Datenschutzerklärung

Wie Vibrae mit Ihren personenbezogenen Daten umgeht

Version 1.1.0 · Zuletzt aktualisiert 21. Juni 2026

Gültig ab 21. Juni 2026

1. Verantwortlicher & Kontakt

Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten ist:

LuminaByte GmbH

Julius-Hatry-Straße 1

68163 Mannheim

Deutschland

Datenschutz-Kontakt: privacy@vibrae.ai

Sicherheits-Kontakt: security@vibrae.ai

Datenschutz-Ansprechpartner

Für alle Fragen zum Datenschutz und zur Wahrnehmung Ihrer Rechte erreichen Sie uns unter:

LuminaByte GmbH

z. Hd. Antonio Skoko

Julius-Hatry-Straße 1

68163 Mannheim, Deutschland

E-Mail: privacy@vibrae.ai

Wenn Sie sich im Europäischen Wirtschaftsraum (EWR) befinden, ist unsere federführende Aufsichtsbehörde die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI).

Website: https://www.baden-wuerttemberg.datenschutz.de

Anschrift: Lautenschlagerstraße 20, 70173 Stuttgart, Deutschland

Telefon: +49 711 615541-0

E-Mail: poststelle@lfdi.bwl.de

Vertreter im Vereinigten Königreich

Die LuminaByte GmbH ist außerhalb des Vereinigten Königreichs niedergelassen. Da wir den Dienst auch Nutzern im Vereinigten Königreich anbieten, sind wir dabei, einen im Vereinigten Königreich niedergelassenen Vertreter gemäß Art. 27 UK-GDPR zu benennen. Bis dieser Vertreter benannt ist, können Personen aus dem Vereinigten Königreich Datenschutzanfragen an privacy@vibrae.ai richten. Wir aktualisieren diesen Abschnitt mit den Kontaktdaten des Vertreters im Vereinigten Königreich, sobald die Benennung abgeschlossen ist.

2. Geltungsbereich dieser Erklärung

Diese Datenschutzerklärung gilt für die mobile Vibrae-App ("App") für iOS und Android sowie für die Vibrae-Website unter vibrae.ai ("Website"), einschließlich aller über die App oder Website zugänglichen Funktionen wie KI-generierte Audio-Tracks, Expeditionen, Teilen-Funktionen und damit verbundene Dienste (zusammen "unsere Dienste"). Sie gilt nicht für Dienste Dritter, die aus der App oder Website verlinkt sind.

App und Website – was wo verarbeitet wird: Die Website (vibrae.ai) verarbeitet ausschließlich einwilligungsbasierte Analysedaten (PostHog, in der EU gehostet, mit IP-Anonymisierung) und setzt keine weiteren Cookies; es findet keine Registrierung, keine Kontoerstellung und keine Erhebung von Onboarding-Daten statt. Alle übrigen in dieser Erklärung beschriebenen Verarbeitungen – einschließlich Kontodaten, Onboarding-Profilen, Sprachaufnahmen, Expeditions-Reflexionen und KI-Personalisierung – erfolgen in der mobilen App.

Ausnahmen: Diese Datenschutzerklärung gilt nicht für Beschäftigte, Bewerber oder Auftragnehmer der LuminaByte GmbH. Daten von Beschäftigten und Bewerbern werden im Rahmen gesonderter Datenschutzhinweise gemäß § 26 BDSG verarbeitet.

Links zu Dritten: Unsere Dienste können Links zu Websites oder Diensten Dritter enthalten (einschließlich Authentifizierungsanbieter wie Google und Apple). Diese Datenschutzerklärung gilt nicht für diese Dritten, und wir sind nicht für deren Datenschutzpraktiken verantwortlich. Wir empfehlen Ihnen, die Datenschutzerklärungen aller Dienste Dritter zu lesen, auf die Sie über unsere Dienste zugreifen.

3. Welche Daten wir erheben

3.1 Daten, die Sie bereitstellen

Kontoinformationen

Wenn Sie ein Konto erstellen, erheben wir:

•E-Mail-Adresse
•Anzeigename
•Profilfoto (sofern über Google- oder Apple-OAuth bereitgestellt)

Onboarding-Profil

Während des Onboardings können Sie folgende Angaben machen:

•Alter und Geschlecht
•Persönliche Wachstumsziele (bis zu 3 Auswahlmöglichkeiten)
•Mindset-Selbstvertrauenswert (Skala 0–100)
•Bewertung der Lebenszufriedenheit (Skala 0–100)
•Lebensherausforderungen (ausgewählt aus vordefinierten Optionen)
•Motivationsgründe ("Warum-Gründe")
•Zielmeilenstein mit Datum (Ereignisziel)
•Wachstumsprofil-Werte: Ehrgeiz, Selbstvertrauen, Disziplin, Klarheit, Resilienz (jeweils 0–100)
•Identifizierte Superkraft-Eigenschaft
•Wachstumschancen-Bereich
•Bevorzugte tägliche Zeiteinteilung
•Bevorzugte Sitzungszeit (Morgen, Mittag, Abend, vor dem Schlafengehen)
•Stimmpräferenz für generierte Inhalte
•Präferenzen für Hintergrundklänge
•Erfahrungsniveau mit persönlicher Entwicklung

Sprachaufnahmen

•Audioaufnahmen, die Sie als Sprach-Prompts für KI-generierte Tracks erstellen
•Diese Aufnahmen werden zur Transkription und Inhaltserstellung auf unsere Server hochgeladen

Lebenszyklus von Sprachaufnahmen:

Sie nehmen Audio in der App auf (vorübergehend auf dem Gerät gespeichert)
Die Aufnahme wird in unseren sicheren Speicher-Bucket voice-prompts hochgeladen (privat, nur für Sie zugänglich)
Zur Transkription wird das Audio als codierte Daten an unsere serverseitige Edge Function gesendet, die es an die OpenAI-Whisper-API weiterleitet
OpenAI verarbeitet das Audio in Echtzeit und gibt ausschließlich den transkribierten Text zurück. Gemäß der OpenAI-Richtlinie zur Datennutzung über die API wird über die API übermitteltes Audio nicht von OpenAI gespeichert und nicht zum Training von OpenAI-Modellen verwendet
Der transkribierte Text wird zur Erstellung Ihres personalisierten Tracks verwendet
Die ursprüngliche Aufnahme verbleibt in Ihrem voice-prompts-Speicher-Bucket, bis Sie sie manuell löschen oder Ihr Konto gelöscht wird

Hinweis zu biometrischen Daten: Sprachaufnahmen können nach bestimmten US-amerikanischen Landesgesetzen (z. B. dem Illinois Biometric Information Privacy Act, dem California Consumer Privacy Act) als biometrische Informationen eingestuft werden. Wir verwenden Sprachaufnahmen nicht zu Zwecken der biometrischen Identifizierung (etwa Stimmabgleich oder Sprechererkennung). Sprachaufnahmen werden ausschließlich zur Transkription verwendet, um Ihre Inhaltsanfragen zu verstehen. Siehe Abschnitt 12 für weitere Informationen.

Text-Prompts & generierte Inhalte

•Schriftliche Prompts, die Sie für die Track-Erstellung bereitstellen
•Eigene Track-Titel und -Beschreibungen

Expeditions-Inhalte

•Expeditions-Reflexionen (Freitext-Einträge über Ihre persönliche Wachstumsreise)
•Expeditions-Fortschritt und Abschlussdaten

Avatar-Fotos

•Profilfotos, die Sie direkt in die App hochladen

3.2 Automatisch erhobene Daten

Geräte- und Plattforminformationen

•Gerätetyp und -modell
•Betriebssystem und Version
•Plattform (iOS oder Android)
•App-Version und Build-Nummer
•Gerätename

Nutzungsanalysen

Wir erfassen über 40 Ereignistypen, um zu verstehen, wie Sie die App nutzen. Dazu gehören (unter anderem):

•Wiedergabe-Ereignisse: playback_started, playback_paused, playback_resumed, playback_completed, playback_seeked, playback_speed_changed, repeat_mode_changed, background_audio_changed
•Erstellungs-Ereignisse: track_creation_started, track_type_selected, track_prompt_entered, track_voice_selected, track_duration_selected, track_background_selected, track_generation_started, track_generation_completed, track_generation_failed, track_creation_cancelled
•Bibliotheks-Ereignisse: track_favorited, track_unfavorited, track_deleted
•Expeditions-Ereignisse: expedition_viewed, expedition_started, expedition_audio_completed, expedition_action_completed, expedition_reflection_saved, expedition_day_completed, expedition_milestone_reached, expedition_completed, expedition_paused, expedition_abandoned, expedition_resumed
•Einstellungs-Ereignisse: default_voice_changed, default_duration_changed, default_background_changed, ui_language_changed, generation_language_changed
•Teilen-Ereignisse: track_shared, share_link_claimed
•Erinnerungs-Ereignisse: reminder_created, reminder_deleted, reminder_enabled, reminder_disabled
•Onboarding-Ereignisse: onboarding_started, onboarding_step_viewed, onboarding_step_completed, onboarding_completed, onboarding_abandoned sowie zugehörige Auswahl-Ereignisse
•Bildschirmaufrufe: screen_viewed mit Bildschirmname
•Fehler: error_occurred mit Kontext und Fehlerdetails

Jedes Ereignis kann zugehörige Metadaten enthalten, etwa Track-IDs, Dauern, Schrittnummern und funktionsspezifische Eigenschaften.

Super-Eigenschaften (allen Ereignissen angehängt)

•App-Version, Build-Nummer, Plattform, OS-Version
•Abonnement-Stufe, Premium-Status, Onboarding-Abschlussstatus
•UI-Sprache, Generierungssprache, Tage seit Registrierung

Session Replay (sofern mit Ihrer Einwilligung aktiviert)

•UI-Interaktionen und Bildschirmnavigationsabläufe
•Metadaten von Netzwerkanfragen (URLs, Statuscodes, Timing – keine Anfrage-/Antwortinhalte)
•Konsolenausgaben (Log-Output)
•Texteingaben werden maskiert; Bilder werden nicht maskiert

Push-Benachrichtigungstokens

•Geräte-Push-Tokens zur Zustellung von Benachrichtigungen (wenn Sie Benachrichtigungen aktivieren)

Website-spezifische Daten

•Browserinformationen: Browsertyp und Bildschirmauflösung, erhoben über Standard-HTTP-Header bei Ihrem Besuch der Website
•localStorage: Antworten aus dem Onboarding-Quiz werden ausschließlich clientseitig gespeichert (unter dem Schlüssel vibrae-onboarding) und niemals an unsere Server übermittelt
•Tracking-Technologien: Die Website verwendet keine Cookies oder Tracking-Pixel. Die PostHog-Analyse nutzt den Browser-localStorage für anonyme Sitzungskennungen (vorbehaltlich Ihres Opt-outs für Analysen). Sie können diese Daten über die Einstellungen Ihres Browsers für "Website-Daten" löschen

3.3 Daten von Dritten

Authentifizierungsanbieter

•Google OAuth: E-Mail-Adresse, Anzeigename, Profilfoto
•Apple Sign-In: E-Mail-Adresse, Anzeigename (der Name kann je nach Ihren Apple-ID-Einstellungen verborgen sein)

App Store & Play Store

•Abonnementstatus (aktiv, abgelaufen, Testphase)
•Kaufbelege zur Verifizierung des Abonnements

Zahlungsabwicklung: Die LuminaByte GmbH verarbeitet, speichert oder verfügt nicht direkt über Ihre Zahlungskartendaten oder Bankinformationen. Die gesamte Zahlungsabwicklung erfolgt durch Apple (App Store) und Google (Play Store) über deren jeweilige In-App-Kaufsysteme. Wir nutzen RevenueCat als Vermittler, um Kaufbelege zu validieren und den Abonnementstatus geräteübergreifend zu verwalten. Wir erhalten niemals Ihre Kreditkartennummer, CVV oder Bankkontodaten.

3.4 Schlussfolgerungen und abgeleitete Daten

Zusätzlich zu den von Ihnen direkt bereitgestellten Daten leitet Vibrae folgende Kategorien von Informationen aus Ihrer Nutzung und Ihren Eingaben ab:

•Wachstumsprofil-Werte: Berechnet aus Ihren Onboarding-Antworten (Ehrgeiz, Selbstvertrauen, Disziplin, Klarheit, Resilienz – jeweils mit 0–100 bewertet)
•Superkraft und Wachstumschance: Identifiziert anhand der Muster Ihres Onboarding-Profils
•Coach-Kontextprofile: Einschließlich Reflexionsthemen, Belastungsmuster und Fortschrittsindikatoren, abgeleitet aus Ihren Expeditions-Reflexionen und Ihrer Nutzung
•Inhaltsempfehlungen: Präferenzen, abgeleitet aus Ihrem Hörverlauf, Abschlussraten und Ihrer Funktionsnutzung

Diese Schlussfolgerungen werden von unseren KI-Systemen generiert und ausschließlich zur Personalisierung Ihrer Erfahrung innerhalb der App verwendet. Sie stellen personenbezogene Daten nach geltendem Datenschutzrecht dar (einschließlich CCPA Section 1798.140(v)(16)) und unterliegen allen in Abschnitt 12 beschriebenen Rechten.

4. Hinweis zu besonderen Kategorien personenbezogener Daten

Vibrae ist ein Produkt für persönliches Wachstum und Wohlbefinden. Es ist kein Medizinprodukt, keine Gesundheitsdienstleistung und kein Ersatz für professionelle medizinische oder psychotherapeutische Versorgung, und wir erheben keine klinischen, diagnostischen oder medizinischen Daten. Die Inhalte beschränken sich auf allgemeine Themen der Selbstentwicklung (z. B. Fokus, Motivation, Selbstvertrauen, Entspannung, Schlaf); wir bieten keine Inhalte an, die sich auf benannte medizinische oder psychische Erkrankungen beziehen.

Was als besondere Daten gelten kann. Je nachdem, was Sie mitteilen, können bestimmte Daten Rückschlüsse auf Ihr seelisches Wohlbefinden zulassen und unterliegen daher dem erhöhten Schutz nach Art. 9 DSGVO:

•Freitext-Reflexionen (Hauptquelle): Expeditions-Reflexionen sind Freitext. Wir fragen Sie nicht nach Gesundheitsinformationen, aber da Sie entscheiden, was Sie schreiben, kann eine Reflexion Angaben zu Ihrem seelischen Wohlbefinden, persönlichen Belastungen oder Ihrem emotionalen Zustand enthalten. Soweit dies der Fall ist, behandeln wir sie als besondere Kategorie personenbezogener Daten.
•Wohlbefindensbezogene Profildaten: Ihr Onboarding umfasst Selbsteinschätzungen (z. B. Bewertungen zu Lebenszufriedenheit und Mindset, Auswahl von Wachstumsbereichen), und wir erstellen im Zeitverlauf ein Coaching-Profil (Reflexionsthemen, Fortschritt). Für sich genommen handelt es sich um Informationen zur Selbstentwicklung, in Kombination können sie jedoch auf Ihren psychischen Zustand hindeuten, weshalb wir sie vorsorglich als möglicherweise sensibel behandeln.

Andere Onboarding-Angaben – etwa Stimmpräferenz, bevorzugte Sitzungszeit, Hintergrundgeräusche und Ziele wie Fokus oder Motivation – sind gewöhnliche Präferenzdaten und werden nicht als sensibel behandelt.

Rechtsgrundlage (Art. 9 Abs. 2 lit. a): Soweit wir besondere Kategorien personenbezogener Daten verarbeiten, geschieht dies auf Grundlage Ihrer ausdrücklichen Einwilligung, die wir während des Onboardings und bei der Nutzung der Reflexionsfunktionen einholen. Sie können Ihre Einwilligung jederzeit widerrufen (siehe Abschnitt 12).

Zweck & Grenzen: Besondere Daten werden ausschließlich zur Personalisierung Ihrer Sitzungen und Ihres Coachings verwendet. Sie werden niemals für Werbung verwendet, verkauft oder für unzusammenhängende Zwecke geteilt.

Datenminimierung: Wir fragen keine Gesundheits- oder medizinischen Angaben ab, unsere Inhaltsthemen sind allgemein (nicht klinisch), und Sie können Ihre Reflexionen jederzeit in der App löschen.

Widerruf der Einwilligung: Wenn Sie Ihre Einwilligung zur Verarbeitung besonderer Kategorien personenbezogener Daten (wohlbefindensbezogene Profildaten, Reflexionen und Coach-Kontext) widerrufen, stellen wir die Verarbeitung ein und löschen die Daten innerhalb von 7 Tagen, was dem erhöhten Schutz für Art.-9-Daten Rechnung trägt. Nicht-sensible Kontodaten (E-Mail, Anzeigename) werden so lange aufbewahrt, wie dies zur Vertragserfüllung erforderlich ist, sofern Sie nicht die vollständige Löschung des Kontos verlangen. Siehe Abschnitt 10.

Haftungsausschluss zur psychischen Gesundheit

Vibrae dient ausschließlich dem allgemeinen Wohlbefinden und persönlichen Wachstum und stellt keine medizinische Beratung, Diagnose oder Behandlung dar. Wenn Sie oder eine Ihnen bekannte Person sich in einer Krise befinden könnten, wenden Sie sich bitte umgehend an den Notdienst oder eine Hotline:

•EU-Notruf: 112
•Deutschland (Telefonseelsorge): 0800 111 0 111 oder 0800 111 0 222 (kostenlos, rund um die Uhr)
•Vereinigtes Königreich (Samaritans): 116 123
•USA (Suicide & Crisis Lifeline): 988

Weitere Gesundheitshinweise finden Sie in unseren Nutzungsbedingungen, Abschnitt 7.

5. Rechtsgrundlagen der Verarbeitung (DSGVO)

Wenn Sie sich im EWR, im Vereinigten Königreich oder in der Schweiz befinden, verarbeiten wir Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen:

Datenkategorie	Rechtsgrundlage	DSGVO-Artikel
Kontodaten (E-Mail, Name, Foto)	Vertragserfüllung	Art. 6 Abs. 1 lit. b
Onboarding-Profil (Ziele, Präferenzen)	Einwilligung + ausdrückliche Einwilligung für besondere Daten	Art. 6 Abs. 1 lit. a + Art. 9 Abs. 2 lit. a
Sprachaufnahmen	Einwilligung	Art. 6 Abs. 1 lit. a
KI-Inhaltserstellung (Skripte, TTS)	Vertragserfüllung	Art. 6 Abs. 1 lit. b
Expeditions-Reflexionen	Einwilligung + ausdrückliche Einwilligung für besondere Daten	Art. 6 Abs. 1 lit. a + Art. 9 Abs. 2 lit. a
Coach-Kontext und Profiling	Einwilligung + ausdrückliche Einwilligung für besondere Daten	Art. 6 Abs. 1 lit. a + Art. 9 Abs. 2 lit. a
Abonnementverwaltung (RevenueCat)	Vertragserfüllung	Art. 6 Abs. 1 lit. b
Nutzungsanalysen	Berechtigtes Interesse (mit Opt-out)	Art. 6 Abs. 1 lit. f
Session Replay	Einwilligung (nur Opt-in)	Art. 6 Abs. 1 lit. a
Push-Benachrichtigungen	Einwilligung	Art. 6 Abs. 1 lit. a
Kalenderzugriff	Einwilligung	Art. 6 Abs. 1 lit. a
Speicherung auf dem Gerät (lokale DB, Tokens)	Einwilligung (§ 25 TDDDG)	Art. 6 Abs. 1 lit. a / § 25 TDDDG

Beurteilung des berechtigten Interesses bei Analysen: Wir haben ein berechtigtes Interesse daran, zu verstehen, wie Nutzer mit unseren Diensten interagieren, um diese zu verbessern, Fehler zu beheben und die Nutzererfahrung zu optimieren. Diese Verarbeitung beschränkt sich auf aggregierte Nutzungsmuster und umfasst keine besonderen Daten. Sie können jederzeit über Einstellungen > Datenschutz & Daten widersprechen.

Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Wir erheben und verarbeiten nur die personenbezogenen Daten, die für die in dieser Erklärung beschriebenen Zwecke erforderlich sind. Insbesondere erheben wir keine Standortdaten, keinen Browserverlauf, keine Kontakte und keine Werbe-Kennungen des Geräts (IDFA/AAID). RevenueCat ist ohne Erhebung von Gerätekennungen konfiguriert. Sprachaufnahmen werden ausschließlich zur Transkription verwendet.

Verweise auf deutsches Recht: Zusätzlich zur DSGVO unterliegt die Verarbeitung personenbezogener Daten dem Bundesdatenschutzgesetz ("BDSG") sowie dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz ("TDDDG", vormals TDDDG), insbesondere § 25 TDDDG hinsichtlich der Speicherung von und des Zugriffs auf Informationen in Endgeräten der Nutzer (einschließlich lokaler Datenbanken wie WatermelonDB, AsyncStorage und Push-Benachrichtigungstokens). Die Verarbeitung besonderer Kategorien personenbezogener Daten stützt sich auf Ihre ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO.

6. Wie wir Ihre Daten verwenden

6.1 Kernfunktionen

•Erstellung und Verwaltung Ihres Kontos
•Authentifizierung über Google- oder Apple-Anmeldung
•Speicherung und geräteübergreifende Synchronisierung Ihrer Tracks, Präferenzen und Fortschritte
•Bereitstellung der Audiowiedergabe mit Hintergrundton-Mischung
•Verwaltung Ihrer Track-Bibliothek (Favoriten, Löschen, Organisation)

6.2 KI-gestützte Funktionen

•Skripterstellung: Ihre Prompts, Ihr Onboarding-Profil und Ihre Präferenzen werden über unsere serverseitigen Edge Functions an KI-Modelle (OpenAI GPT-4 oder Google Gemini) gesendet, um personalisierte Meditations-, Hypnose- und Wachstumsskripte zu erstellen
•Sprachsynthese: Generierte Skripte werden an Text-to-Speech-Dienste (ElevenLabs oder Google TTS) gesendet, um Audio-Tracks zu erzeugen
•Transkription: Sprachaufnahmen werden mithilfe von KI-Transkriptionsdiensten transkribiert, um Ihre Absichten zu verstehen
•Coach-Kontext: Ihre Reflexionen und Nutzungsmuster können analysiert werden, um einen Coaching-Kontext (Reflexionsthemen, Belastungsmuster) für individuellere Expeditions-Inhalte aufzubauen

6.3 Personalisierung

•Anpassung von Inhalten anhand Ihres Onboarding-Profils (Wachstumsziele, Mindset-Wert, Wachstumsprofil)
•Anpassung der Inhalte an Ihre bevorzugte Sprache
•Empfehlung von Erlebnissen basierend auf Ihrem Wachstumsbereich und Ihrer Superkraft
•Erstellung von Expeditions-Inhalten, abgestimmt auf Ihren aktuellen Fortschritt

6.4 Kommunikation

•Versand von Push-Benachrichtigungen für Sitzungserinnerungen (wenn aktiviert)
•Erstellung von Kalendereinträgen für geplante Übungen (wenn Kalenderzugriff gewährt wird)
•Bearbeitung Ihrer Support-Anfragen
•Versand wichtiger Aktualisierungen zu unseren Diensten oder Ihrem Konto

6.5 Analyse und Verbesserung

•Verständnis von Nutzungsmustern und Nutzerabläufen
•Erkennung und Behebung von Fehlern, Abstürzen und Leistungsproblemen
•Durchführung von A/B-Tests zur Optimierung des Onboarding-Erlebnisses und der Funktionen
•Messung der Wirksamkeit neuer Funktionen

6.6 Recht und Sicherheit

•Erfüllung gesetzlicher Verpflichtungen
•Durchsetzung unserer Nutzungsbedingungen
•Schutz vor betrügerischen oder rechtswidrigen Aktivitäten

6.7 Automatisierte Entscheidungsfindung

Vibrae nutzt automatisierte Verarbeitung zur Erstellung personalisierter Inhalte. Insbesondere generieren KI-Modelle Meditationsskripte, Coaching-Botschaften und Expeditions-Inhalte auf Grundlage Ihres Onboarding-Profils, Ihrer Nutzungsmuster und Ihrer Reflexionen. Einzelheiten und Ihre Rechte bezüglich dieser Verarbeitung finden Sie in Abschnitt 13.

6.8 Unternehmensübertragungen

Falls die LuminaByte GmbH an einer Fusion, Übernahme, Umstrukturierung, Insolvenz, Auflösung, dem Verkauf aller oder eines Teils ihrer Vermögenswerte oder einer anderen Unternehmensübertragung beteiligt ist, können Ihre personenbezogenen Daten im Rahmen dieser Transaktion übertragen werden. In solchen Fällen:

•Werden wir Sie per In-App-Benachrichtigung und/oder E-Mail informieren, bevor Ihre personenbezogenen Daten übertragen werden und einer anderen Datenschutzerklärung unterliegen
•Wird das übernehmende Unternehmen an dieselben in dieser Erklärung beschriebenen Datenschutzpflichten gebunden sein, soweit dies nach geltendem Recht zulässig ist
•Haben Sie die Möglichkeit, Ihr Konto und Ihre Daten vor Abschluss einer Übertragung zu löschen, nach angemessener Vorankündigung
•Stellen wir bei einem Wechsel des Verantwortlichen die Einhaltung der Informationspflichten gemäß Art. 13/14 DSGVO sicher

6.9 Garantie gegen KI-Training

Ihre Daten werden NICHT zum Training von KI-Modellen verwendet. Vibrae nutzt KI-Dienste (OpenAI, Google Vertex AI/Gemini, ElevenLabs) ausschließlich über deren Enterprise-/API-Schnittstellen, die die Nutzung von Kundendaten für das Modelltraining vertraglich untersagen. Konkret:

•OpenAI: Gemäß der OpenAI-Richtlinie zur Datennutzung über die API (gültig ab 1. März 2023) werden über die API übermittelte Daten nicht zum Training von OpenAI-Modellen verwendet und höchstens 30 Tage zur Missbrauchsüberwachung gespeichert, danach gelöscht
•Google Vertex AI / Gemini: Gemäß den Datenverarbeitungsbedingungen von Google Cloud werden an Vertex-AI-APIs übermittelte Kundendaten nicht zum Training der Foundation-Modelle von Google verwendet
•ElevenLabs: Gemäß den API-Bedingungen von ElevenLabs werden über die API zur Sprachsynthese übermittelte Texte nicht zum Training ihrer Modelle verwendet

Diese Garantie ist eine zentrale Verpflichtung gegenüber unseren Nutzern: Ihre persönlichen Reflexionen, Sprachaufnahmen und Wachstumsdaten werden ausschließlich zur Bereitstellung Ihrer personalisierten Erfahrung verwendet und niemals zur Verbesserung oder zum Training von KI-Systemen Dritter.

6.10 Anonymisierung und De-Identifizierung

Soweit möglich, verwenden wir für Analyse- und Verbesserungszwecke de-identifizierte oder aggregierte Daten. Wenn wir Daten de-identifizieren:

•Entfernen oder verschleiern wir alle direkten Identifikatoren (Name, E-Mail, Nutzer-ID)
•Wenden wir technische Schutzmaßnahmen an, um eine Re-Identifizierung zu verhindern
•Verpflichten wir uns, nicht zu versuchen, de-identifizierte Daten zu re-identifizieren, und untersagen dies nachgelagerten Empfängern vertraglich
•Gelten de-identifizierte Daten nicht mehr als personenbezogene Daten nach DSGVO (Erwägungsgrund 26) oder als personenbezogene Informationen nach CCPA (Section 1798.140(h))

Aggregierte Analysen (z. B. Statistiken zur Funktionsnutzung, durchschnittliche Sitzungsdauern, Onboarding-Abschlussraten) werden intern zur Produktverbesserung verwendet und können in aggregierter Form in der Kommunikation mit Investoren oder Partnern erwähnt werden, ohne dass eine Identifizierung einzelner Nutzer möglich ist.

6.11 Strafverfolgung und rechtliche Anfragen

Wir können Ihre personenbezogenen Daten offenlegen, wenn dies gesetzlich vorgeschrieben ist oder als Reaktion auf rechtmäßige Anfragen öffentlicher Behörden (z. B. eines Gerichts oder einer Strafverfolgungsbehörde). Vor einer Offenlegung werden wir:

•Die rechtliche Gültigkeit der Anfrage prüfen
•Sie benachrichtigen, sofern dies nicht gesetzlich untersagt ist (z. B. gerichtliche Geheimhaltungsanordnung)
•Nur die zur Erfüllung erforderlichen Mindestdaten bereitstellen
•Übermäßig weit gefassten oder unangemessenen Anfragen widersprechen, soweit rechtlich möglich

7. Auftragsverarbeiter (Dritte)

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir geben Daten an folgende Dienstleister weiter, die diese in unserem Auftrag verarbeiten:

Anbieter	Standort	Geteilte Daten	Zweck	Speicherdauer
Supabase	EU (Frankfurt)	Alle Nutzerdaten, Dateien, Authentifizierung	Datenbank, Authentifizierung, Dateispeicher, Edge Functions	Gemäß unserer Aufbewahrungsrichtlinie
OpenAI	USA	Text-Prompts, generierte Skripte, Sprachaufnahmen, Reflexionen	KI-Skripterstellung, Transkription	30-tägige API-Datenspeicherung
Google Vertex AI / Gemini	USA	Text-Prompts, generierte Skripte	KI-Skripterstellung, Text-to-Speech-Sprachsynthese	Gemäß Google Cloud AVV
ElevenLabs	USA / EU	Generierte Skripte (nur Text)	Text-to-Speech-Sprachsynthese	Gemäß ElevenLabs AVV
PostHog	USA (konfigurierbar)	Nutzungsereignisse, Geräteinformationen, Session-Replay-Daten	Analyse, A/B-Tests, Session Replay (App und Website)	Gemäß unserer Aufbewahrungskonfiguration
Vercel	USA	HTTP-Metadaten, statische Assets, Edge Functions	Website-Hosting, CDN, serverlose Funktionen	Gemäß Vercel AVV
Cloudflare	Globales CDN	Routing von Teilen-Links, HTTP-Anfrage-Metadaten	CDN, Routing, DDoS-Schutz	Vorübergehend
Expo / EAS	USA	Push-Benachrichtigungstokens, OTA-Update-Metadaten	Zustellung von Push-Benachrichtigungen, App-Updates	Gemäß Expo-Datenschutzerklärung
Apple	USA	Authentifizierungstokens, Push-Zustellung, Abonnementdaten	Anmeldung mit Apple, Push-Benachrichtigungen, IAP	Gemäß Apple-Datenschutzerklärung
Google	USA	Authentifizierungstokens, Push-Zustellung, Abonnementdaten	Google-Anmeldung, Push-Benachrichtigungen, IAP	Gemäß Google-Datenschutzerklärung
RevenueCat	USA (AWS)	Nutzer-ID (pseudonym), Geräteinformationen, Kaufbelege	Abonnementverwaltung, Validierung von Kaufbelegen	Gemäß RevenueCat AVV

RevenueCat: Wir nutzen RevenueCat (revenuecat.com) zur Verwaltung von In-App-Abonnements und zur Validierung von Kaufbelegen. RevenueCat erhält Ihre pseudonyme Nutzer-ID für die geräteübergreifende Abonnementverfolgung sowie Kaufbelege von Apple und Google. RevenueCat erhält weder Ihre E-Mail-Adresse, Ihren Namen noch andere direkt identifizierende Informationen. Die Infrastruktur von RevenueCat wird auf Amazon Web Services (AWS) in den USA gehostet und unterliegt einem Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO, verfügbar unter revenuecat.com/dpa/.

Alle Auftragsverarbeiter sind durch Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 Abs. 3 DSGVO gebunden. Jeder AVV verpflichtet den Auftragsverarbeiter:

•Ihre Daten nur auf unsere dokumentierten Weisungen hin zu verarbeiten
•Sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind
•Geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen
•Uns bei der Beantwortung von Anträgen betroffener Personen zu unterstützen
•Alle personenbezogenen Daten nach Beendigung der Dienstleistung zu löschen oder zurückzugeben
•Alle zum Nachweis der Einhaltung erforderlichen Informationen bereitzustellen

Änderungen bei Unterauftragsverarbeitern: Wir werden diese Datenschutzerklärung aktualisieren, um wesentliche Änderungen unserer Auftragsverarbeiter-Landschaft widerzuspiegeln. Wenn ein neuer Unterauftragsverarbeiter beauftragt wird, der die Verarbeitung Ihrer Daten wesentlich verändert (z. B. ein neuer KI-Anbieter oder eine Änderung des Datenhostingstandorts), werden wir mindestens 14 Tage vor Wirksamwerden der Änderung darüber informieren, per In-App-Benachrichtigung oder durch Aktualisierung dieser Erklärung. Sie können solchen Änderungen widersprechen, indem Sie uns kontaktieren; können wir Ihrem Widerspruch nicht nachkommen, können Sie Ihr Konto löschen.

8. Hinweise zu Session Replay & Analyse

8.1 Analyse-Tracking

Vibrae nutzt PostHog für Produktanalysen. Wenn die Analyse aktiviert ist, erfassen wir die in Abschnitt 3.2 beschriebenen Nutzungsereignisse. Analysedaten umfassen:

•Ereignisnamen und zugehörige Eigenschaften (Track-IDs, Dauern, Schrittnummern)
•Geräte- und Plattforminformationen
•Nutzereigenschaften (Abonnement-Stufe, Sprachpräferenzen, Onboarding-Status)

Die PostHog-Analyse gilt sowohl für die App als auch für die Website. Das Analyse-Tracking ist standardmäßig aktiviert. Sie können jederzeit über Einstellungen > Datenschutz & Daten > Analyse (App) oder über die Einwilligungsmechanismen von PostHog (Website) widersprechen.

8.2 Session Replay

Das PostHog-Session-Replay erfasst Ihre Interaktionen mit der App, um uns zu helfen, Probleme mit der Nutzererfahrung zu verstehen. Wenn aktiviert, werden aufgezeichnet:

•UI-Interaktionen (Tippen, Wischen, Scrollen, Navigation)
•Bildschirmabläufe und -übergänge
•Metadaten von Netzwerkanfragen (URLs, Statuscodes, Antwortzeiten – keine Anfrage- oder Antwortinhalte)
•Konsolenausgaben (Log-Output)

Datenschutzmaßnahmen beim Session Replay:

•Alle Texteingaben werden maskiert (es erscheint, als würden Sie Platzhalterzeichen eingeben)
•Bilder (z. B. Profilfotos) werden nicht maskiert
•iOS-Systemansichten (Tastaturen, Warnmeldungen) werden maskiert

Session Replay ist standardmäßig deaktiviert. Es erfordert Ihre gesonderte, ausdrückliche Opt-in-Einwilligung. Sie können es jederzeit über Einstellungen > Datenschutz & Daten > Session Replay aktivieren oder deaktivieren.

8.3 Umgang mit IP-Adressen

PostHog erhält Ihre IP-Adresse im Rahmen der standardmäßigen HTTP-Kommunikation. Wir haben PostHog so konfiguriert, dass IP-Adressen anonymisiert werden, indem das letzte Oktett von IPv4-Adressen (und die letzten 80 Bit von IPv6-Adressen) vor der Speicherung verworfen wird. Das bedeutet, dass Ihre vollständige IP-Adresse nicht in unserem Analysesystem gespeichert wird. Dieser Ansatz folgt den Vorgaben deutscher Datenschutzbehörden zur Verarbeitung von IP-Adressen (in Übereinstimmung mit den im EuGH-Urteil C-582/14 – Breyer/Deutschland aufgestellten Grundsätzen).

9. Datenspeicherung & Sicherheit

9.1 Serverseitige Speicherung

•Datenbank: Supabase PostgreSQL, gehostet in der EU (Frankfurt, Deutschland)
•Row-Level Security (RLS): Alle Datenbanktabellen erzwingen Sicherheitsrichtlinien auf Zeilenebene, sodass Nutzer nur auf ihre eigenen Daten zugreifen können
•Speicher-Buckets:
•tracks – Generierte Audio-Tracks (öffentliche URLs für die Wiedergabe)
•voice-prompts – Ihre Sprachaufnahmen (privat, nur für Sie zugänglich)
•avatars – Profilfotos (öffentlicher Lesezugriff)

9.2 Speicherung auf dem Gerät

Auf Ihrem Gerät gespeicherte Daten bleiben unter Ihrer Kontrolle und werden nicht an unsere Server übermittelt, es sei denn, Sie lösen aktiv eine Synchronisierung aus oder nutzen eine Funktion, die eine Serverkommunikation erfordert. Konkret:

•WatermelonDB: Lokale SQLite-Datenbank für Offline-Zugriff und Leistung (unverschlüsselt auf dem Gerät gespeichert, geschützt durch die Geräteverschlüsselung des Betriebssystems). Diese lokale Datenbank dient als Cache; die LuminaByte GmbH ist nur für Daten Verantwortlicher, die mit unseren Servern synchronisiert werden.
•AsyncStorage: Wird für App-Präferenzen und den Onboarding-Status verwendet
•Auth-Tokens: Derzeit in AsyncStorage gespeichert (eine Migration zu expo-secure-store für verschlüsselte Speicherung ist geplant)
•Website-localStorage: Wird für den Status des Onboarding-Quiz verwendet (Schlüssel vibrae-onboarding). Die Daten verbleiben auf Ihrem Gerät und werden nicht mit unseren Servern synchronisiert. Sie können sie über Ihre Browsereinstellungen löschen.

Nach § 25 TDDDG erfordert der Zugriff auf oder die Speicherung von Informationen auf Ihrem Gerät (einschließlich lokaler Datenbanken, Präferenzen und Push-Benachrichtigungstokens) Ihre Einwilligung, sofern dies nicht zur Bereitstellung des von Ihnen angeforderten Dienstes unbedingt erforderlich ist. Wir holen diese Einwilligung bei der ersten Einrichtung der App ein.

9.3 Verschlüsselung & Sicherheitsmaßnahmen

•Bei der Übertragung: Alle zwischen unseren Diensten und unseren Servern übertragenen Daten werden mit TLS (Transport Layer Security) verschlüsselt
•Im Ruhezustand: Serverseitige Daten werden im Ruhezustand über die Supabase-Infrastrukturverschlüsselung verschlüsselt
•Authentifizierung: Branchenüblicher OAuth 2.0 über Apple und Google
•Zugriffskontrollen: Service-Role-Schlüssel werden als Umgebungsgeheimnisse auf dem Server gespeichert und niemals an den Client weitergegeben. Alle KI- und TTS-API-Aufrufe werden über serverseitige Edge Functions geleitet.

Hinweis: Vibrae bietet keine Ende-zu-Ende-Verschlüsselung. Während Daten bei der Übertragung und im Ruhezustand auf unseren Servern verschlüsselt sind, werden sie von unseren Edge Functions und KI-Anbietern Dritter in lesbarer Form verarbeitet, um die Funktionalität unserer Dienste bereitzustellen.

9.4 Benachrichtigung bei Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten werden wir:

Die Aufsichtsbehörde (LfDI Baden-Württemberg) innerhalb von 72 Stunden nach Kenntniserlangung der Verletzung benachrichtigen, wie nach Art. 33 DSGVO erforderlich, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für Ihre Rechte und Freiheiten
Betroffene Nutzer unverzüglich benachrichtigen, wenn die Verletzung voraussichtlich zu einem hohen Risiko für Ihre Rechte und Freiheiten führt, wie nach Art. 34 DSGVO erforderlich. Da Vibrae besondere Kategorien personenbezogener Daten (Art. 9) verarbeitet, wenden wir eine niedrigere Schwelle für die Benachrichtigung von Nutzern an
Alle Verletzungen in einem internen Verzeichnis dokumentieren, unabhängig von der Schwere, einschließlich der Fakten der Verletzung, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen
Zusätzliche Benachrichtigungspflichten nach geltendem Recht erfüllen, einschließlich § 65 BDSG, California Civil Code Section 1798.82 und anderer US-amerikanischer Landesgesetze zur Benachrichtigung bei Datenschutzverletzungen

Sicherheits-Kontakt: Um eine Sicherheitslücke oder eine vermutete Datenschutzverletzung zu melden, wenden Sie sich an security@vibrae.ai. Für allgemeine Datenschutzanfragen wenden Sie sich an privacy@vibrae.ai.

10. Speicherdauer

Datenkategorie	Speicherdauer
Kontodaten (E-Mail, Name, Foto)	Aktive Kontolaufzeit + 30 Tage nach Löschung
Sprachaufnahmen	Bis Sie sie löschen oder Kontolöschung + 30 Tage
Generierte Audio-Tracks	Bis Sie sie löschen oder Kontolöschung + 30 Tage
Onboarding-Profil	Aktive Kontolaufzeit + 30 Tage nach Löschung
Expeditions-Reflexionen und Coach-Kontext	Aktive Kontolaufzeit + 30 Tage nach Löschung
Nutzungsanalysen	24 Monate
Session-Replay-Aufzeichnungen	30 Tage
Push-Benachrichtigungstokens	Bis zur Abmeldung oder Kontolöschung
Teilen-Links	Bis zum Ablauf des Links oder zur Kontolöschung
Skript-Generierungsaufträge	90 Tage nach Abschluss

Wenn Sie Ihr Konto löschen, leiten wir die Löschung Ihrer personenbezogenen Daten innerhalb von 30 Tagen ein. Einige Daten können im Rahmen des regulären Infrastrukturbetriebs für begrenzte Zeit in verschlüsselten Backups verbleiben, werden jedoch nicht aktiv verarbeitet.

Besondere Daten bei Widerruf der Einwilligung: Wenn Sie Ihre Einwilligung zur Verarbeitung besonderer Kategorien personenbezogener Daten widerrufen (ohne Ihr Konto zu löschen), löschen wir Ihre psychologischen/Wohlbefindensdaten, Expeditions-Reflexionen und Coach-Kontextprofile innerhalb von 7 Tagen. Einzelheiten finden Sie in Abschnitt 4.

Kündigung des Abonnements: Wenn Sie Ihr Abonnement kündigen, Ihr Konto aber aktiv bleibt, bewahren wir alle Ihre Daten wie oben beschrieben auf. Ihre generierten Tracks und Ihr Expeditions-Fortschritt bleiben in schreibgeschütztem oder eingeschränktem Umfang zugänglich. Wir löschen Daten nicht allein deshalb, weil ein Abonnement ausläuft, können jedoch die serverseitigen Speicherzuweisungen für inaktive Konten der kostenlosen Stufe nach 12 Monaten Inaktivität nach vorheriger Ankündigung reduzieren.

11. Internationale Datenübermittlungen

Ihre primären Daten werden in der EU (Frankfurt, Deutschland) über Supabase gespeichert. Um jedoch KI-gestützte Funktionen bereitzustellen, werden einige Daten an Auftragsverarbeiter in den USA übermittelt:

•OpenAI (USA) – für KI-Skripterstellung und Transkription
•Google Vertex AI / Gemini (USA) – für KI-Skripterstellung und Text-to-Speech
•RevenueCat (USA, AWS) – für Abonnementverwaltung und Belegvalidierung
•PostHog (USA) – für Analyse und Session Replay
•Expo / EAS (USA) – für die Zustellung von Push-Benachrichtigungen und App-Updates
•Cloudflare (global) – für CDN und Routing

Übermittlungsmechanismus: Diese Übermittlungen sind durch Standardvertragsklauseln (SCC) geschützt, wie von der Europäischen Kommission genehmigt, und/oder durch die Teilnahme des Auftragsverarbeiters an anerkannten Datenschutz-Frameworks. Jeder Auftragsverarbeiter hat mit uns einen Auftragsverarbeitungsvertrag (AVV) geschlossen.

Sie können die konkreten Garantien einsehen, indem Sie uns unter privacy@vibrae.ai kontaktieren.

12. Ihre Rechte

12.1 Alle Nutzer

Unabhängig von Ihrem Standort haben Sie das Recht:

•Auf Auskunft über die von uns gespeicherten personenbezogenen Daten
•Auf Berichtigung unrichtiger oder unvollständiger Daten
•Auf Löschung Ihres Kontos und der zugehörigen Daten
•Auf Export Ihrer Daten in einem übertragbaren Format

12.2 Personen im EWR, im Vereinigten Königreich und in der Schweiz

Nach der Datenschutz-Grundverordnung (DSGVO) haben Sie zusätzlich folgende Rechte:

•Auskunftsrecht (Art. 15) – Eine Kopie Ihrer personenbezogenen Daten und Informationen über deren Verarbeitung erhalten
•Recht auf Berichtigung (Art. 16) – Unrichtige Daten berichtigen lassen
•Recht auf Löschung (Art. 17) – Löschung Ihrer personenbezogenen Daten verlangen ("Recht auf Vergessenwerden")
•Recht auf Einschränkung der Verarbeitung (Art. 18) – Verlangen, dass wir die Nutzung Ihrer Daten einschränken
•Recht auf Datenübertragbarkeit (Art. 20) – Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten. Soweit technisch machbar, können Sie auch verlangen, dass wir Ihre Daten direkt an einen anderen Verantwortlichen übermitteln (Art. 20 Abs. 2)
•Widerspruchsrecht (Art. 21) – Der auf berechtigten Interessen beruhenden Verarbeitung, einschließlich Analysen, widersprechen
•Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3) – Die Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird
•Rechte im Zusammenhang mit automatisierter Entscheidungsfindung (Art. 22) – Siehe Abschnitt 13

Aufsichtsbehörde: Sie haben das Recht, Beschwerde bei Ihrer örtlichen Datenschutzbehörde einzureichen. Unsere federführende Aufsichtsbehörde ist die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI):

•Anschrift: Lautenschlagerstraße 20, 70173 Stuttgart, Deutschland
•Telefon: +49 711 615541-0
•E-Mail: poststelle@lfdi.bwl.de
•Website: https://www.baden-wuerttemberg.datenschutz.de

Bearbeitungszeit: Wir beantworten alle Anträge zur Wahrnehmung von Rechten innerhalb von 30 Tagen. Bei besonders komplexen Anträgen können wir diese Frist um weitere 60 Tage verlängern und werden Sie über eine etwaige Verlängerung informieren.

12.3 Einwohner Kaliforniens (CCPA/CPRA)

Nach dem California Consumer Privacy Act und dem California Privacy Rights Act haben Sie das Recht:

•Auf Kenntnis – Welche personenbezogenen Informationen wir erheben, verwenden, offenlegen und verkaufen
•Auf Löschung – Löschung Ihrer personenbezogenen Informationen verlangen
•Auf Berichtigung – Berichtigung unrichtiger personenbezogener Informationen verlangen
•Auf Widerspruch gegen den Verkauf – Wir verkaufen Ihre personenbezogenen Informationen nicht
•Auf Einschränkung der Nutzung sensibler personenbezogener Informationen – Verlangen, dass wir die Nutzung sensibler personenbezogener Informationen auf das zur Diensterbringung Notwendige beschränken
•Auf Nichtdiskriminierung – Wir werden Sie nicht diskriminieren, weil Sie Ihre Datenschutzrechte ausüben. Insbesondere werden wir nicht:
•Ihnen den Zugang zur App verweigern
•Ihnen unterschiedliche Preise oder Tarife berechnen
•Ihnen ein anderes Niveau oder eine andere Qualität des Dienstes bieten
•Andeuten, dass Sie einen anderen Preis, Tarif oder eine andere Servicequalität erhalten

Kategorien erhobener personenbezogener Informationen (gemäß CCPA Section 1798.140):

CCPA-Kategorie	Beispiele von Vibrae	Verkauft?	Für Werbung geteilt?
A. Identifikatoren	E-Mail-Adresse, Anzeigename, Nutzer-ID	Nein	Nein
B. Personenbezogene Informationen nach Cal. Civ. Code 1798.80(e)	Name, E-Mail-Adresse	Nein	Nein
C. Geschützte Klassifizierungsmerkmale	Alter, Geschlecht (aus dem Onboarding)	Nein	Nein
D. Kommerzielle Informationen	Abonnementstatus, Kaufbelege (über RevenueCat verarbeitet)	Nein	Nein
F. Internet- oder elektronische Netzwerkaktivität	Nutzungsereignisse, Geräteinformationen, Session-Replay-Daten	Nein	Nein
G. Geolokalisierungsdaten	Nicht erhoben (keine Standortverfolgung)	Entf.	Entf.
H. Audio-, elektronische, visuelle oder ähnliche Informationen	Sprachaufnahmen zur Transkription	Nein	Nein
I. Berufs- oder beschäftigungsbezogene Informationen	Nicht erhoben	Entf.	Entf.
K. Schlussfolgerungen	Wachstumsprofil-Werte, Coach-Kontext, Reflexionsthemen, Superkraft/Wachstumschance	Nein	Nein
L. Sensible personenbezogene Informationen	Psychologische/Wohlbefindensdaten (Mindset-Werte, Lebenszufriedenheit, Lebensherausforderungen, Wachstumsprofile), Reflexionen zur psychischen Gesundheit	Nein	Nein

Wir verkaufen oder teilen personenbezogene Informationen nicht für kontextübergreifende verhaltensbasierte Werbung.

Sensible personenbezogene Informationen: Wir erheben sensible personenbezogene Informationen wie in Kategorie L oben beschrieben. Diese sensiblen personenbezogenen Informationen werden ausschließlich zur Erbringung des Vibrae-Dienstes verwendet (personalisierte Inhaltserstellung und Coaching). Sie werden nicht für Werbung, für Profiling zu Werbezwecken oder für andere Zwecke als die Bereitstellung des Kerndienstes verwendet. Sie haben das Recht, die Nutzung Ihrer sensiblen personenbezogenen Informationen auf das zur Diensterbringung Notwendige zu beschränken (CCPA Section 1798.121).

California "Shine the Light" (Cal. Civ. Code Section 1798.83): Die LuminaByte GmbH gibt personenbezogene Informationen nicht zu Direktmarketingzwecken an Dritte weiter.

12.4 Einwohner anderer US-Bundesstaaten

Wenn Sie in Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Oregon (OCPA) oder anderen US-Bundesstaaten mit umfassender Datenschutzgesetzgebung ansässig sind, können Ihnen ähnliche Rechte zustehen, darunter:

•Recht auf Auskunft, Berichtigung und Löschung Ihrer Daten
•Recht auf Datenübertragbarkeit
•Recht auf Widerspruch gegen zielgerichtete Werbung (wir betreiben keine zielgerichtete Werbung)
•Recht auf Widerspruch gegen den Verkauf personenbezogener Daten (wir verkaufen keine personenbezogenen Daten)
•Recht auf Anfechtung unserer Entscheidung über Ihren Datenschutzantrag

Wir berücksichtigen Global-Privacy-Control-(GPC)-Signale als gültigen Widerspruch.

Do Not Track (DNT): Einige Browser übermitteln "Do Not Track"-Signale. Da es keinen Branchenkonsens zur Auslegung von DNT gibt, reagieren wir derzeit nicht auf DNT-Signale. Wir berücksichtigen jedoch Global-Privacy-Control-(GPC)-Signale wie oben beschrieben, die einen standardisierten Widerspruchsmechanismus bieten, der nach kalifornischem und anderem US-Landesrecht anerkannt ist.

Um eine Entscheidung über Ihre Datenschutzrechte anzufechten, wenden Sie sich an privacy@vibrae.ai mit "Datenschutz-Widerspruch / Privacy Rights Appeal" im Betreff. Wir antworten innerhalb von 45 Tagen.

12.5 Einwohner von Washington und Nevada

Washington "My Health My Data" Act (RCW 19.373): Vibrae erhebt "Verbrauchergesundheitsdaten" im Sinne des Rechts von Washington, einschließlich Daten zu Ihrer psychischen und verhaltensbezogenen Gesundheit (Mindset-Werte, Bewertungen der Lebenszufriedenheit, Wachstumsprofile, Expeditions-Reflexionen). Nach diesem Gesetz haben Sie das Recht:

•Zu erfahren, ob wir Ihre Verbrauchergesundheitsdaten erheben, teilen oder verkaufen
•Die Einwilligung zur Erhebung und Weitergabe Ihrer Verbrauchergesundheitsdaten zu widerrufen
•Die Löschung Ihrer Verbrauchergesundheitsdaten zu verlangen

Wir verkaufen keine Verbrauchergesundheitsdaten. Wir holen Ihre Einwilligung vor der Erhebung von Verbrauchergesundheitsdaten während des Onboardings ein. Um Ihre Rechte nach diesem Gesetz auszuüben, wenden Sie sich an privacy@vibrae.ai oder nutzen Sie die In-App-Datenschutzeinstellungen.

Nevada SB 220: Wir verkaufen Ihre personenbezogenen Informationen im Sinne des Nevada Revised Statutes Chapter 603A nicht. Einwohner Nevadas können Widerspruchsanträge an privacy@vibrae.ai richten.

12.6 Bevollmächtigte Vertreter

Einwohner Kaliforniens und anderer einschlägiger US-Bundesstaaten können einen bevollmächtigten Vertreter benennen, um Datenschutzanträge in ihrem Namen zu stellen. Um einen Antrag über einen bevollmächtigten Vertreter zu stellen:

Muss der bevollmächtigte Vertreter eine von Ihnen unterzeichnete schriftliche Vollmacht oder eine Vollmachtsurkunde vorlegen
Können wir verlangen, dass Sie Ihre Identität direkt bei uns bestätigen
Richten Sie Anträge bevollmächtigter Vertreter an privacy@vibrae.ai mit "Antrag bevollmächtigter Vertreter / Authorized Agent Request" im Betreff

12.7 So üben Sie Ihre Rechte aus

Sie können Ihre Datenschutzrechte wie folgt ausüben:

•In der App: Einstellungen > Datenschutz & Daten (Einwilligungsverwaltung, Analyse-Opt-out, Session-Replay-Schalter)
•Kontolöschung: Einstellungen > Datenschutz & Daten > Mein Konto löschen
•Datenexport: Einstellungen > Datenschutz & Daten > Meine Daten exportieren
•E-Mail: privacy@vibrae.ai (für Auskunftsanträge, Berichtigungen, Widersprüche oder Beschwerden)

Wir müssen Ihre Identität möglicherweise überprüfen, bevor wir Ihren Antrag bearbeiten.

Exzessive oder offenkundig unbegründete Anträge: Nach Art. 12 Abs. 5 DSGVO können wir, wenn Anträge einer betroffenen Person offenkundig unbegründet oder exzessiv sind (insbesondere im Fall häufiger Wiederholung), ein angemessenes Entgelt unter Berücksichtigung der Verwaltungskosten verlangen oder uns weigern, aufgrund des Antrags tätig zu werden. Wir werden Sie über die Gründe einer etwaigen Weigerung und über Ihr Recht informieren, Beschwerde bei der Aufsichtsbehörde einzureichen.

12.8 Streitbeilegung

Wenn Sie mit unserer Antwort auf eine Datenschutzbeschwerde nicht zufrieden sind, können Sie:

•Personen im EWR/Vereinigten Königreich: Beschwerde bei Ihrer örtlichen Datenschutzbehörde einreichen (siehe Kontaktdaten der Aufsichtsbehörde in Abschnitt 12.2)
•Personen in den USA: Uns über das in Abschnitt 12.4 beschriebene Anfechtungsverfahren kontaktieren
•Alle Nutzer: Unseren Datenschutz-Ansprechpartner unter privacy@vibrae.ai kontaktieren

Für Streitigkeiten im Zusammenhang mit den Nutzungsbedingungen (einschließlich Schiedsklauseln) siehe unsere Nutzungsbedingungen, Abschnitt 21.

12.9 Andere internationale Rechtsräume

Brasilien (LGPD): Nach dem Lei Geral de Proteção de Dados haben Sie Rechte einschließlich Auskunft, Berichtigung, Löschung, Übertragbarkeit und Widerruf der Einwilligung. Kontakt: privacy@vibrae.ai.

Australien (Privacy Act 1988): Sie haben das Recht auf Auskunft und Berichtigung Ihrer personenbezogenen Informationen. Beschwerden können beim Office of the Australian Information Commissioner (OAIC) unter oaic.gov.au eingereicht werden.

Kanada (PIPEDA): Sie haben das Recht, auf Ihre personenbezogenen Informationen zuzugreifen, sie zu berichtigen und ihre Richtigkeit anzufechten. Beschwerden können beim Office of the Privacy Commissioner of Canada unter priv.gc.ca eingereicht werden.

13. Automatisierte Entscheidungsfindung & Profiling

13.1 Wie wir automatisierte Verarbeitung nutzen

Vibrae nutzt KI und automatisierte Verarbeitung, um Ihre Erfahrung zu personalisieren:

•Skripterstellung: KI-Modelle generieren Meditations-, Hypnose- und Wachstumsskripte auf Grundlage Ihrer Prompts, Ihres Onboarding-Profils und Ihrer Präferenzen
•Coach-Botschaften: Coaching-Inhalte für Expeditionen werden auf Grundlage Ihrer Reflexionen und Ihres Fortschritts angepasst
•Expeditions-Inhalte: Tägliches Expeditions-Audio wird auf Ihr Wachstumsprofil und Ihren aktuellen Fortschritt zugeschnitten

13.2 Welche Daten in automatisierte Entscheidungen einfließen

Die automatisierte Inhaltserstellung berücksichtigt:

•Ihr Onboarding-Profil (Ziele, Mindset-Wert, Lebenszufriedenheit, Wachstumsprofil-Werte)
•Ihre Nutzungsmuster (Track-Typen, Hörgewohnheiten, Sitzungshäufigkeit)
•Ihre Expeditions-Reflexionen und -Antworten
•Abgeleitete Profiling-Daten: Wachstumsprofil-Bewertung (Ehrgeiz, Selbstvertrauen, Disziplin, Klarheit, Resilienz), Extraktion von Reflexionsthemen und Erkennung von Belastungsmustern

13.3 Auswirkungen und Ihre Rechte

•Keine automatisierte Entscheidung entfaltet rechtliche Wirkung oder beeinträchtigt Sie in ähnlich erheblicher Weise. Jede automatisierte Verarbeitung beschränkt sich auf die Personalisierung von Inhalten innerhalb unserer Dienste.
•Sie haben das Recht auf menschliches Eingreifen bei Entscheidungen der automatisierten Verarbeitung
•Sie können eine Erläuterung anfordern, wie Ihre Profildaten die für Sie generierten Inhalte beeinflussen
•Sie können dem Profiling widersprechen, indem Sie privacy@vibrae.ai kontaktieren

Um diese Rechte auszuüben, kontaktieren Sie uns unter privacy@vibrae.ai.

14. Öffentlich geteilte Daten

Wenn Sie einen Track über die Teilen-Link-Funktion teilen, sind die folgenden Informationen im Teilen-Link enthalten und für jeden sichtbar, der ihn öffnet:

•Track-Titel
•Track-Beschreibung
•Track-Typ (z. B. Meditation, Hypnose)
•Track-Dauer
•Ihr Anzeigename (als teilende Person)

Teilen-Links sind über eine öffentliche URL zugänglich. Sie können das Teilen steuern, indem Sie die Teilen-Funktion nicht nutzen. Teilen-Links laufen nach der konfigurierten Ablaufdauer oder bei Löschung Ihres Kontos ab.

15. Datenschutz für Kinder

Vibrae ist nicht für Kinder unter 13 Jahren (Vereinigte Staaten) bzw. 16 Jahren (Europäischer Wirtschaftsraum) bestimmt.

Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter diesem Alter. Wir verlassen uns auf die Altersfreigaben des App Store und Play Store, um den Zugang zu beschränken, überprüfen das Alter der Nutzer jedoch nicht eigenständig.

Sollten wir feststellen, dass wir versehentlich personenbezogene Daten eines Kindes unter dem geltenden Alter erhoben haben, werden wir umgehend Schritte einleiten, um diese Daten zu löschen. Wenn Sie der Ansicht sind, dass uns ein Kind unter dem geltenden Alter personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte unter privacy@vibrae.ai.

16. Geräteberechtigungen

Die App kann die folgenden Geräteberechtigungen anfordern. Jede Berechtigung wird erst dann angefordert, wenn die zugehörige Funktion erstmals genutzt wird:

Berechtigung	Zweck	Wann angefordert
Mikrofon	Aufnahme von Sprach-Prompts für die KI-Track-Erstellung	Wenn Sie auf die Sprachaufnahme-Schaltfläche tippen
Kamera	Aufnahme von Avatar-Fotos	Wenn Sie ein neues Profilfoto aufnehmen möchten
Fotobibliothek	Auswahl von Avatar-Fotos aus Ihrer Galerie	Wenn Sie ein Profilfoto hochladen möchten
Kalender	Erstellung und Verwaltung von Sitzungserinnerungen	Wenn Sie Kalendererinnerungen aktivieren
Benachrichtigungen	Zustellung von Sitzungserinnerungen und wichtigen Aktualisierungen	Während des Onboardings oder beim Aktivieren von Erinnerungen
Internet	Daten synchronisieren, KI-Inhalte generieren, Audio streamen, Analysen übermitteln	Für die App-Funktionalität erforderlich (immer aktiv)

Website: Die Website fordert keine besonderen Browserberechtigungen an (keine Kamera, kein Mikrofon, keine Geolokalisierung, keine Benachrichtigungen).

Sie können jede App-Berechtigung jederzeit über die Systemeinstellungen Ihres Geräts widerrufen. Der Widerruf einer Berechtigung deaktiviert die zugehörige Funktion, beeinträchtigt jedoch keine andere Funktionalität.

17. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wenn wir Änderungen vornehmen:

•Wesentliche Änderungen: Werden wir mindestens 30 Tage im Voraus über In-App-Benachrichtigung und/oder E-Mail informieren, bevor die Änderungen wirksam werden
•Erneute Einwilligung: Soweit die Einwilligung die Rechtsgrundlage der Verarbeitung ist, holen wir bei wesentlichen Änderungen, die den Umfang der Verarbeitung betreffen, eine erneute Einwilligung ein
•Versionsverlauf: Alle früheren Versionen dieser Erklärung sind in Abschnitt 18 dokumentiert

Barrierefreiheit: Wenn Sie aufgrund einer Seh- oder anderen Beeinträchtigung Schwierigkeiten haben, diese Datenschutzerklärung zu lesen, kontaktieren Sie privacy@vibrae.ai, und wir stellen sie auf Anfrage in einem alternativen Format bereit (Klartext, Großdruck oder Audio).

Betrifft eine Änderung eine Verarbeitung, die auf Ihrer Einwilligung beruht, holen wir Ihre Einwilligung vor deren Inkrafttreten erneut ein (siehe oben); Ihr Schweigen oder Ihre fortgesetzte Nutzung werten wir bei solchen Änderungen nicht als Einwilligung. Für sonstige Änderungen gilt die aktualisierte Erklärung ab dem angegebenen Wirksamkeitsdatum. Wenn Sie mit einer überarbeiteten Erklärung nicht einverstanden sind, können Sie die Nutzung unserer Dienste einstellen und die Löschung Ihres Kontos verlangen.

18. Kontakt & Versionsverlauf

Kontakt

LuminaByte GmbH

Julius-Hatry-Straße 1

68163 Mannheim, Deutschland

Datenschutz-Kontakt: privacy@vibrae.ai

Sicherheits-Kontakt: security@vibrae.ai

Aufsichtsbehörde:

Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI)

Lautenschlagerstraße 20

70173 Stuttgart, Deutschland

Telefon: +49 711 615541-0

E-Mail: poststelle@lfdi.bwl.de

Website: https://www.baden-wuerttemberg.datenschutz.de

Versionsverlauf

Version	Datum	Änderungen
1.0.0	8. Februar 2026	Erste Datenschutzerklärung.
1.1.0	21. Juni 2026	Sprachregelung (deutsche Fassung maßgeblich für DE/EWR); Datenschutz-Ansprechpartner statt bisheriger DSB-Benennung; TTDSG→TDDDG; Abschnitt zum App-/Website-Geltungsbereich ergänzt; überarbeiteter Hinweis zu besonderen Datenkategorien (Art. 9); Entfernung der eingestellten EU-OS-Plattform; Korrekturen zum UK-Vertreter und zu Zitaten.

Diese Datenschutzerklärung wird auf Deutsch und Englisch bereitgestellt. Die englische Fassung ist unter vibrae.ai/privacy verfügbar. Für Nutzerinnen und Nutzer mit gewöhnlichem Aufenthalt in Deutschland oder im Europäischen Wirtschaftsraum ist die deutsche Fassung maßgeblich; für alle übrigen Nutzer gilt die englische Fassung. Übersetzungen dienen lediglich der Bequemlichkeit und werden nicht zum Nachteil des Verbrauchers ausgelegt.