info@kisy.io

Privacy Policy

Privacy briefly explained

KIsy processes data so that you can use the website, the web app, and the coaches. This includes, for example, your email address, your account, your chat messages, technical data, and security information.

When you write to a coach, your messages may be processed so that KIsy can respond. Coaches are AI systems and not humans. KIsy can make mistakes.

Please do not enter passwords, secrets, or unnecessarily private information. Also, do not enter other people's data if you are not authorized to do so.

KIsy is not intended to replace diagnoses, therapies, crisis intervention, or professional decisions. If you write about health, bullying, violence, anxiety, crises, or very personal things, particularly sensitive information may arise. You should only enter such information if it is really necessary.

We do not sell your data. We do not create advertising profiles. We do not share your data for advertising purposes. However, to operate KIsy, we use technical service providers, for example for hosting, AI functions, payment, security, and analytics.

If you are under 18, you may only use KIsy if a legal guardian has permitted this and an adult account holder has set up, authorized, or paid for the account.

If you have any privacy questions, you can reach us at datenschutz (at) kisy.io.
This summary is for comprehensibility. Detailed information can be found in the following sections.

Status: May 2026

1. General Information

The protection of your personal data is important to us. With this Privacy Policy, we inform you about which personal data we process when you use KIsy, for what purposes this is done, on what legal basis this is based, and what rights affected individuals have.

This Privacy Policy applies to the website, the web app, and other digital offerings of KIsy, provided that no separate privacy policy indicates alternative processing.

2. Data Controller

The Data Controller within the meaning of Article 4 No. 7 of the General Data Protection Regulation (GDPR) is:

KIsy Coaching GmbH
Am Dornbusch 17
37297 Berkatal
Hesse, Germany
E-Mail: info (at) kisy.io

Privacy Contact:
E-Mail: datenschutz (at) kisy.io

3. Categories of Personal Data

Depending on your usage, we process in particular the following categories of personal data:

  • Master data, such as name, e-mail address, user ID, age, or date of birth, if requested,
  • Contract and account data,
  • Payment and billing data, if paid services are used,
  • Communication data when contacting us,
  • Usage data and technical transmission logs,
  • Content of chat histories, text inputs, uploads, and other content provided by the user,
  • Device and browser information,
  • Technical system logs (e.g., deployed model and system versions, age or account holder status),
  • Security-relevant events (e.g., displayed warnings, interruption, cancellation, or refusal events),
  • Consent and preference data, if applicable.

4. Processing upon Mere Website Visit

4.1 Server Log Files

When you visit our website or web app, our system or our hosting provider automatically processes technically necessary connection and protocol data. This may include in particular:

  • IP address,
  • Date and time of access,
  • Accessed page or requested resource,
  • Browser type and version,
  • Operating system,
  • Referrer URL,
  • Access status and amount of data transferred.

The processing takes place to ensure the security, stability, delivery, and functionality of our offering, as well as to detect and defend against attacks, abuse, and malfunctions.

The legal basis is Art. 6 para. 1 lit. f GDPR. Our legitimate interest lies in the secure and functional operation of our platform.

Server log files are generally only stored as long as necessary for the aforementioned purposes. Unless longer retention is necessary for the investigation of abuse or security incidents, deletion usually takes place within 14 days.

4.2 Hosting

The KIsy platform is hosted on servers by Amazon Web Services (AWS). According to our current system configuration, the servers used for this are located within the EU, specifically in Frankfurt am Main, Germany. Insofar as we use external hosting or infrastructure service providers, this is done on the basis of Data Processing Agreements (DPA) or other legally permissible grounds.

The legal basis is Art. 6 para. 1 lit. f GDPR and, to the extent the processing is necessary for the performance of a user contract, Art. 6 para. 1 lit. b GDPR.

5. Registration, User Account, and Contract Execution

5.1 Registration and Account Management

When a user creates or manages an account, we process the data necessary for this, in particular:

  • Name or display name,
  • E-mail address,
  • Password in a technically protected format,
  • Age or date of birth, if applicable,
  • Account settings and preferences.

The processing requires the setup, management, and use of the user account as well as the fulfillment of the user agreement. The legal basis is Art. 6 para. 1 lit. b GDPR.

Where specific information is not strictly necessary for the fulfillment of the contract, we mark it as voluntary or handle it accordingly.

5.2 Minors and Parent Accounts

KIsy is an educational offering aimed at users aged 10 and above. Minors may only use KIsy if a legal guardian has permitted its use and the account has been set up, managed, paid for, or explicitly authorized by an adult person.

The contractual partner for paid services is the adult account holder. The processing of personal data in connection with registration, account management, contract execution, technical provision, and security generally takes place to provide the service, fulfill the user agreement with the adult account holder, and ensure the safe and legally compliant use of KIsy.

KIsy does not base the provision of the actual service on the data protection consent of minor users. If, exceptionally, consent should be required for individual additional processing operations, such processing will only take place once the legal requirements for this have been met.

6. Use of AI Features, Chat Histories, and Uploads

6.1 Processing of Inputs and Outputs

The core of the service consists of interactions with AI systems. When users enter text, speak via voice/audio inputs, ask questions, upload files, or transmit other content to KIsy, we process this data to provide the requested functions and generate answers or other outputs. Voice data is processed strictly for communication purposes and not for biometric identification.

In particular, the following may be processed: Chat messages, prompts, uploaded images or documents, usage metadata, and system-generated answers. The legal basis is Art. 6 para. 1 lit. b GDPR.

6.2 No Unnecessary Sensitive Details

KIsy is a learning, practice, idea, explanation, and reflection service. KIsy is not designed to specifically collect, categorize, diagnostically evaluate special categories of personal data within the meaning of Art. 9 GDPR, or to use them to create health, therapy, personality, political, religious, or other special profiles.

Users should not enter any unnecessary sensitive information in chats, text inputs, uploads, or other content. This includes in particular information on health, mental health, diagnoses, therapy, medication, sex life, sexual orientation, religious or philosophical beliefs, political opinions, ethnic origin, genetic or biometric data, as well as secrets, passwords, or confidential information of third parties.

Functions relating to bullying, conflicts, communication, cooking, crafting, and similar topics serve as general learning, reflection, idea, and formulation aids. They are not intended for diagnosis, therapy, crisis intervention, medical advice, psychological treatment, legal advice, or other professional evaluation of sensitive personal circumstances.

If users nevertheless voluntarily provide sensitive information as part of an input, KIsy will only process this information within the framework of the communication initiated by the user, for the technical provision of the requested function, to generate the response, for the security of the service, to prevent abuse, for error analysis, to process support requests, or, if necessary, to establish, exercise, or defend legal claims.

KIsy does not use sensitive information for advertising, data sales, advertising profiles, credit profiles, health profiles, therapy profiles, or other special personality profiles.

KIsy may reject sensitive inputs, display emergency or safety instructions, refuse to respond, shorten content, delete content, or restrict functions if this is necessary to protect users, minors, third parties, for product safety, to prevent abuse, or to comply with legal requirements.

The legal basis for the processing of ordinary personal data in the context of use is Art. 6 para. 1 lit. b GDPR, insofar as the processing is necessary to provide the requested function or to execute the contract. For security, abuse prevention, error analysis, product safety, support, and legal defense, the legal basis is Art. 6 para. 1 lit. f GDPR. Insofar as processing is necessary to fulfill legal obligations, the legal basis is Art. 6 para. 1 lit. c GDPR. Insofar as special categories of personal data are affected in connection with the establishment, exercise, or defense of legal claims, the processing in this respect is based on Art. 9 para. 2 lit. f GDPR.

If there is no sufficient legal basis for a specific input or specific content, KIsy is entitled to reject, restrict, or terminate the processing.

6.3 Storage of Chat Histories, Uploads, and Security Logs

Insofar as chat histories, uploads, or similar content are stored or displayed within the product, this is done to provide the respective function, to improve the user experience, for error analysis, abuse detection, product safety, and, if applicable, to process support requests.

The legal bases are Art. 6 para. 1 lit. b GDPR and, where necessary, Art. 6 para. 1 lit. f GDPR. Our legitimate interest lies in the secure, stable, traceable, and economically viable provision of the service, in abuse prevention, in product safety, and in legal defense.

To ensure product safety, abuse prevention, and legal defense, extended security and product safety logs may be stored during critical interactions. This may include, in particular, user prompt, AI output, timestamps, deployed system and coach versions, model providers, displayed warning notices, as well as security, interruption, cancellation, or refusal events.

Chat histories and similar content are generally only stored as long as necessary for the provision of the service, support, abuse prevention, security, product safety, legal defense, or legal obligations.

If deletion functions are provided in the product, users can remove content there themselves. Technically necessary backup copies or residual data may persist for a limited transitional period.

KIsy is entitled not to store, to shorten, to delete, to anonymize individual content, chat histories, or uploads, or to reject further processing if this is necessary for reasons of security, youth protection, product safety, abuse prevention, data protection, or for legal reasons.

6.4 AI Transparency (EU AI Act)

KIsy uses artificial intelligence to generate responses and other outputs. Users interact with AI systems and not with humans. KIsy points this out within the product, in particular through notices such as "KIsy can make mistakes. Coaches are AI, not humans."

The generated AI content may be incomplete, inaccurate, misleading, outdated, unsuitable, or dangerous. It does not replace a human professional, in particular no medical, therapeutic, psychological, pedagogical, legal, technical, manual, safety-related, financial, or other professional advice.

KIsy is not intended for emergencies, crisis situations, or acute hazard situations. In such cases, appropriate human, professional, or official bodies must be contacted.

7. Payment Processing and Paid Services

When paid services are used, we process the necessary contract and billing data. The actual payment processing may be carried out by external payment service providers, notably Stripe or a comparable provider.

In this context, the following data may be processed: Name, billing data, e-mail address, transaction data, payment status, and optionally partial information regarding the chosen payment method.

We generally do not receive full payment details such as complete credit card numbers, but only transaction-related information as far as necessary for contract processing. The legal basis is Art. 6 para. 1 lit. b GDPR. Insofar as payment service providers process data under their own responsibility, their privacy policies apply supplementary. Statutory retention obligations under commercial and tax law remain unaffected.

8. Service Providers and Recipients

We attach great importance to the protection of your data. There is expressly no promotional transfer of personal data to third parties, no data sales, and no creation of advertising profiles. The use of carefully selected technical service providers (e.g., hosting, AI interfaces, payment processing) is strictly purpose-bound, insofar as this is absolutely necessary for the operation, security, and provision of KIsy and is secured under data protection law.

8.1 AI Service Providers

To provide the AI functions, we may integrate external AI service providers, in particular OpenAI for text functions and ElevenLabs for voice or audio functions, or comparable providers.

In this context, it may be necessary to transmit inputs, voice or audio data, uploads, excerpts from chat histories, and technically necessary metadata to these providers so that the requested functions can be provided and responses generated.

We choose, as far as available and economically reasonable, privacy-friendly and restrictive configurations. To the extent permitted by the respective interfaces used, we use configurations in which customer content is not used by default to train general models.

Voice or audio data are processed to provide the respective communication function. KIsy does not use voice data for the biometric identification of users. The creation of voice profiles, voice cloning, or comparable functions does not take place unless this is explicitly provided as a separate function and an independent legal basis is created for this.

The legal basis is Art. 6 para. 1 lit. b GDPR, insofar as the processing is necessary to provide the requested function. For security, abuse prevention, error analysis, product safety, and legal defense, the legal basis is Art. 6 para. 1 lit. f GDPR.

8.2 Other Recipients or Categories of Recipients

Personal data may be shared, where necessary, with the following recipients or categories of recipients:

  • Hosting and infrastructure service providers,
  • AI service providers,
  • Payment service providers,
  • IT, security, and support service providers,
  • Communication and e-mail service providers,
  • Analytics and monitoring service providers,
  • Tax advisors, legal counsel, auditors, or other professionally bound consultants,
  • Authorities, courts, or other public bodies, provided we consider ourselves legally obliged to do so.

Any further disclosure occurs only if a legal basis exists or effective consent has been obtained.

9. Third-Country Transfers

As part of our services, personal data may be transferred to countries outside the European Union (EU) or the European Economic Area (EEA), especially to the USA, if service providers used are based there or use sub-processors there.

In such cases, we ensure an adequate level of data protection. If no statutory exception applies directly, we base the transfer in particular on:

  • an Adequacy Decision of the European Commission,
  • Standard Contractual Clauses (SCC) of the European Commission,
  • supplementary technical and organizational protective measures,
  • or other legally recognized transfer mechanisms.

10. Audience Measurement, Analytics, and Cookies

10.1 Technically Necessary Cookies and Comparable Storage Technologies

We may use technically necessary cookies or comparable technologies if these are required to provide fundamental functions of our offering, such as login, security, session management, or load balancing. The legal basis for the processing of personal data is Art. 6 para. 1 lit. b GDPR or Art. 6 para. 1 lit. f GDPR, depending on the function. If accessing information stored on the end device is absolutely necessary, this happens based on the applicable statutory regulations.

10.2 Audience Measurement and Product Analytics

We may use a privacy-friendly configured analytics tool, in particular Matomo Cloud, to understand usage patterns, detect errors, improve stability, and further develop our offering.

We configure Matomo to be as privacy-friendly as possible, in particular without tracking cookies, with IP anonymization, without advertising user profiles, without data sales, and without merging with data from third-party advertising networks.

The legal basis is Art. 6 para. 1 lit. f GDPR. Our legitimate interest lies in the improvement, stabilization, security, and economic further development of our offering.

If an analysis function is used in the future that requires a storage of information on the end device that is not technically necessary or an access to information in the end device that is not technically necessary, we will only use this function once the legal requirements for this have been met.

10.3 External Fonts and Display Resources

For the uniform presentation and technical design of our website, external fonts, CSS, JavaScript, or other display resources may currently be integrated, in particular Google Fonts and AOS resources via unpkg or comparable providers.

When such external resources are loaded, the user's browser technically establishes a connection to the servers of the respective provider. In this process, connection data such as the IP address, browser and device information, the requested resource, referrer information, and the date and time of access may be processed.

The integration serves the uniform, stable, and user-friendly presentation of our website. The legal basis is Art. 6 para. 1 lit. f GDPR, insofar as the respective integration is permissible under data protection law without prior consent. Our legitimate interest lies in a technically functional and uniformly displayed website.

We are reviewing and planning to replace external display resources with locally hosted resources where practically possible, or to avoid non-essential external resources. Where consent is required for individual resources under applicable law, such resources may only be used once the legal requirements have been met.

11. Contact and Support

When users contact us via e-mail, contact form, or other means, we process the provided data to handle the request, to communicate with the user, and, if applicable, for contract execution. This may particularly include name, e-mail address, communication content, timestamps, and other provided information.

The legal basis, depending on the content of the request, is Art. 6 para. 1 lit. b GDPR or Art. 6 para. 1 lit. f GDPR. Inquiries and associated communications are deleted once processing concludes and no statutory retention duties or legitimate interests preclude deletion.

12. Storage Duration

We only store personal data for as long as this is necessary for the respective purposes or we are legally obliged to do so. In particular, the following criteria apply:

  • We generally store account data until the account is deleted or until the contractual relationship is terminated. Thereafter, we only store them further insofar as statutory retention obligations or legitimate interests, in particular security, clarification of abuse, payment processing, or legal defense, require further storage.
  • We regularly store contract, payment, and billing data in accordance with commercial and tax law retention obligations for six or ten years.
  • Server log files are generally deleted within 14 days, unless longer storage is required to investigate abuse, security incidents, technical faults, or legal violations.
  • We store communication and support data until the processing of the respective request has been completed and thereafter only insofar as statutory retention obligations or legitimate interests require further storage.
  • Chat histories and uploads are generally stored as long as they are displayed in the user account, are required for the respective function, or are required for reasons of support, security, abuse prevention, product safety, or legal defense. If the user deletes chat histories or uploads in the product, they are removed from the active display. Technically necessary backup copies or residual data may persist for a limited transitional period.
  • Extended security and product safety logs during critical interactions, in particular user prompt, AI output, timestamps, system and coach versions, model providers, as well as warning, interruption, cancellation, or refusal events, can be stored for up to 36 months, insofar as this is necessary for product safety, abuse prevention, error analysis, compliance, or legal defense. Longer storage only takes place insofar as a concrete security incident, a legal dispute, an official inquiry, legal obligations, or other legitimate reasons make this necessary.

As far as possible and appropriate, data is deleted, anonymized, or reduced to the necessary extent as soon as personalized storage is no longer required.

13. Obligation to Provide Data

The provision of certain personal data necessary for registration, contract execution, payment processing, security, or technical provision is obligatory for completing a contract or accessing certain features. Without this data, we may be unable to provide the user account, specific functionalities, or paid services.

14. Automated Decisions in Individual Cases

A purely automated decision-making process pursuant to Art. 22 GDPR having legal effects or similarly significant impacts does currently not take place, unless we explicitly point this out in an individual case. The mere fact that AI-based content is generated does not inherently constitute a decision within the meaning of Art. 22 GDPR.

15. Rights of the Data Subject

Affected individuals have the following rights in accordance with statutory provisions:

  • Right of Access pursuant to Art. 15 GDPR,
  • Right to Rectification pursuant to Art. 16 GDPR,
  • Right to Erasure (Right to be Forgotten) pursuant to Art. 17 GDPR,
  • Right to Restriction of Processing pursuant to Art. 18 GDPR,
  • Right to Data Portability pursuant to Art. 20 GDPR,
  • Right to Object pursuant to Art. 21 GDPR,
  • Right to withdraw granted consent with effect for the future, where processing exceptionally relies on consent,
  • Right to lodge a complaint with a supervisory data protection authority.

To exercise these rights, a notification to datenschutz (at) kisy.io is sufficient.

16. Right to Object pursuant to Art. 21 GDPR

Insofar as we process personal data based on legitimate interests pursuant to Art. 6 para. 1 lit. f GDPR, affected individuals have the right to object to this processing at any time on grounds relating to their particular situation. If an affected individual objects, we will no longer process the relevant personal data unless we can demonstrate compelling legitimate grounds for the processing which override the interests, rights, and freedoms of the data subject, or if the processing serves the establishment, exercise, or defense of legal claims.

17. Right to Lodge a Complaint with a Supervisory Authority

Individuals have the right to lodge a complaint with a data protection supervisory authority, specifically in the Member State of their habitual residence, their place of work, or the place of the alleged infringement. The competent supervisory authority for us is:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
(Hessian Commissioner for Data Protection and Freedom of Information)
Postfach 3163
65021 Wiesbaden
Germany

18. Changes to this Privacy Policy

We reserve the right to amend this Privacy Policy with effect for the future if this is required due to legal, technical, regulatory, or organizational changes, or if new services/processing activities are introduced. The version applicable at the time of your visit or use always applies.

Datenschutzerklärung

Datenschutz kurz erklärt

KIsy verarbeitet Daten, damit du die Website, die Web-App und die Coaches nutzen kannst. Dazu gehören zum Beispiel deine E-Mail-Adresse, dein Konto, deine Chatnachrichten, technische Daten und Sicherheitsinformationen.

Wenn du mit einem Coach schreibst, können deine Nachrichten verarbeitet werden, damit KIsy antworten kann. Coaches sind KI-Systeme und keine Menschen. KIsy kann Fehler machen.

Bitte gib keine Passwörter, Geheimnisse oder unnötig privaten Informationen ein. Gib auch keine Daten anderer Personen ein, wenn du dazu nicht berechtigt bist.

KIsy ist nicht dafür gedacht, Diagnosen, Therapien, Krisenhilfe oder fachliche Entscheidungen zu ersetzen. Wenn du über Gesundheit, Mobbing, Gewalt, Angst, Krisen oder sehr persönliche Dinge schreibst, können besonders sensible Informationen entstehen. Solche Informationen solltest du nur eingeben, wenn es wirklich nötig ist.

Wir verkaufen deine Daten nicht. Wir erstellen keine Werbeprofile. Wir geben deine Daten nicht für Werbung weiter. Für den Betrieb von KIsy nutzen wir aber technische Dienstleister, zum Beispiel für Hosting, KI-Funktionen, Zahlung, Sicherheit und Analyse.

Wenn du unter 18 bist, darfst du KIsy nur nutzen, wenn ein Erziehungsberechtigter dies erlaubt hat und ein volljähriger Kontoinhaber das Konto eingerichtet, freigegeben oder bezahlt hat.

Bei Datenschutzfragen erreichst du uns unter datenschutz (at) kisy.io.
Diese Zusammenfassung dient der Verständlichkeit. Die ausführlichen Informationen stehen in den folgenden Abschnitten.

Stand: Mai 2026

1. Allgemeine Informationen

Der Schutz personenbezogener Daten ist uns wichtig. Mit dieser Datenschutzerklärung informieren wir darüber, welche personenbezogenen Daten wir bei der Nutzung von KIsy verarbeiten, zu welchen Zwecken dies geschieht, auf welcher Rechtsgrundlage dies beruht und welche Rechte betroffene Personen haben.

Diese Datenschutzerklärung gilt für die Website, die Web-App sowie sonstige digitale Angebote von KIsy, soweit keine gesonderte Datenschutzerklärung auf eine abweichende Verarbeitung hinweist.

2. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

KIsy Coaching GmbH
Am Dornbusch 17
37297 Berkatal
Hessen, Deutschland
E-Mail: info (at) kisy.io

Datenschutzkontakt:
E-Mail: datenschutz (at) kisy.io

3. Kategorien personenbezogener Daten

Je nach Nutzung verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:

  • Stammdaten, zum Beispiel Name, E-Mail-Adresse, Nutzerkennung, Alter oder Geburtsdatum, soweit abgefragt,
  • Vertrags- und Kontodaten,
  • Zahlungs- und Abrechnungsdaten, soweit kostenpflichtige Leistungen genutzt werden,
  • Kommunikationsdaten bei Kontaktaufnahme mit uns,
  • Nutzungsdaten und technische Protokolldaten,
  • Inhalte von Chatverläufen, Texteingaben, Uploads und sonstige vom Nutzer bereitgestellte Inhalte,
  • Geräte- und Browserinformationen,
  • Technische Systemprotokolle (z. B. eingesetzte Modell- und Systemversionen, Alter- bzw. Kontoinhaberstatus),
  • Sicherheitsrelevante Ereignisse (z. B. angezeigte Warnhinweise, Abbruch- oder Refusal-Ereignisse),
  • gegebenenfalls Einwilligungs- und Präferenzdaten.

4. Verarbeitung bei bloßem Besuch der Website

4.1 Server-Logfiles

Beim Aufruf unserer Website oder Web-App verarbeitet unser System bzw. unser Hosting-Anbieter technisch erforderliche Verbindungs- und Protokolldaten. Dazu können insbesondere gehören:

  • IP-Adresse,
  • Datum und Uhrzeit des Zugriffs,
  • aufgerufene Seite bzw. angeforderte Ressource,
  • Browsertyp und Browserversion,
  • Betriebssystem,
  • Referrer-URL,
  • Zugriffsstatus und übertragene Datenmenge.

Die Verarbeitung erfolgt, um die Sicherheit, Stabilität, Auslieferung und Funktionsfähigkeit unseres Angebots zu gewährleisten sowie Angriffe, Missbrauch und Fehlfunktionen zu erkennen und abzuwehren.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in dem sicheren und funktionsfähigen Betrieb unseres Angebots.

Server-Logfiles werden grundsätzlich nur so lange gespeichert, wie dies für die genannten Zwecke erforderlich ist. Soweit keine längere Aufbewahrung zur Missbrauchs- oder Sicherheitsaufklärung notwendig ist, erfolgt die Löschung in der Regel innerhalb von 14 Tagen.

4.2 Hosting

Die KIsy-Plattform wird auf Servern von Amazon Web Services (AWS) gehostet. Nach unserer aktuellen Systemkonfiguration sind die hierfür genutzten Server im EU-Raum, insbesondere in Frankfurt am Main, lokalisiert. Soweit wir externe Hosting- oder Infrastrukturdienstleister einsetzen, erfolgt dies auf Grundlage von Auftragsverarbeitungsverträgen oder sonstigen datenschutzrechtlich zulässigen Grundlagen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO sowie, soweit die Verarbeitung für die Erfüllung eines Nutzungsvertrags erforderlich ist, Art. 6 Abs. 1 lit. b DSGVO.

5. Registrierung, Nutzerkonto und Vertragsabwicklung

5.1 Registrierung und Kontoverwaltung

Wenn ein Nutzer ein Konto anlegt oder verwaltet, verarbeiten wir die dafür erforderlichen Daten, insbesondere:

  • Name oder Anzeigename,
  • E-Mail-Adresse,
  • Passwort in technisch geschützter Form,
  • gegebenenfalls Alter oder Geburtsdatum,
  • Kontoeinstellungen und Präferenzen.

Die Verarbeitung erfolgt zur Einrichtung, Verwaltung und Nutzung des Nutzerkontos sowie zur Erfüllung des Nutzungsvertrags. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Soweit einzelne Angaben nicht zwingend für die Vertragserfüllung erforderlich sind, kennzeichnen wir diese als freiwillig oder behandeln sie entsprechend.

5.2 Minderjährige und Elternkonten

KIsy richtet sich als Lernangebot an Nutzer ab 10 Jahren. Minderjährige dürfen KIsy nur nutzen, wenn ein Erziehungsberechtigter die Nutzung erlaubt hat und das Konto von einer volljährigen Person eingerichtet, verwaltet, bezahlt oder ausdrücklich freigegeben wurde.

Vertragspartner bei kostenpflichtigen Leistungen ist der volljährige Kontoinhaber. Die Verarbeitung personenbezogener Daten im Zusammenhang mit Registrierung, Kontoverwaltung, Vertragsdurchführung, technischer Bereitstellung und Sicherheit erfolgt grundsätzlich zur Bereitstellung des Dienstes, zur Erfüllung des Nutzungsvertrags mit dem volljährigen Kontoinhaber sowie zur sicheren und rechtskonformen Nutzung von KIsy.

KIsy stützt die Bereitstellung des eigentlichen Dienstes nicht auf eine datenschutzrechtliche Einwilligung minderjähriger Nutzer. Soweit ausnahmsweise für einzelne zusätzliche Verarbeitungsvorgänge eine Einwilligung erforderlich sein sollte, erfolgt eine solche Verarbeitung erst, wenn die gesetzlichen Voraussetzungen hierfür erfüllt sind.

6. Nutzung der KI-Funktionen, Chatverläufe und Uploads

6.1 Verarbeitung von Eingaben und Ausgaben

Der Kern des Dienstes besteht in der Interaktion mit KI-Systemen. Wenn Nutzer Texte eingeben, Sprachnachrichten/Audiodaten übermitteln, Fragen stellen, Dateien hochladen oder sonstige Inhalte an KIsy senden, verarbeiten wir diese Daten, um die angeforderten Funktionen bereitzustellen und Antworten oder sonstige Ausgaben zu erzeugen. Sprachdaten werden streng zweckgebunden zur Kommunikation verarbeitet und nicht zur biometrischen Identifizierung genutzt.

Dabei können insbesondere verarbeitet werden: Chatnachrichten, Prompts, hochgeladene Bilder oder Dokumente, Metadaten der Nutzung, vom System erzeugte Antworten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

6.2 Keine unnötigen sensiblen Angaben

KIsy ist ein Lern-, Übungs-, Ideen-, Erklär- und Reflexionsdienst. KIsy ist nicht darauf ausgelegt, besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO gezielt zu erheben, zu kategorisieren, diagnostisch auszuwerten oder zur Erstellung von Gesundheits-, Therapie-, Persönlichkeits-, politischen, religiösen oder sonstigen besonderen Profilen zu verwenden.

Nutzer sollen in Chats, Texteingaben, Uploads oder sonstigen Inhalten keine unnötigen sensiblen Informationen eingeben. Dazu gehören insbesondere Angaben zu Gesundheit, psychischer Gesundheit, Diagnosen, Therapie, Medikamenten, Sexualleben, sexueller Orientierung, religiösen oder weltanschaulichen Überzeugungen, politischen Meinungen, ethnischer Herkunft, genetischen oder biometrischen Daten sowie Geheimnisse, Passwörter oder vertrauliche Informationen Dritter.

Funktionen zu Mobbing, Konflikten, Kommunikation, Kochen, Basteln und ähnlichen Themen dienen der allgemeinen Lern-, Reflexions-, Ideen- und Formulierungshilfe. Sie sind nicht zur Diagnose, Therapie, Krisenintervention, medizinischen Beratung, psychologischen Behandlung, rechtlichen Beratung oder sonstigen fachlichen Bewertung sensibler persönlicher Umstände bestimmt.

Soweit Nutzer dennoch sensible Angaben freiwillig als Teil einer Eingabe mitteilen, verarbeitet KIsy diese Angaben nur im Rahmen der vom Nutzer ausgelösten Kommunikation, zur technischen Bereitstellung der angefragten Funktion, zur Erzeugung der Antwort, zur Sicherheit des Dienstes, zur Missbrauchsverhinderung, zur Fehleranalyse, zur Bearbeitung von Supportanfragen oder, soweit erforderlich, zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

KIsy verwendet sensible Angaben nicht für Werbung, Datenverkauf, Werbeprofile, Bonitätsprofile, Gesundheitsprofile, Therapieprofile oder sonstige besondere Persönlichkeitsprofile.

KIsy kann sensible Eingaben zurückweisen, Notfall- oder Sicherheitshinweise anzeigen, eine Antwort verweigern, Inhalte kürzen, Inhalte löschen oder Funktionen beschränken, wenn dies zum Schutz von Nutzern, Minderjährigen, Dritten, zur Produktsicherheit, zur Missbrauchsverhinderung oder zur Einhaltung rechtlicher Vorgaben erforderlich ist.

Die Rechtsgrundlage für die Verarbeitung gewöhnlicher personenbezogener Daten im Rahmen der Nutzung ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung der angefragten Funktion oder zur Vertragsdurchführung erforderlich ist. Für Sicherheit, Missbrauchsverhinderung, Fehleranalyse, Produktsicherheit, Support und Rechtsverteidigung ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Soweit eine Verarbeitung zur Erfüllung rechtlicher Pflichten erforderlich ist, ist Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO. Soweit im Zusammenhang mit der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen besondere Kategorien personenbezogener Daten betroffen sind, erfolgt die Verarbeitung insoweit auf Grundlage von Art. 9 Abs. 2 lit. f DSGVO.

Soweit für eine konkrete Eingabe oder einen konkreten Inhalt keine ausreichende Rechtsgrundlage besteht, ist KIsy berechtigt, die Verarbeitung abzulehnen, einzuschränken oder zu beenden.

6.3 Speicherung von Chatverläufen, Uploads und Sicherheitslogs

Soweit Chatverläufe, Uploads oder ähnliche Inhalte innerhalb des Produkts gespeichert oder angezeigt werden, erfolgt dies zur Bereitstellung der jeweiligen Funktion, zur Verbesserung der Nutzererfahrung, zur Fehleranalyse, zur Missbrauchserkennung, zur Produktsicherheit und gegebenenfalls zur Bearbeitung von Supportanfragen.

Die Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und, soweit erforderlich, Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, stabilen, nachvollziehbaren und wirtschaftlich tragfähigen Bereitstellung des Dienstes, in der Missbrauchsverhinderung, in der Produktsicherheit und in der Rechtsverteidigung.

Zur Sicherstellung von Produktsicherheit, Missbrauchsverhinderung und Rechtsverteidigung können bei kritischen Interaktionen erweiterte Sicherheits- und Produktsicherheitslogs gespeichert werden. Dazu können insbesondere Nutzerprompt, KI-Ausgabe, Zeitstempel, eingesetzte System- und Coach-Versionen, Modellanbieter, angezeigte Warnhinweise sowie Sicherheits-, Abbruch- oder Refusal-Ereignisse gehören.

Chatverläufe und ähnliche Inhalte werden grundsätzlich nur so lange gespeichert, wie dies für die Bereitstellung des Dienstes, Support, Missbrauchsverhinderung, Sicherheit, Produktsicherheit, Rechtsverteidigung oder gesetzliche Pflichten erforderlich ist.

Soweit im Produkt Löschfunktionen bereitgestellt werden, können Nutzer Inhalte dort selbst entfernen. Technisch notwendige Sicherungskopien oder Restdaten können für eine begrenzte Übergangszeit fortbestehen.

KIsy ist berechtigt, einzelne Inhalte, Chatverläufe oder Uploads nicht zu speichern, zu kürzen, zu löschen, zu anonymisieren oder die weitere Verarbeitung abzulehnen, wenn dies aus Gründen der Sicherheit, des Jugendschutzes, der Produktsicherheit, der Missbrauchsverhinderung, des Datenschutzes oder aus rechtlichen Gründen erforderlich ist.

6.4 Transparenz-Hinweis (EU AI Act)

KIsy nutzt künstliche Intelligenz zur Erzeugung von Antworten und sonstigen Ausgaben. Nutzer interagieren mit KI-Systemen und nicht mit Menschen. Darauf weist KIsy innerhalb des Produkts hin, insbesondere durch Hinweise wie „KIsy kann Fehler machen. Coaches sind KI, keine Menschen.“

Die generierten KI-Inhalte können unvollständig, unzutreffend, missverständlich, veraltet, ungeeignet oder gefährlich sein. Sie ersetzen keine menschliche Fachperson, insbesondere keine ärztliche, therapeutische, psychologische, pädagogische, rechtliche, technische, handwerkliche, sicherheitsbezogene, finanzielle oder sonstige professionelle Beratung.

KIsy ist nicht für Notfälle, Krisensituationen oder akute Gefahrenlagen bestimmt. In solchen Fällen sind geeignete menschliche, professionelle oder behördliche Stellen zu kontaktieren.

7. Zahlungsabwicklung und kostenpflichtige Leistungen

Wenn kostenpflichtige Leistungen genutzt werden, verarbeiten wir die hierfür erforderlichen Vertrags- und Abrechnungsdaten. Die eigentliche Zahlungsabwicklung kann über externe Zahlungsdienstleister erfolgen, insbesondere Stripe oder einen vergleichbaren Anbieter.

Dabei können insbesondere folgende Daten verarbeitet werden: Name, Rechnungsdaten, E-Mail-Adresse, Transaktionsdaten, Zahlungsstatus, gegebenenfalls Teilinformationen zur gewählten Zahlungsmethode.

Wir erhalten dabei in der Regel nicht die vollständigen Zahlungsdaten wie vollständige Kreditkartennummern, sondern lediglich transaktionsbezogene Informationen, soweit dies für die Vertragsabwicklung erforderlich ist. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit Zahlungsdienstleister Daten eigenverantwortlich verarbeiten, gelten ergänzend deren Datenschutzhinweise. Aufbewahrungspflichten aus dem Handels- und Steuerrecht bleiben unberührt.

8. Eingesetzte Dienstleister und Empfänger

Wir legen großen Wert auf den Schutz Ihrer Daten. Es findet ausdrücklich keine werbliche Weitergabe personenbezogener Daten an Dritte, kein Datenverkauf und keine Erstellung von Werbeprofilen statt. Der Einsatz von sorgfältig ausgewählten technischen Dienstleistern (z. B. Hosting, KI-Schnittstellen, Zahlungsabwicklung) erfolgt ausschließlich zweckgebunden, soweit dies für den Betrieb, die Sicherheit und die Bereitstellung von KIsy zwingend erforderlich und datenschutzrechtlich abgesichert ist.

8.1 KI-Dienstleister

Zur Bereitstellung der KI-Funktionen können wir externe KI-Dienstleister einbinden, insbesondere OpenAI für Textfunktionen und ElevenLabs für Sprach- oder Audiofunktionen oder vergleichbare Anbieter.

Hierbei kann es erforderlich sein, Eingaben, Sprach- oder Audiodaten, Uploads, Auszüge aus Chatverläufen sowie technisch notwendige Metadaten an diese Anbieter zu übermitteln, damit die angefragten Funktionen bereitgestellt und Antworten erzeugt werden können.

Wir wählen, soweit verfügbar und wirtschaftlich zumutbar, datenschutzfreundliche und restriktive Konfigurationen. Soweit die jeweils genutzten Schnittstellen dies ermöglichen, verwenden wir Konfigurationen, bei denen Kundeninhalte standardmäßig nicht zum Training allgemeiner Modelle verwendet werden.

Sprach- oder Audiodaten werden zur Bereitstellung der jeweiligen Kommunikationsfunktion verarbeitet. KIsy verwendet Sprachdaten nicht zur biometrischen Identifizierung von Nutzern. Eine Erstellung von Stimmprofilen, Voice-Cloning oder vergleichbaren Funktionen erfolgt nicht, sofern dies nicht ausdrücklich als gesonderte Funktion bereitgestellt und hierfür eine eigenständige rechtliche Grundlage geschaffen wird.

Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung der angefragten Funktion erforderlich ist. Für Sicherheit, Missbrauchsverhinderung, Fehleranalyse, Produktsicherheit und Rechtsverteidigung ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO.

8.2 Sonstige Empfänger oder Kategorien von Empfängern

Personenbezogene Daten können, soweit erforderlich, an folgende Empfänger oder Kategorien von Empfängern weitergegeben werden:

  • Hosting- und Infrastruktur-Dienstleister,
  • KI-Dienstleister,
  • Zahlungsdienstleister,
  • IT-, Sicherheits- und Support-Dienstleister,
  • Kommunikations- und E-Mail-Dienstleister,
  • Analyse- und Monitoring-Dienstleister,
  • Steuerberater, Rechtsberater, Wirtschaftsprüfer oder sonstige berufsrechtlich gebundene Berater,
  • Behörden, Gerichte oder sonstige öffentliche Stellen, soweit wir hierzu rechtlich verpflichtet sind.

Eine darüber hinausgehende Weitergabe erfolgt nur, wenn hierfür eine gesetzliche Grundlage besteht oder eine wirksame Einwilligung vorliegt.

9. Drittlandübermittlungen

Im Rahmen unserer Dienstleistungen kann es zu einer Übermittlung personenbezogener Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums kommen, insbesondere in die USA, wenn eingesetzte Dienstleister dort ansässig sind oder Unterauftragsverarbeiter dort einsetzen.

In solchen Fällen achten wir auf ein angemessenes Datenschutzniveau. Soweit kein gesetzlicher Erlaubnistatbestand direkt greift, stützen wir die Übermittlung insbesondere auf:

  • einen Angemessenheitsbeschluss der Europäischen Kommission,
  • Standardvertragsklauseln der Europäischen Kommission,
  • ergänzende technische und organisatorische Schutzmaßnahmen,
  • oder sonstige gesetzlich anerkannte Transfermechanismen.

10. Reichweitenmessung, Analyse und Cookies

10.1 Technisch erforderliche Cookies und vergleichbare Speichertechnologien

Wir können technisch erforderliche Cookies oder vergleichbare Technologien einsetzen, soweit dies notwendig ist, um grundlegende Funktionen unseres Angebots bereitzustellen, etwa Login, Sicherheit, Sitzungsverwaltung oder Lastverteilung. Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO, je nach Funktion. Soweit ein Zugriff auf Informationen im Endgerät zwingend erforderlich ist, erfolgt dieser auf Grundlage der jeweils anwendbaren gesetzlichen Regelungen.

10.2 Reichweitenmessung und Produktanalyse

Wir können ein datenschutzfreundlich konfiguriertes Analysewerkzeug einsetzen, insbesondere Matomo Cloud, um Nutzungsmuster zu verstehen, Fehler zu erkennen, die Stabilität zu verbessern und unser Angebot weiterzuentwickeln.

Wir konfigurieren Matomo möglichst datenschutzfreundlich, insbesondere ohne Tracking-Cookies, mit IP-Anonymisierung, ohne werbliche Nutzerprofile, ohne Datenverkauf und ohne Zusammenführung mit Daten aus fremden Werbenetzwerken.

Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Verbesserung, Stabilisierung, Sicherheit und wirtschaftlichen Weiterentwicklung unseres Angebots.

Soweit künftig eine Analysefunktion eingesetzt wird, die eine nicht technisch erforderliche Speicherung von Informationen auf dem Endgerät oder einen nicht technisch erforderlichen Zugriff auf Informationen im Endgerät erfordert, setzen wir diese Funktion erst ein, wenn die hierfür erforderlichen rechtlichen Voraussetzungen erfüllt sind.

10.3 Externe Schriftarten und Darstellungsressourcen

Zur einheitlichen Darstellung und technischen Gestaltung unserer Website können derzeit externe Schriftarten, CSS-, JavaScript- oder sonstige Darstellungsressourcen eingebunden sein, insbesondere Google Fonts sowie AOS-Ressourcen über unpkg oder vergleichbare Anbieter.

Beim Abruf solcher externen Ressourcen stellt der Browser des Nutzers technisch eine Verbindung zu den Servern des jeweiligen Anbieters her. Dabei können insbesondere IP-Adresse, Browser- und Geräteinformationen, die angeforderte Ressource, Referrer-Informationen sowie Datum und Uhrzeit des Abrufs verarbeitet werden.

Die Einbindung dient der einheitlichen, stabilen und nutzerfreundlichen Darstellung unserer Website. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO, soweit die jeweilige Einbindung ohne vorherige Einwilligung datenschutzrechtlich zulässig ist. Unser berechtigtes Interesse liegt in einer technisch funktionsfähigen und einheitlich dargestellten Website.

Wir prüfen und planen, externe Darstellungsressourcen, soweit praktisch möglich, durch lokal gehostete Ressourcen zu ersetzen oder auf nicht erforderliche externe Ressourcen zu verzichten. Soweit für einzelne Ressourcen nach geltendem Recht eine Einwilligung erforderlich ist, dürfen diese nur eingesetzt werden, wenn die rechtlichen Voraussetzungen hierfür erfüllt sind.

11. Kontaktaufnahme und Support

Wenn Nutzer uns per E-Mail, Kontaktformular oder auf anderem Weg kontaktieren, verarbeiten wir die mitgeteilten Daten zur Bearbeitung der Anfrage, zur Kommunikation mit dem Nutzer sowie gegebenenfalls zur Vertragsdurchführung. Hierzu können insbesondere Name, E-Mail-Adresse, Kommunikationsinhalt, Zeitpunkte und sonstige mitgeteilte Informationen gehören.

Rechtsgrundlage ist je nach Inhalt der Anfrage Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO. Anfragen und die zugehörige Kommunikation werden gelöscht, sobald die Bearbeitung abgeschlossen ist und keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen an einer weiteren Speicherung entgegenstehen.

12. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder wir hierzu gesetzlich verpflichtet sind. Es gelten insbesondere folgende Kriterien:

  • Kontodaten speichern wir grundsätzlich bis zur Löschung des Kontos oder bis zur Beendigung des Vertragsverhältnisses. Danach speichern wir sie nur weiter, soweit gesetzliche Aufbewahrungspflichten oder berechtigte Interessen, insbesondere Sicherheit, Missbrauchsaufklärung, Zahlungsabwicklung oder Rechtsverteidigung, eine weitere Speicherung erfordern.
  • Vertrags-, Zahlungs- und Rechnungsdaten speichern wir entsprechend handels- und steuerrechtlicher Aufbewahrungspflichten regelmäßig für sechs beziehungsweise zehn Jahre.
  • Server-Logfiles werden grundsätzlich innerhalb von 14 Tagen gelöscht, sofern keine längere Speicherung zur Aufklärung von Missbrauch, Sicherheitsvorfällen, technischen Störungen oder Rechtsverletzungen erforderlich ist.
  • Kommunikations- und Supportdaten speichern wir bis zum Abschluss der Bearbeitung der jeweiligen Anfrage und danach nur, soweit gesetzliche Aufbewahrungspflichten oder berechtigte Interessen eine weitere Speicherung erfordern.
  • Chatverläufe und Uploads werden grundsätzlich gespeichert, solange sie im Nutzerkonto angezeigt werden, für die jeweiligen Funktion benötigt werden oder aus Gründen von Support, Sicherheit, Missbrauchsverhinderung, Produktsicherheit oder Rechtsverteidigung erforderlich sind. Löscht der Nutzer Chatverläufe oder Uploads im Produkt, werden diese aus der aktiven Anzeige entfernt. Technisch notwendige Sicherungskopien oder Restdaten können für eine begrenzte Übergangszeit fortbestehen.
  • Erweiterte Sicherheits- und Produktsicherheitslogs bei kritischen Interaktionen, insbesondere Nutzerprompt, KI-Ausgabe, Zeitpunkte, System- und Coach-Versionen, Modellanbieter sowie Warn-, Abbruch- oder Refusal-Ereignisse, können bis zu 36 Monate gespeichert werden, soweit dies für Produktsicherheit, Missbrauchsverhinderung, Fehleranalyse, Compliance oder Rechtsverteidigung erforderlich ist. Eine längere Speicherung erfolgt nur, soweit ein konkreter Sicherheitsvorfall, eine rechtliche Auseinandersetzung, eine behördliche Anfrage, gesetzliche Pflichten oder sonstige berechtigte Gründe dies erforderlich machen.

Soweit möglich und zweckmäßig, werden Daten gelöscht, anonymisiert oder auf das erforderliche Maß reduziert, sobald eine personenbezogene Speicherung nicht mehr erforderlich ist.

13. Pflicht zur Bereitstellung von Daten

Die Bereitstellung solcher personenbezogenen Daten, die für die Registrierung, Vertragsdurchführung, Zahlungsabwicklung, Sicherheit oder technische Bereitstellung erforderlich sind, ist für die Nutzung bestimmter Funktionen oder für den Abschluss eines Vertrags notwendig. Werden diese Daten nicht bereitgestellt, können wir das Nutzerkonto, bestimmte Funktionen oder kostenpflichtige Leistungen gegebenenfalls nicht oder nicht vollständig bereitstellen.

14. Automatisierte Entscheidungen im Einzelfall

Eine ausschließlich automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung findet durch uns derzeit grundsätzlich nicht statt, soweit wir nicht im Einzelfall ausdrücklich gesondert hierauf hinweisen. Die Tatsache, dass KI-basierte Inhalte generiert werden, stellt für sich genommen nicht automatisch eine Entscheidung im Sinne des Art. 22 DSGVO dar.

15. Rechte betroffener Personen

Betroffene Personen haben nach Maßgabe der gesetzlichen Vorschriften insbesondere folgende Rechte:

  • Recht auf Auskunft nach Art. 15 DSGVO,
  • Recht auf Berichtigung nach Art. 16 DSGVO,
  • Recht auf Löschung nach Art. 17 DSGVO,
  • Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO,
  • Recht auf Datenübertragbarkeit nach Art. 20 DSGVO,
  • Recht auf Widerspruch nach Art. 21 DSGVO,
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft, soweit eine Verarbeitung ausnahmsweise auf einer Einwilligung beruht,
  • Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.

Zur Ausübung dieser Rechte genügt eine Mitteilung an: datenschutz (at) kisy.io

16. Widerspruchsrecht nach Art. 21 DSGVO

Soweit wir personenbezogene Daten auf Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben betroffene Personen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen. Legen betroffene Personen Widerspruch ein, werden wir die betreffenden personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

17. Beschwerderecht bei einer Aufsichtsbehörde

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Zuständige Aufsichtsbehörde ist insbesondere:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
Deutschland

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung mit Wirkung für die Zukunft anzupassen, wenn dies aufgrund rechtlicher, technischer, regulatorischer oder organisatorischer Änderungen erforderlich wird oder wenn neue Dienstleistungen oder Verarbeitungsvorgänge eingeführt werden. Es gilt jeweils die zum Zeitpunkt des Besuchs oder der Nutzung abrufbare Fassung.