Diese Übersetzung dient nur der besseren Verständlichkeit. Rechtlich verbindlich und maßgeblich ist ausschließlich die englische Fassung. Englische Fassung
Datenschutzerklärung
1. Verantwortlicher
Der für die Verarbeitung deiner personenbezogenen Daten Verantwortliche ist:
Hiatus Holding GmbH
Kortumstraße 75, D-44787 Bochum, Germany
Handelsregister: Bochum HRB16203
Geschäftsführer: Tim Kahrmann
Bei allen Fragen rund um den Datenschutz erreichst du uns über unser Kontaktformular.
2. Drei Versprechen.
Deine Gedanken trainieren niemals eine KI. Niemals.
Weder die Modelle von Tonight noch die von irgendwem sonst. Nicht anonymisiert, nicht aggregiert, nicht „aus Sicherheitsgründen“. Wir schließen mit jedem Modellanbieter Auftragsverarbeitungsverträge ab, die ein Training vertraglich ausschließen. Kann ein Anbieter das nicht zusichern, nutzen wir ihn nicht.
Jede Stimme ist ein Whisperer — eine sorgfältig kuratierte KI-Stimme.
Kein Mensch hört, was du sagst. Jede Stimme ist synthetisch und feinabgestimmt. Wir machen das auf der Startseite transparent, in der App, im Pressekit, hier. Der EU AI Act verlangt es. Wir würden es ohnehin offenlegen.
Bis zum Morgen ist verschwunden, was du heute Nacht gesagt hast — es sei denn, du behältst es.
Dein One Thought wird im Ruhezustand verschlüsselt und standardmäßig bei deinem lokalen Sonnenaufgang gelöscht. Wenn du Keep My Nights aktivierst (aus, sofern du es nicht selbst einschaltest), bleibt die Session jener Nacht einen Tag lang abspielbar und deine verschlüsselten Worte werden 45 Tage aufbewahrt, damit du zurückblicken kannst — und du kannst jederzeit einzelnes davon oder alles löschen.
3. Daten, die wir erheben
Wir erheben und verarbeiten die folgenden Kategorien personenbezogener Daten:
Kontodaten
- E-Mail-Adresse (erforderlich für die Kontoerstellung und Authentifizierung)
- Name (optional, für persönliche Begrüßungen)
- Zeitzone und Schlafenszeit-Einstellung (um Sessions zum richtigen Zeitpunkt auszuspielen)
Inhaltsdaten
- Tägliche Reflexionen (deine Texteingaben über deinen Tag)
- Session-Bewertungen und Feedback (optional)
Technische Daten
- Geräte- und Browser-Informationen (zur Bereitstellung des Dienstes)
- Uhrzeit der Schlafenszeit-Erinnerung (nur auf deinem Gerät gespeichert — die optionale Wind-down-Erinnerung ist eine lokale Benachrichtigung, niemals ein Push)
- Session- und Nutzungsprotokolle (zur Verbesserung des Dienstes)
- Anonyme Produktanalyse-Ereignisse (Mixpanel) — welche Bildschirme und Funktionen genutzt werden sowie aggregierte Funnels, damit wir sehen, was hilft. Niemals der Inhalt dessen, was du schreibst, und niemals dein Name oder deine E-Mail. Auf der Website setzt das deine Cookie-Einwilligung voraus; in der App ist es standardmäßig an und kann jederzeit unter Einstellungen → Privatsphäre & Daten ausgeschaltet werden.
- Absturzberichte (Sentry) — wenn die App abstürzt oder auf einen schwerwiegenden Fehler stößt, wird ein technischer Bericht (Gerätemodell, OS-Version, App-Version, der Fehler und sein Stack-Trace sowie deine pseudonyme Nutzer-ID) an Sentry gesendet, damit wir den Fehler finden und beheben können. Absturzberichte sind so konfiguriert, dass sie niemals den Inhalt dessen enthalten, was du schreibst.
Zahlungsdaten
- Stripe-Kundennummer (wir speichern Kartendaten niemals direkt)
- Abonnementstatus und Abrechnungsverlauf
4. Rechtsgrundlage für die Verarbeitung
Wir verarbeiten deine personenbezogenen Daten auf den folgenden Rechtsgrundlagen (Art. 6 DSGVO):
| Zweck | Rechtsgrundlage |
|---|---|
| Kontoerstellung & Authentifizierung | Vertragserfüllung (Art. 6(1)(b)) |
| Erstellung personalisierter Schlaf-Sessions | Vertragserfüllung (Art. 6(1)(b)) |
| Zahlungsabwicklung | Vertragserfüllung (Art. 6(1)(b)) |
| Versand transaktionaler E-Mails | Berechtigtes Interesse (Art. 6(1)(f)) |
| Marketing-Kommunikation | Einwilligung (Art. 6(1)(a)) |
| Öffnungs-/Klick-Tracking von E-Mails | Einwilligung (Art. 6(1)(a)) |
| Website-Analyse-Cookies (Mixpanel) | Einwilligung (Art. 6(1)(a)) |
| Anonyme In-App-Produktanalyse (Mixpanel) | Berechtigtes Interesse (Art. 6(1)(f)) — Opt-out in den App-Einstellungen |
| Absturzberichte & App-Stabilität (Sentry) | Berechtigtes Interesse (Art. 6(1)(f)) |
| Verbesserung des Dienstes & Fehlerbehebung | Berechtigtes Interesse (Art. 6(1)(f)) |
5. Speicherdauer
Wir speichern deine Daten nur so lange, wie es für ihren Zweck erforderlich ist:
| Datenart | Speicherdauer |
|---|---|
| Tägliche Reflexionen (Rohtext, im Ruhezustand verschlüsselt) — Standard | Bis zum nächsten Sonnenaufgang in deiner Zeitzone (innerhalb von 15 Minuten nach Ablauf gelöscht) |
| Tägliche Reflexionen (Rohtext) — mit aktiviertem Keep My Nights | 45 Tage oder bis du sie löschst |
| Themen-Tags (Arbeit, Trauer, Körper usw. — kein Rohtext) | 45 Tage |
| Monatliche Reflexions-Zusammenfassungen (Häufigkeiten & Intensitätsstatistiken — kein Rohtext) | 13 Monate |
| Generierte Audio-Sessions — Standard | Bis zum nächsten Sonnenaufgang (nach Ablauf automatisch gelöscht) |
| Generierte Audio-Sessions — mit aktiviertem Keep My Nights | ~1 Tag über die Nacht ihrer Erstellung hinaus, dann automatisch gelöscht |
| Audit-Protokoll für Sicherheitsereignisse (nur SHA-256-Hash, niemals Text) | 24 Monate |
| Absturzberichte (nur technische Daten, niemals dein Text) | 90 Tage |
| Kontodaten (E-Mail, Name, Einstellungen) | Bis zur Kontolöschung |
| Session-Metadaten & Bewertungen | Bis zur Kontolöschung |
| Zahlungsunterlagen | 7 Jahre (gesetzliche Vorgabe) |
| Aufzeichnungen über Marketing-Einwilligungen | Bis zum Widerruf der Einwilligung + 3 Jahre |
6. Vergänglichkeit als Prinzip
Standardmäßig wird nichts von dem, was du schreibst, über Nacht aufbewahrt. Der Satz, den du während eines One-Thought-Rituals eingibst, existiert nur in verschlüsselter Form bis zum nächsten Sonnenaufgang in deiner Zeitzone, dann wird er endgültig gelöscht.
Deine Nächte behalten (optional). Vergänglichkeit ist der Standard. Wenn du möchtest, kannst du in den Datenschutzeinstellungen Keep My Nights aktivieren: Die Session jener Nacht bleibt etwa einen Tag lang abspielbar und dein verschlüsselter One Thought wird 45 Tage aufbewahrt, sodass du ihn nachlesen kannst. Das ist aus, sofern du es nicht einschaltest, gilt erst ab dem Moment, in dem du es aktivierst, und du kannst jederzeit einzelne Einträge oder alles Aufbewahrte löschen. Wir trainieren damit weiterhin niemals eine KI und verkaufen es nicht.
Was wir behalten, ist das Thema, das dich beschäftigt hat — kurze Tags wie Arbeit, Trauer, Körper oder eine Person — ohne irgendwelche deiner Worte. Themen der letzten 7 Nächte fließen behutsam in das nächste Ritual ein, damit sich das Erlebnis erinnert anfühlt, nicht überwacht. Detaillierte Themen-Einträge werden nach 45 Tagen gelöscht.
Am Ende jedes Monats fassen wir diese Themen zu einer kleinen strukturierten Zusammenfassung zusammen (welche Themen auftauchten, durchschnittliche Intensität, vorherrschende emotionale Stimmung), damit wir dir künftig ein „So war dein Februar“-Reflexionsritual anbieten können. Diese monatlichen Zusammenfassungen werden 13 Monate aufbewahrt und enthalten keinen Text. Du kannst die Erinnerungsfunktion jederzeit in den Datenschutzeinstellungen ausschalten oder alles davon löschen — detailliert und monatlich.
Wir nutzen keine dieser Daten, um KI-Modelle zu trainieren, und wir geben sie nicht an Dritte weiter, abgesehen von den in Abschnitt 7 offengelegten Auftragsverarbeitern.
6a. Protokollierung von Sicherheitsereignissen
Wenn unser Sicherheitssystem eine One-Thought-Eingabe abfängt, die Inhalte enthält, die auf eine akute Krise hindeuten (Selbstverletzung, Suizid, Gewalt), erfassen wir einen kleinen Audit-Eintrag, damit wir unsere Schutzreaktion im Nachhinein überprüfen können. Der Eintrag enthält einen Einweg-SHA-256-Hash der erkannten Phrase (niemals auf deine Worte rückführbar), den von unserem Klassifikator zugewiesenen Schweregrad, welche Systemebene ausgelöst hat, was wir daraufhin getan haben, und einen Zeitstempel.
Rechtsgrundlage: Art. 6(1)(f) DSGVO (berechtigtes Interesse am Betrieb eines sicheren Wellness-Dienstes) in Verbindung mit Art. 9(2)(g) (erhebliches öffentliches Interesse an der Suizidprävention). Die Aufzeichnungen sind ausschließlich unserem Compliance-Team zugänglich und werden 24 Monate aufbewahrt. Du kannst über unser DSAR-Verfahren eine Kopie aller zu deinem Konto erfassten Sicherheitsereignisse anfordern.
7. Auftragsverarbeiter & Datenübermittlungen
Wir geben deine Daten an die folgenden Dienstleister weiter:
| Anbieter | Zweck | Standort | Garantien |
|---|---|---|---|
| Supabase | Datenbank, Authentifizierung | EU/US | EU-US Data Privacy Framework |
| Stripe | Zahlungsabwicklung | US | EU-US Data Privacy Framework |
| Resend | Transaktionale E-Mails | US | Standardvertragsklauseln |
| Mixpanel | Produkt- & Website-Analyse (anonym; Opt-out in der App, Einwilligung im Web) | EU | EU-Datenresidenz (api-eu.mixpanel.com) |
| Google (Gemini API) | KI-Session-Generierung — verarbeitet, was du schreibst, um dein Ritual zu erstellen (niemals zum Training verwendet) | US | Auftragsverarbeitungs-Zusatz; EU-US Data Privacy Framework |
| Anthropic (Claude) | Software-Engineering- & Diagnose-Tools — verarbeitet ggf. pseudonyme Betriebsdaten, wenn wir den Dienst debuggen (niemals den Inhalt dessen, was du schreibst, niemals zum Training) | US | Auftragsverarbeitungs-Zusatz; EU-US Data Privacy Framework |
| ElevenLabs | Stimmgenerierung | US | Auftragsverarbeitungs-Zusatz |
| Sentry (Functional Software, Inc.) | Absturzberichte (nur technische Daten) | EU | EU-Datenresidenz; EU-US Data Privacy Framework |
| Vercel | Anwendungs-Hosting (stellt die API der App bereit) | EU/US | Auftragsverarbeitungs-Zusatz; EU-US Data Privacy Framework |
Wir haben mit allen Anbietern Auftragsverarbeitungsverträge geschlossen. Für Übermittlungen außerhalb des EWR stützen wir uns auf Standardvertragsklauseln (SCCs), das EU-US Data Privacy Framework oder gleichwertige, von der Europäischen Kommission anerkannte Garantien.
8. Cookies & Tracking
Wir verwenden Cookies und ähnliche Technologien. Ausführliche Informationen findest du in unserer Cookie-Richtlinie.
Marketing-E-Mails können Tracking-Pixel enthalten, die erfassen, wann du eine E-Mail öffnest und Links anklickst. Dieses Tracking wird nur eingesetzt, wenn du in Marketing-Kommunikation eingewilligt hast.
9. Deine Rechte
Nach der DSGVO stehen dir bezüglich deiner personenbezogenen Daten die folgenden Rechte zu:
- Auskunftsrecht — Eine Kopie deiner personenbezogenen Daten anfordern
- Recht auf Berichtigung — Unrichtige oder unvollständige Daten korrigieren
- Recht auf Löschung — Die Löschung deiner Daten verlangen („Recht auf Vergessenwerden“)
- Recht auf Einschränkung — Begrenzen, wie wir deine Daten verarbeiten
- Recht auf Datenübertragbarkeit — Deine Daten in einem maschinenlesbaren Format erhalten
- Widerspruchsrecht — Der Verarbeitung auf Grundlage berechtigten Interesses widersprechen
- Recht auf Widerruf der Einwilligung — Die Einwilligung jederzeit widerrufen (ohne Auswirkung auf die vorherige Verarbeitung)
Um eines dieser Rechte auszuüben, nutze bitte unser Kontaktformular. Wir antworten innerhalb von 30 Tagen.
10. Kontolöschung
Du kannst dein Konto jederzeit über die App-Einstellungen löschen (Herz-Menü → Konto löschen). Dadurch werden alle zugehörigen Daten dauerhaft entfernt, einschließlich deines Profils, deines Session-Verlaufs und aller gespeicherten Einstellungen. Einige Daten können aus rechtlichen Gründen aufbewahrt werden (z. B. Zahlungsunterlagen für 7 Jahre).
11. Datensicherheit
Wir setzen geeignete technische und organisatorische Maßnahmen ein, um deine Daten zu schützen:
- Alle Daten werden per HTTPS/TLS-Verschlüsselung übertragen
- Datenbankverschlüsselung im Ruhezustand
- Row-Level-Security-Richtlinien, die den Datenzugriff beschränken
- Regelmäßige Sicherheitsaudits und Zugriffsüberprüfungen
- Prinzip der Datenminimierung
12. Datenschutz für Kinder
Tonight richtet sich an Erwachsene und nicht an Personen unter 18 Jahren. Wir erheben nicht wissentlich personenbezogene Daten von Personen unter 18 Jahren. Wenn du glaubst, dass wir Daten von einer Person unter 18 Jahren erhoben haben, kontaktiere uns bitte umgehend, und wir werden sie löschen.
13. Änderungen dieser Erklärung
Wir können diese Erklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden per E-Mail oder per In-App-Benachrichtigung mitgeteilt. Die fortgesetzte Nutzung des Dienstes nach Änderungen gilt als Zustimmung zur aktualisierten Erklärung.
14. Aufsichtsbehörde
Du hast das Recht, Beschwerde bei einer Datenschutzbehörde einzulegen. Für die Hiatus Holding GmbH ist die zuständige Behörde:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153
53117 Bonn, Germany
www.bfdi.bund.de
Du kannst dich auch an deine örtliche Datenschutzbehörde wenden, wenn dir das lieber ist.
15. Kontakt
Bei Fragen zu dieser Erklärung oder zu deinen personenbezogenen Daten erreichst du uns über unser Kontaktformular.