Datenschutzerklärung

Stand: 15. April 2026

1. Verantwortlicher

Ruslan Spartakov

Deutschhausstraße 23

35037 Marburg

datenschutz@metanovia.de

2. Welche Daten wir erheben

Beim Betrieb der Metanovia-Plattform verarbeiten wir folgende personenbezogene Daten:

Registrierungsdaten: Name, E-Mail-Adresse, Passwort (verschlüsselt), Rolle (Klient:in/Psycholog:in)
Profildaten: Bei Psycholog:innen zusätzlich Titel, Qualifikation, Fachrichtungen, Berufsjahre, Weiterbildungen, therapeutische Ansätze, Kurzbiografie
Sitzungsdaten: Termine, Dauer, Status, Notizen, Nova-Analysen (Zusammenfassung, psychologische Analyse, Interventionsvorschläge, Sitzungsplan)
Zahlungsdaten: Abonnement-Status, Stripe-Kunden-ID (keine Kreditkartendaten — diese verarbeitet ausschließlich Stripe)
Videodaten: Videogespräche werden über Daily.co übertragen und nicht dauerhaft gespeichert
Nachrichten: Nachrichten zwischen Klient:innen und Psycholog:innen werden verschlüsselt in unserer Datenbank gespeichert. Nachrichten werden nicht für Werbezwecke genutzt und sind ausschließlich den Gesprächspartner:innen zugänglich.
Transkriptionsdaten: Während Sitzungen wird das Mikrofon-Audio in Echtzeit an Deepgram zur Spracherkennung übertragen. Das erzeugte Transkript wird pseudonymisiert (Klarnamen werden durch Rollenbezeichnungen ersetzt) und in unserer Datenbank gespeichert. Nach Abschluss der KI-Analyse wird das Transkript automatisch gelöscht.
Technische Daten: IP-Adresse, Browser-Typ, Zugriffszeiten (Server-Logs, 7 Tage)

3. Zweck der Datenverarbeitung

Zweck	Rechtsgrundlage
Bereitstellung der Plattform und Nutzerkonto	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Terminbuchung und Sitzungsverwaltung	Art. 6 Abs. 1 lit. b DSGVO
Verarbeitung von Gesundheitsdaten (Beratungsgespräche)	Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)
Zahlungsabwicklung via Stripe	Art. 6 Abs. 1 lit. b DSGVO
KI-Analyse von Sitzungsinhalten	Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)
Sicherheit und Missbrauchsprävention	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

4. Drittanbieter & Auftragsverarbeiter

Wir setzen folgende Dienste ein, mit denen wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen haben:

Stripe Inc.

Zahlungsabwicklung und Abonnementverwaltung

Standort: USA (EU-Standardvertragsklauseln)

Daily.co (Daily, Inc.)

Videotelefonie für Beratungssitzungen

Standort: USA (EU-Standardvertragsklauseln)

Anthropic, PBC

Nova-KI-Analysen: Zusammenfassung, psychologische Analyse, Interventionsvorschläge und Sitzungsplan (Claude API, pseudonymisierte Daten)

Standort: USA (EU-Standardvertragsklauseln)

Deepgram Inc.

Echtzeit-Spracherkennung und Transkription von Sitzungen

Standort: USA (EU-Standardvertragsklauseln)

Resend Inc.

Transaktionale E-Mails (Buchungsbestätigungen, Benachrichtigungen)

Standort: USA (EU-Region verfügbar, EU-Standardvertragsklauseln)

Turso (ChiselStrike Inc.)

Datenbankhosting

Standort: EU (Ireland, aws-eu-west-1)

Vercel Inc.

Hosting und Auslieferung der Plattform

Standort: USA / EU (wählbar)

5. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Plattform erforderlich sind:

next-auth.session-token: Authentifizierungs-Cookie (Session-Cookie, wird beim Abmelden gelöscht)
next-auth.csrf-token: Schutz vor CSRF-Angriffen

Wir verwenden keine Tracking-, Analyse- oder Marketing-Cookies. Eine Cookie-Einwilligung ist daher für den Grundbetrieb nicht erforderlich.

6. Speicherdauer

Nutzerdaten werden bis zur Löschung des Kontos gespeichert
Nach Kontolöschung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht
Zahlungsdaten unterliegen gesetzlichen Aufbewahrungspflichten (10 Jahre gem. § 147 AO)
Server-Logs werden nach 7 Tagen automatisch gelöscht

7. Ihre Rechte

Gemäß DSGVO haben Sie folgende Rechte:

Art. 15 DSGVOAuskunftsrecht

Art. 16 DSGVORecht auf Berichtigung

Art. 17 DSGVORecht auf Löschung

Art. 18 DSGVORecht auf Einschränkung der Verarbeitung

Art. 20 DSGVORecht auf Datenübertragbarkeit

Art. 21 DSGVOWiderspruchsrecht

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an datenschutz@metanovia.de. Sie haben außerdem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren (Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Wiesbaden).

8. Datensicherheit

Übertragung: Alle Datenübertragungen erfolgen verschlüsselt via TLS/HTTPS.
Passwörter: Werden mit bcrypt (Kostenfaktor 12) gehasht und niemals im Klartext gespeichert.
Nachrichten: Nachrichteninhalte werden vor der Speicherung mit AES-256-GCM serverseitig verschlüsselt. Der Schlüssel wird ausschließlich in der sicheren Server-Umgebung vorgehalten.
Videositzungen: Werden via DTLS-SRTP verschlüsselt übertragen (Daily.co).
Pseudonymisierung: Transkripte werden vor der Übermittlung an KI-Dienste pseudonymisiert — Klarnamen werden durch neutrale Rollenbezeichnungen ersetzt.

Diese Datenschutzerklärung wurde zuletzt am 15. April 2026 aktualisiert. Wir behalten uns vor, diese bei Bedarf anzupassen. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

← Zurück zur Startseite