GDPR-Konformität
Letzte Aktualisierung: 24. März 2026
CalmCall, betrieben von CalmCall SRL (Bukarest, Rumänien), verpflichtet sich zur vollständigen Einhaltung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Verkehr solcher Daten („DSGVO“).
Da CalmCall sensible Daten zur psychischen Gesundheit verarbeitet, verpflichten wir uns zu den höchsten Standards in Bezug auf Schutz und Transparenz.
1. Datenschutzbeauftragter (DSB)
Wir haben einen Datenschutzbeauftragten benannt, den Sie für Anfragen zu Ihren personenbezogenen Daten kontaktieren können:
- Position: Datenschutzbeauftragter
- Unternehmen: CalmCall SRL
- E-Mail: dpo@calmcall.ai
- Adresse: Bukarest, Rumänien
- Antwortzeit: Maximal 30 Kalendertage
2. Rechtliche Grundlagen für die Datenverarbeitung
Wir verarbeiten Ihre personenbezogenen Daten auf Grundlage der folgenden rechtlichen Grundlagen gemäß der DSGVO:
- Eindeutige Einwilligung (Art. 6(1)(a) und Art. 9(2)(a)): Für die Verarbeitung besonderer Daten zur psychischen Gesundheit (KI-Gespräche, emotionale Bewertungen, Tagebucheinträge). Die Einwilligung wird bei der Kontoerstellung eingeholt und kann jederzeit widerrufen werden.
- Vertragserfüllung (Art. 6(1)(b)): Für die Bereitstellung von CalmCall-Diensten, Kontoverwaltung und Zahlungsabwicklung.
- Rechtliche Verpflichtung (Art. 6(1)(c)): Zur Einhaltung der geltenden steuerlichen, buchhalterischen und rechtlichen Anforderungen.
- Wesentliches Interesse (Art. 6(1)(d)): In Ausnahmefällen zur Feststellung einer unmittelbaren Gefahr für das Leben des Nutzers.
- Berechtigtes Interesse (Art. 6(1)(f)): Zur Verbesserung des Dienstes, Sicherheit und Betrugsprävention — unter Berücksichtigung der Rechte und Interessen der Nutzer.
3. Datenaufbewahrungsfristen
Daten werden streng für die Dauer aufbewahrt, die für den Zweck, zu dem sie erhoben wurden, erforderlich ist:
| Datenkategorie | Aufbewahrungsfrist |
|---|---|
| Kontodaten (E-Mail, Name) | Kontodauer + 30 Tage |
| KI-Gespräche | Kontodauer + 30 Tage (individuelle Löschung möglich) |
| Therapeutisches Tagebuch | Kontodauer + 30 Tage |
| Zahlungsdaten | 5 Jahre (rechtliche Steuerverpflichtung) |
| Technische Protokolle | 90 Tage |
| Analyse-Cookies | 13 Monate (gemäß CNIL-Empfehlungen) |
| Verschlüsselte Backups | 90 Tage nach Löschung der Quelldaten |
| Support-Korrespondenz | 2 Jahre |
4. Drittanbieter-Datenverarbeiter
Wir arbeiten mit folgenden Drittanbieter-Datenverarbeitern zusammen, die alle DSGVO-konform sind und unterzeichnete Datenverarbeitungsverträge (DPA) haben:
- Hetzner Online GmbH (Deutschland): Hosting und Serverinfrastruktur. Server befinden sich in der EU (Deutschland).
- Stripe Inc. (USA/Ireland): Zahlungsabwicklung. PCI DSS Level 1 zertifiziert. Standardvertragsklauseln für den EU-US-Transfer.
- OpenAI (USA): KI-Verarbeitung für Sprachbegleiter. Daten werden gemäß DPA mit Standardvertragsklauseln verarbeitet. Nutzerdaten werden nicht für das Training von Modellen verwendet.
- ElevenLabs (USA): Sprachsynthese für KI-Begleiter. Standardvertragsklauseln.
- Google Analytics (USA/Ireland): Anonymisierte Verkehrsanalyse. IPs anonymisiert, keine Identifikations-Cookies.
5. Datenübertragungen über Grenzen hinweg
Alle Daten werden auf Servern innerhalb der Europäischen Union gespeichert. Wenn eine Datenübertragung in Länder außerhalb des Europäischen Wirtschaftsraums erforderlich ist (z. B. für KI-Verarbeitung), stellen wir sicher, dass:
- Standardvertragsklauseln (SCC), die von der Europäischen Kommission genehmigt wurden, umgesetzt werden
- Datenverarbeiter relevante Zertifizierungen zur Einhaltung (SOC 2, ISO 27001, PCI DSS) haben
- Zusätzliche technische Maßnahmen gelten: End-to-End-Verschlüsselung, Pseudonymisierung, Datenminimierung
- Folgenabschätzungen (Transfer Impact Assessments) für jede Übertragung durchgeführt werden
6. Anfragen zur Datenlöschung
Sie können die vollständige Löschung Ihrer personenbezogenen Daten anfordern durch:
- Vom Konto: Einstellungen > Datenschutz > Alle Daten löschen
- E-Mail: Senden Sie eine Anfrage an dpo@calmcall.ai
- Formular: Füllen Sie das DSGVO-Antragsformular auf der Website aus
Löschprozess:
- Identitätsbestätigung innerhalb von maximal 3 Werktagen
- Hauptdatenlöschung innerhalb von maximal 30 Tagen
- Backup-Löschung innerhalb von maximal 90 Tagen
- Bestätigung der endgültigen Löschung per E-Mail
Hinweis: Bestimmte Daten können aufgrund gesetzlicher Verpflichtungen aufbewahrt werden (Steuerdaten — 5 Jahre).
7. Cookie-Richtlinie — Einzelheiten
Vollständige Klassifizierung der auf CalmCall verwendeten Cookies:
Unbedingt erforderliche Cookies
- session_id: Sitzungsidentifikator. Dauer: Browsersitzung. Kann nicht deaktiviert werden.
- csrf_token: Schutz gegen CSRF-Angriffe. Dauer: Sitzung. Kann nicht deaktiviert werden.
- auth_token: Authentifizierungstoken. Dauer: 30 Tage oder bei Abmeldung. Kann nicht deaktiviert werden.
Funktionale Cookies
- language: Sprachpräferenz. Dauer: 1 Jahr. Kann deaktiviert werden.
- theme: Visuelle Themenpräferenz. Dauer: 1 Jahr. Kann deaktiviert werden.
- cookie_consent: Einwilligungseinstellungen. Dauer: 1 Jahr.
Analyse-Cookies
- _ga: Google Analytics — anonyme Nutzeridentifikation. Dauer: 13 Monate. Kann deaktiviert werden.
- _ga_*: Google Analytics — Sitzungsstatus. Dauer: 13 Monate. Kann deaktiviert werden.
Wir verwenden keine Marketing-, Werbe- oder Remarketing-Cookies.
8. Datenschutz-Folgenabschätzung (DPIA)
Da CalmCall sensible Daten zur psychischen Gesundheit in großem Umfang verarbeitet, haben wir eine Datenschutz-Folgenabschätzung (DPIA) gemäß Art. 35 DSGVO durchgeführt. Die DPIA wird jährlich oder bei wesentlichen Änderungen der Verarbeitungstätigkeiten überprüft. Die Ergebnisse der DPIA sind auf Anfrage bei den Aufsichtsbehörden erhältlich.
9. Ihre Rechte
Unter der DSGVO haben Sie folgende Rechte:
- Recht auf Auskunft (Art. 15) — Erhalt einer Kopie Ihrer Daten
- Recht auf Berichtigung (Art. 16) — Korrektur unrichtiger Daten
- Recht auf Löschung (Art. 17) — Antrag auf Datenlöschung
- Recht auf Einschränkung (Art. 18) — Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit (Art. 20) — Erhalt der Daten in strukturiertem Format
- Recht auf Widerspruch (Art. 21) — Widerspruch gegen die Verarbeitung
- Recht auf Widerruf der Einwilligung (Art. 7(3)) — jederzeit, ohne Rückwirkung
- Recht auf Beschwerde (Art. 77) — bei der Aufsichtsbehörde
10. Aufsichtsbehörden
Wenn Sie der Meinung sind, dass Ihre Rechte verletzt wurden, können Sie eine Beschwerde bei folgenden Stellen einreichen:
- Rumänien: Nationale Behörde für die Aufsicht über die Verarbeitung personenbezogener Daten (ANSPDCP) — www.dataprotection.ro
- Zypern: Amt des Kommissars für den Datenschutz — www.dataprotection.gov.cy
11. Kontakt
Bei Fragen oder Anfragen zu DSGVO und Datenschutz:
- E-Mail DSB: dpo@calmcall.ai
- Allgemeine E-Mail: contact@calmcall.ai
- Unternehmen: CalmCall SRL, Bukarest, Rumänien