Datenschutzerklärung

Version: 1.7.0 | Stand: 07.07.2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO):

Vincent Wälken
smartappsdigital
Meldorfer Straße 8
20251 Hamburg
Deutschland

E-Mail: support@smartappsdigital.de

Der Verantwortliche ist zugleich Datenschutzverantwortlicher.

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der gesetzlichen Bestimmungen der Datenschutz-Grundverordnung (DSGVO) sowie weiterer datenschutzrechtlicher Vorschriften. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Wir setzen externe Dienstleister („Subprozessoren“) zur Verarbeitung personenbezogener Daten ein. Diese verarbeiten Daten ausschließlich nach unseren dokumentierten Anweisungen und im Rahmen eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO.

3. Hosting der Website und Server-Log-Dateien

Unsere Website wird bei einem externen Hosting-Dienstleister betrieben.

Hosting-Anbieter: Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA
Serverstandort: EU (Frankfurt am Main)

Im Rahmen des Hostings werden durch Vercel automatisch technische Zugriffsdaten in sogenannten Server-Log-Dateien verarbeitet. Dabei können insbesondere folgende Daten verarbeitet werden:

  • IP-Adresse
  • Datum und Uhrzeit der Anfrage
  • aufgerufene Seiten und API-Endpunkte
  • HTTP-Statuscodes
  • User-Agent (Browser- und Betriebssysteminformationen)

Die Verarbeitung dieser Daten erfolgt zur Gewährleistung der Sicherheit, Stabilität und Funktionsfähigkeit der Website sowie zur Fehleranalyse.

Speicherdauer: Server-Log-Daten werden für maximal 30 Tage gespeichert und anschließend automatisch gelöscht.

Hinweis: Der Betrieb der Website und einzelner Funktionen hängt von technischen Diensten externer Anbieter (z. B. Hosting, Datenbank, E-Mail-Versand, Zahlungsabwicklung, KI-Transkription) ab. Es kann daher in Einzelfällen zu vorübergehenden Einschränkungen oder Ausfällen kommen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Für mögliche Datenübermittlungen in Drittländer bestehen geeignete Garantien gemäß Art. 46 DSGVO (Standardvertragsklauseln).

4. Cookies und Einwilligung

Wir verwenden technisch notwendige Cookies, die für den Betrieb der Website erforderlich sind (z. B. Sitzungs- und Authentifizierungs-Cookies). Diese sind stets aktiv und bedürfen keiner Einwilligung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) sowie § 25 Abs. 2 TDDDG (unbedingt erforderliche Speicherung).

Darüber hinaus setzen wir Marketing- bzw. Conversion-Cookies (Google Ads, siehe Abschnitt 4.1) ausschließlich dann ein, wenn Sie zuvor über unseren Cookie-Banner Ihre ausdrückliche Einwilligung erteilt haben. Vor einer Einwilligung werden keine solchen Cookies gesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG (Einwilligung).

Ihre Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden – z. B. über den Link „Cookie-Einstellungen“ im Seitenfuß. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

4.1 Google Ads – Conversion-Tracking und Consent Mode

Sofern Sie eingewilligt haben, nutzen wir das Conversion-Tracking von Google Ads, um zu messen, ob Nutzer nach dem Klick auf eine unserer Anzeigen eine bestimmte Aktion ausführen (z. B. eine Registrierung). Dabei wird ein Cookie (z. B. _gcl_au) gesetzt. Wir erhalten von Google ausschließlich aggregierte, statistische Auswertungen und keine Informationen, mit denen sich einzelne Nutzer persönlich identifizieren lassen.

Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, USA).

Datenübermittlung in die USA: Eine Übermittlung in die USA kann nicht ausgeschlossen werden. Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln gemäß Art. 46 DSGVO.

Google Consent Mode v2: Solange Sie keine Einwilligung erteilt oder diese abgelehnt haben, werden keine Sie identifizierenden Cookies gesetzt; an Google werden in diesem Fall allenfalls cookielose, aggregierte Signale übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG (Einwilligung).

Weitere Informationen finden Sie in der Datenschutzerklärung von Google sowie in den Google-Anzeigeneinstellungen.

5. Benutzerkonten und Registrierung

Die Registrierung kann per E-Mail und Passwort oder über einen Drittanbieter-Login (z. B. „Mit Google anmelden“ oder „Mit Apple anmelden“) erfolgen.

Bei der Registrierung eines Benutzerkontos verarbeiten wir folgende personenbezogene Daten:

  • E-Mail-Adresse
  • verschlüsseltes Passwort (Hash) – bei Registrierung per E-Mail/Passwort
  • Status der E-Mail-Verifizierung
  • Abonnementstatus
  • Zeitpunkte und Versionen erteilter Zustimmungen (z. B. Datenschutzerklärung)
  • technische Nutzungsdaten zur Kontoverwaltung

Bei der Anmeldung über Google erhalten wir von Google Ihre E-Mail-Adresse sowie grundlegende Profilinformationen (z. B. Name), die zur Erstellung und Verwaltung Ihres Nutzerkontos verwendet werden. Weitere Daten werden von Google nicht an uns übermittelt. Ein verschlüsseltes Passwort wird in diesem Fall nicht gespeichert.

Die Verarbeitung erfolgt zur Bereitstellung und Verwaltung des Nutzerkontos.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

6. Supabase (Authentifizierung, Datenbank und Speicherung)

Wir nutzen Supabase als technischen Dienstleister für Authentifizierung, Datenbankverwaltung und temporäre Speicherung von Audio-Dateien.

Dienstanbieter: Supabase Inc.
Region: EU (Frankfurt – eu-central-1)

Supabase verarbeitet personenbezogene Daten ausschließlich im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO.

6.1 Authentifizierung über Supabase (Benutzerverwaltung)

Zur Registrierung, Anmeldung und Verwaltung von Nutzerkonten setzen wir Supabase Auth ein. Supabase Auth unterstützt neben der klassischen E-Mail-/Passwort-Anmeldung auch die Anmeldung über Drittanbieter (OAuth), insbesondere Google und Apple.

Verarbeitete Daten:

  • E-Mail-Adresse
  • verschlüsseltes Passwort (Hash) – bei E-Mail-/Passwort-Anmeldung
  • Status der E-Mail-Verifizierung
  • technische Logins und Tokens
  • OAuth-Anbieter-Kennung (z. B. Google-Account-ID) – bei Drittanbieter-Login

Zweck:

  • Erstellung und Verwaltung von Nutzerkonten
  • Zugangskontrolle
  • Sicherheit und Missbrauchsschutz

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

6.1a Anmeldung über Google (OAuth)

Wenn Sie sich über „Mit Google anmelden“ registrieren oder einloggen, werden Sie auf die Anmeldeseite von Google weitergeleitet. Nach erfolgreicher Authentifizierung übermittelt Google folgende Daten an uns (über Supabase):

  • E-Mail-Adresse
  • Name (Vor- und Nachname, sofern im Google-Konto hinterlegt)
  • Profilbild-URL (sofern im Google-Konto hinterlegt)
  • Google-Account-ID (interne Kennung)

Wir verwenden ausschließlich Ihre E-Mail-Adresse zur Erstellung und Zuordnung Ihres Nutzerkontos. Name und Profilbild werden von uns nicht gespeichert oder angezeigt.

Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Google verarbeitet Ihre Daten im Rahmen des OAuth-Verfahrens eigenverantwortlich. Weitere Informationen finden Sie in der Datenschutzerklärung von Google.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

6.1b Anmeldung über Apple (OAuth)

Wenn Sie sich über „Mit Apple anmelden“ registrieren oder einloggen, werden Sie auf die Anmeldeseite von Apple weitergeleitet. Nach erfolgreicher Authentifizierung übermittelt Apple folgende Daten an uns (über Supabase):

  • E-Mail-Adresse (ggf. als anonymisierte Relay-Adresse, sofern vom Nutzer gewählt)
  • Apple-Account-ID (interne Kennung)

Wir verwenden ausschließlich die E-Mail-Adresse zur Erstellung und Zuordnung Ihres Nutzerkontos. Ein verschlüsseltes Passwort wird in diesem Fall nicht gespeichert.

Hinweis: Apple bietet Nutzern die Möglichkeit, ihre echte E-Mail-Adresse zu verbergen und stattdessen eine anonymisierte Relay-Adresse zu verwenden. In diesem Fall wird die Relay-Adresse als Kontoidentifier gespeichert.

Dienstanbieter: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA

Apple verarbeitet Ihre Daten im Rahmen des OAuth-Verfahrens eigenverantwortlich. Weitere Informationen finden Sie in der Datenschutzerklärung von Apple.

Für Datenübermittlungen in die USA bestehen geeignete Garantien gemäß Art. 46 DSGVO (Standardvertragsklauseln).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

6.2 Supabase Datenbank (Speicherung von Nutzerdaten & Transkripten)

Wir nutzen Supabase Postgres als Datenbank zur Speicherung und Verwaltung von Nutzerinformationen sowie Transkripten.

Verarbeitete Daten:

  • E-Mail-Adresse
  • interne Identifikatoren (User-ID, Session-ID)
  • Transkriptionsdaten
  • Nutzungs- und Zeitstempel
  • Abonnementstatus

Zwecke:

  • Bereitstellung des Dienstes
  • Speicherung von Texttranskripten
  • Nutzersynchronisierung
  • Debugging & technische Stabilität

Speicherdauer: Daten bleiben gespeichert, bis Nutzer sie löschen oder ihr Konto löschen.

6.3 Supabase Storage (temporäre Speicherung von Audio-Dateien)

Vor der Transkription werden hochgeladene Audiodateien temporär im Supabase Storage gespeichert.

Verarbeitete Daten:

  • Audiodateien
  • interne Speicherpfade
  • Metadaten
  • Zuordnung zur Nutzer-ID

Zwecke:

  • Bereitstellung der Datei für die KI-Transkription
  • technische Verarbeitung
  • Lastverteilung & Stabilität

Speicherdauer: Die Dateien werden unmittelbar nach Abschluss der Transkription automatisch gelöscht. Hochgeladene Dateien, die nicht transkribiert werden, löschen wir automatisch spätestens nach 48 Stunden; bei fehlgeschlagener Transkription erfolgt die Löschung spätestens nach 72 Stunden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

7. Verwendung von Upstash Redis (Rate Limiting & Sicherheit)

Zur Absicherung unserer Dienste gegen Missbrauch, zur Durchsetzung von Nutzungsgrenzen sowie zur Gewährleistung der Stabilität und Sicherheit verwenden wir Upstash Redis als externen Dienst für Rate-Limiting und temporäre Datenspeicherung.

Dienstanbieter: Upstash, Inc.
Region: EU (Frankfurt, Germany – eu-central-1)

Verarbeitete Daten:

  • IP-Adresse oder gehashte IP-Identifikatoren (abhängig von Konfiguration)
  • Zeitstempel von API-Anfragen
  • technische Nutzer-Identifikatoren (z. B. User-ID oder Session-ID)
  • Zähler zur Begrenzung von API-Aufrufen

Zweck der Verarbeitung:

  • Schutz vor automatisiertem Missbrauch und Angriffen (DDoS, Bots, Brute-Force)
  • Stabilität und Lastverteilung des Systems
  • Sicherheit und Betrugsprävention

Speicherdauer: Die Speicherung erfolgt ausschließlich temporär und wird automatisch gelöscht, sobald die jeweilige Rate-Limit-Periode abgelaufen ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb des Dienstes).

Auftragsverarbeitung: Upstash verarbeitet die Daten ausschließlich in der EU-Region (Frankfurt) und stellt geeignete Garantien gemäß Art. 28 und 46 DSGVO bereit.

8. Fehlerdiagnose (technische Ereignisdaten)

Zur Erkennung und Behebung technischer Fehler beim Hochladen und Verarbeiten von Dateien erfassen wir in der Webanwendung minimale technische Ereignisdaten (z. B. „Upload fehlgeschlagen“, „Komprimierung fehlgeschlagen“).

Verarbeitete Daten:

  • Ereignistyp und Zeitpunkt
  • gekürzte technische Fehlermeldung
  • Dateigrößen-Kategorie und Dateiformat (ohne Dateiname und ohne Datei-Inhalte)
  • Zuordnung zum Nutzerkonto

Es werden keine Dateinamen, Datei-Inhalte oder IP-Adressen gespeichert. Die Ereignisdaten werden ausschließlich in unserer eigenen Datenbank innerhalb der EU gespeichert und nicht an Dritte weitergegeben.

Speicherdauer: Automatische Löschung spätestens nach 90 Tagen. Bei Löschung des Kontos oder aller Nutzerdaten werden die Ereignisdaten ebenfalls gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilität und Fehlerfreiheit des Dienstes). Sie können der Verarbeitung jederzeit mit Wirkung für die Zukunft widersprechen (Art. 21 DSGVO).

9. Versand von E-Mails

Der Versand transaktionsbezogener E-Mails (z. B. Registrierung, E-Mail-Verifizierung, sicherheitsrelevante Informationen sowie Status-Benachrichtigungen zu Ihren Transkriptionen) erfolgt über:

E-Mail-Dienstleister: Brevo (Sendinblue GmbH), Deutschland

Verarbeitete Daten:

  • E-Mail-Adresse
  • technische Metadaten des E-Mail-Versands

Benachrichtigungen über abgeschlossene oder fehlgeschlagene Transkriptionen enthalten keine Transkript-Inhalte (lediglich den Dateinamen) und können jederzeit in den Kontoeinstellungen deaktiviert werden.

Einmalige Erinnerungs-E-Mail (nur mit Einwilligung): Sofern Sie bei der Registrierung oder in den Kontoeinstellungen ausdrücklich eingewilligt haben (§ 7 Abs. 2 UWG), senden wir Ihnen einmalig eine Erinnerungs-E-Mail, wenn Sie einige Tage nach der Registrierung Ihr kostenloses Transkriptionskontingent noch nicht genutzt haben. Ohne diese Einwilligung wird keine solche E-Mail versendet. Sie können die Einwilligung jederzeit mit Wirkung für die Zukunft in den Kontoeinstellungen widerrufen.

Darüber hinaus erfolgt kein Versand von Newslettern oder Werbe-E-Mails ohne Ihre ausdrückliche Einwilligung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktionsbezogene E-Mails) bzw. Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 7 Abs. 2 UWG (Erinnerungs-E-Mail mit Einwilligung)

10. Zahlungsabwicklung

Die Zahlungsabwicklung erfolgt über:

Zahlungsdienstleister: Stripe Payments Europe Ltd., Irland

Wir speichern keine Zahlungsdaten (z. B. Kreditkartennummern). Die Zahlungsabwicklung erfolgt ausschließlich über Stripe. Stripe verarbeitet personenbezogene Daten eigenverantwortlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Für mögliche Datenübermittlungen in Drittländer bestehen geeignete Garantien gemäß Art. 46 DSGVO (Standardvertragsklauseln).

11. Verarbeitung von Audio- und Textdaten (Transkription)

Zur Durchführung von Audio-Transkriptionen nutzen wir:

Dienstanbieter: Microsoft Azure AI Speech („Fast Transcription“)
Region: West Europe (EU)

Für die optionalen, vom Nutzer ausgelösten KI-Funktionen – Zusammenfassung und Übersetzung von Transkripten – nutzen wir zusätzlich:

Dienstanbieter: Microsoft Azure OpenAI Service (Modell GPT-5 mini)
Region: EU (Azure-Datenzone EU – Verarbeitung ausschließlich in EU-Rechenzentren)

Verarbeitete Daten:

  • hochgeladene Audiodateien
  • daraus generierte Transkripte (Text)
  • automatisch erzeugte Sprecherkennzeichnungen (z. B. „Sprecher 1“, „Sprecher 2“) und Zeitstempel
  • bei Nutzung der Zusammenfassungs- oder Übersetzungsfunktion: der jeweilige Transkripttext

Audiodateien werden ausschließlich zur Durchführung der Transkription verarbeitet und anschließend gelöscht. Transkripte, Sprecherkennzeichnungen und Zeitstempel werden im Nutzerkonto gespeichert und können jederzeit durch den Nutzer gelöscht werden. Vom Nutzer erstellte Übersetzungen werden dem jeweiligen Transkript zugeordnet gespeichert und beim Löschen des Transkripts mitgelöscht.

Die Sprechertrennung (Diarisierung) unterscheidet Stimmen lediglich generisch nach Sprechabschnitten und vergibt anonyme Bezeichnungen („Sprecher 1“, „Sprecher 2“). Es erfolgt keine biometrische Identifizierung einzelner Personen im Sinne des Art. 9 DSGVO.

Die übermittelten Inhalte werden nicht zur Verbesserung, Weiterentwicklung oder zum Training von KI-Modellen verwendet.

Transkripte sind ausschließlich dem jeweiligen Nutzerkonto zugeordnet und nur für diesen sowie autorisierte Administratoren zugänglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

12. Verantwortlichkeit für hochgeladene Inhalte

Nutzer werden vor dem Upload ausdrücklich darauf hingewiesen, keine besonders sensiblen personenbezogenen Daten im Sinne des Art. 9 DSGVO (z. B. Gesundheitsdaten, politische Meinungen oder Daten Dritter ohne Einwilligung) hochzuladen.

Die Verantwortung für die Rechtmäßigkeit der hochgeladenen Inhalte liegt beim jeweiligen Nutzer.

13. Speicherung und Löschung von Daten

Personenbezogene Daten werden nur so lange gespeichert, wie dies zur Erfüllung der jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Nutzer können ihr Benutzerkonto jederzeit löschen. In diesem Fall werden alle personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

14. Mindestalter

Die Nutzung dieser Website ist nur volljährigen Personen gestattet.

15. Betroffenenrechte

Sie haben jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an die oben angegebene Kontaktadresse.

16. Widerrufsrecht bei Einwilligungen

Sofern eine Verarbeitung auf Grundlage Ihrer Einwilligung erfolgt, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

17. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständige Aufsichtsbehörde ist insbesondere die Datenschutzbehörde Ihres Wohnsitzes oder des Sitzes des Verantwortlichen.

18. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen Verlust, Manipulation oder unbefugten Zugriff zu schützen.

Die Übertragung Ihrer Daten erfolgt ausschließlich verschlüsselt über HTTPS/TLS.

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder technische Änderungen anzupassen.

Aktuelle Version: 1.7.0 | Stand: 07.07.2026