Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt. Die KI-gestützte Erstellung von Beratungsprotokollen dient ausschließlich als Arbeitshilfe. Sie sind verpflichtet, die generierten Protokolle vor der Verwendung zu überprüfen und eigenverantwortlich freizugeben.
13. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, technische Entwicklungen oder Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder über eine Benachrichtigung in der Anwendung.
14. Kontakt für Datenschutzanfragen
Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an:
Christian Göbert
Mirkstr. 7
46238 Bottrop
E-Mail: datenschutz@beratungsprotokoll.com