Datenschutzerklärung der Heijo-App
Diese Datenschutzerklärung gilt ausschließlich für die Heijo-App (iOS/macOS). Für die Website heijo.app (Informationsseite und Warteliste) gilt eine eigene, separate Datenschutzerklärung.
Stand: 2. Juli 2026 Version: 1.0 (die in der App erteilte Einwilligung ist an diese Fassung gebunden und wird versioniert und zeitgestempelt protokolliert)
Inhaltsübersicht
- Was Heijo ist — und was Heijo nicht ist
- Verantwortlicher und Kontakt
- Datenschutzbeauftragter
- Das Wichtigste in Kürze
- Kategorien der verarbeiteten Daten
- Zwecke der Verarbeitung und Rechtsgrundlagen
- Besondere Kategorien personenbezogener Daten (Gesundheitsdaten) — Coach-Chat, Tagebuch & Spiegel
- Einwilligung: ausdrücklich, granular, freiwillig, widerrufbar
- Empfänger und Auftragsverarbeiter
- Datenübermittlung in die USA (Drittlandtransfer)
- Künstliche Intelligenz, automatisierte Verarbeitung und Profiling
- Speicherort und Speicherdauer
- Datensicherheit (technische und organisatorische Maßnahmen)
- Schutz Minderjähriger (Mindestalter 16 Jahre)
- Ihre Rechte als betroffene Person
- Widerruf von Einwilligungen
- Beschwerderecht bei der Aufsichtsbehörde
- Krisen- und Notfallhinweis
- Änderungen dieser Datenschutzerklärung
1. Was Heijo ist — und was Heijo nicht ist
Heijo ist ein digitaler Assistent zur Persönlichkeitsentwicklung und Selbstreflexion. Heijo unterstützt Sie dabei, Aufgaben zu strukturieren, Ihren Tag zu planen, sich selbst besser kennenzulernen und über ein Tagebuch sowie geführte Sessions zu reflektieren.
Heijo ist kein Medizinprodukt. Heijo stellt keine Diagnosen, bietet keine Behandlung oder Therapie und ersetzt keine ärztliche, psychotherapeutische oder psychologische Versorgung. Die in Heijo eingesetzte künstliche Intelligenz (KI) trifft keine klinischen Feststellungen.
Heijo ist eine KI-Anwendung. Ihre Gesprächspartnerin in der App ist eine künstliche Intelligenz, kein Mensch. Darauf werden Sie bereits beim ersten Kontakt innerhalb der App hingewiesen (vgl. Art. 50 KI-Verordnung).
2. Verantwortlicher und Kontakt
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Datenverarbeitung in der Heijo-App ist:
Marco Marius Reczuch Einzelunternehmer Alex-Wedding-Straße 3 10178 Berlin Deutschland
E-Mail: hello@heijo.app
Datenschutzanfragen richten Sie ebenfalls an hello@heijo.app (eine gesonderte Datenschutz-Adresse besteht nicht; alle Anfragen erreichen unmittelbar den Verantwortlichen).
3. Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist derzeit nicht benannt. Die gesetzlichen Benennungspflichten greifen beim Verantwortlichen in der aktuellen Größe nicht: Es sind keine 20 Personen ständig mit der Datenverarbeitung beschäftigt (§ 38 Abs. 1 BDSG), und eine umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Art. 37 Abs. 1 lit. c DSGVO liegt im gegenwärtigen, eng begrenzten Testbetrieb nicht vor. Wir prüfen die Benennungspflicht fortlaufend, insbesondere vor einer breiten Veröffentlichung der App; sobald sie greift, wird ein externer Datenschutzbeauftragter benannt und hier ausgewiesen.
Bis dahin richten Sie Datenschutzanfragen direkt an den Verantwortlichen: hello@heijo.app.
4. Das Wichtigste in Kürze
- Was Sie der KI schreiben (Coach-Chat, Tagebuch, Spiegel), kann Gesundheitsdaten enthalten. Wir verarbeiten diese KI-Inhalte nur mit Ihrer ausdrücklichen, jederzeit widerrufbaren Einwilligung (Art. 9 Abs. 2 lit. a DSGVO).
- Aufgaben, Planung und Konto sind auch ohne diese Einwilligung nutzbar. Die KI-Funktionen (Coach-Chat, Tagebuch, Spiegel) benötigen sie, weil dabei Ihre Inhalte verarbeitet werden. Die Einwilligung ist nicht Voraussetzung, um die App überhaupt zu nutzen (keine Koppelung).
- Das Tagebuch ist derzeit kostenlos verfügbar und liegt nicht hinter einer Bezahlschranke. Für die Verarbeitung Ihrer Tagebuch-Inhalte ist Ihre Art-9-Einwilligung erforderlich.
- Ihr aufgebautes „Gedächtnis" bleibt bei Ihnen. Die von der KI verarbeitete und verdichtete Wissensschicht (Fakten, Muster, Ihr persönliches „Dossier") wird lokal auf Ihrem Gerät gespeichert und in Ihre private iCloud gesichert — nicht auf unseren Servern.
- KI-Verarbeitung in den USA. Zur Erzeugung der KI-Antworten und zur Text-Vektorisierung werden Inhalte an Dienstleister in den USA (Anthropic, Voyage AI) übermittelt. Näheres in Abschnitt 10.
- Sie haben umfassende Rechte — Auskunft, Berichtigung, Löschung, Widerruf und Beschwerde. Näheres in den Abschnitten 15–17.
5. Kategorien der verarbeiteten Daten
Wir verarbeiten je nach Nutzung folgende Kategorien personenbezogener Daten:
| Kategorie | Beispiele | Art-9-relevant? |
|---|---|---|
| Konto- und Authentifizierungsdaten | E-Mail-Adresse, Passwort (verschlüsselt/gehasht beim Auth-Dienstleister), Anmeldestatus | nein |
| Profildaten | Anzeigename, optional Geburtstag, Wochenplan/feste Termine, Lebensbereiche | nein (gewöhnliche personenbezogene Daten, keine besondere Kategorie) |
| Aufgaben- und Zieldaten | Aufgaben, Notizen, Teilschritte, Termine, Ziele, Planungsdaten | grundsätzlich nein (kann je nach Inhalt sensibel sein) |
| Chat-Inhalte (Coach) | Ihre Nachrichten an den Coach und dessen Antworten | ja — werden wie Gesundheitsdaten (Art. 9 DSGVO) behandelt, da sie regelmäßig Angaben über Ihre mentale/emotionale Lage enthalten können |
| Tagebuch- und Spiegel-Inhalte | Tagebucheinträge, geführte Reflexions-Sessions, der „Spiegel" | ja — Gesundheitsdaten (Art. 9 DSGVO) über Ihre mentale/emotionale Verfassung |
| KI-abgeleitete Erkenntnisse | von der KI gebildete Verhaltensmuster, „Fakten" über Sie, das verdichtete „Dossier", die Coach-Wissenskarte | Art-9-nah — können Rückschlüsse auf Gesundheit/mentale Lage zulassen und werden wie Art-9-Daten behandelt |
| Technische Nutzungs- und Protokolldaten | Zeitstempel, technische Verarbeitungs-Metadaten (z. B. Token-Zähler der KI-Aufrufe), serverseitige Pipeline-Statusprotokolle | nein |
| Nutzungsstatistik (nur mit Ihrer Zustimmung) | Ereignisname (fest definierte Liste, z. B. „Aufgabe angelegt"), Zählwerte, App-Version, auf 15 Minuten gerundete Zeitangabe — strukturell ohne Inhalte: was Sie schreiben (Chat, Tagebuch, Aufgabentexte), kann darin technisch nicht vorkommen | nein |
| Absturz- und Stabilitätsberichte | technischer Fehlerbericht bei App-Absturz oder -Einfrieren: Stacktrace, Fehlertyp, Geräte-/OS-Angaben — ohne Inhalte, ohne Nutzerkennung (kein Chat-/Tagebuch-/Aufgabentext, keine Screenshots, keine Bedienverläufe) | nein |
Nutzungsstatistik und Absturzberichte enthalten nie Inhaltsdaten. Die Nutzungsstatistik ist standardmäßig aus und wird nur mit Ihrer Zustimmung erhoben (abschaltbar in den Einstellungen). Absturzberichte dienen ausschließlich der Stabilität der App (Näheres in Abschnitt 6.7).
6. Zwecke der Verarbeitung und Rechtsgrundlagen
6.1 Konto, Authentifizierung und Bereitstellung der App
- Zweck: Registrierung, Anmeldung, Bereitstellung und Absicherung der Kernfunktionen (Konto, Aufgaben, Planung, Coach-Chat).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) sowie ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, funktionsfähigen Betrieb).
6.2 Aufgaben, Ziele, Planung und Coach-Chat
- Zweck: Strukturierung von Aufgaben und Zielen, Tages- und Wochenplanung, Beantwortung Ihrer Nachrichten durch den KI-Coach, fortlaufende Personalisierung der Unterstützung.
- Rechtsgrundlage: Für die Strukturierung von Aufgaben/Zielen und die Tages-/Wochenplanung Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags). Die Beantwortung Ihrer Nachrichten durch den KI-Coach verarbeitet jedoch frei eingegebene Inhalte, die regelmäßig Angaben über Ihre mentale/emotionale Lage enthalten können; diese KI-Verarbeitung erfolgt daher — wie Tagebuch und Spiegel — auf Grundlage Ihrer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO (siehe Abschnitte 7 und 8). Aufgaben und Planung sind ohne diese Einwilligung nutzbar.
6.3 Tagebuch, geführte Sessions und Spiegel (Gesundheitsdaten)
- Zweck: Ermöglichung von Selbstreflexion, Journaling, geführten Reflexions-Sessions sowie der zusammenfassenden „Spiegel"-Funktion.
- Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (Ihre ausdrückliche Einwilligung) in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. Siehe Abschnitte 7 und 8.
6.4 Bildung von KI-Erkenntnissen (Muster, Fakten, Dossier)
- Zweck: Damit Heijo Sie über die Zeit besser versteht, bildet die KI aus Ihren Eingaben verdichtete Erkenntnisse (Verhaltensmuster, „Fakten", ein persönliches „Dossier", eine Coach-Wissenskarte) und nutzt diese zur Personalisierung.
- Rechtsgrundlage: Soweit diese Erkenntnisse aus Gesundheitsdaten (Tagebuch/Spiegel) abgeleitet werden oder solche enthalten, Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung); im Übrigen Art. 6 Abs. 1 lit. b und lit. f DSGVO. Siehe auch Abschnitt 11.
6.5 Übermittlung an KI-Dienstleister in den USA
- Zweck: Erzeugung der KI-Antworten (Anthropic) und Umwandlung von Texten in numerische Repräsentationen für die Gedächtnis-/Ähnlichkeitsfunktionen (Voyage AI).
- Rechtsgrundlage: Die KI-Verarbeitung Ihrer Inhalte (Coach-Chat, Tagebuch, Spiegel) erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Die damit verbundene Übermittlung in die USA ist durch EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) in Verbindung mit den Auftragsverarbeitungsverträgen der Dienstleister abgesichert (siehe Abschnitt 10); über diese Übermittlung und das verbleibende Restrisiko informieren wir Sie. Eine gesonderte Einwilligung in den Drittlandtransfer nach Art. 49 holen wir nicht ein.
6.6 Sicherheit, Fehleranalyse und Missbrauchsabwehr
- Zweck: Stabilität, Fehlerbehebung, Schutz vor Missbrauch und Überlastung (z. B. technische Nutzungsbegrenzungen).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb).
6.7 Nutzungsstatistik und Absturzberichte
- Zweck: Verstehen, welche Funktionen genutzt werden und wo die App abstürzt oder einfriert, um sie zu verbessern und stabil zu halten.
- Nutzungsstatistik: nur mit Ihrer Zustimmung (Art. 6 Abs. 1 lit. a DSGVO) — standardmäßig aus, jederzeit in den Einstellungen abschaltbar. Erfasst werden ausschließlich fest definierte Ereignisnamen und Zählwerte, nie Inhalte.
- Absturz-/Stabilitätsberichte: auf Grundlage unseres berechtigten Interesses an einer funktionsfähigen App (Art. 6 Abs. 1 lit. f DSGVO). Die Berichte sind strukturell inhaltsfrei (kein Text, den Sie geschrieben haben, keine Screenshots, keine Bedienverläufe, keine Nutzerkennung) und werden in der EU-Region des Dienstleisters Sentry verarbeitet (siehe Abschnitte 9 und 10).
6.8 Sicherung in Ihre private iCloud
- Zweck: Schutz der von Ihnen aufgebauten Gedächtnisschicht gegen Geräteverlust/Wechsel.
- Rechtsgrundlage: Soweit die Gedächtnisschicht Inhalte umfasst, die wie Gesundheitsdaten behandelt werden, ist die Sicherung Bestandteil der von Ihrer ausdrücklichen Einwilligung umfassten KI-Verarbeitung (Art. 9 Abs. 2 lit. a DSGVO); im Übrigen Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO. Die Sicherung erfolgt in Ihre eigene private iCloud (Apple-Konto); insoweit handelt Apple nach unserem Verständnis nicht als Auftragsverarbeiter von Heijo, sondern als Anbieter Ihres persönlichen Cloud-Speichers (siehe Abschnitt 12).
7. Besondere Kategorien personenbezogener Daten (Gesundheitsdaten) — Coach-Chat, Tagebuch & Spiegel
Im Coach-Chat, im Tagebuch, in den geführten Reflexions-Sessions und im „Spiegel" können Inhalte über Ihre Gedanken, Gefühle und Ihre mentale Verfassung entstehen. Solche Inhalte sind regelmäßig Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO (Daten über die psychische/emotionale Gesundheit).
Auch die von der KI abgeleiteten Erkenntnisse (Verhaltensmuster, „Fakten", „Dossier") können Rückschlüsse auf Ihre Gesundheit zulassen. Wir behandeln sie daher mit demselben Schutzniveau wie Gesundheitsdaten.
Wir verarbeiten diese Daten ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) — eine Einwilligung, die die gesamte KI-Verarbeitung (Coach-Chat, Tagebuch, Spiegel) abdeckt. Erteilen Sie sie nicht oder widerrufen Sie sie, verarbeiten wir keine dieser KI-Inhalte; die App bleibt als Aufgaben-/Planungs-App nutzbar (siehe Abschnitte 8 und 16). Das Tagebuch und der Spiegel sind ein Ort Ihrer eigenen Reflexion, kein offiziell geführter Gesundheitsdatensatz.
8. Einwilligung: ausdrücklich, granular, freiwillig, widerrufbar
Für die KI-Verarbeitung Ihrer Inhalte (Coach-Chat, Tagebuch, Spiegel) und die damit verbundene Übermittlung an Dienstleister in den USA holen wir Ihre gesonderte, ausdrückliche Einwilligung ein. Diese Einwilligung ist so gestaltet, dass sie den Anforderungen der DSGVO genügt:
- Ausdrücklich und aktiv: Sie erteilen die Einwilligung durch eine eindeutige bestätigende Handlung (z. B. aktives Antippen). Es gibt kein vorab gesetztes Häkchen.
- Granular: Die Einwilligung für die Gesundheitsdaten-Verarbeitung wird getrennt von etwaigen sonstigen Zustimmungen abgefragt und ist von den Nutzungsbedingungen (AGB) getrennt.
- Freiwillig und koppelungsfrei: Die Kern-App (Aufgaben, Planung, Konto) ist auch ohne diese Einwilligung nutzbar. Die KI-Funktionen (Coach-Chat, Tagebuch, Spiegel) benötigen sie; die Einwilligung ist aber keine Bedingung, um die App überhaupt zu nutzen (Art. 7 Abs. 4 DSGVO). Die Freiwilligkeit hängt nicht am Preis, sondern daran, dass die Kern-App ohne Einwilligung voll nutzbar bleibt; derzeit sind zudem alle Funktionen ohne Entgelt nutzbar.
- Informiert: Vor Erteilung werden Sie in klarer Sprache über Zweck, Datenkategorien, Empfänger und den US-Transfer informiert.
- Jederzeit widerrufbar: Sie können die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird (siehe Abschnitt 16).
- Dokumentiert: Ihre Einwilligung wird mit Versionsstand und Zeitstempel protokolliert, um sie nachweisen zu können (Art. 7 Abs. 1 DSGVO).
9. Empfänger und Auftragsverarbeiter
Zur Erbringung der App-Funktionen setzen wir sorgfältig ausgewählte Dienstleister ein, mit denen jeweils ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO besteht (sofern es sich um Auftragsverarbeiter handelt). Ihre Daten werden nicht zu eigenen Zwecken dieser Dienstleister verkauft oder offengelegt.
| Empfänger | Rolle | Sitz / Region | Welche Daten | Funktion |
|---|---|---|---|---|
| Supabase Pte. Ltd | Auftragsverarbeiter | Datenbank-/Server-Region EU (Frankfurt, eu-central-1) — verifiziert 2026-07-02; Unternehmenssitz Singapur | rohe Chat-Nachrichten, Sitzungs-Snapshots, Konto-/Auth-Daten, Nutzungsstatistik | Datenbank, Authentifizierung, serverseitige Funktionen (Edge Functions) |
| Anthropic (Vertragspartner für EWR-Kunden: Anthropic Ireland, Limited; Verarbeitung: Anthropic, PBC) | Auftragsverarbeiter | USA | an die KI übermittelte Gesprächs-/Inhaltsdaten zur Antworterzeugung | KI-Sprachmodell (Claude) — erzeugt die Coach-/Journal-/Session-Antworten |
| Voyage AI Innovations, Inc. (Teil von MongoDB, Inc.) | Auftragsverarbeiter | USA | Textausschnitte zur Umwandlung in numerische Repräsentationen (Embeddings) | Text-Vektorisierung für die Gedächtnis- und Ähnlichkeitsfunktionen |
| Functional Software, Inc. (Sentry) | Auftragsverarbeiter | Verarbeitung in der EU-Region (Ingest `de.sentry.io`); Unternehmenssitz USA | inhaltsfreie Absturz-/Stabilitätsberichte (Stacktrace, Fehlertyp, Geräte-/OS-Angaben) | Crash-Reporting zur Stabilität der App |
| Apple | eigenständig Verantwortlicher / „deemed supplier" beim Abo-Vertrieb | EU/weltweit (Apple-Konzern) | Kauf-/Zahlungs- und Apple-Konto-Daten (bei Apple erhoben, nicht bei uns) | App-Distribution und Abo-Zahlung; zusätzlich Anbieter Ihrer privaten iCloud (siehe Abschnitt 12) |
Hinweis Apple: Beim Vertrieb über den App Store und bei der Abwicklung von In-App-Abonnements ist Apple eigenständig datenschutzrechtlich verantwortlich (insbesondere für Zahlungs-/Kaufdaten). Es gilt insoweit die Datenschutzerklärung von Apple. Auf die im App Store erhobenen Zahlungs- und Kontodaten haben wir nur eingeschränkten bzw. keinen direkten Zugriff.
Hinweis Website: Der Hosting-Dienstleister Cloudflare wird ausschließlich für die Website heijo.app eingesetzt und ist von der App getrennt. Hierzu informiert die separate Website-Datenschutzerklärung.
10. Datenübermittlung in die USA (Drittlandtransfer)
Ein Teil der Verarbeitung findet bei Dienstleistern in den USA statt (Anthropic und Voyage AI); der Crash-Reporting-Dienstleister Sentry ist ein US-Unternehmen, verarbeitet die (inhaltsfreien) Berichte jedoch in seiner EU-Region. Die USA gelten datenschutzrechtlich als Drittland ohne generelles Schutzniveau, das dem der EU vollständig entspricht.
Wir stützen diese Übermittlungen wie folgt ab:
- Anthropic, PBC (USA): Übermittlung auf Grundlage der EU-Standardvertragsklauseln (SCC), die im Auftragsverarbeitungsvertrag mit Anthropic enthalten sind, ergänzt um eine Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) sowie geeignete technische und organisatorische Schutzmaßnahmen. Eine Zertifizierung von Anthropic nach dem EU-US Data Privacy Framework (DPF) ist nicht bestätigt (öffentlich dokumentiert sind u. a. SOC 2 und ISO 27001). Anthropic löscht die übermittelten Inhalte automatisch innerhalb von 30 Tagen und nutzt sie nicht zum Training von KI-Modellen; eine längere Speicherung erfolgt nur, soweit sie gesetzlich erforderlich ist oder der Durchsetzung der Anthropic-Nutzungsrichtlinien dient. Die SCCs gelten im Modul 2 (Verantwortlicher → Auftragsverarbeiter); unsere Transfer-Folgenabschätzung datiert vom 2. Juli 2026 (intern dokumentiert, jährliche Wiedervorlage).
- Voyage AI / Voyage AI Innovations, Inc. (USA, Teil von MongoDB): Übermittlung auf Grundlage einer Selbstzertifizierung nach dem EU-US Data Privacy Framework (DPF); ergänzend dient der MongoDB-Auftragsverarbeitungsvertrag mit Standardvertragsklauseln als Absicherung (Fallback).
- Functional Software, Inc. (Sentry, USA): Die Absturzberichte werden in der EU-Region von Sentry gespeichert und verarbeitet; sie sind strukturell inhaltsfrei. Soweit dennoch ein Drittlandbezug besteht (US-Mutterunternehmen), ist dieser über die DPF-Selbstzertifizierung von Sentry sowie die im Sentry-Auftragsverarbeitungsvertrag enthaltenen Standardvertragsklauseln (Fallback) abgesichert.
- Supabase Pte. Ltd (Singapur): Die Daten selbst liegen in der EU-Region (Frankfurt); ein konzernbedingter Drittlandbezug zum Unternehmenssitz Singapur ist über die im Auftragsverarbeitungsvertrag enthaltenen Standardvertragsklauseln abgesichert.
Hinweise zu den Risiken (Schrems-Rechtsprechung): Trotz der genannten Garantien besteht das Risiko, dass US-Behörden unter US-Recht (z. B. FISA 702) auf in die USA übermittelte Daten zugreifen, ohne dass Betroffenen stets ein der EU gleichwertiger Rechtsschutz zur Verfügung steht. Ein durchsetzbares Schutzniveau wie innerhalb der EU kann insoweit nicht in jedem Fall garantiert werden.
Die Übermittlung der Gesundheitsdaten (Coach-Chat, Tagebuch, Spiegel) in die USA stützen wir auf die vorgenannten EU-Standardvertragsklauseln (Art. 46) in Verbindung mit den Auftragsverarbeitungsverträgen. Über die mit dem US-Transfer verbundenen Risiken informieren wir Sie, bevor Sie Ihre Einwilligung in die KI-Verarbeitung erteilen; eine gesonderte Einwilligung in den Transfer selbst (Art. 49) holen wir nicht ein. Ihre Einwilligung in die KI-Verarbeitung können Sie jederzeit widerrufen (Abschnitt 16).
11. Künstliche Intelligenz, automatisierte Verarbeitung und Profiling
Heijo verarbeitet Ihre Eingaben mithilfe künstlicher Intelligenz, um Antworten zu erzeugen und Sie über die Zeit besser zu verstehen. Dabei werden aus Ihrem Verhalten und Ihren Eingaben Muster gebildet und in einer verdichteten Wissensschicht (Fakten, Muster, „Dossier", Coach-Wissenskarte) zusammengefasst. Dies stellt eine Form von Profiling im Sinne des Art. 4 Nr. 4 DSGVO dar, da Aspekte Ihrer Person (z. B. Gewohnheiten, Energieverläufe, wiederkehrende Hindernisse) bewertet werden, um die Unterstützung zu personalisieren.
Es findet keine automatisierte Entscheidung im Sinne des Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Heijo trifft insbesondere keine automatisierten Entscheidungen über Verträge, Bonität, Beschäftigung, Gesundheitsversorgung o. Ä. Die KI macht Vorschläge und Reflexionsangebote; Entscheidungen treffen stets Sie selbst.
Kennzeichnung der KI: In der App werden Sie von Beginn an darüber informiert, dass Sie mit einer künstlichen Intelligenz interagieren (Art. 50 KI-Verordnung).
Keine klinische Bewertung: Die KI verwendet keine klinisch-diagnostischen Etiketten über Sie und stellt keine Diagnosen.
12. Speicherort und Speicherdauer
12.1 Speicherort
- Auf Ihrem Gerät (lokal): Die von der KI verarbeitete und verdichtete Gedächtnisschicht (Fakten, Muster, „Dossier", Coach-Wissenskarte) wird primär lokal auf Ihrem Gerät gespeichert.
- In Ihrer privaten iCloud: Zur Sicherung gegen Geräteverlust wird diese Gedächtnisschicht in Ihre eigene private iCloud gesichert (kontogebunden, an Ihre Nutzerkennung geknüpft). Diese Sicherung liegt in Ihrem persönlichen Apple-Speicher — nicht auf Servern von Heijo. Ein Zugriff anderer Nutzerinnen und Nutzer ist durch die kontogebundene Trennung ausgeschlossen.
- Auf Servern in der EU (Supabase): Auf unserem Auftragsverarbeiter-Server (EU-Region) liegen die rohen Chat-Nachrichten, Sitzungs-Snapshots sowie Konto-/Auth-Daten. Die verdichtete Gedächtnisschicht wird dort nicht als Bestand gespeichert; die Sitzungs-Snapshots können vorübergehend Auszüge daraus enthalten und unterliegen derselben Löschung (Abschnitt 12.2).
- Vorübergehend in den USA: Zur Erzeugung der KI-Antworten und für die Text-Vektorisierung werden Inhalte vorübergehend an Anthropic bzw. Voyage AI in den USA übermittelt (siehe Abschnitt 10). Anthropic löscht die übermittelten Inhalte automatisch innerhalb von 30 Tagen und nutzt sie nicht zum KI-Training. Voyage AI verarbeitet die übermittelten Textausschnitte ausschließlich weisungsgebunden zur Erbringung der Embedding-Funktion (Art. 28 DSGVO, MongoDB-Auftragsverarbeitungsvertrag); eine Nutzung zu eigenen Zwecken erfolgt nicht.
12.2 Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:
| Datenkategorie | Speicherdauer |
|---|---|
| Konto-/Auth-Daten | für die Dauer des Bestehens Ihres Nutzerkontos; bei Kontolöschung unverzügliche Löschung, endgültig auch aus den technischen Sicherungskopien des Datenbank-Dienstleisters mit Ablauf des Backup-Fensters (7 Tage) |
| Aufgaben-/Ziel-/Profildaten | bis zu Ihrer Löschung des jeweiligen Inhalts bzw. bis zur Kontolöschung |
| Chat-Inhalte (rohe Nachrichten und Sitzungs-Snapshots, Supabase EU) | solange Ihr Konto besteht — sie tragen das Langzeit-Gedächtnis Ihres Coaches; Löschung mit der Kontolöschung |
| Tagebuch-/Spiegel-Inhalte und abgeleitete Gesundheitserkenntnisse | bis zur Kontolöschung bzw. bis zur Löschung durch Sie; nach einem Widerruf findet keine weitere KI-Verarbeitung statt — die Speicherung wird gesperrt (Näheres in Abschnitt 16) |
| Lokale/iCloud-Gedächtnisschicht | bis Sie die App deinstallieren bzw. die iCloud-Sicherung löschen; steht in Ihrer eigenen Kontrolle und wird von der In-App-Kontolöschung mit entfernt |
| Einwilligungs-Protokolle (Version, Zeitstempel) | Protokollierung derzeit in der App auf Ihrem Gerät, für die Dauer der Kontonutzung (Nachweis, Art. 7 Abs. 1 DSGVO); sie werden mit der Konto-Löschung entfernt |
| Nutzungsstatistik (opt-in) | bis zur Kontolöschung (wird von der Lösch-Kaskade erfasst) |
| Absturzberichte (Sentry, EU-Region, inhaltsfrei) | bis zu 90 Tage (Standard-Aufbewahrung des Dienstleisters) |
| Technische/Sicherheits-Logs | kurzfristig: Server-/Funktions-Logs wenige Tage; interne Entwicklungs-Prüfprotokolle 14 Tage (betreffen ausschließlich Entwickler-/Testkonten des Verantwortlichen, keine Nutzerkonten); Pipeline-Statusprotokolle 30 Tage; KI-Nutzungs-Metadaten (Token-Zähler, ohne Inhalte) bis zur Kontolöschung |
Kontolöschung: Sie können Ihr Konto direkt in der App löschen (Einstellungen → Konto). Die Löschung wird serverseitig kaskadierend über sämtliche kontobezogenen Datenbestände ausgeführt (Nachrichten, Sitzungs-Snapshots, Nutzungsstatistik, technische Protokolle, KI-Nutzungs-Metadaten und das Konto selbst) und entfernt zusätzlich die lokale Gedächtnisschicht auf dem Gerät sowie die Sicherung in Ihrer iCloud. Die Vollständigkeit der Lösch-Kaskade über alle kontobezogenen Tabellen wurde zuletzt am 02.07.2026 überprüft.
13. Datensicherheit (technische und organisatorische Maßnahmen)
Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre Daten zu schützen (Art. 32 DSGVO), insbesondere:
- Transportverschlüsselung (TLS/HTTPS) für alle Verbindungen zwischen App, Server und Dienstleistern.
- Zugriffstrennung pro Nutzerkonto auf Server- und iCloud-Ebene (kontogebundene Isolierung), sodass Daten unterschiedlicher Nutzer nicht vermischt werden.
- Authentifizierung über einen spezialisierten Auth-Dienst; Passwörter werden nicht im Klartext gespeichert.
- Datensparsamkeit: Die besonders schützenswerte Gedächtnisschicht wird primär lokal/auf Ihrem eigenen iCloud-Speicher gehalten und nicht zentral auf unseren Servern abgelegt.
- Keine Inhaltsdaten in Telemetrie/Logs: Nutzungsstatistik und Absturzberichte sind strukturell so gebaut, dass Inhalte (Chat, Tagebuch, Aufgabentexte) darin nicht vorkommen können.
- Zugriffsbeschränkung auf Datenbank-Ebene: Jede kontobezogene Tabelle ist durch Row-Level-Security-Policies geschützt (Zugriff nur auf eigene Zeilen); ruhende Daten werden beim Datenbank-Dienstleister verschlüsselt gespeichert.
- Meldeprozess bei Datenschutzverletzungen: Verletzungen des Schutzes personenbezogener Daten werden gemäß Art. 33/34 DSGVO bewertet und der zuständigen Aufsichtsbehörde erforderlichenfalls innerhalb von 72 Stunden gemeldet.
14. Schutz Minderjähriger (Mindestalter 16 Jahre)
Heijo richtet sich an Personen, die das 16. Lebensjahr vollendet haben. Personen unter 16 Jahren dürfen die App nicht nutzen und keine personenbezogenen Daten übermitteln (vgl. Art. 8 DSGVO in Verbindung mit der deutschen Rechtslage).
Das Mindestalter wird in den Nutzungsbedingungen und auf dem Einwilligungs-Bildschirm ausgewiesen; eine darüber hinausgehende Altersverifikation findet nicht statt. Sollten wir Kenntnis davon erhalten, dass eine Person unter 16 Jahren die App nutzt, werden wir die betreffenden Daten löschen.
15. Ihre Rechte als betroffene Person
Ihnen stehen gegenüber dem Verantwortlichen folgende Rechte hinsichtlich Ihrer personenbezogenen Daten zu:
- Auskunft über die zu Ihnen verarbeiteten Daten (Art. 15 DSGVO),
- Berichtigung unrichtiger Daten (Art. 16 DSGVO),
- Löschung Ihrer Daten („Recht auf Vergessenwerden", Art. 17 DSGVO),
- Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Datenübertragbarkeit — Herausgabe Ihrer Daten in einem strukturierten, gängigen, maschinenlesbaren Format (Art. 20 DSGVO),
- Widerspruch gegen Verarbeitungen, die auf einem berechtigten Interesse beruhen, aus Gründen Ihrer besonderen Situation (Art. 21 DSGVO),
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO, siehe Abschnitt 16),
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO, siehe Abschnitt 17).
Ausübung Ihrer Rechte: Zur Ausübung genügt eine formlose Nachricht an hello@heijo.app. Wir beantworten Anfragen unverzüglich, spätestens innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO). Bei besonders umfangreichen oder komplexen Anfragen kann sich diese Frist um bis zu zwei weitere Monate verlängern; hierüber informieren wir Sie. Direkt in der App können Sie: Ihre Einwilligung widerrufen (Einstellungen → Datenschutz, siehe Abschnitt 16) und Ihr Konto vollständig löschen (Einstellungen → Konto, siehe Abschnitt 12.2). Einen maschinenlesbaren Datenexport stellen wir auf Anfrage an hello@heijo.app bereit; eine In-App-Exportfunktion ist in Vorbereitung.
16. Widerruf von Einwilligungen
Soweit eine Verarbeitung auf Ihrer Einwilligung beruht — insbesondere die KI-Verarbeitung Ihrer Inhalte (Coach-Chat, Tagebuch, Spiegel) und deren Übermittlung in die USA —, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
- Den Widerruf können Sie direkt in der App erklären: Einstellungen → Datenschutz → Schalter „KI-Verarbeitung" deaktivieren. Alternativ genügt eine formlose E-Mail an hello@heijo.app. Der Widerruf ist genauso einfach wie die Erteilung (Art. 7 Abs. 3 DSGVO).
- Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.
- Nach einem Widerruf verarbeiten wir keine weiteren KI-Inhalte (Coach-Chat, Tagebuch, Spiegel) — es werden keine neuen Nachrichten an die KI-Dienstleister übermittelt. Bereits erstellte Inhalte werden für die weitere KI-Verarbeitung gesperrt: Ihre lokale Gedächtnisschicht bleibt auf Ihrem Gerät unter Ihrer Kontrolle erhalten; die auf unserem Server gespeicherten Nachrichten bleiben gespeichert, werden aber nicht weiter KI-verarbeitet. Rechtsgrundlage dieser fortgesetzten Speicherung ist Art. 6 Abs. 1 lit. b DSGVO — das Vorhalten Ihres Verlaufs als Teil des Nutzungsvertrags, insbesondere damit bei einer Wieder-Erteilung nichts verloren ist. Vollständig löschen können Sie alles jederzeit über die Konto-Löschung (Abschnitt 12.2) oder eine Lösch-Anfrage.
- Die Kern-App (Aufgaben, Planung, Konto) bleibt nach einem Widerruf weiterhin nutzbar, und Sie können die Einwilligung jederzeit wieder erteilen.
17. Beschwerderecht bei der Aufsichtsbehörde
Unbeschadet anderer Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Die für den Verantwortlichen zuständige Aufsichtsbehörde ist:
Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) Alt-Moabit 59–61 10555 Berlin Deutschland Web: www.datenschutz-berlin.de
18. Krisen- und Notfallhinweis
Heijo ist kein Notfalldienst und ersetzt keine professionelle Hilfe. Wenn Sie sich in einer akuten Krise befinden oder daran denken, sich selbst oder andere zu verletzen, wenden Sie sich bitte umgehend an professionelle Hilfe:
- Notruf: 112
- Telefonseelsorge: 0800 111 0 111 · 0800 111 0 222 · 116 123 (kostenlos, rund um die Uhr)
19. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, sobald sich die Datenverarbeitung ändert (z. B. bei neuen Funktionen, neuen Dienstleistern oder geänderten Rechtsgrundlagen). Es gilt die jeweils in der App bzw. unter https://heijo.app/app/datenschutz veröffentlichte Fassung. Bei wesentlichen Änderungen, die einer Einwilligung bedürfen, holen wir diese erneut ein.
← Zurück zur Startseite