---
title: "Datenschutzerklärung für Minds"
description: "Stand: 7. Juli 2026"
canonical_url: "https://getminds.ai/legal/de/dataprivacy"
last_updated: "2026-07-12T20:40:51.192Z"
---

# Datenschutzerklärung für Minds

**Stand: 7. Juli 2026**

Diese Datenschutzerklärung informiert über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten innerhalb der von **Art of X UG (haftungsbeschränkt)** (nachfolgend "wir" oder "uns") betriebenen Plattform.

## 1. Verantwortlicher für die Datenverarbeitung

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze ist:

**Art of X UG (haftungsbeschränkt)**<br />


Köpenicker Straße 145<br />


10997 Berlin<br />


Deutschland

E-Mail: [privacy@getminds.ai](mailto:privacy@getminds.ai)

## 2. Datenschutzbeauftragter

Der externe Datenschutzbeauftragte ist wie folgt zu erreichen:

Prof. Dr. Norman Uhlmann<br />


h3ko Innovations GmbH<br />


Pappelallee 64<br />


16359 Biesenthal<br />


Deutschland

E-Mail: [privacy@getminds.ai](mailto:privacy@getminds.ai)

## 3. Grundsätzliches zur Datenverarbeitung

Gegenstand des Datenschutzes sind personenbezogene Daten. Dies sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (sog. „betroffene Person") beziehen. Personenbezogene Daten von Nutzern werden grundsätzlich nur verarbeitet, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie der Inhalte und Leistungen erforderlich ist.

### Pflicht zur Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die Bereitstellung der erforderlichen Daten (wie E-Mail-Adresse und Name für die Registrierung) können wir Ihnen jedoch keinen Zugang zu unseren Diensten gewähren. Daten, die bei der Registrierung oder Nutzung als Pflichtfelder gekennzeichnet sind, werden zur Vertragserfüllung benötigt. Die Nichtbereitstellung dieser Daten hat zur Folge, dass die entsprechenden Dienste nicht genutzt werden können. Die Bereitstellung optionaler Daten ist freiwillig und hat keinen Einfluss auf Ihre Nutzungsmöglichkeit der Kerndienste.

## 4. Welche Daten verarbeitet werden und zu welchem Zweck

### a. Bereitstellung der Webseite und Erstellung von Logfiles (Hosting)

Bei jedem Aufruf der Webseite erfasst das System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Diese Daten werden in den Logfiles des Servers gespeichert. Folgende Daten werden hierbei erhoben:

- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Datei
- Website, von der aus der Zugriff erfolgt (Referrer-URL)
- Verwendeter Browser und ggf. das Betriebssystem des Rechners

Diese Daten werden verarbeitet, um einen reibungslosen Verbindungsaufbau und eine komfortable Nutzung der Website zu gewährleisten sowie zur Auswertung der Systemsicherheit und -stabilität. Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Das berechtigte Interesse folgt aus den oben aufgelisteten Zwecken zur Datenerhebung.

Für das Hosting der Webseite werden die Dienste von **DigitalOcean, LLC**, 101 6th Ave, New York, NY 10013, USA, genutzt. Unsere Infrastruktur wird in der Region Frankfurt (Deutschland) innerhalb der EU gehostet. Es wurde mit DigitalOcean ein Vertrag zur Auftragsverarbeitung (AVV) abgeschlossen. Durch diesen Vertrag versichert DigitalOcean, dass die Daten im Einklang mit der DSGVO verarbeitet und der Schutz der Rechte der betroffenen Personen gewährleistet wird. Weitere Informationen finden sich in der Datenschutzerklärung von DigitalOcean: [https://www.digitalocean.com/legal/privacy-policy](https://www.digitalocean.com/legal/privacy-policy).

#### Cloudflare (CDN, DNS & Sicherheit)

**Cloudflare, Inc.**, 101 Townsend St, San Francisco, CA 94107, USA, wird für die Bereitstellung von Inhalten (CDN), DNS-Verwaltung, DDoS-Schutz und Webanwendungssicherheit eingesetzt. Beim Zugriff auf unsere Webseite werden Ihre Anfragen über das Netzwerk von Cloudflare geleitet. Dabei kann Cloudflare Ihre IP-Adresse, Request-Header und weitere Verbindungsmetadaten verarbeiten, um Inhalte auszuliefern, vor Angriffen zu schützen und die Performance zu optimieren.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Gewährleistung der Sicherheit, Verfügbarkeit und Performance unserer Webseite. Es wurde mit Cloudflare ein Vertrag zur Auftragsverarbeitung (AVV) abgeschlossen. Die Datenübertragung in die USA wird durch die Teilnahme von Cloudflare am EU-US Data Privacy Framework und ergänzend durch Standardvertragsklauseln (SCCs) abgesichert. Weitere Informationen: [https://www.cloudflare.com/privacypolicy/](https://www.cloudflare.com/privacypolicy/).

### b. Bei der Registrierung und Nutzung eines Accounts (Authentifizierung & Datenbank)

Zur Nutzung der Plattform ist das Anlegen eines Benutzerkontos erforderlich. Hierbei werden folgende Daten erhoben:

- Name
- E-Mail-Adresse
- Passwort (gespeichert in verschlüsselter Form)

Diese Daten sind erforderlich, um das Konto zu verwalten und den Zugang zu den Diensten zu ermöglichen. Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Für die Authentifizierung und die Verwaltung der Nutzerdatenbank werden die Dienste von **Supabase Inc.**, 970 Toa Payoh North #07-04, Singapore 318992, genutzt. Supabase stellt die Backend-Infrastruktur für die Plattform bereit. Die Speicherung der Daten, einschließlich der Datenbank, Authentifizierung, des Speichers und der KI-bezogenen Einbettungen, erfolgt in der Region Nord-EU (Stockholm, `eu-north-1`). Es wurde mit Supabase ein Vertrag zur Auftragsverarbeitung (AVV) abgeschlossen. Weitere Informationen zum Datenschutz bei Supabase finden sich hier: [https://supabase.com/privacy](https://supabase.com/privacy).

### c. KI-gestützte Funktionen

Für die Bereitstellung von KI-gestützten Funktionen werden die folgenden Dienste genutzt:

#### OpenAI (Textgenerierung, Einbettungen, Bildanalyse)

**OpenAI OpCo, LLC**, 3180 18th St, San Francisco, CA 94110, USA, wird für Textgenerierung, Erstellung von Einbettungen aus Nutzerinhalten, Sprach-Transkription (Whisper) und Bildanalyse genutzt.

Wenn diese Funktionen genutzt werden, werden die relevanten Daten (z.B. Texteingaben oder zu analysierende Inhalte) an die Server von OpenAI zur Verarbeitung gesendet. Es werden von unserer Seite keine personenbezogenen Daten über das für die Funktion notwendige Maß hinaus an OpenAI übermittelt und wir speichern die von OpenAI generierten Ergebnisse in unserem System, das auf Supabase (siehe oben) gehostet wird.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da diese Funktionen Kernbestandteil der angebotenen Dienste sind. Es wurde mit OpenAI ein Vertrag zur Auftragsverarbeitung abgeschlossen. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Weitere Informationen zum Datenschutz bei OpenAI finden sich hier: [https://openai.com/policies/privacy-policy](https://openai.com/policies/privacy-policy).

#### Anthropic (Textgenerierung mit Claude-Modellen)

**Anthropic PBC**, 548 Market St, PMB 87430, San Francisco, CA 94104, USA, wird für fortgeschrittene Textgenerierung mit Claude-KI-Modellen genutzt. Wenn diese Funktionen genutzt werden, werden Ihre Texteingaben und Prompts zur Verarbeitung an die Server von Anthropic übertragen.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da diese Funktionen Kernbestandteil der angebotenen Dienste sind. Es wurde mit Anthropic ein Vertrag zur Auftragsverarbeitung abgeschlossen. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Weitere Informationen zum Datenschutz bei Anthropic finden sich hier: [https://www.anthropic.com/legal/privacy](https://www.anthropic.com/legal/privacy).

#### Google AI (Textgenerierung mit Gemini-Modellen)

**Google LLC**, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, wird für Textgenerierung und KI-gestützte Funktionen mit Gemini-Modellen genutzt. Wenn diese Funktionen genutzt werden, werden Ihre Texteingaben und Prompts zur Verarbeitung an die Server von Google übertragen.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da diese Funktionen Kernbestandteil der angebotenen Dienste sind. Es wurde mit Google ein Vertrag zur Auftragsverarbeitung abgeschlossen. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Weitere Informationen zum Datenschutz bei Google finden sich hier: [https://policies.google.com/privacy?hl=de](https://policies.google.com/privacy?hl=de).

#### ElevenLabs (Sprachverarbeitung)

**ElevenLabs Inc.**, 20-22 Wenlock Road, London, N1 7GU, Vereinigtes Königreich, wird für Sprachsynthese (Text-zu-Sprache) und Sprach-Transkription (Scribe v1) genutzt. Wenn Sie Sprachfunktionen nutzen, werden Audiodaten zur Verarbeitung an ElevenLabs übertragen.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Es wurde mit ElevenLabs ein Vertrag zur Auftragsverarbeitung abgeschlossen. Die Datenübertragung in das Vereinigte Königreich ist durch den Angemessenheitsbeschluss der EU-Kommission für das UK (Beschluss 2021/1772) abgedeckt, der ein angemessenes Datenschutzniveau gewährleistet. Weitere Informationen: [https://elevenlabs.io/privacy](https://elevenlabs.io/privacy).

#### Replicate (KI-Modell-Infrastruktur)

**Replicate, Inc.**, 340 S Lemon Ave #4133, Walnut, CA 91789, USA, wird als Infrastruktur für den Betrieb von KI-Bildgenerierungsmodellen genutzt. Wenn Sie Bilder generieren, werden Ihre Text-Prompts zur Verarbeitung an die Server von Replicate übertragen.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da diese Funktionen Kernbestandteil der angebotenen Dienste sind. Es wurde mit Replicate ein Vertrag zur Auftragsverarbeitung abgeschlossen. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Weitere Informationen zum Datenschutz bei Replicate finden sich hier: [https://replicate.com/privacy](https://replicate.com/privacy).

#### Langfuse (KI-Observability & Prompt-Verwaltung)

**Langfuse GmbH**, Residenzstraße 27A, 80333 München, Deutschland, wird für die Verwaltung von KI-Prompts, Tracking von KI-Interaktionen und System-Observability genutzt. Dies hilft uns, die Servicequalität zu verbessern und Probleme zu debuggen. Technische Metadaten über KI-Interaktionen werden verarbeitet.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Sicherstellung der Servicequalität, dem Debugging von Problemen und der Verbesserung unserer KI-Funktionen. Da Langfuse in Deutschland ansässig ist, verbleiben die Daten innerhalb der EU. Es wurde mit Langfuse ein Vertrag zur Auftragsverarbeitung abgeschlossen. Weitere Informationen: [https://langfuse.com/docs/data-security-privacy](https://langfuse.com/docs/data-security-privacy).

#### Deepgram (Sprache-zu-Text)

**Deepgram, Inc.**, 548 Market St, Suite 25104, San Francisco, CA 94104, USA, wird für die Echtzeit-Sprachtranskription (Sprache-zu-Text) mit dem Nova-3-Modell genutzt. Wenn Sie Sprachfunktionen nutzen, werden Ihre Audiodaten in Echtzeit an die Server von Deepgram zur Transkription gestreamt. Deepgram verarbeitet Audio in Echtzeit und speichert keine Audioaufnahmen nach Abschluss der Transkription.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da die Sprachtranskription ein Kernbestandteil der angebotenen Sprachfunktionen ist. Es wurde mit Deepgram ein Vertrag zur Auftragsverarbeitung abgeschlossen. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Weitere Informationen: [https://deepgram.com/privacy](https://deepgram.com/privacy).

#### Fish Audio (Sprachsynthese & Klonen)

**Hanabi AI Inc.** (betrieben als Fish Audio), 131 Continental Dr, Suite 305, Newark, DE 19713, USA, wird für Text-zu-Sprache-Synthese und Stimmklonen genutzt. Wenn Sie Sprachfunktionen nutzen, wird Text zur Sprachsynthese an Fish Audio gesendet. Wenn Sie einen Stimmklon erstellen, werden die von Ihnen bereitgestellten Audiosamples zur Trainierung des Stimmmodells an Fish Audio übertragen.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da Sprachsynthese und Klonen Kernbestandteile der angebotenen Sprachfunktionen sind. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Weitere Informationen: [https://fish.audio/privacy](https://fish.audio/privacy).

### d. Inhalte in Flows und Training von Minds (Nutzerinhalte)

Das Herzstück der Plattform ist die Verarbeitung von Inhalten, die von Nutzern in „Flows“ (kollaborative Arbeitsbereiche) erstellt und mit „Minds“ (KI-Assistenten; in früheren Versionen als „Sparks“ bezeichnet) geteilt werden. Dies können beispielsweise Sprachaufnahmen, Texte, Bilder oder andere kreative Werke sein („Nutzerinhalte“).

Diese Daten werden für folgende Zwecke verarbeitet:

- **Training eines persönlichen KI-Modells („My Mind“):** Die Nutzerinhalte werden verwendet, um ein persönliches KI-Modell zu erstellen und zu trainieren, das auf den individuellen Beiträgen basiert.
- **Training allgemeiner KI-Modelle:** Sofern eine ausdrückliche Einwilligung (Opt-in) erteilt wurde, werden die Nutzerinhalte auch verwendet, um sie in unsere größeren, allgemeinen KI-Modelle einfließen zu lassen. Diese Modelle können für kommerzielle Zwecke genutzt und Kunden zur Verfügung gestellt werden. **Wichtiger Hinweis für Team-Nutzer:** Inhalte, die im Rahmen eines Team-Kontos oder in geteilten Team-Flows erstellt werden, sind von dieser Regelung grundsätzlich ausgeschlossen und werden unter keinen Umständen für das Training allgemeiner KI-Modelle verwendet.

Die Verarbeitung der Nutzerinhalte zum Training persönlicher KI-Modelle erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Verarbeitung zum Training allgemeiner KI-Modelle erfolgt ausschließlich auf Grundlage einer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

### d2. Group Grounding und öffentliche Verteilungsdaten

Für das Feature **Group Grounding** und verwandte Gruppen-Funktionalitäten (synthetische Panels, Group Cover, Zielgruppen-Simulation, Marketplace-Gruppen) ingestiert und verarbeitet die Plattform öffentlich verfügbare statistische und Verteilungsdaten, um synthetische Gruppen von Minds in plausiblen realen Verteilungen zu verankern. Verarbeitet werden insbesondere:

- **Aggregierte demografische und Bevölkerungsstatistiken** (z.B. Alters-, Geschlechts-, Berufs-, Bildungs- und geografische Verteilungen) aus öffentlichen Statistikämtern, zensus-artigen Datensätzen und vergleichbaren Open-Data-Quellen.
- **Branchen-, Markt- und Arbeitsmarkt-Benchmarks** aus öffentlich verfügbaren Berichten, Marktforschungs-Zusammenfassungen und Fachpublikationen.
- **Öffentliche Web-Inhalte**, abgerufen über unseren Web-Search-Anbieter (Tavily, siehe Abschnitt 4.g), wenn Sie ausdrücklich das Grounding aus einer öffentlichen Quelle anfordern (z.B. eine öffentlich zugängliche Profilseite, eine Unternehmens-Website oder ein Nachrichtenartikel, den Sie als Eingabe übermitteln).
- **Technische Metadaten** zur Grounding-Anfrage selbst (Ihre Konto-ID, die angeforderten Verteilungsparameter, der Zeitstempel und die resultierende Gruppen-Konfiguration), damit die Konfiguration reproduzierbar und auditierbar bleibt.

Diese Verarbeitung dient dazu, realistische, statistisch fundierte synthetische Gruppen für Forschung, Simulation und kreative Arbeit zu erzeugen. **Es werden keine personenbezogenen Daten identifizierbarer natürlicher Personen erzeugt, profiliert, getargetet oder gespeichert**, soweit es um die Verteilungsdaten selbst geht; die Verarbeitung erfolgt in aggregierter, statistischer Form. Soweit Sie Eingaben übermitteln, die personenbezogene Daten Dritter enthalten können (z.B. einen Link zu einem öffentlichen Profil), sind Sie für die Rechtmäßigkeit dieser Übermittlung verantwortlich und versichern, dass Sie alle erforderlichen Rechte und Einwilligungen besitzen (siehe Abschnitt 4 unserer AGB).

Die Rechtsgrundlagen für diese Verarbeitung sind:

- **Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)** für die Verarbeitung Ihrer Konto-ID, der Grounding-Konfiguration und der von Ihnen übermittelten Such-Eingaben, soweit dies zur Erbringung des von Ihnen angeforderten Group-Grounding-Features erforderlich ist.
- **Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)** für das Ingesten und Cachen öffentlich verfügbarer aggregierter Statistiken. Unser berechtigtes Interesse liegt in der Bereitstellung eines robusten, reproduzierbaren und statistisch aussagekräftigen Grounding-Features; die Quelldaten sind bereits öffentlich und aggregiert, und unser Interesse überwiegt die Rechte der Betroffenen, da keine identifizierbaren natürlichen Personen verarbeitet werden.
- Ergänzend wird die Verarbeitung aggregierter Statistiken zu synthetischen Forschungszwecken durch **§ 27 BDSG** (Verarbeitung zu wissenschaftlichen oder statistischen Zwecken) gestützt, soweit anwendbar.

**Aufbewahrung:** Aggregierte Verteilungsdatensätze werden für die Dauer ihrer Verwendbarkeit als Ground-Truth-Referenz gecacht und bei Aktualisierungen der Quelldaten erneuert; Gruppen-Konfigurationen werden für die Dauer des Nutzerkontos plus 30 Tage nach Löschung gespeichert (siehe Abschnitt 5). Über den Web-Search-Anbieter übermittelte Eingaben werden gemäß dessen Bedingungen aufbewahrt (siehe Abschnitt 4.g).

**Auftragsverarbeiter für Group Grounding** sind die unter Abschnitt 4.c gelisteten KI-Anbieter (zur Erzeugung gegroundeter Ausgaben), Tavily (Abschnitt 4.g, für öffentliche Web-Suche, sofern genutzt) sowie unsere Hosting- und Datenbank-Provider (Abschnitt 4.a–4.b).

### e. Abwicklung von Zahlungen

Sofern kostenpflichtige Dienste in Anspruch genommen werden, werden Zahlungsdaten zum Zweck der Vertragsabwicklung verarbeitet. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Die Abwicklung von Zahlungen erfolgt über den Zahlungsdienstleister **Stripe Payments Europe, Ltd.**, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Es werden keine Kreditkartendaten gespeichert, sondern diese direkt an Stripe weitergegeben. Stripe ist ein zertifizierter Partner und unterliegt strengen Datenschutz- und Sicherheitsstandards. Es wurde mit Stripe ein Vertrag zur Auftragsverarbeitung abgeschlossen. Weitere Informationen zum Datenschutz bei Stripe finden sich unter: [https://stripe.com/de/privacy](https://stripe.com/de/privacy).

### f. Mobile App-Dienste (iOS/Android)

Wenn Sie Minds über unsere mobilen Anwendungen (iOS/Android) nutzen, werden die folgenden zusätzlichen Dienste und Gerätefunktionen verwendet:

#### Firebase Cloud Messaging (Push-Benachrichtigungen)

**Google LLC** (Firebase), 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, wird für die Zustellung von Push-Benachrichtigungen auf Ihr Gerät genutzt. Wenn Sie Push-Benachrichtigungen aktivieren, wird ein Geräte-Token (eine eindeutige Kennung für Ihr Gerät) generiert und auf unseren Servern gespeichert, um Benachrichtigungen zuzustellen. Über die Benachrichtigungsinhalte hinaus werden keine weiteren Daten an Firebase weitergegeben.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), da Push-Benachrichtigungen nur nach ausdrücklicher Genehmigung gesendet werden. Sie können diese Einwilligung jederzeit widerrufen, indem Sie die Benachrichtigungen in Ihren Geräteeinstellungen deaktivieren. Es wurde mit Google ein Vertrag zur Auftragsverarbeitung abgeschlossen. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Weitere Informationen: [https://firebase.google.com/support/privacy](https://firebase.google.com/support/privacy).

#### RevenueCat (In-App-Käufe)

**RevenueCat, Inc.**, 1032 E Brandon Blvd #3003, Brandon, FL 33511, USA, wird für die Verwaltung von In-App-Käufen und Abonnements auf mobilen Geräten genutzt. RevenueCat verarbeitet eine anonymisierte Benutzerkennung, Kaufbelege und den Abonnementstatus. Keine personenbezogenen Daten wie Name oder E-Mail werden an RevenueCat übermittelt.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da die Verwaltung von In-App-Käufen zur Bereitstellung kostenpflichtiger Dienste erforderlich ist. Es wurde mit RevenueCat ein Vertrag zur Auftragsverarbeitung abgeschlossen. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Weitere Informationen: [https://www.revenuecat.com/privacy](https://www.revenuecat.com/privacy).

#### Native Authentifizierung (Apple/Google Sign-In)

Wenn Sie sich über Apple Sign-In oder Google Sign-In auf mobilen Geräten anmelden, wird ein Identitäts-Token von Apple oder Google ausgestellt und mit unserem Authentifizierungsdienst (Supabase) ausgetauscht, um Ihr Konto zu erstellen oder zu verknüpfen. Wir erhalten nur die Informationen, die Sie autorisieren (in der Regel Name und E-Mail-Adresse). Auf unseren Servern werden keine Anmeldedaten gespeichert; die Authentifizierung erfolgt über einen sicheren Token-Austausch.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

#### Geräteberechtigungen

Die mobile App kann Zugriff auf die folgenden Gerätefunktionen anfordern:

- **Mikrofon:** Erforderlich für den Sprachmodus (Echtzeitgespräche). Audio wird zur Transkription an Deepgram gestreamt und nicht auf unseren Servern gespeichert.
- **Kamera:** Wird für die Aufnahme von Bildern zum Hochladen als Inhalt für die KI-Analyse verwendet. Bilder werden nur verarbeitet, wenn Sie eine Aufnahme ausdrücklich initiieren.
- **Fotomediathek:** Wird verwendet, um vorhandene Bilder oder Dateien zum Hochladen auszuwählen. Es wird nur auf Dateien zugegriffen, die Sie ausdrücklich auswählen.

Jede Berechtigung wird nur angefordert, wenn Sie die entsprechende Funktion zum ersten Mal nutzen. Sie können jede Berechtigung jederzeit über Ihre Geräteeinstellungen widerrufen. Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

### g. Zusätzliche Datenverarbeitungsdienste

Die Plattform nutzt zusätzliche spezialisierte Dienste zur Verbesserung der Funktionalität. Diese Dienste verarbeiten nur die Eingaben, die für die von Ihnen angeforderte Funktion erforderlich sind.

#### Tavily (Web-Suche)

**Tavily AI**, Dienste über api.tavily.com, wird für Web-Suchfunktionen innerhalb der Plattform genutzt. Bei der Nutzung von Suchfunktionen können Suchanfragen, übermittelte URLs und öffentliche Seitenauszüge an Tavily übertragen werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Die Datenübertragung in die USA wird auf Standardvertragsklauseln gestützt. Weitere Informationen: [https://tavily.com/privacy](https://tavily.com/privacy).

#### Firecrawl (Web-Extraktion und Screenshots)

**Firecrawl**, betrieben von SideGuide Technologies, Inc., wird genutzt, um öffentliche Webseiten oder Screenshots abzurufen, zu extrahieren und teilweise visuell zu analysieren, wenn Sie Links einreichen oder Web-/Quellenanalyse anfordern. Verarbeitet werden können übermittelte URLs, Seiteninhalte, Screenshots und technische Metadaten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für angeforderte Quellenanalyse und Art. 6 Abs. 1 lit. f DSGVO für Quellenqualität, Sicherheit und Debugging. Drittlandübermittlungen werden auf Standardvertragsklauseln gestützt. Weitere Informationen: [https://www.firecrawl.dev/privacy-policy](https://www.firecrawl.dev/privacy-policy).

#### Apify (Social- und Video-Quellenextraktion)

**Apify Technologies s.r.o.**, Tschechien, wird für die Extraktion öffentlicher Social-Media-, Web- und Video-Transkript-/Inhaltsdaten genutzt, wenn Sie eine URL bereitstellen oder Quellensammlung für einen Mind anfordern. Verarbeitet werden können übermittelte URLs, öffentliche Profil-/Post-/Video-Metadaten, Transkripte und Extraktionsprotokolle.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

#### Serper (Search API)

**Serper** wird für öffentliche Suche, Bild-/Videosuche und Quellenermittlung genutzt, wenn Sie diese Funktionen anfordern. Suchbegriffe und Ergebnis-Metadaten werden übertragen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Drittlandübermittlungen werden, soweit erforderlich, auf Standardvertragsklauseln gestützt.

#### Public API, MCP, Browser-Erweiterung und externe Clients

Wenn Sie unsere Public API, den MCP-Server, die Browser-Erweiterung, Widgets oder Drittanbieter-Clients verwenden, die eine Verbindung zu Minds herstellen (z. B. ChatGPT, Claude, OpenRouter, Open WebUI oder LibreChat), verarbeiten wir API-Schlüssel, OAuth-Autorisierungscodes/Zugriffstoken, Scopes, Request-Metadaten, Tool-Aufrufe, Prompts, Inhalte, Widget-/Session-Kennungen und Audit-Logs, die zur Authentifizierung, Weiterleitung, Absicherung und Bereitstellung der Integration erforderlich sind.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheits- und Audit-Logging. Von Ihnen ausgewählte Drittanbieter-Clients können Ihre Daten eigenständig nach ihren eigenen Bedingungen verarbeiten.

#### Google Calendar-Integration

Wenn Sie Google Calendar verbinden, nutzen wir die Google Calendar API zur Synchronisierung von Kalenderereignissen und zugehörigen Metadaten. Wir fordern den Scope calendar.events an, speichern Access-/Refresh-Tokens, erstellen Webhook-Channels, lesen künftige Ereignismetadaten und Teilnehmer, erstellen zugehörige Minds und können Ereignisbeschreibungen mit Mind-Links aktualisieren, sofern aktiviert. Daten umfassen Kalender-IDs, Ereignis-IDs, Titel/Beschreibungen/Zeiten, Namen/E-Mail-Adressen von Teilnehmern, Webhook-Kennungen, Token-Scopes/-Ablauf und Synchronisationsstatus.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO. Sie können die Integration in den Einstellungen trennen; Tokens, Webhook-Channels und synchronisierte Ereignisse werden vorbehaltlich der Backup-Aufbewahrung gelöscht.

#### Twilio (SMS, WhatsApp und Sprachanrufe)

Optionale Messaging- und Telefonfunktionen nutzen **Twilio Inc.** für SMS, WhatsApp-Absenderverwaltung, Rufnummernbereitstellung und Sprachanruf-Medienstreams. Daten können zugewiesene Rufnummern, Anrufer-/Absendernummern, Nachrichtenmetadaten/-inhalte, Anrufmetadaten und Anruf-Audiostreams umfassen. Sprachanrufe können außerdem wie oben beschrieben von Deepgram und Fish Audio verarbeitet werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO; soweit für Anrufaufzeichnung, Voice Cloning oder ähnliche Funktionen eine Einwilligung erforderlich ist, gilt Art. 6 Abs. 1 lit. a DSGVO.

### h. Kommunikation per E-Mail

Für den Versand von plattformbezogenen E-Mails (z.B. Registrierungsbestätigungen, Passwort-Zurücksetzungen) wird der Dienst **Resend** genutzt, angeboten von Resend Inc., 548 Market St PMB 95453, San Francisco, CA 94104-5401, USA. Resend verarbeitet die E-Mail-Adresse im Auftrag.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionsbezogene E-Mails. Es wurde mit Resend ein Vertrag zur Auftragsverarbeitung (AVV) abgeschlossen. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Weitere Informationen finden sich in der Datenschutzerklärung von Resend: [https://resend.com/legal/privacy-policy](https://resend.com/legal/privacy-policy).

### i. Cookies

Auf der Webseite und in der App werden Cookies, Local Storage und vergleichbare Technologien verwendet. Erforderliche Speicherung dient Login, Sicherheit, Sprache, Einwilligung, Session und Kernfunktionen. Nicht erforderliche Analyse- oder Marketing-Cookies sowie vergleichbare Endgerätespeicherung werden nur mit Einwilligung eingesetzt.

Für Nutzer in Deutschland beruht der Zugriff auf oder die Speicherung von Informationen auf dem Endgerät, soweit anwendbar, auf § 25 TDDDG. Die damit verbundene Verarbeitung personenbezogener Daten beruht bei einwilligungsbasierten Analyse- und Marketingzwecken auf Art. 6 Abs. 1 lit. a DSGVO und bei unbedingt erforderlichen Sicherheits-, Betrugspräventions- und Dienstfunktionen auf Art. 6 Abs. 1 lit. f DSGVO. Sie können Einwilligungen jederzeit über unsere Cookie-Einstellungen ändern oder widerrufen. Der Browser kann Cookies ablehnen oder löschen; manche Kernfunktionen können dann nicht verfügbar sein.

### j. Webanalyse mit Google Analytics

Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Ireland Limited („Google"), Gordon House, Barrow Street, Dublin 4, Irland.

Google Analytics verwendet Cookies, die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Die Speicherung von Google-Analytics-Cookies und die Nutzung dieses Analyse-Tools erfolgen auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Diese Einwilligung können Sie jederzeit über unsere Cookie-Einstellungen ändern oder widerrufen.

Wir haben auf dieser Website die Funktion IP-Anonymisierung aktiviert. Dadurch wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt.

Wir haben mit Google einen Vertrag zur Auftragsverarbeitung abgeschlossen.

Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Details finden Sie hier: [https://privacy.google.com/businesses/controllerterms/mccs/](https://privacy.google.com/businesses/controllerterms/mccs/).

Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: [https://support.google.com/analytics/answer/6004245?hl=de](https://support.google.com/analytics/answer/6004245?hl=de).

### k. Produktanalyse mit PostHog

Wir nutzen den Produktanalysedienst **PostHog**, angeboten von PostHog, Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA.

PostHog hilft uns zu verstehen, wie Nutzer mit unserer Plattform interagieren, und kann Session-Replay umfassen. Persistente Analyse-Cookies, LocalStorage-Persistenz, Nutzeridentifikation für Analytics und Session-Replay werden nur mit Analytics-Einwilligung eingesetzt. Ohne Analytics-Einwilligung wird PostHog ohne persistente Analyse-Cookies konfiguriert; begrenzte cookielose oder im Speicher gehaltene Ereignisse können, soweit rechtlich zulässig, für Produktzuverlässigkeit, Missbrauchsprävention und aggregierte Serviceverbesserung verarbeitet werden.

Rechtsgrundlage für einwilligungsbasierte Analytics ist Art. 6 Abs. 1 lit. a DSGVO. Für begrenzte Sicherheits-, Zuverlässigkeits- und Missbrauchspräventionsverarbeitung, die für den Dienst erforderlich ist, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Sie können Einwilligungen in den Cookie-Einstellungen ändern oder widerrufen.

Wir haben mit PostHog einen Vertrag zur Auftragsverarbeitung abgeschlossen. Die Daten werden in der EU-Region verarbeitet. Weitere Informationen finden Sie in der Datenschutzerklärung von PostHog: [https://posthog.com/privacy](https://posthog.com/privacy).

### l. A/B-Testing mit Convoy Labs

Wir nutzen **Convoy Labs** für A/B-Tests von KI-Agenten-Konfigurationen, um die Qualität und Performance unserer KI-Funktionen zu optimieren. Wenn Sie mit KI-Funktionen interagieren, können technische Metadaten über die Interaktion (z.B. welche Modellkonfiguration verwendet wurde und Qualitätsmetriken der Antworten) von Convoy Labs verarbeitet werden.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Optimierung und Verbesserung der Qualität unserer KI-Funktionen. Es wurde mit Convoy Labs ein Vertrag zur Auftragsverarbeitung abgeschlossen. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Es werden keine personenbezogenen Daten über technische Interaktionsmetadaten hinaus an Convoy Labs übermittelt.

### m. Conversion-Tracking mit TikTok Pixel

Wir nutzen das **TikTok Pixel**, ein Conversion-Tracking-Tool der TikTok Information Technologies UK Limited bzw. TikTok Technology Limited ("TikTok"). Das TikTok Pixel ermöglicht es uns, Nutzeraktionen nachzuverfolgen und die Wirksamkeit von Werbekampagnen auf TikTok zu messen.

Das TikTok Pixel erfasst Daten über Ihre Interaktionen mit unserer Website (z. B. Seitenaufrufe, Registrierungen) und übermittelt diese an TikTok. Das TikTok Pixel wird **nur mit Ihrer ausdrücklichen Einwilligung** für Marketing-Cookies aktiviert (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen.

Die Datenübertragung in Drittländer wird durch Standardvertragsklauseln der EU-Kommission abgesichert. Weitere Informationen zur Datenverarbeitung durch TikTok: [https://www.tiktok.com/legal/page/eea/privacy-policy/de](https://www.tiktok.com/legal/page/eea/privacy-policy/de).

### n. Conversion-Tracking mit X Pixel

Wir nutzen das **X Pixel** (ehemals Twitter Pixel), ein Conversion-Tracking-Tool der X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA ("X"). Dieses Tool hilft uns dabei, den Erfolg unserer Werbeanzeigen auf X zu messen.

Das X Pixel erfasst Aktionen auf unserer Website und übermittelt diese an X. Das X Pixel wird **nur mit Ihrer ausdrücklichen Einwilligung** für Marketing-Cookies aktiviert (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen.

Die Datenübertragung in die USA wird durch Standardvertragsklauseln der EU-Kommission abgesichert. Weitere Informationen zur Datenverarbeitung durch X: [https://twitter.com/de/privacy](https://twitter.com/de/privacy).

## 5. Speicherdauer und Datenlöschung

Personenbezogene Daten werden für die folgenden Zeiträume gespeichert:

<table>
<thead>
  <tr>
    <th>
      Datenkategorie
    </th>
    
    <th>
      Speicherdauer
    </th>
    
    <th>
      Grund
    </th>
  </tr>
</thead>

<tbody>
  <tr>
    <td>
      Kontodaten (Name, E-Mail)
    </td>
    
    <td>
      Dauer des Kontos + 30 Tage nach Löschung
    </td>
    
    <td>
      Vertragserfüllung und Kontowiederherstellung
    </td>
  </tr>
  
  <tr>
    <td>
      Nutzerinhalte (Flows, Minds)
    </td>
    
    <td>
      Dauer des Kontos + 30 Tage nach Löschung
    </td>
    
    <td>
      Vertragserfüllung
    </td>
  </tr>
  
  <tr>
    <td>
      Group-Grounding-Konfigurationen und -Eingaben
    </td>
    
    <td>
      Dauer des Kontos + 30 Tage nach Löschung
    </td>
    
    <td>
      Vertragserfüllung
    </td>
  </tr>
  
  <tr>
    <td>
      Aggregierte Verteilungsdatensätze (keine personenbezogenen Daten)
    </td>
    
    <td>
      Periodisch aktualisiert; gecacht solange für das Feature erforderlich
    </td>
    
    <td>
      Berechtigtes Interesse / statistischer Zweck
    </td>
  </tr>
  
  <tr>
    <td>
      Server-Logfiles
    </td>
    
    <td>
      90 Tage
    </td>
    
    <td>
      Sicherheit und Debugging
    </td>
  </tr>
  
  <tr>
    <td>
      Zahlungsunterlagen
    </td>
    
    <td>
      10 Jahre nach Transaktion
    </td>
    
    <td>
      Deutsches Steuerrecht (§ 147 AO)
    </td>
  </tr>
  
  <tr>
    <td>
      Einwilligungsnachweise
    </td>
    
    <td>
      3 Jahre nach Widerruf
    </td>
    
    <td>
      Nachweis der Einwilligung (Art. 7 DSGVO)
    </td>
  </tr>
  
  <tr>
    <td>
      Inhaltsmoderation, Meldungen rechtswidriger Inhalte, Beschwerden und Entscheidungsnachweise
    </td>
    
    <td>
      Bis zu 3 Jahre; länger, soweit für Rechtsansprüche erforderlich
    </td>
    
    <td>
      Rechtliche Compliance, Missbrauchsprävention, Rechtsdurchsetzung
    </td>
  </tr>
  
  <tr>
    <td>
      Analysedaten
    </td>
    
    <td>
      14 Monate
    </td>
    
    <td>
      Serviceverbesserung
    </td>
  </tr>
  
  <tr>
    <td>
      KI-Interaktionsprotokolle
    </td>
    
    <td>
      90 Tage
    </td>
    
    <td>
      Qualitätssicherung und Debugging
    </td>
  </tr>
  
  <tr>
    <td>
      API-Schlüssel, OAuth/MCP-Tokens und Integrations-Audit-Logs
    </td>
    
    <td>
      Dauer des Kontos oder bis zum Widerruf; Audit-/Sicherheitslogs bis zu 3 Jahre
    </td>
    
    <td>
      Vertragserfüllung, Sicherheit, Missbrauchsprävention
    </td>
  </tr>
  
  <tr>
    <td>
      Google-Calendar-Tokens, Webhook-Channels und synchronisierte Ereignismetadaten
    </td>
    
    <td>
      Bis zur Trennung der Integration oder Kontolöschung + 30 Tage
    </td>
    
    <td>
      Einwilligung / Vertragserfüllung
    </td>
  </tr>
  
  <tr>
    <td>
      SMS-/WhatsApp-/Voice-Metadaten und zugewiesene Rufnummern
    </td>
    
    <td>
      Dauer der Funktionsnutzung/des Kontos + 30 Tage; Provider-Aufzeichnungen gemäß Anbieter-/gesetzlicher Aufbewahrung
    </td>
    
    <td>
      Vertragserfüllung, Missbrauchsprävention
    </td>
  </tr>
  
  <tr>
    <td>
      Übermittelte URLs, Web-Extraktionsergebnisse, Screenshots und Quellensuch-Metadaten
    </td>
    
    <td>
      Dauer des zugehörigen Mind/Flow/Group + 30 Tage, sofern nicht als nicht personenbezogene aggregierte Quelldaten gecacht
    </td>
    
    <td>
      Vertragserfüllung und Reproduzierbarkeit
    </td>
  </tr>
  
  <tr>
    <td>
      Backup-Daten
    </td>
    
    <td>
      30 Tage nach Löschung aus aktiven Systemen
    </td>
    
    <td>
      Disaster Recovery
    </td>
  </tr>
</tbody>
</table>

**Recht auf Löschung:** Die Löschung des Accounts und aller damit verbundenen Daten kann jederzeit verlangt werden. Dies kann direkt in den Einstellungen unter [/settings/preferences](/settings/preferences) vorgenommen werden. Nach einem solchen Antrag werden die personenbezogenen Daten und Nutzerinhalte innerhalb von 30 Tagen dauerhaft aus den aktiven Systemen entfernt. Backup-Daten werden gemäß unserem Backup-Aufbewahrungsplan gelöscht. Die Daten werden dann nicht mehr für das Training neuer Modelle verwendet und es werden alle zumutbaren technischen Schritte unternommen, um sie auch aus bestehenden Modellen zu entfernen.

## 6. Automatisierte Entscheidungsfindung und Profiling

Unsere Plattform verwendet KI-gestützte Funktionen, die eine automatisierte Verarbeitung Ihrer Daten beinhalten können:

### KI-gestützte Funktionen

Wenn Sie unsere KI-Funktionen (Flows, Minds, Group Grounding) nutzen, werden Ihre Eingaben von KI-Modellen verarbeitet, um Ausgaben zu generieren. Diese Verarbeitung:

- **stellt keine automatisierte Entscheidungsfindung** mit rechtlichen oder ähnlich erheblichen Auswirkungen im Sinne von Art. 22 DSGVO dar
- dient ausschließlich der Erbringung der von Ihnen angeforderten kreativen und konversationellen Dienste
- führt nicht zu Entscheidungen, die rechtliche Wirkung entfalten oder Sie erheblich beeinträchtigen
- bleibt unter Ihrer Kontrolle – Sie entscheiden, wie Sie KI-generierte Ausgaben verwenden

### Personalisierung

Wenn Sie ein persönliches KI-Modell („My Mind“) erstellen, analysiert das System Ihre hochgeladenen Inhalte, um einen personalisierten KI-Assistenten zu erstellen. Dies geschieht auf Grundlage Ihrer ausdrücklichen Anfrage und Einwilligung (Art. 6 Abs. 1 lit. a und b DSGVO). Sie können Ihr persönliches Modell jederzeit löschen.

### Inhaltsmoderation, Meldungen und Beschwerden

Wir können automatisierte Systeme und menschliche Überprüfung einsetzen, um Inhalte zu erkennen, die gegen unsere Nutzungsbedingungen oder geltendes Recht verstoßen, einschließlich schädlicher, rechtswidriger, rechtsverletzender, missbräuchlicher oder sicherheitsrelevanter Inhalte. Markierte Inhalte können von unserem Team überprüft werden.

Wenn Nutzer oder Dritte Meldungen zu rechtswidrigen Inhalten, Rechtebeschwerden, Moderationsbeschwerden oder Einwände einreichen, verarbeiten wir die zur Prüfung und Dokumentation erforderlichen Informationen. Dazu können Kontaktdaten des Meldenden, Konto-Identifikatoren, URLs/Inhalts-IDs, vorgebrachte Gründe und Nachweise, Aufzeichnungen zu Moderationsentscheidungen, Zeitstempel und Folgekommunikation gehören.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO, soweit die Verarbeitung gesetzlich erforderlich ist, Art. 6 Abs. 1 lit. f DSGVO für Dienstintegrität, Missbrauchsprävention, Rechtsverteidigung und Rechtsdurchsetzung sowie Art. 6 Abs. 1 lit. b DSGVO, soweit Moderation zur Durchführung oder Durchsetzung des Nutzungsvertrags erforderlich ist. Moderations- und Meldungsunterlagen werden grundsätzlich bis zu 3 Jahre gespeichert, sofern kein längerer Zeitraum zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

### Ihre Rechte bezüglich automatisierter Verarbeitung

Sie haben das Recht:

- auf menschliches Eingreifen bei Entscheidungen, die Sie erheblich betreffen
- Ihren Standpunkt darzulegen und Entscheidungen anzufechten
- Informationen über die involvierte Logik bei automatisierter Verarbeitung zu erhalten
- der nicht wesentlichen automatisierten Verarbeitung zu widersprechen

Um diese Rechte auszuüben, kontaktieren Sie uns unter [privacy@getminds.ai](mailto:privacy@getminds.ai).

## 7. KI-Verordnung: Transparenz und KI-generierte Inhalte

### 7.1 Offenlegung als KI-System

Die Minds-Plattform ist eine KI-gestützte Plattform im Anwendungsbereich der Verordnung (EU) 2024/1689 ("EU AI Act" bzw. "KI-Verordnung"). Die Transparenzpflichten nach Art. 50 gelten ab dem 2. August 2026. Bis dahin beschreibt dieser Abschnitt unsere aktuellen Offenlegungen, vertraglichen Pflichten und Vorbereitungsmaßnahmen für KI-Transparenz.

### 7.2 Benachrichtigung über KI-Interaktion

Vor oder zum Zeitpunkt Ihrer ersten Interaktion mit einem Mind oder KI-Assistenten informieren wir Sie darüber, dass Sie mit einem KI-System und nicht mit einer natürlichen Person interagieren. Diese Benachrichtigung erfolgt durch In-App-Hinweise, Onboarding-Bildschirme und Kennzeichnungen innerhalb der Benutzeroberfläche. Wir verarbeiten Ihre Kontokennung, den Interaktionszeitstempel und gegebenenfalls Bestätigungsmetadaten, um die Zustellung der Benachrichtigung zu dokumentieren.

### 7.3 Kennzeichnung und maschinenlesbare Markierung

Minds kennzeichnet KI-generierte Ausgaben in der Produktoberfläche und speichert Generierungsmetadaten wie Inhaltstyp, Erstellungszeitpunkt, Modell-/Anbieterkennung, soweit technisch verfügbar, und Ausgabekontext. Wir bereiten maschinenlesbare Kennzeichnungen und Herkunftsmetadaten für exportierte Text-, Audio- und Bildausgaben im Einklang mit Art. 50 Abs. 2 KI-Verordnung vor, soweit dies bis zum 2. August 2026 technisch machbar und durch das jeweilige Format bzw. den Anbieter unterstützt ist.

Diese Metadaten werden nicht für Profiling oder Marketing verwendet. Sie dienen der Offenlegung des KI-Ursprungs, der Auditierbarkeit, dem Erhalt von Kontext bei geteilten/exportierten Ausgaben und der Beantwortung von Transparenzanfragen.

### 7.4 Offenlegung synthetischer Inhalte

Wenn Minds den Kommunikationsstil, die Stimme, das Erscheinungsbild oder Verhalten realer oder fiktiver Personen simulieren oder group-grounded Panels aggregierte Ausgaben erzeugen, ist die Ausgabe synthetisch. Wir legen den künstlichen Ursprung solcher Inhalte durch sichtbare Hinweise und, soweit technisch machbar, Metadaten/Herkunftsinformationen offen. Zur Unterstützung dieser Offenlegung verarbeiten wir Mind-Konfigurationsdaten, Group-Grounding-Konfiguration, Generierungsprotokolle und Ausgabemetadaten.

### 7.5 Rechtsgrundlage

Bis zum Geltungsbeginn der einschlägigen Transparenzpflichten der KI-Verordnung am 2. August 2026 beruht die Verarbeitung für Transparenz und Herkunftsbereitschaft auf Art. 6 Abs. 1 lit. b DSGVO, soweit sie zur Bereitstellung des Dienstes erforderlich ist, sowie auf Art. 6 Abs. 1 lit. f DSGVO für Rechenschaft, Sicherheit und Missbrauchsprävention. Ab dem 2. August 2026 ist, soweit die Verarbeitung zur Erfüllung von Art. 50 KI-Verordnung erforderlich ist, Art. 6 Abs. 1 lit. c DSGVO die Rechtsgrundlage.

### 7.6 Für KI-Transparenzzwecke verarbeitete Daten

<table>
<thead>
  <tr>
    <th>
      Datenkategorie
    </th>
    
    <th>
      Zweck
    </th>
    
    <th>
      Speicherdauer
    </th>
  </tr>
</thead>

<tbody>
  <tr>
    <td>
      Nachweise über KI-Interaktionsbenachrichtigungen
    </td>
    
    <td>
      Nachweis, dass die Offenlegung als KI-System erfolgt ist
    </td>
    
    <td>
      Dauer des Kontos plus 3 Jahre
    </td>
  </tr>
  
  <tr>
    <td>
      Generierungsmetadaten und verfügbare Herkunftsdaten
    </td>
    
    <td>
      KI-Ursprungskennzeichnung, Exportkontext und Auditierbarkeit
    </td>
    
    <td>
      Solange der Inhalt auf der Plattform existiert, plus 1 Jahr
    </td>
  </tr>
  
  <tr>
    <td>
      Mind-Persona-/Konfigurationsdaten
    </td>
    
    <td>
      Offenlegung synthetischer Inhalte und Missbrauchsprävention
    </td>
    
    <td>
      Dauer des Kontos plus 3 Jahre
    </td>
  </tr>
  
  <tr>
    <td>
      Group-Grounding-Konfiguration (Verteilungsparameter, genutzte Quellen)
    </td>
    
    <td>
      Offenlegung synthetischer Ausgaben für group-grounded Inhalte
    </td>
    
    <td>
      Dauer des Kontos plus 3 Jahre
    </td>
  </tr>
  
  <tr>
    <td>
      Inhaltserzeugungsprotokolle (Modell, Zeitstempel, Art)
    </td>
    
    <td>
      Auditierbarkeit, Debugging und regulatorische Rechenschaft
    </td>
    
    <td>
      3 Jahre ab Inhaltserstellung
    </td>
  </tr>
</tbody>
</table>

### 7.7 Ihre Rechte

Zusätzlich zu Ihren DSGVO-Rechten (siehe Abschnitt 8) können Sie eine Bestätigung anfordern, ob eine bestimmte Ausgabe durch KI erzeugt wurde und welche Generierungs-/Herkunftsmetadaten verfügbar sind. Soweit Transparenzverarbeitung auf berechtigten Interessen beruht, können Sie gemäß Art. 21 DSGVO widersprechen. Gesetzlich erforderliche Verarbeitung nach Anwendbarkeit der KI-Verordnung kann nicht abgelehnt werden.

## 8. Rechte der betroffenen Person

Betroffenen Personen stehen bezüglich ihrer personenbezogenen Daten folgende Rechte zu:

- **Recht auf Auskunft** (Art. 15 DSGVO)
- **Recht auf Berichtigung** (Art. 16 DSGVO)
- **Recht auf Löschung** ("Recht auf Vergessenwerden") (Art. 17 DSGVO)
- **Recht auf Einschränkung der Verarbeitung** (Art. 18 DSGVO)
- **Recht auf Datenübertragbarkeit** (Art. 20 DSGVO)
- **Recht auf Widerspruch** (Art. 21 DSGVO)

Es besteht zudem das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu **widerrufen** (Art. 7 Abs. 3 DSGVO). Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Zur Ausübung dieser Rechte kann die oben genannte Kontaktadresse kontaktiert werden.

## 9. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat des Aufenthaltsorts, des Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn die Ansicht besteht, dass die Verarbeitung der betreffenden personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist:

**Berliner Beauftragte für Datenschutz und Informationsfreiheit**<br />


Friedrichstr. 219<br />


10969 Berlin<br />


Deutschland<br />


Telefon: +49 30 13889-0<br />


E-Mail: [mailbox@datenschutz-berlin.de](mailto:mailbox@datenschutz-berlin.de)<br />


Website: [https://www.datenschutz-berlin.de](https://www.datenschutz-berlin.de)

## 10. Datensicherheit

Es werden alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen getroffen, um personenbezogene Daten vor Verlust und Missbrauch zu schützen. So werden die Daten in einer sicheren Betriebsumgebung gespeichert, die der Öffentlichkeit nicht zugänglich ist. Die Übertragung der Daten erfolgt verschlüsselt mittels SSL-Technologie.

## 11. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen der Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Services. Für einen erneuten Besuch gilt dann die neue Datenschutzerklärung.
