← Zurück zur Startseite

Datenschutzerklärung Version 2.0

Stand: April 2026 · Letzte Überarbeitung: Umfassende Aktualisierung auf Basis einer internen DSGVO-Auditierung (April 2026).

Kurzfassung in einem Satz: Wir sammeln so wenig personenbezogene Daten wie möglich, speichern sie EU-basiert, löschen sie aggressiv, holen explizite Einwilligung für sensible Kategorien ein — und dokumentieren jeden Schritt.

→ Übersicht unserer Sicherheitsmaßnahmen (Trust Center)

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

GENAI AREDEZ SRL
Str. Dumbravei 10, Sc. C, Et. P
420141 Bistrița, Județul Bistrița-Năsăud
Rumänien

Handelsregister: J06/579/2024
Steuernummer (CUI): RO50175882

E-Mail: hallo@strahlkraft40plus.de

2. Überblick & Grundprinzipien

Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Bevor Sie sich durch die Details arbeiten, die Essenz unserer Datenschutz-Architektur — jeder Punkt ist im folgenden Dokument konkret belegt und technisch umgesetzt:

Datenminimierung in der Praxis. Die 55 Antworten des Wellness-Checks und die Antworten des Beauty-Checks verlassen Ihren Browser niemals als Rohdaten. Gespeichert wird ausschließlich der finale, von Ihnen freigegebene HTML-Report — nicht die einzelnen Antworten.
Medizinischer Blocklist in der KI-Begleiterin. Bevor Athena eine Information in ihr Langzeitgedächtnis aufnimmt, prüft ein technischer Filter auf medizinische Begriffe (Diagnosen, Medikamentennamen, konkrete klinische Befunde). Treffer werden blockiert — nicht gespeichert.
30-Tage-Löschung für Nicht-Kundinnen. Wenn Sie Athena im Probemodus nutzen und kein Abonnement abschließen, werden Ihre Gesprächsverläufe und Erinnerungsfakten automatisch nach 30 Tagen unwiderruflich gelöscht — via täglichem Cron-Job, nicht auf Anfrage.
EU-Datenresidenz als Standard. Hosting in Frankfurt (Vercel fra1), Datenbank in der EU-Region (Neon Postgres), KI-Verarbeitung in europe-west3 bzw. über den globalen Vertex-AI-Endpunkt mit Zero-Data-Retention-Konfiguration. Keine Ihrer Daten werden zum Training von KI-Modellen verwendet.
Kaskadierende Löschung auf Knopfdruck. Wenn Sie Ihr Konto löschen, werden in einer einzigen Transaktion alle zugehörigen Datensätze aus allen Tabellen entfernt (Nutzerdaten, Gesprächsverläufe, Erinnerungsfakten, Zugänge, Fortschritt, Report-HTML) und der Brevo-Kontakt parallel deaktiviert. Eine Bestätigung wird Ihnen per E-Mail zugestellt.

Diese Prinzipien sind keine Marketing-Claims. Sie ergeben sich aus unserer internen DSGVO-Auditierung vom April 2026 und sind durch ein Set von neun internen Fachdokumenten belegt (Technische und organisatorische Maßnahmen, Auftragsverarbeiter-Register, Datenpannen-Response-Plan, Betroffenenrechte-SOP, Aufbewahrungsrichtlinie, Verzeichnis von Verarbeitungstätigkeiten, Einwilligungsprotokoll-Spezifikation, DPIA für Gesundheitsdaten, Cookie-Richtlinie), die Aufsichtsbehörden und B2B-Auditoren auf Anfrage zur Verfügung stehen — siehe Abschnitt 18.

3. Rechtsgrundlagen im Überblick

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO — und bei Gesundheitsdaten zusätzlich eine nach Art. 9 DSGVO. Die folgende Tabelle fasst unsere Rechtsgrundlagen pro Verarbeitungszweck zusammen. Detaillierte Erläuterungen finden Sie jeweils im entsprechenden Unterabschnitt von §4.

Verarbeitung	Art. 6 DSGVO	Art. 9 DSGVO	Zweck
Account & Portal-Login	lit. b — Vertragserfüllung	—	Bereitstellung des gekauften Produkts
Zahlungsabwicklung (Stripe)	lit. b — Vertragserfüllung	—	Kaufabwicklung, Rechnungsstellung
Newsletter	lit. a — Einwilligung	—	E-Mail-Versand nach ausdrücklicher Anmeldung
Transaktionale E-Mails	lit. b — Vertragserfüllung	—	Login-Links, Kaufbestätigung, Zugang
Warenkorbabbruch-Mails	lit. f — berechtigtes Interesse	—	Einmalige Recovery-E-Mail
Wellness-Check / Beauty-Check Report	lit. b — Vertragserfüllung	lit. a — ausdrückliche Einwilligung	Generierung des persönlichen Reports
Athena-Gesprächsverläufe (Kundinnen)	lit. b — Vertragserfüllung	lit. a, wenn gesundheitsbezogene Inhalte	KI-Begleitung im Protokoll
Athena-Erinnerungsfunktion	lit. a — Einwilligung	lit. a — ausdrückliche Einwilligung	Personalisiertes Langzeitgedächtnis
Meta Pixel / Conversions API	lit. a (Pixel), lit. f (CAPI)	—	Werbemessung, nur nach Klaro-Zustimmung
Server-Logs, Rate-Limiting, Bot-Schutz	lit. f — berechtigtes Interesse	—	Betrieb, Sicherheit, Missbrauchsabwehr
Plausible Analytics (cookieless)	lit. f — berechtigtes Interesse	—	Aggregierte, anonyme Nutzungsstatistik

4. Welche Daten wir verarbeiten

Wir gliedern die Darstellung nicht nach einzelnen Features, sondern nach Datenkategorien — so sehen Sie auf einen Blick, welche Art von Information wir in welchem Zusammenhang verarbeiten. Rechtsgrundlagen pro Zweck siehe §3.

4.1 Konto & Authentifizierung

Zur Bereitstellung Ihres geschützten Bereichs erheben und speichern wir:

E-Mail-Adresse — zur Zuordnung Ihres Kaufs, für Login-Links und Systembenachrichtigungen.
Magic-Link-Token — ein einmalig gültiger, zeitlich begrenzter Token (15 Minuten), der per E-Mail zugestellt wird. Nach Gebrauch wird der Token ungültig.
JWT-Sitzungstoken — verschlüsselter Cookie (s40_session, HttpOnly, 30 Tage). Er ermöglicht Ihnen, nach dem Login eingeloggt zu bleiben, ohne dass Ihr Passwort (es gibt keines) oder Ihre E-Mail im Browser-Speicher liegen.
Kaufstatus & Tier-Information — welches Produkt Sie erworben haben (Basis, Coach 30, VIP 90, Athena-Abonnement) und bis wann der Zugang läuft.
Optional — Vorname, Geburtsjahr, Ziele, Ernährungspräferenzen. Nur wenn Sie diese Felder selbst ausfüllen. Sie können jederzeit leer bleiben.

Kein Passwort, keine Sicherheitsfragen, keine biometrischen Daten. Die Authentifizierung erfolgt ausschließlich über passwortlose Magic Links.

4.2 Portal-Nutzung & Fortschritt

Innerhalb des Portals speichern wir, welche Inhalte Sie geöffnet und welche Tage des Protokolls Sie abgeschlossen haben, damit Ihre Fortschrittsanzeige (Progress Dots, Checklisten, Lesezeichen) korrekt funktioniert. Dazu gehören:

Welche Inhalte für Sie freigeschaltet sind
Welche Protokoll-Tage Sie als erledigt markiert haben
Zeitstempel Ihres ersten Portal-Besuchs (für Reminder-Logik)

Wir tracken keine Mausbewegungen, Scrolltiefen oder Verweildauer in einzelnen Abschnitten innerhalb des Portals.

4.3 Zahlungen (Stripe)

Käufe werden über Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Dublin, Irland) abgewickelt. Ihre Zahlungsdaten (Kreditkartennummer, CVV, Ablaufdatum) werden direkt auf den Servern von Stripe erfasst und verarbeitet — wir sehen oder speichern diese Daten niemals.

Wir erhalten von Stripe lediglich eine anonyme Kundenkennung, den gewählten Tarif, den Status der Zahlung und eine Transaktions-ID, damit wir Ihnen nach erfolgreicher Zahlung den Zugang freischalten können.

Weitere Informationen: https://stripe.com/de/privacy

4.4 Wellness-Check & Beauty-Check

Der Wellness-Check (55 Fragen) und der Beauty-Check sind interaktive Selbstbewertungen, die einen persönlichen Report generieren. Hier ist die technische Realität der Datenverarbeitung — wichtig, weil es der sensibelste Punkt des gesamten Produkts ist:

Ihre Antworten verlassen Ihren Browser nicht als Rohdaten. Die 55 Antworten werden ausschließlich lokal in Ihrem Browser berechnet (Scoring, Dimensionen, Stage-Erkennung).
Nur vier ausgewählte Antworten (Prioritäten, selbstberichtete Medikation, familiäre Vorgeschichte, HRT-Status) werden zusammen mit den lokal berechneten Scores an unseren Server übermittelt, damit das KI-Modell einen kontextbezogenen Report generieren kann.
Das KI-Modell (Google Gemini via Vertex AI, europe-west3/global endpoint) generiert den Report unter Zero-Data-Retention-Konfiguration — Ihre Eingaben werden nicht zum Training verwendet.
Nur der finale HTML-Report wird in unserer Datenbank gespeichert. Die einzelnen Antworten sind zu diesem Zeitpunkt bereits verworfen.
Der Report enthält Formulierungen, die als Gesundheitsdaten i.S.v. Art. 9 DSGVO gelten können. Wir behandeln den Report entsprechend — siehe §5.
Sie können den Report jederzeit einzeln löschen. Diese Löschung ist sofort wirksam.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und, für den Report-Inhalt selbst, Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung, die Sie vor dem Quiz-Start erteilen).

4.5 Athena — KI-Begleiterin

Athena ist unsere KI-gestützte Wellness-Begleiterin. Je nachdem, wo und wie Sie mit ihr interagieren, fallen unterschiedliche Datenmengen an. Wir unterscheiden drei Kontexte:

(a) Öffentlicher Chatbot auf der Startseite

Der Chatbot auf der Startseite beantwortet Fragen zu unseren Produkten und Inhalten. Hier werden keine Gesprächsverläufe auf unseren Servern gespeichert. Die KI-Verarbeitung erfolgt über Google Cloud Vertex AI in Echtzeit unter dem Cloud Data Processing Addendum nach Art. 28 DSGVO. Google verpflichtet sich vertraglich, Ihre Daten nicht zum Training von KI-Modellen zu verwenden. Ihre IP-Adresse wird ausschließlich zur Rate-Limit-Kontrolle (max. 6 Anfragen/Minute) für max. 60 Sekunden im Serverspeicher gehalten — nicht protokolliert und nicht persistiert.

Offline-Modus: Sollte der KI-Server vorübergehend nicht erreichbar sein, läuft eine lokale Wissensdatenbank direkt in Ihrem Browser — in diesem Fall werden keinerlei Daten an externe Server übermittelt.

(b) Athena im Portal — Gesprächsverläufe

Im Portal führen Kundinnen längere Gespräche mit Athena über ihren Protokoll-Verlauf. Diese Gespräche werden in einer verschlüsselten Datenbank (Neon Postgres, EU-Region) gespeichert, damit Sie später darauf zugreifen können.

Kundinnen: Gespräche bleiben gespeichert, solange Ihr Zugang aktiv ist. Sie können jedes Gespräch einzeln oder alle auf einmal löschen.
Nicht-Kundinnen (Probemodus): Gespräche werden automatisch 30 Tage nach dem letzten Zugriff via täglichem Cron-Job unwiderruflich gelöscht. Ca. 15 Tage vor der Löschung erhalten Sie eine Benachrichtigung per E-Mail.
Maximal 200 Nachrichten werden pro Gespräch aufbewahrt; ältere Nachrichten werden automatisch rotiert.
Audio-Eingaben (Voice Input) werden niemals gespeichert. Sprache wird lokal in Text umgewandelt, der Audio-Stream wird nach der Transkription verworfen.

(c) Athena-Erinnerungsfunktion (optional)

Athena kann sich auf Ihren Wunsch hin strukturierte Informationen aus Ihren Gesprächen merken (z.B. Vorname, Ziele, Ernährungsvorlieben, besprochene Themen), um in späteren Gesprächen personalisiert antworten zu können. Diese Funktion ist opt-in und kann jederzeit deaktiviert werden. Athena funktioniert ohne Erinnerung voll — sie wird dann nur zustandslos.

Technische Schutzmaßnahmen:

Medizinischer Blocklist: Ein technischer Filter prüft vor dem Schreiben jede Information auf ca. 40 medizinische Schlüsselbegriffe (Diagnosen, Medikamentennamen, konkrete klinische Befunde). Treffer werden blockiert — sie landen nicht in Ihrem Erinnerungsprofil.
Separate Einwilligung: Die Erinnerungsfunktion erfordert eine gesonderte, ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO — zusätzlich zur normalen Nutzungs-Einwilligung.
Einsicht & Kontrolle: Sie können jederzeit sehen, was Athena sich gemerkt hat, einzelne Fakten löschen, alle Fakten auf einmal löschen ("Athena vergisst") oder die Funktion komplett deaktivieren — direkt in der Assistant-Oberfläche, ohne E-Mail-Anfrage.
Automatische Löschung: Erinnerungsfakten werden cascade-gelöscht, sobald Sie Ihr Konto löschen oder die Funktion deaktivieren. Bei Nicht-Kundinnen zusätzlich automatisch nach 30 Tagen Inaktivität.
Datenexport: Alle gespeicherten Fakten stehen Ihnen als JSON-Download zur Verfügung (Art. 20 DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerrufbar.

(d) Athena-Ergebnisdokumente

Auf Ihre Anfrage hin kann Athena Zusammenfassungen erstellen (Arzt-Vorbereitung, Wochenbericht, persönlicher Aktionsplan). Diese Dokumente werden aus Ihren gespeicherten Erinnerungsfakten und Gesprächsverläufen generiert und unterliegen derselben Speicher- und Löschlogik wie die Quelldaten. Arzt-Vorbereitungen sind ausdrücklich keine medizinischen Dokumente und ersetzen keine ärztliche Beratung.

4.6 E-Mail-Kommunikation

Für den E-Mail-Versand nutzen wir Brevo (Sendinblue), Sitz Paris, Frankreich (EU). Wir versenden drei Arten von E-Mails mit unterschiedlichen Rechtsgrundlagen:

Newsletter. Versand erfolgt nach Ihrer ausdrücklichen Anmeldung über das Newsletter-Formular. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können den Newsletter jederzeit über den Abmelde-Link in jeder E-Mail beenden. Wir arbeiten derzeit an einer Umstellung auf Double-Opt-In-Bestätigung für zusätzliche Nachweissicherheit.
Transaktionale E-Mails. Login-Links, Kaufbestätigungen, Zugangsbenachrichtigungen, Portal-Updates. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Warenkorbabbruch-E-Mails. Wenn Sie einen Kauf beginnen aber nicht abschließen, speichern wir Ihre E-Mail-Adresse, das gewählte Produkt, die Stripe-Session-ID, einen Wiederherstellungslink und den Zeitpunkt des Abbruchs. Wir versenden maximal eine Erinnerungs-E-Mail. Daten werden nach 90 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Widerspruch jederzeit per E-Mail an hallo@strahlkraft40plus.de.
Nurture-Sequenzen nach Lead-Magnet-Bezug. Fünf automatisierte E-Mails über 14 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, die Sie beim Download erteilen). Abmelden jederzeit möglich.

4.7 Server-Logs

Beim Aufruf unserer Website erhebt der Hosting-Provider technische Zugriffsdaten: Browsertyp und -version, Betriebssystem, Referrer-URL, Hostname, Uhrzeit der Anfrage, IP-Adresse (anonymisiert). Diese Daten werden nicht mit anderen Datenquellen zusammengeführt und ausschließlich zu Betriebs-, Sicherheits- und Missbrauchsabwehrzwecken verwendet.

Wichtig: Ihre IP-Adresse wird von unserer Applikation nicht in Anwendungs-Logs persistiert. Sie wird ausschließlich zur Rate-Limit-Kontrolle flüchtig im RAM gehalten und nach wenigen Sekunden verworfen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

4.8 Cookies

Wir setzen ausschließlich die folgenden Cookies:

s40_session — Authentifizierungs-Cookie für das Portal (HttpOnly, 30 Tage). Nur nach Login.
klaro — Speichert Ihre Cookie-Einstellungen (1 Jahr). Technisch notwendig zur Umsetzung Ihrer Präferenzen.
_fbp, _fbc — Meta-Cookies (90 Tage). Werden ausschließlich mit Ihrer Einwilligung über den Klaro-Cookie-Banner gesetzt.

Sie können Ihre Einwilligung jederzeit über den Link "Datenschutz-Einstellungen" im Footer widerrufen. Die Klaro-Cookie-Verwaltung zeigt Ihnen jederzeit die volle Liste der aktuell geladenen Dienste mit Zweck und Speicherdauer.

4.9 Kontaktanfragen

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben (Name, E-Mail-Adresse, Nachricht) zur Bearbeitung und für Anschlussfragen gespeichert. Wir geben diese Daten nicht ohne Ihre Einwilligung weiter. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage).

5. Besondere Kategorien — Gesundheitsdaten (Art. 9 DSGVO)

Einige Features unseres Produkts können dazu führen, dass Informationen entstehen, die als gesundheitsbezogene Daten im Sinne von Art. 9 DSGVO gelten. Wir wollen hier völlig transparent sein, wo das der Fall ist und wie wir damit umgehen. Gesundheitsdaten sind keine Kerntätigkeit unseres Angebots — wir bieten Wellness-Begleitung, keine medizinische Diagnostik — aber wir behandeln jede potenziell gesundheitsbezogene Information mit dem Schutzstandard, den Art. 9 vorsieht.

5.1 Wo gesundheitsbezogene Daten entstehen können

Wellness-Check- und Beauty-Check-Reports (§4.4). Der HTML-Report enthält Einschätzungen zu Themen wie Hormonstatus, Schlaf, Stressniveau, Hautgesundheit.
Athena-Gesprächsverläufe (§4.5 b) in dem Maß, in dem Nutzerinnen freiwillig über Beschwerden, Symptome oder Wechseljahres-Erfahrungen sprechen.
Athena-Erinnerungsfakten (§4.5 c), wenn Nutzerinnen solche Inhalte speichern lassen möchten — was nur mit ausdrücklicher zusätzlicher Einwilligung möglich ist.

5.2 Unsere Schutzmaßnahmen

Datenminimierung: Die 55 Rohantworten des Wellness-Checks werden nie gespeichert; der Beauty-Check funktioniert analog.
Medizinischer Blocklist: Diagnosen, Medikamentennamen und klinische Befunde werden vor dem Schreiben in das Athena-Gedächtnis technisch blockiert.
Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO): Vor jedem Feature, das gesundheitsbezogene Inhalte verarbeiten könnte, holen wir eine gesonderte, explizite Einwilligung ein. Sie ist jederzeit widerrufbar.
Verschlüsselung & EU-Residenz: Alle potenziell gesundheitsbezogenen Daten werden in verschlüsselten Datenbanken in der EU-Region gespeichert. Übertragungen erfolgen ausschließlich TLS-verschlüsselt.
Trennung vom Standard-Profil: Die Erinnerungsfunktion liegt in einer separaten Datenbanktabelle mit engerer Zugriffskontrolle als das normale Nutzerprofil.
Aggressive Löschfristen: Bei Nicht-Kundinnen werden gesundheitsbezogene Inhalte nach 30 Tagen Inaktivität automatisch gelöscht — ohne dass Sie etwas tun müssen.
Keine Nutzung für Training oder Profilbildung Dritter: Ihre Daten gehen weder an Werbenetzwerke noch an Modelltrainings-Pipelines.

5.3 Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Wir haben für die Verarbeitung potenziell gesundheitsbezogener Daten eine interne Datenschutz-Folgenabschätzung (DPIA) durchgeführt. Sie identifiziert Risiken, bewertet sie und dokumentiert die ergriffenen Mitigationsmaßnahmen. Die DPIA steht Aufsichtsbehörden und B2B-Auditoren auf Anfrage zur Verfügung. Sie wird vor jeder wesentlichen Erweiterung des Funktionsumfangs (z.B. Wearables, Blutwert-Integration — siehe §16) aktualisiert.

6. KI-Transparenz (EU AI Act, Art. 50)

Athena und unser öffentlicher Chatbot sind KI-Systeme im Sinne der Verordnung (EU) 2024/1689 ("EU AI Act"). Nach Art. 50 dieser Verordnung haben Sie Anspruch auf folgende Informationen:

Sie sprechen mit einer KI, nicht mit einem Menschen. Jede Antwort von Athena oder vom Chatbot ist maschinell generiert. Wir weisen vor der ersten Nutzung ausdrücklich darauf hin.
Basis-Modell & Anbieter. Wir nutzen Googles Gemini-Modelle (Pro und Flash) über Google Cloud Vertex AI. Die Verarbeitung erfolgt in europe-west3 (Frankfurt) bzw. über den globalen Endpunkt, jeweils unter Nutzung des EU-US Data Privacy Framework gemäß Art. 45 DSGVO und des Cloud Data Processing Addendums gemäß Art. 28 DSGVO.
Keine Nutzung zum Training. Google verpflichtet sich vertraglich in den Service Terms (§ 17 "Training Restriction"), Ihre Daten nicht zum Training oder Fine-Tuning von KI-Modellen zu verwenden. Die Einhaltung ist Bestandteil des Cloud Data Processing Addendums nach Art. 28 DSGVO. Wir evaluieren zusätzlich die formelle Einschreibung in Googles Zero Data Retention Program für einen noch strikteren Verarbeitungsstandard — dieser Schritt ist Teil unseres öffentlichen Roadmaps (siehe Trust Center, Phase 2).
Medizinischer Blocklist. Ein technischer Filter blockiert medizinische Begriffe (Diagnosen, Medikamentennamen, klinische Befunde) vor dem Schreiben in das Langzeitgedächtnis. Scope und Funktion des Filters sind dokumentiert; die konkrete Keyword-Liste ist zur Vermeidung von Umgehungen nicht öffentlich.
Kein Medizinprodukt. Athena ist keine Ärztin, keine Therapeutin, kein Medizinprodukt. Sie stellt keine Diagnosen, verschreibt keine Medikamente und ersetzt keine ärztliche Beratung. Bei gesundheitlichen Notlagen wenden Sie sich bitte unverzüglich an einen Arzt oder die Notrufnummer 112.
Recht auf menschliche Ansprache (Art. 22 DSGVO). Sie können jederzeit eine menschliche Überprüfung anfordern oder direkt mit einem Menschen Kontakt aufnehmen — per E-Mail an hallo@strahlkraft40plus.de.
Bekannte Limitationen. Große Sprachmodelle können veraltete, unvollständige oder fehlerhafte Informationen generieren ("Halluzinationen"). Wir mitigieren dies durch ein kuratiertes Wissens-Backend und durch Filter auf medizinische Claims, können es aber technisch nicht ausschließen. Behandeln Sie jede Antwort von Athena als Ausgangspunkt für ein Gespräch — nicht als abschließende Wahrheit.

7. Empfänger & Auftragsverarbeiter (Art. 28 DSGVO)

Wir übermitteln personenbezogene Daten nur an Dritte, wenn dies zur Vertragserfüllung erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO), Sie eingewilligt haben (lit. a) oder eine gesetzliche Verpflichtung besteht (lit. c). Mit jedem Auftragsverarbeiter besteht ein Vertrag nach Art. 28 DSGVO (in der Regel über die Standardvertragsklauseln des jeweiligen Anbieters).

Empfänger	Zweck / Datenkategorien	Sitz / Region	Transfer-Grundlage
Vercel Inc. (Hosting)	Gesamte Infrastruktur, Zugriffsdaten, Applikations-Traffic	Server in Frankfurt (`fra1`), Unternehmenssitz USA	Art. 28 Klauseln + EU-US DPF (Art. 45 DSGVO)
Neon (Postgres)	Datenbank: Konten, Fortschritt, Gespräche, Reports, Erinnerungsfakten	EU-Region	Art. 28 Klauseln (EU-intern)
Google Cloud (Vertex AI)	KI-Verarbeitung: Chatbot, Athena, Quiz-Reports. Kein Training mit Ihren Daten (Art. 28 Vertrag).	`europe-west3` (Frankfurt) / global endpoint	Art. 28 Cloud Data Processing Addendum + EU-US DPF
Stripe Payments Europe Ltd.	Zahlungsabwicklung, Rechnungsstellung, Warenkorb-Recovery	Dublin, Irland (EU) + Infrastruktur in den USA	Art. 28 Klauseln + Standardvertragsklauseln (SCC)
Brevo (Sendinblue)	E-Mail-Versand: Newsletter, transaktional, Nurture, Warenkorb-Recovery	Paris, Frankreich (EU)	Art. 28 Klauseln (EU-intern)
Meta Platforms Ireland Ltd.	Meta Pixel & Conversions API (nur mit Einwilligung); gehashte E-Mail, Event-Daten	Dublin, Irland (EU) + USA	Art. 28 Klauseln + SCC + EU-US DPF; nur bei aktiver Klaro-Zustimmung
Plausible Insights OÜ	Anonyme, cookieless Website-Statistik	Tallinn, Estland (EU); Server in Deutschland	Keine personenbezogenen Daten; Art. 6 Abs. 1 lit. f
Make.com (Celonis)	Automatisierung: Facebook-Lead-Imports → Brevo/DB	EU-Region	Art. 28 Klauseln (EU-intern)
Recraft AI, Runway ML	Bildgenerierung für redaktionelle Inhalte (keine personenbezogenen Daten)	USA	Keine Verarbeitung personenbezogener Daten; Art. 28 nicht einschlägig
Google Workspace, GitHub	Interne Kommunikation, Code-Versionskontrolle	EU/USA	Art. 28 Klauseln + EU-US DPF (intern, kein Nutzerdaten-Transfer)

Kein Verkauf, keine Weitergabe zu Werbe- oder Profilbildungszwecken Dritter. Mit Ausnahme des mit Ihrer Einwilligung aktivierten Meta Pixels geben wir keine personenbezogenen Daten an Werbenetzwerke, Datenhändler oder sonstige Dritte ab.

8. Internationale Datenübertragungen

Standard-Verarbeitungsstandort ist die EU. In zwei Fällen können Daten die EU verlassen:

Stripe & Google Cloud: Infrastruktur-Komponenten dieser Anbieter können in den USA liegen. Der Transfer erfolgt auf Basis des EU-US Data Privacy Frameworks (Art. 45 DSGVO — Angemessenheitsbeschluss der EU-Kommission) sowie ergänzend auf Basis der Standardvertragsklauseln (SCC) der jeweiligen Auftragsverarbeitungsverträge.
Meta: Nur wenn Sie aktiv in die Cookie-Einstellungen eingewilligt haben. Derselbe Rahmen wie bei Stripe/Google.

Alle anderen Verarbeitungen bleiben innerhalb der EU/EWR. Kein Transfer in sogenannte Drittländer ohne Angemessenheitsbeschluss oder SCC.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder eine gesetzliche Aufbewahrungspflicht besteht. Die folgende Tabelle fasst unsere Löschfristen nach Datenkategorie zusammen. Die vollständige Aufbewahrungsrichtlinie mit technischen Details zu den automatisierten Löschprozessen (Cron-Jobs) steht Aufsichtsbehörden auf Anfrage zur Verfügung.

Datenkategorie	Speicherdauer	Auslöser der Löschung
Konto-Basisdaten (E-Mail, Kaufstatus)	Bis zur Kontolöschung oder 3 Jahre Inaktivität	Manuell (Self-Service) oder automatisch
Magic-Link-Token	15 Minuten	Zeitablauf oder erste Verwendung
Portal-Fortschritt	Laufzeit des Zugangs	Kontolöschung (cascade)
Athena-Gespräche (Kundinnen)	Laufzeit des Abonnements	Manuell oder Kontolöschung
Athena-Gespräche (Nicht-Kundinnen)	30 Tage ab letztem Zugriff	Täglicher automatisierter Cleanup-Prozess
Athena-Erinnerungsfakten	Laufzeit Abo + 30 Tage (Kundinnen); 30 Tage Inaktivität (Nicht-Kundinnen)	Automatisierter Cleanup-Prozess oder Opt-out
Quiz-Report (HTML)	Bis zur manuellen Löschung durch Nutzerin	Self-Service-Delete
Nurture-E-Mail-Log	2 Jahre	Zeitablauf (Schutz vor Doppelversand)
Warenkorbabbrüche	90 Tage	Täglicher automatisierter Cleanup-Prozess
Einwilligungsprotokoll	Für Dauer der Kontobeziehung + Nachweisfrist	Kontolöschung (cascade)
Rechnungs- & Buchhaltungsdaten	10 Jahre	Gesetzliche Aufbewahrungspflicht (HGB / AO)
Server-Logs	Kurzfristig (Provider-Policy)	Automatische Rotation durch Vercel

Backup-Hinweis: Gelöschte Daten können durch Point-in-Time-Backups der Datenbank für bis zu 7 Tage in isolierten Backup-Snapshots fortbestehen. Diese Backups sind ausschließlich für Disaster-Recovery zugänglich und werden nach 7 Tagen automatisch rotiert.

10. Ihre Rechte (Art. 15–22 DSGVO)

Sie haben gegenüber GENAI AREDEZ SRL umfassende Rechte hinsichtlich Ihrer personenbezogenen Daten. Die meisten dieser Rechte können Sie direkt im Portal ausüben — der Rest läuft über eine einfache E-Mail an uns.

Recht auf Auskunft (Art. 15): Sie können jederzeit erfahren, welche Daten wir über Sie gespeichert haben. Wir antworten innerhalb von 30 Tagen (in Ausnahmefällen bis zu 90 Tage, mit Zwischenmitteilung).
Recht auf Berichtigung (Art. 16): Unrichtige oder unvollständige Daten korrigieren wir auf Anfrage — oder Sie passen sie selbst im Portal-Profil an.
Recht auf Löschung / "Recht auf Vergessenwerden" (Art. 17): Sie können Ihr Konto jederzeit selbst löschen. Die Löschung ist kaskadierend — Nutzerdaten, Gespräche, Erinnerungsfakten, Fortschritt, Reports, Zugänge und der Brevo-Kontakt werden in einer einzigen Transaktion entfernt. Eine Bestätigung erhalten Sie per E-Mail.
Recht auf Einschränkung der Verarbeitung (Art. 18): Sie können verlangen, dass wir Ihre Daten zwar behalten, aber vorübergehend nicht aktiv verarbeiten (z.B. während einer laufenden Prüfung).
Recht auf Datenübertragbarkeit (Art. 20): Sie können eine maschinenlesbare Kopie Ihrer Daten (JSON) anfordern — Gespräche, Erinnerungsfakten, Fortschritt, Profil. Der Export läuft über den Endpunkt /api/user/export-data oder auf E-Mail-Anfrage.
Widerspruchsrecht (Art. 21): Gegen Verarbeitungen auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f) können Sie jederzeit Widerspruch einlegen.
Recht auf menschliche Überprüfung KI-basierter Entscheidungen (Art. 22): Da wir keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung treffen, ist dieses Recht in der Praxis eine Zusage: Sie können jederzeit eine menschliche Ansprache statt der KI-Begleitung anfordern.

Wie Sie Rechte ausüben: Per E-Mail an hallo@strahlkraft40plus.de mit Stichwort "DSGVO-Anfrage". Wir bestätigen den Eingang innerhalb von 72 Stunden und antworten spätestens innerhalb von 30 Tagen. Die Ausübung Ihrer Rechte ist für Sie kostenlos. Nur bei offensichtlich unbegründeten oder exzessiven Anträgen können wir ein angemessenes Entgelt verlangen oder die Bearbeitung ablehnen (Art. 12 Abs. 5 DSGVO).

11. Einwilligung & Widerruf

Viele Verarbeitungen basieren auf Ihrer Einwilligung (Newsletter, Athena-Erinnerung, Quiz-Report mit Art. 9, Meta Pixel). Sie können jede Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt davon unberührt.

Einwilligungsnachweis: Wir protokollieren jede Einwilligung in einem separaten, geschützten Datenbank-Log mit Zeitstempel, erfasster IP-Adresse, Consent-Version und — bei Widerruf — dem Zeitpunkt des Widerrufs. Sie können jederzeit eine Kopie Ihrer persönlichen Consent-Historie anfordern.

Cookie-Einstellungen: Nicht-notwendige Cookies (Meta Pixel) werden nur nach Ihrer aktiven Zustimmung über den Klaro-Cookie-Banner geladen. Sie können Ihre Auswahl jederzeit über den Link "Datenschutz-Einstellungen" im Footer ändern.

12. Datenpannen-Meldung (Art. 33–34 DSGVO)

Im Falle einer Verletzung des Schutzes personenbezogener Daten verfahren wir nach einem intern dokumentierten Response-Plan:

Meldung an die Aufsichtsbehörde (ANSPDCP) innerhalb von 72 Stunden nach Bekanntwerden einer meldepflichtigen Verletzung (Art. 33 DSGVO).
Benachrichtigung betroffener Nutzerinnen unverzüglich, wenn die Verletzung voraussichtlich zu einem hohen Risiko für ihre Rechte und Freiheiten führt (Art. 34 DSGVO). Wir informieren per direkter E-Mail an die betroffenen Adressen.
Interne Dokumentation jeder Verletzung — auch nicht meldepflichtiger — in einem Incident-Log inklusive Ursachenanalyse und Mitigation.
Post-mortem nach jedem Vorfall mit Korrekturmaßnahmen, die in unsere TOMs einfließen.

Sollten Sie Kenntnis von einem möglichen Sicherheitsvorfall erlangen, melden Sie diesen bitte umgehend an hallo@strahlkraft40plus.de.

13. Technische & organisatorische Maßnahmen (Art. 32 DSGVO)

Wir setzen angemessene technische und organisatorische Maßnahmen ("TOM") ein, um Ihre Daten vor unbefugtem Zugriff, Verlust, Missbrauch und Veränderung zu schützen. Ein Überblick — die vollständige TOM-Dokumentation mit Code-Belegen steht Aufsichtsbehörden und B2B-Auditoren auf Anfrage zur Verfügung.

Verschlüsselung: TLS 1.2+ für alle Datenübertragungen. Datenbank-Verbindungen verschlüsselt. JWT-Sitzungstoken werden als HttpOnly-Cookie gesetzt (Schutz vor XSS).
Authentifizierung: Passwortlose Magic Links mit 15-Minuten-Ablauf statt klassischer Passwörter. Keine Passwort-Datenbank, keine Passwort-Lecks.
Zugangskontrolle: Rollenbasierte Berechtigungen innerhalb der Anwendung. Datenbank-Zugriff nur über parametrisierte Queries (Schutz vor SQL-Injection).
Rate Limiting & Bot-Schutz: Pro IP begrenzte Anfragen an sensible Endpunkte (Chat, Auth, Report-Generation). Bot-Protection auf Infrastruktur-Ebene (Vercel).
EU-Datenresidenz: Primär-Hosting Frankfurt (Vercel fra1), Datenbank in der EU-Region, KI-Verarbeitung in europe-west3 oder über global endpoint mit Zero-Data-Retention-Konfiguration.
Automatisierte Löschung: Tägliche Cron-Jobs entfernen abgelaufene Daten (Warenkorbabbrüche nach 90 Tagen, Athena-Gespräche Nicht-Kundinnen nach 30 Tagen, Magic-Links nach 15 Min., Erinnerungsfakten nach Opt-out).
Backups: Point-in-Time-Recovery mit 7-Tage-Fenster, verschlüsselt, isoliert von Produktionsumgebung.
Minimum-Data-Prinzip: Quiz-Rohantworten verlassen Ihren Browser nicht; medizinische Schlüsselbegriffe werden vor dem Schreiben in das KI-Gedächtnis technisch blockiert; IP-Adressen werden nicht in Anwendungs-Logs persistiert.
Versionskontrolle & Code-Review: Jeder Produktions-Deploy geht durch Versionskontrolle (Git); sensible Änderungen unterliegen einem Review-Prozess.
Schlüsselverwaltung: Produktions-API-Schlüssel werden über die Secret-Management-Plattform des Hosting-Providers verwaltet, nicht im Code hinterlegt.

14. Beschwerderecht bei der zuständigen Aufsichtsbehörde

Im Falle von Verstößen gegen die DSGVO steht Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde zu. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.

Da GENAI AREDEZ SRL in Rumänien niedergelassen ist, ist die federführende Aufsichtsbehörde (Lead Supervisory Authority nach Art. 56 DSGVO):

ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
B-dul G-ral Gheorghe Magheru nr. 28-30, Sector 1
010336 București, Rumänien
https://www.dataprotection.ro

Alternativ können sich Nutzerinnen mit Wohnsitz in Deutschland auch an ihre lokale Datenschutzbehörde wenden — z.B. die/den Landesbeauftragte/n des jeweiligen Bundeslandes oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Graurheindorfer Str. 153, 53117 Bonn, https://www.bfdi.bund.de. Die lokale Behörde leitet die Beschwerde im Rahmen des One-Stop-Shop-Verfahrens an die federführende ANSPDCP weiter.

15. Automatisierte Entscheidungen & Profiling (Art. 22 DSGVO)

Wir treffen keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung für Sie. Athena generiert Informationen, Anregungen und Zusammenfassungen — sie entscheidet nicht über Zugang, Preis, medizinische Versorgung oder andere rechtlich relevante Aspekte.

Sollten wir in Zukunft Features einführen, die Art. 22 berühren (z.B. dynamische Preisbildung, algorithmische Tier-Empfehlungen), werden wir Sie vorher explizit informieren, eine gesonderte Einwilligung einholen und das Recht auf menschliche Überprüfung integrieren.

16. Zukünftige Features — Wearables & Blutwerte

Wir evaluieren Integrationen mit Wearables (z.B. Smartwatches, Fitnesstracker) und mit selbst hochgeladenen Laborwerten. Solche Daten wären unzweifelhaft Gesundheitsdaten nach Art. 9 DSGVO und könnten je nach Ausgestaltung in den Regelungsbereich der europäischen Medizinprodukte-Verordnung (MDR) oder des European Health Data Space (EHDS) fallen.

Aus diesem Grund verpflichten wir uns vor einem Launch solcher Features zu folgendem Vorgehen:

Aktualisierte Datenschutz-Folgenabschätzung (DPIA) nach Art. 35 DSGVO, unter Einbeziehung der spezifischen Risiken von Sensor- und Laborwerten.
Neue, explizite Einwilligung separat von der bestehenden Athena-Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Keine stille Opt-in-Erweiterung.
Aktualisierung dieser Datenschutzerklärung mit einem klar gekennzeichneten Eintrag in der Änderungshistorie.
Proaktive Benachrichtigung aller aktiven Nutzerinnen per E-Mail, bevor das Feature im Konto sichtbar wird.
Prüfung der MDR-Einstufung — sollte unser Angebot zu einem Medizinprodukt werden, werden wir vor dem Launch die entsprechende Zertifizierung abschließen.

Bis zu einem solchen Launch verarbeiten wir keinerlei Sensor-, Wearable- oder Laborwertdaten.

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen abbildet. Die aktuell gültige Version ist immer unter dieser URL abrufbar.

Versionsstand: Version 2.0 — Stand April 2026.
Wesentliche Änderungen gegenüber Version 1.x: Korrigierte Angabe der federführenden Aufsichtsbehörde (ANSPDCP statt deutsche Landesbehörden), explizite Darstellung der Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO, vollständiger Auftragsverarbeiter-Katalog, Retention-Tabelle nach Datenkategorie, Darstellung der TOMs, Datenpannen-Response-Prozess, Wearables-Roadmap, Einwilligungsprotokoll-Transparenz.

Bei wesentlichen Änderungen, die bestehende Einwilligungen betreffen, informieren wir aktive Nutzerinnen per E-Mail, bevor die neuen Regelungen in Kraft treten.

18. Rechenschaftspflicht & interne Dokumentation (Art. 5 Abs. 2 DSGVO)

Wir belegen unsere DSGVO-Compliance nicht nur durch diese Datenschutzerklärung, sondern durch ein Set interner Fachdokumente, die auf Anfrage Aufsichtsbehörden und B2B-Auditoren zur Verfügung stehen:

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) — dokumentiert alle Verarbeitungszwecke, Datenkategorien, Empfänger und Fristen.
Technische und organisatorische Maßnahmen (Art. 32) — konsolidierter TOM-Bericht mit Code-Belegen.
Auftragsverarbeiter-Register (Art. 28) — Liste aller Vendors mit Status der DPA-Verträge und Transfer-Grundlagen.
Datenpannen-Response-Plan (Art. 33–34) — 72-Stunden-Runbook, Eskalationsketten, Incident-Log-Template.
Betroffenenrechte-SOP (Art. 15–22) — standardisierte Abläufe und Templates für Anfragen und Löschungen.
Aufbewahrungsrichtlinie (Art. 5 Abs. 1 lit. e) — detaillierte Fristen pro Tabelle mit Referenz auf Cron-Jobs und gesetzliche Pflichten.
Einwilligungsprotokoll-Spezifikation (Art. 7) — technische Spezifikation des internen Consent-Logs.
Datenschutz-Folgenabschätzung für Gesundheitsdaten (Art. 35) — DPIA zur Verarbeitung potenziell gesundheitsbezogener Inhalte.
Cookie-Richtlinie (TTDSG § 25) — Inventar und Klaro-Konfiguration.

Anfragen von Aufsichtsbehörden und professionellen Auditoren richten Sie bitte an hallo@strahlkraft40plus.de mit Stichwort "Audit-Anfrage". Wir stellen die angefragten Dokumente in der Regel innerhalb von 5 Werktagen zur Verfügung.

Fragen zum Datenschutz?
Bei Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten, bei Auskünften, Berichtigung, Sperrung oder Löschung von Daten wenden Sie sich bitte an:
hallo@strahlkraft40plus.de

Zurück zur Startseite