Datenschutzerklärung

Gemäß DSGVO (EU) 2016/679 sowie § 165 TKG 2021

1. Verantwortlicher

Oliver Morina-Schmidt / marora
Mahlerstraße 7/29, 1010 Wien, Österreich
E-Mail: datenschutz@marora.io

Ein Datenschutzbeauftragter ist nicht bestellt (nicht gesetzlich erforderlich).

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unseres Dienstes erforderlich ist. Wir setzen bewusst keine Analytics-Tools, Tracking-Cookies oder Drittanbieter-Werbung ein. Dieses Vorgehen entspricht unserer Überzeugung: ruhig, klar, tief.

3. Welche Daten werden erhoben?

3.1 Account-Daten

Bei der Registrierung erheben wir deine E-Mail-Adresse und ein selbst gewähltes Passwort. Die Registrierung steht allen Nutzer:innen offen (B2C).

3.2 Chat- und Reflexionsdaten

Deine Gespräche mit der KI werden verschlüsselt in unserer Datenbank gespeichert (AES-256-GCM Field-Level Encryption), damit du auf deinen Verlauf zugreifen kannst. Du kannst einzelne Gespräche oder deinen gesamten Account jederzeit über die Einstellungen löschen.

3.3 User Memory (optional, Art. 9 DSGVO)

reflect by marora bietet eine optionale „User Memory"-Funktion an. Diese speichert aus Gesprächen abgeleitete Muster, Erkenntnisse und Zusammenfassungen, um spätere Interaktionen kontextbezogen zu unterstützen.

  • Einwilligung: Die Aktivierung erfolgt ausschließlich nach ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Ohne Aktivierung werden keine sitzungsübergreifenden Daten gespeichert.
  • Widerruf: Die Einwilligung kann jederzeit in den Einstellungen widerrufen werden. Bei Widerruf werden alle im Rahmen dieser Funktion gespeicherten Daten gelöscht.
  • Da diese Daten potenziell besondere Kategorien personenbezogener Daten umfassen können (z.B. Gesundheitsdaten, die im Coaching-Kontext geteilt werden), erfolgt die Verarbeitung nur mit ausdrücklicher Einwilligung.

3.4 Technische Daten

Beim Zugriff auf unsere Webseite werden automatisch technische Daten erhoben (z.B. IP-Adresse, Browsertyp, Zeitstempel). Diese dienen ausschließlich dem Betrieb und der Sicherheit des Dienstes.

4. Rechtsgrundlagen (Art. 6 DSGVO)

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung deiner Account- und Chat-Daten zur Bereitstellung des Coaching-Reflexionstools.
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Verarbeitung technischer Daten zur Gewährleistung der IT-Sicherheit und Stabilität des Dienstes.
  • Art. 9 Abs. 2 lit. a DSGVO (Ausdrückliche Einwilligung): Verarbeitung sensibler Daten im Rahmen der User Memory-Funktion.

5. Einsatz von Künstlicher Intelligenz

reflect by marora nutzt KI-Technologie, um Reflexionsimpulse basierend auf den marora-Prinzipien zu generieren.

5.1 Anthropic (Claude) – KI-Coaching

  • Deine Chat-Nachrichten werden über eine verschlüsselte Verbindung (TLS) an die Anthropic API übermittelt.
  • Anthropic verarbeitet diese Daten ausschließlich zur Generierung einer Antwort und speichert sie nicht dauerhaft für eigene Zwecke. API-Daten werden nicht zum Training verwendet.
  • Standort: USA. Rechtsgrundlage: Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO + EU-US Data Privacy Framework.
  • DPA: Auftragsverarbeitungsvertrag liegt vor (unterzeichnet 10. Januar 2025).
  • KI-generierte Antworten sind Reflexionsimpulse, keine professionelle Beratung oder Diagnosen.

Ausführliche Informationen zum KI-Einsatz findest du in unserem AI Disclaimer.

5.2 Google Gemini – Semantische Suche (Embeddings)

  • Zur kontextbezogenen Unterstützung werden Textabschnitte in numerische Vektoren (Embeddings) umgewandelt. Dies ermöglicht eine semantische Suche in der Coaching-Wissensbasis.
  • Verarbeitete Daten: Textfragmente aus Coaching-Dokumenten und Nutzereingaben werden zur Embedding-Generierung an die Google Gemini API übermittelt.
  • Standort: USA. Rechtsgrundlage: SCCs + EU-US Data Privacy Framework.
  • DPA: Google Paid Services Agreement mit DPA-Klauseln.

6. Hosting und Infrastruktur

6.1 Vercel (Frontend-Hosting)

Unsere Webseite wird bei Vercel Inc. (USA) gehostet. Vercel verarbeitet technische Zugriffsdaten (IP-Adresse, Browserinformationen) im Rahmen der Bereitstellung der Webseite.

  • Standort: Frankfurt (EU) + globales CDN.
  • Rechtsgrundlage: SCCs + EU-US Data Privacy Framework.
  • DPA: Auftragsverarbeitungsvertrag liegt vor (unterzeichnet 22. Januar 2025).
  • Speicherdauer: Logfiles gemäß Vercel-Richtlinie, in der Regel bis zu 30 Tage.

Datenschutzrichtlinie von Vercel

6.2 Railway (Backend-Hosting)

Das Backend der Anwendung wird bei Railway Corp. gehostet.

  • Standort: Amsterdam, Niederlande (EU).
  • Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung innerhalb EU).
  • DPA: Auftragsverarbeitungsvertrag liegt vor (unterzeichnet 3. März 2026).
  • Speicherdauer Logs: 7 Tage.

6.3 Supabase (Datenbank und Authentifizierung)

Für die Speicherung deiner Account- und Chat-Daten sowie die Authentifizierung nutzen wir Supabase. Die Daten werden in der EU gespeichert.

  • Standort: Frankfurt, Deutschland (EU).
  • Sicherheit: Row Level Security (RLS) – nur du kannst auf deine eigenen Daten zugreifen. Field-Level Encryption (AES-256-GCM) für sensible Daten.
  • Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung innerhalb EU).
  • DPA: Auftragsverarbeitungsvertrag liegt vor (unterzeichnet 3. März 2026), inkl. besonderer Kategorien.

6.4 Qdrant (Vektor-Datenbank)

Für die semantische Suche in der Coaching-Wissensbasis nutzen wir Qdrant Cloud als Vektor-Datenbank.

  • Standort: EU.
  • Verarbeitete Daten: Numerische Vektoren (Embeddings) – keine Klartextdaten.
  • Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung innerhalb EU).
  • DPA: Auftragsverarbeitungsvertrag liegt vor.

7. Weitere Dienstleister

7.1 Sentry (Fehlerüberwachung)

Zur Erkennung und Behebung technischer Fehler setzen wir Sentry ein.

  • Standort: EU (de.sentry.io).
  • Verarbeitete Daten: Technische Fehlerdaten. PII-Scrubbing ist aktiviert – es werden keine personenbezogenen Daten (E-Mail, Name) an Sentry übermittelt. Session-Replays sind deaktiviert.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Fehlerbehebung).
  • DPA: Auftragsverarbeitungsvertrag liegt vor (unterzeichnet 3. März 2026).

7.2 Resend (E-Mail-Versand)

Für den Versand von E-Mails (z.B. Willkommens-E-Mail nach Registrierung) nutzen wir Resend als Sub-Processor von Supabase.

  • Standort: USA.
  • Verarbeitete Daten: E-Mail-Adresse, Absender, Betreff.
  • Rechtsgrundlage: SCCs (abgedeckt durch Supabase DPA als Sub-Processor).

8. Cookies

reflect by marora verwendet ausschließlich technisch notwendige Cookies. Wir setzen keine Tracking-, Analytics- oder Werbe-Cookies ein.

CookieZweckSpeicherdauer
sb-*Supabase Authentifizierung (Session-Token)Session / bis Abmeldung

Zusätzlich wird deine Cookie-Bestätigung im localStorage deines Browsers gespeichert (marora-consent), damit der Cookie-Hinweis nicht bei jedem Besuch erneut erscheint. Dies ist kein Cookie im technischen Sinne und wird nicht an unsere Server übertragen.

9. Deine Rechte (Art. 15–22 DSGVO)

Du hast jederzeit das Recht auf:

  • Auskunft (Art. 15) — über die bei uns gespeicherten personenbezogenen Daten
  • Berichtigung (Art. 16) — unrichtiger Daten
  • Löschung (Art. 17) — deiner Daten. Du kannst deinen Account und alle Daten jederzeit in den Einstellungen löschen.
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20) — du kannst deine Daten in den Einstellungen als JSON exportieren.
  • Widerspruch (Art. 21) — gegen die Verarbeitung deiner Daten
  • Widerruf der Einwilligung (Art. 7 Abs. 3) — insbesondere für die User Memory-Funktion, jederzeit in den Einstellungen.

Zur Ausübung deiner Rechte wende dich bitte an: datenschutz@marora.io

10. Speicherdauer

  • Account-Daten und Chat-Verlauf: Solange dein Account aktiv ist. Bei Löschung deines Accounts werden alle personenbezogenen Daten einschließlich des Chat-Verlaufs unwiderruflich gelöscht (nach 30 Tagen Grace Period).
  • Audit-Logs: 12 Monate, danach automatische Löschung.
  • Fehler-Logs (Sentry): Session-basiert, PII-bereinigt.
  • Server-Logs (Railway): 7 Tage.
  • Server-Logs (Vercel): Bis zu 30 Tage.
  • Inaktive Accounts: Nach 24 Monaten ohne Login erfolgt Information per E-Mail mit 30 Tagen Reaktivierungsfrist, danach Deaktivierung und nach weiteren 60 Tagen unwiderrufliche Löschung.

11. Sicherheitsmaßnahmen

  • TLS-Verschlüsselung für alle Datenübertragungen
  • Field-Level Encryption (AES-256-GCM) für sensible Daten in der Datenbank
  • Row Level Security (RLS) in Supabase — jeder User sieht nur seine eigenen Daten
  • Passwörter werden gehasht gespeichert (bcrypt)
  • PII-Scrubbing in Fehler-Logs (Sentry)
  • Regelmäßige Sicherheitsupdates

12. Beschwerderecht

Du hast das Recht, dich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren:

Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Web: www.dsb.gv.at

13. Weitere Dokumente

Stand: März 2026