Datenschutzerklärung

1. Wer wir sind

Khema ist eine KI-basierte Chat-App zur Raucherentwöhnung. Die App begleitet dich durch strukturierte Sitzungen, um dir beim Aufhören zu helfen.

2. Überblick

Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten wir erheben, warum wir sie verarbeiten und welche Rechte du hast. Sie gilt für die Khema-App (iOS und Android) sowie die Khema-Website.

Khema verarbeitet Gesundheitsdaten — insbesondere Daten zu deinem Rauchverhalten, deiner Nikotinabhängigkeit und deinem Entwöhnungsfortschritt. Gesundheitsdaten sind eine besondere Kategorie personenbezogener Daten gemäß Art. 9 DSGVO und unterliegen einem besonderen Schutz. Wir verarbeiten deine Gesundheitsdaten niemals ohne deine ausdrückliche Einwilligung.

Da Khema ein Dienst zur Raucherentwöhnung ist, erkennen wir an, dass selbst betriebliche Daten — wie die Existenz deines Kontos, deine Sitzungsaktivität und dein Programmfortschritt — im Kontext gesundheitsbezogene Informationen offenbaren. Die Tatsache, dass du ein Khema-Konto besitzt, weist inhärent darauf hin, dass du Unterstützung bei der Raucherentwöhnung suchst. Alle im Rahmen von Khema verarbeiteten personenbezogenen Daten werden daher als Gesundheitsdaten gemäß Art. 9 DSGVO behandelt.

Einwilligung vor Kontoerstellung: Bevor du ein Khema-Konto erstellen kannst, bitten wir dich um deine ausdrückliche Einwilligung in die Verarbeitung deiner Gesundheitsdaten gemäß Art. 9 Abs. 2 lit. a DSGVO. Diese Einwilligung umfasst alle in dieser Datenschutzerklärung beschriebenen Verarbeitungstätigkeiten, die mit deinem Konto verknüpfte Daten betreffen. Ohne diese Einwilligung können wir dein Konto nicht erstellen und den Dienst nicht bereitstellen, da der Dienst naturgemäß die Verarbeitung von Gesundheitsdaten erfordert — dies ist keine künstliche Einschränkung, sondern spiegelt das Wesen eines Raucherentwöhnungsdienstes wider.

Sofern nicht anders angegeben, stützen sich alle nachfolgend beschriebenen Verarbeitungstätigkeiten, die mit deinem Konto verknüpfte Daten betreffen, auf Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung für Gesundheitsdaten) in Verbindung mit der jeweils in den einzelnen Abschnitten angegebenen Rechtsgrundlage nach Art. 6. Die einzige Ausnahme bilden technische Daten, die nicht mit deiner Identität verknüpft werden können (siehe Abschnitt 3.4).

Wir verkaufen deine Daten nicht. Wir geben deine Daten nicht an Werbetreibende weiter. Alle Daten werden innerhalb der Europäischen Union gespeichert und verarbeitet.

3. Welche Daten wir erheben

3.1 Kontodaten

Wenn du ein Khema-Konto erstellst, erheben wir:

• E-Mail-Adresse — gespeichert in unserem selbst gehosteten Authentifizierungssystem
• Passwort — gespeichert mittels Einweg-Verschlüsselung (gehasht und gesalzen); wir können dein Passwort nicht lesen
• Vorname — wird zur Personalisierung deiner Sitzungen verwendet; du kannst einen beliebigen Namen eingeben
• Geburtsdatum — wird zur Überprüfung des Mindestalters verwendet
• Profilbild — optional von dir bereitgestellt oder von deinem Social-Login-Anbieter importiert; wird zur Personalisierung deines Kontos verwendet

Wenn du dich über einen Social-Login-Anbieter (Google, Apple oder Microsoft) registrierst, erhalten wir über unser Authentifizierungssystem eingeschränkte Profilinformationen von diesem Anbieter (siehe Abschnitt 8).

Rechtsgrundlage: Ausdrückliche Einwilligung, Art. 9 Abs. 2 lit. a DSGVO, in Verbindung mit Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO. Wie in Abschnitt 2 beschrieben, stellt die Existenz deines Kontos bei einem Raucherentwöhnungsdienst eine gesundheitsbezogene Information dar.

3.2 Gesundheitsdaten

Um unseren Raucherentwöhnungsdienst bereitzustellen, verarbeiten wir Gesundheitsdaten, die du mit der App teilst. Dazu gehören:

• Sitzungsgesprächsinhalte — die Nachrichten, die du sendest, und die KI-Antworten, die du während der Sitzungen erhältst
• Nikotinabhängigkeitsbewertungen — deine Antworten auf standardisierte Fragebögen zur Personalisierung des Programms
• Verlangenserfassung — Informationen, die du über dein Verlangen protokollierst, wie Intensität, Kontext und deine Reaktion darauf
• Raucherentwöhnungsfortschritt — dein Rauchfrei-Status, Aufhörversuche und zugehörige Meilensteine
• KI-generierte Sitzungszusammenfassungen — Zusammenfassungen deiner Sitzungen, die dir in der App angezeigt werden

Wir verarbeiten nur die Gesundheitsdaten, die du freiwillig mit der App teilst.

Rechtsgrundlage: Ausdrückliche Einwilligung, Art. 9 Abs. 2 lit. a DSGVO, in Verbindung mit Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO.

3.3 Nutzungs- und Verhaltensdaten

Um den Dienst zu betreiben und zu verstehen, wie die App genutzt wird, erheben wir:

• Sitzungsdaten — Start- und Endzeiten der Sitzungen, Dauer, Sitzungstyp (regulär oder Verlangen-Unterstützung), Abschlussgrund
• Programmfortschritt — in welcher Phase des Programms du dich befindest
• Letzter Aktivitätszeitstempel — wann du die App zuletzt genutzt hast
• Zeitpunkt der Kontoerstellung

Rechtsgrundlage: Ausdrückliche Einwilligung, Art. 9 Abs. 2 lit. a DSGVO, in Verbindung mit Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO. Diese Daten sind für die Bereitstellung des strukturierten Sitzungsprogramms erforderlich und offenbaren naturgemäß Informationen über deinen Raucherentwöhnungsweg.

3.4 Technische Daten

Bei der Nutzung der App erheben unsere Server automatisch:

• IP-Adresse — wird für Sicherheitszwecke und zur Weiterleitung von Anfragen verwendet; nicht zur Standortverfolgung genutzt; nicht mit deinem Benutzerkonto verknüpft
• Anwendungsprotokolle — technische Telemetrie zur Überwachung der Systemgesundheit und Fehlerdiagnose; diese Protokolle enthalten keine Benutzer-IDs, Sitzungsinhalte oder andere Daten, die mit deinem Konto verknüpft werden können

Dies ist die einzige Datenkategorie, die wir nicht als Gesundheitsdaten behandeln. Da diese Protokolle nicht mit einer identifizierbaren Person verknüpft werden können, offenbaren sie nicht, ob eine bestimmte Person einen Raucherentwöhnungsdienst nutzt. Sie werden auf unserer eigenen EU-basierten Infrastruktur gespeichert.

Rechtsgrundlage: Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Gewährleistung der Sicherheit und Stabilität des Dienstes.

4. Wie und warum wir deine Daten verarbeiten

4.1 Zur Bereitstellung des Raucherentwöhnungsdienstes

Wir verarbeiten deine Kontodaten, Gesundheitsdaten und Sitzungsdaten, um das Kernerlebnis von Khema bereitzustellen: geführte Sitzungen zur Raucherentwöhnung, Verlangenserfassung und Fortschrittsüberwachung.

Rechtsgrundlage: Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO; ausdrückliche Einwilligung, Art. 9 Abs. 2 lit. a DSGVO, für Gesundheitsdaten.

4.2 Zum Versand von Transaktions-E-Mails

Wir verwenden Google Workspace zum Versand wesentlicher E-Mails wie Passwort-Zurücksetzungen und Kontobestätigungen. Nur deine E-Mail-Adresse wird zu diesem Zweck an Google weitergegeben — keine Gesundheitsdaten oder Sitzungsinhalte sind in diesen Übermittlungen enthalten.

Rechtsgrundlage: Ausdrückliche Einwilligung, Art. 9 Abs. 2 lit. a DSGVO, in Verbindung mit Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO. Obwohl der E-Mail-Inhalt selbst keine Gesundheitsdaten enthält, wird deine E-Mail-Adresse im Kontext eines Raucherentwöhnungsdienstes verarbeitet.

4.3 Zum Versand von Newslettern und zur Einholung von Feedback

Wenn du dich bei der Registrierung durch Aktivieren des Kontrollkästchens mit dem Text „Ja, ich möchte gelegentlich E-Mails von Khema erhalten, z. B. Tipps zum Aufhören und Feedback-Anfragen. Optional" anmeldest, senden wir dir:

• Tipps und Informationen zur Unterstützung deines Aufhörwegs (ungefähr alle zwei Wochen)
• Gelegentliche Feedback-Anfragen zur App

Diese E-Mails werden über Google Workspace versendet. Du kannst dich jederzeit abmelden, indem du auf den Abmeldelink am Ende einer solchen E-Mail klickst oder uns unter datenschutz@khema.ai kontaktierst. Die Abmeldung vom Newsletter hat keinen Einfluss auf deine Gesundheitsdaten-Einwilligung oder deine Möglichkeit, den Dienst zu nutzen.

Rechtsgrundlage: Einwilligung, Art. 6 Abs. 1 lit. a DSGVO. Die Entscheidung, Newsletter zu erhalten, ist von deiner Gesundheitsdaten-Einwilligung getrennt. Du kannst dich vom Newsletter abmelden, ohne dass dies dein Konto oder die Verarbeitung deiner Gesundheitsdaten beeinflusst.

4.4 Zur Durchführung von Forschung

Wir teilen anonymisierte, aggregierte Nutzungsstatistiken mit ausgewählten Forschungspartnern, um die wissenschaftliche Forschung zur Raucherentwöhnung zu unterstützen. Diese Daten sind vollständig anonymisiert und können nicht mehr mit einzelnen Nutzern in Verbindung gebracht werden. Sie umfassen ausschließlich aggregierte Kennzahlen wie Gesamtaufhörquoten, durchschnittliche Sitzungsanzahlen oder Nutzungsmuster über die gesamte Nutzerbasis — niemals individuelle Gesprächsinhalte oder persönliche Details.

Da diese Daten gemäß Erwägungsgrund 26 DSGVO anonymisiert sind, gelten sie nicht mehr als personenbezogene Daten und die DSGVO findet auf ihre Verwendung keine Anwendung.

5. Wie wir KI einsetzen

Khema verwendet ein großes Sprachmodell (Large Language Model, LLM) zur Durchführung seiner Sitzungen. Dieser Abschnitt erläutert, welche Daten an die KI gesendet werden, was die KI erzeugt und wie wir die KI-Qualität überwachen.

5.1 An die KI gesendete Daten

Während einer Sitzung werden die folgenden Datenkategorien in den an das LLM gesendeten Prompt aufgenommen:

• Deine Profilinformationen (wie dein Name)
• Dein Raucherentwöhnungsfortschritt und -verlauf
• Der Gesprächsverlauf der aktuellen Sitzung
• Zusammenfassungen und Kontext aus früheren Sitzungen

Diese Daten sind erforderlich, damit die KI personalisierte, kontextgerechte Antworten geben kann.

LLM-Anbieter: Amazon Web Services (AWS), betrieben in der EU. AWS verarbeitet diese Daten ausschließlich für die Inferenz — also zur Erzeugung einer Antwort auf den Prompt. AWS verwendet deine Daten nicht zum Training seiner Modelle.

Rechtsgrundlage: Ausdrückliche Einwilligung, Art. 9 Abs. 2 lit. a DSGVO, in Verbindung mit Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO.

5.2 Von der KI erzeugte Daten

Basierend auf deinen Sitzungen kann die KI zusätzliche Ausgaben erzeugen, darunter:

• Sitzungszusammenfassungen — Zusammenfassungen deiner Sitzungen, die dir in der App angezeigt werden
• Interne Zusammenfassungen — strukturierte Zusammenfassungen, die primär von der KI verwendet werden, um den Kontext über Sitzungen hinweg aufrechtzuerhalten, und von unserem Qualitätssicherungsteam für die Qualitätsprüfung (nicht für dich sichtbar)
• Personalisierungsdaten — zentrale Themen, Meilensteine oder motivierende Erkenntnisse, die aus deinen Gesprächen extrahiert werden und zur Verbesserung zukünftiger Sitzungen dienen

Du kannst alle in der App angezeigten KI-generierten Daten jederzeit einsehen und korrigieren. Wenn du der Meinung bist, dass eine Information falsch ist, hast du das Recht auf Berichtigung gemäß Art. 16 DSGVO.

Rechtsgrundlage: Ausdrückliche Einwilligung, Art. 9 Abs. 2 lit. a DSGVO, in Verbindung mit Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO. Interne Zusammenfassungen werden zusätzlich durch die in Abschnitt 6 beschriebene Einwilligung abgedeckt.

5.3 Automatisierte Entscheidungsfindung

Khema setzt automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO in begrenzten Fällen ein. Die KI kann Sitzungsgespräche auswerten, um festzustellen, ob bestimmte Meilensteine oder Statusänderungen eingetreten sind — beispielsweise ob du rückfällig geworden bist und einem neuen Aufhörversuch zugestimmt hast. Dies kann automatische Aktualisierungen deiner Fortschrittsverfolgung auslösen (wie das Zurücksetzen deines Rauchfrei-Timers) ohne menschliche Überprüfung.

• Bedeutung und Konsequenzen: Automatisierte Entscheidungen können deine Entwöhnungsfortschrittsdaten aktualisieren. Dein bisheriger Fortschritt wird in deinem Verlauf festgehalten.
• Deine Rechte: Du hast das Recht, jede automatisierte Entscheidung anzufechten. Wenn dein Fortschritt falsch aktualisiert wurde, kontaktiere uns unter datenschutz@khema.ai und wir werden ihn manuell überprüfen und korrigieren.

Rechtsgrundlage: Ausdrückliche Einwilligung, Art. 9 Abs. 2 lit. a DSGVO, in Verbindung mit Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO. Transparenzpflicht gemäß Art. 13 Abs. 2 lit. f DSGVO; materielle Rechte gemäß Art. 22 DSGVO.

6. KI-Qualitäts- und Sicherheitsüberwachung

6.1 Was wir überwachen und warum

Khema ist eine KI-gesteuerte App zur Raucherentwöhnung. Im Gegensatz zu herkömmlichen Apps müssen wir in der Lage sein zu überprüfen, was die KI den Nutzern gesagt hat und warum. Dies ist wesentlich, um:

• Schädliche, unangemessene oder fehlerhafte KI-Antworten zu erkennen
• Zu überprüfen, ob die KI der von uns konzipierten Sitzungsstruktur folgt
• Die Sicherheit und Qualität des Nutzererlebnisses zu gewährleisten
• Die Anweisungen und das Verhalten der KI kontinuierlich zu verbessern

Dazu verwenden wir ein selbst gehostetes KI-Überwachungssystem, das auf unserer EU-basierten Infrastruktur läuft, um KI-Interaktionen zu protokollieren. Dieses System erfasst:

• LLM-Eingabe — den vollständigen an die KI gesendeten Prompt, einschließlich Gesprächsverlauf (enthält Gesundheitsdaten)
• LLM-Ausgabe — die vollständige KI-Antwort (enthält Gesundheitsdaten)
• Anfrage-Metadaten — wie Benutzeridentifikatoren und Zeitstempel
• Betriebsmetriken — wie Antwortleistung und Ressourcenverbrauch

Diese Daten werden für automatisierte Sicherheitsbewertungen (Abschnitt 6.2), menschliche Überprüfung durch unser Qualitätssicherungsteam (Abschnitt 6.3) und Dienstverbesserung (Abschnitt 6.4) verwendet.

Aufbewahrung: KI-Überwachungsprotokolle werden 180 Tage aufbewahrt und anschließend gelöscht. Wenn du dein Konto löschst, werden alle mit deinem Konto verknüpften KI-Überwachungsprotokolle sofort gelöscht. Wenn du die Funktion „Meine Daten zurücksetzen" verwendest (siehe Abschnitt 10.2), werden die KI-Überwachungsprotokolle nicht gelöscht — nur eine vollständige Kontolöschung entfernt sie.

Rechtsgrundlage: Ausdrückliche Einwilligung, Art. 9 Abs. 2 lit. a DSGVO, in Verbindung mit Einwilligung, Art. 6 Abs. 1 lit. a DSGVO. Diese Verarbeitung wird durch die ausdrückliche Einwilligung abgedeckt, die du vor der Kontoerstellung erteilst und die die Einwilligung in die KI-Qualitäts- und Sicherheitsüberwachung umfasst.

6.2 Automatisierte Sicherheitsbewertungen

Unter Verwendung der in Abschnitt 6.1 protokollierten Daten führen wir automatisierte Bewertungen durch, um potenzielle Sicherheitsprobleme zu erkennen und die KI-Qualität zu überprüfen. Diese Bewertungen verwenden ein separates KI-Modell, um Gespräche zu analysieren auf:

• Anzeichen dafür, dass ein Nutzer in Not ist oder einem Schadensrisiko ausgesetzt sein könnte
• Unangemessene, schädliche oder themenfremde KI-Antworten
• Ob die KI der vorgesehenen Sitzungsstruktur für jede Sitzung gefolgt ist

Diese Bewertungen erfordern die Verarbeitung deiner Sitzungsgespräche (die Gesundheitsdaten enthalten) als Eingabe. Die Bewertungsergebnisse (z. B. „Sicherheitsbewertung: bestanden") sind Scores und Kennzeichnungen — keine neuen Gesprächsinhalte — und enthalten selbst keine Gesundheitsdaten.

Rechtsgrundlage: Ausdrückliche Einwilligung, Art. 9 Abs. 2 lit. a DSGVO, in Verbindung mit Einwilligung, Art. 6 Abs. 1 lit. a DSGVO. Der Bewertungsprozess beinhaltet die Verarbeitung von Gesundheitsdaten (deinen Sitzungsgesprächen) und wird durch die Einwilligung abgedeckt, die du vor der Kontoerstellung erteilst.

6.3 Menschliche Überprüfung durch unser Qualitätssicherungsteam

Ein geschultes Mitglied unseres Teams überprüft Sitzungsgespräche (sowohl deine Nachrichten als auch die Antworten der KI) zu folgenden Zwecken:

• Qualitätssicherung — Sicherstellung, dass die KI angemessene Anleitung bietet
• Sicherheit — Identifizierung von Gesprächen, in denen die KI möglicherweise unangemessen geantwortet hat
• Verbesserung der KI — Verfeinerung der Anweisungen und Prompts, die das Verhalten der KI steuern

Das bedeutet, dass ein Mensch lesen wird, was du in deinen Sitzungen schreibst. Dieses Teammitglied ist an Vertraulichkeitsverpflichtungen und einen Auftragsverarbeitungsvertrag gebunden, der den Zugang zu deinen Gesundheitsdaten regelt.

Rechtsgrundlage: Ausdrückliche Einwilligung, Art. 9 Abs. 2 lit. a DSGVO, in Verbindung mit Einwilligung, Art. 6 Abs. 1 lit. a DSGVO.

6.4 Dienstverbesserung

Wir verwenden anonymisierte und pseudonymisierte Daten aus Sitzungen zur Verbesserung des Khema-Dienstes. Dies umfasst die Analyse von Gesprächsmustern zur Verfeinerung des KI-Ansatzes, das Testen von Verbesserungen am KI-System und die Entwicklung neuer Funktionen.

Soweit Gesundheitsdaten zur Dienstverbesserung verwendet werden, werden sie pseudonymisiert (identifizierende Details werden vom Inhalt getrennt) oder vollständig anonymisiert. Anonymisierte Daten, die nicht mehr mit einer Person in Verbindung gebracht werden können, unterliegen nicht der DSGVO.

Rechtsgrundlage: Für pseudonymisierte Daten, die personenbezogene Daten bleiben: Ausdrückliche Einwilligung, Art. 9 Abs. 2 lit. a DSGVO, in Verbindung mit Einwilligung, Art. 6 Abs. 1 lit. a DSGVO. Für vollständig anonymisierte Daten: Die DSGVO findet keine Anwendung (Erwägungsgrund 26 DSGVO). Unser Interesse besteht in der kontinuierlichen Verbesserung der Qualität und Wirksamkeit des Raucherentwöhnungsdienstes.

7. Datenweitergabe und Auftragsverarbeiter

Wir verkaufen deine Daten nicht. Wir geben personenbezogene Daten nur an die nachfolgend aufgeführten Dienstleister weiter, die Daten in unserem Auftrag auf Grundlage von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO verarbeiten.

Dienstleister	Zweck	Weitergegebene Daten	Standort
Amazon Web Services (AWS)	Cloud-Hosting, LLM-Inferenz	Alle Daten (verschlüsselt bei Speicherung und Übertragung)	EU
Google Workspace	Transaktions- und Newsletter-E-Mails	E-Mail-Adresse	EU-Datenverarbeitung; Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert

Selbst gehostete Dienste (betrieben auf unserem EU-basierten Servercluster, nicht an Dritte weitergegeben):

• Authentifizierungssystem — selbst gehostetes Benutzeridentitäts- und Zugangsmanagement
• KI-Überwachungssystem — Protokollierung und Überprüfung von KI-Interaktionen für Sicherheit und Qualität
• Anwendungsprotokollierungssystem — technische Überwachung und Fehlerdiagnose

Forschungspartner

Wir teilen anonymisierte, aggregierte Statistiken mit ausgewählten Forschungspartnern (siehe Abschnitt 4.4). Da diese Daten vollständig anonymisiert sind und nicht mit einzelnen Nutzern in Verbindung gebracht werden können, stellt dies keine Datenübermittlung personenbezogener Daten im Sinne der DSGVO dar.

8. Social Login (SSO)

Du kannst ein Khema-Konto mit deinem bestehenden Google-, Apple- oder Microsoft-Konto erstellen. Wenn du dich dafür entscheidest, gilt Folgendes:

8.1 Funktionsweise des Social Login

Alle Social Logins werden über unser selbst gehostetes Authentifizierungssystem vermittelt. Khema kommuniziert niemals direkt mit Google, Apple oder Microsoft — das Authentifizierungssystem übernimmt die Verbindung.

Bei der Nutzung von Social Login erhalten wir nur Standard-Profildaten vom Anbieter — deine E-Mail-Adresse, deinen Vornamen und dein Profilbild (falls verfügbar). Wir geben keine Gesundheitsdaten, Sitzungsinhalte oder Informationen zur Raucherentwöhnung an deinen Social-Login-Anbieter weiter. Wie der Anbieter deine Authentifizierungsanfrage verarbeitet, unterliegt der eigenen Datenschutzerklärung des Anbieters (siehe Abschnitt 8.5).

8.2 Welche Daten wir erhalten und speichern

Wir speichern nur drei Felder aus dem Social Login: deine E-Mail-Adresse, deinen Vornamen und dein Profilbild (falls verfügbar). Was wir erhalten, hängt vom Anbieter ab:

• Google: E-Mail-Adresse, Vorname und Profilbild. Alle drei werden gespeichert.
• Apple: E-Mail-Adresse und Vorname. Apple ermöglicht es dir, deine echte E-Mail-Adresse zu verbergen — wenn du diese Option wählst, erhalten und speichern wir stattdessen eine von Apple generierte private Relay-Adresse. Apple stellt deinen Vornamen nur bei deiner ersten Anmeldung bereit. Es wird kein Profilbild bereitgestellt.
• Microsoft: E-Mail-Adresse, Vorname und Profilbild (sofern in deinem Microsoft-Konto festgelegt).

Wenn ein Anbieter ein Profilbild bereitstellt, speichern wir es als dein Konto-Profilbild. Du kannst es jederzeit in deinen Kontoeinstellungen ändern oder entfernen.

8.3 Deine Wahlmöglichkeiten

Es ist deine Entscheidung, ob du Social Login nutzt. Du kannst dich jederzeit auch mit einer E-Mail-Adresse und einem Passwort registrieren. Du kannst deinen Social Login jederzeit trennen, indem du in deinen Kontoeinstellungen ein Passwort festlegst — danach verwendet dein Konto die E-Mail- und Passwort-Authentifizierung.

8.4 Internationale Datenübermittlungen

Der Authentifizierungsaustausch kann die Übermittlung von Profildaten (E-Mail-Adresse, Name, Profilbild) an Server außerhalb der EU beinhalten. Während dieses Austauschs werden keine Gesundheitsdaten übermittelt. Google LLC und Microsoft Corporation sind unter dem EU-US Data Privacy Framework zertifiziert, das ein angemessenes Datenschutzniveau bietet, wie von der Europäischen Kommission gemäß Art. 45 DSGVO anerkannt. Apple Inc. stützt sich auf Standardvertragsklauseln, die von der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO genehmigt wurden.

8.5 Datenschutzerklärungen der Anbieter

Die Social-Login-Anbieter verarbeiten deine Daten gemäß ihren eigenen Datenschutzerklärungen:

• Google: https://policies.google.com/privacy
• Apple: https://www.apple.com/legal/privacy/
• Microsoft: https://privacy.microsoft.com/privacystatement

Rechtsgrundlage: Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO, für E-Mail-Adresse und Vornamen, die zur Erstellung und Verwaltung deines Kontos erforderlich sind. Einwilligung, Art. 6 Abs. 1 lit. a DSGVO, für das Profilbild, das optional und für den Dienst nicht erforderlich ist. Nach Speicherung in deinem Khema-Konto unterliegen diese Daten den in Abschnitt 3.1 beschriebenen Rechtsgrundlagen, einschließlich der ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO für Gesundheitsdaten.

9. Internationale Datenübermittlungen

Alle personenbezogenen Daten werden innerhalb der Europäischen Union gespeichert und verarbeitet. Unsere Infrastruktur läuft auf AWS in der EU und auf einem selbst gehosteten EU-basierten Servercluster.

In folgenden Fällen können begrenzte Daten außerhalb der EU verarbeitet werden:

• Google Workspace (E-Mail-Zustellung): Deine E-Mail-Adresse kann von Google LLC zum Versand von Transaktions- und Newsletter-E-Mails verarbeitet werden.
• Social-Login-Anbieter (Authentifizierungsaustausch): Wenn du Social Login nutzt, können Profildaten (E-Mail, Name, Profilbild) von Google LLC, Apple Inc. oder Microsoft Corporation während des Authentifizierungsaustauschs verarbeitet werden (siehe Abschnitt 8.4).

Google LLC und Microsoft Corporation sind unter dem EU-US Data Privacy Framework zertifiziert, das ein angemessenes Datenschutzniveau bietet, wie von der Europäischen Kommission gemäß Art. 45 DSGVO anerkannt. Apple Inc. stützt sich auf Standardvertragsklauseln, die von der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO genehmigt wurden.

Wir übermitteln keine Gesundheitsdaten außerhalb der Europäischen Union.

10. Datenspeicherung und Löschung

10.1 Aufbewahrungsfristen

Datenkategorie	Aufbewahrungsfrist
Kontodaten (E-Mail, Name, Geburtsdatum)	Bis zur Löschung deines Kontos
Gesundheitsdaten (Gespräche, Verlangensdaten, Entwöhnungsfortschritt, Bewertungen)	Bis zur Löschung deines Kontos oder Zurücksetzung deiner Daten
KI-generierte Ausgaben (Zusammenfassungen, Personalisierungsdaten)	Bis zur Löschung deines Kontos oder Zurücksetzung deiner Daten
KI-Überwachungsprotokolle	180 Tage oder bis zur Löschung deines Kontos (je nachdem, was früher eintritt)
Nutzungs- und Verhaltensdaten	Bis zur Löschung deines Kontos
Social-Login-Verknüpfung (Anbieterverbindung)	Bis zur Löschung deines Kontos oder Trennung des Social Login
Technische Daten (Serverprotokolle, Anwendungsprotokolle)	30 Tage
Newsletter-Einwilligungsnachweis	Bis zum Widerruf der Einwilligung oder zur Löschung deines Kontos

10.2 Löschung deiner Daten

Kontolöschung: Du kannst dein Konto in den App-Einstellungen löschen. Dadurch werden sofort und dauerhaft alle deine Daten gelöscht, einschließlich deiner Kontoinformationen, Sitzungsgespräche, Gesundheitsdaten, KI-generierten Ausgaben und KI-Überwachungsprotokolle.

Meine Daten zurücksetzen: Du kannst deine Daten in den App-Einstellungen zurücksetzen. Dadurch werden alle deine Sitzungsgespräche, Gesundheitsdaten und KI-generierten Ausgaben gelöscht, aber dein Konto bleibt aktiv, sodass du neu beginnen kannst. Bitte beachte, dass KI-Überwachungsprotokolle beim Zurücksetzen deiner Daten nicht gelöscht werden — sie werden nur gelöscht, wenn du dein Konto vollständig löschst oder wenn die 180-tägige Aufbewahrungsfrist abläuft.

11. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen zum Schutz deiner Daten um:

• Verschlüsselung bei der Übertragung: Alle zwischen deinem Gerät und unseren Servern übertragenen Daten werden mittels TLS (Transport Layer Security) verschlüsselt.
• Verschlüsselung bei der Speicherung: Alle auf unseren Servern gespeicherten Daten sind verschlüsselt.
• Zugangskontrolle: Der Zugang zu personenbezogenen Daten ist auf autorisierte Teammitglieder mit berechtigtem Bedarf beschränkt.
• Selbst gehostete Infrastruktur: Unser Authentifizierungssystem, die KI-Überwachung und die Anwendungsprotokollierung werden alle auf unserer eigenen EU-basierten Infrastruktur gehostet — deine Daten werden nicht auf Monitoring-Plattformen Dritter gespeichert.
• Passwortsicherheit: Dein Passwort wird mittels Einweg-Verschlüsselung mit Hashing und Salting gespeichert. Niemand bei Khema kann dein Passwort lesen.

12. Deine Rechte

Gemäß der DSGVO hast du folgende Rechte in Bezug auf deine personenbezogenen Daten. Du kannst diese Rechte ausüben, indem du uns unter datenschutz@khema.ai kontaktierst oder die entsprechenden Funktionen in der App nutzt.

12.1 Recht auf Auskunft (Art. 15 DSGVO)

Du hast das Recht, eine Bestätigung darüber zu verlangen, ob wir deine personenbezogenen Daten verarbeiten, und wenn ja, eine Kopie dieser Daten zusammen mit ergänzenden Informationen über die Verarbeitung zu erhalten, einschließlich der Zwecke, der Datenkategorien, der Empfänger und der Aufbewahrungsfristen. Du kannst einen Datenexport per E-Mail an datenschutz@khema.ai anfordern. Wir stellen dir deine Daten in einem strukturierten, maschinenlesbaren Format (JSON) bereit.

12.2 Recht auf Berichtigung (Art. 16 DSGVO)

Du hast das Recht, unrichtige personenbezogene Daten berichtigen und unvollständige personenbezogene Daten vervollständigen zu lassen. In der App kannst du deine Profilinformationen und Bewertungsantworten bearbeiten. Für andere Korrekturen oder zur Bereitstellung ergänzender Informationen kontaktiere uns unter datenschutz@khema.ai.

12.3 Recht auf Löschung (Art. 17 DSGVO)

Du hast das Recht, die Löschung deiner personenbezogenen Daten zu verlangen. Du kannst dein Konto direkt in der App löschen (siehe Abschnitt 10.2). Wir werden deine Daten unverzüglich löschen.

12.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Du hast das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn du die Richtigkeit deiner Daten bestreitest, wenn die Verarbeitung unrechtmäßig ist, wenn wir die Daten nicht mehr benötigen, du sie aber zur Geltendmachung rechtlicher Ansprüche brauchst, oder wenn du Widerspruch gegen die Verarbeitung eingelegt hast und die Überprüfung noch aussteht.

12.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Soweit die Verarbeitung auf deiner Einwilligung oder unserem Vertrag mit dir beruht und mit automatisierten Mitteln erfolgt, hast du das Recht, die personenbezogenen Daten, die du uns bereitgestellt hast, in einem strukturierten, gängigen, maschinenlesbaren Format (JSON) zu erhalten und an einen anderen Verantwortlichen zu übermitteln. Soweit technisch machbar, kannst du auch verlangen, dass wir die Daten direkt an einen anderen Verantwortlichen übermitteln. Kontaktiere uns unter datenschutz@khema.ai.

12.6 Widerspruchsrecht (Art. 21 DSGVO)

Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, gegen die Verarbeitung auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) Widerspruch einzulegen. Wir werden die Verarbeitung einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die deine Interessen überwiegen, oder die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

12.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf deiner Einwilligung beruht (insbesondere für die Verarbeitung von Gesundheitsdaten), kannst du deine Einwilligung jederzeit widerrufen. Du kannst dies tun, indem du dein Konto in der App löschst oder uns unter datenschutz@khema.ai kontaktierst. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.

Bitte beachte, dass der Widerruf deiner Einwilligung zur Verarbeitung von Gesundheitsdaten zur Kündigung deines Kontos und zur Löschung deiner Daten führt, da der Raucherentwöhnungsdienst ohne die Verarbeitung von Gesundheitsdaten nicht erbracht werden kann. Dies ist keine künstliche Einschränkung — es spiegelt das inhärente Wesen des Dienstes wider. Eine Raucherentwöhnungs-App kann nicht funktionieren, ohne Informationen zu deinem Rauchverhalten und deinem Entwöhnungsweg zu verarbeiten.

12.8 Rechte bei automatisierter Entscheidungsfindung (Art. 22 DSGVO)

Du hast das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt. Die in Abschnitt 5.3 beschriebenen automatisierten Fortschrittsaktualisierungen sind die einzige automatisierte Entscheidungsfindung in Khema. Du hast das Recht, das Eingreifen einer Person zu erwirken, deinen Standpunkt darzulegen und jede automatisierte Entscheidung anzufechten, indem du uns unter datenschutz@khema.ai kontaktierst.

12.9 Recht auf Beschwerde (Art. 77 DSGVO)

Wenn du der Ansicht bist, dass unsere Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt, hast du das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen, insbesondere in dem Mitgliedstaat deines gewöhnlichen Aufenthaltsorts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Die zuständige Behörde für Khema ist:

12.10 Antwortfrist (Art. 12 Abs. 3 DSGVO)

Wir werden auf deine Anfragen innerhalb eines Monats antworten. Wenn deine Anfrage besonders komplex ist oder wir eine große Anzahl von Anfragen erhalten, können wir diese Frist um bis zu zwei weitere Monate verlängern. In diesem Fall werden wir dich innerhalb des ersten Monats über die Verlängerung und die Gründe für die Verzögerung informieren.

13. Minderjährige Nutzer

Khema richtet sich an Nutzer ab 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Wenn du dich in der EU befindest, darfst du Khema nur nutzen, wenn du mindestens 16 Jahre alt bist oder die Einwilligung deines Elternteils oder gesetzlichen Vormunds hast.

Wenn du ein Elternteil bist und glaubst, dass dein Kind Khema ohne deine Erlaubnis nutzt, kontaktiere uns bitte unter datenschutz@khema.ai und wir werden das Konto löschen.

14. Website

Die Khema-Website (khema.ai) ist eine Landingpage, die Informationen über die App bereitstellt. Die Website verwendet keine Cookies, keine Analysetools und erhebt keine personenbezogenen Daten über das hinaus, was zur Bereitstellung der Webseite erforderlich ist (siehe Abschnitt 3.4 zu Serverprotokollen).

15. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken, unseres Dienstes oder rechtlicher Anforderungen widerzuspiegeln. Bei wesentlichen Änderungen werden wir dich über die App benachrichtigen, bevor die Änderungen in Kraft treten.

Das Datum der letzten Aktualisierung wird oben in diesem Dokument angezeigt. Wir empfehlen dir, diese Datenschutzerklärung regelmäßig zu überprüfen.

16. Kontakt

Wenn du Fragen zu dieser Datenschutzerklärung oder zum Umgang mit deinen Daten hast, kontaktiere uns bitte: