Datenschutzrichtlinie

1. Überblick

Selfward ("wir", "uns" oder "unser") verpflichtet sich zum Schutz Ihrer Privatsphäre. Diese Richtlinie erläutert, wie wir Ihre persönlichen Daten und Selbstentdeckungs-Bewertungsdaten erheben, verwenden, speichern und schützen, wenn Sie unsere Website, Anwendungen und Dienste (zusammen der "Dienst") nutzen. Wir gehen besonders sorgfältig mit sensiblen Wellness-Daten um und geben diese niemals an Werbetreibende oder Dritte zu Marketingzwecken weiter.

2. Verantwortliche Stelle

Selfward ist die verantwortliche Stelle für Ihre personenbezogenen Daten. Wenn Sie Fragen zum Umgang mit Ihren Daten haben oder Ihre Rechte ausüben möchten, können Sie uns kontaktieren unter:

• privacy@selfward.ai
• Datenschutzbeauftragter: privacy@selfward.ai

EU/UK-Vertreter: Wenn Sie sich im Europäischen Wirtschaftsraum oder im Vereinigten Königreich befinden, können Sie unseren benannten Vertreter für Datenschutzangelegenheiten unter privacy@selfward.ai kontaktieren. Wir sind dabei, einen formellen EU-Vertreter gemäß GDPR Artikel 27 und einen UK-Vertreter gemäß UK GDPR zu benennen. Bis diese Benennung abgeschlossen ist, sollten alle Anfragen an unseren Datenschutzbeauftragten gerichtet werden.

3. Rechtsgrundlage der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen gemäß GDPR Artikel 6:

• Contract Performance: Vertragserfüllung: Verarbeitung, die zur Bereitstellung des Dienstes erforderlich ist, für den Sie sich angemeldet haben (Kontoverwaltung, Bewertungsdurchführung, Berichterstellung, Zahlungsabwicklung).
• Consent: Einwilligung: Wenn Sie eine ausdrückliche Einwilligung erteilt haben, beispielsweise für den Erhalt optionaler E-Mail-Kommunikation, die Teilnahme an unserem Empfehlungsprogramm oder die Zustimmung zu Cookies.
• Legitimate Interest: Berechtigtes Interesse: Verarbeitung, die für unsere berechtigten Geschäftsinteressen erforderlich ist, wie die Verbesserung der Servicequalität durch anonymisierte Analysen, Betrugsprävention und Sicherheitsgewährleistung. Wir führen Abwägungstests durch, um sicherzustellen, dass unsere Interessen Ihre Rechte nicht überwiegen.
• Legal Obligation: Rechtliche Verpflichtung: Verarbeitung, die zur Einhaltung geltender Gesetze erforderlich ist, wie steuerliche Aufzeichnungspflichten, die Beantwortung rechtmäßiger Behördenanfragen oder Benachrichtigungen bei Datenverletzungen.

4. Informationen, die wir erheben

Wir erheben die folgenden Kategorien von Informationen:

Kontodaten

• E-Mail-Adresse (für Authentifizierung und Kommunikation)
• Anzeigename (optional, zur Personalisierung)
• Authentifizierungsanbieter und Profilinformationen (bei Nutzung von Google-Anmeldung: Ihr Name, Ihre E-Mail-Adresse und Ihr Profilbild, wie von Ihnen über Googles OAuth-Zustimmungsbildschirm autorisiert)
• Kontoeinstellungen und Präferenzen

Bewertungsdaten

• Ihre Antworten auf Fragen der Selbstentdeckungs-Bewertung
• Zeitaufwand pro Frage (zur Qualitätssicherung der Daten)
• Erstellte Berichte, Persönlichkeitseinblicke und Punktzahlverläufe
• Vergleichsdaten (wenn Sie an Beziehungsvergleichen teilnehmen, mit gegenseitiger Einwilligung)

Zahlungsdaten

• Transaktionsaufzeichnungen und Kaufhistorie (von uns gespeichert)
• Rechnungsdetails wie Kartentyp und letzte vier Ziffern (verarbeitet über Apple App Store oder Google Play Store; wir speichern niemals vollständige Kartennummern)
• Abonnementstatus und Verlängerungsdaten

Technische Daten und Nutzungsdaten

• IP-Adresse und ungefährer Standort (nur auf Länder-/Regionsebene)
• Browsertyp, Betriebssystem und Geräteinformationen
• Besuchte Seiten, genutzte Funktionen und Sitzungsdauer
• Empfehlungsquelle und UTM-Parameter (wenn Sie über einen Empfehlungslink gekommen sind)

5. Wie wir Ihre Daten verwenden

• Zur Bereitstellung des Dienstes: Erstellung Ihres personalisierten Selbstentdeckungsprofils, Ihrer Berichte und Einblicke
• Zur Zahlungsabwicklung: Abwicklung von Transaktionen, Abonnements und Rückerstattungen über den Apple App Store, Google Play Store und RevenueCat
• Zur Verbesserung des Dienstes: Analyse anonymisierter, aggregierter Daten zur Verbesserung der Bewertungsgenauigkeit und Nutzererfahrung
• Zur Kommunikation mit Ihnen: Versand transaktionsbezogener E-Mails (Kontoverifizierung, Passwortzurücksetzung, Berichtsbenachrichtigungen, Zahlungsbelege)
• Zur Kundenbetreuung: Beantwortung Ihrer Anfragen und Lösung von Problemen
• Zur Sicherheitsgewährleistung: Erkennung von Betrug, Missbrauchsprävention und Aufrechterhaltung der Plattformintegrität
• Zur Erfüllung rechtlicher Verpflichtungen: Führung von Aufzeichnungen, die durch Steuer-, Verbraucherschutz- oder andere geltende Gesetze vorgeschrieben sind
• Zur Verwaltung des Empfehlungsprogramms: Nachverfolgung von Empfehlungsanmeldungen und Verteilung von Empfehlungsguthaben (bei Teilnahme)

7. Datensicherheit

Wir setzen umfassende Sicherheitsmaßnahmen zum Schutz Ihrer Daten um:

• Verschlüsselung im Ruhezustand: Alle Daten werden mit AES-256-Verschlüsselung in unserer Datenbank (Supabase/PostgreSQL) verschlüsselt
• Verschlüsselung bei der Übertragung: Alle Verbindungen verwenden TLS 1.3-Verschlüsselung
• Sicherheit auf Zeilenebene (RLS): Datenbankrichtlinien stellen sicher, dass Sie nur auf Ihre eigenen Daten zugreifen können
• Unveränderliche Auditprotokollierung: Alle Datenzugriffe und -änderungen werden zur Sicherheitsüberwachung protokolliert
• PII-Pseudonymisierung: Sensible persönliche Identifikatoren werden in einem separaten, zugriffskontrollierten Tresor gespeichert
• Eingabebereinigung: Alle Benutzereingaben werden validiert und bereinigt, um Injektionsangriffe zu verhindern
• Ratenbegrenzung: API-Endpunkte sind ratenbegrenzt, um Missbrauch zu verhindern
• Regelmäßige Sicherheitsbewertungen: Wir führen regelmäßige Überprüfungen unserer Sicherheitslage durch

Benachrichtigung bei Datenverletzungen: Im Falle einer Verletzung des Schutzes personenbezogener Daten, die ein Risiko für Ihre Rechte und Freiheiten darstellt, werden wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen und Sie unverzüglich informieren, wie es die GDPR-Artikel 33 und 34 vorschreiben.

8. Datenweitergabe und Drittanbieterdienste

Wir geben Ihre Daten nur an die folgenden Dienstleister weiter, ausschließlich für die nachstehend beschriebenen Zwecke. Wir verkaufen Ihre personenbezogenen Daten an niemanden.

Unsere Unterauftragsverarbeiter:

• RevenueCat (San Francisco, USA): Abonnementverwaltung und Zahlungsabwicklung über den Apple App Store und Google Play Store. RevenueCat verwaltet Abonnementstatus und Kaufvalidierung. Sie erhalten niemals Ihre Bewertungsdaten. Datenschutz: https://www.revenuecat.com/privacy
• Anthropic (San Francisco, USA): AI-Berichterstellung. Anthropic erhält anonymisierte Bewertungsergebnisse zur Erstellung Ihrer Berichte. Daten werden vorübergehend verarbeitet und nicht für Training gespeichert. Datenschutz: https://www.anthropic.com/privacy
• Supabase (San Francisco, USA): Datenbankhosting und Authentifizierung. Alle Ihre Konto- und Bewertungsdaten werden auf der Infrastruktur von Supabase mit Verschlüsselung im Ruhezustand gespeichert. Datenschutz: https://supabase.com/privacy
• Resend (USA): Transaktionsbezogener E-Mail-Versand. Resend erhält Ihre E-Mail-Adresse zur Zustellung von Kontobenachrichtigungen, Berichtshinweisen und Passwortzurücksetzungen. Datenschutz: https://resend.com/legal/privacy-policy
• Vercel (San Francisco, USA): Hosting der Webanwendung. Vercel hostet unsere Webanwendung und verarbeitet HTTP-Anfragen, die möglicherweise IP-Adressen und Browserinformationen enthalten. Datenschutz: https://vercel.com/legal/privacy-policy
• PostHog (San Francisco, USA): Datenschutzfreundliche Produktanalysen. PostHog erhält anonymisierte Nutzungsereignisse (Seitenaufrufe, Funktionsnutzung, Leistungsmetriken). Wir senden keine personenbezogenen Informationen oder Bewertungsdaten an PostHog. Datenschutz: https://posthog.com/privacy
• Expo / EAS (USA): Infrastruktur für mobile App-Builds und Push-Benachrichtigungszustellung. Expo erhält Push-Benachrichtigungstoken zur Zustellung von Benachrichtigungen, für die Sie sich entschieden haben. Expo erhält keine Ihrer Bewertungsdaten. Datenschutz: https://expo.dev/privacy

Wir können Ihre Daten auch offenlegen, wenn dies gesetzlich vorgeschrieben ist, durch Gerichtsbeschluss oder behördliche Anfrage verlangt wird, oder wenn es zum Schutz der Rechte, des Eigentums oder der Sicherheit von Selfward, unseren Nutzern oder anderen erforderlich ist.

9. Internationale Datenübermittlungen

Unsere Dienstleister befinden sich überwiegend in den Vereinigten Staaten. Wenn Sie sich im Europäischen Wirtschaftsraum (EWR), im Vereinigten Königreich oder in der Schweiz befinden, können Ihre Daten in die Vereinigten Staaten übermittelt und dort verarbeitet werden. Wir stellen sicher, dass angemessene Schutzmaßnahmen für solche Übermittlungen getroffen werden, einschließlich Standardvertragsklauseln (SCCs), die von der Europäischen Kommission genehmigt wurden, und unsere Auftragsverarbeiter verfügen über angemessene Datenschutzmaßnahmen. Supabase, RevenueCat, Anthropic und Vercel bieten jeweils Auftragsverarbeitungsverträge an, die SCCs für internationale Übermittlungen enthalten.

10. Cookies, Tracking und Analysen

Wir verwenden nur essenzielle Cookies, die für die Funktion des Dienstes erforderlich sind (Authentifizierung, Sitzungsverwaltung, Einstellungen). Wir verwenden keine Werbenetzwerke, Tracking-Pixel oder seitenübergreifende Tracking-Cookies. Ihre Selbstentdeckungsdaten werden niemals für Werbezwecke verwendet. Vollständige Informationen über unsere Cookie-Nutzung finden Sie in unserer Cookie-Richtlinie.

Do Not Track: Wir respektieren Do Not Track (DNT)-Browsersignale. Wenn wir ein DNT-Signal erkennen, führen wir kein Tracking durch, das über das für die Funktion des Dienstes unbedingt erforderliche Maß hinausgeht.

11. Ihre Rechte

Je nach Ihrem Standort haben Sie folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Rechte gemäß GDPR (EWR/UK-Bewohner)

• Auskunftsrecht (Artikel 15): Fordern Sie eine Kopie aller personenbezogenen Daten an, die wir über Sie gespeichert haben
• Recht auf Berichtigung (Artikel 16): Korrektur ungenauer oder unvollständiger personenbezogener Daten
• Recht auf Löschung (Artikel 17): Beantragen Sie die Löschung Ihrer personenbezogenen Daten ("Recht auf Vergessenwerden")
• Recht auf Datenübertragbarkeit (Artikel 20): Erhalten Sie Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON). Sie können Ihre Daten jederzeit über Ihre Kontoeinstellungen exportieren.
• Recht auf Einschränkung (Artikel 18): Fordern Sie an, dass wir die Verarbeitung Ihrer Daten einschränken
• Widerspruchsrecht (Artikel 22): Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen
• Recht auf Widerruf der Einwilligung: Wenn die Verarbeitung auf einer Einwilligung beruht, können Sie die Einwilligung jederzeit widerrufen, ohne die Rechtmäßigkeit der bisherigen Verarbeitung zu beeinträchtigen
• Beschwerderecht: Sie haben das Recht, bei Ihrer lokalen Datenschutzaufsichtsbehörde eine Beschwerde einzureichen

Rechte gemäß CCPA/CPRA (Einwohner Kaliforniens)

• Auskunftsrecht: Fordern Sie die Offenlegung der Kategorien und spezifischen personenbezogenen Informationen an, die wir erheben, verwenden und weitergeben
• Löschungsrecht: Beantragen Sie die Löschung Ihrer personenbezogenen Informationen
• Recht auf Widerspruch gegen den Verkauf: Wir verkaufen Ihre personenbezogenen Informationen nicht. Es gibt nichts, wogegen Sie Widerspruch einlegen müssten.
• Recht auf Nichtdiskriminierung: Wir werden Sie nicht benachteiligen, wenn Sie Ihre CCPA-Rechte ausüben
• Recht auf Korrektur: Beantragen Sie die Berichtigung ungenauer personenbezogener Informationen

Kategorien der von uns erhobenen personenbezogenen Informationen: Identifikatoren (E-Mail, Name), Internetaktivität (Nutzungsdaten), berufliche Informationen (Antworten zur Karrierebewertung) und sensible personenbezogene Informationen (Antworten zum Wellness-Screening). Wir geben keine dieser Kategorien an Dritte für kontextübergreifende Verhaltenswerbung weiter oder verkaufen sie.

Rechte gemäß anderen US-Datenschutzgesetzen

• Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Oregon (OCPA), Texas (TDPSA) und andere Bundesstaaten mit Verbraucherdatenschutzgesetzen gewähren ihren Einwohnern ähnliche Rechte, einschließlich des Rechts auf Zugang, Berichtigung, Löschung und Erhalt einer Kopie personenbezogener Daten sowie des Rechts auf Widerspruch gegen den Verkauf personenbezogener Daten, zielgerichtete Werbung und Profiling.
• Selfward verkauft keine personenbezogenen Daten, betreibt keine zielgerichtete Werbung und erstellt keine Profile von Nutzern für Entscheidungen, die rechtliche oder ähnlich bedeutsame Auswirkungen haben. Daher gibt es unter diesen Gesetzen nichts, wogegen Sie Widerspruch einlegen müssten.
• Wenn Sie Einwohner eines US-Bundesstaates mit einem Verbraucherdatenschutzgesetz sind und Ihre Rechte ausüben möchten, kontaktieren Sie uns unter privacy@selfward.ai. Wenn wir Ihren Antrag ablehnen, können Sie Widerspruch einlegen, indem Sie eine E-Mail an privacy@selfward.ai mit dem Betreff „Datenschutzrechte-Einspruch“ senden, und wir werden innerhalb der gesetzlich vorgeschriebenen Frist antworten.

Um eines dieser Rechte auszuüben, kontaktieren Sie uns unter privacy@selfward.ai oder nutzen Sie die Datenexport-/Löschungsfunktionen in Ihren Kontoeinstellungen. Wir werden auf überprüfbare Anfragen innerhalb von 30 Tagen (GDPR) oder 45 Tagen (CCPA/Landesgesetze) antworten.

12. Empfehlungsprogramm und Hinweis zu finanziellen Anreizen

Selfward bietet ein Empfehlungsprogramm an, bei dem bestehende Nutzer andere einladen können, den Dienst auszuprobieren. Wenn Sie teilnehmen:

• Wir erheben: Ihren eindeutigen Empfehlungscode, die E-Mail-Adressen oder Identifikatoren der Personen, die sich über Ihren Link anmelden, und die mit Ihrer Empfehlung verbundene Kaufaktivität
• Sowohl der Empfehlende als auch der Empfohlene können ein Guthaben von 3 $ bei einem qualifizierten Kauf des Empfohlenen erhalten
• Der Wert des finanziellen Anreizes (3 $) steht in einem angemessenen Verhältnis zum Wert der bereitgestellten Daten, basierend auf den Kosten der Kundengewinnung
• Sie können jederzeit aus dem Empfehlungsprogramm austreten, indem Sie uns kontaktieren, und nicht eingelöste Guthaben verbleiben auf Ihrem Konto
• Selbstempfehlungen sind verboten und werden automatisch blockiert

13. Datenaufbewahrung

Wir bewahren Ihre Daten gemäß folgendem Zeitplan auf:

• Kontodaten: Aufbewahrung solange Ihr Konto aktiv ist, plus 30 Tage nach Löschungsantrag
• Bewertungsantworten und Berichte: Aufbewahrung solange Ihr Konto aktiv ist. Löschung innerhalb von 30 Tagen nach Kontolöschung.
• Zahlungsunterlagen: Aufbewahrung für 7 Jahre nach dem Transaktionsdatum, wie durch Steuer- und Finanzvorschriften vorgeschrieben
• Auditprotokolle: Aufbewahrung für 3 Jahre für Sicherheits- und Compliance-Zwecke
• Anonymisierte, aggregierte Daten: Können unbegrenzt für Forschungs- und Serviceverbesserungszwecke aufbewahrt werden. Diese Daten können nicht auf eine Einzelperson zurückgeführt werden.
• Empfehlungsdaten: Aufbewahrung für 2 Jahre nach dem Empfehlungsereignis oder bis zur Kontolöschung, je nachdem, was zuerst eintritt

Wenn Sie Ihr Konto löschen, leiten wir die endgültige Löschung aller Ihrer personenbezogenen Daten innerhalb von 30 Tagen ein. Einige Daten können in verschlüsselten Backups bis zu 90 Tage bestehen bleiben, bevor sie endgültig gelöscht werden. Daten, die wir gesetzlich aufbewahren müssen (z. B. Zahlungsunterlagen für die Steuer-Compliance), werden für den gesetzlich vorgeschriebenen Zeitraum aufbewahrt und dann gelöscht.

14. Datenschutz für Kinder

Selfward ist nicht für Nutzer unter 18 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 18 Jahren. Wenn Sie ein Elternteil oder Erziehungsberechtigter sind und der Meinung sind, dass Ihr Kind uns personenbezogene Daten zur Verfügung gestellt hat, kontaktieren Sie uns bitte umgehend unter privacy@selfward.ai und wir werden die Daten innerhalb von 48 Stunden löschen. Wenn wir feststellen, dass wir versehentlich Daten eines Kindes unter 18 Jahren erhoben haben, werden wir diese umgehend löschen.

15. Richtlinienänderungen

Wir können diese Richtlinie von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken, Technologie, rechtlichen Anforderungen oder anderer betrieblicher Gründe widerzuspiegeln. Bei wesentlichen Änderungen werden wir Sie mindestens 30 Tage im Voraus per E-Mail an die mit Ihrem Konto verknüpfte Adresse und durch einen deutlich sichtbaren Hinweis auf unserer Website benachrichtigen. Ihre fortgesetzte Nutzung des Dienstes nach dem Wirksamkeitsdatum der Änderungen gilt als Zustimmung zur aktualisierten Richtlinie. Wir empfehlen Ihnen, diese Richtlinie regelmäßig zu überprüfen.