Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung dieser Anwendung ist:

Lom-Ali Imadaev

Kreuzstraße 1

82276 Adelshofen

kontakt@deepling.de

2. Welche Daten werden verarbeitet?

  • Account-Daten: E-Mail-Adresse, Passwort-Hash (bzw. OAuth-Provider-ID bei Google-Login), Name (optional)
  • Onboarding-Antworten der 50 Scan-Fragen (Freitext und Auswahl-Werte)
  • Generiertes Coach-Profil (Markdown, basierend auf deinen Antworten)
  • Chat-Verlauf mit dem KI-Coach (deine Nachrichten + Coach-Antworten + Zeitstempel)
  • Token-Telemetrie pro Chat-Antwort (technische Metadaten zur Caching-Effizienz)
  • Zahlungsdaten: ausschließlich Stripe-Customer-ID und Subscription-Status (keine Kartendaten bei uns)
  • Technische Logs: IP-Adresse, User-Agent, Zeitstempel der Anfragen (Server-seitig 30 Tage zur Missbrauchsabwehr)

3. Zweck der Verarbeitung

Die Daten werden verarbeitet, um (a) dein persönliches Coach-Profil zu erstellen, (b) dir individuelle Coach-Antworten zu liefern, die auf dein Profil zugeschnitten sind, (c) deine Chat-Historie für dich zugänglich zu halten und (d) die Abonnement-Abrechnung über Stripe abzuwickeln.

4. Rechtsgrundlagen (DSGVO)

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Bereitstellung des Coachings, Zahlungsabwicklung)
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (Registrierung, ggf. Google-Login)
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (technische Logs zur Missbrauchsabwehr)

5. Übermittlung an die KI (besondere Aufmerksamkeit)

Damit dein KI-Coach individuell antworten kann, werden bei jeder Chat-Anfrage folgende Daten an Langdock GmbH (Deutschland, EU/Frankfurt) übermittelt: dein aktuell generiertes Coach-Profil (Markdown), der bisherige Chat-Verlauf dieses Gesprächs sowie deine neue Nachricht. Bei der erstmaligen Profil-Erstellung werden die 50 Scan-Antworten an Langdock gesendet. Langdock leitet die Anfrage an das Modell Claude Sonnet 4.6 (Profiler und Coach) bzw. Claude Haiku 4.5 (Followup-Komposition) des US-Anbieters Anthropic PBC weiter — als Unter-Auftragsverarbeiter im Sinne der DSGVO.

DSGVO-Stand: Mit Langdock besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Langdock ist nach ISO 27001 und SOC 2 Type II zertifiziert und hostet die Schnittstelle in der EU. Weder Langdock noch Anthropic verwenden API-Eingaben zum Modelltraining (Zero-Retention für Trainingszwecke). Eingaben werden bis zu 30 Tage zur Missbrauchserkennung gespeichert und anschließend gelöscht. Für die Weiterleitung an Anthropic (USA) durch Langdock gelten EU-Standardvertragsklauseln.

Was du tun kannst: Du entscheidest selbst, welche Inhalte du im Chat preisgibst. Vermeide nach Möglichkeit Klarnamen Dritter, sensible Gesundheits- oder Finanzdaten. Du kannst dein Coach-Profil und deine Chat-Historie jederzeit in den Einstellungen löschen.

6. Auftragsverarbeiter / Drittanbieter

Langdock GmbH

KI-Vermittlungsschicht für Coach-Profil-Generation und Coach-Antworten. Vertragspartner: Langdock GmbH, Greifswalder Straße 212, 10405 Berlin, Deutschland. Ausführungsregion: EU/Frankfurt. Genutzte Modelle: Claude Sonnet 4.6 (Profiler + Coach) und Claude Haiku 4.5 (Followup-Komposition) — bereitgestellt durch Anthropic, durchgeleitet von Langdock. Zertifizierungen: ISO 27001, SOC 2 Type II. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit Langdock besteht (einsehbar über das Langdock Trust Center). Langdock und sein Unter-Auftragsverarbeiter Anthropic verwenden API-Eingaben standardmäßig NICHT zum Modelltraining (Zero-Retention für Trainingszwecke); kurzfristige Speicherung erfolgt ausschließlich zur Missbrauchserkennung und wird anschließend gelöscht. Datenschutz-Info

Supabase Inc.

Datenbank, Authentifizierung. Datenstandort: London (UK, eu-west-2). Vertragspartner: Supabase Inc., USA. Schutzmaßnahme: EU-Angemessenheitsbeschluss 2021/1772 für UK (gültig bis 27.06.2031) sowie EU-Standardvertragsklauseln für die US-Vertragsbeziehung. Datenschutz-Info

Resend, Inc.

Versand transaktionaler E-Mails (Coach-Followup-Mails, Org-Einladungen). Ausführungsregion: Irland (eu-west-1). Vertragspartner: Resend, Inc., USA. Schutzmaßnahme: EU-Standardvertragsklauseln. Verarbeitet werden Empfänger-Adresse, Betreff, Inhalt und Zustellstatus zum Zweck der Mail-Übermittlung. Datenschutz-Info

IONOS SE

Domain- und E-Mail-Hosting (deepling.de, lom@deepling.de, michael@deepling.de, kontakt@deepling.de). Vertragspartner: IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland. Datenstandort: Deutschland. Datenschutz-Info

Stripe Payments Europe Ltd. / Stripe Inc.

Zahlungsabwicklung. Vertragspartner für EU-Nutzer: Stripe Payments Europe Ltd. (Irland). Daten können an Stripe Inc. (USA) übermittelt werden (EU-Standardvertragsklauseln + EU-US Data Privacy Framework, PCI-DSS-zertifiziert). Kartendaten werden nicht bei uns gespeichert. Datenschutz-Info

Vercel Inc.

Hosting der Webanwendung. Ausführungsregion: Frankfurt (fra1). Vertragspartner: Vercel Inc., USA. Schutzmaßnahme: EU-Standardvertragsklauseln + EU-US Data Privacy Framework. Datenschutz-Info

Google LLC

Optionaler Login via Google-Konto (OAuth 2.0). Nur wenn du diesen Login-Weg explizit wählst, werden Name, E-Mail-Adresse und Google-Profil-ID übermittelt. Datenstandort: USA. Schutzmaßnahme: EU-Standardvertragsklauseln + EU-US Data Privacy Framework. Du kannst die Verbindung jederzeit in deinem Google-Konto widerrufen. Datenschutz-Info

7. Speicherdauer

  • Account- und Profil-Daten: bis zur Löschung deines Accounts durch dich
  • Chat-Historie: bis zur Löschung durch dich (einzeln oder gesamt)
  • Technische Logs: 30 Tage
  • Zahlungsbelege: 10 Jahre (gesetzliche Aufbewahrungspflicht §257 HGB)
  • KI-Eingaben bei Langdock und Anthropic: bis zu 30 Tage (siehe §5)

8. Betroffenenrechte

Gemäß DSGVO stehen dir folgende Rechte zu:

  • Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3) — wirkt für die Zukunft
  • Beschwerde bei der zuständigen Datenschutzbehörde

Anfragen richte bitte an: kontakt@deepling.de. Wir antworten innerhalb von 30 Tagen.

9. Cookies und Tracking

Diese Anwendung verwendet ausschließlich technisch notwendige Cookies zur Authentifizierung (Supabase-Session-Cookies). Es werden keine Marketing-, Werbe- oder Analyse-Cookies eingesetzt, keine Drittanbieter-Tracker eingebunden.

Da keine zustimmungspflichtigen Cookies eingesetzt werden, zeigen wir keinen Cookie-Banner (§ 25 Abs. 2 Nr. 2 TTDSG).

10. Sicherheit

Alle Datenübertragungen sind TLS-verschlüsselt. Der Datenbank-Zugriff erfolgt über Row-Level-Security — jeder Nutzer sieht ausschließlich seine eigenen Datensätze. Passwörter werden ausschließlich als Hash gespeichert (bcrypt durch Supabase Auth). API-Schlüssel werden in einer separaten, verschlüsselten Konfiguration verwahrt.

Impressum·AGB·Startseite