Datenschutzerklärung

§ 1 Verantwortlicher und Kontakt

(1) Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sowie sonstiger datenschutzrechtlicher Bestimmungen für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung der mobilen Anwendung sowie der zugehörigen Web-Anwendung „Rebreak" (nachfolgend gemeinsam „App" oder „Rebreak") ist:

(2) Hinweis zur geplanten Vertragsübernahme: Eine Überführung des Geschäftsbetriebs in eine in Gründung befindliche „Raynis GmbH" mit Sitz in Deutschland ist geplant. Mit Wirksamwerden der Übernahme wird die Raynis GmbH neue verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO. Sämtliche bestehenden Einwilligungen, Verträge zur Auftragsverarbeitung und Verarbeitungsverzeichnisse werden im Wege der Universalsukzession bzw. durch gesonderte Übertragung auf die GmbH überführt.

(3) Rebreak strebt die Listung als Digitale Gesundheitsanwendung (DiGA) nach § 33a SGB V beim BfArM an. Diese Anbahnungen führen nicht zu einer Übermittlung personenbezogener Daten der Nutzer.

§ 2 Datenschutzbeauftragter

Eine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten besteht derzeit nicht. Bis zur formalen Bestellung richten Sie alle Anfragen an:

§ 3 Begriffsbestimmungen

• Personenbezogene Daten (Art. 4 Nr. 1 DSGVO): alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• Gesundheitsdaten (Art. 4 Nr. 15 DSGVO): personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit beziehen, einschließlich suchtbezogener Verhaltensweisen.
• Verarbeitung (Art. 4 Nr. 2 DSGVO): jeder Vorgang im Zusammenhang mit personenbezogenen Daten.
• Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO): Dritte, die Daten im Auftrag des Verantwortlichen verarbeiten.
• Pseudonymisierung (Art. 4 Nr. 5 DSGVO): Verarbeitung, bei der Daten ohne Zusatzinformationen nicht mehr zugeordnet werden können.
• Drittland: ein Staat außerhalb der EU/EWR.

§ 4 Verarbeitete Datenkategorien

• Stammdaten / Account: E-Mail-Adresse, Pseudonym (Nickname), optional Avatar, Sprache, Zeitzone.
• Authentifizierungsdaten: Passwort-Hash, OAuth-Identifier, Sitzungs-Token, Geräte-Identifier.
• Demographische Daten (optional): Geburtsjahr, Geschlecht, Beruf, Ausbildungsgrad, Bundesland. Ausschließlich user-initiated, keine automatische Extraktion.
• Gesundheits- und Verhaltensdaten (Art. 9 DSGVO): Glücksspielverhalten, Streak-Zähler, Trigger-Logs, Urge-Einträge, SOS-Aktivierungen, Chat mit KI-Coach „Lyra", Lyra-Memories.
• Inhalts- und Community-Daten: Posts, Kommentare, Reaktionen (unter Pseudonym).
• Filter- und Sperrdaten: Custom-Domains, Filterstatistik, Cooldown-Konfiguration.
• Mail-Schutz-Daten (opt-in): OAuth-Tokens, Header-Hashes, Klassifikations-Ergebnis. E-Mail-Inhalte werden nicht dauerhaft gespeichert.
• Zahlungs- und Abonnement-Daten: Stripe-Customer-ID, Tarif-Status, Trial-Zeitraum.
• Technische Logdaten: IP (gekürzt), Datum/Uhrzeit, Geräteinformationen.

§ 5 Zwecke und Rechtsgrundlagen der Verarbeitung

(3) Trennung strukturierter Profilangaben und narrativer Inhalte: Demographische Daten werden ausschließlich aus der Profil-Eingabemaske gewonnen. Eine automatische Extraktion durch den KI-Coach „Lyra" findet ausdrücklich nicht statt.

(4) Pro-Trial-Reward: Free-Nutzer, die ihr demographisches Profil vollständig ausfüllen, erhalten als Anerkennung eine einwöchige Pro-Aktivierung. Die Verarbeitung Ihrer Daten ist nicht an den Erhalt des Trials gekoppelt; Ablehnung hat keine Auswirkung auf den Free-Tarif.

§ 6 Empfänger und Auftragsverarbeiter

§ 7 Datenübermittlung in Drittländer

Soweit personenbezogene Daten an Empfänger in Drittländern (insbesondere USA) übermittelt werden, erfolgt dies unter Beachtung der Art. 44 ff. DSGVO. Als Garantien setzen wir Standardvertragsklauseln (SCCs) der EU-Kommission ein; soweit Anbieter unter dem EU-US Data Privacy Framework zertifiziert sind, stützt sich die Übermittlung zusätzlich auf Art. 45 DSGVO.

Ein Transfer-Impact-Assessment (TIA) wurde durchgeführt. Ergänzende Schutzmaßnahmen: Übermittlung ohne Klarnamen/E-Mail, TLS 1.3 mit Forward Secrecy, Datenminimierung, no-training-Zusagen der LLM-Anbieter.

§ 8 Speicherdauer und Löschung

• Account- und Stammdaten: bis zur Konto-Löschung.
• Demographische Daten: bis zur Löschung durch den Nutzer, spätestens bei Konto-Löschung.
• Chat-Verläufe und Lyra-Memories: standardmäßig 12 Monate, konfigurierbar.
• Trigger-, Urge- und Streak-Logs: bis zu 24 Monate, dann Aggregation.
• Community-Inhalte: bis zur Löschung oder Konto-Löschung.
• Mail-Schutz-Daten: OAuth-Tokens bis Verbindung getrennt; Header-Hashes 90 Tage.
• Server-Logs: 14 Tage.
• Rechnungsunterlagen: 10 Jahre (§§ 147 AO, 257 HGB).

§ 9 Cookies, Local Storage und Tracking

Rebreak setzt keine Tracking-Pixel und keine Drittanbieter-Analytics-Cookies ein. Wir nutzen ausschließlich technisch erforderliche Speichermechanismen (§ 25 Abs. 2 Nr. 2 TTDSG): Authentifizierungs-Cookies, UI-Einstellungen, Filter-Cache.

§ 10 Push-Benachrichtigungen

Mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) versenden wir Push-Benachrichtigungen via Apple APNs (iOS) und Google FCM (Android). Sie können den Empfang jederzeit in den Systemeinstellungen deaktivieren.

§ 11 Technische und organisatorische Sicherheitsmaßnahmen

• TLS 1.3 für alle Verbindungen;
• Festplattenverschlüsselung (Encryption at Rest);
• JWT mit kurzlebigen Access-Tokens und httpOnly-Refresh-Cookies;
• OAuth 2.0 mit PKCE;
• RBAC und Row-Level-Security in PostgreSQL;
• Regelmäßige Backups, verschlüsselt;
• Secret-Management via Infisical (kein Klartext-Speichern);
• Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO.

Pseudonymisierung gegenüber LLM-Anbietern: Chat-Inhalte werden ohne Klarnamen, E-Mail-Adressen oder Account-IDs übermittelt. Übertragen wird nur der Nickname und Gesprächsinhalt. Ab Q3 2026 ist eine NER-Pipeline zur automatischen Maskierung geplant.

Anonymität durch Pseudonym: Innerhalb der App sind Sie für andere ausschließlich unter Ihrem Nickname sichtbar. Klarnamen werden niemals angezeigt.

§ 12 Mail-Schutz / Mail-Agent

Der Mail-Schutz ist ein optionales Opt-in-Modul, das eingehende E-Mails auf Glücksspiel-bezogene Inhalte klassifiziert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO. E-Mail-Inhalte werden nicht dauerhaft gespeichert. Sie können den Mail-Schutz jederzeit deaktivieren; die OAuth-Tokens werden dann unverzüglich gelöscht.

§ 13 Ihre Betroffenenrechte

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Anfragen an: datenschutz@rebreak.org. In der App: Konto-Löschung und Datenexport über die Account-Einstellungen.

§ 14 Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

§ 15 Automatisierte Entscheidungsfindung und KI-Coach „Lyra"

Eine rechtlich erhebliche automatisierte Entscheidungsfindung (Art. 22 DSGVO) findet nicht statt. Der KI-Coach „Lyra" nutzt je nach Tarif:

• Free und Pro: Llama-Modelle via Groq (USA)
• Legend: Claude Haiku 4.5 via Anthropic (USA)
• Fallback: ergänzende Modelle via OpenRouter (USA)

Die Inhalte sind statistisch generiert und stellen keine medizinische, therapeutische oder rechtliche Beratung dar. In akuten Krisen: Telefonseelsorge 0800/111 0 111 oder ärztlicher Notdienst 116 117.

§ 16 Änderungen dieser Datenschutzerklärung

Wesentliche Änderungen werden per E-Mail oder In-App-Mitteilung angekündigt. Die aktuelle Fassung ist stets unter dieser URL abrufbar.