MownAi
Datenschutzerklärung
Stand: 06.03.2026 · Version 2.0
1. Verantwortlicher (Art. 13 Abs. 1 lit. a DSGVO)
[Rechtlicher Unternehmensname]
[Straße und Hausnummer]
[PLZ Ort, Land]
E-Mail: [datenschutz@beispiel.de]
Telefon: [+49 …] (optional)
Vertreten durch: [Name Geschäftsführung / Vorstand]
Handelsregister: [Registergericht, HRB-Nummer] (falls zutreffend)
2. Datenschutzbeauftragter (Art. 37–39 DSGVO)
[Wenn ein DSB bestellt ist:]
Name: [Vor- und Nachname / Externe DSB-Firma]
E-Mail: [dsb@beispiel.de]
[Alternativ: „Es ist kein Datenschutzbeauftragter bestellt, da die gesetzlichen Schwellenwerte
nicht überschritten werden (Art. 37 DSGVO)."]
3. Überblick der Verarbeitungsvorgänge
MownAi ist eine KI-gestützte Plattform, die Nutzern ermöglicht, persönliche Assistenzfunktionen zu nutzen und eine Vielzahl von Drittanbieter-Diensten zu verbinden (z. B. Gesundheits-Apps, Finanzdienste, Kommunikationsplattformen). Dabei verarbeiten wir folgende Kategorien personenbezogener Daten:
| Datenkategorie | Beispiele | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Stammdaten | Name, E-Mail-Adresse | Art. 6 Abs. 1 lit. b DSGVO | Bis zur Kontolöschung |
| Authentifizierungsdaten | Passwort-Hash (bcrypt), Session-Token, 2FA-Geheimnisse | Art. 6 Abs. 1 lit. b DSGVO | Session: 30 Tage; Hash: bis zur Kontolöschung |
| Nutzungsdaten | Interaktionen, Chat-Verläufe, API-Aufrufe, Zeitstempel | Art. 6 Abs. 1 lit. b / lit. f DSGVO | Chat-Verlauf: 12 Monate aktiv, danach auf Anfrage |
| KI-Verarbeitungsdaten | An OpenAI übermittelte Prompts und Kontextfenster | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | Nicht lokal gespeichert; OpenAI-Richtlinien gelten |
| Integrationsdaten | OAuth-Token, API-Schlüssel, Metadaten verbundener Dienste | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | Bis zur Trennung der Integration oder Kontolöschung |
| Gesundheitsdaten | Fitbit-, Oura-, Cronometer-Daten (soweit verbunden) | Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) | Bis zur Trennung der Integration oder Kontolöschung |
| Finanzdaten | Plaid-Kontobewegungen, PayPal-Transaktionen (soweit verbunden) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | Bis zur Trennung der Integration oder Kontolöschung |
| Kommunikationsdaten | Telegram-Nachrichten, Vonage-Sprachanrufe (soweit aktiviert) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | Bis zur Trennung der Integration oder Kontolöschung |
| Standortdaten | GPS-Koordinaten (nur bei expliziter Aktivierung) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | Rollierendes Fenster, max. 90 Tage |
| Protokoll- und Sicherheitsdaten | IP-Adressen, Fehlermeldungen, Audit-Logs | Art. 6 Abs. 1 lit. f DSGVO | 90 Tage (Logs), 1 Jahr (Sicherheits-Audit) |
| Abrechnungsdaten | Rechnungsadresse, Transaktions-ID (kein Vollkartennr.) | Art. 6 Abs. 1 lit. c DSGVO | 10 Jahre (gesetzliche Aufbewahrungspflicht) |
4. Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO)
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Kontoerstellung, Authentifizierung, Bereitstellung der Kernfunktionen.
- Einwilligung (Art. 6 Abs. 1 lit. a / Art. 9 Abs. 2 lit. a DSGVO): KI-Verarbeitung, optionale Integrationen, Gesundheits- und Finanzdaten, Standorterfassung, Marketingkommunikation. Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden (Einstellungen → Datenschutz oder per E-Mail an den Verantwortlichen).
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): IT-Sicherheit, Missbrauchsprävention, Betriebsstabilität, Betrugsabwehr. Unsere Interessen überwiegen die Interessen der Betroffenen, da nur technisch notwendige Mindestdaten verarbeitet und wirksame Schutzmaßnahmen eingesetzt werden.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Steuer- und handelsrechtliche Aufbewahrungspflichten.
5. Auftragsverarbeiter und Sub-Prozessoren (Art. 28 DSGVO)
Mit allen nachfolgend genannten Dienstleistern, die als Auftragsverarbeiter tätig sind, wurden Verträge zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen.
| Dienstleister | Zweck | Land / Region | Datenschutzgrundlage (Drittland) |
|---|---|---|---|
| OpenAI, L.L.C. | KI-Sprachverarbeitung (GPT-Modelle) | USA | EU-Standardvertragsklauseln (SCCs) |
| Vonage / Ericsson | Sprachtelefonie und SMS | USA / EU | SCCs; EU-Datenzentren verfügbar |
| Google LLC | Google-Integration (Gmail, Drive, Calendar, Maps) | USA | SCCs; EU Data Processing Terms |
| Microsoft Corporation | Microsoft 365-Integration (Outlook, Teams, OneDrive) | USA / EU | SCCs; EU Data Boundary |
| Telegram Messenger | Telegram-Bot-Integration | USA / Dubai | SCCs |
| Atlassian | Jira/Confluence-Integration | USA / Australien | SCCs |
| Notion Labs | Notion-Integration | USA | SCCs |
| Shopify Inc. | E-Commerce-Integration | Kanada | Angemessenheitsbeschluss (Kanada) / SCCs |
| Plaid Inc. | Finanzkonto-Verknüpfung | USA | SCCs |
| PayPal Holdings | Zahlungsintegration | USA / Luxemburg | SCCs; PayPal (Europe) als EU-Auftragsverarbeiter |
| Fitbit / Google LLC | Gesundheitsdaten-Integration | USA | SCCs |
| Oura Health Oy | Gesundheitsdaten-Integration | Finnland / USA | EU-Sitz; SCCs für US-Verarbeitung |
| [Hosting-Anbieter] | Serverinfrastruktur, Datenbankhosting | [Land] | [Angemessenheit / SCCs / Art. 49 DSGVO] |
6. Drittlandübermittlungen (Art. 44 ff. DSGVO)
Datenübermittlungen in Länder außerhalb der EU/des EWR (insbesondere in die USA) erfolgen ausschließlich auf Basis geeigneter Garantien gemäß Art. 46 DSGVO, insbesondere EU-Standardvertragsklauseln (SCC, Beschluss (EU) 2021/914) in Verbindung mit dem EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023, soweit der jeweilige Anbieter zertifiziert ist).
Soweit OpenAI als KI-Auftragsverarbeiter eingesetzt wird, werden ausschließlich die für die Anfrage notwendigen Inhalte (Prompts) übermittelt. Es erfolgt keine anlasslose Weiterverarbeitung oder Nutzung der Daten zum Trainieren von Modellen durch OpenAI im Rahmen der API-Nutzung (gemäß OpenAI Enterprise-Nutzungsbedingungen und AVV).
7. Speicherdauer und Löschfristen (Art. 13 Abs. 2 lit. a DSGVO)
- Kontodaten und Authentifizierungsdaten: Bis zur Kontolöschung durch den Nutzer oder auf Anfrage; anschließend unverzügliche Löschung oder Anonymisierung, spätestens innerhalb von 30 Tagen.
- Session-Tokens: Automatische Ungültigmachung nach 30 Tagen Inaktivität oder bei explizitem Logout.
- Chat-Verläufe und KI-Gedächtnisdaten: Aktiv aufbewahrt für 12 Monate; auf explizite Löschanfrage sofort gelöscht; nach Kontolöschung unverzüglich entfernt.
- Integrationsdaten (OAuth-Token, Metadaten): Bis zur Trennung der Integration durch den Nutzer oder Kontolöschung. Nach Trennung werden Token innerhalb von 24 Stunden widerrufen und gelöscht.
- Standortdaten: Rollierendes Fenster von maximal 90 Tagen; ältere Daten werden automatisch gelöscht.
- Sicherheits- und Protokolldaten: Standardmäßig 90 Tage; sicherheitsrelevante Audit-Logs bis zu 12 Monate; danach Löschung oder Anonymisierung.
- Abrechnungs- und Vertragsunterlagen: 10 Jahre gemäß § 257 HGB / § 147 AO; bei Ablauf der gesetzlichen Frist unverzügliche Löschung.
- DSGVO-Audit-Logs (Lösch-/Exportanfragen): 3 Jahre (Nachweis der Rechtskonformität), danach Löschung.
8. Cookies und ähnliche Technologien
Wir setzen ausschließlich technisch notwendige Cookies ein, die für den Betrieb der Plattform unbedingt erforderlich sind. Eine Einwilligung ist hierfür gemäß § 25 Abs. 2 TTDSG nicht erforderlich.
| Cookie-Name | Zweck | Lebensdauer |
|---|---|---|
session_token |
Authentifizierung und Sitzungsverwaltung | 30 Tage (HttpOnly, Secure, SameSite=Strict) |
csrf_token |
Cross-Site-Request-Forgery-Schutz | Sitzung (24 Stunden) |
Es werden keine Tracking-, Werbe- oder Analyse-Cookies verwendet.
9. KI-Verarbeitung und Einwilligung
Die KI-Kernfunktionen von MownAi (z. B. Chat-Assistent, Gedächtnis, automatisierte Aufgabenausführung) werden durch OpenAI-Sprachmodelle bereitgestellt. Dabei werden Prompts und Kontextdaten an OpenAI übermittelt. Diese Verarbeitung erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Sie können die Einwilligung zur KI-Verarbeitung jederzeit in den Einstellungen (Datenschutz → KI-Verarbeitung) widerrufen. Bei Widerruf werden KI-Funktionen deaktiviert, Ihr Konto bleibt jedoch bestehen. Der Widerruf hat keine Auswirkungen auf die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
Wichtig: Bitte übermitteln Sie keine besonders sensiblen Daten (z. B. Gesundheitsdaten, Finanzdaten) im freien Textfeld, soweit dies vermeidbar ist. Für integrierte Gesundheits- und Finanzfunktionen gelten gesonderte Einwilligungen.
10. Rechte betroffener Personen (Art. 15–22 DSGVO)
Sie haben folgende Rechte gegenüber uns als Verantwortlichem:
- Auskunftsrecht (Art. 15 DSGVO): Auskunft darüber, welche Daten wir über Sie verarbeiten.
- Berichtigungsrecht (Art. 16 DSGVO): Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten.
-
Recht auf Löschung (Art. 17 DSGVO):
Löschung Ihrer Daten, sofern kein Aufbewahrungsgrund entgegensteht.
Die vollständige Kontolöschung inklusive aller Integrations-Token, Chat-Verläufe
und verbundener Dateien kann direkt in der App (Einstellungen → Konto löschen)
oder per API (
POST /api/gdpr/delete) beantragt werden. Nach einer 72-stündigen Karenzzeit wird das Konto unwiderruflich gelöscht. - Recht auf Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung in bestimmten Situationen.
-
Datenübertragbarkeit (Art. 20 DSGVO):
Herausgabe Ihrer Daten in einem maschinenlesbaren Format (JSON).
Sie können einen vollständigen Datenexport jederzeit in der App
(Einstellungen → Meine Daten exportieren) oder per API
(
POST /api/gdpr/export) anfordern. - Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen.
- Widerruf von Einwilligungen: Jederzeit mit Wirkung für die Zukunft unter Einstellungen → Datenschutz oder per E-Mail an den Verantwortlichen.
- Kein automatisiertes Profiling (Art. 22 DSGVO): Es erfolgen keine ausschließlich automatisierten Einzelentscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung.
Zur Ausübung Ihrer Rechte wenden Sie sich an:
[datenschutz@beispiel.de].
Wir antworten auf Anfragen innerhalb von einem Monat (Art. 12 Abs. 3 DSGVO).
11. Beschwerderecht (Art. 77 DSGVO)
Sie haben das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für Deutschland ist dies in der Regel die Aufsichtsbehörde des jeweiligen Bundeslandes (z. B. die Landesbeauftragte für Datenschutz und Informationsfreiheit, sofern der Sitz des Unternehmens dort liegt).
12. Datensicherheit (Art. 32 DSGVO)
Wir setzen umfangreiche technische und organisatorische Maßnahmen (TOMs) ein:
- TLS 1.3-Verschlüsselung für alle Datenübertragungen (HSTS, Perfect Forward Secrecy).
- AES-256-GCM-Verschlüsselung für OAuth-Token und Geheimnisse in der Datenbank.
- Passwort-Hashing mit bcrypt (Work-Factor 12+).
- Zwei-Faktor-Authentifizierung (TOTP) optional für alle Konten.
- Rollenbasierte Zugriffskontrolle (RBAC) für interne Systeme.
- Regelmäßige Sicherheitsaudits und Penetrationstests.
- Strikte Trennung von Entwicklungs- und Produktionsdaten.
- Datenbank-SSL (minimum TLS 1.2) und Netzwerkisolierung.
13. Datenpannen und Meldepflicht (Art. 33–34 DSGVO)
Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigen wir die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, soweit die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
Falls die Verletzung voraussichtlich ein hohes Risiko für die betroffenen Personen darstellt, werden diese gemäß Art. 34 DSGVO unverzüglich und direkt benachrichtigt, spätestens jedoch binnen 72 Stunden nach Bestätigung des Vorfalls.
Unser interner Meldeprozess sieht vor:
- Erkennung und Sofortisolierung des betroffenen Systems.
- Interne Eskalation innerhalb von 1 Stunde an die Verantwortlichen.
- Risikoabwägung und Dokumentation des Vorfalls.
- Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden (sofern meldepflichtig).
- Benachrichtigung betroffener Nutzer per E-Mail, falls hohes Risiko festgestellt.
- Nachbereitung, Schwachstellenbehebung und Bericht im Verarbeitungsverzeichnis.
Sicherheitsvorfälle können gemeldet werden an: [security@beispiel.de].
14. Minderjährige
MownAi richtet sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Sollten wir Kenntnis davon erlangen, dass ein Minderjähriger ein Konto angelegt hat, werden die entsprechenden Daten unverzüglich gelöscht.
15. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um Änderungen rechtlicher Anforderungen, neuer Dienste oder geänderter Verarbeitungsvorgänge widerzuspiegeln. Die aktuell gültige Fassung ist stets auf dieser Seite abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail benachrichtigt.
16. Verarbeitungsverzeichnis (Art. 30 DSGVO)
Das vollständige interne Verarbeitungsverzeichnis gemäß Art. 30 DSGVO wird dem zuständigen Datenschutzbeauftragten und den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt. Es dokumentiert alle Verarbeitungstätigkeiten, Zwecke, Kategorien betroffener Personen, Empfänger, Speicherfristen und Sicherheitsmaßnahmen.
Diese Datenschutzerklärung entspricht dem Stand der DSGVO (VO (EU) 2016/679) und des TTDSG. Sie ersetzt keine individuelle Rechtsberatung. Für eine abschließend rechtssichere Fassung empfiehlt sich eine anwaltliche Prüfung.