GDPR-Konformität
Letzte Aktualisierung: 24. März 2026
CalmCall, betrieben von CalmCall SRL (Bukarest, Rumänien), verpflichtet sich, die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten („DSGVO“) vollständig einzuhalten.
Da CalmCall sensible Daten zur psychischen Gesundheit verarbeitet, verpflichten wir uns zu den höchsten Standards des Schutzes und der Transparenz.
1. Datenschutzbeauftragter (DSB)
Wir haben einen Datenschutzbeauftragten benannt, den Sie für Anfragen zu Ihren personenbezogenen Daten kontaktieren können:
- Position: Datenschutzbeauftragter
- Unternehmen: CalmCall SRL
- E-Mail: dpo@calmcall.ai
- Adresse: Bukarest, Rumänien
- Antwortzeit: Maximal 30 Kalendertage
2. Rechtsgrundlagen für die Datenverarbeitung
Wir verarbeiten Ihre personenbezogenen Daten auf Grundlage der folgenden rechtlichen Grundlagen gemäß der DSGVO:
- Eindeutige Einwilligung (Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a): Für die Verarbeitung besonderer Daten zur psychischen Gesundheit (KI-Gespräche, emotionale Bewertungen, Tagebucheinträge). Die Einwilligung wird bei der Kontoerstellung eingeholt und kann jederzeit widerrufen werden.
- Vertragserfüllung (Art. 6 Abs. 1 lit. b): Zur Bereitstellung der CalmCall-Dienste, Kontoverwaltung und Zahlungsabwicklung.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Zur Einhaltung der geltenden steuerlichen, buchhalterischen und rechtlichen Anforderungen.
- Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d): In Ausnahmefällen zur Erkennung einer unmittelbaren Gefahr für das Leben des Nutzers.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Zur Verbesserung des Dienstes, Sicherheit und Betrugsprävention — unter Berücksichtigung der Rechte und Interessen der Nutzer.
3. Datenaufbewahrungsfristen
Daten werden strikt nur für die Dauer aufbewahrt, die für den Zweck, zu dem sie erhoben wurden, erforderlich ist:
| Datenkategorie | Aufbewahrungsfrist |
|---|---|
| Kontodaten (E-Mail, Name) | Kontodauer + 30 Tage |
| KI-Gespräche | Kontodauer + 30 Tage (individuelle Löschung möglich) |
| Therapeutisches Tagebuch | Kontodauer + 30 Tage |
| Zahlungsdaten | 5 Jahre (rechtliche Steuerverpflichtung) |
| Technische Protokolle | 90 Tage |
| Analyse-Cookies | 13 Monate (gemäß CNIL-Empfehlungen) |
| Verschlüsselte Backups | 90 Tage nach Löschung der Quelldaten |
| Support-Korrespondenz | 2 Jahre |
4. Drittanbieter-Datenverarbeiter
Wir arbeiten mit folgenden Drittanbieter-Datenverarbeitern zusammen, die alle DSGVO-konform sind und unterzeichnete Datenverarbeitungsverträge (DPA) haben:
- Hetzner Online GmbH (Deutschland): Hosting und Serverinfrastruktur. Server befinden sich in der EU (Deutschland).
- Stripe Inc. (USA/Ireland): Zahlungsabwicklung. PCI DSS Level 1 zertifiziert. Standardvertragsklauseln für den EU-US-Transfer.
- OpenAI (USA): KI-Verarbeitung für den Sprachbegleiter. Daten werden gemäß DPA mit Standardvertragsklauseln verarbeitet. Nutzerdaten werden nicht für das Training von Modellen verwendet.
- ElevenLabs (USA): Sprachsynthese für den KI-Begleiter. Standardvertragsklauseln.
- Google Analytics (USA/Ireland): Anonymisierte Verkehrsanalysen. IPs anonymisiert, keine Identifikations-Cookies.
5. Datenübertragungen über Grenzen hinweg
Alle Daten werden auf Servern innerhalb der Europäischen Union gespeichert. Wenn eine Datenübertragung in Länder außerhalb des Europäischen Wirtschaftsraums erforderlich ist (z. B. für KI Verarbeitung), stellen wir sicher, dass:
- Standardvertragsklauseln (SCC), die von der Europäischen Kommission genehmigt wurden, umgesetzt werden
- Datenverarbeiter relevante Compliance-Zertifikate (SOC 2, ISO 27001, PCI DSS) haben
- Zusätzliche technische Maßnahmen gelten: End-to-End-Verschlüsselung, Pseudonymisierung, Datenminimierung
- Folgenabschätzungen (Transfer Impact Assessments) für jede Übertragung durchgeführt werden
6. Anfragen zur Datenlöschung
Sie können die vollständige Löschung Ihrer personenbezogenen Daten anfordern durch:
- Vom Konto: Einstellungen > Datenschutz > Alle Daten löschen
- E-Mail: Senden Sie eine Anfrage an dpo@calmcall.ai
- Formular: Füllen Sie das DSGVO-Antragsformular auf der Website aus
Löschprozess:
- Identitätsbestätigung innerhalb von maximal 3 Werktagen
- Hauptdatenlöschung innerhalb von maximal 30 Tagen
- Backup-Löschung innerhalb von maximal 90 Tagen
- Bestätigung der endgültigen Löschung per E-Mail
Hinweis: Bestimmte Daten können aufgrund rechtlicher Verpflichtungen aufbewahrt werden (Steuerdaten — 5 Jahre).
7. Cookie-Richtlinie — Details
Vollständige Klassifizierung der auf CalmCall verwendeten Cookies:
Unbedingt erforderliche Cookies
- session_id: Sitzungsidentifikator. Dauer: Browsersitzung. Kann nicht deaktiviert werden.
- csrf_token: Schutz gegen CSRF-Angriffe. Dauer: Sitzung. Kann nicht deaktiviert werden.
- auth_token: Authentifizierungstoken. Dauer: 30 Tage oder bei Abmeldung. Kann nicht deaktiviert werden.
Funktionale Cookies
- language: Sprachpräferenz. Dauer: 1 Jahr. Kann deaktiviert werden.
- theme: Visuelle Themenpräferenz. Dauer: 1 Jahr. Kann deaktiviert werden.
- cookie_consent: Einwilligungseinstellungen. Dauer: 1 Jahr.
Analyse-Cookies
- _ga: Google Analytics — anonyme Nutzeridentifikation. Dauer: 13 Monate. Kann deaktiviert werden.
- _ga_*: Google Analytics — Sitzungsstatus. Dauer: 13 Monate. Kann deaktiviert werden.
Wir verwenden keine Marketing-, Werbe- oder Remarketing-Cookies.
8. Datenschutz-Folgenabschätzung (DPIA)
Da CalmCall sensible Daten zur psychischen Gesundheit in großem Umfang verarbeitet, haben wir eine Datenschutz-Folgenabschätzung (DPIA) gemäß Art. 35 DSGVO durchgeführt. Die DPIA wird jährlich oder bei wesentlichen Änderungen der Verarbeitungsaktivitäten überprüft. Die Ergebnisse der DPIA sind auf Anfrage bei den Aufsichtsbehörden erhältlich.
9. Ihre Rechte
Nach der DSGVO haben Sie folgende Rechte:
- Recht auf Auskunft (Art. 15) — Erhalt einer Kopie Ihrer Daten
- Recht auf Berichtigung (Art. 16) — Korrektur unrichtiger Daten
- Recht auf Löschung (Art. 17) — Antrag auf Datenlöschung
- Recht auf Einschränkung (Art. 18) — Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit (Art. 20) — Erhalt der Daten in strukturiertem Format
- Recht auf Widerspruch (Art. 21) — Widerspruch gegen die Verarbeitung
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3) — jederzeit, ohne rückwirkende Wirkung
- Recht auf Beschwerde (Art. 77) — bei der Aufsichtsbehörde
10. Aufsichtsbehörden
Wenn Sie glauben, dass Ihre Rechte verletzt wurden, können Sie eine Beschwerde einreichen bei:
- Rumänien: Nationale Behörde für die Aufsicht über die Verarbeitung personenbezogener Daten (ANSPDCP) — www.dataprotection.ro
- Zypern: Amt des Kommissars für den Schutz personenbezogener Daten — www.dataprotection.gov.cy
11. Kontakt
Bei Fragen oder Anfragen zur DSGVO und zum Schutz personenbezogener Daten:
- E-Mail DSB: dpo@calmcall.ai
- Allgemeine E-Mail: contact@calmcall.ai
- Unternehmen: CalmCall SRL, Bukarest, Rumänien