reflect by marora

Datenschutzerklärung

gemäß DSGVO (EU) 2016/679 sowie § 165 TKG 2021

Stand: April 2026

Verantwortlicher

Oliver Morina-Schmidt / marora

Mahlerstraße 7/29
1010 Wien
Österreich

E-Mail: datenschutz@marora.io

Ein Datenschutzbeauftragter ist derzeit nicht bestellt.

Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit den geltenden datenschutzrechtlichen Vorschriften.

Die Verarbeitung erfolgt nur, soweit dies zur Bereitstellung unserer Website und unseres digitalen Reflexionsdienstes erforderlich ist.

Wir verwenden keine Analytics-Tools, keine Tracking-Cookies und keine Drittanbieter-Werbung.

Mit dieser Datenschutzerklärung kommen wir unseren gesetzlichen Informationspflichten gemäß Art 12 ff DSVGO und § 165 Abs 3 TKG 2021 nach.

Welche Daten wir verarbeiten

Account-Daten

Bei der Registrierung und Nutzung des Accounts verarbeiten wir insbesondere:

  • E-Mail-Adresse
  • Passwort
  • Account- und Registrierungsdaten
  • technische Account-Metadaten

Die Bereitstellung dieser Daten ist erforderlich, um ein Nutzerkonto einzurichten und den Dienst bereitzustellen. Ohne diese Daten ist die Nutzung des Accounts nicht möglich.

Chat- und Reflexionsdaten

Wir verarbeiten die Inhalte deiner Eingaben sowie die vom System generierten Antworten, insbesondere:

  • Chat-Nachrichten
  • KI-Antworten
  • Gesprächsverläufe
  • Gesprächsmetadaten

Diese Daten werden verarbeitet, damit du den Dienst nutzen, auf frühere Gespräche zugreifen und deinen Gesprächsverlauf in deinem Account speichern kannst.

User Memory (optionale Funktion)

reflect by marora bietet optional eine User-Memory-Funktion an. Diese Funktion kann aus Gesprächen abgeleitete Muster, Erkenntnisse und Zusammenfassungen speichern, um spätere Interaktionen kontextbezogen zu unterstützen.

Die Funktion ist freiwillig und standardmäßig deaktiviert. Soweit im Rahmen dieser Funktion besondere Kategorien personenbezogener Daten verarbeitet werden können, etwa gesundheitsbezogene Inhalte, erfolgt dies ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung.

Ohne Aktivierung der Funktion werden keine sitzungsübergreifenden Memory-Daten gespeichert.

Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Im Fall des Widerrufs werden die im Rahmen dieser Funktion gespeicherten Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Technische Daten

Beim Zugriff auf unsere Website und den Dienst verarbeiten wir automatisch technische Zugriffsdaten, insbesondere:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • Browsertyp und Browserversion
  • Betriebssystem
  • technische Request- und Logdaten
  • sicherheitsrelevante Ereignisdaten

Darüber hinaus führen wir Audit-Logs, in denen sicherheitsrelevante Aktionen protokolliert werden, insbesondere Anmeldeversuche, Zugriffe auf Daten und Sicherheitsereignisse.

Diese Protokolle enthalten technische Daten wie IP-Adressen und Zeitstempel und dienen der Missbrauchserkennung, Fehlerbehebung und IT-Sicherheit.

Diese Daten dienen der Bereitstellung, Stabilität, Sicherheit und Fehlerbehebung.

Zwecke und Rechtsgrundlagen der Verarbeitung

Bereitstellung des Accounts und des Dienstes

Zweck: Registrierung, Login, Account-Verwaltung, Speicherung des Gesprächsverlaufs, Bereitstellung der KI-gestützten Reflexionsfunktion

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

IT-Sicherheit, Stabilität und Fehlerbehebung

Zweck: Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Sicherheit unserer Systeme, Missbrauchserkennung und technische Fehleranalyse

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Unser berechtigtes Interesse liegt im sicheren und funktionsfähigen Betrieb unseres Dienstes.

Optionale User-Memory-Funktion

Zweck: Sitzungsübergreifende Kontextunterstützung durch Speicherung abgeleiteter Muster, Erkenntnisse und Zusammenfassungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

Soweit dabei besondere Kategorien personenbezogener Daten verarbeitet werden, erfolgt dies zusätzlich auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO.

Einsatz von Künstlicher Intelligenz

reflect by marora nutzt KI-Technologie, um Reflexionsimpulse und Antworten zu generieren.

KI-generierte Inhalte dienen der Reflexion und Orientierung. Sie stellen keine medizinische, psychotherapeutische, rechtliche, steuerliche oder finanzielle Beratung dar.

Antrophic (Claude) -- Generierung von KI-Antworten

Zur Generierung von Antworten werden Eingaben über eine verschlüsselte Verbindung an Dienste von Anthropic übermittelt.

Verarbeitete Daten:

  • Inhalte deiner Chat-Eingaben
  • technisch erforderliche Request-Daten

Zweck:

Generierung von KI-basierten Antworten und Reflexionsimpulsen

Sicherstellung eines angemessenen Datenschutzniveaus beim Daten-Empfänger im Sinne des Kapitel V DSGVO:

Antrophic PBC hat seinen Sitz in den USA. Ein angemessenes Datenschutzniveau wird dadurch sichergestellt, dass Standarddatenschutzklauseln nach Art 46 Abs 2 lit c DSGVO abgeschlossen wurden.

Google Gemini -- Embeddings / semantische Verarbeitung

Zur semantischen Verarbeitung und kontextbezogenen Unterstützung können Textabschnitte in numerische Vektoren umgewandelt werden.

Verarbeitete Daten:

  • Textfragmente aus Dokumenten und Eingaben, soweit dies technisch erforderlich ist
  • Soweit die optionale User-Memory-Funktion aktiviert ist, können auch aus Gesprächen abgeleitete Erkenntnisse und Textfragmente für die Erstellung semantischer Vektoren verarbeitet werden

Zweck:

Semantische Suche und kontextbezogene Verarbeitung

Sicherstellung eines angemessenen Datenschutzniveaus beim Daten-Empfänger im Sinne des Kapitel V DSGVO:

Google LLC hat seinen Sitz in den USA. Ein angemessenes Datenschutzniveau wird dadurch sichergestellt, indem Google LLC unter dem EU-US Data Privacy Framework gelistet ist.

Hosting und Infrastruktur

Vercel

Unsere Website wird über Vercel bereitgestellt.

Zweck: Hosting, Auslieferung, Performance, Stabilität und Sicherheit

Verarbeitete Daten: technische Zugriffsdaten und Logdaten

Sicherstellung eines angemessenen Datenschutzniveaus beim Daten-Empfänger im Sinne des Kapitel V DSGVO:

Vercel Inc hat seinen Sitz in den USA. Die Server befinden sich in der EU. Ein angemessenes Datenschutzniveau wird dadurch sichergestellt, indem Vercel Inc unter dem EU-US Data Privacy Framework gelistet ist.

Railway

Das Backend wird bei Railway gehostet. Die Server befinden sich in der EU (Amsterdam, Niederlande).

Zweck: Backend-Betrieb und technische Bereitstellung des Dienstes

Verarbeitete Daten: technische Betriebs- und Logdaten

Sicherstellung eines angemessenen Datenschutzniveaus beim Daten-Empfänger im Sinne des Kapitel V DSGVO:

Railway Corporation hat seinen Sitz in den USA. Die Server befinden sich in der EU. Ein angemessenes Datenschutzniveau wird dadurch sichergestellt, indem Railway Corporation unter dem EU-US Data Privacy Framework gelistet ist.

Supabase

Für Datenbank- und Authentifizierungsfunktionen verwenden wir Supabase. Die Server befinden sich in der EU.

Zweck: Speicherung von Account- und Chat-Daten, Authentifizierung, Zugriffsschutz

Sicherstellung eines angemessenen Datenschutzniveaus beim Daten-Empfänger im Sinne des Kapitel V DSGVO:

Supabase, Inc hat seinen Sitz in Singapur. Ein angemessenes Datenschutzniveau wird dadurch sichergestellt, dass Standarddatenschutzklauseln nach Art 46 Abs 2 lit c DSGVO abgeschlossen wurden.

Qdrant

Für semantische Such- und Kontextfunktionen nutzen wir Qdrant. Die Server befinden sich in der EU

Zweck: Vektorspeicherung und semantische Suche

Sicherstellung eines angemessenen Datenschutzniveaus beim Daten-Empfänger im Sinne des Kapitel V DSGVO:

Qdrant Solution GmbH hat ihren Sitz in Deutschland. Es kommt daher zu keinem Drittlandtransfer.

Verarbeitete Daten: numerische Vektoren und technisch erforderliche Referenzen

Es werden dort nicht der vollständige Klartext deines gesamten Chat-Verlaufs, sondern technische Repräsentationen verarbeitet, soweit dies für die jeweilige Funktion erforderlich ist.

Weitere Dienstleister

Sentry

Zur Erkennung und Analyse technischer Fehler setzen wir Sentry ein.

Zweck: Fehleranalyse, Stabilität und Sicherheit

Verarbeitete Daten: technische Fehler- und Ereignisdaten

Sicherstellung eines angemessenen Datenschutzniveaus beim Daten-Empfänger im Sinne des Kapitel V DSGVO:

Sentry io hat ihren Sitz in den USA. Ein angemessenes Datenschutzniveau wird dadurch sichergestellt, indem Sentry io unter dem EU-US Data Privacy Framework gelistet ist (jedoch nur hinsichtlich Non-HR-Data).

Resend (Sub-Auftragsverarbeiter von Supabase)

Für den Versand transaktionaler E-Mails (insbesondere Registrierungsbestätigungen und Passwort-Zurücksetzungen) wird Resend als Sub-Auftragsverarbeiter von Supabase eingesetzt.

Zweck: Versand von Registrierungs-, System- oder Account-E-Mails

Verarbeitete Daten: E-Mail-Adresse und technisch erforderliche Versanddaten

Sicherstellung eines angemessenen Datenschutzniveaus beim Daten-Empfänger im Sinne des Kapitel V DSGVO:

Plus Five Five Inc hat ihren Sitz in den USA. Ein angemessenes Datenschutzniveau wird dadurch sichergestellt, indem Plus Five Five Inc unter dem EU-US Data Privacy Framework gelistet ist (jedoch nur hinsichtlich Non-HR-Data).

Cookies und lokale Speichertechnologien

reflect by marora verwendet ausschließlich technisch notwendige Cookies und vergleichbare Speichertechnologien.

Wir setzen keine Tracking-, Analytics- oder Werbe-Cookies ein.

Technisch notwendige Cookies

-- sb-*: Authentifizierung und Session-Verwaltung

Zusätzlich kann im localStorage des Browsers ein Hinweis gespeichert werden, dass ein Banner bereits angezeigt oder bestätigt wurde. Dies erfolgt ausschließlich lokal im Browser und nicht zu Tracking- oder Werbezwecken.

Die Verarbeitung dieser Daten ist erforderlich, um die Sicherheit des Betriebes der Website zu bewerkstelligen und die Funktionalität der Website aus technischen Gesichtspunkten sicherzustellen. Die Erhebung dieser Daten erfolgt zum Teil über technische Cookies. Diese technischen Cookies werden nur im notwendigen Umfang eingesetzt (§ 165 Abs 3 TKG). Die Verarbeitung dieser Daten ist durch unser berechtigtes Interesse am Betrieb der Website gerechtfertigt (Art 6 Abs 1 lit f DSGVO).

Empfänger oder Kategorien von Empfängern

Zur Bereitstellung unseres Dienstes können personenbezogene Daten an folgende Kategorien von Empfängern übermittelt werden:

  • Hosting- und Infrastrukturprovider, nämlich konkret: die Vercel Inc mit Sitz in den USA
  • Datenbank- und Authentifizierungsanbieter, nämlich konkret: die Supabase Inc mit Sitz in Singapur.
  • KI- und Embedding-Anbieter, nämlich konkret: Antrophic PBC und Google LLC jeweils mit Sitz in den USA.
  • technische Fehleranalyse- und E-Mail-Dienstleister, nämlich konkret: Die Sentry io und Plus Five Five Inc jeweils mit Sitz in den USA.

Eine Übermittlung erfolgt nur, soweit dies zur Bereitstellung, Sicherheit oder technischen Funktion unseres Dienstes erforderlich ist.

Speicherdauer

Account-Daten und Chat-Verlauf

Account-Daten und Chat-Verlauf speichern wir, solange dein Account aktiv ist.

Wenn du deinen Account löschst, werden die zugehörigen personenbezogenen Daten unverzüglich gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Audit-Logs werden dabei anonymisiert.

Memory-Daten

Daten aus der optionalen User-Memory-Funktion speichern wir nur so lange, wie die Funktion aktiviert ist oder bis du deine Einwilligung widerrufst bzw. die Daten löschst.

Technische Logs und Fehlerdaten

  • Audit-Logs: bis zu 12 Monate
  • technische Verarbeitungsprotokolle im Zusammenhang mit der Memory-Funktion: bis zu 90 Tage (Qualitätssicherung und Fehlerbehebung)
  • technische Server-Logs: nur so lange, wie dies für den sicheren Betrieb erforderlich ist
  • Fehlerdaten: nur im erforderlichen Umfang und für die notwendige Analyse

Inaktive Accounts

Bei längerer Inaktivität können Accounts aus Sicherheits- und Datenminimierungsgründen deaktiviert und später gelöscht werden.

Dabei wird wie folgt vorgegangen: Nach 24 Monaten ohne Login erfolgt eine Information per E-Mail. Erfolgt keine Reaktivierung innerhalb der mitgeteilten Frist, kann der Account deaktiviert und später gelöscht werden.

Sonstige Aufbewahrungsfristen

Wir werden Deine Daten nur so lange speichern, wie es für jene Zwecke erforderlich ist, für die wir Deine Daten erhoben haben. In diesem Zusammenhang sind gesetzliche Aufbewahrungspflichten zu berücksichtigen (so sind etwa aus steuerrechtlichen Gründen Verträge und sonstige Dokumente aus unserem Vertragsverhältnis grundsätzlich für die Dauer von sieben Jahren aufzubewahren (§ 132 BAO)). In begründeten Einzelfällen, etwa zur Geltendmachung und Abwehr von Rechtsansprüchen, können wir Deine Daten auch bis zu 30 Jahre nach Beendigung der Geschäftsbeziehung speichern.

Daten von Interessenten speichere wir bis zu einem Jahr ab dem Zeitpunkt der letztmaligen Kontaktaufnahme durch den Interessenten.

Sicherheitsmaßnahmen

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Dazu gehören insbesondere:

  • TLS-Verschlüsselung
  • Verschlüsselung sensibler personenbezogener Daten auf Feldebene (AES-256-GCM)
  • Zugriffsbeschränkungen und Rechtekonzepte
  • datenbankgestützte Zugriffskontrolle auf Zeilenebene (Row-Level Security)
  • sichere Passwortspeicherung
  • Schutzmaßnahmen für Datenbank und Authentifizierung
  • Reduktion personenbezogener Daten in Fehlerprotokollen
  • regelmäßige Sicherheitsupdates und Wartung

Automatisierte Entscheidungen und Bezug von Daten aus dritten Quellen

Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt, die dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt.

Es werden keine Daten aus dritten Quellen im Sinne des Art 14 DSGVO empfangen.

Deine Rechte

Wir möchten Dich darüber informieren, dass Du, sofern die gesetzlichen Voraussetzungen dafür vorliegen:

  • Das Recht hast, Auskunft darüber zu verlangen, welche Daten von Dir bei uns verarbeitet werden (siehe im Detail Art 15 DSGVO).
  • Das Recht hast, die Berichtigung oder Vervollständigung Dich betreffender unrichtiger oder unvollständiger Daten zu verlangen (siehe im Detail Art 16 DSGVO).
  • Das Recht auf Löschung Deiner Daten (siehe im Detail Art 17 DSGVO) hast.
  • Das Recht hast, gegen eine Verarbeitung Deiner Daten, die zur Wahrung unserer berechtigten Interessen oder eines Dritten erforderlich sind, Widerspruch (siehe im Detail Art 21 DSGVO) einzulegen. Dies gilt insbesondere in Bezug auf die Verarbeitung Deiner Daten für Werbezwecke.
  • Das Recht hast, die Übertragung der von Dir bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Sofern wir Deine Daten auf Basis Deiner Einwilligung verarbeite, hast Du das Recht, diese Einwilligung jederzeit per E-Mail zu widerrufen. Dadurch wird die Rechtmäßigkeit der bis zu diesem Zeitpunkt erfolgten Datenverarbeitung nicht beeinträchtigt (Art 7 Abs 3 DSGVO).

Zur Ausübung deiner Rechte kannst du uns unter datenschutz@marora.io kontaktieren.

Soweit technisch vorgesehen, können bestimmte Rechte auch direkt im Account ausgeübt werden. Insbesondere kannst du in den Account-Einstellungen:

  • deine Daten in einem maschinenlesbaren Format (JSON) exportieren (Datenübertragbarkeit),
  • einzelne Memory-Einträge einsehen und löschen,
  • deinen Account und alle zugehörigen Daten löschen.

Beschwerderecht

Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständige Aufsichtsbehörde in Österreich ist:

Österreichische Datenschutzbehörde

Barichgasse 40–42
1030 Wien
Österreich
E-Mail: dsb@dsb.gv.at

from inner to outcome.