Datenschutzerklärung
Stand: 01. Januar 2025 · Gültig für amorva.de
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
Amorva Ltd.Registriert in Zypern
E-Mail: privacy@amorva.de
Datenschutzbeauftragter: dpo@amorva.de
2. Erhobene Daten und Zwecke
2.1 Registrierung und Konto
Beim Erstellen eines Kontos erheben wir:
- E-Mail-Adresse — Pflichtfeld, dient der Authentifizierung (Art. 6 Abs. 1 lit. b DSGVO)
- Benutzername — Pflichtfeld, dient der Anzeige
- Passwort (gehasht) — mit bcrypt, Rounds 12; niemals im Klartext gespeichert
- Datum der Zustimmung — für Nachweisspflicht nach Art. 7 Abs. 1 DSGVO
2.2 Nutzungsdaten
- Chat-Verlauf — gespeichert zur Bereitstellung des Dienstes; Grundlage Art. 6 Abs. 1 lit. b DSGVO
- KI-Erinnerungen — automatisch aus Gesprächen extrahierte Schlüsselinformationen; Grundlage Vertragserfüllung
- Generierte Inhalte — Bilder, Audio, Video; 30 Tage nach Erstellung gelöscht oder auf Anfrage sofort
- Token-Transaktionen — für Abrechnungszwecke; Aufbewahrungspflicht 10 Jahre gem. § 257 HGB
2.3 Altersverifikation (AVS)
Wir verwenden Yoti Age Estimation (gesichtsbild-basiert) zur Altersverifikation gemäß § 4 Abs. 2 JMStV. Nach erfolgreicher Verifikation wird:
- Nur das Ergebnis (18+ / unter 18) und der Zeitstempel gespeichert
- Kein Bild, kein Dokument dauerhaft aufbewahrt
- Die Verarbeitung basiert auf Art. 9 Abs. 2 lit. g DSGVO (Schutz lebenswichtiger Interessen Dritter)
Weitere Informationen: Yoti Privacy Policy
2.4 Zahlungsdaten
Zahlungen werden ausschließlich über CCBill und Epoch abgewickelt. AMORVA erhält keine Kreditkartendaten. Es werden nur Transaktions-IDs und Zahlungsstatus gespeichert. Grundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.5 Technische Logs
- IP-Adresse und Zeitstempel — für Sicherheit und Missbrauchsschutz (7 Tage)
- CSAM-Ereignislogs — aufbewahrt für gesetzliche Meldepflichten (NCMEC)
3. Weitergabe an Dritte
Wir geben personenbezogene Daten nur in folgenden Fällen weiter:
- Supabase (EU-Region) — Datenbankdienstleister; Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen
- Featherless.ai — LLM-Dienstleister; verarbeitet Chat-Inhalte; kein Training auf Nutzerdaten lt. Vertrag
- ElevenLabs — Audio-Generierung; Verarbeitung von Text-Eingaben
- AtlasCloud / fal.ai — Bild- und Video-Generierung
- Yoti — Altersverifikation; verarbeitet Gesichtsbilder; DSGVO-konform nach Eigenerklärung
- NCMEC — Pflichtmeldung bei CSAM-Verdacht nach § 5 Abs. 1 NetzDG
- Behörden — wenn gesetzlich verpflichtet
Kein Verkauf von Daten an Dritte. Kein Einsatz zu Werbezwecken durch Dritte.
4. KI-generierte Inhalte (EU AI Act)
AMORVA nutzt KI-Systeme zur Erzeugung von Texten, Bildern, Audio und Video. Gemäß Art. 50 Abs. 2 EU AI Act (Verordnung (EU) 2024/1689) kennzeichnen wir:
- Alle Charaktere als KI-generiert — sie repräsentieren keine echten Personen
- Generierte Bilder und Videos mit C2PA-Metadaten (ab 02.11.2026 verpflichtend)
- KI-Urheberschaftshinweis auf allen Inhaltsseiten
5. Speicherdauer
| Datenkategorie | Aufbewahrungsdauer |
|---|---|
| Kontodaten (aktiv) | Bis zur Löschung durch Nutzer |
| Chat-Verläufe | Bis zur Kontolöschung oder Anfrage |
| Generierte Inhalte | 30 Tage, dann automatisch gelöscht |
| Token-Transaktionen | 10 Jahre (§ 257 HGB) |
| AVS-Ergebnis | Bis zur Kontolöschung |
| IP-Logs | 7 Tage |
| CSAM-Logs | Dauerhaft (Meldepflicht) |
6. Deine Rechte (Art. 15–22 DSGVO)
- Auskunftsrecht (Art. 15) — Anfrage an privacy@amorva.de
- Berichtigungsrecht (Art. 16) — Direkt im Profil oder per E-Mail
- Recht auf Löschung (Art. 17) — Konto in den Profil-Einstellungen löschen; alle Daten werden sofort entfernt, ausgenommen gesetzliche Aufbewahrungspflichten
- Datenübertragbarkeit (Art. 20) — Auf Anfrage per E-Mail in 30 Tagen
- Widerspruchsrecht (Art. 21) — Für berechtigte Interessen jederzeit widerrufbar
- Widerruf der Einwilligung (Art. 7 Abs. 3) — Für einwilligungsbasierte Verarbeitungen jederzeit ohne Angabe von Gründen
Wenn du der Ansicht bist, dass wir deine Rechte verletzt haben, kannst du dich an die zuständige Datenschutzbehörde wenden. Für Nutzer in Deutschland: BfDI.
7. Cookies und Tracking
AMORVA verwendet keine Tracking-Cookies von Drittanbietern. Wir verwenden ausschließlich technisch notwendige Speichertechnologien:
localStorage: Sitzungstoken und Nutzerprofil (keine Ablaufzeit außer Logout)
Kein Google Analytics. Kein Facebook Pixel. Kein Retargeting.
8. Datensicherheit
- TLS 1.3 für alle Verbindungen
- Passwörter mit bcrypt (Rounds 12) gehasht
- JWT-Authentifizierung; Tokens ablaufen nach 7 Tagen
- Row-Level-Security in Supabase
- CSAM-Schutz: Keyword-Filter + KI-Intent-Prüfung + Moderations-API
9. Änderungen dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung bei wesentlichen Änderungen zu aktualisieren. Registrierte Nutzer werden per E-Mail informiert. Das Datum der letzten Änderung steht oben.