Datenschutz­erklärung Quitora-App

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten" bezeichnet) wir zu welchen Zwecken und in welchem Umfang im Rahmen der Bereitstellung unserer Anwendung verarbeiten.

Diese Datenschutzerklärung gilt für die Quitora-App. Die Quitora-App wird über zwei Kanäle ausgeliefert: als Mobile-App (iOS, später auch Android) über den jeweiligen Appstore sowie als Web-App über den Browser am PC für Nutzer ohne Mobilgerät. Soweit einzelne Verarbeitungen nur einen der beiden Auslieferungskanäle betreffen, ist dies an der jeweiligen Stelle gekennzeichnet.

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Hinweis zur Zielgruppe

Unsere Angebote richten sich ausschließlich an Personen ab 18 Jahren. Wir verarbeiten wissentlich keine personenbezogenen Daten von Minderjährigen. Sollten wir Kenntnis davon erlangen, dass eine minderjährige Person ein Konto angelegt hat, werden wir das Konto und die zugehörigen Daten unverzüglich löschen.

Stand: 3. Mai 2026

Inhaltsübersicht

  • Präambel
  • Verantwortlicher
  • Übersicht der Verarbeitungen
  • Maßgebliche Rechtsgrundlagen
  • Sicherheitsmaßnahmen
  • Übermittlung von personenbezogenen Daten
  • Internationale Datentransfers
  • Allgemeine Informationen zur Datenspeicherung und Löschung
  • Rechte der betroffenen Personen
  • Geschäftliche Leistungen
  • Geschäftsprozesse und -verfahren
  • Einsatz von Online-Plattformen zu Angebots- und Vertriebszwecken
  • Im Rahmen der Geschäftstätigkeit eingesetzte Anbieter und Services
  • Zahlungsverfahren
  • Bereitstellung des Onlineangebots und Webhosting
  • Verarbeitung von Daten im Rahmen von Applikationen (Apps)
  • Funktionen des Quitora-Programms
  • Bezug von Applikationen über Appstores
  • Registrierung, Anmeldung und Nutzerkonto
  • Kontakt- und Anfrageverwaltung
  • Künstliche Intelligenz (KI)
  • Notfall-Chat und Krisen-Hinweis
  • Cloud-Dienste
  • Änderung und Aktualisierung
  • Begriffsdefinitionen

Verantwortlicher

Quitora UG (haftungsbeschränkt)

Strelitzer Straße 24

10115 Berlin

Deutschland

Vertretungsberechtigte Person: Nico Stockmann

E-Mail-Adresse: hello@quitora.eu

Datenschutz-Kontakt: hello@quitora.eu

Impressum: https://quitora.eu/impressum/

Übersicht der Verarbeitungen

Arten der verarbeiteten Daten

  • Bestandsdaten.
  • Zahlungsdaten.
  • Kontaktdaten.
  • Inhaltsdaten (insbesondere Reflexions- und Chat-Eingaben).
  • Vertragsdaten.
  • Nutzungsdaten.
  • Meta-, Kommunikations- und Verfahrensdaten.
  • Protokolldaten.
  • Gesundheitsbezogene Inhalte (insbesondere Angaben zu Rauchverhalten, Trigger-Situationen, Krisenmomenten).

Kategorien betroffener Personen

  • Leistungsempfänger und Auftraggeber.
  • Beschäftigte.
  • Interessenten.
  • Kommunikationspartner.
  • Nutzer.
  • Geschäfts- und Vertragspartner.
  • Dritte Personen.
  • Kunden.

Zwecke der Verarbeitung

  • Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten.
  • KI-gestützte Reflexions- und Krisenbegleitung im Rahmen des Quitora-Programms.
  • Kommunikation.
  • Sicherheitsmaßnahmen.
  • Büro- und Organisationsverfahren.
  • Konversionsmessung.
  • Organisations- und Verwaltungsverfahren.
  • Feedback.
  • Marketing.
  • Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
  • Informationstechnische Infrastruktur.
  • Finanz- und Zahlungsmanagement.
  • Öffentlichkeitsarbeit.
  • Geschäftsprozesse und betriebswirtschaftliche Verfahren.
  • Künstliche Intelligenz (KI).

Maßgebliche Rechtsgrundlagen

Maßgebliche Rechtsgrundlagen nach der DSGVO: Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten. Bitte nehmen Sie zur Kenntnis, dass neben den Regelungen der DSGVO nationale Datenschutzvorgaben in Ihrem bzw. unserem Wohn- oder Sitzland gelten können. Sollten ferner im Einzelfall speziellere Rechtsgrundlagen maßgeblich sein, teilen wir Ihnen diese in der Datenschutzerklärung mit.

  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) - Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben.
  • Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) - Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO) - Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) - die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten notwendig, vorausgesetzt, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten verlangen, nicht überwiegen.
  • Verarbeitung besonderer Kategorien personenbezogener Daten mit ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a) DSGVO) - Die betroffene Person hat in die Verarbeitung von Daten besonderer Kategorien (insbesondere gesundheitsbezogener Inhalte) für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt. Diese Rechtsgrundlage gilt insbesondere für Inhalte aus Coach-Chat, Notfall-Chat und Challenge-Chat, soweit diese gesundheitsbezogene Informationen enthalten.

Nationale Datenschutzregelungen in Deutschland: Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling. Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung gelangen.

Hinweis auf Geltung DSGVO und Schweizer DSG: Diese Datenschutzhinweise dienen sowohl der Informationserteilung nach dem Schweizer DSG als auch nach der Datenschutzgrundverordnung (DSGVO). Aus diesem Grund bitten wir Sie zu beachten, dass aufgrund der breiteren räumlichen Anwendung und Verständlichkeit die Begriffe der DSGVO verwendet werden. Insbesondere statt der im Schweizer DSG verwendeten Begriffe „Bearbeitung" von „Personendaten", "überwiegendes Interesse" und "besonders schützenswerte Personendaten" werden die in der DSGVO verwendeten Begriffe „Verarbeitung" von „personenbezogenen Daten" sowie "berechtigtes Interesse" und "besondere Kategorien von Daten" verwendet. Die gesetzliche Bedeutung der Begriffe wird jedoch im Rahmen der Geltung des Schweizer DSG weiterhin nach dem Schweizer DSG bestimmt.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den Daten als auch des sie betreffenden Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der Daten gewährleisten. Ferner berücksichtigen wir den Schutz personenbezogener Daten bereits bei der Entwicklung bzw. Auswahl von Hardware, Software sowie Verfahren entsprechend dem Prinzip des Datenschutzes, durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Sicherung von Online-Verbindungen durch TLS-/SSL-Verschlüsselungstechnologie (HTTPS): Um die Daten der Nutzer, die über unsere Online-Dienste übertragen werden, vor unerlaubten Zugriffen zu schützen, setzen wir auf die TLS-/SSL-Verschlüsselungstechnologie. Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind die Eckpfeiler der sicheren Datenübertragung im Internet. Diese Technologien verschlüsseln die Informationen, die zwischen der Website oder App und dem Browser des Nutzers (oder zwischen zwei Servern) übertragen werden, wodurch die Daten vor unbefugtem Zugriff geschützt sind. TLS, als die weiterentwickelte und sicherere Version von SSL, gewährleistet, dass alle Datenübertragungen den höchsten Sicherheitsstandards entsprechen. Wenn eine Website durch ein SSL-/TLS-Zertifikat gesichert ist, wird dies durch die Anzeige von HTTPS in der URL signalisiert. Dies dient als ein Indikator für die Nutzer, dass ihre Daten sicher und verschlüsselt übertragen werden.

Übermittlung von personenbezogenen Daten

Im Rahmen unserer Verarbeitung von personenbezogenen Daten kommt es vor, dass diese an andere Stellen, Unternehmen, rechtlich selbstständige Organisationseinheiten oder Personen übermittelt beziehungsweise ihnen gegenüber offengelegt werden. Zu den Empfängern dieser Daten können z. B. mit IT-Aufgaben beauftragte Dienstleister gehören oder Anbieter von Diensten und Inhalten, die in eine Website eingebunden sind. In solchen Fällen beachten wir die gesetzlichen Vorgaben und schließen insbesondere entsprechende Verträge bzw. Vereinbarungen, die dem Schutz Ihrer Daten dienen, mit den Empfängern Ihrer Daten ab.

Internationale Datentransfers

Datenverarbeitung in Drittländern: Sofern wir Daten in ein Drittland (d. h. außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) übermitteln oder dies im Rahmen der Nutzung von Diensten Dritter oder der Offenlegung bzw. Übermittlung von Daten an andere Personen, Stellen oder Unternehmen geschieht (was erkennbar wird anhand der Postadresse des jeweiligen Anbieters oder wenn in der Datenschutzerklärung ausdrücklich auf den Datentransfer in Drittländer hingewiesen wird), erfolgt dies stets im Einklang mit den gesetzlichen Vorgaben.

Für Datenübermittlungen in die USA stützen wir uns vorrangig auf das Data Privacy Framework (DPF), welches durch einen Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 als sicherer Rechtsrahmen anerkannt wurde. Zusätzlich haben wir mit den jeweiligen Anbietern Standardvertragsklauseln abgeschlossen, die den Vorgaben der EU-Kommission entsprechen und vertragliche Verpflichtungen zum Schutz Ihrer Daten festlegen.

Diese zweifache Absicherung gewährleistet einen umfassenden Schutz Ihrer Daten: Das DPF bildet die primäre Schutzebene, während die Standardvertragsklauseln als zusätzliche Sicherheit dienen. Sollten sich Änderungen im Rahmen des DPF ergeben, greifen die Standardvertragsklauseln als zuverlässige Rückfalloption ein. So stellen wir sicher, dass Ihre Daten auch bei etwaigen politischen oder rechtlichen Veränderungen stets angemessen geschützt bleiben.

Bei den einzelnen Diensteanbietern informieren wir Sie darüber, ob sie nach dem DPF zertifiziert sind und ob Standardvertragsklauseln vorliegen. Weitere Informationen zum DPF und eine Liste der zertifizierten Unternehmen finden Sie auf der Website des US-Handelsministeriums unter https://www.dataprivacyframework.gov/ (in englischer Sprache).

Für Datenübermittlungen in andere Drittländer gelten entsprechende Sicherheitsmaßnahmen, insbesondere Standardvertragsklauseln, ausdrückliche Einwilligungen oder gesetzlich erforderliche Übermittlungen. Informationen zu Drittlandtransfers und geltenden Angemessenheitsbeschlüssen können Sie dem Informationsangebot der EU-Kommission entnehmen: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection_en?prefLang=de.

Allgemeine Informationen zur Datenspeicherung und Löschung

Wir löschen personenbezogene Daten, die wir verarbeiten, gemäß den gesetzlichen Bestimmungen, sobald die zugrundeliegenden Einwilligungen widerrufen werden oder keine weiteren rechtlichen Grundlagen für die Verarbeitung bestehen. Dies betrifft Fälle, in denen der ursprüngliche Verarbeitungszweck entfällt oder die Daten nicht mehr benötigt werden. Ausnahmen von dieser Regelung bestehen, wenn gesetzliche Pflichten oder besondere Interessen eine längere Aufbewahrung oder Archivierung der Daten erfordern.

Insbesondere müssen Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen oder deren Speicherung notwendig ist zur Rechtsverfolgung oder zum Schutz der Rechte anderer natürlicher oder juristischer Personen, entsprechend archiviert werden.

Konkrete Aufbewahrungsfristen für Quitora-Inhalte:

  • Coach-Chat-Inhalte (Tag 1–90): Speicherung bis zum Ende des laufenden Programms zuzüglich 30 Tage zur Nachbereitung. Anschließend automatische Löschung, sofern keine Anschlussnutzung erfolgt.
  • Notfall-Chat-Inhalte: Speicherung für höchstens 90 Tage nach Eintrag, anschließend automatische Löschung. Eine darüber hinausgehende Speicherung erfolgt nicht.
  • Challenge-Chat-Inhalte (ab Tag 91): Speicherung bis zum Ende des laufenden Anschlussprogramms zuzüglich 30 Tage. Anschließend automatische Löschung.
  • Tracker-Daten, Streak, Laufprogramm-Aktivitäten, Meditations-Aufrufe: Speicherung bis zur Löschung des Nutzerkontos durch die Nutzerin oder den Nutzer.
  • Account-Stammdaten: Speicherung bis zur Löschung des Nutzerkontos oder bis zu 12 Monaten Inaktivität (mit vorheriger Benachrichtigung).
  • Server-Logfiles und IP-Adressen: Speicherung für maximal 30 Tage, danach Löschung oder Anonymisierung.

Bei mehreren Angaben zur Aufbewahrungsdauer oder Löschungsfristen eines Datums ist stets die längste Frist maßgeblich.

Aufbewahrung und Löschung von Daten: Die folgenden allgemeinen Fristen gelten für die Aufbewahrung und Archivierung nach deutschem Recht:

  • 10 Jahre - Aufbewahrungsfrist für Bücher und Aufzeichnungen, Jahresabschlüsse, Inventare, Lageberichte, Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen (§ 147 Abs. 1 Nr. 1 i.V.m. Abs. 3 AO, § 14b Abs. 1 UStG, § 257 Abs. 1 Nr. 1 i.V.m. Abs. 4 HGB).
  • 8 Jahre - Buchungsbelege, wie z. B. Rechnungen und Kostenbelege (§ 147 Abs. 1 Nr. 4 und 4a i.V.m. Abs. 3 Satz 1 AO sowie § 257 Abs. 1 Nr. 4 i.V.m. Abs. 4 HGB).
  • 6 Jahre - Übrige Geschäftsunterlagen: empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe, sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind, z. B. Stundenlohnzettel, Betriebsabrechnungsbögen, Kalkulationsunterlagen, Preisauszeichnungen, aber auch Lohnabrechnungsunterlagen, soweit sie nicht bereits Buchungsbelege sind und Kassenstreifen (§ 147 Abs. 1 Nr. 2, 3, 5 i.V.m. Abs. 3 AO, § 257 Abs. 1 Nr. 2 u. 3 i.V.m. Abs. 4 HGB).
  • 3 Jahre - Daten, die erforderlich sind, um potenzielle Gewährleistungs- und Schadensersatzansprüche oder ähnliche vertragliche Ansprüche und Rechte zu berücksichtigen sowie damit verbundene Anfragen zu bearbeiten, basierend auf früheren Geschäftserfahrungen und üblichen Branchenpraktiken, werden für die Dauer der regulären gesetzlichen Verjährungsfrist von drei Jahren gespeichert (§§ 195, 199 BGB).

Fristbeginn mit Ablauf des Jahres: Beginnt eine Frist nicht ausdrücklich zu einem bestimmten Datum und beträgt sie mindestens ein Jahr, so startet sie automatisch am Ende des Kalenderjahres, in dem das fristauslösende Ereignis eingetreten ist. Im Fall laufender Vertragsverhältnisse, in deren Rahmen Daten gespeichert werden, ist das fristauslösende Ereignis der Zeitpunkt des Wirksamwerdens der Kündigung oder sonstige Beendigung des Rechtsverhältnisses.

Rechte der betroffenen Personen

Rechte der betroffenen Personen aus der DSGVO: Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

  • Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
  • Widerrufsrecht bei Einwilligungen: Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen. Bitte beachten Sie, dass ein Widerruf der Einwilligung in die KI-Verarbeitung zur Folge haben kann, dass das Programm in seiner KI-gestützten Form nicht mehr fortgesetzt werden kann.
  • Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
  • Recht auf Berichtigung: Sie haben entsprechend den gesetzlichen Vorgaben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
  • Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe der gesetzlichen Vorgaben eine Einschränkung der Verarbeitung der Daten zu verlangen. In der App steht Ihnen jederzeit eine Funktion zur vollständigen Löschung Ihres Kontos zur Verfügung.
  • Recht auf Datenübertragbarkeit: Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, nach Maßgabe der gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
  • Beschwerde bei Aufsichtsbehörde: Entsprechend den gesetzlichen Vorgaben und unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs, haben Sie ferner das Recht, bei einer Datenschutzaufsichtsbehörde, insbesondere einer Aufsichtsbehörde im Mitgliedstaat, in dem Sie sich gewöhnlich aufhalten, der Aufsichtsbehörde Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes, eine Beschwerde einzulegen, wenn Sie der Ansicht sei sollten, dass die Verarbeitung der Ihre Person betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Geschäftliche Leistungen

Wir verarbeiten personenbezogene Daten unserer Vertrags- und Geschäftspartner, etwa Kunden, Auftraggeber, Interessenten, Lieferanten und sonstige Kooperationspartner (zusammenfassend „Vertragspartner"), zur Anbahnung, Durchführung und Abwicklung von Vertragsverhältnissen sowie vergleichbaren Rechtsverhältnissen. Dies umfasst auch vorvertragliche Maßnahmen, die auf Anfrage erfolgen, sowie die Kommunikation im Zusammenhang mit dem jeweiligen Vertragsverhältnis.

Die Verarbeitung dient insbesondere der Erfüllung unserer vertraglichen Haupt- und Nebenpflichten. Hierzu zählen die Erbringung der vereinbarten Leistungen, etwaige Aktualisierungs- und Informationspflichten, die Bearbeitung von Gewährleistungs- und sonstigen Leistungsstörungen, die Abwicklung von Widerrufen, Kündigungen von Dauerschuldverhältnissen, Rückabwicklungen, Erstattungen sowie die Bearbeitung sonstiger vertragsbezogener Erklärungen und Anfragen. Erfasst sind sowohl einmalige Verträge als auch fortlaufende Vertragsbeziehungen.

Verarbeitet werden insbesondere Stammdaten wie Name, Anschrift und ggf. Firma, Kontaktdaten wie E-Mail-Adresse und Telefonnummer, Vertrags- und Leistungsdaten wie Vertragsgegenstand, Vertragslaufzeit, Bestell- oder Vorgangsnummer, Nutzungs- und Leistungsdaten, Zahlungs- und Abrechnungsdaten sowie Kommunikationsinhalte und -historien. Soweit erforderlich, verarbeiten wir auch Daten, die uns im Rahmen der Durchführung eines Auftrags offengelegt oder übermittelt werden.

Darüber hinaus verarbeiten wir die Daten zur Wahrung unserer Rechte sowie zur Erfüllung gesetzlicher Verpflichtungen. Dies umfasst insbesondere handels- und steuerrechtliche Aufbewahrungspflichten, Dokumentationspflichten sowie gegebenenfalls Nachweis- und Rechenschaftspflichten. Zudem erfolgt eine Verarbeitung auf Grundlage unserer berechtigten Interessen an einer ordnungsgemäßen Geschäftsführung, internen Verwaltung, Risikosteuerung und IT-Sicherheit sowie am Schutz unseres Geschäftsbetriebs und unserer Vertragspartner vor Missbrauch, Gefährdung von Daten, Geheimnissen und sonstigen Rechtsgütern. Hierzu kann auch die Einbindung externer Dienstleister wie IT- und Telekommunikationsanbieter, Transport- und Logistikunternehmen, Zahlungsdienstleister, Banken, Steuer- und Rechtsberater oder sonstige Erfüllungsgehilfen gehören, soweit dies für die Vertragsdurchführung oder zur Erfüllung gesetzlicher Pflichten erforderlich ist.

Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich, soweit dies zur Vertragserfüllung, zur Durchführung vorvertraglicher Maßnahmen, zur Wahrung berechtigter Interessen oder zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist. Über darüberhinausgehende Verarbeitungen, insbesondere zu Marketingzwecken, informieren wir gesondert im Rahmen dieser Datenschutzerklärung.

Welche Daten im Einzelfall erforderlich sind, teilen wir den Vertragspartnern im Rahmen der Datenerhebung mit, etwa in Onlineformularen durch entsprechende Kennzeichnung oder im persönlichen Kontakt.

Die Löschung der Daten erfolgt, sobald sie für die vorgenannten Zwecke nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Gesetzliche Aufbewahrungsfristen, insbesondere nach Handels- und Steuerrecht, können eine längere Speicherung erfordern. Daten, die im Rahmen eines konkreten Auftrags übermittelt wurden, löschen wir nach Abschluss des Auftrags und Ablauf etwaiger Aufbewahrungsfristen, sofern keine weiteren gesetzlichen oder vertraglichen Verpflichtungen zur Speicherung bestehen.

Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO zur Durchführung vorvertraglicher Maßnahmen und zur Erfüllung des jeweiligen Vertragsverhältnisses sowie Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung gesetzlicher Verpflichtungen. Soweit die Verarbeitung auf berechtigten Interessen beruht, erfolgt sie auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

  • Verarbeitete Datenarten: Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.); Zahlungsdaten (z. B. Bankverbindungen, Rechnungen, Zahlungshistorie); Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern). Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie).
  • Betroffene Personen: Leistungsempfänger und Auftraggeber; Interessenten. Geschäfts- und Vertragspartner.
  • Zwecke der Verarbeitung und berechtigte Interessen: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Kommunikation; Büro- und Organisationsverfahren; Organisations- und Verwaltungsverfahren. Geschäftsprozesse und betriebswirtschaftliche Verfahren.
  • Aufbewahrung und Löschung: Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".
  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO). Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

  • Bereitstellung mobiler Applikationen: Wir verarbeiten die Daten unserer Kunden und Nutzer (nachfolgend einheitlich als „Nutzer" bezeichnet), um ihnen gegenüber unsere vertraglichen Leistungen im Rahmen der Bereitstellung und des Betriebs unserer mobilen Applikationen erbringen zu können sowie auf Grundlage berechtigter Interessen, um die Sicherheit, Verfügbarkeit und Weiterentwicklung unseres Angebotes gewährleisten zu können. Die erforderlichen Angaben sind als solche im Rahmen des Auftrags-, Bestell- bzw. vergleichbaren Vertragsschlusses gekennzeichnet und umfassen die zur Leistungserbringung und Abrechnung benötigten Angaben sowie Kontaktinformationen, um etwaige Rücksprachen halten zu können; Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
  • Bereitstellung von Software und Plattformen: Wir verarbeiten die Daten unserer Kunden und Nutzer, um ihnen gegenüber unsere vertraglichen Leistungen erbringen zu können sowie auf Grundlage berechtigter Interessen, um die Sicherheit unseres Angebotes gewährleisten und es weiterentwickeln zu können; Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
  • Geräteberechtigungen für den Zugriff auf Funktionen und Daten: Die Nutzung unserer Applikation oder ihrer Funktionalitäten kann Berechtigungen der Nutzer für Zugriff auf bestimmte Funktionen der verwendeten Geräte voraussetzen (z. B. für Audio-Wiedergabe von Meditationen). Standardmäßig müssen diese Berechtigungen von den Nutzern erteilt werden und können jederzeit in den Einstellungen der jeweiligen Geräte widerrufen werden. Wir weisen darauf hin, dass die Versagung oder Widerruf der jeweiligen Berechtigungen die Funktionsfähigkeit unserer Applikation beeinflussen kann.

Geschäftsprozesse und -verfahren

Personenbezogene Daten von Leistungsempfängern und Auftraggebern – darunter Kunden – werden im Rahmen vertraglicher sowie vergleichbarer Rechtsverhältnisse und vorvertraglicher Maßnahmen wie der Anbahnung von Geschäftsbeziehungen verarbeitet. Diese Datenverarbeitung unterstützt und erleichtert betriebswirtschaftliche Abläufe in Bereichen wie Kundenmanagement, Vertrieb, Zahlungsverkehr, Buchhaltung und Projektmanagement.

Die erfassten Daten dienen dazu, vertragliche Verpflichtungen zu erfüllen und betriebliche Prozesse effizient zu gestalten. Hierzu gehört die Abwicklung von Geschäftstransaktionen, das Management von Kundenbeziehungen, die Optimierung von Vertriebsstrategien sowie die Gewährleistung interner Rechnungs- und Finanzprozesse. Zusätzlich unterstützen die Daten die Wahrung der Rechte des Verantwortlichen und fördern Verwaltungsaufgaben sowie die Organisation des Unternehmens.

Personenbezogene Daten können an Dritte weitergegeben werden, sofern dies zur Erfüllung der genannten Zwecke oder gesetzlicher Verpflichtungen notwendig ist. Nach Ablauf gesetzlicher Aufbewahrungsfristen oder wenn der Zweck der Verarbeitung entfällt, werden die Daten gelöscht. Dies umfasst auch Daten, die aufgrund von steuerrechtlichen und gesetzlichen Nachweispflichten länger gespeichert werden müssen.

  • Verarbeitete Datenarten: Bestandsdaten (z. B. der vollständige Name, Wohnadresse, Kontaktinformationen, Kundennummer, etc.); Zahlungsdaten (z. B. Bankverbindungen, Rechnungen, Zahlungshistorie); Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge); Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie); Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen). Protokolldaten.
  • Betroffene Personen: Leistungsempfänger und Auftraggeber; Interessenten; Kommunikationspartner; Geschäfts- und Vertragspartner; Beschäftigte; Dritte Personen. Kunden.
  • Zwecke der Verarbeitung und berechtigte Interessen: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Büro- und Organisationsverfahren; Geschäftsprozesse und betriebswirtschaftliche Verfahren; Informationstechnische Infrastruktur; Finanz- und Zahlungsmanagement. Kommunikation.
  • Aufbewahrung und Löschung: Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".
  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO). Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

  • Kundenmanagement und Customer-Relationship-Management (CRM): Verfahren, die im Rahmen des Kundenmanagements und Customer-Relationship-Managements (CRM) erforderlich sind (z. B. Kundenakquisition unter Einhaltung der Datenschutzvorgaben, Maßnahmen zur Förderung von Kundenbindung und -loyalität, effektive Kundenkommunikation, Beschwerdemanagement und Kundenservice mit Berücksichtigung des Datenschutzes); Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
  • Allgemeiner Zahlungsverkehr: Verfahren, die bei der Durchführung von Zahlungsvorgängen, der Überwachung von Bankkonten und der Kontrolle von Zahlungsströmen erforderlich sind; Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Einsatz von Online-Plattformen zu Angebots- und Vertriebszwecken

Wir bieten unsere Leistungen auf Online-Plattformen, die von anderen Dienstanbietern betrieben werden, an. In diesem Zusammenhang gelten zusätzlich zu unseren Datenschutzhinweisen die Datenschutzhinweise der jeweiligen Plattformen. Dies gilt insbesondere im Hinblick auf die Durchführung des Zahlungsvorgangs und der auf den Plattformen eingesetzten Verfahren zur Reichweitemessung und zum interessensbezogenen Marketing.

  • Verarbeitete Datenarten: Bestandsdaten; Zahlungsdaten; Kontaktdaten; Vertragsdaten; Nutzungsdaten. Meta-, Kommunikations- und Verfahrensdaten.
  • Betroffene Personen: Leistungsempfänger und Auftraggeber. Geschäfts- und Vertragspartner.
  • Zwecke der Verarbeitung und berechtigte Interessen: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Marketing. Geschäftsprozesse und betriebswirtschaftliche Verfahren.
  • Aufbewahrung und Löschung: Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".
  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO). Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

Im Rahmen der Geschäftstätigkeit eingesetzte Anbieter und Services

Im Rahmen unserer Geschäftstätigkeit nutzen wir unter Beachtung der gesetzlichen Vorgaben zusätzliche Dienste, Plattformen, Schnittstellen oder Plug-ins von Drittanbietern (kurz "Dienste"). Deren Nutzung beruht auf unseren Interessen an einer ordnungsgemäßen, rechtmäßigen und wirtschaftlichen Führung unseres Geschäftsbetriebs und unserer internen Organisation.

  • Verarbeitete Datenarten: Bestandsdaten; Zahlungsdaten; Kontaktdaten; Inhaltsdaten. Vertragsdaten.
  • Betroffene Personen: Leistungsempfänger und Auftraggeber; Interessenten; Geschäfts- und Vertragspartner. Beschäftigte.
  • Zwecke der Verarbeitung und berechtigte Interessen: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Büro- und Organisationsverfahren. Geschäftsprozesse und betriebswirtschaftliche Verfahren.
  • Aufbewahrung und Löschung: Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

Zahlungsverfahren

Im Rahmen von Vertrags- und sonstigen Rechtsbeziehungen, aufgrund gesetzlicher Pflichten oder sonst auf Grundlage unserer berechtigten Interessen bieten wir den betroffenen Personen effiziente und sichere Zahlungsmöglichkeiten an. Quitora unterscheidet dabei zwei Zahlungswege:

Mobile-App (iOS, später Android): Die Abrechnung erfolgt ausschließlich über die Zahlungsabwicklung des jeweiligen Appstores (Apple In-App-Purchase, ggf. später Google Play Billing). Wir erhalten dabei lediglich Bestätigungen über erfolgte Zahlungen sowie Transaktions-IDs; konto- oder kreditkartenbezogene Daten werden uns nicht offengelegt.

Web-Zugang (Nutzung von Quitora ausschließlich über den Browser am PC ohne Mobile-App): Die Abrechnung erfolgt über den Zahlungsdienstleister Stripe. Stripe verarbeitet dabei Zahlungsdaten (insbesondere Kreditkarten- bzw. Bankverbindungsdaten) eigenständig in seiner Rolle als Zahlungsdienstleister. Wir erhalten lediglich Bestätigungen über erfolgte Zahlungen sowie Transaktions-IDs; konto- oder kreditkartenbezogene Daten werden uns nicht offengelegt.

Für die Zahlungsabwicklung gelten zusätzlich die Geschäftsbedingungen und die Datenschutzhinweise der jeweiligen Anbieter.

  • Verarbeitete Datenarten: Bestandsdaten; Zahlungsdaten; Vertragsdaten; Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten. Kontaktdaten.
  • Betroffene Personen: Leistungsempfänger und Auftraggeber; Geschäfts- und Vertragspartner. Interessenten.
  • Zwecke der Verarbeitung und berechtigte Interessen: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Geschäftsprozesse und betriebswirtschaftliche Verfahren. Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
  • Aufbewahrung und Löschung: Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".
  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO). Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

  • RevenueCat: Verwaltung von Abonnements (regelmäßige Zahlungen) und Integration mit App-Stores zur Automatisierung der Zahlungsabwicklung; Dienstanbieter: RevenueCat, Inc., 1032 E Brandon Blvd #3003, Brandon, FL 33511, USA; Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Website: https://www.revenuecat.com/. Datenschutzerklärung: https://www.revenuecat.com/privacy/. Grundlage Drittlandtransfers: Standardvertragsklauseln, Auftragsverarbeitungsvertrag.
  • Stripe (Web-Zahlungen für Nutzer ohne Mobile-App): Zahlungsdienstleistungen (technische Anbindung von Online-Bezahlmethoden, Verarbeitung von Kreditkarten- und Bankverbindungsdaten); Dienstanbieter: Stripe Payments Europe Ltd. (für EU/EWR), The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland (Vertragspartner) sowie Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA (Konzernmutter); Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Website: https://stripe.com. Datenschutzerklärung: https://stripe.com/de/privacy. Grundlage Drittlandtransfers: Data Privacy Framework (DPF), Standardvertragsklauseln.

Bereitstellung der Web-App und Hosting

Für Nutzer, die Quitora als Web-App über den Browser am PC verwenden, verarbeiten wir die Daten, die zur Auslieferung der Web-App erforderlich sind. Zu diesem Zweck verarbeiten wir die IP-Adresse des Nutzers, die notwendig ist, um die Inhalte und Funktionen der Web-App an den Browser zu übermitteln.

  • Verarbeitete Datenarten: Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben). Protokolldaten (z. B. Logfiles betreffend Logins).
  • Betroffene Personen: Nutzer der Web-App.
  • Zwecke der Verarbeitung und berechtigte Interessen: Bereitstellung der Web-App und Nutzerfreundlichkeit; Informationstechnische Infrastruktur. Sicherheitsmaßnahmen.
  • Aufbewahrung und Löschung: Logfile-Informationen werden für die Dauer von maximal 30 Tagen gespeichert und danach gelöscht oder anonymisiert.
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

  • ALL-INKL: Leistungen auf dem Gebiet der Bereitstellung von informationstechnischer Infrastruktur und verbundenen Dienstleistungen (z. B. Speicherplatz und/oder Rechenkapazitäten); Dienstanbieter: ALL-INKL.COM – Neue Medien Münnich, Inhaber: René Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland; Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Website: https://all-inkl.com/. Datenschutzerklärung: https://all-inkl.com/datenschutzinformationen/. Auftragsverarbeitungsvertrag: Wird vom Dienstanbieter bereitgestellt.

Verarbeitung von Daten im Rahmen von Applikationen (Apps)

Wir verarbeiten die Daten der Nutzer unserer Applikation, soweit diese erforderlich sind, um den Nutzern die Applikation sowie deren Funktionalitäten bereitstellen, deren Sicherheit überwachen und sie weiterentwickeln zu können. Wir können ferner Nutzer unter Beachtung der gesetzlichen Vorgaben kontaktieren, sofern die Kommunikation zu Zwecken der Administration oder Nutzung der Applikation erforderlich ist. Im Übrigen verweisen wir im Hinblick auf die Verarbeitung der Daten der Nutzer auf die Datenschutzhinweise in dieser Datenschutzerklärung.

Rechtsgrundlagen: Die Verarbeitung von Daten, die für die Bereitstellung der Funktionalitäten der Applikation erforderlich ist, dient der Erfüllung von vertraglichen Pflichten. Dies gilt auch, wenn die Bereitstellung der Funktionen eine Berechtigung der Nutzer (z. B. Freigaben von Gerätefunktionen) voraussetzt. Sofern die Verarbeitung von Daten für die Bereitstellung der Funktionalitäten der Applikation nicht erforderlich ist, aber der Sicherheit der Applikation oder unseren betriebswirtschaftlichen Interessen dient (z. B. Erhebung von Daten zu Zwecken der Optimierung der Applikation oder Sicherheitszwecken), erfolgt sie auf Grundlage unserer berechtigten Interessen. Sofern Nutzer ausdrücklich um deren Einwilligung in die Verarbeitung ihrer Daten gebeten werden, erfolgt die Verarbeitung der von der Einwilligung umfassten Daten auf Grundlage der Einwilligung.

  • Verarbeitete Datenarten: Bestandsdaten; Nutzungsdaten; Meta-, Kommunikations- und Verfahrensdaten; Zahlungsdaten. Vertragsdaten.
  • Betroffene Personen: Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten).
  • Zwecke der Verarbeitung und berechtigte Interessen: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Sicherheitsmaßnahmen. Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
  • Aufbewahrung und Löschung: Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".
  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO). Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

  • Kommerzielle Nutzung: Wir verarbeiten die Daten der Nutzer unserer Applikation, angemeldeter und etwaiger Testnutzer (nachfolgend einheitlich als "Nutzer" bezeichnet), um ihnen gegenüber unsere vertraglichen Leistungen erbringen zu können sowie auf Grundlage berechtigter Interessen, um die Sicherheit unserer Applikation gewährleisten und sie weiterzuentwickeln zu können; Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).
  • Geräteberechtigungen für den Zugriff auf Funktionen und Daten: Die Nutzung unserer Applikation oder ihrer Funktionalitäten kann Berechtigungen der Nutzer für Zugriff auf bestimmte Funktionen der verwendeten Geräte voraussetzen (z. B. für Audio-Wiedergabe von Meditationen). Standardmäßig müssen diese Berechtigungen von den Nutzern erteilt werden und können jederzeit in den Einstellungen der jeweiligen Geräte widerrufen werden. Wir weisen darauf hin, dass die Versagung oder Widerruf der jeweiligen Berechtigungen die Funktionsfähigkeit unserer Applikation beeinflussen kann.
  • Kein Standortverlauf und keine Bewegungsprofile: Standortdaten werden nicht verarbeitet. Die App erstellt keinen Standortverlauf und kein Bewegungsprofil der verwendeten Geräte oder ihrer Nutzer.

Funktionen des Quitora-Programms

Im Rahmen der Quitora-App stellen wir unseren Nutzern ein strukturiertes Programm zur Verhaltensänderung mit dem Ziel des Rauchstopps zur Verfügung. Das Programm umfasst eine Grundphase von 90 Tagen sowie ein optionales Anschlussprogramm. Die folgenden Funktionen erheben und verarbeiten dabei personenbezogene Daten:

Tägliche Lessons und Reflexionsfragen: Die Nutzer erhalten täglich einen Leseinhalt (Lesson) zur Auseinandersetzung mit dem eigenen Rauchverhalten. Im Anschluss werden ihnen Reflexionsfragen gestellt, die im Coach-Chat beantwortet werden. Die Reflexionsantworten der Nutzer werden gespeichert und im Rahmen der KI-gestützten Begleitung verarbeitet (siehe Abschnitt „Künstliche Intelligenz").

Coach-Chat (Tag 1 bis 90): Im Coach-Chat können die Nutzer ihre Reflexionsantworten formulieren und erhalten KI-gestützte Rückmeldungen zur Vertiefung der Auseinandersetzung mit ihrem Rauchverhalten. Die Inhalte des Coach-Chats werden gespeichert und an Anthropic PBC übermittelt (siehe Abschnitt „Künstliche Intelligenz"). Da die Inhalte typischerweise gesundheitsbezogene Informationen zum Rauch- und Suchtverhalten enthalten, holen wir vor der ersten Nutzung des Coach-Chats Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO ein.

Notfall-Chat (ab Tag 61): Ab Tag 61 des Programms steht den Nutzern ein Notfall-Chat zur Verfügung, der zur Begleitung in akuten Risikosituationen oder Krisenmomenten dient. Die Inhalte des Notfall-Chats werden gespeichert und an Anthropic PBC übermittelt (siehe Abschnitt „Künstliche Intelligenz"). Aufgrund der besonderen Sensibilität dieser Inhalte gelten erhöhte Schutzmaßnahmen sowie eine verkürzte Speicherdauer (90 Tage nach Eintrag, anschließend automatische Löschung). Vor der ersten Nutzung holen wir Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO ein. Bitte beachten Sie zusätzlich den Abschnitt „Notfall-Chat und Krisen-Hinweis".

Challenge-Chat (ab Tag 91, im Anschlussprogramm): Im Anschlussprogramm ab Tag 91 können Nutzer an wöchentlichen Challenges teilnehmen. Im zugehörigen Challenge-Chat werden die jeweils aktive Wochenaufgabe und die individuellen Erfahrungen der Nutzerin oder des Nutzers reflektiert. Die Inhalte werden gespeichert und an Anthropic PBC übermittelt (siehe Abschnitt „Künstliche Intelligenz"). Auch hier holen wir vor der ersten Nutzung Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO ein.

Rauchfrei-Tracker und Streak (ab Tag 61): Im Rauchfrei-Tracker dokumentieren die Nutzer ihre rauchfreien Tage. Die Streak-Funktion zählt die ununterbrochenen rauchfreien Tage seit dem Tag der letzten Zigarette (Tag 60) bzw. seit der letzten manuellen Zurücksetzung. Diese Daten werden ausschließlich auf Anfrage der Nutzerin oder des Nutzers eingetragen und für die Dauer des Nutzerkontos gespeichert.

Laufprogramm: Das Laufprogramm bietet den Nutzern Anleitungen zu sportlicher Betätigung im Kontext des Rauchstopps. Erfasst werden lediglich die manuell eingetragenen Aktivitätsabschlüsse („Einheit absolviert"). Standortdaten, GPS-Tracking oder Sensordaten werden nicht verarbeitet.

Audio-Meditationen: Im Bereich Audio-Meditationen stehen den Nutzern angeleitete Meditationseinheiten zur Verfügung. Erfasst wird, welche Meditation wann abgerufen wurde, um die persönliche Übersicht im Nutzerkonto darzustellen. Eine inhaltliche Aufzeichnung erfolgt nicht.

Impuls-Übungen: Im Bereich Impuls-Übungen stehen den Nutzern Kurzübungen zur Auseinandersetzung mit dem Rauchverhalten zur Verfügung. Erfasst wird, welche Übung wann abgerufen wurde.

  • Verarbeitete Datenarten: Inhaltsdaten (Reflexions- und Chat-Eingaben, gesundheitsbezogene Inhalte zum Rauch- und Suchtverhalten); Nutzungsdaten (Lesson-Aufrufe, Tracker-Eingaben, Meditations-Aufrufe, Laufprogramm-Aktivitäten); Vertragsdaten (Tag im Programm, Programmphase).
  • Betroffene Personen: Nutzer.
  • Zwecke der Verarbeitung und berechtigte Interessen: Erbringung vertraglicher Leistungen (Programmdurchführung); KI-gestützte Reflexions- und Krisenbegleitung; Verhaltensänderungsunterstützung im Rahmen des Quitora-Programms.
  • Aufbewahrung und Löschung: Konkrete Fristen siehe Abschnitt „Allgemeine Informationen zur Datenspeicherung und Löschung". Notfall-Chat-Inhalte werden 90 Tage nach Eintrag automatisch gelöscht.
  • Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) sowie ausdrückliche Einwilligung in die Verarbeitung gesundheitsbezogener Inhalte (Art. 9 Abs. 2 lit. a) DSGVO).

Bezug von Applikationen über Appstores

Der Bezug unserer Applikation erfolgt über spezielle Online-Plattformen, die von anderen Dienstanbietern betrieben werden, sogenannte "Appstores". In diesem Zusammenhang gelten zusätzlich zu unseren Datenschutzhinweisen die Datenschutzhinweise der jeweiligen Appstores. Dies gilt insbesondere im Hinblick auf die auf den Plattformen eingesetzten Verfahren zur Reichweitemessung und zum interessensbezogenen Marketing sowie etwaige Kostenpflicht.

  • Verarbeitete Datenarten: Bestandsdaten; Zahlungsdaten; Kontaktdaten; Vertragsdaten; Nutzungsdaten. Meta-, Kommunikations- und Verfahrensdaten.
  • Betroffene Personen: Leistungsempfänger und Auftraggeber. Nutzer.
  • Zwecke der Verarbeitung und berechtigte Interessen: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten. Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
  • Aufbewahrung und Löschung: Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

Registrierung, Anmeldung und Nutzerkonto

Nutzer können ein Nutzerkonto anlegen. Im Rahmen der Registrierung werden den Nutzern die erforderlichen Pflichtangaben mitgeteilt und zu Zwecken der Bereitstellung des Nutzerkontos auf Grundlage vertraglicher Pflichterfüllung verarbeitet. Zu den verarbeiteten Daten gehören insbesondere die Login-Informationen (Pseudonym/Benutzername, Passwort sowie eine E-Mail-Adresse).

Bei der Registrierung holen wir zudem Ihre Einwilligungen in die Verarbeitung gesundheitsbezogener Inhalte (Art. 9 Abs. 2 lit. a DSGVO) sowie in die KI-gestützte Verarbeitung Ihrer Eingaben durch Anthropic PBC ein. Ohne diese Einwilligungen kann das Programm nicht durchgeführt werden.

Im Rahmen der Inanspruchnahme unserer Registrierungs- und Anmeldefunktionen sowie der Nutzung des Nutzerkontos speichern wir die IP-Adresse und den Zeitpunkt der jeweiligen Nutzerhandlung. Die Speicherung erfolgt auf Grundlage unserer berechtigten Interessen als auch jener der Nutzer an einem Schutz vor Missbrauch und sonstiger unbefugter Nutzung. Eine Weitergabe dieser Daten an Dritte erfolgt grundsätzlich nicht, es sei denn, sie ist zur Verfolgung unserer Ansprüche erforderlich oder es besteht eine gesetzliche Verpflichtung hierzu.

Die Nutzer können über Vorgänge, die für deren Nutzerkonto relevant sind, wie z. B. technische Änderungen, per E-Mail informiert werden.

  • Verarbeitete Datenarten: Bestandsdaten; Kontaktdaten; Inhaltsdaten; Nutzungsdaten. Protokolldaten.
  • Betroffene Personen: Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten).
  • Zwecke der Verarbeitung und berechtigte Interessen: Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten; Sicherheitsmaßnahmen; Organisations- und Verwaltungsverfahren. Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
  • Aufbewahrung und Löschung: Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung". Löschung nach Kündigung.
  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO). Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

  • Registrierung mit Pseudonymen: Nutzer dürfen statt Klarnamen Pseudonyme als Nutzernamen verwenden; Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).
  • Profile der Nutzer sind nicht öffentlich: Die Profile der Nutzer sind öffentlich nicht sichtbar und nicht zugänglich.
  • Account-Löschung in der App: In den Einstellungen der App steht eine Funktion zur vollständigen Löschung des Nutzerkontos und der zugehörigen Daten zur Verfügung. Vorbehaltlich gesetzlicher Aufbewahrungspflichten werden alle personenbezogenen Daten unwiederbringlich gelöscht.
  • Löschung von Daten nach Kündigung: Wenn Nutzer ihr Nutzerkonto gekündigt haben, werden deren Daten im Hinblick auf das Nutzerkonto, vorbehaltlich einer gesetzlichen Erlaubnis, Pflicht oder Einwilligung der Nutzer, gelöscht; Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).
  • Keine Aufbewahrungspflicht für Daten: Es obliegt den Nutzern, ihre Daten bei erfolgter Kündigung vor dem Vertragsende zu sichern. Wir sind berechtigt, sämtliche während der Vertragsdauer gespeicherte Daten des Nutzers unwiederbringlich zu löschen; Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).

Kontakt- und Anfrageverwaltung

Bei der Kontaktaufnahme mit uns (z. B. per Post, Kontaktformular, E-Mail, Telefon oder via soziale Medien) sowie im Rahmen bestehender Nutzer- und Geschäftsbeziehungen werden die Angaben der anfragenden Personen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist.

  • Verarbeitete Datenarten: Kontaktdaten (z. B. Post- und E-Mail-Adressen oder Telefonnummern); Inhaltsdaten (z. B. textliche oder bildliche Nachrichten und Beiträge sowie die sie betreffenden Informationen, wie z. B. Angaben zur Autorenschaft oder Zeitpunkt der Erstellung). Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, beteiligte Personen).
  • Betroffene Personen: Kommunikationspartner.
  • Zwecke der Verarbeitung und berechtigte Interessen: Kommunikation; Organisations- und Verwaltungsverfahren; Feedback (z. B. Sammeln von Feedback via Online-Formular). Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
  • Aufbewahrung und Löschung: Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO). Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

  • Kontaktformular: Bei Kontaktaufnahme über unser Kontaktformular, per E-Mail oder anderen Kommunikationswegen, verarbeiten wir die uns übermittelten personenbezogenen Daten zur Beantwortung und Bearbeitung des jeweiligen Anliegens. Dies umfasst in der Regel Angaben wie Name, Kontaktinformationen und gegebenenfalls weitere Informationen, die uns mitgeteilt werden und zur angemessenen Bearbeitung erforderlich sind. Wir nutzen diese Daten ausschließlich für den angegebenen Zweck der Kontaktaufnahme und Kommunikation; Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Künstliche Intelligenz (KI)

Wir setzen Künstliche Intelligenz (KI) als zentralen Bestandteil unseres Programms ein, um den Nutzern eine reflexive Begleitung und Unterstützung im Rauchstopp-Prozess zu bieten. Unter „KI" verstehen wir entsprechend dem Begriff eines „KI-Systems" gemäß Artikel 3 Nr. 1 der KI-Verordnung ein maschinengestütztes System, das aus den erhaltenen Eingaben Ergebnisse wie Vorhersagen, Inhalte oder Empfehlungen hervorbringen kann.

Unsere KI-Systeme werden unter strikter Beachtung der gesetzlichen Vorgaben eingesetzt. Diese umfassen sowohl spezifische Regelungen für Künstliche Intelligenz als auch Datenschutzvorgaben. Wir halten insbesondere die Prinzipien der Rechtmäßigkeit, Transparenz, Fairness, menschlichen Kontrolle, Zweckbindung, Datenminimierung sowie Vertraulichkeit ein. Wir stellen sicher, dass die Verarbeitung personenbezogener Daten stets auf einer rechtlichen Grundlage erfolgt – im Quitora-Kontext sind dies die Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO sowie Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO für die Verarbeitung gesundheitsbezogener Inhalte.

Bei der Nutzung externer KI-Systeme wählen wir deren Anbieter sorgfältig aus. Entsprechend unseren gesetzlichen Pflichten stellen wir sicher, dass die KI-Anbieter die geltenden Bestimmungen einhalten. Wir haben mit unserem KI-Anbieter einen Auftragsverarbeitungsvertrag (DPA) sowie Standardvertragsklauseln abgeschlossen.

  • Verarbeitete Datenarten: Inhaltsdaten (Reflexions- und Chat-Eingaben der Nutzer, einschließlich gesundheitsbezogener Inhalte zum Rauch- und Suchtverhalten); Nutzungsdaten (Aufrufe der Chat-Funktionen, Zeitstempel).
  • Betroffene Personen: Nutzer.
  • Zwecke der Verarbeitung und berechtigte Interessen: KI-gestützte Reflexions-, Challenge- und Krisenbegleitung im Rahmen des Quitora-Programms; Bereitstellung der vertraglich zugesicherten KI-Funktionen.
  • Aufbewahrung und Löschung: Coach-Chat-Inhalte: bis Programmende + 30 Tage. Notfall-Chat-Inhalte: 90 Tage nach Eintrag, anschließend automatische Löschung. Challenge-Chat-Inhalte: bis Anschlussprogrammende + 30 Tage.
  • Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) sowie ausdrückliche Einwilligung in die Verarbeitung gesundheitsbezogener Daten (Art. 9 Abs. 2 lit. a) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

  • Claude API (Anthropic): Wir nutzen die Claude API von Anthropic PBC für drei Verarbeitungskontexte im Rahmen des Quitora-Programms: (a) im täglichen Coach-Chat (Tag 1–90) zur reflektiven Begleitung der Lesson-Inhalte und der Auseinandersetzung mit dem eigenen Rauchverhalten; (b) im Notfall-Chat (ab Tag 61) zur unterstützenden Begleitung in akuten Risikosituationen und Krisenmomenten; (c) im Chat der wöchentlichen Challenges (ab Tag 91, im Anschlussprogramm) zur Reflexion der jeweils aktiven Wochenaufgabe.In allen drei Kontexten werden die folgenden Daten an Anthropic übermittelt und dort zur Erzeugung der jeweiligen Antwort verarbeitet:- Die Eingaben der Nutzer (Reflexionsantworten, Schilderungen des Rauch- und Suchtverhaltens, Trigger-Situationen, Kriseninhalte).
    - Der aktuelle Tag im Programm (Tag-Stand 1–90 bzw. Anschlussprogramm-Woche), damit die KI den jeweiligen Lesson-Bezug und Verlauf berücksichtigen kann.
    - Bei Bedarf für eine personalisierte Antwort: ausgewählte Onboarding-Angaben der Nutzer zu ihrem bisherigen Rauchverhalten (Dauer des Rauchens in Lebensjahren, durchschnittlicher Konsum pro Tag, Preis pro Packung in der gewählten Währung) sowie das daraus berechnete gesparte Geld seit Tag 60. Diese Angaben dienen ausschließlich der individuellen Kalibrierung der KI-Antwort (z. B. Tonfall, Zeitbezug, finanzielle Anker) und werden nicht zu weiteren Zwecken verarbeitet.In allen drei Kontexten werden die folgenden Daten an Anthropic übermittelt und dort zur Erzeugung der jeweiligen Antwort verarbeitet:
    • Die Eingaben der Nutzer (Reflexionsantworten, Schilderungen des Rauch- und Suchtverhaltens, Trigger-Situationen, Kriseninhalte).
    • Der aktuelle Tag im Programm (Tag-Stand 1-90 bzw. Anschlussprogramm-Woche), damit die KI den jeweiligen Lesson-Bezug und Verlauf berücksichtigen kann.
    • Bei Bedarf für eine personalisierte Antwort: ausgewählte Onboarding-Angaben der Nutzer zu ihrem bisherigen Rauchverhalten (Dauer des Rauchens in Lebensjahren, durchschnittlicher Konsum pro Tag, Preis pro Packung in der gewählten Währung) sowie das daraus berechnete gesparte Geld seit Tag 60. Diese Angaben dienen ausschließlich der individuellen Kalibrierung der KI-Antwort (z. B. Tonfall, Zeitbezug, finanzielle Anker) und werden nicht zu weiteren Zwecken verarbeitet.

    Es werden ausdrücklich keine Klarnamen, E-Mail-Adressen, IP-Adressen, Passwörter, Zahlungsdaten oder weitere Account-Stammdaten an Anthropic übermittelt. Die Verknüpfung mit dem Nutzerkonto erfolgt ausschließlich über eine pseudonyme, intern zugeordnete Kennung.

    Die übermittelten Inhalte werden von Anthropic ausschließlich zur Erzeugung der Antwort verarbeitet und nicht zum Training oder zur Weiterentwicklung der KI-Modelle verwendet (Zero-Retention für Trainingszwecke gemäß Anthropic Commercial Terms). Anthropic verarbeitet die Daten ferner zur Sicherstellung der Dienstequalität, zur Identifikation und Behebung technischer Fehler sowie zur Gewährleistung der Sicherheit und Integrität der KI-Dienste; eine darüber hinausgehende Nutzung findet nicht statt; Dienstanbieter: Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA; Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO; die KI-gestützte Reflexions-, Challenge- und Krisenbegleitung ist Kernbestandteil des gebuchten Programms) sowie ausdrückliche Einwilligung in die Verarbeitung gesundheitsbezogener Inhalte (Art. 9 Abs. 2 lit. a DSGVO). Die Einwilligung wird beim Onboarding gesondert eingeholt und kann jederzeit mit Wirkung für die Zukunft widerrufen werden; ein Widerruf führt zur Beendigung der KI-gestützten Programmbestandteile; Website: https://www.anthropic.com/; Datenschutzerklärung: https://www.anthropic.com/legal/privacy; Auftragsverarbeitungsvertrag (DPA): https://www.anthropic.com/legal/data-processing-addendum; Grundlage Drittlandtransfers: EU-US Data Privacy Framework (Anthropic PBC ist als zertifizierte Organisation gelistet, abrufbar unter https://www.dataprivacyframework.gov) sowie ergänzend Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914, vereinbart im Auftragsverarbeitungsvertrag mit Anthropic.

Notfall-Chat und Krisen-Hinweis

Quitora ist kein Medizinprodukt und ersetzt weder ärztliche, psychotherapeutische noch psychologische Beratung oder Behandlung. Der Notfall-Chat innerhalb der Quitora-App dient der unterstützenden Begleitung in Risikosituationen im Kontext des Rauchstopps; er ist kein Notfall- oder Krisendienst.

Bei akuten gesundheitlichen oder psychischen Beschwerden wenden Sie sich bitte unverzüglich an einen Arzt, einen psychotherapeutischen Bereitschaftsdienst oder den Notruf in Ihrem Land. Innerhalb der Europäischen Union, der Schweiz und Liechtenstein gilt einheitlich der europäische Notruf 112.

Folgende Krisen- und Beratungsdienste sind in den deutschsprachigen Ländern erreichbar:

  • Deutschland: Telefonseelsorge kostenfrei 0800 111 0 111 oder 0800 111 0 222 (rund um die Uhr); Hilfetelefon Sucht (BZgA) 0221 89 20 31.
  • Österreich: Telefonseelsorge 142 (rund um die Uhr); Suchthilfe-Hotline 0800 202 400 (Suchthilfe Wien) sowie regionale Beratungsstellen.
  • Schweiz: Die Dargebotene Hand 143 (rund um die Uhr); Sucht Schweiz und kantonale Suchtberatungsstellen.
  • Liechtenstein: Notrufe und Krisendienste werden über die Schweizer Stellen abgedeckt (Notruf 112 oder 144, Dargebotene Hand 143).

Bitte nutzen Sie zusätzlich den nächstgelegenen ärztlichen oder psychotherapeutischen Bereitschaftsdienst Ihres Wohnortes. Der Notfall-Chat in der App kann eine zeitnahe, persönliche Hilfe in akuten Krisen nicht ersetzen. Wir behandeln die Inhalte des Notfall-Chats mit besonderer Vertraulichkeit und kürzerer Speicherdauer (90 Tage nach Eintrag, anschließend automatische Löschung).

Cloud-Dienste

Wir nutzen über das Internet zugängliche und auf den Servern ihrer Anbieter ausgeführte Softwaredienste (sogenannte „Cloud-Dienste", auch bezeichnet als „Software as a Service") für die Speicherung und Verwaltung von Inhalten (z. B. Dokumentenspeicherung und -verwaltung, Austausch von Dokumenten, Inhalten und Informationen mit bestimmten Empfängern oder Veröffentlichung von Inhalten und Informationen).

In diesem Rahmen können personenbezogenen Daten verarbeitet und auf den Servern der Anbieter gespeichert werden, soweit diese Bestandteil von Kommunikationsvorgängen mit uns sind oder von uns sonst, wie im Rahmen dieser Datenschutzerklärung dargelegt, verarbeitet werden.

  • Verarbeitete Datenarten: Bestandsdaten; Kontaktdaten; Inhaltsdaten; Nutzungsdaten. Meta-, Kommunikations- und Verfahrensdaten.
  • Betroffene Personen: Interessenten; Kommunikationspartner; Geschäfts- und Vertragspartner; Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten). Dritte Personen.
  • Zwecke der Verarbeitung und berechtigte Interessen: Büro- und Organisationsverfahren; Informationstechnische Infrastruktur; Sicherheitsmaßnahmen; Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit; Organisations- und Verwaltungsverfahren. Geschäftsprozesse und betriebswirtschaftliche Verfahren.
  • Aufbewahrung und Löschung: Löschung entsprechend Angaben im Abschnitt "Allgemeine Informationen zur Datenspeicherung und Löschung".
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO). Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO).

Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten:

  • Google Cloud-Dienste: Cloudinfrastrukturdienste und cloudbasierte Anwendungssoftware; Dienstanbieter: Google Cloud EMEA Limited, 70 Sir John Rogerson's Quay, Dublin 2, Irland; Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO); Website: https://cloud.google.com/; Datenschutzerklärung: https://policies.google.com/privacy; Auftragsverarbeitungsvertrag: https://cloud.google.com/terms/data-processing-addendum; Grundlage Drittlandtransfers: Data Privacy Framework (DPF), Standardvertragsklauseln.
  • Firebase: Plattform für Entwickler von Applikationen für mobile Geräte und Webseiten; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Website: https://firebase.google.com; Datenschutzerklärung: https://policies.google.com/privacy; Grundlage Drittlandtransfers: Data Privacy Framework (DPF), Standardvertragsklauseln.
  • Firebase Authentication: Authentifizierung von Nutzern, Verwaltung von Benutzerkonten, Passwort-Reset, E-Mail-/Passwort-Anmeldung, Anmeldung mit Drittanbietern, Multi-Faktor-Authentifizierung; Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Website: https://firebase.google.com/products/auth; Grundlage Drittlandtransfers: Data Privacy Framework (DPF).
  • Cloud Firestore: Speicherung und Synchronisierung von Daten in Echtzeit zwischen Clients und der Cloud; Dienstanbieter: Google Cloud EMEA Limited, 70 Sir John Rogerson's Quay, Dublin 2, Irland; Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO); Website: https://firebase.google.com/products/storage; Grundlage Drittlandtransfers: Data Privacy Framework (DPF), Standardvertragsklauseln.

Konversionsmessung und Funnel-Analyse

Wir setzen Analyse-Werkzeuge ein, um die Nutzung unserer App in pseudonymisierter Form auszuwerten. Ziel ist es, zu verstehen, an welchen Stellen Nutzer die App verlassen oder Schwierigkeiten haben, um die App weiterzuentwickeln und gezielt zu verbessern.

Die Erhebung erfolgt auf Grundlage unseres berechtigten Interesses an der laufenden Verbesserung der App. Es werden ausschließlich pseudonymisierte Daten erhoben; eine Verknüpfung mit dem Nutzerkonto findet nicht statt, und es werden keine Werbe-Identifier wie IDFA oder AAID verarbeitet.

Sie können der Erhebung jederzeit widersprechen, indem Sie den entsprechenden Schalter in der App unter "Einstellungen" deaktivieren. Ein Widerspruch führt zur sofortigen Einstellung der Erhebung für Ihr Gerät.

  • Verarbeitete Datenarten: Nutzungsdaten (z. B. aufgerufene Bildschirme, Dauer einer Sitzung, abgebrochene Vorgänge); Meta-, Kommunikations- und Verfahrensdaten (z. B. Geräte- und Betriebssystem-Kategorie, ungefährer Standort auf Länderebene, pseudonyme Installations-ID).
  • Betroffene Personen: Nutzer.
  • Zwecke der Verarbeitung: Konversionsmessung; Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit; Geschäftsprozesse und betriebswirtschaftliche Verfahren.
  • Aufbewahrung und Löschung: Die pseudonymisierten Analyse-Daten werden für höchstens 14 Monate gespeichert und danach automatisch gelöscht. Ein Widerspruch durch den Nutzer führt zur sofortigen Einstellung der Erhebung; bereits erhobene pseudonymisierte Daten verbleiben bis zur Ablauffrist.
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Weitere Hinweise:

  • Firebase Analytics (Google Analytics for Firebase): Pseudonymisierte Nutzungsanalyse für mobile Apps.
  • Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
  • Verarbeitete Daten: pseudonyme Installations-ID, Geräte- und Betriebssystem-Kategorie, ungefährer Standort auf Länderebene, App-Versions-Kennzeichnung, Ereignis- und Bildschirm-Daten (z. B. zum Aufruf des Onboardings oder zum Absenden einer Reflexion). Es werden keine Werbe-Identifier (IDFA, AAID) verarbeitet, kein personenbezogenes Geräte-Fingerprinting durchgeführt, keine Verknüpfung mit dem Firebase-Auth-Nutzerkonto vorgenommen und keine Inhaltsdaten oder Reflexionsantworten an Firebase Analytics übertragen.
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
  • Datenschutzerklärung: https://policies.google.com/privacy.
  • Grundlage Drittlandtransfers: Data Privacy Framework (DPF), Standardvertragsklauseln.
  • Widerspruchsmöglichkeit: jederzeit in der App unter "Einstellungen".

Änderung und Aktualisierung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z. B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Sofern wir in dieser Datenschutzerklärung Adressen und Kontaktinformationen von Unternehmen und Organisationen angeben, bitten wir zu beachten, dass die Adressen sich über die Zeit ändern können und bitten die Angaben vor Kontaktaufnahme zu prüfen.

Begriffsdefinitionen

In diesem Abschnitt erhalten Sie eine Übersicht über die in dieser Datenschutzerklärung verwendeten Begrifflichkeiten. Soweit die Begrifflichkeiten gesetzlich definiert sind, gelten deren gesetzliche Definitionen. Die nachfolgenden Erläuterungen sollen dagegen vor allem dem Verständnis dienen.

  • Bestandsdaten: Bestandsdaten umfassen wesentliche Informationen, die für die Identifikation und Verwaltung von Vertragspartnern, Benutzerkonten, Profilen und ähnlichen Zuordnungen notwendig sind. Diese Daten können u. a. persönliche und demografische Angaben wie Namen, Kontaktinformationen (Adressen, Telefonnummern, E-Mail-Adressen), Geburtsdaten und spezifische Identifikatoren (Benutzer-IDs) beinhalten.
  • Inhaltsdaten: Inhaltsdaten umfassen Informationen, die im Zuge der Erstellung, Bearbeitung und Veröffentlichung von Inhalten aller Art generiert werden. Im Quitora-Kontext umfasst dies insbesondere Reflexionsantworten, Chat-Eingaben und gesundheitsbezogene Schilderungen zu Rauch- und Suchtverhalten.
  • Kontaktdaten: Kontaktdaten sind essentielle Informationen, die die Kommunikation mit Personen oder Organisationen ermöglichen. Sie umfassen u. a. Telefonnummern, postalische Adressen und E-Mail-Adressen, sowie Kommunikationsmittel wie soziale Medien-Handles und Instant-Messaging-Identifikatoren.
  • Künstliche Intelligenz (KI): Der Zweck der Verarbeitung von Daten durch Künstliche Intelligenz (KI) umfasst im Quitora-Kontext die automatisierte Analyse und Verarbeitung von Reflexions- und Chat-Eingaben der Nutzer, um darauf abgestimmte Antworten und Reflexionsimpulse zu erzeugen. Die Verarbeitung erfolgt auf Grundlage der Vertragserfüllung und der ausdrücklichen Einwilligung der Nutzer.
  • Meta-, Kommunikations- und Verfahrensdaten: Diese Kategorien enthalten Informationen über die Art und Weise, wie Daten verarbeitet, übermittelt und verwaltet werden, einschließlich IP-Adressen, Zeitstempeln, Identifikationsnummern und beteiligten Personen.
  • Nutzungsdaten: Nutzungsdaten beziehen sich auf Informationen, die erfassen, wie Nutzer mit digitalen Produkten, Dienstleistungen oder Plattformen interagieren – u. a. welche Funktionen genutzt werden, wie lange auf bestimmten Seiten verweilt wird und über welche Pfade durch eine Anwendung navigiert wird.
  • Personenbezogene Daten: „Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Protokolldaten: Protokolldaten sind Informationen über Ereignisse oder Aktivitäten, die in einem System oder Netzwerk protokolliert wurden, einschließlich Zeitstempeln, IP-Adressen, Benutzeraktionen und Fehlermeldungen.
  • Verantwortlicher: Als „Verantwortlicher" wird die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle bezeichnet, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
  • Verarbeitung: „Verarbeitung" ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten, einschließlich Erheben, Auswerten, Speichern, Übermitteln und Löschen.
  • Vertragsdaten: Vertragsdaten sind spezifische Informationen, die sich auf die Formalisierung einer Vereinbarung zwischen zwei oder mehr Parteien beziehen, einschließlich Vertragsgegenstand, Laufzeit und Konditionen.
  • Zahlungsdaten: Zahlungsdaten umfassen sämtliche Informationen, die zur Abwicklung von Zahlungstransaktionen benötigt werden. Bei Quitora-Mobile-App werden Zahlungsdaten ausschließlich über die jeweiligen Appstore-Anbieter (Apple, Google) verarbeitet; bei Web-Käufen über Stripe.
  • Gesundheitsbezogene Inhalte: Im Quitora-Kontext umfassen gesundheitsbezogene Inhalte sämtliche Angaben, die die Nutzer im Rahmen ihrer Reflexion zum Rauch- und Suchtverhalten machen, einschließlich Schilderungen von Trigger-Situationen, Rückfällen und Krisenmomenten. Die Verarbeitung erfolgt ausschließlich auf Grundlage der ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.