Kaiku

Datenschutzrichtlinie

Zuletzt aktualisiert: 25. April 2026 (v3.2)

1. Überblick und Verantwortlicher

Kaiku ("Dienst", kaiku.live und die Kaiku-Mobil-App) ist ein KI-gestützter persönlicher Wellness-Mentor. Diese Datenschutzerklärung beschreibt gemäß DSGVO (EU 2016/679) Artikel 13 und 14, welche personenbezogenen Daten wir verarbeiten, zu welchen Zwecken und auf welcher Rechtsgrundlage. Verantwortlicher: Tomi Ansamaa, Mannerheimintie 12 A, 00100 Helsinki, Finnland, tomi.ansamaa@gmail.com. Datenschutz-Kontakt: team@kaiku.live. Der Dienst verarbeitet in großem Umfang besondere Kategorien personenbezogener Daten gemäß DSGVO Artikel 9 (Gesundheits-, psychische, biometrische Emotionsdaten), daher stützt sich die Verarbeitung auf deine ausdrückliche Einwilligung (Art. 9(2)(a)) und auf die Vertragserfüllung (Art. 6(1)(b)). Die Einwilligung wird für jeden Verarbeitungszweck separat eingeholt und kann jederzeit in den Einstellungen widerrufen werden, ohne dass dies die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt. Für den Dienst wurde eine Datenschutz-Folgenabschätzung gemäß DSGVO Art. 35 (DPIA) durchgeführt, auf Anfrage erhältlich.

2. Kategorien der erhobenen Daten

Kontodaten und Authentifizierung

Bei deiner Registrierung erheben wir deine E-Mail-Adresse, optional einen Anzeigenamen, dein Geburtsjahr (zur Altersverifikation), deine Sprachauswahl und Zeitzone. Wenn du dich mit Google oder Apple (OAuth) anmeldest, erhalten wir vom Anbieter Name, E-Mail und eine stabile Kennung. Passwörter werden nicht gespeichert — die Authentifizierung erfolgt über Supabase Auth. Rechtsgrundlage: Art. 6(1)(b) Vertragserfüllung.

Gespräche, Spracheingabe und Erinnerungen

Alle Chat-Nachrichten (Text und Sprache) werden AES-256-GCM-verschlüsselt gespeichert. Kaiku lernt aus deinen Gesprächen und speichert 7 Erinnerungstypen: Emotionsmuster, Bedürfnisse, Trigger, Beziehungsdynamiken, Stärken, Ziele und Einsichten. Bei Echtzeit-Sprache wird deine Mikrofoneingabe nahezu in Echtzeit (Voice Activity Detection) verarbeitet und in Text umgewandelt — Roh-Audio wird über die Session hinaus nicht dauerhaft gespeichert, es sei denn, du speicherst es ausdrücklich in Moments. Rechtsgrundlage: Art. 6(1)(b) + Art. 9(2)(a), sofern der Inhalt Gesundheits-/psychische Daten betrifft.

Check-ins, Life Wheel und klinische Selbsteinschätzungen

Tägliche Check-ins: Stimmungs-, Verbindungs- und Stress-Werte (1–10), Freitext zu Dankbarkeit und Sorge. Das Life Wheel bewertet 8 Lebensbereiche. Kaiku bietet außerdem Selbsteinschätzungen auf Basis validierter klinischer Instrumente: PHQ-9 (depressive Belastung), GAD-7 (Angstbelastung), ECR-R (Bindungsstil), Columbia-Protokoll-Sicherheitsscreening und weitere geführte Reflexionswerkzeuge. Diese sind keine Diagnosen und ersetzen keine fachliche Einschätzung — siehe Haftungsausschlüsse. All dies sind besondere Daten nach Art. 9(2)(a) und werden nur mit deiner ausdrücklichen Einwilligung verarbeitet.

Gesundheits-, Fitness- und Medikationsdaten

Du kannst optional Wearables und Gesundheitsplattformen verbinden: Apple Health, Google Health Connect, Oura, Whoop, Polar, Suunto, Withings, Strava. Synchronisierte Daten können umfassen: Schritte, Herzfrequenz, HRV, Schlafdauer/-qualität, Gewicht, aktive Kalorien, Workouts (einschließlich GPS-Streckenpolylinien), Menstruationszyklus. Du kannst außerdem Medikamente, Medikamentenerinnerungen, Schmerz- und Ernährungsdaten protokollieren. Medikamentenerinnerungen sind kein medizinisches Gerät und kein automatischer Dispenser — du entscheidest über deine Medikation. Du kannst auswählen, welche Datentypen synchronisiert werden, und die Verbindung jederzeit trennen. Rechtsgrundlage: Art. 9(2)(a) ausdrückliche Einwilligung.

Technische Daten und Anwendungstelemetrie

IP-Adressen werden ausschließlich SHA-256-gehasht in Audit-Logs zu Sicherheitszwecken gespeichert (Aufbewahrung 12 Monate). Zusätzlich verarbeiten wir: Gerätetyp (Mobil/Desktop), Betriebssystemversion, App-Version, Sprachauswahl, Sitzungs-ID, Push-Token (falls du Benachrichtigungen aktivierst) und Absturzberichte (Sentry, Inhalt pseudonymisiert). Wir bieten Analysen über PostHog (EU-gehostet) auf Basis deiner Einwilligung zur Produktverbesserung — du kannst ablehnen, ohne dass dies die Nutzung des Dienstes beeinträchtigt. Rechtsgrundlage: Art. 6(1)(f) berechtigtes Interesse (Sicherheit), Art. 6(1)(a) Einwilligung (Analyse).

4. Verarbeitungszwecke und Rechtsgrundlagen

Wir verwenden deine Daten zu folgenden Zwecken: (1) Bereitstellung des Dienstes: KI-Gespräche, Erinnerungen, Tageszusammenfassungen, Couple Mode — Art. 6(1)(b) + 9(2)(a); (2) Personalisierung und Aufbau des Knowledge Graph — Art. 9(2)(a) Einwilligung; (3) Wohlbefindens-Benachrichtigungen (Push, E-Mail) — Art. 6(1)(a) Einwilligung, jederzeit widerrufbar; (4) Sicherheit und Missbrauchsabwehr: Krisenerkennung, Rate Limiting, Audit-Logs — Art. 6(1)(f) berechtigtes Interesse, das dein Privatinteresse überwiegt, weil Leben auf dem Spiel stehen können und der Dienst vertrauenswürdig bleiben muss; (5) Gesetzliche Verpflichtungen (Buchhaltung, Anfragen von Aufsichtsbehörden) — Art. 6(1)(c). **Wir verwenden deine Daten nicht für Werbung, nicht für Marketing-Profilbildung und wir verkaufen sie nicht an Dritte.** KI-Anbieter verwenden deine Daten nicht zum Training von Modellen— dies ist Teil der Standardbedingungen von Anthropic, OpenAI und Groq, unter denen Kaiku arbeitet (siehe KI-Abschnitt).

3. Besondere Kategorien personenbezogener Daten (DSGVO Art. 9)

Wir verarbeiten die folgenden besonderen Kategorien nach Art. 9 ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung (Art. 9(2)(a)): (a) Gesundheitsdaten — Herzfrequenzzonen, HRV, Schlaf, Gewicht, Menstruationszyklus, Workouts, Schmerzeinträge, Medikation; (b) Daten zur psychischen Gesundheit — Stimmung, Stress, Tagebucheinträge, Krisenindikatoren, Belastungseinschätzungen (PHQ-9/GAD-7/ECR-R als Reflexionswerkzeuge); (c) Daten zum Sexualleben und zu intimen Beziehungen im Couple Mode — Libido-Gespräche, intime Reflexionen. Du kannst deine Einwilligung für eine einzelne Kategorie oder alle in Einstellungen → Einwilligungen widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. **In einer späteren Version (voraussichtlich Q4/2026):** biometrische Emotionserkennung aus Sprache (Hume AI). Diese Funktion wird nur mit einer separaten Opt-in-Einwilligung veröffentlicht und entsprechend dem EU AI Act-Verbot nicht in Arbeits- oder Bildungskontexten eingesetzt.

4. Verarbeitungszwecke und Rechtsgrundlagen

Wir verwenden deine Daten zu folgenden Zwecken: (1) Bereitstellung des Dienstes: KI-Gespräche, Erinnerungen, Tageszusammenfassungen, Couple Mode — Art. 6(1)(b) + 9(2)(a); (2) Personalisierung und Aufbau des Knowledge Graph — Art. 9(2)(a) Einwilligung; (3) Wohlbefindens-Benachrichtigungen (Push, E-Mail) — Art. 6(1)(a) Einwilligung, jederzeit widerrufbar; (4) Sicherheit und Missbrauchsabwehr: Krisenerkennung, Rate Limiting, Audit-Logs — Art. 6(1)(f) berechtigtes Interesse, das dein Privatinteresse überwiegt, weil Leben auf dem Spiel stehen können und der Dienst vertrauenswürdig bleiben muss; (5) Gesetzliche Verpflichtungen (Buchhaltung, Anfragen von Aufsichtsbehörden) — Art. 6(1)(c). **Wir verwenden deine Daten nicht für Werbung, nicht für Marketing-Profilbildung und wir verkaufen sie nicht an Dritte.** KI-Anbieter verwenden deine Daten nicht zum Training von Modellen— dies ist Teil der Standardbedingungen von Anthropic, OpenAI und Groq, unter denen Kaiku arbeitet (siehe KI-Abschnitt).

5. Künstliche Intelligenz und Transparenz der KI-Verarbeitung

**Du interagierst mit künstlicher Intelligenz.** Kaiku verwendet generative KI-Modelle (Hinweis gemäß EU AI Act Art. 50). Wir verwenden: (a) Anthropic Claude (Sonnet, Haiku) — Gespräche und Analysen; (b) OpenAI Whisper (Sprache-zu-Text), TTS (Text-zu-Sprache), Realtime API (Echtzeit-Gespräch); (c) Groq — alternative Spracherkennung; (d) Anthropic Claude Vision — Bildanalyse (Essen, Workouts, Moments). Vertraglich **verwendet keiner dieser Anbieter deine Daten zum Training von Modellen.** Anthropic und OpenAI speichern API-Daten für maximal 30 Tage zur Missbrauchsüberwachung, anschließend werden sie gelöscht. KI kann ungenaue oder irreführende Inhalte erzeugen ("Halluzinationen") — verlasse dich nicht auf KI-Antworten in medizinischen, rechtlichen oder sicherheitskritischen Situationen. Kaiku ist kein Medizinprodukt und ersetzt keine Fachperson. Wir treffen keine automatisierten Entscheidungen über dich mit rechtlichen oder ähnlich erheblichen Auswirkungen (DSGVO Art. 22) — die KI schlägt vor, du entscheidest. Zukünftige Funktionen (z. B. biometrische Emotionserkennung aus Sprache, Hume AI) werden nicht ohne deine separate Opt-in-Einwilligung und eine aktualisierte Datenschutzerklärung aktiviert.

6. Automatisierte Entscheidungen und Profiling (Art. 22)

Kaiku trifft keine Entscheidungen über dich, deren Folgen rechtlicher Natur wären oder dein Leben in ähnlich erheblichem Maße beeinflussen würden. KI-Modelle erzeugen Vorschläge, Einsichten und Zusammenfassungen — alle Entscheidungen (z. B. Kontaktaufnahme zu einer Therapeutin/einem Therapeuten, Änderung der Medikation, Arztbesuch, Trennung von einer Partnerin/einem Partner) triffst du selbst. Wir profilieren deine Daten ausschließlich zur Verbesserung der persönlichen Coaching-Qualität (welche Lebensbereiche du bearbeiten möchtest, was im Gespräch erinnert werden sollte) — niemals für Marketing oder Klassifizierung. Die Kommunikationsanalyse im Couple Mode (Erkennung von Kommunikationsmustern) erkennt Kommunikationsmuster und kann Eskalationsrisiken anzeigen — dies ist **Entscheidungsunterstützung**, keine automatisierte Intervention. Du kannst eine menschliche Überprüfung oder eine Einschränkung der maschinellen Verarbeitung verlangen: team@kaiku.live.

7. Couple Mode — Besondere Regeln

Im Couple Mode teilen zwei volljährige Nutzer Gespräche, Tagesfragen und Kommunikationsanalysen. Wichtig: (a) Der Beitritt ist stets freiwillig — die eingeladene Partei gibt eine separate Einwilligung, bevor geteilte Daten verarbeitet werden; (b) Geteilte Inhalte sind für beide sichtbar; **deine eigenen individuellen Gespräche mit Kaiku werden nicht mit deiner Partnerin/deinem Partner geteilt**; (c) Kommunikationsanalysen (Erkennung schädlicher Kommunikationsmuster, Scorecard) sind abgeleitete Daten aus den Nachrichten beider Partner — wir teilen keine Rohanalysen mit Dritten; (d) Du kannst den Couple Mode einseitig jederzeit auflösen; die Auflösung stoppt die geteilte Verarbeitung sofort, löscht jedoch nicht automatisch die Historie — du kannst die Löschung separat anfordern. **Sicherheit im Kontext von Partnergewalt**: Wenn du das Gefühl hast, dass deine Einwilligung nicht freiwillig ist oder du Angst vor deiner Partnerin/deinem Partner hast, kannst du (1) den Couple Mode ohne Benachrichtigung der Gegenseite auflösen, (2) die 'Notfall-Löschung' verwenden (Einstellungen → Couple Mode Notfall-Löschung), die geteilte Daten vollständig entfernt, (3) dich an die finnische Nollalinja 080 005 005 wenden.

8. Datenweitergabe und Übermittlungen an Dritte

Wir verkaufen oder vermieten deine personenbezogenen Daten nicht. Wir nutzen folgende Auftragsverarbeiter. DSGVO Art. 28 Ein Auftragsverarbeitungsvertrag nach DSGVO Art. 28 besteht mit allen Anbietern — entweder als eigener Vertrag (Supabase, Stripe, Apple, Google) oder als Teil der Standardbedingungen (Anthropic ToS, OpenAI Business Terms, Groq, Tavily, Expo, Vercel, Upstash, PostHog, Sentry). Aktuelle Liste auf Anfrage bei team@kaiku.live. **In der EU ansässig:** Supabase (Datenbank, EU/Irland), PostHog EU (Analyse), Upstash Redis (Rate Limit). **In den USA mit SCC-Verträgen + EU-US Data Privacy Framework-Prüfung:** Vercel (Hosting), Anthropic (Claude AI), OpenAI (Sprache & Chat), Groq (STT), Tavily (Websuche — nur Suchanfragen, keine personenbezogenen Daten), Sentry (Absturzberichte, Inhalt bereinigt), Stripe (Zahlungen, PCI DSS Level 1), Apple (App Store + IAP), Google (Play Store + Billing + Calendar OAuth), Expo (Push-Benachrichtigungen), Web-Push-Anbieter (Browser-Push, VAPID). **Wearable-Integrationen** (Oura, Whoop, Polar, Suunto, Withings, Strava, Apple Health, Google Health Connect, Spotify) — Verarbeitung nur auf deine Anfrage über nutzerbezogene OAuth-Tokens; du kannst sie jederzeit trennen. Auf offizielle Anfrage einer Strafverfolgungsbehörde können wir Daten in dem nach finnischem Recht erforderlichen Umfang offenlegen — wir informieren dich, sofern das Gesetz dies nicht verbietet.

9. Internationale Datenübermittlungen

Einige unserer Auftragsverarbeiter sind in den USA ansässig. Bei Übermittlungen kommen die von der Europäischen Kommission genehmigten Standardvertragsklauseln (SCC) zum Einsatz (Durchführungsbeschluss EU 2021/914) sowie gegebenenfalls zusätzliche Schutzmaßnahmen (Verschlüsselung at-rest und in-transit, Minimierung der Zugriffsrechte). Wir stützen uns außerdem auf das EU-US Data Privacy Framework, sofern der Auftragsverarbeiter zertifiziert ist. Du erhältst auf Anfrage eine Kopie der verwendeten Übermittlungsschutzmaßnahmen: team@kaiku.live.

10. Speicherdauern

Wir speichern deine Daten nach Kategorie wie folgt: **Kontodaten und Erinnerungen:** für die Dauer des Kontos + 30 Tage nach Löschantrag. **Chat-Nachrichten und Sitzungen:** für die Dauer des Kontos, du kannst eine automatische Löschung nach 90 Tagen oder 1 Jahr einstellen. **Wearable- und Gesundheitsdaten:** 24 Monate oder bis du die Einwilligung widerrufst. **Audit-Logs (IP-Hash, kein Inhalt):** 12 Monate. **Zahlungsdaten in Stripe:** 6 Jahre gemäß Buchhaltungsrecht. **API-Cache der KI-Anbieter:** Anthropic und OpenAI 30 Tage, Groq keine dauerhafte Speicherung. **Push-Tokens:** nur solange das Gerät aktiv genutzt wird. **Knowledge Graph:** bis du die Entität oder das Konto löschst. **Krisenindikatoren und Safety Plan:** für die Dauer des Kontos aus Sicherheitsgründen, können auf Anfrage gelöscht werden.

11. Deine Rechte nach DSGVO

Als EU/EWR-Nutzer hast du das Recht: (1) **Auskunft über deine Daten zu erhalten (Art. 15)** — Einstellungen → Meine Daten exportieren, JSON-Format; (2) **Deine Daten zu berichtigen (Art. 16)** — Profilansicht; (3) **Löschung zu verlangen (Art. 17, 'Recht auf Vergessenwerden')** — Einstellungen → Mein Konto löschen, Bearbeitung innerhalb von 30 Tagen; (4) **Verarbeitung einzuschränken (Art. 18)** — schreibe an team@kaiku.live; (5) **Daten in übertragbarem Format zu erhalten (Art. 20)** — derselbe JSON-Export; (6) **Der Verarbeitung zu widersprechen (Art. 21)** — du kannst Benachrichtigungen, Analyse und KI-Empfehlungen deaktivieren; (7) **Einwilligung zu widerrufen (Art. 7(3))** — Einstellungen → Einwilligungen, der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung; (8) **Menschliche Überprüfung automatisierter Entscheidungen zu verlangen (Art. 22)** — team@kaiku.live; (9) **Beschwerde bei einer Aufsichtsbehörde einzulegen**: Büro des Datenschutzbeauftragten, tietosuoja@om.fi, www.tietosuoja.fi. Wir antworten unverzüglich auf Anfragen, spätestens innerhalb von 30 Tagen (Art. 12(3)). Antworten sind kostenlos, außer bei offensichtlich unbegründeten oder exzessiven, wiederholten Anfragen.

12. Datenschutzverletzungen

Wenn eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein Risiko für deine Rechte zur Folge hat, benachrichtigen wir das Büro des Datenschutzbeauftragten ohne unangemessene Verzögerung und nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden (Art. 33) sowie dich ohne unangemessene Verzögerung, falls die Verletzung voraussichtlich ein hohes Risiko für deine Rechte zur Folge hat (Art. 34) — in klarer Sprache, unter Beschreibung der Art der Verletzung, möglicher Folgen, der ergriffenen Maßnahmen und einer Kontaktperson. Unser interner Prozess zur Handhabung von Datenschutzverletzungen ist in einem separaten Incident Response Playbook dokumentiert.

13. Cookies

Im Webdienst verwenden wir unbedingt erforderliche Cookies (Authentifizierung, Sprache, CSRF-Schutz) und auf Basis deiner Einwilligung Analyse- und Funktionscookies. Eine detaillierte Liste findest du in der separaten Cookie-Richtlinie. Die Mobil-App nutzt keine Browser-Cookies; entsprechender lokaler Zustand wird sicher auf dem Gerät gespeichert (AsyncStorage/SecureStorage).

14. Minderjährige Nutzer

Kaiku ist für Nutzer **ab 16 Jahren** bestimmt (Kindeseinwilligungsalter nach DSGVO in Finnland). Wir erheben wissentlich keine personenbezogenen Daten von Nutzern unter 16 Jahren. Couple Mode und soziale Funktionen stehen nur Volljährigen (18+) zur Verfügung. Wir verifizieren das Alter bei der Registrierung. Werden uns Konten unter der Altersgrenze bekannt, schließen wir sie und löschen die Daten.

15. Kein Medizinprodukt

Kaiku ist eine Wellness-Anwendung, kein Medizinprodukt (Medizinprodukte-Verordnung EU 2017/745). Die Anwendung diagnostiziert, behandelt, lindert oder verhütet keine Krankheiten und ersetzt weder Ärztinnen/Ärzte, Therapeutinnen/Therapeuten, Physiotherapeutinnen/Physiotherapeuten, Ernährungsberaterinnen/-berater noch Psychiaterinnen/Psychiater. Die in der App enthaltenen Selbsteinschätzungen (PHQ-9, GAD-7 usw.) sind Reflexionswerkzeuge und keine Diagnosen. Wende dich in akuten Gesundheits- oder psychischen Krisen an die Notrufnummer 112, an die finnische Krisen-Hotline MIELI 09 2525 0111, an den Sekasin-Chat oder an die Nollalinja 080 005 005.

16. Änderungen dieser Datenschutzerklärung

Wir können diese Erklärung aktualisieren. Über wesentliche Änderungen (z. B. neue Verarbeitungszwecke, neue Unterauftragnehmer, längere Speicherdauern) informieren wir dich innerhalb der App und per E-Mail mindestens 30 Tage im Voraus und holen bei Bedarf eine neue Einwilligung ein. Frühere Versionen sind auf Anfrage verfügbar. **Version 3.2 (25. April 2026):** Terminologie an Kaikus Markenstimme angepasst — keine Änderungen am Verarbeitungsumfang, an den Rechtsgrundlagen oder den Speicherfristen.

17. Kontakt und Beschwerderecht

Verantwortlicher: Tomi Ansamaa, Mannerheimintie 12 A, 00100 Helsinki, Finnland, tomi.ansamaa@gmail.com. Datenschutz-Kontakt: team@kaiku.live. Anfragen von Betroffenen: team@kaiku.live (wir antworten innerhalb von 30 Tagen). Aufsichtsbehörde in Finnland: Büro des Datenschutzbeauftragten, PL 800, 00531 Helsinki, tietosuoja@om.fi, www.tietosuoja.fi. EU/EWR-Nutzer haben das Recht, Beschwerde bei der für ihren Wohnsitz zuständigen Aufsichtsbehörde einzulegen.