⚠️ Hinweis zur Sprache

Diese Übersetzung ist eine KI-unterstützte Höflichkeitsübersetzung zur erleichterten Lektüre. Die französische Fassung ist die rechtlich verbindliche Version im Streitfall. Bei Fragen kontaktieren Sie uns auf Deutsch.

🇫🇷 Verbindliche französische Fassung lesen →✉️ Kontakt aufnehmen →

DATENSCHUTZERKLÄRUNG

Vervox — Analyse- und Content-Erstellungsdienst für Creator

Zuletzt aktualisiert: 8. Mai 2026

1. VERANTWORTLICHER

Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten ist:

Yanis Aimeur — Einzelunternehmer (Entrepreneur Individuel)

SIRET (FR-Unternehmens-ID): 952 509 131 00019

Adresse: 54000 Nancy, Frankreich

E-Mail: contact@vervox.app

Kein Datenschutzbeauftragter (DPO) bestellt. Die Kerntätigkeiten von Vervox erfüllen nicht die Kriterien, die eine zwingende Bestellung eines DPO gemäß Art. 37(1) DSGVO erfordern (keine öffentliche Aufgabe, keine umfangreiche regelmäßige und systematische Überwachung, keine umfangreiche Verarbeitung besonderer Datenkategorien). Bei Datenschutzfragen wenden Sie sich bitte an die oben angegebene E-Mail-Adresse.

2. ERHOBENE DATEN

2.1 Daten, die Sie uns zur Verfügung stellen

Daten	Erhoben bei
E-Mail-Adresse	Registrierung
Passwort (bcrypt-gehasht)	Registrierung
Vorname / Nachname	Registrierung
TikTok-Handle	Onboarding / Einstellungen
Profilinformationen	Onboarding
Von Ihnen eingegebene Inhalte (Prompts, Skripte)	Nutzung des Dienstes

2.2 Automatisch erhobene Daten

Daten	Zweck
IP-Adresse	Sicherheit, Statistik
Browser- und Gerätetyp	Technische Kompatibilität
Besuchte Seiten und Aktionen	Verbesserung des Dienstes
Datum und Uhrzeit der Anmeldung	Sicherheit
Attributionsparameter (Quelle, Kampagne, Referrer)	Messung der Wirksamkeit von Akquisitionskanälen
E-Mail-Engagement (Öffnung, Klick, Bounce)	Verbesserung der Kommunikation
Serverseitige Produktevents (Registrierung, Onboarding, Zahlung)	Verbesserung des Dienstes

2.3 Zahlungs- und Abonnementdaten

Bankdaten (Kartennummer, CVV, Ablaufdatum) werden ausschließlich von Stripe erhoben und verarbeitet. Wir haben niemals Zugriff auf Ihre vollständigen Bankdaten. Wir bewahren Abrechnungsunterlagen (Rechnungen, Stripe-Kundenidentifikatoren, Transaktionshistorie) zehn (10) Jahre auf, wie vom französischen Steuer- und Buchhaltungsrecht vorgeschrieben (Code de commerce art. L123-22 und CGI art. L102 B).

Im Rahmen des Vervox-Abonnementmodells verarbeiten wir auch die folgenden Daten:

Abonnierter Plan (Creator, Pro oder Business) und Periodizität (monatlich oder jährlich);
Abonnementdatum, Verlängerungsdatum, Abonnementstatus (aktiv, ausgesetzt, gekündigt) und etwaige Inanspruchnahme des Founder-Angebots (Artikel 7.1bis der AGB);
Anzahl und Identifikatoren der Profile, die innerhalb Ihres Spaces erstellt wurden;
Pro Profil verbrauchte KI-Credits (monatliche Plan-Zuweisung + etwaige Aufladungen), mit Zeitstempel pro genutzter Funktion;
Erworbene Aufladungen (Betrag, Datum, begünstigtes Profil);
Stripe-Buchhaltungs-Credits, die bei anteiliger Profillöschung generiert werden.

Diese Daten werden auf der Grundlage der Vertragserfüllung (Art. 6.1.b DSGVO) für die Abrechnung und die Erbringung des Dienstes sowie des berechtigten Interesses (Art. 6.1.f DSGVO) zur Erkennung von missbräuchlicher oder betrügerischer Nutzung (anormaler Credit-Verbrauch, nicht autorisierte Mehrfachkonten, Weitergabe von Zugangsdaten) verarbeitet. Credit-Verbrauchsspuren dienen auch als Nachweis bei Zahlungsstreitigkeiten gemäß Artikel 7.13 der AGB. Die Aufbewahrung folgt der Aufbewahrungsfrist für Abrechnungsdaten (10 Jahre).

2.4 YouTube / Google API Services-Daten

Wenn Sie sich entscheiden, Ihren YouTube-Kanal mit Vervox zu verbinden, greifen wir über YouTube API Services auf folgende Daten zu:

Erhobene Daten	Zweck
Kanalname, ID, Avatar	Anzeige Ihres verbundenen Kanals in der Oberfläche
Veröffentlichung von Videos auf Ihrem Kanal	Cross-Posting Ihrer TikTok-Videos als YouTube Shorts
Posten von Kommentaren	Hinzufügen eines ersten Kommentars zu Ihren veröffentlichten Videos

Weitergabe und Übertragung: Ihre YouTube-Daten werden mit keinem Dritten geteilt. Sie werden ausschließlich zum Betrieb des Dienstes verwendet (Anzeige in der Oberfläche, Veröffentlichung von Videos auf Ihrem eigenen Kanal). Sie werden weder verkauft noch vermietet noch zu Werbe-, Profilerstellungs- oder anderen oben nicht beschriebenen Zwecken an Dritte weitergegeben.

Speicherung: YouTube-Access- und Refresh-Tokens werden vor der Speicherung in unserer Datenbank verschlüsselt (AES-256-GCM). Nur der Dienst greift auf diese Tokens zu, um die von Ihnen angeforderten Aktionen auszuführen.

Widerruf: Sie können Ihren YouTube-Kanal jederzeit über den Datenschutz-Bereich Ihrer Kontoeinstellungen trennen. Die Trennung entfernt sofort die gespeicherten Tokens. Sie können den Vervox-Zugriff auch über Ihre Google-Berechtigungsverwaltungsseite widerrufen.

Konformität: Die Verwendung der über Google APIs empfangenen Daten durch Vervox entspricht der Google API Services User Data Policy, einschließlich der Limited Use Requirements.

2.5 TikTok-Daten

Wenn Sie sich entscheiden, Ihr TikTok-Konto mit Vervox zu verbinden, greifen wir über die TikTok API auf folgende Daten zu:

Erhobene Daten	Zweck
Benutzername, Avatar, Bio	Anzeige Ihres verbundenen Kontos und Personalisierung von Analysen
Profilstatistiken (Follower, Likes, Anzahl Videos)	Kontoanalyse und Fortschrittsverfolgung
Liste Ihrer Videos und deren Statistiken (Aufrufe, Likes, Kommentare, Shares)	Leistungsanalyse, personalisierte Ideengenerierung und Benchmark
Veröffentlichung von Videos auf Ihrem Konto	Cross-Posting Ihrer Videos auf andere Plattformen oder Veröffentlichung geplanter Inhalte

Weitergabe und Übertragung: Ihre TikTok-Daten werden mit keinem Dritten geteilt. Sie werden ausschließlich zum Betrieb des Dienstes verwendet. Sie werden weder verkauft noch vermietet noch zu Werbe- oder anderen oben nicht beschriebenen Zwecken an Dritte weitergegeben.

Speicherung: TikTok-Access- und Refresh-Tokens werden vor der Speicherung verschlüsselt (AES-256-GCM). Ihre Videostatistiken werden in unserer Datenbank gespeichert, um eine zeitliche Fortschrittsverfolgung zu ermöglichen.

Widerruf: Sie können Ihr TikTok-Konto jederzeit über den Datenschutz-Bereich Ihrer Kontoeinstellungen trennen. Die Trennung widerruft die Tokens und entzieht Vervox den Zugriff auf Ihre TikTok-Daten.

Wechsel des TikTok-Kontos: Wenn Sie das mit Ihrem Vervox-Profil verbundene TikTok-Konto durch ein anderes Konto ersetzen, werden Ihre vorherigen Daten (Videos, Statistiken, Fortschritts-Snapshots) in archivierter Form aufbewahrt — sie werden nicht mehr in Ihrem Dashboard angezeigt, bleiben aber in unserer Datenbank gespeichert, und zwar zu zwei Zwecken: (i) ihre automatische Wiederherstellung, falls Sie dasselbe TikTok-Konto später erneut verbinden; (ii) aggregierte und anonymisierte Analyse zur Verbesserung unserer Empfehlungs- und Viralitäts-Vorhersagemodelle. Diese Aufbewahrung stützt sich auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO). Sie können die endgültige Löschung dieser archivierten Daten jederzeit über die Schaltfläche „Meine Daten löschen“ in Ihren Kontoeinstellungen (Bereich Datenschutz) oder per E-Mail an contact@vervox.app beantragen.

2.6 Öffentliche Daten von Konkurrentenkonten

Wenn Sie eine Konkurrenzanalyse für ein TikTok-Konto durchführen, das nicht Ihres ist, verarbeitet Vervox ausschließlich öffentlich verfügbare Daten dieses Kontos (öffentliches Profil, öffentliche Video-Metriken). Wir erheben keine privaten oder nicht-öffentlichen Daten. Die Daten des Drittersteller werden auf der Rechtsgrundlage unseres berechtigten Interesses an der Bereitstellung von Wettbewerbs-Benchmarking verarbeitet (Art. 6(1)(f) DSGVO), nicht über die Analyse hinaus aufbewahrt und nicht für Direktmarketing oder Profilerstellung dieser Dritten verwendet.

2.7 E-Mail-Korrespondenz mit dem Support

Wenn Sie uns an contact@vervox.app schreiben (vor oder nach der Registrierung), erheben und speichern wir:

Ihre Absender-E-Mail-Adresse und Anzeigename (sofern im From-Header vorhanden)
den Betreff der Nachricht, Textkörper, HTML-Körper und etwaige Anhänge
die für das Threading erforderlichen technischen Header (Message-ID, In-Reply-To, References)
den Empfangszeitstempel

KI-Verarbeitung — Alice: Jede empfangene E-Mail wird von unserem internen Support-Tool (“Alice”) analysiert. Betreff und Inhalt der Nachricht werden an Anthropic (Claude Haiku) übermittelt, um (1) sie automatisch zu klassifizieren (Kategorie, Sentiment, Dringlichkeit, Sprache, Themen, Kurzzusammenfassung) und (2) auf Anforderung des Support-Teams einen in Ihrer Sprache verfassten Antwortvorschlag zu erstellen. Wenn Sie in einer anderen Sprache als Französisch schreiben, kann der Inhalt auch an Claude Sonnet übermittelt werden, ausschließlich um zwischen Ihrer Sprache und Französisch zu übersetzen, sodass das (französischsprachige) Support-Team den Vorschlag vor dem Versand prüfen kann. Anthropic ist durch einen DPA (Art. 28(3) DSGVO) gebunden und verwendet Ihre Daten nicht zum Training seiner Modelle.

Telegram-Konversationsagent (gründerintern): Um den Support unterwegs zu betreuen, interagiert der Gründer über einen privaten Telegram-Bot mit Alice. Während dieser Konversationen kann der Inhalt Ihrer E-Mail an Anthropic (Claude Haiku) übermittelt werden, damit Alice argumentieren und Antwortvorschläge entwerfen kann. Alice verfügt über manuelle Kuratierungstools (Volltextsuche von E-Mails nach Stichwörtern, Aktualisierung der Kategorie / Dringlichkeit / Kind eines Threads, Archivierung), die im internen Support-Bereich verbleiben; alle diese Operationen werden in inbound_email_events auditiert. Wenn der Gründer seine Anweisungen per Sprache aufzeichnet, wird die Audiodatei an OpenAI (Whisper) zur Transkription in Text übermittelt, bevor sie von Anthropic verarbeitet wird. Die Transkription enthält ausschließlich die Anweisungen des Gründers (niemals den Inhalt Ihrer E-Mail). Keine Daten über Sie werden öffentlich geteilt; Telegram FZ-LLC erhält ausschließlich bereits pseudonymisierte operative Benachrichtigungen (Absender-Hash, gekürzter Betreff, KI-Zusammenfassung), siehe Abschnitt 5. Die Telegram-Konversation wird niemals gelesen oder zu Marketingzwecken verwendet.

Rechtsgrundlage: Vertragserfüllung (Art. 6.1.b) wenn Sie registrierter Nutzer sind, andernfalls berechtigtes Interesse an der Bereitstellung eines qualitativen Kundensupports (Art. 6.1.f). Sie können der Verarbeitung durch Alice jederzeit widersprechen, indem Sie an dieselbe Adresse schreiben; Ihre Anfrage wird dann manuell bearbeitet.

Keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO: Die Klassifizierung durch Alice routet Ihre Nachricht in unsere Support-Warteschlangen; sie produziert keine rechtliche Entscheidung oder ähnlich wesentliche Wirkung. Die Antwort wird immer von einem Menschen versendet (in diesem Fall vom Gründer).

Aufbewahrung: 24 Monate ab Empfang, dann vollständige Löschung 6 Monate später (d. h. maximal 30 Monate). Siehe Abschnitt 6.

Pseudonymisierung bei Kontolöschung: Wenn Sie Ihr Vervox-Konto löschen, werden Ihre Support-E-Mails pseudonymisiert (Ihre E-Mail-Adresse + Name werden durch eine gehashte Kennung ersetzt, der Inhalt durch einen Löschmarker) anstatt endgültig gelöscht zu werden. Dies bewahrt die Kohärenz von Konversations-Threads, an denen Sie möglicherweise mit anderen Nutzern teilgenommen haben, ohne identifizierende Informationen zu behalten.

2.8 Pflicht- oder optionale Angaben

Die bei der Registrierung als Pflicht gekennzeichneten Daten (E-Mail, Passwort oder Google-Login) sind zur Vertragserfüllung erforderlich. Ohne sie können Sie weder ein Konto erstellen noch auf den Dienst zugreifen.

Profildaten (Nische, TikTok-Handle, Präferenzen) sind optional, verbessern jedoch die Relevanz der generierten Inhalte. Analyse-Cookies sind optional und unterliegen Ihrer Einwilligung.

3. COOKIES UND TRACKER

3.1 Strikt notwendige Cookies

Der Dienst verwendet ein Authentifizierungs-Session-Cookie (authjs.session-token), das für seinen Betrieb wesentlich ist, sowie ein Attributions-Cookie (__vx_utm, Dauer: 1 Stunde), mit dem wir Ihre Registrierung mit ihrer Akquisitionsquelle verknüpfen können. Diese Cookies erfordern Ihre Einwilligung nicht.

3.2 Analyse-Cookies

Mit Ihrer Einwilligung verwenden wir PostHog, um die Nutzung des Dienstes zu analysieren (besuchte Seiten, Klicks, Nutzerreise). PostHog kann auch Browsersitzungen aufzeichnen (mit maskierten Eingaben), um die Nutzererfahrung zu verbessern. Wenn Sie angemeldet sind, können Ihre Analysedaten mit Ihrem Konto (E-Mail, Name, Plan) verknüpft werden, um unser Produkt-Tracking zu personalisieren.

3.3 Reichweitenmessung (Vercel Analytics)

Wir verwenden Vercel Analytics, um die Performance und den Traffic der Website zu messen. Dieser Dienst erhebt aggregierte und anonymisierte Daten (besuchte Seiten, Besuchsdauer, Herkunftsland) ohne Verwendung von Cookies und ohne Erhebung identifizierender personenbezogener Daten. Im Einklang mit den Leitlinien der Datenschutzbehörden (insbesondere der französischen CNIL) erfordert dieser Tracker keine vorherige Einwilligung.

3.4 Monitoring-Cookies

Sentry erhebt im Falle eines Fehlers technische Informationen (Stack-Traces, Browsing-Kontext), um die Stabilität des Dienstes aufrechtzuerhalten. Im Falle eines Fehlers kann eine Sitzungsaufzeichnung erfasst werden, um die Diagnose zu erleichtern.

3.5 Serverseitiges Produktevent-Tracking

Bestimmte Ereignisse im Zusammenhang mit dem Betrieb des Dienstes (Registrierung, E-Mail-Verifizierung, Onboarding, Zahlung, Kündigung) werden serverseitig über PostHog auf der Rechtsgrundlage des berechtigten Interesses (Art. 6.1.f DSGVO) protokolliert. Diese Ereignisse hängen nicht von Cookies ab und dienen ausschließlich der Verbesserung der Nutzerreise und der Sicherstellung des ordnungsgemäßen Betriebs des Dienstes.

3.6 Verwaltung Ihrer Präferenzen

Sie können nicht unbedingt erforderliche Cookies über das Einwilligungsbanner akzeptieren oder ablehnen, das bei Ihrem ersten Besuch angezeigt wird. Sie können Ihre Präferenzen jederzeit im Bereich Datenschutz Ihrer Kontoeinstellungen ändern. Ihre Wahl wird sechs (6) Monate aufbewahrt, danach wird Ihnen das Banner erneut angezeigt.

4. ZWECKE UND RECHTSGRUNDLAGEN

Zweck	Rechtsgrundlage (DSGVO)
Erstellung und Verwaltung Ihres Kontos	Vertragserfüllung (Art. 6.1.b)
Bereitstellung des Vervox-Dienstes	Vertragserfüllung (Art. 6.1.b)
Personalisierung generierter Skripte	Vertragserfüllung (Art. 6.1.b)
Abrechnung, Mehrwertsteueraufzeichnungen, Rechnungsaufbewahrung	Rechtliche Verpflichtung (Art. 6.1.c)
Verbesserung des Dienstes und Statistiken	Berechtigtes Interesse (Art. 6.1.f)
Dienstbezogene Kommunikation (Feedback-E-Mails, Produkt-Updates)	Berechtigtes Interesse (Art. 6.1.f)
Serverseitiges Produktevent-Tracking	Berechtigtes Interesse (Art. 6.1.f)
Analyse-Cookies und Sitzungsaufzeichnung	Einwilligung (Art. 6.1.a)

Für brasilianische Einwohner folgen die Rechtsgrundlagen unter LGPD Art. 7 derselben Zuordnung (Vertragserfüllung, berechtigtes Interesse, Einwilligung und Erfüllung gesetzlicher Pflichten).

5. AUFTRAGSVERARBEITER UND INTERNATIONALE ÜBERMITTLUNGEN

Ihre Daten können an die folgenden Auftragsverarbeiter übermittelt werden, die jeweils durch eine Auftragsverarbeitungsvereinbarung (DPA) gemäß Art. 28(3) DSGVO gebunden sind:

Auftragsverarbeiter	Funktion	Standort	Übermittlungsmechanismus
Supabase	Datenbank	EU (AWS eu-west-1)	EU — keine grenzüberschreitende Übermittlung
Vercel	Hosting	Vereinigte Staaten	DPF + SCCs
Anthropic	KI-Anbieter (Claude — Inhaltsgenerierung, Triage von Support-E-Mails und Antwortvorschläge, mehrsprachige Übersetzung; siehe Abschnitt 2.7)	Vereinigte Staaten	DPF + SCCs
Stripe	Sichere Zahlung	Irland / Vereinigte Staaten	DPF + SCCs
Apple (Apple Distribution International Ltd.)	Zahlung und Vertrieb der über den App Store getätigten Käufe (Verkäufer / „merchant of record“)	Irland (EU)	EU — keine grenzüberschreitende Übermittlung
RevenueCat, Inc.	Validierung und Verwaltung von In-App-Käufen (Abonnements und Aufladungen)	Vereinigte Staaten	DPF + SCCs
Google	OAuth-Authentifizierung	Vereinigte Staaten	DPF + SCCs
Google (YouTube API Services)	Videoveröffentlichung, Kanalinformationen (siehe Abschnitt 2.4)	Vereinigte Staaten	DPF + SCCs
OpenAI	KI-Anbieter (GPT)	Vereinigte Staaten	DPF + SCCs
Google (Gemini)	KI-Anbieter (Gemini)	Vereinigte Staaten	DPF + SCCs
Google (Cloud Vision)	Optische Zeichenerkennung (OCR) auf öffentlichen Bildern zur Erkennung von TikTok-Karussells	Vereinigte Staaten	DPF + SCCs
PostHog	Produkt-Analytics	EU	EU — keine grenzüberschreitende Übermittlung
Vercel Analytics	Reichweitenmessung (anonymisiert)	Vereinigte Staaten	DPF + SCCs (anonymisiert — keine personenbezogenen Daten)
Sentry (Web)	Fehler-Monitoring (vervox.app)	Vereinigte Staaten	DPF + SCCs
Sentry (Mobile)	Fehler-Monitoring (iOS-/Android-App)	Deutschland (EU)	Nicht erforderlich — in der EU gehostet
Resend	Transaktionale E-Mails, Dienstkommunikation und ausgehende Support-Antworten über Alice	Vereinigte Staaten	SCCs
IONOS	Hosting des Support-Postfachs (IMAP/SMTP-Empfang von E-Mails an `contact@vervox.app`)	Deutschland (EU)	EU — keine grenzüberschreitende Übermittlung
Telegram (Telegram FZ-LLC)	Gründerinterne operative Benachrichtigungen (dringende Eingangswarnung, tägliche Zusammenfassung) + Kanal des Alice-Konversationsagenten (Phase 3, siehe Abschnitt 2.7). Empfängt ausschließlich pseudonymisierte Daten: Absender-Hash, gekürzten Betreff (max. 80 Zeichen), KI-Zusammenfassung und Kategorielabels. Es werden keine rohen E-Mail-Adressen oder Nachrichteninhalte übermittelt. Die zwischen dem Gründer und Alice ausgetauschten Nachrichten werden niemals von Telegram gelesen.	Vereinigte Arabische Emirate (Dubai)	SCCs (Modul 4 — Controller-to-Processor außerhalb EWR)
OpenAI (Whisper)	Transkription der Sprachanweisungen des Gründers bei der Interaktion mit dem Alice-Agenten auf Telegram (Phase 3). Das empfangene Audio enthält ausschließlich die Worte des Gründers — niemals den Inhalt Ihrer E-Mail. OpenAI ist durch einen DPA gebunden und verwendet die Daten nicht erneut zum Training seiner Modelle.	Vereinigte Staaten	DPF + SCCs
Upstash	Cache und Rate Limiting (Redis)	EU (AWS eu-west-1)	EU — keine grenzüberschreitende Übermittlung
Cloudflare (R2)	Objektspeicher (in Collections hochgeladene Fotos, Karussell-Blobs, Video-Exporte)	EU / Global	DPF + SCCs
TikTok API	Kontoverbindung, Lesen von Profil und Videos, Inhaltsveröffentlichung (siehe Abschnitt 2.5)	Singapur / Vereinigte Staaten	SCCs (TikTok Ireland)
Pinterest API	Pinterest-Kontoverbindung, Lesen von Boards und Pins (Collections-Funktion)	Vereinigte Staaten	SCCs
Supadata	Audio-/Video-Transkription (in Studio hochgeladene Videos, analysierte TikTok- und YouTube-Videos)	Vereinigte Staaten	SCCs
Anbieter für Social-Media-Trendanalyse	Synchronisierung Ihrer öffentlichen TikTok-Daten und Inhalts-Benchmarks	Vereinigte Staaten	SCCs
Pexels	Lizenzfreie Bildbank (Karussells)	Vereinigte Staaten	Keine personenbezogenen Daten übermittelt
Serper	Web-Bildsuche für Karussells	Vereinigte Staaten	SCCs (nur Suchanfragen, keine personenbezogenen Daten)

Übermittlungen in die Vereinigten Staaten unterliegen dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023) für DPF-zertifizierte Auftragsverarbeiter, sowie den Standardvertragsklauseln (SCCs) der Europäischen Kommission (Durchführungsbeschluss 2021/914) als zusätzliche Schutzgarantie in allen Fällen.

Für britische Einwohner unterliegen Übermittlungen dem UK International Data Transfer Agreement (IDTA) oder dem UK Addendum zu den EU-SCCs.

Sie können eine Kopie der anwendbaren Schutzgarantien (SCCs, DPAs) erhalten, indem Sie an contact@vervox.app schreiben.

6. AUFBEWAHRUNGSFRISTEN

Daten	Dauer
Nutzerkonto und Profil (aktiv)	Bis zur Löschung des Kontos durch den Nutzer
Generierte Inhalte (Skripte, Ideen, Analysen)	Bis zur Kontolöschung
Abrechnungs- und Rechnungsunterlagen	10 Jahre (französisches Steuerrecht — Code de commerce art. L123-22, CGI art. L102 B)
Analysedaten (PostHog)	24 Monate
Fehlerprotokolle (Sentry)	90 Tage
Cache-Daten (Redis)	Maximal 30 Tage
Vom Nutzer in Collections hochgeladene Fotos (R2)	Bis zur Löschung des Fotos, der übergeordneten Sammlung oder des Kontos
Temporäre Karussell-Blobs (R2)	2 Tage (automatische Löschung Lifecycle)
Verlauf gesendeter E-Mails	24 Monate
Eingehende Support-E-Mails an `contact@vervox.app` (Alice-Postfach)	24 Monate (Soft-Delete) plus 6 weitere Monate (Hard-Delete), d. h. maximal 30 Monate
Audit-Trail von Aktionen auf Support-E-Mails (inbound_email_events)	Bis der übergeordnete Thread gelöscht wird. Der Trail speichert Hashes (keinen Inhalt) von Betreffs und Inhalten gemäß dem Datenminimierungsprinzip

Bei Kontolöschung werden alle Ihre personenbezogenen Daten und generierten Inhalte aus unserer Datenbank entfernt, mit Ausnahme der Abrechnungsunterlagen, die wir gemäß französischem Steuer- und Buchhaltungsrecht 10 Jahre aufbewahren müssen. Daten, die von unseren Auftragsverarbeitern gehalten werden, werden gemäß deren eigenen Aufbewahrungsrichtlinien gelöscht.

Sonderfall Support-E-Mails: E-Mails, die Sie an contact@vervox.app gesendet haben, werden bei Kontolöschung pseudonymisiert (Ihre Adresse + Name werden durch eine gehashte Kennung ersetzt, der Inhalt durch einen Löschmarker) anstatt endgültig gelöscht zu werden, um die Kohärenz von Konversations-Threads zu bewahren, an denen Sie möglicherweise mit anderen Nutzern teilgenommen haben. Nach der Pseudonymisierung verbleiben keine Sie direkt identifizierenden Informationen. Die endgültige Löschung erfolgt spätestens am Ende der oben angegebenen Aufbewahrungsfrist (30 Monate ab Empfang der Nachricht).

7. SICHERHEIT UND VERLETZUNGSMELDUNG

7.1 Sicherheitsmaßnahmen

Verschlüsselung der Daten bei der Übermittlung (HTTPS/TLS)
Passwort-Hashing (bcrypt)
OAuth-Token-Verschlüsselung (AES-256-GCM im Ruhezustand)
Prinzip der minimalen Berechtigung für Auftragsverarbeiter-Zugriff
Regelmäßige Software-Abhängigkeitsupdates und Schwachstellen-Scanning
Fehler-Monitoring (Sentry) zur Anomalieerkennung
Eingeschränkter administrativer Zugriff

7.2 Meldung einer Verletzung personenbezogener Daten

Im Falle einer Verletzung personenbezogener Daten, die wahrscheinlich zu einem Risiko für Ihre Rechte und Freiheiten führt, wird Vervox die zuständige Aufsichtsbehörde (CNIL für Frankreich) innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung benachrichtigen, wie in Art. 33 DSGVO vorgeschrieben.

Wenn die Verletzung wahrscheinlich zu einem hohen Risiko für Ihre Rechte und Freiheiten führt, werden wir Sie auch direkt unverzüglich benachrichtigen, gemäß Art. 34 DSGVO (und entsprechenden Bestimmungen des UK GDPR, CCPA §1798.82 und LGPD Art. 48).

8. AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG UND PROFILBILDUNG

Der Dienst nutzt künstliche Intelligenz, um Inhaltsvorschläge (Skripte, Ideen, Karussell-Texte) basierend auf Ihren Profileingaben zu generieren. Diese KI-generierten Vorschläge sind keine automatisierten Entscheidungen, die rechtliche Wirkungen entfalten oder Sie ähnlich erheblich beeinträchtigen im Sinne von Art. 22 DSGVO. Es handelt sich um Vorschläge, die Sie frei akzeptieren, ändern oder ablehnen können.

Sie können die KI-Profilbildung jederzeit über den Schalter “KI-Profilbildung” im Datenschutz-Bereich Ihrer Kontoeinstellungen deaktivieren.

9. KINDERSCHUTZ

Der Dienst ist für Nutzer ab 16 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren, unabhängig davon, ob lokales Recht niedrigere Altersgrenzen erlaubt (z. B. 13 im Vereinigten Königreich, 14 in Spanien oder Italien, 15 in Frankreich, 16 in Deutschland).

Für Einwohner der Vereinigten Staaten halten wir uns an den Children’s Online Privacy Protection Act (COPPA, 15 U.S.C. §§ 6501-6506): Wir erheben wissentlich keine personenbezogenen Informationen von Kindern unter 13 Jahren, und unsere Altersgrenze von 16 ist strenger als die von COPPA.

Wenn Sie Elternteil oder Erziehungsberechtigter sind und glauben, dass Ihr Kind Vervox personenbezogene Daten zur Verfügung gestellt hat, kontaktieren Sie bitte contact@vervox.app für die sofortige Löschung.

10. IHRE RECHTE (EU DSGVO / UK GDPR)

Nach EU-DSGVO und UK GDPR haben Sie folgende Rechte:

Auskunft (Art. 15): Erhalten einer Kopie Ihrer Daten
Berichtigung (Art. 16): Korrektur unrichtiger Daten
Löschung (Art. 17): Anforderung der Löschung Ihrer Daten
Einschränkung (Art. 18): Vorübergehende Einschränkung der Verarbeitung
Datenübertragbarkeit (Art. 20): Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format
Widerspruch (Art. 21): Widerspruch gegen die Verarbeitung auf Grundlage berechtigten Interesses
Widerruf der Einwilligung (Art. 7(3)): Jederzeitiger Widerruf der Einwilligung für darauf basierende Verarbeitungen, ohne die Rechtmäßigkeit der vorherigen Verarbeitung zu beeinträchtigen
Keiner automatisierten Entscheidung unterworfen zu sein (Art. 22): siehe Abschnitt 8 — wir treffen keine solchen Entscheidungen

10.1 Wie Sie Ihre Rechte ausüben — Self-Service

Wenn Sie ein Vervox-Konto haben, sind die meisten Rechte direkt im Bereich Datenschutz Ihrer Kontoeinstellungen zugänglich:

Auskunft und Datenübertragbarkeit — Schaltfläche “Meine Daten exportieren” (strukturiertes JSON-Format)
Löschung — “Mein Konto löschen” in der Gefahrenzone (kaskadierende Löschung aller Daten, Stripe-Kunde und Tokens von Drittanbietern)
Berichtigung — Direkte Bearbeitung Ihrer Profilfelder
Widerruf der Einwilligung — Schalter “KI-Profilbildung” und “Analyse-Cookies”
Widerruf des Drittanbieter-Zugriffs — Schaltflächen TikTok / YouTube trennen

10.2 Wie Sie Ihre Rechte ausüben — per E-Mail

Wenn Sie kein Vervox-Konto haben, wir aber Ihre Daten verarbeiten (z. B. Ihr öffentlicher Inhalt wurde von einem Vervox-Nutzer analysiert), oder für Anfragen, die nicht im Self-Service möglich sind (Einschränkung der Verarbeitung, Daten in einem bestimmten Nicht-JSON-Format), schreiben Sie an contact@vervox.app. Wir antworten innerhalb von 30 Tagen wie in Art. 12(3) DSGVO vorgeschrieben, verlängerbar um zwei Monate für komplexe Anfragen. Wir können Ihre Identität vor der Antwort überprüfen.

10.3 Beschwerderecht

Sie haben das Recht, eine Beschwerde bei Ihrer örtlichen Aufsichtsbehörde einzureichen:

Frankreich — CNIL: www.cnil.fr
Vereinigtes Königreich — ICO: ico.org.uk
Deutschland — BfDI: www.bfdi.bund.de
Italien — Garante per la protezione dei dati personali: www.garanteprivacy.it
Spanien — AEPD: www.aepd.es
Andere EU/EWR-Länder: Ihre nationale Aufsichtsbehörde

10.4 Nachweis der Annahme der Bedingungen

Die Annahme der Allgemeinen Verkaufsbedingungen, der Allgemeinen Nutzungsbedingungen und der vorliegenden Datenschutzerklärung wird durch die Erstellung Ihres Vervox-Kontos materialisiert. Datum und Uhrzeit Ihrer Registrierung werden zum Zeitpunkt der Kontoerstellung automatisch in unseren Systemen erfasst und stellen den formalen Nachweis Ihrer Annahme gemäss Artikel 6 Absatz 1 Buchstabe b DSGVO dar (Rechtsgrundlage: Erfüllung eines Vertrags).

Diese Information kann auf einfache Anfrage an contact@vervox.app angefordert werden, im Rahmen des Auskunftsrechts nach Artikel 15 DSGVO.

11. EINWOHNER VON KALIFORNIEN — FREIWILLIGE DATENSCHUTZRECHTE

Vervox erfüllt derzeit nicht die gesetzlichen Schwellenwerte des California Civil Code §1798.140(d), um als “Unternehmen” zu qualifizieren, das dem California Consumer Privacy Act (CCPA), in der durch das California Privacy Rights Act (CPRA) geänderten Fassung, unterliegt. Wir respektieren freiwillig die folgenden CCPA-ähnlichen Rechte für Einwohner Kaliforniens.

11.1 Gewährte Rechte

Recht auf Information, welche personenbezogenen Informationen wir erheben
Recht auf Löschung Ihrer personenbezogenen Informationen
Recht auf Berichtigung unrichtiger personenbezogener Informationen
Recht auf Widerspruch gegen Verkauf oder Weitergabe — Vervox verkauft Ihre personenbezogenen Informationen nicht und teilt sie nicht für kontextübergreifende Verhaltenswerbung
Recht auf Beschränkung der Nutzung sensibler personenbezogener Informationen — wir verwenden keine sensiblen personenbezogenen Informationen für Zwecke, die dieses Recht aktivieren
Recht auf Nichtdiskriminierung — wir diskriminieren Einwohner Kaliforniens nicht ausschließlich aufgrund der Ausübung ihrer CCPA-Rechte, gemäß Cal. Civ. Code §1798.125

11.2 Wie Sie diese ausüben

Wenn Sie ein Vervox-Konto haben, sind die meisten Rechte im Self-Service über den Datenschutz-Bereich Ihrer Kontoeinstellungen zugänglich (siehe Abschnitt 10.1).

Für Anfragen, die nicht im Self-Service möglich sind, oder wenn Sie kein Konto haben, wir aber Ihre Daten als Einwohner Kaliforniens verarbeiten, schreiben Sie an contact@vervox.app mit dem Betreff “California Privacy Request”. Wir antworten innerhalb von 45 Tagen, einmalig verlängerbar um 45 weitere Tage falls erforderlich. Wir können Ihre Identität vor der Antwort überprüfen. Sie können auch den Generalstaatsanwalt von Kalifornien unter oag.ca.gov/privacy/ccpa kontaktieren.

12. BRASILIANISCHE EINWOHNER — LGPD

Nach dem brasilianischen Allgemeinen Datenschutzgesetz (Lei 13.709/2018, LGPD), und im Einklang mit unseren DSGVO-Praktiken, haben brasilianische Einwohner Rechte einschließlich Auskunft, Berichtigung, Anonymisierung/Sperrung/Löschung, Datenübertragbarkeit, Information über Weitergabe und Widerruf der Einwilligung (LGPD Art. 18).

Wenn Sie ein Vervox-Konto haben, sind diese Rechte im Self-Service über den Datenschutz-Bereich Ihrer Kontoeinstellungen zugänglich (siehe Abschnitt 10.1). Für Anfragen, die nicht im Self-Service möglich sind, schreiben Sie an contact@vervox.app mit dem Betreff “LGPD Request”. Wir antworten innerhalb von 15 Tagen wie in LGPD Art. 19 vorgeschrieben.

Encarregado (DPO) — Befreiung: Vervox qualifiziert sich als kleiner Datenverarbeiter gemäß ANPD-Beschluss CD/ANPD 2/2022 und ist von der zwingenden Bestellung eines Encarregado befreit. Bei Datenschutzfragen verwenden Sie bitte die oben angegebene Kontakt-E-Mail.

Sie können auch die brasilianische Nationale Datenschutzbehörde (ANPD) kontaktieren: www.gov.br/anpd.

13. ÄNDERUNG DIESER DATENSCHUTZERKLÄRUNG

Wir können diese Datenschutzerklärung aktualisieren, um Änderungen unserer Verarbeitungen, unserer Auftragsverarbeiter oder des anwendbaren Rechtsrahmens widerzuspiegeln, oder um Bestimmungen zu klarstellen.

13.1 Wesentliche Änderungen

Als wesentlich gelten Änderungen, die einen direkten und erheblichen Effekt haben, indem sie:

eine neue Kategorie erhobener personenbezogener Daten hinzufügen;
einen neuen Auftragsverarbeiter hinzufügen;
bestehende Aufbewahrungsfristen verlängern;
die Rechtsgrundlagen nach Art. 6 DSGVO ändern;
eine internationale Übermittlung in ein Land ohne Angemessenheitsbeschluss einführen;
die Ihnen nach DSGVO zustehenden Rechte einschränken.

Solche Änderungen werden Ihnen vor ihrem Inkrafttreten per E-Mail mitgeteilt, innerhalb eines angemessenen Zeitraums, der an die Art der Änderung angepasst ist, und in jedem Fall mindestens fünfzehn (15) Tage im Voraus. Sie können diesen widersprechen, indem Sie die in Abschnitt 10 vorgesehenen Rechte ausüben.

13.2 Andere Änderungen

Änderungen, die nicht unter Abschnitt 13.1 fallen (insbesondere redaktionelle Korrekturen, Klarstellungen, beschreibende Aktualisierungen im Zusammenhang mit der Weiterentwicklung des Dienstes, betriebliche oder technische Anpassungen ohne Auswirkung auf die Verarbeitung Ihrer Daten), können sofort in Kraft treten und werden auf dieser Seite mit aktualisiertem “Zuletzt aktualisiert”-Datum veröffentlicht.

13.3 Annahme

Die fortgesetzte Nutzung des Dienstes nach dem Datum des Inkrafttretens einer Änderung gilt als Annahme. Mangels Widerspruch per E-Mail an contact@vervox.app vor diesem Datum gelten Sie als die neuen Bedingungen akzeptiert.

14. ANWENDBARES RECHT UND SPRACHE

Diese Datenschutzerklärung unterliegt französischem Recht, unbeschadet der zwingenden lokalen Schutzbestimmungen, die je nach Ihrem Wohnsitzland für Sie gelten (EU-DSGVO, UK GDPR, CCPA/CPRA, LGPD und alle anderen anwendbaren Gesetze).

Im Falle von Diskrepanzen zwischen der deutschen und der französischen Fassung ist die französische Fassung (“Politique de Confidentialité”) als verbindliche Fassung maßgebend.

15. KONTAKT

Bei Fragen:

E-Mail: contact@vervox.app

Diese deutsche Fassung ist eine KI-unterstützte Höflichkeitsübersetzung zur erleichterten internationalen Lektüre. Die französische Fassung (“Politique de Confidentialité”) ist der verbindliche Text und ist im Falle von Diskrepanzen maßgebend.