Datenschutzerklärung
Diese Datenschutzerklärung beschreibt, welche Informationen CRTX erhebt, warum wir sie erheben, wer sie in unserem Auftrag verarbeitet und welche Wahlmöglichkeiten und Rechte du hast. Bitte lies sie sorgfältig durch. Mit der Nutzung von CRTX erklärst du dich mit den hier beschriebenen Praktiken einverstanden.
1. Wer wir sind
CRTX wird betrieben von Lars Janssen, Dr.-Klaus-Kopfermann-Weg 8, 85521 Ottobrunn, Deutschland. Erreichbar sind wir unter privacy@crtx.live.
Für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum, im Vereinigten Königreich und in der Schweiz sind wir der datenschutzrechtlich Verantwortliche für die im Folgenden beschriebene Verarbeitung.
2. Welche Daten wir erheben
Kontoinformationen
Wenn du ein Konto erstellst, erheben wir:
- Deine E-Mail-Adresse (oder, falls du dich mit Apple über eine private Relay-Adresse anmeldest, die von Apple bereitgestellte Relay-Adresse).
- Deinen Anzeigenamen, sofern du einen festlegst.
- Eine von uns generierte anonyme Nutzerkennung.
Inhalte, die du speicherst
CRTX ist ein Werkzeug für persönliches und geteiltes Wissen. Die Inhalte, die du speicherst, bilden den Kern des Produkts. Dazu gehören:
- Textnotizen, einschließlich Notizen, die du per Sprache aufnimmst (wir transkribieren das Audio).
- Audiodateien, die du importierst, sowie die daraus erzeugten Transkripte.
- Bilder und die Beschreibungen, die unsere KI dazu generiert.
- PDFs und der von uns extrahierte Text.
- URLs, die du speicherst, sowie die KI-generierten Zusammenfassungen.
- Aufgaben, die du erstellst, und die daran angehängten Notizen.
- Personen, die du hinzufügst oder aus deinen Gerätekontakten importierst, einschließlich Namen, Geburtstage sowie Notizen oder Beziehungen, die du festlegst.
- Pool-Namen und Farbauswahl.
- Unterhaltungen mit dem In-App-Hilfe-Assistenten („Cora").
Geräte- und technische Informationen
Zur Bereitstellung des Dienstes erheben wir:
- Einen Push-Benachrichtigungs-Token, damit wir Erinnerungen und Benachrichtigungen an dein Gerät senden können.
- Ungefähre Anfragemetadaten wie IP-Adresse und Zeitstempel zur Begrenzung der Anfragerate und zur Missbrauchsprävention.
- Absturz- und Leistungsdaten, wenn du dich über TestFlight oder den App Store dafür entschieden hast, diese zu teilen.
Kontakte (optional)
Wenn du CRTX Zugriff auf deine Gerätekontakte gewährst, lesen wir Namen, Kontaktkennungen und Geburtstage, damit wir die von dir erwähnten Personen mit deinen bestehenden Kontakten abgleichen und dich an Geburtstage erinnern können. Dein gesamtes Adressbuch wird nicht hochgeladen; wir synchronisieren nur so viel, wie für den Abgleich nötig ist.
Standort (optional)
Wenn du CRTX Zugriff auf deinen Standort gewährst, hängen wir Längen- und Breitengrad an die Notiz an, an dem sie aufgezeichnet wurde, damit du dich später erinnern kannst, wo etwas passiert ist. Du kannst die Standorterfassung jederzeit in den Einstellungen deines Geräts deaktivieren.
Was wir nicht erheben
Wir erheben nicht:
- Werbe-IDs (IDFA).
- Browserverlauf außerhalb von CRTX.
- Gesundheits-, Fitness- oder Finanzdaten.
- Informationen, die dich gegenüber Werbenetzwerken identifizieren. CRTX zeigt keine Werbung und gibt keine Daten an Werbetreibende weiter.
3. Wofür wir diese Informationen nutzen
| Zweck | Verwendete Daten |
|---|---|
| Betrieb des Dienstes (Speicherung deiner Inhalte, Anmeldung, Synchronisation zwischen deinen Geräten) | Kontoinformationen, gespeicherte Inhalte, Geräte-Tokens |
| KI-Funktionen (Suche, Zusammenfassung, Transkription, vorgeschlagene Beschriftungen, der Hilfe-Assistent Cora) | Gespeicherte Inhalte, Suchanfragen |
| Zuordnung erwähnter Personen zu deinen Kontakten | Kontakte (sofern erlaubt) |
| Erinnerung an den Ort, an dem Notizen aufgezeichnet wurden | Standort (sofern erlaubt) |
| Senden von Erinnerungen und Benachrichtigungen | Push-Token, Kontoinformationen |
| Begrenzung der Anfragerate und Missbrauchsprävention | IP-Adresse, Zeitstempel |
| Diagnose von Abstürzen und Fehlern | Diagnosedaten (sofern aktiviert) |
Unsere Rechtsgrundlage nach DSGVO ist die Vertragserfüllung zum Betrieb des Dienstes, deine Einwilligung für optionale Funktionen (Kontakte, Standort, Push-Benachrichtigungen, Diagnose) und unsere berechtigten Interessen an der Missbrauchsprävention und dem Schutz des Dienstes.
4. Drittanbieter (Auftragsverarbeiter)
Wir arbeiten mit den folgenden Dienstleistern zusammen. Jeder verarbeitet deine Daten ausschließlich nach unseren Weisungen und auf Grundlage schriftlicher Vereinbarungen. Einige sitzen außerhalb des EWR; Übermittlungen stützen sich auf EU-Standardvertragsklauseln oder gleichwertige Schutzmaßnahmen.
| Anbieter | Funktion | Erhaltene Daten |
|---|---|---|
| Supabase, Inc. (USA) | Datenbank, Dateispeicher, Authentifizierung | Alle gespeicherten Inhalte, Kontoinformationen |
| Vercel, Inc. (USA) | Anwendungs-Hosting, Anfrage-Logs | Anfragemetadaten, vorübergehender Zugriff auf Inhalte während der Bearbeitung |
| Anthropic, PBC (USA) | KI-Modell für Abruf, den Hilfe-Assistenten Cora und Inhaltsvorschläge | Der Textinhalt deiner Anfragen und der relevanten abgerufenen Elemente |
| Voyage AI, Inc. (USA) | Erstellt den Suchindex („Embeddings"), der dem Abruf zugrunde liegt | Der Textinhalt von Elementen und Anfragen |
| Google LLC (USA) | Transkribiert deine Sprach- und Audioaufnahmen über die Gemini-API; extrahiert Text aus PDFs und Bildern | Audiodateien, PDFs und Bilder, die zur Verarbeitung übermittelt werden |
| Supadata Ltd. (UK) | Ruft Transkripte für gespeicherte YouTube-URLs ab | Übermittelte URLs |
| Upstash, Inc. (USA) | Begrenzung der Anfragerate | Ein anonymisierter Anfrageschlüssel |
| Apple, Inc. (USA) | Zustellung von Push-Benachrichtigungen | Push-Tokens, Benachrichtigungsinhalte |
Wir verkaufen deine Daten nicht und geben sie an keine anderen Parteien weiter als die hier genannten.
5. Wo deine Daten gespeichert werden
Deine Kontoinformationen und gespeicherten Inhalte werden in Datenbanken gespeichert, die von Supabase in der EU-Region (Irland) betrieben werden. Datei-Uploads (PDFs, Bilder, Audio) werden in Supabase Storage in derselben Region gespeichert. Logs werden bei Vercel nur vorübergehend aufbewahrt.
Daten werden bei der Übertragung durch HTTPS und bei der Speicherung durch Supabase auf Speicherebene verschlüsselt. CRTX ist nicht Ende-zu-Ende-verschlüsselt: Supabase als unser Datenbankbetreiber sowie die CRTX-Betreiber haben technischen Zugriff auf die Inhalte, um den Dienst zu betreiben, Support zu leisten und Missbrauch zu verhindern.
Einige in Abschnitt 4 aufgeführte Auftragsverarbeiter befinden sich in den Vereinigten Staaten; an sie übermittelte Daten sind während der Antwortgenerierung in Übertragung und unterliegen unseren Vereinbarungen mit ihnen, die – soweit anwendbar – EU-Standardvertragsklauseln umfassen.
6. Speicherdauer
Wir speichern deine Inhalte, solange dein Konto aktiv ist. Im Einzelnen:
- Gespeicherte Elemente, Aufgaben, Personen, Pools: bis du sie löschst oder dein Konto löschst.
- Cora-Hilfe-Unterhaltungen: 30 Tage, danach automatische Löschung.
- Fehlgeschlagene Upload-Datensätze: automatische Löschung innerhalb von etwa 45 Minuten nach dem Fehlschlag.
- Audiodateien zur Transkription: das Transkript wird behalten; das Original-Audio wird nach der Transkription gelöscht, es sei denn, du hast es als abspielbares Audio-Element importiert – dann bleibt es bis zur Löschung des Elements erhalten.
- Server-Logs: Es gelten die Standard-Aufbewahrungsfristen von Vercel (in der Regel kurz, im Bereich von Tagen).
- Push-Tokens: bis zur Abmeldung oder Deinstallation der App.
Wenn du dein Konto löschst (Einstellungen → Konto löschen), entfernen wir deinen Kontoeintrag, deine gespeicherten Inhalte, deine Datei-Uploads, deine Cora-Unterhaltungen und deine Push-Tokens dauerhaft.
7. Kinder
CRTX richtet sich nicht an Kinder unter 16 Jahren (oder das in deiner Rechtsordnung geltende Mindestalter). Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Wenn du der Meinung bist, dass ein Kind uns personenbezogene Daten übermittelt hat, kontaktiere uns und wir werden sie löschen.
8. Deine Rechte
Wenn du im EWR, im Vereinigten Königreich oder in der Schweiz lebst, hast du das Recht auf:
- Auskunft über die personenbezogenen Daten, die wir über dich gespeichert haben.
- Berichtigung unrichtiger oder unvollständiger personenbezogener Daten.
- Löschung deiner personenbezogenen Daten (die Option „Konto löschen" in der App erledigt das; du kannst uns auch eine E-Mail schreiben).
- Einschränkung oder Widerspruch gegen bestimmte Verarbeitungen.
- Datenübertragbarkeit – Erhalt deiner Daten in einem strukturierten, maschinenlesbaren Format.
- Widerruf der Einwilligung für optionale Funktionen jederzeit.
- Beschwerde bei deiner zuständigen Datenschutzbehörde.
Um eines dieser Rechte auszuüben, schreibe an privacy@crtx.live. Wir antworten innerhalb eines Monats.
Einwohnerinnen und Einwohner von Kalifornien, Virginia, Colorado, Connecticut und anderen US-Bundesstaaten mit vergleichbaren Datenschutzgesetzen haben ähnliche Rechte, einschließlich des Rechts zu erfahren, was wir erheben, und des Rechts auf Löschung. Schreibe an dieselbe Adresse, um sie auszuüben.
9. Sicherheit
Wir verwenden HTTPS für den gesamten Datenverkehr. Authentifizierungs-Tokens auf deinem Gerät werden im iOS-Schlüsselbund gespeichert und sind nicht in iCloud- oder iTunes-Backups enthalten. Datenbankinhalte werden von Supabase ruhend verschlüsselt. Wir beschränken den internen Zugriff auf Produktionssysteme auf eine kleine Anzahl von Personen, die ihn zum Betrieb des Dienstes benötigen.
Kein System ist vollständig sicher. Wenn du auf ein Sicherheitsproblem aufmerksam wirst, schreibe bitte an privacy@crtx.live.
10. Änderungen dieser Erklärung
Bei wesentlichen Änderungen informieren wir dich vor deren Inkrafttreten in der App oder per E-Mail. Das Datum „Zuletzt aktualisiert" am Anfang dieser Erklärung gibt die jüngste Änderung an.
11. Kontakt
Bei Fragen zum Datenschutz schreibe an privacy@crtx.live oder an:
Lars Janssen
Dr.-Klaus-Kopfermann-Weg 8
85521 Ottobrunn
Deutschland