Datenschutzrichtlinie

1. Verantwortlicher

Lukas Wittich Preysinggasse 29/35 1150 Wien, Österreich E-Mail: [email protected] Telefon: +43677636633538

2. Erhobene Daten

Wir verarbeiten folgende personenbezogene Daten:

Daten der Eltern/Erziehungsberechtigten:

• Name
• E-Mail-Adresse
• Passwort (verschlüsselt gespeichert)
• Zahlungsinformationen (werden von Stripe verarbeitet, nicht bei uns gespeichert)

Daten der Kinder (nur mit elterlicher Einwilligung):

• Vorname
• Alter
• Aussehensmerkmale (zur Personalisierung der Geschichten)
• Präferenzen (Lieblingsthemen, Interessen)

Technische Daten:

• IP-Adresse (temporär in Server-Logs)
• Browser-Typ und -Version
• Betriebssystem
• Datum und Uhrzeit des Zugriffs

3. Zwecke der Datenverarbeitung

• Bereitstellung und Betrieb des Talekeeper-Services
• Erstellung personalisierter Geschichten für Kinder mittels KI
• Generierung von Illustrationen und Charakterbildern
• Benutzerkontenverwaltung und Authentifizierung
• Abwicklung von Zahlungen und Abonnements
• Versand von Service-E-Mails (Kontoverifizierung, Passwort-Reset)
• Fehlerüberwachung und Stabilitätssicherung des Services
• Verbesserung unseres Services

4. Rechtsgrundlagen

Die Verarbeitung Ihrer Daten erfolgt auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Für die Bereitstellung unseres Services, die Kontoverwaltung und die Zahlungsabwicklung.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Für die Verarbeitung von Kinderdaten zur Personalisierung der Geschichten. Diese Einwilligung kann jederzeit widerrufen werden.
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen): Für technische Server-Logs und Fehlerüberwachung (Sentry) zur Sicherstellung des Betriebs und der Sicherheit.

5. Empfänger und Auftragsverarbeiter

Ihre Daten werden an folgende Dritte weitergegeben:

• OpenAI, Inc. (San Francisco, USA): Zur Generierung der Geschichten, Bilder und Audio-Dateien (Vorlesefunktion) mittels KI. Es werden Vornamen, Alter und Aussehensmerkmale der Kinder übermittelt.
• Suno, Inc. (Cambridge, USA): Zur Generierung personalisierter Songs basierend auf den Geschichten. Es werden Liedtexte, Titel und Stilangaben übermittelt. Liedtexte können den Vornamen des Kindes enthalten. Siehe Abschnitt 6 zur Rechtsgrundlage der Drittlandübermittlung.
• Stripe, Inc. (San Francisco, USA): Zur sicheren Abwicklung der Zahlungen. Wir speichern keine Kreditkartendaten – diese werden ausschließlich von Stripe verarbeitet.
• Resend, Inc. (EU-Server, Irland): Zum Versand von Service-E-Mails wie Kontoverifizierung, Passwort-Reset und Benachrichtigungen. Es werden E-Mail-Adressen und Namen der Empfänger übermittelt. Die Datenverarbeitung erfolgt auf Servern in der EU (Irland).
• Functional Software, Inc. / Sentry (EU-Server): Zur Fehlerüberwachung und Stabilitätssicherung unseres Services. Es werden technische Daten wie Browser-Typ, Betriebssystem, Fehlerberichte und Anfrage-URLs übermittelt. Personenbezogene Daten wie IP-Adressen werden nicht erfasst. Sensible Daten (Kindernamen, Geschichteninhalte) werden vor der Übermittlung automatisch entfernt. Die Datenverarbeitung erfolgt auf Servern in der EU.
• Cloudflare, Inc. / CDN & Proxy (weltweit): Zur Beschleunigung und Absicherung unserer Website wird Cloudflare als Content Delivery Network (CDN) und Reverse Proxy eingesetzt. Dabei werden Traffic-Daten wie IP-Adressen, angefragte URLs, HTTP-Header und Verbindungsmetadaten von Cloudflare verarbeitet. Dies dient dem DDoS-Schutz und der Performance-Optimierung. Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Verfügbarkeit unserer Website).
• Cloudflare, Inc. / R2 (EU-Server): Zur Speicherung von generierten Bildern, Illustrationen, Audio-Dateien und Dokumenten. Die Datenverarbeitung erfolgt auf Servern in der EU.
• Hetzner Online GmbH (Gunzenhausen, Deutschland): Hosting unserer Server im Rechenzentrum Frankfurt am Main (EU).

6. Datenübermittlung in Drittländer

Daten werden an folgende Unternehmen in den USA übermittelt: OpenAI, Inc. und Stripe, Inc.: Die Übermittlung erfolgt auf Basis des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO) sowie ergänzend auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Beide Unternehmen sind unter dem EU-US DPF zertifiziert. Suno, Inc.: Die Übermittlung von Liedtexten, die den Vornamen des Kindes enthalten können, erfolgt ausschließlich auf Basis der ausdrücklichen Einwilligung der Eltern gemäß Art. 49 Abs. 1 lit. a DSGVO. Diese Einwilligung wird beim Anlegen des Kinderprofils über einen gesonderten Einwilligungsdialog eingeholt und mit Zeitstempel, Version und Wortlaut in der Datenbank dokumentiert. Cloudflare, Inc. (CDN/Proxy): Als Content Delivery Network verarbeitet Cloudflare Traffic-Daten (u.a. IP-Adressen) auf weltweit verteilten Servern. Die Übermittlung erfolgt auf Basis des EU-US Data Privacy Framework sowie ergänzend auf Grundlage von Standardvertragsklauseln (SCCs). Cloudflare, Inc. (R2-Objektspeicher), Sentry (Functional Software, Inc.) und Resend, Inc. (E-Mail-Versand, Server in Irland) verarbeiten Daten ausschließlich auf EU-Servern. Es findet keine Übermittlung in Drittländer statt. Das Hosting erfolgt ausschließlich in der EU (Frankfurt am Main, Deutschland).

7. Speicherdauer

• Kontodaten: Bis zur Löschung des Kontos durch den Nutzer, danach unverzüglich gelöscht (außer gesetzliche Aufbewahrungspflichten).
• Kinderdaten: Bis zur Löschung des Kinderprofils oder des Kontos.
• Geschichten und Bilder: Bis zur Löschung durch den Nutzer oder bis zur Kontolöschung.
• Zahlungsdaten: Gemäß steuerrechtlichen Aufbewahrungspflichten (7 Jahre gemäß BAO).
• Server-Logs: Maximal 14 Tage.
• Sentry-Fehlerdaten: Maximal 90 Tage, danach automatisch gelöscht.

8. Ihre Rechte

Ihnen stehen gemäß DSGVO folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Korrektur unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen.
• Recht auf Einschränkung (Art. 18 DSGVO): Sie können die eingeschränkte Verarbeitung Ihrer Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem gängigen Format erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können jederzeit widerrufen werden.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: [email protected]

9. Schutz von Kinderdaten

Talekeeper verarbeitet Daten von Kindern ausschließlich mit der ausdrücklichen Einwilligung der Eltern bzw. Erziehungsberechtigten. Eltern registrieren sich selbst und legen Kinderprofile an. Kinder haben keinen eigenständigen Zugang zum Service. Aussehensmerkmale (wie Haarfarbe, Augenfarbe und besondere Merkmale) werden ausschließlich zur Personalisierung der Geschichten und Illustrationen verwendet. Eltern können Kinderdaten jederzeit vollständig löschen, indem sie das Kinderprofil in den Einstellungen entfernen.

10. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies:

• Session-Cookie: Zur Aufrechterhaltung Ihrer Sitzung nach dem Login. Wird beim Schließen des Browsers gelöscht.
• XSRF-Token: Zum Schutz vor Cross-Site-Request-Forgery-Angriffen.

Wir verwenden keine Tracking-Cookies, Analyse-Tools, Marketing-Pixel oder sonstige Drittanbieter-Cookies.

11. Beschwerderecht

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt, haben Sie das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen: Österreichische Datenschutzbehörde Barichgasse 40-42 1030 Wien Telefon: +43 1 521 52-2569 E-Mail: [email protected] Website: www.dsb.gv.at