PRIVACY POLICY for aim2balance.ai

Version 1.0 | Effective: June 2026

Bergwaldprojekt e.V.

Otto-Hahn-Str. 13

97204 Höchberg

Germany

Registered: Amtsgericht Würzburg, VR 200215

Email: info@bergwaldprojekt.de

Technical Support: support@aim2balance.ai

1. CONTROLLER

The controller responsible for processing your personal data is:

Bergwaldprojekt e.V.

Otto-Hahn-Str. 13

97204 Höchberg

Germany

Registered: Amtsgericht Würzburg, VR 200215

Email: info@bergwaldprojekt.de

Support: support@aim2balance.ai

Data Protection Officer: support@aim2balance.ai

2. CATEGORIES OF PERSONAL DATA PROCESSED

We process the following categories of personal data:

2.1 Account Information: Name, email address.

2.2 Usage Data and AI Interactions:

(a) AI Inputs (Prompts). When you submit queries, instructions, or content to our AI systems ("Prompts"), these may contain personal data you voluntarily include (e.g., names, addresses, or contextual information). Prompts are transmitted to our EU-based AI Sub-processors (EU underlying LLM providers) for processing to generate responses. You are responsible for ensuring you do not input Special Category data (Art. 9 GDPR) unless strictly necessary and appropriate safeguards are in place. All prompts and resulting outputs are encrypted at rest using industry-standard AES-256-GCM encryption.

(b) AI Outputs. Responses generated by AI models ("Outputs") may be logged.

(c) Metadata. We collect token counts, model identifiers, timestamps, and environmental impact metrics associated with your usage to calculate fees and generate insights shared with you in our AI-balance bar (right side panel). IP Addresses: Full IP addresses are retained for security and fraud prevention purposes.

2.3 Environmental Metrics: Energy consumption estimates, carbon footprint calculations associated with your usage.

2.4 Technical Data: Browser type, device information, log files, cookies.

2.5 Communications: Support tickets, feedback, correspondence.

3. PURPOSES OF PROCESSING AND LEGAL BASIS

3.1 Contract Performance (Art. 6(1)(b) GDPR)

  • Providing the AI platform and enabling access to LLMs
  • Processing payments and managing accounts
  • Generating AI Outputs in response to your requests
  • Displaying your usage metrics and environmental impact data

3.2 Legitimate Interests (Art. 6(1)(f) GDPR)

  • Service maintenance, security, and improvement
  • Aggregated statistical analysis and reporting
  • Prevention of fraud and misuse
  • Environmental impact tracking and ecosystem restoration accounting

3.3 Legal Obligation (Art. 6(1)(c) GDPR)

  • Tax and accounting record retention
  • Compliance with legal requests from authorities

3.4 Consent (Art. 6(1)(a) GDPR)

  • Cookie usage (non-essential)
  • Marketing communications (if opted in)
  • Newsletter subscriptions

4. DATA RETENTION PERIODS

4.1 Account Data: Retained for the duration of your contractual relationship plus statutory limitation periods (typically 3 years).

4.2 Billing Records: Up to 6 years per German tax law (§ 147 AO).

4.3 Post-Termination: Following account termination, personal data is deleted without undue delay (typically within 30 days), unless we are legally obligated to retain it for longer periods (e.g., billing and tax records retained for up to 6 years under § 147 AO). Where deletion is technically infeasible, data will be irreversibly anonymized.

5. RECIPIENTS OF PERSONAL DATA

5.1 Internal Recipients: Authorized employees with confidentiality obligations.

5.2 Processors (Sub-processors):

  • Hetzner Online GmbH (hosting infrastructure, Germany/Finland)
  • AI models (LLMs, Image Generation, Speech to Text) providers and routing service providers, all based in the EU
  • Payment service providers (for transaction processing)

5.3 Legal Recipients: Authorities when legally required (court orders, statutory obligations).

5.4 Frontend Hosting (Webflow): We use Webflow to host the visual frontend of our website. When you visit aim2balance.ai, your browser communicates with Webflow's hosting infrastructure. Webflow may process technical metadata (such as IP addresses and browser information) and set essential cookies to ensure the website loads correctly and securely. While our core application and AI processing are hosted exclusively on EU-based infrastructure (Hetzner), the static frontend delivery is managed by Webflow. We ensure that no sensitive "Content Fields" (prompts or AI outputs) are stored or processed by Webflow; these are sent directly from your browser to our secure EU backend.

6. INTERNATIONAL TRANSFERS

6.1 Primary Location. Personal data is processed primarily within the European Union.

6.2 AI Processing. Through our EU-only endpoints, all AI inference processing remains within the EU.

7. YOUR RIGHTS AS A DATA SUBJECT

You have the following rights under GDPR:

7.1 Right of Access (Art. 15): Request information about personal data we process.

7.2 Right to Rectification (Art. 16): Request correction of inaccurate data.

7.3 Right to Erasure (Art. 17): Request deletion ("right to be forgotten") subject to legal retention obligations.

7.4 Right to Restriction (Art. 18): Request limitation of processing under certain conditions.

7.5 Right to Data Portability (Art. 20): Receive data in structured, machine-readable format.

7.6 Right to Object (Art. 21): Object to processing based on legitimate interests or direct marketing.

7.7 Right to Withdraw Consent (Art. 7(3)): Withdraw consent at any time without affecting prior lawful processing.

7.8 Right to Lodge Complaint (Art. 77): File complaint with supervisory authority (Bayerisches Landesamt für Datenschutzaufsicht, Germany).

8. COOKIES AND TRACKING TECHNOLOGIES

We use cookies and similar technologies to operate our Service, enhance functionality, and respect your privacy preferences. For complete details, please refer to our separate Cookie Policy document.

8.1 Essential Cookies (Strictly Necessary)

Legal Basis: Legitimate interest (Art. 6(1)(f) GDPR) and Section 25(2)(2) TTDSG.

Consent Required: No.

These cookies are essential for the Service to function and cannot be disabled. They enable core functionality such as authentication, security, and session management:

Security Features:

  • All authentication cookies use httpOnly (not readable by JavaScript)
  • secure flag enabled in production (HTTPS only)
  • sameSite: strict for authentication cookies to prevent cross-site attacks
  • sameSite: lax for OAuth cookies (required for identity provider redirects)

8.2 Functional Cookies (Preferences)

Legal Basis: Consent (Art. 6(1)(a) GDPR) and Section 25(1) TTDSG.

Consent Required: Yes.

These cookies enhance your experience by remembering your preferences:

8.3 Third-Party Cookies

Our Service integrates sub-processors that may set their own cookies:

  • Hetzner Online GmbH (Hosting): Load balancing, DDoS protection (Session to 30 days)
  • Requesty Ltd (AI Routing): API optimization, rate limiting (Session)
  • Stripe (Payments): Fraud prevention, payment security (PCI-DSS compliant)
  • Webflow Website builder

8.4 Cookie Management

Managing Your Preferences:

You can control cookie usage through:

  1. Cookie Banner: Appears on first visit with options to "Accept All," "Essential Only," or customize settings
  2. Privacy Dashboard: Access cookie settings anytime through your Account Settings
  3. Browser Settings: Configure your browser to refuse cookies (may affect Service functionality)
  4. Contact Us: Email support@aim2balance.ai to modify preferences

Withdrawing Consent:

You can withdraw consent for non-essential cookies at any time. This will not affect the lawfulness of processing based on consent before withdrawal. Essential cookies will continue to function as they are necessary for Service operation.

Browser-Specific Instructions:

  • Chrome: Settings > Privacy and Security > Cookies and other site data
  • Firefox: Preferences > Privacy & Security > Cookies and Site Data
  • Safari: Preferences > Privacy > Cookies and website data
  • Edge: Settings > Cookies and site permissions > Manage and delete cookies

8.5 Cookie Policy Document

For comprehensive information about our cookie practices, including detailed cookie inventory, retention policies, GDPR classification, and data transfer safeguards, please refer to our Cookie Policy available at [link to Cookie Policy].

9. DATA SECURITY & Encryption

We employ a multi-layered security architecture designed to ensure your data stays yours. Our security posture follows the same standards used by modern financial institutions.

9.1 Encryption Layers

Encryption in Transit: All data moving between your browser and our servers is protected using TLS 1.3, ensuring that data cannot be intercepted or read during transmission.

Encryption at Rest: The moment your data is written to our database, it is encrypted using AES-256-GCM. This is a symmetric encryption standard approved for highly sensitive data.

9.2 Field-Level Encryption Policy

We apply encryption granularly. While operational metadata (such as timestamps and billing identifiers) remains readable for system functionality, all "Content Fields" are encrypted. This includes:

  • Your prompts and AI-generated responses
  • Conversation titles and summaries
  • File attachment payloads and their text summaries

9.3 Key Management

To prevent unauthorized access, encryption keys are never stored in the database or in source code. Keys are managed via secure vaulting and are loaded directly into the backend process memory at startup, scoped strictly per environment.

9.4 Integrity Protection

By using the GCM (Galois/Counter Mode) of AES, our system identifies if any ciphertext has been tampered with. If a message is altered, the system will refuse to decrypt it, preventing the injection of corrupted data.

9.5 General Organizational Measures

In addition to encryption, we maintain:

  • Strict access controls and authentication for all internal systems
  • Staff confidentiality agreements
  • Hosting exclusively on EU-based infrastructure (Hetzner, Germany/Finland) to ensure data sovereignty

10. AUTOMATED DECISION-MAKING

The Service does not engage in automated decision-making (including profiling) that produces legal effects or similarly significant consequences for you without human intervention. AI Outputs are provided as information support only.

11. Children's Privacy

The Service is not intended for users under 16. If we learn that a user is under 16, we will delete their data and suspend their account. Parents/legal guardians may request deletion of a child's data by contacting support@aim2balance.ai. We do not knowingly process data from children under 13.

12. CHANGES TO THIS POLICY

We may update this Privacy Policy to reflect legal or operational changes. Material changes will be notified 30 days in advance via email or prominent Service notice.

13. CONTACT

For questions regarding this Privacy Policy or to exercise your rights:

Email: support@aim2balance.ai

Address: Bergwaldprojekt e.V., Otto-Hahn-Str. 13, 97204 Höchberg, Germany

Supervisory Authority:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Promenade 27

91522 Ansbach

Germany

Document Version: 1.0

Last Updated: June 2026

Cookies Section Updated: June 2026 (reflects actual production implementation)

DATENSCHUTZERKLÄRUNG für aim2balance.ai

 

 

Otto-Hahn-Str. 13

97204 Höchberg

Deutschland

Eingetragen: Amtsgericht Würzburg, VR 200215

 

E-Mail: info@bergwaldprojekt.de

Technischer Support: support@aim2balance.ai

 

1. VERANTWORTLICHER

 

Der Verantwortliche für die Verarbeitung Ihrer personenbezogenen Daten ist:

 

Otto-Hahn-Str. 13

97204 Höchberg

Deutschland

Eingetragen: Amtsgericht Würzburg, VR 200215

 

E-Mail: info@bergwaldprojekt.de

Support: support@aim2balance.ai

 

Datenschutzbeauftragter: support@aim2balance.ai

 

2. KATEGORIEN DER VERARBEITETEN PERSONENBEZOGENEN DATEN

 

Wir verarbeiten die folgenden Kategorien personenbezogener Daten:

 

2.1 Kontoinformationen: Name, E-Mail-Adresse.

 

 

(a) KI-Eingaben (Prompts). Wenn Sie Anfragen, Anweisungen oder Inhalte an unsere KI-Systeme („Prompts“) übermitteln, können diese personenbezogene Daten enthalten, die Sie freiwillig angeben (z. B. Namen, Adressen oder Kontextinformationen). Prompts werden zur Verarbeitung an unsere in der EU ansässigen KI-Unterauftragsverarbeiter (zugrunde liegende LLM-Anbieter in der EU) übermittelt, um Antworten zu generieren. Sie sind dafür verantwortlich sicherzustellen, dass Sie keine Daten besonderer Kategorien (Art. 9 DSGVO) eingeben, es sei denn, dies ist unbedingt erforderlich und geeignete Schutzmaßnahmen sind vorhanden. Alle Prompts und daraus resultierenden Outputs werden im Ruhezustand mit der branchenüblichen AES-256-GCM-Verschlüsselung verschlüsselt.

 

(b) KI-Ausgaben. Von KI-Modellen generierte Antworten („Outputs“) können protokolliert werden.

 

(c) Metadaten. Wir erfassen Token-Anzahlen, Modell-Identifikatoren, Zeitstempel und Umweltverträglichkeitsmetriken im Zusammenhang mit Ihrer Nutzung, um Gebühren zu berechnen und Erkenntnisse zu generieren, die Ihnen in unserer KI-Balance-Leiste (rechte Seitenleiste) angezeigt werden. IP-Adressen: Vollständige IP-Adressen werden zu Sicherheits- und Betrugspräventionszwecken gespeichert.

 

2.3 Umweltmetriken: Schätzungen des Energieverbrauchs, Berechnungen des CO2-Fußabdrucks im Zusammenhang mit Ihrer Nutzung.

 

2.4 Technische Daten: Browsertyp, Geräteinformationen, Protokolldateien, Cookies.

 

2.5 Kommunikation: Support-Tickets, Feedback, Korrespondenz.

 

3. ZWECKE DER VERARBEITUNG UND RECHTSGRUNDLAGE

 

 

 

 

 

4. DATENAUFBEWAHRUNGSFRISTEN

 

4.1 Kontodaten: Aufbewahrung für die Dauer Ihres Vertragsverhältnisses zuzüglich gesetzlicher Verjährungsfristen (in der Regel 3 Jahre).

 

4.2 Rechnungsdaten: Bis zu 8 Jahre gemäß deutschem Steuerrecht (§ 147 AO).

 

4.3 Nach Beendigung: Nach Beendigung des Kontos werden personenbezogene Daten unverzüglich gelöscht (in der Regel innerhalb von 30 Tagen), es sei denn, wir sind gesetzlich verpflichtet, sie für längere Zeiträume aufzubewahren (z. B. Rechnungs- und Steuerunterlagen, die gemäß § 147 AO bis zu 6 Jahre aufbewahrt werden). Ist eine Löschung technisch nicht möglich, werden die Daten unwiderruflich anonymisiert.

 

5. EMPFÄNGER PERSONENBEZOGENER DATEN

 

5.1 Interne Empfänger: Autorisierte Mitarbeiter mit Vertraulichkeitspflichten.

 

 

5.3 Gesetzliche Empfänger: Behörden, wenn gesetzlich vorgeschrieben (Gerichtsbeschlüsse, gesetzliche Verpflichtungen).

5.4 Frontend-Hosting (Webflow): Wir nutzen Webflow, um das visuelle Frontend unserer Website zu hosten. Wenn Sie aim2balance.ai besuchen, kommuniziert Ihr Browser mit der Hosting-Infrastruktur von Webflow. Webflow kann technische Metadaten (wie IP-Adressen und Browserinformationen) verarbeiten und essentielle Cookies setzen, um sicherzustellen, dass die Website korrekt und sicher geladen wird. Während unsere Kernanwendung und die KI-Verarbeitung ausschließlich auf EU-basierter Infrastruktur (Hetzner) gehostet werden, wird die Bereitstellung des statischen Frontends von Webflow verwaltet. Wir stellen sicher, dass keine sensiblen „Content Fields“ (Prompts oder KI-Ausgaben) von Webflow gespeichert oder verarbeitet werden; diese werden direkt von Ihrem Browser an unser sicheres EU-Backend gesendet.

 

6. INTERNATIONALE DATENÜBERMITTLUNGEN

 

6.1 Primärer Standort. Personenbezogene Daten werden primär innerhalb der Europäischen Union verarbeitet.

 

6.2 KI-Verarbeitung. Über unsere ausschließlich in der EU befindlichen Endpunkte bleibt die gesamte KI-Inferenzverarbeitung innerhalb der EU.

 

7. IHRE RECHTE ALS BETROFFENE PERSON

 

Sie haben die folgenden Rechte gemäß DSGVO:

 

7.1 Auskunftsrecht (Art. 15): Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.

 

7.2 Recht auf Berichtigung (Art. 16): Berichtigung unrichtiger Daten beantragen.

 

7.3 Recht auf Löschung (Art. 17): Löschung beantragen („Recht auf Vergessenwerden“) vorbehaltlich gesetzlicher Aufbewahrungspflichten.

 

7.4 Recht auf Einschränkung der Verarbeitung (Art. 18): Einschränkung der Verarbeitung unter bestimmten Voraussetzungen beantragen.

 

7.5 Recht auf Datenübertragbarkeit (Art. 20): Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.

 

7.6 Widerspruchsrecht (Art. 21): Widerspruch gegen die Verarbeitung aufgrund berechtigter Interessen oder für Direktmarketingzwecke einlegen.

 

7.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3): Einwilligung jederzeit widerrufen, ohne die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung zu berühren.

 

7.8 Recht auf Beschwerde (Art. 77): Beschwerde bei der Aufsichtsbehörde einreichen (Bayerisches Landesamt für Datenschutzaufsicht, Deutschland).

 

8. COOKIES UND TRACKING-TECHNOLOGIEN

 

Wir verwenden Cookies und ähnliche Technologien, um unseren Dienst zu betreiben, die Funktionalität zu verbessern und Ihre Datenschutzeinstellungen zu respektieren. Ausführliche Informationen finden Sie in unserem separaten Dokument zur Cookie-Richtlinie.

 

8.1 Essenzielle Cookies (Unbedingt erforderlich)

 

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) und § 25 Abs. 2 Nr. 2 TTDSG.

Einwilligung erforderlich: Nein.

 

Diese Cookies sind für die Funktion des Dienstes unerlässlich und können nicht deaktiviert werden. Sie ermöglichen Kernfunktionen wie Authentifizierung, Sicherheit und Sitzungsverwaltung:

 

 

8.2 Funktionale Cookies (Präferenzen)

 

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und § 25 Abs. 1 TTDSG.

Einwilligung erforderlich: Ja.

 

Diese Cookies verbessern Ihr Nutzererlebnis, indem sie Ihre Präferenzen speichern:

 

 

 

8.3 Drittanbieter-Cookies

 

Unser Dienst bindet Unterauftragsverarbeiter ein, die eigene Cookies setzen können:

 

 

8.4 Cookie-Verwaltung

 

 

Sie können die Cookie-Nutzung steuern über:

 

 

 

Sie können Ihre Einwilligung für nicht-essenzielle Cookies jederzeit widerrufen. Dies hat keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung, die auf der Grundlage der Einwilligung vor dem Widerruf erfolgte. Essenzielle Cookies bleiben weiterhin funktionsfähig, da sie für den Betrieb des Dienstes notwendig sind.

 

 

8.5 Dokument zur Cookie-Richtlinie

 

Umfassende Informationen zu unseren Cookie-Praktiken, einschließlich einer detaillierten Cookie-Übersicht, Aufbewahrungsrichtlinien, DSGVO-Klassifizierung und Schutzmaßnahmen für die Datenübertragung, finden Sie in unserer Cookie-Richtlinie, die unter [link to Cookie Policy] verfügbar ist.

 

9. DATENSICHERHEIT & Verschlüsselung

 

Wir setzen eine mehrschichtige Sicherheitsarchitektur ein, die sicherstellt, dass Ihre Daten bei Ihnen bleiben. Unsere Sicherheitsstandards entsprechen denen moderner Finanzinstitute.

 

9.1 Verschlüsselungsebenen

 

Verschlüsselung während der Übertragung: Alle Daten, die zwischen Ihrem Browser und unseren Servern übertragen werden, sind durch TLS 1.3 geschützt, wodurch sichergestellt wird, dass Daten während der Übertragung nicht abgefangen oder gelesen werden können.

 

Verschlüsselung im Ruhezustand: Sobald Ihre Daten in unsere Datenbank geschrieben werden, werden sie mit AES-256-GCM verschlüsselt. Dies ist ein symmetrischer Verschlüsselungsstandard, der für hochsensible Daten zugelassen ist.

 

9.2 Richtlinie zur Feldverschlüsselung

 

Wir wenden eine granulare Verschlüsselung an. Während operative Metadaten (wie Zeitstempel und Abrechnungs-IDs) für die Systemfunktionalität lesbar bleiben, werden alle „Inhaltsfelder“ verschlüsselt. Dazu gehören:

 

 

9.3 Schlüsselverwaltung

 

Um unbefugten Zugriff zu verhindern, werden Verschlüsselungsschlüssel niemals in der Datenbank oder im Quellcode gespeichert. Schlüssel werden über sichere Schlüsselverwaltungssysteme verwaltet und beim Start direkt in den Arbeitsspeicher des Backend-Prozesses geladen, wobei ihr Geltungsbereich streng auf die jeweilige Umgebung beschränkt ist.

 

9.4 Integritätsschutz

 

Durch die Verwendung des GCM (Galois/Counter Mode) von AES erkennt unser System, ob ein Chiffretext manipuliert wurde. Wird eine Nachricht verändert, verweigert das System die Entschlüsselung und verhindert so die Einschleusung korrumpierter Daten.

 

9.5 Allgemeine organisatorische Maßnahmen

 

Zusätzlich zur Verschlüsselung unterhalten wir:

 

 

10. AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG

 

Der Dienst führt keine automatisierte Entscheidungsfindung (einschließlich Profiling) durch, die ohne menschliches Eingreifen rechtliche Auswirkungen oder ähnlich erhebliche Konsequenzen für Sie hat. KI-Ausgaben dienen lediglich als Informationsunterstützung.

 

11. Datenschutz von Kindern

 

Der Dienst ist nicht für Nutzer unter 16 Jahren bestimmt. Wenn wir erfahren, dass ein Nutzer unter 16 Jahre alt ist, werden wir dessen Daten löschen und das Konto sperren. Eltern/Erziehungsberechtigte können die Löschung der Daten eines Kindes beantragen, indem sie sich an support@aim2balance.ai wenden. Wir verarbeiten wissentlich keine Daten von Kindern unter 13 Jahren.

 

12. ÄNDERUNGEN AN DIESER RICHTLINIE

 

Wir können diese Datenschutzerklärung aktualisieren, um rechtliche oder betriebliche Änderungen widerzuspiegeln. Wesentliche Änderungen werden 30 Tage im Voraus per E-Mail oder durch einen auffälligen Hinweis im Dienst mitgeteilt.

 

13. KONTAKT

 

Bei Fragen zu dieser Datenschutzerklärung oder zur Ausübung Ihrer Rechte:

 

E-Mail: support@aim2balance.ai

Adresse: Bergwaldprojekt e.V., Otto-Hahn-Str. 13, 97204 Höchberg, Deutschland

 

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Promenade 27

91522 Ansbach

Deutschland

 

Dokumentversion: 1.0

Zuletzt aktualisiert: Juni 2026

Abschnitt Cookies aktualisiert: Juni 2026 (entspricht der tatsächlichen Produktivimplementierung)