Datenschutzerklärung
Stand: 9. Juli 2026
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Website und in der KarmaLove-App ist:
SHOP-Construct UG (haftungsbeschränkt)
von-Schwind-Str. 17, 45768 Marl
Kontakt: info@shop-construct.de
2. Erhobene Daten
Wir erheben und verarbeiten folgende Daten:
- Kontodaten: E-Mail-Adresse, Vorname und verschlüsseltes Passwort bei der Registrierung
- Nutzungsdaten: Deine Check-ins (festgehaltene Beziehungs-Momente), KI-Auswertungen, Herzen-Wertung, Herz-Serien und Meilensteine
- Paar-Modus-Daten: optionale Verknüpfung mit einem einwilligenden Partner und die dabei geteilten Einträge (siehe Abschnitt 4d)
- Technische Daten: Geräteinformationen, App-Version, Spracheinstellung, Zeitzone
- Zahlungsdaten: Bei Web-Checkout über Stripe: E-Mail, Zahlungsstatus (keine Kreditkartendaten bei uns)
3. Rechtsgrundlagen der Verarbeitung
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung der KarmaLove-Kernfunktionen — Check-ins festhalten, KI-Auswertung, Herzen-Wertung, Herz-Serien, Meilensteine. Dies ist die vertragliche Hauptleistung.
- Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Kontosicherheit, Missbrauchsprävention, Token-basierte Authentifizierung, Rate Limiting.
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Push-Benachrichtigungen (Erinnerungen, Rückblicke), der Paar-Modus sowie Werbung — nur nach aktiver Zustimmung.
4. KI-Verarbeitung und Auftragsverarbeiter
Deine Check-ins werden durch KI-Dienste analysiert, um Beziehungs-Dimensionen (z.B. Wertschätzung, Nähe, Präsenz) zuzuordnen, eine würdigende Bewertung zu vergeben und warme Reflexionsimpulse zu generieren. Die KI ist ausdrücklich kein Therapie-Ersatz und stellt keine Diagnosen.
Eingesetzter KI-Anbieter:
- Anthropic PBC (San Francisco, USA) — Claude-Modelle als primärer KI-Anbieter für die Auswertung. Deine Check-ins werden per API an Anthropic übermittelt. Gemäß der Anthropic Usage Policy werden API-Daten nicht für KI-Training verwendet.
Drittlandtransfer in die USA: Die Verarbeitung erfolgt auf Servern in den USA. Anthropic stellt für seine API die Standard-Vertragsklauseln (SCC) nach Durchführungsbeschluss (EU) 2021/914 zur Verfügung. Verarbeitungsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie deine explizite Einwilligung in der App (Consent-Type ai_analysis). Es erfolgt keine Weitergabe an Dritte zu Werbezwecken.
4a. Anonymisierter Feedback-Pool (sekundäre Nutzung)
Um Nutzer:innen auch ohne KI-Aufruf unmittelbare Reflexionsimpulse liefern zu können, wiederverwenden wir bereits generierte KI-Antworten in anonymisierter Form. Wegen der besonderen Sensibilität von Beziehungsdaten ist der Pool im Default-Zustand deaktiviert (default-deny):
- Der Original-Eintragstext wird nicht gespeichert. Wiederverwendet wird ausschließlich der KI-Output (Zusammenfassung, Frage, Dimension, Wert) — nicht die Eingabe.
- Automatisierte PII-Filterung: Vor der Wiederverwendung werden E-Mail-Adressen, Telefonnummern, URLs, längere Ziffernfolgen und mutmaßliche Eigennamen erkannt; betroffene Antworten werden verworfen.
- Kein Personenbezug: Die anonymisierten Einträge enthalten keine Nutzer-ID und keinen Eintragstext.
- Geteilte Paar-Inhalte fließen niemals in den Pool ein.
- Aufbewahrung: Löschung spätestens 6 Monate nach letzter Verwendung; FIFO-Obergrenze 50.000 Einträge pro Sprache.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einspeisung erfolgt nur mit separatem Consent
feedback_pool_contribution.
4b. Werbung (Google AdMob)
In der KarmaLove-App kann Free-Nutzer:innen anonyme, nicht-personalisierte Werbung über Google AdMob (Google Ireland Limited, Dublin, Irland) angezeigt werden — nur, falls aktiviert. Premium-Nutzer:innen sehen keine Werbung. Es findet kein Cross-App-Tracking statt.
Von AdMob verarbeitete Daten: Werbe-ID (zurücksetzbar), IP-Adresse, Gerätedaten (Modell, OS, Sprache), ungefährer Standort (IP-basiert). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — vor dem ersten Laden zeigen wir über Google UMP einen Consent-Dialog gemäß § 25 TDDDG. Widerruf jederzeit in den App-Einstellungen. Details: policies.google.com/privacy.
4c. Bilder zu Einträgen (Foto-Journal)
Du kannst deinen Einträgen optional Bilder anhängen (Premium-Funktion). Einträge ohne Bild funktionieren unverändert.
- Cloudflare R2 (EU-Jurisdiktion): Objekt-Speicher mit Standort European Union (Endpoint *.eu.r2.cloudflarestorage.com). Die Bilder verlassen die EU nicht.
- Eigenes Bucket je App: KarmaLove nutzt ein eigenes, von anderen Apps technisch isoliertes Bucket (
karmalove). - Verarbeitet werden: Bildinhalt (JPEG/PNG, max. 5 MB), Dateigröße, Breite × Höhe. EXIF-Daten (inkl. GPS) werden vor dem Upload entfernt.
Auftragsverarbeiter: Cloudflare, Inc., San Francisco, USA (physische Speicherung in EU-Rechenzentren; EU-US Data Privacy Framework + SCCs). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: bis zur Löschung des Eintrags oder Kontos; verwaiste Upload-Fragmente werden stündlich entfernt.
4d. Paar-Modus (geteilte Beziehungsdaten)
Beziehungsdaten gehören zu den besonders sensiblen Informationen. Der optionale Paar-Modus, in dem zwei Partner Check-ins und Momente miteinander teilen und eine KI-Mediation erhalten, ist daher besonders geschützt:
- Standardmäßig privat (default-deny): Ohne aktive Zustimmung findet keinerlei Teilen statt. Solo-Einträge bleiben immer privat.
- Beidseitige Einwilligung: Die Verknüpfung zweier Konten und das Teilen von Einträgen erfordern die ausdrückliche Zustimmung beider Personen.
- Jederzeit widerrufbar: Jeder Partner kann die Verknüpfung und das Teilen jederzeit einseitig beenden; künftige Einträge werden dann nicht mehr geteilt.
- Zweckbindung: Geteilte Inhalte dienen ausschließlich der gemeinsamen Reflexion und KI-Mediation zwischen den beiden Partnern und fließen nie in den anonymisierten Feedback-Pool ein.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Consent-Type
couple_sharing.
5. Drittlandtransfer (USA)
Für KI-Auswertung, Werbung, Web-Zahlungsabwicklung und Fehleranalyse werden Daten an Anbieter in den USA übermittelt:
- Anthropic PBC: KI-Analyse der Einträge, gestützt auf SCC (EU) 2021/914 sowie deine Einwilligung (
ai_analysis) - Google LLC (AdMob): Werbe-ID, IP, Gerätedaten (nur nach Einwilligung)
- Stripe, Inc.: E-Mail und Zahlungsstatus bei Web-Checkout
- Functional Software, Inc. dba Sentry: technische Fehlerberichte
Google LLC, Stripe Inc. und Sentry sind nach EU-US Data Privacy Framework zertifiziert. Für Anthropic PBC stützt sich die Übermittlung auf die Standard Contractual Clauses (SCC) sowie deine Einwilligung.
5a. Fehleranalyse (Sentry)
Zur Stabilitätsverbesserung setzen wir Sentry (Functional Software, Inc., San Francisco, USA) ein. Erfasst werden: Fehler-Stack-Trace, App-/API-Version, Plattform, Locale, Zeitzone, anonyme Sitzungs-ID. Nicht erfasst: Klartext deiner Einträge/Fotos, Passwort, Zahlungsdaten, Standort. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). IP-Maskierung Sentry-seitig. Speicherdauer: 90 Tage.
6. Zahlungsabwicklung
- Stripe, Inc. (USA) — Zahlungsabwicklung für Web-Checkout.
- Apple (App Store): In-App-Käufe auf iOS.
- Google (Play Store): In-App-Käufe auf Android.
Wir haben keinen Zugriff auf Kreditkarten- oder Bankdaten.
7. Datenspeicherung und Aufbewahrungsfristen
- Daten werden auf sicheren Servern in der EU gespeichert (Standort: Deutschland)
- Passwörter nur als Hash (bcrypt); Übertragung verschlüsselt (HTTPS/TLS)
- Account-Daten: bis zur Kontolöschung
- Bei Kontolöschung: sofortige Deaktivierung (Soft-Delete), endgültige Löschung nach 30 Tagen. Zahlungsdaten gemäß § 147 AO bis zu 10 Jahre.
- KI-Antwort-Cache: 24 Stunden
- Sitzungs-Token: Access-Token 15 Minuten, Refresh-Token 7 Tage
8. Deine Rechte (Art. 15–22 DSGVO)
Du hast jederzeit das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Widerruf von Einwilligungen (Art. 7 Abs. 3). Kontolöschung und Datenexport kannst du direkt in der App unter Einstellungen vornehmen.
Beschwerderecht: bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (Kavalleriestr. 2–4, 40213 Düsseldorf, www.ldi.nrw.de).
9. Diese Website (karmalove.app)
Die Website karmalove.app ist eine statische Informationsseite. Sie setzt keine Tracking-Cookies und führt kein Web-Analytics durch. Es werden keine personenbezogenen Profile gebildet.
- Web-Schriftarten: Die Seite lädt Schriftarten von Google Fonts (Google Ireland Limited). Dabei wird technisch bedingt deine IP-Adresse an Google übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (ansprechende, einheitliche Darstellung).
- Server-Logs: Beim Aufruf entstehen technische Server-Logs (IP, Zeitpunkt, angeforderte Ressource) zur Auslieferung und Missbrauchsprävention; Speicherung max. 7 Tage.
In der KarmaLove-App setzen wir zur Produktverbesserung Matomo Analytics auf einem eigenen Server in Deutschland ein (Hosting bei IONOS; keine Weitergabe an Dritte). Matomo läuft datensparsam mit serverseitig anonymisierter IP; es werden keine Eingabeinhalte erfasst.
10. Altersgrenze (18+)
KarmaLove behandelt reife Beziehungsthemen und ist ausschließlich für Personen ab 18 Jahren bestimmt. Wir richten uns nicht an Minderjährige und verarbeiten wissentlich keine Daten von Personen unter 18 Jahren.
11. Kontakt
Bei Fragen zum Datenschutz: info@shop-construct.de
Maßgeblich ist die deutsche Fassung; Übersetzungen dienen nur der Verständlichkeit.