1. Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der Plattform diAIway in allen verfügbaren Formen: die Web-Applikation unter diaiway.com, die iOS-App (App Store) sowie die Android-App (Google Play Store). Betreiberin aller Plattformen ist die JM faircharge UG (haftungsbeschränkt), Esmarchstraße 13, 10407 Berlin.

2. Erhobene Daten & Zwecke

2.1 Registrierung & Konto

Bei der Registrierung erheben wir Name, E-Mail-Adresse und ein gehashtes Passwort. Zusätzlich werden Zustimmungszeitpunkte und -versionen für AGB, Datenschutzerklärung sowie ggf. Marketing-Opt-in gespeichert. IP-Adressen werden ausschließlich als SHA-256-Hash (mit serverseitigem Pepper) gespeichert – niemals im Klartext.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung – Nachweis der Einwilligung).

2.2 Profil & Nutzerdaten

Profilbild, Benutzername, Biografie (bei Takumis), Spracheinstellungen, Skill-Level (bei Shugyo), Social-Media-Links (freiwillig) sowie Portfolio-Projekte. Diese Daten werden auf unseren Servern gespeichert und – soweit öffentlich – anderen Nutzern der Plattform angezeigt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. a DSGVO (bei freiwilligen Angaben).

2.3 Buchungen & Sessions

Buchungsdatum, Uhrzeit, Buchungsart (geplant / Instant), Anruftyp (Video / Audio), Buchungsstatus, Session-Dauer, Bewertungen und Rezensionen sowie ggf. eine kurze Buchungsnotiz. Bei Gast-Buchungen wird eine temporäre E-Mail-Adresse und ein einmaliges Token verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.4 Zahlungsdaten

Zahlungen werden über Stripe, Inc. (1 Global Place, 25th Floor, New York, NY 10004, USA) abgewickelt. Wir speichern keine vollständigen Kartendaten. Auf unseren Servern werden lediglich Stripe-Session-IDs, Stripe-Payment-Intent-IDs, Betrag (in Cent) und Zahlungsstatus gespeichert. Rechnungsdaten (Name, Adresse, ggf. USt-IdNr.) werden für die Erstellung von PDF-Belegen verarbeitet und gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO (handels- und steuerrechtliche Aufbewahrungspflichten, §§ 147 AO, 257 HGB – Aufbewahrungsfrist: 10 Jahre).

Stripe-Datenschutzerklärung: stripe.com/de/privacy

2.5 Wallet & Transaktionen

Walletguthaben (in Cent), Transaktionsart (Aufladung, Buchungsabzug, Rückerstattung, Auszahlung) und zugehörige Referenzen (Buchungs-ID, Stripe-Session-ID) werden zur Abrechnung und Konfliktlösung protokolliert.

2.6 Kommunikation (Chat & Waymails)

Direktnachrichten (Chat) und asynchrone Nachrichten (Waymail) zwischen Nutzern werden auf unseren Servern gespeichert, um die Kommunikation innerhalb der Plattform zu ermöglichen. Anhänge (Bilder, Dateien) werden in Vercel Blob gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.7 Push-Benachrichtigungen

Web: Browser-Push über die Web Push API (Endpunkt, öffentlicher Schlüssel, Auth-Secret). iOS & Android: Firebase Cloud Messaging (FCM) bzw. Apple Push Notification Service (APNs) – hierfür wird ein Gerätetoken (FCM-Token) gespeichert. Push-Benachrichtigungen können jederzeit in den Systemeinstellungen deaktiviert werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Aktivierung im Betriebssystem).

2.8 KI-Assistent (AI Guide)

Eingaben im KI-Assistenten werden zur Verarbeitung und Beantwortung an Google Generative AI (Google LLC, USA) übermittelt. Es erfolgt keine dauerhafte personenbezogene Speicherung der Konversationsinhalte über die Sitzung hinaus. Bitte geben Sie keine besonders sensiblen Daten (Gesundheit, Zahlungsdaten o. Ä.) im KI-Assistenten ein. Datenübermittlung in die USA auf Basis von Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO. policies.google.com/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.9 Sicherheits- & Moderationsdaten

Im Rahmen unseres Safety-Systems können bei begründetem Verdacht auf Richtlinienverstöße während einer laufenden Video-Session stichprobenartige Snapshots erstellt werden. Nutzer werden vor Session-Start auf diese Möglichkeit hingewiesen und müssen ihr zustimmen. Die Einwilligung ist Voraussetzung für den Start der Session; ohne Einwilligung werden keine Snapshots erstellt. Snapshot-Bilder werden in Vercel Blob (EU-Region) gespeichert. Bilder ohne laufendes Prüfverfahren werden nach 48 Stunden automatisch gelöscht. Bei laufenden Verfahren (Safety-Incident) werden Bilder bis zur abschließenden Klärung aufbewahrt und danach gelöscht. Safety-Reports (Meldungen durch Nutzer) werden inkl. Kategorie gespeichert; Freitexte werden bei Kontolöschung des Meldenden anonymisiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Snapshot-Einwilligung), Art. 6 Abs. 1 lit. f DSGVO (Safety-Reports, berechtigtes Interesse an Plattformsicherheit).

2.10 Nutzungsanalyse (Web & App)

Wir nutzen zwei Analyse-Dienste:

• Eigene First-Party-Analyse: Eine anonyme Besucher-ID (LocalStorage) ohne Personenbezug. Erhoben werden aufgerufene Seiten, Sitzungsdauer, Einstiegsseite, Referrer und User-Agent. Keine Weitergabe an Dritte.
• Vercel Analytics: Vercel, Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA – ein datenschutzfreundlicher Analysedienst, der aggregierte Nutzungsmetriken (Seitenaufrufe, Web Vitals) ohne individuelle Nutzer-Identifikation erhebt. Es werden keine Cookies gesetzt. Datenübermittlung in die USA auf Basis von SCC. vercel.com/legal/privacy-policy

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Angebots).

3. App-Berechtigungen

3.1 Kamera

iOS & Android: Für Video-Consultations zwischen Shugyo und Takumi sowie zum Hochladen von Profilbildern und Projekten. Bilddaten werden ausschließlich live übertragen oder – auf Ihre Initiative hin – als Profilbild auf unseren Servern gespeichert. Eine serverseitige Aufzeichnung von Video-Sessions findet nicht statt.

3.2 Mikrofon

Für Audio-Übertragung bei Video- und Voice-Calls. Audiodaten werden nicht aufgezeichnet oder gespeichert.

3.3 Fotobibliothek / Medienzugriff

iOS: Fotobibliothek (NSPhotoLibraryUsageDescription) – zum Hochladen von Profilbildern und Projektfotos. Android: READ_MEDIA_IMAGES (Android 13+) bzw. READ_EXTERNAL_STORAGE (bis Android 12) – gleicher Zweck. Ausgewählte Bilder werden auf Ihre Initiative hin in Vercel Blob (EU-Region) gespeichert.

3.4 Biometrie / Face ID

iOS: Face ID (NSFaceIDUsageDescription) – für sichere Anmeldung und Datenschutz auf dem Gerät. Biometrische Daten verlassen niemals das Gerät und werden nicht an unsere Server übertragen. Die Verarbeitung erfolgt ausschließlich durch das Betriebssystem (Secure Enclave).

Android: USE_BIOMETRIC – gleichwertiger Schutz über den Android BiometricPrompt.

3.5 Benachrichtigungen

POST_NOTIFICATIONS (Android 13+) bzw. UNUserNotificationCenter (iOS) – für Buchungsbestätigungen, Erinnerungen und Nachrichten. Die Berechtigung kann jederzeit in den Systemeinstellungen widerrufen werden.

3.6 Exakte Alarme / Erinnerungen (Android)

SCHEDULE_EXACT_ALARM (ab Android 12 / API 31) für pünktliche Session-Erinnerungen. Es wird kein USE_EXACT_ALARM verwendet (laut Google Play nur für Wecker- bzw. Kalender-Apps). Es werden keine personenbezogenen Daten an Dritte übermittelt.

Alle Berechtigungen können jederzeit unter Einstellungen → Apps → diAIway → Berechtigungen (Android) bzw. Einstellungen → Datenschutz (iOS) widerrufen werden. Die grundlegenden Funktionen bleiben erhalten; lediglich die jeweilige Funktion steht dann nicht zur Verfügung.

4. Drittanbieter & Datenübermittlungen

4.1 Stripe (Zahlungsabwicklung)

Stripe, Inc., 1 Global Place, 25th Floor, New York, NY 10004, USA – Stripe ist für Zahlungen und (bei Takumis) für Connect-Auszahlungen verantwortlich. Datenübermittlung in die USA auf Basis von Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO. stripe.com/de/privacy

4.2 Google Firebase / FCM (Android-Push)

Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA – Firebase Cloud Messaging für Push-Benachrichtigungen auf Android-Geräten. Datenübermittlung in die USA auf Basis von SCC. policies.google.com/privacy

4.3 Apple APNs (iOS-Push)

Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA – Apple Push Notification Service für Push-Benachrichtigungen auf iOS-Geräten. apple.com/legal/privacy

4.4 Google Play-Dienste (Android)

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland – Google Play-Dienste ermöglichen grundlegende Android-Funktionen (Sicherheits-Updates, App-Stabilität). Dabei können Analysedaten erhoben werden. policies.google.com/privacy

4.5 Daily.co (Video-Sessions)

Daily.co (Daily, Inc., 530 Lytton Ave, Palo Alto, CA 94301, USA) – Bereitstellung von verschlüsselten Video-/Audio-Räumen für Buchungen. Sessions werden nicht aufgezeichnet. Verbindungsdaten (IP-Adressen) können temporär verarbeitet werden. daily.co/privacy

4.6 Vercel & Vercel Blob (Hosting & Speicher)

Vercel, Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA – Hosting der Web-App und Speicherung von Medien (Profilbilder, Projektfotos, Sicherheits-Snapshots, Dokument-PDFs). Datentransfers in die USA auf Basis von SCC. vercel.com/legal/privacy-policy

4.7 Neon (Datenbank)

Neon, Inc. (PostgreSQL-Datenbankdienst) – Speicherung aller strukturierten Daten (Nutzerprofile, Buchungen, Transaktionen etc.) auf Basis eines Auftragsverarbeitungsvertrags (AVV) gem. Art. 28 DSGVO.

5. Datenspeicherung & Löschung

• Kontodaten, Profil, Nachrichten, Projekte: Bis zur Kontolöschung. Bei Löschung werden Name, E-Mail, Bild und alle Freitextinhalte sofort entfernt oder anonymisiert. Ein anonymisierter Datensatz bleibt aus Aufbewahrungsgründen erhalten (s. u.).
• Rechnungen, Gutschriften & Transaktionsdaten: 10 Jahre (§§ 147 AO, 257 HGB). PDF-Belege werden automatisch archiviert und nach Ablauf der Frist gelöscht. Die Buchungsdaten werden anonymisiert aufbewahrt.
• Sicherheits-Snapshots: Ohne laufendes Verfahren: automatische Löschung nach 48 Stunden. Bei laufendem Safety-Incident: Aufbewahrung bis zur abschließenden Klärung, danach sofortige Löschung. Bei Kontolöschung des Betroffenen: abgeschlossene Incident-Bilder werden gelöscht; laufende Verfahren bleiben bis zur Klärung (Art. 17 Abs. 3 lit. b DSGVO).
• Push-Tokens & Benachrichtigungen: Werden bei Abmeldung oder Kontolöschung automatisch entfernt.
• Marketing-Einwilligung: Bis zum Widerruf; jederzeit widerrufbar in den Kontoeinstellungen (Profil → Einstellungen → Marketing abbestellen).
• Nutzungsanalyse: Anonyme Daten ohne Personenbezug. Bei Kontolöschung wird die Verbindung zum Nutzerkonto getrennt.

6. Datensicherheit

• Alle Übertragungen erfolgen verschlüsselt über HTTPS/TLS.
• Passwörter werden ausschließlich gehasht (bcrypt) gespeichert, niemals im Klartext.
• IP-Adressen werden nur als SHA-256-Hash mit serverseitigem Pepper gespeichert.
• JWT-Tokens können serverseitig invalidiert werden (tokenRevocationTime per Nutzer-Datensatz).
• Video-Räume werden von Daily.co per Ende-zu-Ende-Verschlüsselung abgesichert.
• Zugriffsrechte folgen dem Least-Privilege-Prinzip; Admin-Funktionen sind rollenbasiert geschützt.

7. Ihre Rechte (Art. 15–22 DSGVO)

• Auskunft über gespeicherte Daten (Art. 15 DSGVO).
• Berichtigung unrichtiger Daten (Art. 16 DSGVO).
• Löschung (Recht auf Vergessenwerden, Art. 17 DSGVO).
• Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Datenübertragbarkeit (Art. 20 DSGVO) – maschinenlesbarer Export aller Ihrer personenbezogenen Daten als JSON-Datei, abrufbar unter Profil → Einstellungen → Meine Daten herunterladen.
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO).
• Widerruf einer erteilten Einwilligung jederzeit und ohne Angabe von Gründen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
• Beschwerde bei einer zuständigen Datenschutz-Aufsichtsbehörde, z. B. Berliner Beauftragte für Datenschutz und Informationsfreiheit.

Zur Ausübung Ihrer Rechte wenden Sie sich an: jm@faircharge.com

8. Cookies & lokaler Speicher

Die Web-App setzt technisch notwendige Cookies für die Authentifizierung (Session-Token) sowie LocalStorage-Einträge für Spracheinstellung und anonyme Besucher-ID (Nutzungsanalyse). Es werden keine Werbe- oder Tracking-Cookies von Drittanbietern gesetzt.

Die nativen iOS- und Android-Apps verwenden keinen Browser-Cookie-Speicher; App-Einstellungen (z. B. bevorzugte Sprache) werden lokal auf dem Gerät im App-eigenen Speicherbereich abgelegt.

9. Minderjährige

Die Plattform diAIway richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Sollten uns Hinweise darauf vorliegen, werden entsprechende Daten unverzüglich gelöscht.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Plattform, gesetzlicher Anforderungen oder eingesetzter Dienste zu aktualisieren. Die jeweils aktuelle Version ist in der App und auf unserer Website abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail oder In-App-Benachrichtigung informiert.