Datenschutzerklärung

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

André Bäcker
Klymeo (Einzelunternehmen)
Hopstener Straße 25
49479 Ibbenbüren
Deutschland
E-Mail: support@klymeo.com
Telefon: +49 176 21878801

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit den geltenden Datenschutzvorschriften, insbesondere der DSGVO und dem BDSG. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Soweit wir personenbezogene Daten verarbeiten, stützen wir uns je nach Verarbeitung auf eine der Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO — insbesondere eine Einwilligung (lit. a), die Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen (lit. b), eine rechtliche Verpflichtung (lit. c) oder unser berechtigtes Interesse (lit. f). Die jeweils einschlägige Rechtsgrundlage wird bei den einzelnen Verarbeitungen unten benannt. Wir haben keinen Datenschutzbeauftragten bestellt, da keine gesetzliche Pflicht hierzu besteht.

Die Web-Anwendung wird bei Vercel gehostet und über deren EU-Region (Frankfurt am Main) ausgeliefert; die Infrastruktur für den Voice-Agent wird bei Hetzner in Deutschland betrieben. Beim Aufruf unserer Seiten erheben die eingesetzten Server automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch übermittelt: Browsertyp und -version, verwendetes Betriebssystem, Referrer-URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage und IP-Adresse. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Die Erfassung erfolgt auf Grundlage unseres berechtigten Interesses an einem technisch fehlerfreien und sicheren Betrieb (Art. 6 Abs. 1 lit. f DSGVO). Die Logfiles werden gelöscht, sobald sie für den Zweck nicht mehr erforderlich sind, spätestens nach {{ PLATZHALTER: Speicherdauer der Server-Logfiles je Hoster (Vercel, Hetzner) bestätigen, z. B. 14 Tage }}.

Wir setzen ausschließlich technisch notwendige Cookies und vergleichbare Speichertechnologien ein, die für den Betrieb der Seite und für die Anmeldung erforderlich sind (insbesondere Session-Cookies der Authentifizierung). Rechtsgrundlage ist § 25 Abs. 2 TDDDG in Verbindung mit unserem berechtigten Interesse an einem funktionsfähigen Angebot (Art. 6 Abs. 1 lit. f DSGVO); für technisch notwendige Cookies ist keine Einwilligung erforderlich. Einen Einsatz von Analyse- oder Marketing-Cookies bzw. Tracking-Diensten nehmen wir derzeit nicht vor.

{{ PLATZHALTER: vor dem Live-Gang bestätigen, dass keine nicht-technisch-notwendigen Cookies/Tracking eingesetzt werden — andernfalls ist ein einwilligungsbasiertes Consent-Banner (§ 25 Abs. 1 TDDDG) erforderlich }}

Wenn Sie uns per E-Mail, über ein Kontaktformular oder über die Buchung eines Demo-Termins kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Angaben (z. B. Name, E-Mail-Adresse, Inhalt der Anfrage, ggf. Terminwunsch) zur Bearbeitung Ihres Anliegens. Die Demo-Buchung wird über den Terminplanungsdienst Cal.com (Cal.com, Inc.; betrieben über die EU-Instanz cal.eu) abgewickelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, sofern die Anfrage auf den Abschluss oder die Durchführung eines Vertrags gerichtet ist, im Übrigen unser berechtigtes Interesse an der Beantwortung von Anfragen (Art. 6 Abs. 1 lit. f DSGVO). Die Daten werden gelöscht, sobald Ihr Anliegen abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen (siehe Abschnitt 11).

Für die Registrierung, die Anmeldung und die Verwaltung von Nutzerkonten setzen wir den Dienst Clerk (Clerk Inc., USA) ein. Bei der Anlage und Nutzung eines Kontos werden die hierfür erforderlichen Daten verarbeitet — insbesondere Name, E-Mail-Adresse, Anmelde- und Authentifizierungsdaten sowie ggf. Kennungen aus einem genutzten Single-Sign-on. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des Nutzerkontos). Die Übermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 DSGVO); Einzelheiten sind in der Dienste-Liste in Abschnitt 9 aufgeführt.

Über die Plattform führen unsere Kunden (Forscherinnen und Forscher) qualitative Interviews durch. Dabei werden Angaben der teilnehmenden Personen verarbeitet — je nach Studienart insbesondere Antworttexte, bei Voice-Interviews zusätzlich Audioaufnahmen und deren Transkripte sowie zugehörige Metadaten (z. B. Zeitstempel und technische Sitzungsdaten) und ggf. vom Kunden erhobene Screening- oder Kontaktangaben.

Diese Daten verarbeiten wir nicht zu eigenen Zwecken, sondern weisungsgebunden im Auftrag des jeweiligen Kunden zur Durchführung und Auswertung der Studie; insoweit handeln wir als Auftragsverarbeiter im Sinne des Art. 28 DSGVO, während der Kunde Verantwortlicher der Studiendaten ist. Grundlage ist ein Auftragsverarbeitungsvertrag (AVV) zwischen dem Kunden und uns. Die Rechtsgrundlage für die Verarbeitung gegenüber den teilnehmenden Personen liegt beim verantwortlichen Kunden (regelmäßig Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bzw. berechtigtes Interesse nach lit. f). Über den Einsatz von KI im Interview wird vorab transparent aufgeklärt.

Die Speicherdauer richtet sich nach der Weisung des verantwortlichen Kunden; im Übrigen gilt Abschnitt 11. {{ PLATZHALTER: Datenkategorien, Zwecke und Löschkonzept dieser Auftragsverarbeitung anhand des AVV final ausformulieren und prüfen }}

Zur Bereitstellung unseres Angebots setzen wir die folgenden Dienstleister ein. Je Eintrag sind Zweck, Datenkategorien, Rechtsgrundlage, Serverstandort sowie ein etwaiges Drittland mit Standardvertragsklauseln (SCC) angegeben.

• ClerkZweck: Authentifizierung, Verwaltung der Nutzerkonten und Login-SitzungenDatenkategorien: Name, E-Mail-Adresse, Anmelde- und Authentifizierungsdaten, ggf. OAuth-KennungenRechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des Nutzerkontos)Serverstandort: Clerk Inc., USADrittland & SCC: Drittland USA — EU-Standardvertragsklauseln (Art. 46 DSGVO)
• SupabaseZweck: Datenbank und Speicherung der Plattform- und StudiendatenDatenkategorien: in der Anwendung gespeicherte Konto-, Studien- und InterviewdatenRechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO; für Studiendaten Art. 28 DSGVO (Auftragsverarbeitung)Serverstandort: EU-Region (Frankfurt am Main)Drittland & SCC: kein Drittland (EU)
• VercelZweck: Hosting und Auslieferung der Web-AnwendungDatenkategorien: Verbindungsdaten und Server-Logfiles (u. a. IP-Adresse)Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sicherer, fehlerfreier Betrieb)Serverstandort: Vercel Inc., USA; Auslieferung über EU-Region (Frankfurt am Main)Drittland & SCC: Drittland USA — EU-Standardvertragsklauseln (Art. 46 DSGVO)
• HetznerZweck: Server-Infrastruktur für den Voice-AgentDatenkategorien: im Rahmen der Voice-Interviews verarbeitete Audio- und VerbindungsdatenRechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO; Art. 28 DSGVOServerstandort: Hetzner Online GmbH, DeutschlandDrittland & SCC: kein Drittland (EU)
• DeepgramZweck: Sprache-zu-Text und Text-zu-Sprache für Voice-InterviewsDatenkategorien: Audioaufnahmen und die daraus erzeugten TranskripteRechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO; Art. 28 DSGVOServerstandort: Deepgram Inc., USA; Verarbeitung über EU-EndpointDrittland & SCC: Drittland USA — EU-Standardvertragsklauseln (Art. 46 DSGVO)
• Anthropic über AWS BedrockZweck: KI-gestützte Gesprächsführung und Auswertung der InterviewsDatenkategorien: Interviewinhalte (Antworttexte, Transkripte) zur Verarbeitung durch das SprachmodellRechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO; Art. 28 DSGVOServerstandort: Amazon Web Services, EU-RegionDrittland & SCC: Verarbeitung in der EU-Region (keine Drittlandübermittlung)
• LiveKitZweck: Echtzeit-Audioübertragung während der Voice-InterviewsDatenkategorien: Audiostream und VerbindungsmetadatenRechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO; Art. 28 DSGVOServerstandort: LiveKit Inc., USA; Betrieb über EU-RegionDrittland & SCC: Drittland USA — EU-Standardvertragsklauseln (Art. 46 DSGVO)
• StripeZweck: Zahlungsabwicklung von Lizenz- und PilotgebührenDatenkategorien: Zahlungs- und Rechnungsdaten (Name, Rechnungsanschrift, Zahlungsmittel)Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung); Art. 6 Abs. 1 lit. c DSGVO (steuerliche Pflichten)Serverstandort: Stripe Payments Europe Ltd., Irland; Stripe Inc., USADrittland & SCC: Drittland USA — EU-Standardvertragsklauseln (Art. 46 DSGVO)

{{ PLATZHALTER: Serverstandorte sowie den konkreten Drittland-/SCC-/DPF-Status je Dienst anhand des jeweiligen Auftragsverarbeitungsvertrags final bestätigen und die Liste auf Vollständigkeit prüfen }}

Soweit wir Daten an Dienstleister in einem Drittland (insbesondere die USA) übermitteln, erfolgt dies nur, wenn ein angemessenes Datenschutzniveau gewährleistet ist — etwa auf Grundlage eines Angemessenheitsbeschlusses, der EU-Standardvertragsklauseln (SCC) nach Art. 46 DSGVO oder einer Zertifizierung des Empfängers nach dem EU-US Data Privacy Framework (DPF). Die je Dienst einschlägige Grundlage ist in der Liste in Abschnitt 9 angegeben. Auf Anfrage stellen wir Ihnen Informationen zu den getroffenen Garantien zur Verfügung.

Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen es vorsehen. Nach Wegfall des Zwecks bzw. nach Ablauf der Fristen werden die Daten routinemäßig gelöscht oder anonymisiert. Im Einzelnen:

• Nutzerkonten: bis zur Löschung des Kontos bzw. bis zum Vertragsende, danach Löschung vorbehaltlich gesetzlicher Aufbewahrungspflichten;
• Interview- und Teilnehmerdaten (inkl. Audio und Transkripte): nach Weisung des verantwortlichen Kunden, spätestens mit Beendigung des jeweiligen Auftragsverhältnisses;
• Server-Logfiles: kurzfristig, siehe Abschnitt 3;
• Abrechnungs- und Rechnungsdaten: entsprechend den gesetzlichen Aufbewahrungsfristen (§ 257 HGB, § 147 AO — 6 bzw. 10 Jahre);
• Kontakt- und Terminanfragen: bis zur abschließenden Bearbeitung, sofern keine Aufbewahrungspflicht besteht.

{{ PLATZHALTER: konkrete Speicher- und Löschfristen je Datenkategorie bestätigen und an das tatsächliche Löschkonzept anpassen }}

Ihnen stehen nach der DSGVO gegenüber dem Verantwortlichen insbesondere die folgenden Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO);
• Recht auf Berichtigung (Art. 16 DSGVO);
• Recht auf Löschung (Art. 17 DSGVO);
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO);
• Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO);
• Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an support@klymeo.com. Bei Daten, die wir im Auftrag eines Kunden verarbeiten (Abschnitt 8), leiten wir Ihr Anliegen an den verantwortlichen Kunden weiter bzw. unterstützen diesen bei der Erfüllung.

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht zu, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Die für uns zuständige Aufsichtsbehörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf (www.ldi.nrw.de). {{ PLATZHALTER: Zuständigkeit der Aufsichtsbehörde am Unternehmenssitz bestätigen }}