DATENSCHUTZERKLÄRUNG für aim2balance.ai

 

Version 1.0 | Stand: Juni 2026

 

Bergwaldprojekt e.V.

Otto-Hahn-Str. 13

97204 Höchberg

Deutschland

Eingetragen: Amtsgericht Würzburg, VR 200215

 

E-Mail: info@bergwaldprojekt.de

Technischer Support: support@aim2balance.ai

 

1. VERANTWORTLICHER

 

Der Verantwortliche für die Verarbeitung Ihrer personenbezogenen Daten ist:

 

Bergwaldprojekt e.V.

Otto-Hahn-Str. 13

97204 Höchberg

Deutschland

Eingetragen: Amtsgericht Würzburg, VR 200215

 

E-Mail: info@bergwaldprojekt.de

Support: support@aim2balance.ai

 

Datenschutzbeauftragter: support@aim2balance.ai

 

2. KATEGORIEN DER VERARBEITETEN PERSONENBEZOGENEN DATEN

 

Wir verarbeiten die folgenden Kategorien personenbezogener Daten:

 

2.1 Kontoinformationen: Name, E-Mail-Adresse.

 

2.2 Nutzungsdaten und KI-Interaktionen:

 

(a) KI-Eingaben (Prompts). Wenn Sie Anfragen, Anweisungen oder Inhalte an unsere KI-Systeme („Prompts“) übermitteln, können diese personenbezogene Daten enthalten, die Sie freiwillig angeben (z. B. Namen, Adressen oder Kontextinformationen). Prompts werden zur Verarbeitung an unsere in der EU ansässigen KI-Unterauftragsverarbeiter (zugrunde liegende LLM-Anbieter in der EU) übermittelt, um Antworten zu generieren. Sie sind dafür verantwortlich sicherzustellen, dass Sie keine Daten besonderer Kategorien (Art. 9 DSGVO) eingeben, es sei denn, dies ist unbedingt erforderlich und geeignete Schutzmaßnahmen sind vorhanden. Alle Prompts und daraus resultierenden Outputs werden im Ruhezustand mit der branchenüblichen AES-256-GCM-Verschlüsselung verschlüsselt.

 

(b) KI-Ausgaben. Von KI-Modellen generierte Antworten („Outputs“) können protokolliert werden.

 

(c) Metadaten. Wir erfassen Token-Anzahlen, Modell-Identifikatoren, Zeitstempel und Umweltverträglichkeitsmetriken im Zusammenhang mit Ihrer Nutzung, um Gebühren zu berechnen und Erkenntnisse zu generieren, die Ihnen in unserer KI-Balance-Leiste (rechte Seitenleiste) angezeigt werden. IP-Adressen: Vollständige IP-Adressen werden zu Sicherheits- und Betrugspräventionszwecken gespeichert.

 

2.3 Umweltmetriken: Schätzungen des Energieverbrauchs, Berechnungen des CO2-Fußabdrucks im Zusammenhang mit Ihrer Nutzung.

 

2.4 Technische Daten: Browsertyp, Geräteinformationen, Protokolldateien, Cookies.

 

2.5 Kommunikation: Support-Tickets, Feedback, Korrespondenz.

 

3. ZWECKE DER VERARBEITUNG UND RECHTSGRUNDLAGE

 

3.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

  • Bereitstellung der KI-Plattform und Ermöglichung des Zugangs zu LLMs
  • Verarbeitung von Zahlungen und Verwaltung von Konten
  • Generierung von KI-Ausgaben als Reaktion auf Ihre Anfragen
  • Anzeige Ihrer Nutzungsmetriken und Daten zu Umweltauswirkungen

 

3.2 Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

  • Wartung, Sicherheit und Verbesserung des Dienstes
  • Aggregierte statistische Analyse und Berichterstattung
  • Verhinderung von Betrug und Missbrauch
  • Erfassung der Umweltauswirkungen und Bilanzierung der Ökosystemwiederherstellung

 

3.3 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

  • Steuer- und handelsrechtliche Aufbewahrungspflichten
  • Erfüllung behördlicher Anfragen

 

3.4 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

  • Cookie-Nutzung (nicht essenziell)
  • Marketingkommunikation (sofern zugestimmt)
  • Newsletter-Abonnements

 

4. DATENAUFBEWAHRUNGSFRISTEN

 

4.1 Kontodaten: Aufbewahrung für die Dauer Ihres Vertragsverhältnisses zuzüglich gesetzlicher Verjährungsfristen (in der Regel 3 Jahre).

 

4.2 Rechnungsdaten: Bis zu 8 Jahre gemäß deutschem Steuerrecht (§ 147 AO).

 

4.3 Nach Beendigung: Nach Beendigung des Kontos werden personenbezogene Daten unverzüglich gelöscht (in der Regel innerhalb von 30 Tagen), es sei denn, wir sind gesetzlich verpflichtet, sie für längere Zeiträume aufzubewahren (z. B. Rechnungs- und Steuerunterlagen, die gemäß § 147 AO bis zu 6 Jahre aufbewahrt werden). Ist eine Löschung technisch nicht möglich, werden die Daten unwiderruflich anonymisiert.

 

5. EMPFÄNGER PERSONENBEZOGENER DATEN

 

5.1 Interne Empfänger: Autorisierte Mitarbeiter mit Vertraulichkeitspflichten.

 

5.2 Auftragsverarbeiter (Unterauftragsverarbeiter):

  • Hetzner Online GmbH (Hosting-Infrastruktur, Deutschland/Finnland)
  • Anbieter von KI-Modellen (LLMs, Bildgenerierung, Spracherkennung) und Routing-Dienstleister, alle mit Sitz in der EU
  • Zahlungsdienstleister (zur Abwicklung von Transaktionen)

 

5.3 Gesetzliche Empfänger: Behörden, wenn gesetzlich vorgeschrieben (Gerichtsbeschlüsse, gesetzliche Verpflichtungen).

5.4 Frontend-Hosting (Webflow): Wir nutzen Webflow, um das visuelle Frontend unserer Website zu hosten. Wenn Sie aim2balance.ai besuchen, kommuniziert Ihr Browser mit der Hosting-Infrastruktur von Webflow. Webflow kann technische Metadaten (wie IP-Adressen und Browserinformationen) verarbeiten und essentielle Cookies setzen, um sicherzustellen, dass die Website korrekt und sicher geladen wird. Während unsere Kernanwendung und die KI-Verarbeitung ausschließlich auf EU-basierter Infrastruktur (Hetzner) gehostet werden, wird die Bereitstellung des statischen Frontends von Webflow verwaltet. Wir stellen sicher, dass keine sensiblen „Content Fields“ (Prompts oder KI-Ausgaben) von Webflow gespeichert oder verarbeitet werden; diese werden direkt von Ihrem Browser an unser sicheres EU-Backend gesendet.

 

6. INTERNATIONALE DATENÜBERMITTLUNGEN

 

6.1 Primärer Standort. Personenbezogene Daten werden primär innerhalb der Europäischen Union verarbeitet.

 

6.2 KI-Verarbeitung. Über unsere ausschließlich in der EU befindlichen Endpunkte bleibt die gesamte KI-Inferenzverarbeitung innerhalb der EU.

 

7. IHRE RECHTE ALS BETROFFENE PERSON

 

Sie haben die folgenden Rechte gemäß DSGVO:

 

7.1 Auskunftsrecht (Art. 15): Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.

 

7.2 Recht auf Berichtigung (Art. 16): Berichtigung unrichtiger Daten beantragen.

 

7.3 Recht auf Löschung (Art. 17): Löschung beantragen („Recht auf Vergessenwerden“) vorbehaltlich gesetzlicher Aufbewahrungspflichten.

 

7.4 Recht auf Einschränkung der Verarbeitung (Art. 18): Einschränkung der Verarbeitung unter bestimmten Voraussetzungen beantragen.

 

7.5 Recht auf Datenübertragbarkeit (Art. 20): Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.

 

7.6 Widerspruchsrecht (Art. 21): Widerspruch gegen die Verarbeitung aufgrund berechtigter Interessen oder für Direktmarketingzwecke einlegen.

 

7.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3): Einwilligung jederzeit widerrufen, ohne die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung zu berühren.

 

7.8 Recht auf Beschwerde (Art. 77): Beschwerde bei der Aufsichtsbehörde einreichen (Bayerisches Landesamt für Datenschutzaufsicht, Deutschland).

 

8. COOKIES UND TRACKING-TECHNOLOGIEN

 

Wir verwenden Cookies und ähnliche Technologien, um unseren Dienst zu betreiben, die Funktionalität zu verbessern und Ihre Datenschutzeinstellungen zu respektieren. Ausführliche Informationen finden Sie in unserem separaten Dokument zur Cookie-Richtlinie.

 

8.1 Essenzielle Cookies (Unbedingt erforderlich)

 

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) und § 25 Abs. 2 Nr. 2 TTDSG.

Einwilligung erforderlich: Nein.

 

Diese Cookies sind für die Funktion des Dienstes unerlässlich und können nicht deaktiviert werden. Sie ermöglichen Kernfunktionen wie Authentifizierung, Sicherheit und Sitzungsverwaltung:

 

Sicherheitsfunktionen:

  • Alle Authentifizierungs-Cookies verwenden httpOnly (nicht über JavaScript lesbar)
  • sicher Flag in Produktion aktiviert (nur HTTPS)
  • sameSite: strict für Authentifizierungs-Cookies zur Verhinderung von Cross-Site-Angriffen
  • sameSite: lax für OAuth-Cookies (erforderlich für Weiterleitungen von Identitätsanbietern)

 

8.2 Funktionale Cookies (Präferenzen)

 

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und § 25 Abs. 1 TTDSG.

Einwilligung erforderlich: Ja.

 

Diese Cookies verbessern Ihr Nutzererlebnis, indem sie Ihre Präferenzen speichern:

 

 

 

8.3 Drittanbieter-Cookies

 

Unser Dienst bindet Unterauftragsverarbeiter ein, die eigene Cookies setzen können:

 

  • Hetzner Online GmbH (Hosting): Lastverteilung, DDoS-Schutz (Sitzung bis 30 Tage)
  • Requesty Ltd (KI-Routing): API-Optimierung, Ratenbegrenzung (Sitzung)
  • Stripe (Zahlungen): Betrugsprävention, Zahlungssicherheit (PCI-DSS-konform)

 

8.4 Cookie-Verwaltung

 

Ihre Einstellungen verwalten:

 

Sie können die Cookie-Nutzung steuern über:

 

  1. Cookie-Banner: Erscheint beim ersten Besuch mit den Optionen „Alle akzeptieren“, „Nur essentielle Cookies“ oder „Einstellungen anpassen“
  2. Datenschutz-Dashboard: Greifen Sie jederzeit über Ihre Kontoeinstellungen auf die Cookie-Einstellungen zu
  3. Browsereinstellungen: Konfigurieren Sie Ihren Browser so, dass er Cookies ablehnt (kann die Funktionalität des Dienstes beeinträchtigen)
  4. Kontakt: Senden Sie eine E-Mail an support@aim2balance.ai, um Ihre Einstellungen zu ändern

 

Einwilligung widerrufen:

 

Sie können Ihre Einwilligung für nicht-essenzielle Cookies jederzeit widerrufen. Dies hat keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung, die auf der Grundlage der Einwilligung vor dem Widerruf erfolgte. Essenzielle Cookies bleiben weiterhin funktionsfähig, da sie für den Betrieb des Dienstes notwendig sind.

 

Browserspezifische Anweisungen:

  • Chrome: Einstellungen > Datenschutz und Sicherheit > Cookies und andere Website-Daten
  • Firefox: Einstellungen > Datenschutz & Sicherheit > Cookies und Website-Daten
  • Safari: Einstellungen > Datenschutz > Cookies und Website-Daten
  • Edge: Einstellungen > Cookies und Websiteberechtigungen > Cookies verwalten und löschen

 

8.5 Dokument zur Cookie-Richtlinie

 

Umfassende Informationen zu unseren Cookie-Praktiken, einschließlich einer detaillierten Cookie-Übersicht, Aufbewahrungsrichtlinien, DSGVO-Klassifizierung und Schutzmaßnahmen für die Datenübertragung, finden Sie in unserer Cookie-Richtlinie, die unter [link to Cookie Policy] verfügbar ist.

 

9. DATENSICHERHEIT & Verschlüsselung

 

Wir setzen eine mehrschichtige Sicherheitsarchitektur ein, die sicherstellt, dass Ihre Daten bei Ihnen bleiben. Unsere Sicherheitsstandards entsprechen denen moderner Finanzinstitute.

 

9.1 Verschlüsselungsebenen

 

Verschlüsselung während der Übertragung: Alle Daten, die zwischen Ihrem Browser und unseren Servern übertragen werden, sind durch TLS 1.3 geschützt, wodurch sichergestellt wird, dass Daten während der Übertragung nicht abgefangen oder gelesen werden können.

 

Verschlüsselung im Ruhezustand: Sobald Ihre Daten in unsere Datenbank geschrieben werden, werden sie mit AES-256-GCM verschlüsselt. Dies ist ein symmetrischer Verschlüsselungsstandard, der für hochsensible Daten zugelassen ist.

 

9.2 Richtlinie zur Feldverschlüsselung

 

Wir wenden eine granulare Verschlüsselung an. Während operative Metadaten (wie Zeitstempel und Abrechnungs-IDs) für die Systemfunktionalität lesbar bleiben, werden alle „Inhaltsfelder“ verschlüsselt. Dazu gehören:

 

  • Ihre Prompts und KI-generierte Antworten
  • Konversationstitel und Zusammenfassungen
  • Nutzdaten von Dateianhängen und deren Textzusammenfassungen

 

9.3 Schlüsselverwaltung

 

Um unbefugten Zugriff zu verhindern, werden Verschlüsselungsschlüssel niemals in der Datenbank oder im Quellcode gespeichert. Schlüssel werden über sichere Schlüsselverwaltungssysteme verwaltet und beim Start direkt in den Arbeitsspeicher des Backend-Prozesses geladen, wobei ihr Geltungsbereich streng auf die jeweilige Umgebung beschränkt ist.

 

9.4 Integritätsschutz

 

Durch die Verwendung des GCM (Galois/Counter Mode) von AES erkennt unser System, ob ein Chiffretext manipuliert wurde. Wird eine Nachricht verändert, verweigert das System die Entschlüsselung und verhindert so die Einschleusung korrumpierter Daten.

 

9.5 Allgemeine organisatorische Maßnahmen

 

Zusätzlich zur Verschlüsselung unterhalten wir:

 

  • Strenge Zugangskontrollen und Authentifizierung für alle internen Systeme
  • Vertraulichkeitsvereinbarungen für Mitarbeiter
  • Exklusives Hosting auf EU-basierter Infrastruktur (Hetzner, Deutschland/Finnland) zur Gewährleistung der Datenhoheit

 

10. AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG

 

Der Dienst führt keine automatisierte Entscheidungsfindung (einschließlich Profiling) durch, die ohne menschliches Eingreifen rechtliche Auswirkungen oder ähnlich erhebliche Konsequenzen für Sie hat. KI-Ausgaben dienen lediglich als Informationsunterstützung.

 

11. Datenschutz von Kindern

 

Der Dienst ist nicht für Nutzer unter 16 Jahren bestimmt. Wenn wir erfahren, dass ein Nutzer unter 16 Jahre alt ist, werden wir dessen Daten löschen und das Konto sperren. Eltern/Erziehungsberechtigte können die Löschung der Daten eines Kindes beantragen, indem sie sich an support@aim2balance.ai wenden. Wir verarbeiten wissentlich keine Daten von Kindern unter 13 Jahren.

 

12. ÄNDERUNGEN AN DIESER RICHTLINIE

 

Wir können diese Datenschutzerklärung aktualisieren, um rechtliche oder betriebliche Änderungen widerzuspiegeln. Wesentliche Änderungen werden 30 Tage im Voraus per E-Mail oder durch einen auffälligen Hinweis im Dienst mitgeteilt.

 

13. KONTAKT

 

Bei Fragen zu dieser Datenschutzerklärung oder zur Ausübung Ihrer Rechte:

 

E-Mail: support@aim2balance.ai

Adresse: Bergwaldprojekt e.V., Otto-Hahn-Str. 13, 97204 Höchberg, Deutschland

 

Aufsichtsbehörde:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Promenade 27

91522 Ansbach

Deutschland

 

Dokumentversion: 1.0

Zuletzt aktualisiert: Juni 2026

Abschnitt Cookies aktualisiert: Juni 2026 (entspricht der tatsächlichen Produktivimplementierung)