Datenschutzerklärung

Verantwortlich im Sinne der DSGVO ist Prosperium UG (haftungsbeschränkt), Hegenweg 15, 53783 Eitorf, Deutschland, vertreten durch Alexander Schmunk. Rückfragen zum Datenschutz beantwortet unser Privacy-Team unter privacy@queermind.ai. Allgemeine Anfragen erreichst du über info@queermind.ai.

Wir prüfen fortlaufend, ob eine gesetzliche Pflicht zur Bestellung eines oder einer Datenschutzbeauftragten besteht. Bis dahin ist ein internes Privacy-Team benannt, das sämtliche Betroffenenanfragen dokumentiert, priorisiert und fristgerecht beantwortet.

Wir bestätigen den Eingang deiner Anfrage spätestens innerhalb von 72 Stunden und beantworten sie in der Regel binnen 30 Tagen. Falls wir zusätzliche Informationen zur Identitätsprüfung benötigen oder sich die Bearbeitung verzögert, informieren wir dich transparent über die Gründe.

Wir verarbeiten nur die Daten, die für die Bereitstellung eines sicheren, queersensiblen Coaching-Dienstes notwendig sind oder denen du zugestimmt hast. Die Daten stammen direkt von dir, aus technisch notwendigen Logs oder – bei freiwilligen Angaben – von Drittanbietern (z. B. Zahlungsdienstleistern).

Wir stützen die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags), lit. a DSGVO (Einwilligungen, z. B. für Journal-Speicherung, KI-Analysen, Cookies oder Newsletter), lit. c DSGVO (gesetzliche Pflichten, z. B. steuerliche Aufbewahrung) sowie lit. f DSGVO (berechtigtes Interesse an Sicherheit, Missbrauchserkennung, Produktverbesserung).

Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) werden nur verarbeitet, wenn du ausdrücklich zustimmst (Art. 9 Abs. 2 lit. a DSGVO). Ohne dieses Opt-in bleiben Coach, Journal, Journeys, Community und Snippets deaktiviert.

Freiwillige Altersnachweise dienen ausschließlich der Erfüllung jugendschutzrechtlicher Pflichten und unseres Vertrags mit dir (Art. 6 Abs. 1 lit. c und b DSGVO). Nach Abschluss der Prüfung löschen wir die Nachweise spätestens nach 30 Tagen.

QueerMind wird auf europäischen Servern betrieben. Sämtliche Verbindungen erfolgen verschlüsselt und Datenbanken sowie Dateianhänge werden nach dem Stand der Technik geschützt gespeichert.

Serverlogs beschränken sich auf technisch notwendige Angaben (IP, User-Agent, Timestamp, Request-IDs) und werden nach spätestens 30 Tagen gelöscht, sofern keine Sicherheitsvorfälle vorliegen. Rate-Limit-Hits bleiben maximal 90 Tage gespeichert.

Beim reinen Besuch unserer Website und Landingpage verarbeiten wir ausschließlich die für die Auslieferung und Sicherheit der Seiten erforderlichen Daten (z. B. IP-Adresse, User-Agent, Zeitpunkt des Zugriffs, Referrer). Diese Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb).

Für Cookies und ähnliche Technologien (z. B. LocalStorage) nutzen wir ein Consent-Management-Tool. Funktionale Einträge, die etwa deine Cookie-Auswahl oder Sprache speichern, stützen wir auf Art. 6 Abs. 1 lit. b/f DSGVO sowie § 25 Abs. 2 TTDSG. Analyse- und Marketing-Technologien setzen wir ausschließlich nach deiner ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG); du kannst deine Auswahl jederzeit im Banner oder im Profil anpassen.

Coach-Eingaben werden vor der Weitergabe an OpenAI pseudonymisiert. Kontakte oder individuelle Kontakthinweise werden durch Platzhalter ersetzt (z. B. [phone], [email], [kb_link]); Ortsangaben (z. B. Stadt/Region) bleiben bewusst im Klartext, damit wir dir lokale Angebote nennen können. OpenAI Responses API verarbeitet die Daten ausschließlich zur Beantwortung deiner Anfrage; das Datalogging ist deaktiviert. Wir speichern lediglich die vom Modell erzeugten Antworten innerhalb deiner Chat-Sitzung.

Feedback (Likes, Dislikes, Kommentare) wird verschlüsselt gespeichert und kann von dir jederzeit gelöscht werden. Sollte ein Gespräch gemeldet werden, prüft unser Privacy-Team den Inhalt unter strengen Zugriffs- und Vertraulichkeitsvorgaben.

Journale, Journey-Ergebnisse und Snippets werden nur gespeichert, wenn du der jeweiligen Nutzung ausdrücklich zustimmst. Du kannst jeden Eintrag bearbeiten, exportieren oder löschen. Standardmäßig löschen wir automatische Sicherungen nach 730 Tagen, Snippets nach 540 Tagen und Journey-Duplikate nach Tagesabschluss.

Optional kannst du KI-Auswertungen für Journale aktivieren. Die Analyse läuft ausschließlich nach Opt-in und wird pro Eintrag gespeichert. Widerrufst du den Consent, werden künftige Einträge nicht mehr analysiert; bestehende Analysen kannst du löschen.

Community-Posts, Nachrichten, Reactions und Reports werden verschlüsselt gespeichert. Moderationshinweise (z. B. Meldungen) enthalten Metadaten zum Zeitpunkt, zur Kategorie und zur bearbeitenden Person. Events, Kalender und Erinnerungen speichern optional Terminangaben sowie persönliche Notizen; letztere werden vor einem Export pseudonymisiert.

User Blocks, Follows und Gruppenmitgliedschaften sind nur für dich und das Moderationsteam sichtbar. Nach Löschung deines Kontos entfernen wir personenbezogene Attribute (z. B. Anzeigename, Profilbild) aus Community-Inhalten oder löschen den kompletten Beitrag, sofern keine rechtliche Pflicht zur Aufbewahrung besteht.

Für die Abwicklung von Abonnements nutzen wir Stripe Payments Europe Ltd. sowie PayPal (Europe) S.à r.l. Wir erhalten ausschließlich transaktionsrelevante IDs (Customer-, Payment- und Subscription-ID) und Statusinformationen. Karten- oder Kontodaten werden nicht auf unseren Servern gespeichert.

Alle Zahlungsdienstleister unterliegen eigenständigen Datenschutzbestimmungen. Wir schließen Auftragsverarbeitungsverträge nach Art. 28 DSGVO ab und stellen sicher, dass Daten nur in dem Umfang verarbeitet werden, der für die Vertragsdurchführung notwendig ist.

Unsere Landingpage arbeitet ohne Tracking-Cookies. Das Cookie-Banner bzw. unser Consent-Management-Tool dokumentiert ausschließlich deine Auswahl. Unbedingt erforderliche Cookies – etwa zur Speicherung der Consent-Version oder Last-Verteilung – stützen wir auf Art. 6 Abs. 1 lit. b/f DSGVO sowie § 25 Abs. 2 TTDSG und sie können nicht deaktiviert werden.

Wir erfassen CTA-Klicks auf der Landingpage ausschließlich aggregiert (Tageszählung pro CTA/Placement) und ohne personenbezogene Identifier.

Wir verwenden Sentry oder vergleichbare Dienste für Fehler- und Performance-Monitoring, allerdings nur nach ausdrücklichem Opt-in für Analyse-Cookies. Marketing-Pixel oder Analyse-Cookies setzen wir ausschließlich nach Einwilligung (Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TTDSG); standardmäßig ist der Status „aus“. Ohne Einwilligung werden keine personenbezogenen Nutzungsprofile erstellt.

Für Push-Nachrichten nutzen wir die Benachrichtigungsdienste von Apple (APNs) und Google (FCM) sowie den Expo Push Service. Dabei wird ein gerätespezifischer Push-Token gespeichert, damit wir dir z. B. private Nachrichten oder Erinnerungen zustellen können. Du kannst Push-Benachrichtigungen jederzeit in den App-Einstellungen deaktivieren; wir speichern Tokens getrennt vom Profil und markieren sie bei Abmeldung als inaktiv.

Zur Stabilitätsüberwachung der mobilen Apps verwenden wir Firebase Crashlytics. Dabei werden Absturzberichte und technische Geräteinformationen verarbeitet (z. B. Gerätetyp, OS-Version, App-Version, Zeitpunkt des Crashes), nicht jedoch der Inhalt deiner Coach- oder Community-Nachrichten.

Geplante Sprachfunktionen oder Uploads werden erst verarbeitet, wenn die Features live gehen und du zugestimmt hast. Bis dahin findet keine Verarbeitung entsprechender Daten statt.

Supportanfragen werden im verschlüsselten Ticket-Speicher abgelegt und nach Ablauf der Aufbewahrungsfrist (180 Tage oder schneller bei Erledigung) gelöscht. Für Datenschutzbegehren (Auskunft, Export, Löschung) stehen dir Self-Service-Funktionen in deinem Profil (z. B. DSGVO-Export oder Löschung) sowie E-Mail zur Verfügung. Jede Anfrage erhält eine Fallnummer und wird revisionssicher dokumentiert.

Bei Sicherheitsvorfällen greifen wir auf ein dokumentiertes Incident-Response-Playbook zurück. Zugriff erhalten ausschließlich benannte Rollen. Meldungen an Behörden erfolgen innerhalb der gesetzlich vorgeschriebenen Fristen (max. 72 Stunden).

Wir übermitteln Daten nur an sorgfältig ausgewählte Dienstleister. Soweit Anbieter personenbezogene Daten in unserem Auftrag verarbeiten, agieren sie als Auftragsverarbeiter und sind durch Verträge nach Art. 28 DSGVO gebunden. Eine Weitergabe zu Werbezwecken findet nicht statt.

Wir halten uns an dokumentierte Retentions. Nach Ablauf der Fristen werden Daten automatisiert gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. steuerliche Unterlagen bis zu 10 Jahre).

Du hast das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch (Art. 15–21 DSGVO). Einwilligungen kannst du jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.

Zur Ausübung deiner Rechte nutze am besten die Profil-Funktionen oder kontaktiere uns per E-Mail. Zusätzlich steht dir das Recht zu, dich bei einer Aufsichtsbehörde zu beschweren, z. B. bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Postfach 20 04 44, 40102 Düsseldorf, https://www.ldi.nrw.de/.

Du kannst dein Konto jederzeit selbst loeschen. Die Loeschung entfernt dein Profil sowie saemtliche gespeicherten Inhalte (z. B. Chats, Journale, Snippets, Community-Inhalte), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

So funktioniert die Kontoloeschung:

Alternativ kannst du die Loeschung per E-Mail an privacy@queermind.ai anfordern.

Du kannst auch einzelne Daten ohne Kontoloeschung entfernen (z. B. einzelne Chats, Journaleintraege oder Snippets) und deine Daten jederzeit exportieren.

Du kannst einzelne Datenkategorien ohne Kontoloeschung entfernen. Das gilt z. B. fuer Coach-Verlaeufe, Analysen, Journale oder gespeicherte Snippets.

So forderst du die Loeschung einzelner Daten an:

Alle sensiblen Daten (Journale, Snippets, Coach-Notizen, Supporttickets, Altersnachweise) werden verschlüsselt gespeichert. Zugriffe erfolgen nach dem Need-to-know-Prinzip, sind protokolliert und werden regelmäßig überprüft. Admin-Logins erfordern starke Authentifizierungsverfahren.

Wir überprüfen unsere Datenschutz-Folgenabschätzung regelmäßig und lassen technische und organisatorische Maßnahmen extern prüfen. Fehlerberichte werden datensparsam verarbeitet; vertrauliche Zugangsdaten werden in einem gesicherten Secrets-Management-System verwaltet.

Sofern Dienstleister ihren Sitz außerhalb der EU/des EWR haben (z. B. OpenAI, Sentry), stützen wir die Übermittlung auf Standardvertragsklauseln (SCC), zusätzliche Verschlüsselung sowie Datensparsamkeit. Zugriff auf entschlüsselbare Inhalte bleibt auf EU-Server beschränkt.

Wir beurteilen Drittstaatentransfers regelmäßig und passen Schutzmaßnahmen bei Änderungen der Rechtslage an. Soweit unsere Dienstleister für das EU–US Data Privacy Framework zertifiziert sind, können wir uns zusätzlich darauf stützen.

Wir aktualisieren diese Datenschutzerklärung, wenn neue Funktionen, rechtliche Anforderungen oder Sicherheitsverbesserungen dies erforderlich machen. Über wesentliche Änderungen informieren wir in der App, per Release-Notes oder per E-Mail. Die jeweils aktuelle Fassung ist unter https://queermind.ai/legal/datenschutz abrufbar.

Stand: 30. Dezember 2025