Datenschutzerklärung

Stand: 25. März 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Spokest UG (haftungsbeschränkt)
Heubaumweg 21
91056 Erlangen
Deutschland

Handelsregister: Amtsgericht Fürth, HRB 22016
Geschäftsführer: Phu Le
E-Mail: privacy@spokest.com

Datenschutzbeauftragter

Aufgrund der Unternehmensgröße ist die Bestellung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO i.V.m. § 38 BDSG derzeit nicht erforderlich. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an: privacy@spokest.com

2. Datenschutz auf einen Blick

Spokest ist ein persönlicher KI-Begleiter („AI Brain“), der sich Ihre Gespräche und Erinnerungen merkt. Wir nehmen den Schutz Ihrer Daten äußerst ernst. Hier die wichtigsten Punkte:

• Ihre Erinnerungen werden mit Ihrem persönlichen Schlüssel verschlüsselt. Selbst unsere Server können Ihre Daten im Ruhezustand nicht lesen (AES-256 Per-User-Verschlüsselung).
• Keine Cookies, kein Tracking. Wir verwenden keine Cookies, keine Analysetools und keine Werbung.
• Echtzeit-Backup auf Ihr Google Drive. Sie haben immer eine eigene verschlüsselte Kopie Ihrer Daten.
• Alle Server in Deutschland. Ihre Daten verlassen Deutschland nur für die flüchtige Verarbeitung bei AWS Frankfurt (Embedding-Berechnung) und OpenAI (Gesprächsverarbeitung) - ohne dauerhafte Speicherung.
• Volle DSGVO-Rechte. Sie können Ihre Daten jederzeit einsehen, exportieren oder löschen.

3. Welche Daten wir erheben

3.1 Kontodaten

Bei der Registrierung erheben wir:

• Name
• E-Mail-Adresse
• Passwort (nur als kryptografischer Hash gespeichert - wir kennen Ihr Passwort nicht)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.2 Gesprächserinnerungen („Brain Data“)

Wenn Sie mit Ihrem Spokest-Gehirn interagieren (z. B. über Telegram, WhatsApp, Discord oder Slack), werden Ihre Nachrichten und die daraus abgeleiteten Erinnerungen, Konsolidierungen und Erkenntnisse gespeichert. Dies umfasst:

• Gesprächsnachrichten und deren Kontext
• Automatisch extrahierte Erinnerungen und Fakten
• Konsolidierungen (Sitzungszusammenfassungen, Tageszusammenfassungen, Wochenzusammenfassungen, Monatszusammenfassungen, Jahreszusammenfassungen)
• Kognitives Profil (Denkstile, Entscheidungsmuster, Stärken)
• Persönlichkeitsanalyse
• Beziehungsgraphen zwischen Erinnerungen (Entitäten, Themen, zeitliche Verknüpfungen)

Alle Gehirndaten werden mit Ihrem persönlichen AES-256-Schlüssel verschlüsselt. Ihr persönlicher Verschlüsselungsschlüssel schützt Ihre Daten. Ohne Ihren Schlüssel sind die gespeicherten Daten unlesbar - auch für uns.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung - die Speicherung von Erinnerungen ist der Kern des Dienstes).

3.3 Zahlungsdaten

Zahlungen werden ausschließlich über Stripe und PayPal abgewickelt. Wir speichern:

• Abonnement-Status (aktiv, gekndigt, Testphase)
• Gewählter Tarif und Abrechnungszeitraum
• Zahlungsmethode (nur Typ und letzte 4 Ziffern - niemals vollständige Kartennummern)
• Transaktions-IDs für die Zuordnung

Vollständige Zahlungsinformationen (Kartennummern, Bankdaten) werden nur von Stripe bzw. PayPal verarbeitet und niemals auf unseren Servern gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.4 Technische Daten beim Websitebesuch

Beim Besuch unserer Website werden automatisch erhoben:

• IP-Adresse (anonymisiert)
• Browsertyp und -version
• Betriebssystem
• Referrer-URL
• Zeitpunkt des Zugriffs

Diese Daten werden für den technischen Betrieb und die Sicherheit der Website benötigt und nach 7 Tagen gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Funktionsfähigkeit der Website).

4. Wie wir Ihre Daten speichern und schützen

4.1 Per-User-Verschlüsselung

Ihre Gehirndaten (Erinnerungen, kognitives Profil, Konsolidierungen) werden mit Ihrem persönlichen AES-256-Schlüssel im Ruhezustand verschlüsselt. Ihr persönlicher Verschlüsselungsschlüssel schützt Ihre Daten. Die Entschlüsselung erfolgt nur bei autorisiertem Zugriff.

Das bedeutet: Selbst unsere Server können Ihre Daten im Ruhezustand nicht lesen. Kein Spokest-Mitarbeiter hat Zugang zu Ihren Erinnerungen im Klartext.

4.2 Infrastruktur

Ihre verschlüsselten Daten werden auf dedizierten Servern eines europäischen Cloud-Infrastruktur-Anbieters in Deutschland gespeichert (mit strikter Datentrennung). Jeder Nutzer ist logisch isoliert - Sie können nur auf Ihre eigenen Daten zugreifen.

Kontodaten (E-Mail, Name, Abonnement-Status) werden in einer separaten Datenbank auf der gleichen Infrastruktur gespeichert.

4.3 Echtzeit-Backup auf Ihr Google Drive

Spokest erstellt automatisch verschlüsselte Echtzeit-Sicherungen Ihrer Gehirndaten auf Ihr persönliches Google Drive. Die Backup-Dateien sind mit Ihrem persönlichen Schlüssel verschlüsselt und ohne diesen nicht lesbar. Sie behalten diese Sicherungen auch nach Beendigung Ihres Spokest-Abonnements.

5. Auftragsverarbeiter (Sub-Processors)

Für die Erbringung unseres Dienstes arbeiten wir mit folgenden Auftragsverarbeitern zusammen:

Dienstleister	Zweck	Verarbeitete Daten	Standort
Hetzner Online GmbH	Hosting der Shared Infrastructure (dedizierte Server)	Verschlüsselte Datenblöcke - Klartext für Hetzner nicht zugänglich	Deutschland
Amazon Web Services (Cloud-Computing)	Berechnung von Vektoreinbettungen für semantische Suche in Erinnerungen	Erinnerungstext (flüchtig - hardwaregeschützte Datenverarbeitung mit Zero Data Retention)	Frankfurt, Deutschland
OpenAI	OpenAI-Sprachmodelle für Gesprächsverarbeitung und Erinnerungsextraktion	Gesprächsinhalte (flüchtig - nicht von OpenAI gespeichert, keine Nutzung für Modelltraining)	EU / USA (Data Processing Addendum)
Stripe	Zahlungsabwicklung	E-Mail, Zahlungsmethode, Transaktionsdaten	EU / USA (SCC)
PayPal	Zahlungsabwicklung	E-Mail, Zahlungsmethode, Transaktionsdaten	EU / USA (SCC)
Google (Drive API)	Echtzeit-verschlüsseltes Backup auf das Google Drive des Nutzers	Verschlüsselte Backup-Dateien (ohne Nutzerschlüssel nicht lesbar)	EU / USA (SCC)

Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Für Datentransfers außerhalb des EWR setzen wir auf Standardvertragsklauseln (SCC) und/oder Angemessenheitsbeschlüsse der EU-Kommission.

Flüchtige Verarbeitung bei AWS und OpenAI

Die Verarbeitung bei AWS (Embedding-Berechnung) und OpenAI (Gesprächsverarbeitung) erfolgt ausschließlich flüchtig (transient). Das bedeutet:

• Ihre Daten werden nur für die Dauer der Berechnung im Arbeitsspeicher gehalten
• Nach Abschluss der Verarbeitung werden keine Kopien gespeichert
• Ihre Daten werden nicht für das Training von KI-Modellen verwendet
• Bei AWS ist die Zero-Data-Retention hardwaregeschützt durchgesetzt

6. Speicherdauer

Datenkategorie	Speicherdauer
Kontodaten (E-Mail, Name, Passwort-Hash)	Solange Ihr Konto besteht. Nach Kontolöschung innerhalb von 30 Tagen gelöscht, soweit keine gesetzliche Aufbewahrungspflicht besteht.
Gehirndaten (Erinnerungen, Profil, Konsolidierungen)	Verschlüsselt gespeichert, solange Ihr Konto aktiv ist (einschließlich Lesemodus nach Testphase/Kündigung). Bei Kontolöschung unwiderruflich gelöscht.
Zahlungsdaten	Gemäß handels- und steuerrechtlichen Aufbewahrungspflichten bis zu 10 Jahre (§ 147 AO, § 257 HGB).
Technische Server-Logs	7 Tage, danach automatisch gelöscht.
Google Drive Backups	Verbleiben auf Ihrem persönlichen Google Drive und unterliegen Ihrer Kontrolle. Werden nicht von Spokest gelöscht.

7. Kognitives Profiling (Art. 22 DSGVO)

Spokest erstellt auf Basis Ihrer Gespräche ein kognitives Profil. Dieses Profil dient ausschließlich der Personalisierung Ihrer Erfahrung und wird niemals für automatisierte Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung verwendet.

Was wird analysiert?

• Denkstile und kognitive Muster (z. B. analytisch, kreativ, strukturiert)
• Entscheidungsmuster und -präferenzen
• Kommunikationsstil und -vorlieben
• Stärken und Entwicklungsbereiche

Wie funktioniert es?

Die KI analysiert Ihre gespeicherten Erinnerungen und Gesprächsverläufe, um Muster in Ihrem Denken und Kommunizieren zu erkennen. Die Analyse erfolgt automatisiert durch künstliche Intelligenz.

Zweck

Das kognitive Profil wird ausschließlich verwendet, um Ihnen personalisiertere und relevantere Antworten zu geben. Es werden keine automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung auf Basis dieses Profils getroffen (Art. 22 Abs. 1 DSGVO).

Ihre Rechte bezüglich des Profilings

• Auskunft: Sie können jederzeit Einsicht in Ihr kognitives Profil verlangen
• Widerspruch: Sie können dem Profiling jederzeit widersprechen (Art. 21 DSGVO)
• Löschung: Sie können die Löschung Ihres kognitiven Profils verlangen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung - die Personalisierung ist Kernbestandteil des Dienstes).

8. Erforderlichkeit der Datenbereitstellung (Art. 13 Abs. 2 lit. e DSGVO)

Die Bereitstellung Ihrer personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Sie sind nicht verpflichtet, personenbezogene Daten bereitzustellen. Allerdings ist die Bereitstellung bestimmter Daten (Name, E-Mail-Adresse, Gesprächsinhalte) für die Nutzung des Dienstes erforderlich. Ohne diese Daten können wir den Dienst nicht erbringen.

9. Künstliche Intelligenz

Spokest nutzt künstliche Intelligenz zur Erbringung seines Kerndienstes. Wenn Sie mit Spokest interagieren, werden Ihre Nachrichten von KI-Systemen verarbeitet, um Antworten zu generieren und Ihr persönliches Gedächtnis aufzubauen. Ihre Daten werden verschlüsselt, sicher gespeichert und ausschließlich Ihrem Konto zugeordnet. Kein anderer Nutzer kann auf Ihre Informationen zugreifen. Sie können Ihre Daten jederzeit über Ihre Kontoeinstellungen exportieren oder löschen. Mit der Nutzung von Spokest nehmen Sie zur Kenntnis, dass KI-Technologie den Dienst betreibt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Informationen zur automatisierten Verarbeitung finden Sie auch in Abschnitt 7 (Kognitives Profiling) und Abschnitt 10 (EU AI Act Transparenzhinweis).

10. Transparenzhinweis gemäß EU AI Act (Art. 50)

Gemäß der EU-Verordnung über künstliche Intelligenz (EU AI Act, Verordnung (EU) 2024/1689) informieren wir Sie über Folgendes:

• KI-System: Sie interagieren bei der Nutzung von Spokest mit einem KI-System. Alle Antworten, Analysen, Zusammenfassungen und Einsichten werden von künstlicher Intelligenz generiert, nicht von einem Menschen.
• KI-generierte Inhalte: Kognitive Profile, Persönlichkeitsanalysen, Zusammenfassungen und alle anderen von Spokest erstellten Inhalte sind KI-generiert und können ungenau oder unvollständig sein. Sie stellen keine professionelle Beratung dar.
• Keine Emotionserkennung: Spokest führt keine Emotionserkennung im Sinne des EU AI Act durch. Die kognitive Profilanalyse basiert auf langfristigen Gesprächsmustern, nicht auf Echtzeit-Emotionserkennung.
• Kennzeichnung: Alle von Spokest generierten Inhalte werden im Nutzerinterface als KI-generiert gekennzeichnet.

11. Cookies und Tracking

Spokest verwendet keine Cookies. Wir setzen keine Analyse-Tools, kein Werbetracking und keine Social-Media-Plugins ein.

Für die Schriftdarstellung verwenden wir die Schriftart Inter. Wir hosten alle Schriftarten selbst. Es werden keine Daten an Google übertragen.

12. Ihre Rechte

Als betroffene Person haben Sie gemäß DSGVO folgende Rechte:

Recht	Beschreibung	DSGVO
Auskunft	Sie können jederzeit Auskunft über die bei uns gespeicherten personenbezogenen Daten verlangen.	Art. 15
Berichtigung	Sie haben das Recht, unrichtige Daten berichtigen zu lassen.	Art. 16
Löschung	Sie können die Löschung Ihrer Daten verlangen („Recht auf Vergessenwerden“). Bei Kontolöschung werden alle Gehirndaten unwiderruflich gelöscht.	Art. 17
Einschränkung	Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.	Art. 18
Datenübertragbarkeit	Sie haben das Recht, Ihre Daten in einem maschinenlesbaren Format (JSON) zu exportieren. Das Echtzeit-Backup auf Google Drive stellt dies zusätzlich automatisch sicher.	Art. 20
Widerspruch	Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen, wenn diese auf berechtigten Interessen basiert.	Art. 21
Widerruf der Einwilligung	Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.	Art. 7 Abs. 3

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: privacy@spokest.com

Wir bearbeiten Ihre Anfrage innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).

13. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

• Per-User AES-256 Verschlüsselung: Jeder Nutzer hat einen eigenen Verschlüsselungsschlüssel
• TLS/HTTPS: Alle Datenübertragungen sind verschlüsselt (TLS 1.3)
• HSTS: Strict Transport Security mit Preload
• Mandantentrennung: Logische Isolation aller Nutzerdaten auf Datenbankebene
• Passwort-Hashing: Sichere kryptografische Hashfunktion (kein Klartext)
• Security Headers: Branchenübliche Sicherheitsheader
• Sanitisierte Logs: Erinnerungsinhalte erscheinen niemals in Server-Logs
• Regelmäßige Sicherheitsüberprüfungen: Automatisierte DSGVO-Compliance-Audits

14. Datenübermittlung in Drittländer

Ihre Gehirndaten werden primär auf Servern in Deutschland verarbeitet und gespeichert. Eine Übermittlung in Drittländer außerhalb des EWR erfolgt nur in folgenden Fällen:

• OpenAI (USA): Flüchtige Gesprächsverarbeitung. Absicherung durch EU-Standardvertragsklauseln (SCC) und Data Processing Addendum.
• Stripe / PayPal (USA): Zahlungsabwicklung. Absicherung durch SCC und ggf. EU-US Data Privacy Framework.
• Google (USA): Google Drive Backup (nur verschlüsselte Daten, die ohne Ihren Schlüssel nicht lesbar sind).

Die Übermittlung an AWS erfolgt innerhalb der EU (Frankfurt, Deutschland).

15. Minderjährige

Spokest richtet sich an Personen ab 16 Jahren. Wir erheben wissentlich keine Daten von Personen unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass eine Person unter 16 Jahren ein Konto erstellt hat, werden wir dieses Konto und alle zugehörigen Daten umgehend löschen.

16. Aufsichtsbehörde

Ihnen steht ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde zu:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland
Telefon: +49 (0) 981 180093-0
E-Mail: poststelle@lda.bayern.de
Website: www.lda.bayern.de

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.

18. Kontakt

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte erreichen Sie uns unter:

Spokest UG (haftungsbeschränkt)
Heubaumweg 21
91056 Erlangen
Deutschland

E-Mail: privacy@spokest.com
Allgemeine Anfragen: hello@spokest.com

← Zurück zur Startseite