Datenschutzerklärung

Allgemeine Hinweise

Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten beim Besuch der Webseite nalea.ai erhoben werden, wofür sie genutzt werden und auf welcher Rechtsgrundlage dies geschieht.

Verantwortliche Stelle

nalea UG (haftungsbeschränkt)
Maria-Matray-Straße 18
10318 Berlin
Vertreten durch: Dr. Gina Grünhage
Telefon: 030/91546636
E-Mail: datenschutz@nalea.ai

Eine gesetzliche Bestellung eines Datenschutzbeauftragten ist nicht erforderlich. Ansprechpartnerin für Datenschutzfragen ist Dr. Gina Grünhage (Kontaktdaten siehe oben).

Betroffenenrechte

Ihnen stehen folgende Rechte zu:

• Auskunftsrecht (Art. 15 DSGVO): Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten
• Berichtigungsrecht (Art. 16 DSGVO): Unverzügliche Berichtigung unrichtiger Daten
• Löschungsrecht (Art. 17 DSGVO): Löschung Ihrer Daten, sofern keine rechtlichen Pflichten dem entgegenstehen
• Recht auf Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung Ihrer Daten unter bestimmten Voraussetzungen
• Datenübertragbarkeit (Art. 20 DSGVO): Aushändigung automatisiert verarbeiteter Daten in einem gängigen, maschinenlesbaren Format
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeitiger Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (die Rechtmäßigkeit der bisherigen Verarbeitung bleibt unberührt)
• Beschwerderecht (Art. 77 DSGVO): Beschwerde bei der Aufsichtsbehörde, insbesondere im Mitgliedstaat des gewöhnlichen Aufenthalts, des Arbeitsplatzes oder am Ort des mutmaßlichen Verstoßes. Primär zuständig ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit (www.datenschutz-berlin.de)

Widerspruchsrecht

Gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einlegen. Auch gegen die Verarbeitung zu Direktwerbungszwecken (einschließlich damit verbundenen Profilings) ist Widerspruch jederzeit möglich.

Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt, es sei denn, gesetzliche Aufbewahrungsfristen (z. B. aus Handels- oder Steuerrecht) stehen einer Löschung entgegen.

Empfänger von Daten

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, wenn dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Pflicht besteht oder ein berechtigtes Interesse vorliegt. Bei Auftragsverarbeitung wird ein entsprechender Vertrag nach Art. 28 DSGVO geschlossen.

Bereitstellung personenbezogener Daten

Die Bereitstellung Ihrer Daten ist teilweise gesetzlich vorgeschrieben oder vertraglich erforderlich. Werden erforderliche Daten nicht bereitgestellt, kann die jeweilige Dienstleistung möglicherweise nicht erbracht werden.

SSL-/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung zum Schutz vertraulicher Inhalte bei der Übertragung.

Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Hinweis zum Profiling: Analyse- und Marketing-Tools wie Google Analytics und der Meta-Pixel können Daten zur Analyse Ihres Nutzerverhaltens und zur Bildung von Nutzergruppen für Werbezwecke verarbeiten. Diese Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer zuvor erteilten Einwilligung.

Hosting bei IP-Projects

Anbieter: IP-Projects GmbH & Co. KG, Am Vogelherd 14, 97295 Waldbrunn, Deutschland

Die Webseite nalea.ai wird auf Servern der IP-Projects GmbH & Co. KG in Deutschland gehostet. Beim Aufruf der Seite werden technisch notwendige Verbindungsdaten verarbeitet, um die Auslieferung der Inhalte und die Sicherheit des Servers zu gewährleisten.

Speicherort: Deutschland — kein Drittlandtransfer.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und stabilen Bereitstellung unserer Webseite).

Auftragsverarbeitung: Mit IP-Projects besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Server-Log-Dateien

Im Rahmen des Hostings bei IP-Projects werden technisch notwendige Informationen wie IP-Adresse, Zeitstempel, User-Agent, Referrer und angefragte URL in Server-Log-Dateien erfasst. Diese Daten dienen der Sicherheit und der Fehleranalyse, werden kurzzeitig vorgehalten und nicht mit anderen Datenquellen zusammengeführt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Supabase (Backend und Datenbank)

Anbieter: Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992, mit US-amerikanischer Muttergesellschaft.

Wir nutzen Supabase als Backend für unseren Mitgliederbereich, die Authentifizierung und die Speicherung Ihrer Profil- und Nutzungsdaten. Die Datenverarbeitung findet auf Servern in Frankfurt am Main, Deutschland (Region eu-central-1) innerhalb der EU statt.

Verarbeitete Daten:

• Stammdaten: Name, E-Mail-Adresse, Passwort (in gehashter Form), Zahlungs- und Mitgliedschaftsstatus.
• Freiwillige Profilinformationen: Diese können potenziell Gesundheitsdaten enthalten (z. B. errechneter Geburtstermin, Notizen zum Schwangerschaftsverlauf, gespeicherte Gesprächsinhalte mit unserer KI-Begleiterin).

Besonderer Hinweis zu Gesundheitsdaten: Gesundheitsdaten unterliegen dem höchsten Schutzniveau der DSGVO. Sie werden ausschließlich verarbeitet, um Ihnen personalisierte Funktionen innerhalb von nalea bereitzustellen.

Rechtsgrundlage:

• Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags für Stammdaten)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Backend)
• Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche, jederzeit widerrufbare Einwilligung für freiwillig eingegebene Gesundheitsdaten)

Auftragsverarbeitung: Mit Supabase besteht ein Auftragsverarbeitungsvertrag mit EU-Standardvertragsklauseln (Art. 28, 46 Abs. 2 lit. c DSGVO), abrufbar unter https://supabase.com/legal/dpa.

Die folgenden Tools werden ausschließlich nach Ihrer ausdrücklichen Einwilligung über unseren Consent-Manager Klaro! aktiviert.

Google Analytics 4

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Google Analytics 4 erfasst Nutzungsdaten wie Seitenaufrufe, Verweildauer, verwendete Betriebssysteme und Herkunft der Nutzer. Google fasst diese Informationen in Profilen zusammen und nutzt Cookies oder Device-Fingerprinting zur Wiedererkennung.

• Datenübertragung: In der Regel an Server in den USA
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (jederzeit widerrufbar)
• IP-Anonymisierung: Aktiviert — IP-Adressen werden vor der Übertragung in die USA gekürzt
• Zertifizierung: Google ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert
• Auftragsverarbeitung: Vertrag abgeschlossen

Meta-Pixel (Facebook Pixel)

Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland

Der Meta-Pixel misst Konversionen und verfolgt das Verhalten von Besuchern, nachdem diese durch Klick auf eine Facebook- oder Instagram-Werbeanzeige auf unsere Webseite weitergeleitet wurden. Daten können auch in die USA und in andere Drittländer übertragen werden.

• Datenverarbeitung durch Meta: Für uns als Betreiber anonym; Meta verbindet die Daten jedoch mit Nutzerprofilen und verwendet sie für Direktwerbung gemäß der Facebook-Datenverwendungsrichtlinie
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (jederzeit widerrufbar)
• Gemeinsame Verantwortlichkeit: Mit Meta Platforms Ireland Limited (Art. 26 DSGVO) — beschränkt auf die Erfassung der Daten und deren Weitergabe an Meta. Vereinbarung: https://www.facebook.com/legal/controller_addendum
• Zertifizierung: Meta ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert

nalea bietet eine KI-gestützte Voice-Begleiterin, mit der Sie sprachbasiert interagieren können. Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer zuvor erteilten, ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG), die jederzeit widerrufbar ist.

Nach Abschluss des Gesprächs wird eine Zusammenfassung der relevanten Informationen an uns übertragen und in unserer Supabase-Datenbank (Speicherort Frankfurt am Main, siehe Abschnitt 4) gespeichert.

Verarbeitung von Gesundheitsdaten

Besonderer Hinweis: Im Gespräch mit der KI-Begleiterin können sensible Gesundheitsdaten im Sinne des Art. 9 DSGVO verarbeitet werden — etwa Informationen zu Schwangerschaft, Wohlbefinden oder medizinischen Fragen.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten) in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO.

Ihre Einwilligung ist freiwillig und jederzeit mit Wirkung für die Zukunft widerrufbar.

ElevenLabs

Anbieter: ElevenLabs Inc., 169 Madison Avenue, STE 2439, New York, NY 10016, USA

Besonderheit: „Zero PII"-Modus — Ihre Audiodaten, Metadaten und Transkripte werden unmittelbar nach der Verarbeitung wieder von den Servern von ElevenLabs gelöscht und nicht zum Training der KI verwendet.

Rechtsgrundlage: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Drittlandtransfer / Restrisiko: Bei der Datenübertragung in die USA können trotz SCCs Risiken bestehen, z. B. durch einen möglichen Zugriff von US-Sicherheitsbehörden.

Gemini (Google) als Subprozessor

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

ElevenLabs nutzt Google Gemini zur Generierung der Antworten. Google LLC ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert.

Anbieter: KIProtect GmbH, Bismarckstr. 10-12, 10625 Berlin

Wir setzen den Open-Source Consent-Manager Klaro! ein, um Ihre Einwilligungen zum Einsatz bestimmter Cookies und Drittdienste einzuholen und zu verwalten. Einwilligungen werden im „Opt-In"-Verfahren eingeholt.

Das Klaro-Cookie speichert die von Ihnen erteilten Einwilligungen oder den Widerruf dieser Einwilligungen. Diese Daten werden nicht an die Entwickler von Klaro! weitergegeben.

• Speicherdauer: Bis Sie zur Löschung auffordern oder das Cookie selbst löschen
• Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung zur Einholung der Einwilligung)
• Weitere Informationen: https://heyklaro.com/de

Wir können diese Datenschutzerklärung bei Änderungen der von uns vorgenommenen Datenverarbeitungen oder der rechtlichen Lage anpassen. Die jeweils aktuelle Version ist auf dieser Webseite verfügbar.

1. Datenverarbeitung und gemeinsame Verantwortlichkeit

Wir betreiben öffentlich zugängliche Profile bei sozialen Netzwerken. Für diese Profile besteht eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zwischen uns und dem jeweiligen Plattformbetreiber.

Verantwortlichkeitsaufteilung:

• Wir: Inhalte unserer Posts und direkte Kommunikation mit Ihnen (z. B. über Nachrichten oder Kommentare)
• Plattformbetreiber: Allgemeine Datenverarbeitung Ihres Nutzerverhaltens (Tracking, Analyse, Werbung)

Plattformbetreiber können Ihr Nutzerverhalten umfassend analysieren, etwa über Cookies oder die Erfassung Ihrer IP-Adresse — auch wenn Sie nicht eingeloggt sind. Sie erstellen Nutzerprofile für interessenbezogene Werbung. Wir haben darauf nur begrenzte Einflussmöglichkeiten.

2. Zwecke und Rechtsgrundlagen

Zwecke: Online-Präsenz, Öffentlichkeitsarbeit, Kommunikation mit Besucherinnen und potenziellen Kundinnen.

Unsere Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Rechtsgrundlagen der Plattformbetreiber: Eigene Rechtsgrundlagen, üblicherweise Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Registrierung).

3. Eingesetzte soziale Netzwerke

Meta (Facebook und Instagram)

• Anbieter: Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland
• Gemeinsame Verantwortlichkeit: Controller Addendum unter https://www.facebook.com/legal/terms/page_controller_addendum
• Datenübertragung in die USA: Meta Platforms, Inc. ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert und nutzt zusätzlich Standardvertragsklauseln. Ein Restrisiko, insbesondere durch Zugriffsrechte von US-Behörden, kann nicht vollständig ausgeschlossen werden.
• DPF-Zertifizierung: https://www.dataprivacyframework.gov/participant/4452
• Werbeeinstellungen: https://www.facebook.com/settings?tab=ads
• Weitere Informationen: https://privacycenter.instagram.com/policy/

LinkedIn

• Anbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland
• Gemeinsame Verantwortlichkeit: Page Insights Joint Controller Addendum unter https://legal.linkedin.com/pages-joint-controller-addendum
• Datenübertragung in die USA: LinkedIn Corporation ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert und nutzt Standardvertragsklauseln. Auch hier kann ein Restrisiko nicht vollständig ausgeschlossen werden.
• DPF-Zertifizierung: https://www.dataprivacyframework.gov/participant/5448
• Werbe-Cookies deaktivieren: https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out
• Weitere Informationen: https://www.linkedin.com/legal/privacy-policy

4. Geltendmachung Ihrer Rechte

Aufgrund der gemeinsamen Verantwortlichkeit können Sie Ihre Betroffenenrechte sowohl gegenüber uns als auch gegenüber dem jeweiligen Plattformbetreiber geltend machen.

• Allgemeine Plattform-Datenverarbeitung (Analysen): Plattformbetreiber ist alleiniger Ansprechpartner
• Vom Unternehmen direkt verarbeitete Daten (z. B. Löschung von Kommentaren): Wir sind Ihr Ansprechpartner