Your AI Twin
PREVIEW

Datenschutzerklärung

Zuletzt aktualisiert: 2026-03-04

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf dieser Plattform ist: Andre Unger Heideweg 22 59069 Hamm Germany E-Mail: twin_support@familie-unger.info Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten kontaktieren Sie uns bitte unter der oben genannten E-Mail-Adresse.

2. Art der erhobenen Daten

Wir erheben und verarbeiten folgende Kategorien personenbezogener Daten:

2.1 Kontodaten (Creator)

Bei der Registrierung als Creator erheben wir Ihre E-Mail-Adresse und Ihren Anzeigenamen. Diese Daten sind für die Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO).

2.2 Nutzungsdaten

Wir erheben anonymisierte Nutzungsdaten wie Abfragezahlen, Sitzungsdauern und Interaktionsmuster. IP-Adressen werden sofort bei der Erhebung anonymisiert (gehasht). Diese Daten werden auf Grundlage unseres berechtigten Interesses an der Verbesserung des Dienstes verarbeitet (Art. 6 Abs. 1 lit. f DSGVO).

2.3 Technische Daten

Beim Zugriff auf unsere Plattform übermittelt Ihr Browser automatisch technische Daten (Browsertyp, Betriebssystem, Referrer-URL). IP-Adressen werden anonymisiert und nicht in identifizierbarer Form gespeichert. Es werden keine persistenten Cookies oder Fingerprints zum Tracking verwendet.

2.4 Abrechnungsdaten

Wenn Sie ein kostenpflichtiges Abonnement abschließen, erheben wir Ihre Rechnungsadresse. Diese Daten werden gemäß den handelsrechtlichen Aufbewahrungsfristen 10 Jahre aufbewahrt (HGB § 257). Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).

2.5 Dokumentendaten (Creator)

Creator laden Dokumente hoch, um ihre AI Twins zu trainieren. Diese Dokumente werden verarbeitet und für den KI-Abruf indexiert. Dokumentendaten sind durch Row-Level Security (RLS) strikt pro Creator und Twin isoliert. Nur der Creator und autorisierte Lernende können auf das resultierende Wissen zugreifen.

2.6 Interaktionsdaten der Lernenden

Lernende, die mit einem Twin interagieren, können optional der Speicherung ihres Interaktionsverlaufs zustimmen (Gesprächsdaten, Lesezeichen). Ohne ausdrückliche Einwilligung werden Interaktionen nur im anonymen Modus verarbeitet. Die Einwilligung kann jederzeit widerrufen werden (Art. 7 Abs. 3 DSGVO). Der Zugang für Lernende erfolgt über Magic Links: Nach Eingabe der E-Mail-Adresse wird ein einmaliger Zugriffslink per E-Mail versendet (gültig für 15 Minuten). Bei der Verifizierung wird ein technisch notwendiger Sitzungscookie gesetzt (learner_session, 24 Stunden, httpOnly). Die E-Mail-Adresse wird nur als SHA-256-Hash gespeichert — nicht im Klartext. Lesezeichen werden in der Datenbank gespeichert (nicht im Browser) und erfordern eine aktive Einwilligung.

2.7 Anonyme Nutzung (öffentliche Twins)

Wenn Sie einen öffentlich zugänglichen Twin ohne Registrierung oder Magic Link nutzen, erheben wir ausschließlich einen pseudonymisierten Sitzungsfingerprint (SHA-256-Hash aus IP-Adresse und Browser-Kennung). Weder Ihre IP-Adresse noch andere identifizierende Daten werden im Klartext gespeichert. Es werden keine Cookies gesetzt. Da wir Sie in diesem Fall nicht identifizieren können, finden die Betroffenenrechte gemäß Art. 15–20 DSGVO keine Anwendung (Art. 11 DSGVO). Die pseudonymisierten Sitzungsdaten werden nach 90 Tagen Inaktivität automatisch gelöscht.

2.8 Daten bei Partner-Integrationen

Twins können in Plattformen von Partnerorganisationen eingebettet werden. Bei der Nutzung eines eingebetteten Twins werden folgende Daten verarbeitet: Ihre vom Partner übermittelte Nutzerkennung wird ausschließlich als nicht-umkehrbarer Hash (HMAC-SHA256) gespeichert — weder wir noch der Partner können daraus Ihre Identität ableiten. Anonymisierte Sitzungsdaten (Sitzungs-ID, Nachrichtenlänge, Kurskontext) können per Webhook an den Partner übermittelt werden. Diese Webhooks enthalten keine personenbezogenen Daten — lediglich den gehashten Nutzeridentifikator und aggregierte Interaktionsdaten. Der Partner erhält darüber hinaus Zugang zu anonymisierten Analysen (Themenverteilungen, Nutzungsmuster), die erst ab mindestens 10 Nutzern angezeigt werden (k-Anonymität). Der Partner ist für die Einhaltung seiner eigenen datenschutzrechtlichen Pflichten gegenüber seinen Nutzern verantwortlich.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für optionale Analysen und den Interaktionsverlauf der Lernenden. Sie können Ihre Einwilligung jederzeit widerrufen.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Für Kontoerstellung, Twin-Verwaltung und Abonnementdienste.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Für Plattformsicherheit, Betrugsprävention und Serviceverbesserung durch anonymisierte Analysen.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Für die Aufbewahrung von Abrechnungsdaten gemäß HGB § 257 (10 Jahre).

4. Drittanbieter und Auftragsverarbeiter

Wir nutzen folgende Drittanbieter zum Betrieb der Plattform:

  • Supabase (Supabase Inc., USA): Datenbank-Hosting und Authentifizierungsdienste. Daten werden in der EU (Frankfurt) gehostet. Supabase nimmt am EU-US Data Privacy Framework teil und es bestehen EU-Standardvertragsklauseln (SCCs).
  • Mistral AI (Mistral AI SAS, Frankreich): Großes Sprachmodell für AI-Twin-Antworten und Dokument-Embeddings. Mistral AI ist ein EU-basiertes Unternehmen. Ihre Anfragen werden zur Generierung von Antworten verarbeitet, aber nicht zum Training von Mistrals Modellen verwendet.
  • Qdrant: Vektordatenbank für semantische Suche. Wird zur Speicherung von Dokument-Embeddings verwendet (nicht von Rohdokumentinhalten).
  • E-Mail-Dienstleister (Mailjet von Sinch, Frankreich): Für Transaktions-E-Mails (Registrierungsbestätigung, Passwortzurücksetzung, Kontingent-Benachrichtigungen). Übermittelte Daten: E-Mail-Adresse des Empfängers und E-Mail-Inhalt (Name, sofern angegeben). E-Mails werden innerhalb der EU verarbeitet. Daten werden innerhalb von 90 Tagen nach Kontobeendigung gelöscht. Sub-Auftragsverarbeiter-Liste: sinch.com/legal/data-protection-agreement-sub-processors/
  • Redis: Wird ausschließlich zur Ratenbegrenzung verwendet. Es werden keine personenbezogenen Daten persistent gespeichert.
  • Partnerorganisationen: Wenn ein Twin in eine Partnerplattform eingebettet ist, erhält der Partner anonymisierte Interaktionsdaten per Webhook (keine personenbezogenen Daten, nur gehashte Nutzer-IDs und aggregierte Metriken). Der Partner agiert als eigenständiger Verantwortlicher für die von ihm empfangenen Daten. Die Datenübermittlung erfolgt verschlüsselt und kryptografisch signiert (HMAC-SHA256).

5. Speicherdauer

Wir bewahren Ihre Daten nur so lange auf, wie es für die genannten Zwecke erforderlich ist:

  • Kontodaten: Dauer Ihres Kontos plus 30 Tage nach Löschung.
  • Abrechnungsdaten: 10 Jahre (gesetzliche Pflicht nach HGB § 257).
  • Sitzungsdaten der Lernenden: 90 Tage Inaktivität, dann 30 Tage Übergangsfrist vor endgültiger Löschung.
  • Quizantworten: 30 Tage nach Durchführung anonymisiert (Antwortinhalte entfernt, nur Bewertungen und Ergebnisse bleiben). Quiz-Sitzungsdaten werden zusammen mit den Lernenden-Sitzungsdaten gelöscht.
  • Aggregierte Frageanalysen: 30 Tage, danach automatisch gelöscht. Enthält keine personenbezogenen Daten (PII-bereinigt, k-anonymisiert).
  • Twin-Insights (Zitieranalysen, Sitzungsmetriken, Inhaltsqualität, Zielgruppenintelligenz): Gespeichert für die Dauer des Twins. Ausschließlich anonymisierte Aggregatdaten ohne Personenbezug. Werden bei Löschung des Twins automatisch mitgelöscht.
  • Partner-Sitzungsdaten: 24 Stunden nach Sitzungsende automatisch gelöscht. Enthalten ausschließlich gehashte Nutzerkennungen (keine personenbezogenen Daten).
  • Partner-Webhook-Protokolle: 30 Tage zu Audit-Zwecken, danach automatisch gelöscht. Enthalten nur anonymisierte Daten.
  • Systemprotokolle: Maximal 30 Tage, mit anonymisierten IP-Adressen.
  • Zugriffskontrollprotokolle: E-Mail-Adressen werden nach 30 Tagen anonymisiert.

6. Ihre Rechte

Nach der DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit Auskunft über Ihre gespeicherten personenbezogenen Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger personenbezogener Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format (JSON) anfordern.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Grundlage berechtigter Interessen jederzeit widersprechen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

Um Ihre Rechte auszuüben, kontaktieren Sie uns bitte unter twin_support@familie-unger.info. Lernende können auch die Self-Service-Datenverwaltungsfunktionen innerhalb der Plattform nutzen.

7. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Plattform unerlässlich sind. Diese bedürfen keiner Einwilligung gemäß Art. 5 Abs. 3 ePrivacy-Richtlinie (§ 25 Abs. 2 TTDSG). Wir verwenden keine Tracking-Cookies, Analyse-Cookies oder Drittanbieter-Cookies.

Folgende Cookies werden verwendet:

  • sb-* (Supabase-Authentifizierung): Technisch notwendiger Sitzungscookie für die Anmeldung. Wird gelöscht, wenn die Sitzung endet.
  • learner_session: Technisch notwendiger Cookie zur Identifikation von Lernenden nach Magic-Link-Verifizierung. Gültigkeitsdauer: 24 Stunden. HttpOnly (nicht per JavaScript auslesbar).
  • NEXT_LOCALE: Technisch notwendiger Cookie zur Speicherung der vom Nutzer gewählten Spracheinstellung. Persistent bis zur manuellen Löschung.

8. Analysen und Datenschutz

Unser Analysesystem ist nach dem Prinzip Privacy by Design aufgebaut. Alle Analysen sind aggregiert und anonymisiert. Wir setzen k-Anonymität durch: Frageanalysen werden erst ab mindestens 5 gleichartigen Anfragen angezeigt, Sitzungs- und Verhaltensanalysen erst ab mindestens 10 Lernenden. Personenbezogene Daten (E-Mail-Adressen, Telefonnummern, URLs) werden vor der Aggregation automatisch entfernt. Es wird kein individuelles Nutzerverhalten verfolgt oder profiliert. Creator können optional Analysen für ihre Twins aktivieren, aber Lernende müssen ausdrücklich zustimmen, bevor personalisierte Daten erhoben werden.

9. Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer Daten um, darunter: Verschlüsselung bei der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256), Row-Level Security (RLS) auf Datenbankebene zur Mandantenisolierung, Anonymisierung von IP-Adressen und Benutzerkennungen in Protokollen, regelmäßige Sicherheitsüberprüfungen und Zugriffskontrollen sowie strukturiertes Audit-Logging für alle sensiblen Vorgänge.

10. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden registrierten Nutzern per E-Mail mitgeteilt. Das Datum der letzten Aktualisierung ist oben auf dieser Seite angegeben.

11. Internationale Datenübermittlung

Einige unserer Auftragsverarbeiter haben ihren Sitz außerhalb der EU/des EWR:

  • Supabase Inc. (USA): Ihre Daten werden in der EU (Frankfurt, aws-eu-central-1) gehostet. Supabase ist am EU-US Data Privacy Framework zertifiziert und es bestehen EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Ein Auftragsverarbeitungsvertrag (DPA) liegt vor.

Alle übrigen Auftragsverarbeiter (Mistral AI, Brevo, Mailjet) haben ihren Sitz in der EU und unterliegen unmittelbar der DSGVO. Qdrant und Redis werden selbst gehostet auf EU-Infrastruktur (Hetzner, Deutschland).

12. Automatisierte Entscheidungsfindung und KI

Unsere Plattform verwendet KI-Modelle (Mistral AI), um Antworten basierend auf hochgeladenen Dokumenten zu generieren. Diese KI-generierten Antworten stellen keine automatisierten Einzelentscheidungen im Sinne von Art. 22 DSGVO dar — sie haben keine rechtliche Wirkung und beeinträchtigen Sie nicht in ähnlicher erheblicher Weise. Es findet kein Profiling der Nutzer statt. Die KI verarbeitet Ihre Anfragen ausschließlich zur Generierung von Antworten; Ihre Anfragen werden nicht zum Training der KI-Modelle verwendet.

13. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die zuständige Aufsichtsbehörde ist die Datenschutzbehörde des Bundeslandes, in dem unser Sitz liegt. Sie können sich jedoch auch an die Aufsichtsbehörde Ihres eigenen Mitgliedstaates wenden.