Datenschutzerklärung
Stand: 16. Juli 2026 · ManyMe (manyme.net)
Diese Datenschutzerklärung informiert dich gemäß Art. 13 und Art. 14 der Datenschutz-Grundverordnung (DSGVO) sowie den ergänzenden Vorschriften des Bundesdatenschutzgesetzes (BDSG) über die Verarbeitung personenbezogener Daten bei Nutzung von ManyMe.
1. Verantwortlicher
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist der Betreiber von ManyMe. Name, ladungsfähige Anschrift und Kontaktmöglichkeiten entnimmst du dem Impressum.
Hinweis: Solange im Impressum noch Platzhalter für Betreiber und Anschrift stehen, ist die Verantwortlichenangabe unvollständig. Vor dem Produktivbetrieb mit echten Nutzer:innen müssen Impressum und diese Erklärung mit vollständigen Angaben ergänzt werden.
Eine:n Datenschutzbeauftragte:n haben wir derzeit nicht benannt (Art. 37 DSGVO greift nicht zwingend). Anfragen zum Datenschutz richte bitte an die im Impressum genannte Kontaktadresse.
2. Gegenstand und Zweck der Verarbeitung
ManyMe ist ein digitales Reflexionswerkzeug: Du kannst innere Stimmen in einem moderierten Meeting sortieren und einen Handschlag (Resolution) festhalten. ManyMe ist kein Medizinprodukt, stellt keine Diagnose und ersetzt keine Therapie oder ärztliche/psychotherapeutische Behandlung.
Wir verarbeiten personenbezogene Daten, um:
- dein Nutzerkonto zu führen und dich anzumelden,
- Meetings, Stimmen, Handschläge und optionale Übungen bereitzustellen und zu speichern,
- KI-gestützte Moderation und Vorschläge über OpenRouter zu ermöglichen,
- optional Erinnerungen an offene Meetings und freiwillige Unterstützungszahlungen zuzuordnen,
- gesetzliche Betroffenenrechte (Auskunft, Export, Löschung) zu erfüllen und die IT-Sicherheit zu gewährleisten.
3. Rechtsgrundlagen
Je nach Verarbeitungsvorgang stützen wir uns auf folgende Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO — Verarbeitung zur Erfüllung des Nutzungsvertrags bzw. zur Durchführung vorvertraglicher Maßnahmen (Konto, Meeting, Speicherung deiner Inhalte, KI-Funktionen als Kernleistung).
- Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO — ausdrückliche Einwilligung, soweit du freiwillig Inhalte eingibst, die besondere Kategorien personenbezogener Daten (z. B. Gesundheitsbezüge, psychische Belastungen) enthalten können, und soweit optionale Funktionen (z. B. Meeting-Erinnerungen, Spracheingabe im Browser) betroffen sind.
- Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an IT-Sicherheit, Missbrauchsprävention (z. B. Rate Limiting) und Zuordnung freiwilliger Unterstützungszahlungen, soweit nicht deine Interessen überwiegen.
- Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen (z. B. Bearbeitung von Betroffenenanfragen; ggf. steuerliche Aufbewahrung von Zahlungsnachweisen).
Eine Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen (z. B. per E-Mail an die Impressums-Adresse oder durch Kontolöschung). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt (Art. 7 Abs. 3 DSGVO).
4. Kategorien der verarbeiteten Daten
4.1 Kontodaten und Authentifizierung
- E-Mail-Adresse (Pflicht)
- Name (optional)
- Passwort nur als bcrypt-Hash (kein Klartext)
- Technischer Status: Rolle, Onboarding, Supporter-Flag, Einwilligungszeitpunkt
- Sitzungsinformationen (JWT-Session-Cookie von Auth.js / NextAuth)
Zweck: Registrierung, Login, Zugriffsschutz. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Session-Cookie als technisch erforderlich für den Login.
4.2 Meeting-, Chat- und Handschlag-Inhalte
- Meeting-Thema/Titel, Status, Modus, Zeitstempel
- Chat-Nachrichten und Moderationsbeiträge (in der Datenbank verschlüsselt: AES-256-GCM)
- Resolutions / Handschlag-Zusammenfassungen (verschlüsselt)
- Stimmen-Metadaten (Name, Farbe, Slug, optionale Beschreibung)
- Optionale Hinweise zu Denkmustern (Typ; Beschreibung verschlüsselt at rest)
Zweck: Kernfunktion des inneren Meetings und Speicherung deines Handschlags. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; soweit besondere Kategorien betroffen sind zusätzlich Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung bei Registrierung und durch freiwillige Eingabe).
4.3 Stimmung, Übungen, Memory
- Optionale Stimmungs-Snapshots (Skala 1–5, optional verschlüsselter Freitext)
- Spiegel-/Übungsdaten (Titel/Typ; Inhalt verschlüsselt, soweit vorhanden)
- Memory-Snippets für die persönliche Wiedererkennung früherer Beschlüsse (verschlüsselter Kurztext + Vektorrepräsentation; nur auf dich bezogen, kein Abgleich mit anderen Nutzer:innen)
- Optionaler Profil-Vektor als Mittelwert deiner jüngsten Handschlag-Embeddings (nur intern für Kontinuität, kein Cross-User-Matching, keine Diagnose)
- Aggregierte Stimmen-Dominanzstatistiken (Zähler, Zeiträume)
Zweck: Kontinuität und optionale Reflexion. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; bei Art.-9-Inhalten Art. 9 Abs. 2 lit. a DSGVO.
4.4 Optionale Einstellungen
- Erinnerung an offene Meetings (Opt-in, Standard: aus) — Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO
4.5 Freiwillige Unterstützung (PayPal)
- Betrag, Währung, Referenzcode, Status
- optionale PayPal-Transaktions-ID und Notiz
- technischer Prompt-Status (wann Hinweise gezeigt wurden)
Die Zahlung selbst erfolgt zwischen dir und PayPal. ManyMe speichert nur die Zuordnung zum Konto. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und/oder lit. f DSGVO; ggf. lit. c für Aufbewahrungspflichten.
4.6 Technische und Protokolldaten
- Beim Aufruf der Website übliche Server-/Plattform-Logs von Vercel (z. B. IP-Adresse, Zeitstempel, User-Agent) — Speicherdauer richtet sich nach den Einstellungen von Vercel
- Rate-Limit-Zähler (kurzzeitig, zur Missbrauchsabwehr)
- Gewählte Spracheinstellung (
preferredLocale, z. B.de,en) im Nutzerkonto — steuert die App-Oberfläche (i18n), die Antwortsprache der KI, Begrüßungstexte und Browser-Vorlesen; zusätzlich kann die Browser-Locale (navigator.language/ Accept-Language) als Fallback im jeweiligen Request genutzt werden. Kein Profiling, keine Werbenutzung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für die Spracheinstellung); lit. f für technische Logs und Rate-Limits (Sicherheit, Stabilität des Dienstes).
5. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
ManyMe fordert keine Gesundheitsdaten aktiv ab. In freien Texteingaben (Chat, Notizen, Themen) kannst du jedoch Angaben machen, die besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO darstellen können (insbesondere gesundheitsbezogene oder psychische Inhalte).
Die Verarbeitung solcher Inhalte erfolgt nur, soweit du sie freiwillig eingibst und bei der Registrierung ausdrücklich eingewilligt hast (Art. 9 Abs. 2 lit. a DSGVO). Du bist nicht verpflichtet, sensible Inhalte einzugeben. Ohne diese Einwilligung kannst du den Dienst in der vorgesehenen Form nicht nutzen, weil die Kernfunktion gerade auf freien Texteingaben basiert.
6. KI-Verarbeitung über OpenRouter
Für Moderation, Handschlag-Vorschläge und die Erkennung von Denkmustern übermitteln wir ausgewählte Textinhalte an OpenRouter (openrouter.ai), der Anfragen an konfigurierte Sprachmodelle weiterleitet. Dabei können Meeting-Themen, Chat-Verläufe und einzelne Nachrichten sowie die gewählte Spracheinstellung bzw. Browser-Locale zur Antwortsprache verarbeitet werden.
Zusätzlich werden kurze, gekürzte Textausschnitte (Thema + Handschlag-Zusammenfassung, typischerweise höchstens einige hundert Zeichen) an die OpenRouter-Embeddings-API gesendet, um Vektorrepräsentationen für deinen persönlichen Memory-Store zu erzeugen. Standard ist ein kostenloses Embedding-Modell (aktuell u. a. nvidia/llama-nemotron-embed-vl-1b-v2:free). Free-Endpoints können laut Anbieter Prompts zur Modellverbesserung protokollieren — deshalb senden wir nur minimierte Snippets, keinen vollen Chatverlauf.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kernleistung); bei Art.-9-Inhalten zusätzlich Art. 9 Abs. 2 lit. a DSGVO. Ohne konfigurierten API-Schlüssel sind KI-Funktionen nicht verfügbar. Inhalte werden in unserer Datenbank verschlüsselt gespeichert (AES-256-GCM); während der Inference liegen sie beim Dienstleister im Klartext vor.
7. Spracheingabe und Vorlesen (Browser)
Optional kannst du im Meeting Diktieren oder Vorlesen nutzen. Das läuft über browsernative Schnittstellen (SpeechRecognition / speechSynthesis). Je nach Browser kann Spracherkennung an den Browser-Anbieter (z. B. Google bei Chrome) übermittelt werden. Roh-Audio speichern wir nicht auf unseren Servern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Opt-in durch Nutzung der Funktion) sowie — soweit besondere Kategorien betroffen sind — Art. 9 Abs. 2 lit. a DSGVO. Für die Verarbeitung beim Browser-Anbieter gelten dessen Datenschutzbestimmungen.
8. Cookies und ähnliche Technologien
ManyMe setzt derzeit kein Marketing-, Analytics- oder Tracking-Cookie-Banner ein, weil wir keine Tracking- oder Werbe-Cookies nutzen.
Für die Anmeldung speichern wir ein technisch notwendiges Session-Cookie (Auth.js), typischerweise authjs.session-token bzw. in Produktion __Secure-authjs.session-token: HttpOnly, SameSite=Lax, Secure in Produktion. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich für den vom Nutzer ausdrücklich gewünschten Dienst).
9. Empfänger und Auftragsverarbeitung
ManyMe wird technisch bei Vercel Inc. gehostet (Web-App, Serverless-/Edge-Funktionen, Auslieferung). Die PostgreSQL-Datenbank betreiben wir auf Infrastruktur der Hetzner Online GmbH (EU). Eine Weitergabe erfolgt nur, soweit es für den Betrieb erforderlich ist, du eingewilligt hast oder eine gesetzliche Pflicht besteht. Folgende Empfänger kommen in Betracht:
| Empfänger | Rolle | Zweck |
|---|---|---|
| Vercel Inc. (vercel.com) | Hosting / AV | Betrieb und Auslieferung der ManyMe-Web-App, Plattform-Logs; Verarbeitung kann (je nach Region) auch in den USA erfolgen |
| Hetzner Online GmbH (hetzner.com) | Infrastruktur / AV | Hosting der PostgreSQL-Datenbank (Konto-, Meeting-/Inhaltsdaten verschlüsselt at rest, technische Metadaten); Standort in der EU |
| OpenRouter, Inc. | AV / Dienstleister | LLM-Inference und Embeddings |
| PayPal | Eigenständiger Verantwortlicher | Freiwillige Zahlung (Vertrag Nutzer–PayPal) |
| Browser-Anbieter (nur bei Speech) | ggf. eigenständig | Spracherkennung / TTS im Browser |
Offener Punkt: Auftragsverarbeitungsverträge (Art. 28 DSGVO) mit Vercel, Hetzner und — soweit erforderlich — Standardvertragsklauseln mit OpenRouter/Vercel müssen vor Produktivbetrieb dokumentiert und abgeschlossen sein. Bis dahin gilt: keine unnötigen Prompt-Inhalte an Free-Endpoints, Verschlüsselung at rest, Datenminimierung.
10. Drittlandtransfers
Die Datenbank bei Hetzner wird in der EU betrieben. OpenRouter und ggf. Teile der Vercel-Hosting-Infrastruktur können Daten in den USA oder anderen Drittländern verarbeiten. Soweit kein Angemessenheitsbeschluss (Art. 45 DSGVO) greift, stützen wir Übermittlungen auf geeignete Garantien gemäß Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln), ergänzt durch technische Maßnahmen (Verschlüsselung at rest auf unserer Seite, Datenminimierung in Prompts).
Du kannst eine Kopie der maßgeblichen Garantien — soweit vorhanden — über die Impressums-Kontaktadresse anfordern.
11. Speicherdauer
- Konto und inhaltsbezogene Daten (Meetings, Nachrichten, Resolutions, Memory, Mood, Exercises): bis zur Löschung durch dich oder bis du dein Konto löschst (kaskadierende Löschung).
- Session-Cookie / JWT: bis Ablauf der Session bzw. Abmeldung.
- Support-Zahlungsdaten: bis Kontolöschung; ggf. länger, soweit steuer- oder handelsrechtliche Aufbewahrungspflichten bestehen (Offener Punkt mit Legal).
- Plattform-Logs (Vercel): nach Retention von Vercel — Offener Punkt für konkrete Frist. Die Datenbank bei Hetzner speichert keine gesonderten Anwendungs-Access-Logs über die Persistenz der App-Daten hinaus.
12. Deine Rechte
Dir stehen — soweit die gesetzlichen Voraussetzungen vorliegen — folgende Rechte zu:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
In der App unter Einstellungen kannst du deine Daten als JSON exportieren (Art. 15/20) und dein Konto vollständig löschen (Art. 17; Bestätigung per Passwort) — inklusive Memory-Vektoren. Weitere Anliegen (Berichtigung von E-Mail etc.) kannst du über die Impressums-Kontaktwege geltend machen.
Du hast zudem das Recht, dich bei einer Datenschutz- Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat deines gewöhnlichen Aufenthalts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. In Deutschland sind dies die Datenschutzaufsichtsbehörden der Länder; eine Übersicht findest du beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).
13. Pflicht zur Bereitstellung
E-Mail und Passwort sind für den Vertragsschluss erforderlich. Ohne diese Angaben ist eine Registrierung nicht möglich. Meeting-Inhalte sind freiwillig, aber ohne Eingaben kannst du die Kernfunktion nicht sinnvoll nutzen. Es besteht keine gesetzliche Pflicht zur Nutzung von ManyMe.
14. Keine automatisierte Entscheidungsfindung
ManyMe trifft keine Entscheidungen mit rechtlicher Wirkung ausschließlich automatisiert im Sinne von Art. 22 DSGVO. Die KI liefert Moderations- und Formulierungsvorschläge; du entscheidest selbst über Handschlag und weiteres Vorgehen. Es findet kein Scoring oder Profiling zu Werbezwecken statt.
15. Sicherheit (TOM, Art. 32 DSGVO)
Wir treffen angemessene technische und organisatorische Maßnahmen, unter anderem:
- Verschlüsselung inhaltsbezogener Felder at rest (AES-256-GCM), inkl. Chat, Resolutions, Notizen, Memory und kognitiver Hinweise
- Transportverschlüsselung (HTTPS/TLS)
- Passwort-Hashing (bcrypt)
- Zugriff nur für angemeldete Eigentümer:innen der Daten
- Rate Limiting gegen Missbrauch
- Secrets nur in der Server-Umgebung, nicht im Client-Code
Absolute Sicherheit kann kein internetbasiertes System garantieren. Bei Verdacht auf eine Verletzung des Schutzes personenbezogener Daten prüfen wir Meldepflichten nach Art. 33 und 34 DSGVO.
16. Minderjährige
ManyMe richtet sich an volljährige Nutzer:innen. Wenn du unter 16 Jahre alt bist, darfst du den Dienst nur nutzen, soweit das anwendbare Recht und — soweit erforderlich — die Einwilligung der Erziehungsberechtigten dies zulassen (vgl. Art. 8 DSGVO).
17. Kein Therapieersatz
ManyMe ist eine Brücke und Unterstützung zum Gedanken-Sortieren, ersetzt aber keine Psychotherapie und stellt keine Diagnose. Bei akuter Gefahr oder Krisen wende dich an professionelle Hilfe. Hinweise zu Notruf, Telefonseelsorge und 116 117 findest du in der App unter Einstellungen.
18. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn sich Verarbeitung, Rechtslage oder technische Grundlagen ändern. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung mit dem angegebenen Stand. Bei wesentlichen Änderungen, die deine Einwilligung betreffen, holen wir — soweit erforderlich — eine neue Einwilligung ein oder informieren dich in geeigneter Weise.
19. Kontakt
Für Datenschutzanfragen und zur Ausübung deiner Rechte: siehe Impressum. Wir bearbeiten Anfragen in der Regel innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).