Security
Zuletzt aktualisiert: 17.05.2026
1. Überblick
Kaiku verarbeitet sensible Wohlbefindensdaten: Gespräche, Stimmung, Gesundheitswerte und Reflexionen aus der Paarbeziehung. Wir schützen diese Daten in mehreren Schichten, damit selbst bei einem Datenbankleck deine Nachrichten ohne Schlüssel unlesbar bleiben. Diese Seite beschreibt die konkreten technischen Schutzschichten, die wir laufend aufrechterhalten.
AES-256-GCM Encryption
Messages, memories and other sensitive content are encrypted using AES-256-GCM.
Automatic Anonymization
Summaries are anonymized. Real names never stored in titles.
Access Control
74 Row Level Security rules protect user data.
AI Security
Your messages are not used to train AI models.
You Are in Control
Download data, set auto-deletion, or delete everything.
7. Datenstandort — EU
Alle Datenbank- und Analytikdaten liegen auf Servern in der EU. KI-Dienstleister sitzen teilweise in den USA, aber Übermittlungen erfolgen über Standardvertragsklauseln (EU-Kommissionsbeschluss 2021/914) und gegebenenfalls den EU-US Data Privacy Framework. Eine genaue Liste der Anbieter findest du in der Datenschutzerklärung.
8. Welche Daten erhoben werden
So wenig wie möglich — nur was zum Funktionieren nötig ist. Wir erheben Gespräche, Einstellungen und Gesundheitsdaten, wenn du ein Wearable oder eine Smartwatch verbindest. Standortdaten werden nur erhoben, wenn du selbst eine GPS-Route eines Trainings teilst. Kontakte erfassen wir nicht, außer du fügst sie selbst hinzu. Produktanalytik läuft nur mit deiner Einwilligung und erfasst pseudonyme Nutzungsstatistiken (Seitenaufrufe, Funktionsnutzung) — ohne deinen Namen oder Nachrichteninhalte; siehe Cookie-Richtlinie.
9. Konformität
Wozu wir uns verpflichten:
- ✓DSGVO Art. 9 — ausdrückliche Einwilligung in die Verarbeitung sensibler Daten
- ✓AES-256-GCM — Verschlüsselung im Ruhezustand
- ✓TLS 1.3 — Verschlüsselung bei der Übertragung
- ✓Datenstandort EU
- ✓DSFA — Datenschutz-Folgenabschätzung durchgeführt
- ✓Rate-Limiting — DDoS-Schutz
- ✓Audit-Logs — Zugriffe werden protokolliert
- ✓Endgültige Löschung innerhalb von 30 Tagen nach Löschantrag
10. Datenschutzverletzungen
Falls eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein Risiko für deine Rechte birgt, melden wir das der Aufsichtsbehörde ohne unangemessene Verzögerung und nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden (DSGVO Art. 33) und informieren dich ohne unangemessene Verzögerung, falls die Verletzung voraussichtlich ein hohes Risiko für deine Rechte birgt (Art. 34) — in klarer Sprache. Wir beschreiben Art der Verletzung, mögliche Folgen, getroffene Maßnahmen und einen Ansprechpartner.