Datenschutzerklärung

Mi Alma – Paula Lo Martire

Einzelunternehmerin, Frauenfeld (Schweiz)

E-Mail: info@mialma.ch

Telefon: auf Anfrage

Paula Lo Martire ist verantwortlich für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Zusammenhang mit der Nutzung der Mi Alma-Plattform und der Website.

Wir erheben nur die Daten, die notwendig sind, um dir ein sicheres und personalisiertes Coaching-Erlebnis zu ermöglichen:

• Kontaktdaten: Name, E-Mail-Adresse, optional Telefonnummer
• Coaching-Daten: Tagebucheinträge, Notizen, Reflexionen, Gesprächsinhalte (z. B. aus Sessions oder Fragebögen)
• Terminbuchungen: Zeitpunkt, Dauer, Art der Session
• Zahlungsinformationen: werden ausschliesslich über Stripe verarbeitet
• Technische Daten: IP-Adresse, Browser-Typ, Gerätetyp, Zeitzone, Sprache (nur zu Sicherheits- und Betriebszwecken)
• IP-Adressen für Consent-Nachweis: Bei Einwilligung in KI-Verarbeitung speichern wir deine IP-Adresse, den Zeitstempel und User-Agent als rechtlichen Nachweis (Speicherdauer: 3 Jahre)

2.1 Besondere Kategorien personenbezogener Daten (Gesundheitsdaten)

Im Rahmen des Coachings können sogenannte besondere Kategorien personenbezogener Daten verarbeitet werden, insbesondere:

• Angaben zu psychischer und emotionaler Verfassung (z. B. Stress, Überlastung, depressive Gefühle)
• Hinweise auf körperliche Beschwerden
• Informationen zu Medikamenten oder Therapien
• Lebens- und Familiensituation, Berufssituation, belastende Ereignisse

Diese Daten werden ausschliesslich für dein Coaching und – nur mit deiner ausdrücklichen Einwilligung – für ausgewählte KI-Funktionen verwendet (siehe Abschnitt "KI-gestützte Verarbeitung & Mistral AI").

Deine Daten werden ausschliesslich für folgende Zwecke verwendet:

• Bereitstellung und Verbesserung unserer Coaching-Dienstleistungen
• Verwaltung deines Benutzerkontos und deiner Termine
• Abwicklung von Zahlungen und Rechnungsstellung
• Kommunikation über wichtige Updates oder Änderungen
• Gewährleistung der technischen Sicherheit der Plattform
• Erfüllung gesetzlicher Pflichten
• Optional (nur mit Einwilligung): KI-gestützte Analyse von Transkripten und Fragebögen zur Unterstützung des Coachings

Wir verwenden deine Daten niemals für Werbung, Marketing oder den Verkauf an Dritte.

Die Verarbeitung deiner personenbezogenen Daten erfolgt auf Grundlage von:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Zur Bereitstellung unserer Dienstleistungen
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, Art. 9 Abs. 2 lit. a DSGVO bei Gesundheitsdaten):
  • z. B. bei KI-gestützter Analyse von Transkripten oder Fragebögen
  • bei der Übermittlung pseudonymisierter Daten an externe KI-Anbieter
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Zur Gewährleistung der IT-Sicherheit, zur Missbrauchserkennung, zur Qualitätssicherung
• Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Zur Erfüllung rechtlicher Anforderungen (z. B. Aufbewahrungspflichten für Rechnungen)

Deine Daten werden überwiegend auf Servern innerhalb der Europäischen Union (z. B. Frankfurt Region) gespeichert und verarbeitet.

Wir nutzen u. a. folgende Infrastruktur:

• Neon (PostgreSQL): Datenbankhosting in Frankfurt (Deutschland)
• Vercel Inc. (USA, EU-Region Frankfurt): Hosting der Web-Plattform. Vercel ist DSGVO-konform und verwendet Standardvertragsklauseln (SCC) gemäss Art. 46 DSGVO.
• Cloudflare R2 (USA, EU-Rechenzentren): Speicher für Video-/Mediendateien mit DPA (v6.3)

Bei Diensten mit Sitz ausserhalb der EU (z. B. USA, UK) stellen wir sicher, dass geeignete Sicherheitsgarantien (Standardvertragsklauseln, DPA/AVV, angemessenes Schutzniveau) vorliegen.

Wir arbeiten nur mit sorgfältig ausgewählten, DSGVO-konformen Dienstleistern zusammen. Dazu gehören insbesondere:

• Mistral AI SAS (Frankreich, EU): KI-gestützte Analyse und Zusammenfassung von Coaching-Inhalten. DPA vorhanden. Zertifizierungen: ISO 27001, ISO 27701, SOC 2 Type 2. Server in EU (Frankreich). Gesundheitsdaten werden vor Übertragung sanitisiert (P1-003). Speicherdauer: Keine dauerhafte Speicherung (Verarbeitung on-demand).
• Gladia SAS (Frankreich, EU): Automatische Transkription von Audio-Aufnahmen. DPA vorhanden. Server in EU (Frankreich). Jobs werden nach Verarbeitung sofort gelöscht. Keine dauerhafte Speicherung.
• Daily.co Inc. (USA, EU-Server): Video-Conferencing-Infrastruktur für Coaching-Sessions. DPA und Standard Contractual Clauses (SCCs) vorhanden. EU-Datenverarbeitung konfiguriert. Cloud Recording integriert. Keine dauerhafte Speicherung von Audio/Video durch Daily.co nach Download.
• Daily.co Inc. (USA, EU-Server): Cloud-Storage für Video-Aufzeichnungen integriert in Daily.co. EU-Datenverarbeitung konfiguriert. DPA vorhanden. Retention: Gemäss unserer Richtlinien (90 Tage).
• Neon (AWS Frankfurt, DE): PostgreSQL-Datenbankhosting in Frankfurt, Deutschland. DPA vorhanden. Zertifizierungen: SOC 2 Type 2. Server: AWS eu-central-1 (Frankfurt). Retention: Health Data 12 Monate, Audit Logs 3 Jahre.
• Clerk (USA): Sichere Authentifizierung und Benutzerverwaltung. DPA vorhanden (aktiviert im Dashboard). Standard Contractual Clauses (SCCs). Server: USA/EU (multi-region). Keine Gesundheitsdaten.
• Stripe (Irland/USA): Sichere Zahlungsabwicklung. PCI-DSS Level 1 zertifiziert. DPA vorhanden (Standard-DPA). Server: EU (Irland) und USA. Retention: gemäss Stripe-Richtlinien und Steuerrecht.
• Resend (USA): Versand transaktionaler E-Mails (z. B. Bestätigungen, Erinnerungen). DPA vorhanden. Zertifizierung: SOC 2. Server: USA. Keine Gesundheitsdaten in E-Mails.
• Acuity Scheduling (USA): Terminbuchungs-API (SSL-verschlüsselt). Nur Server-zu-Server-Kommunikation, keine Widgets oder Cookies auf User-Geräten. DPA vorhanden. Server: USA. Retention: 12 Monate.
• Vercel Inc. (EU/USA): Hosting, Deployment und cookieless Web Analytics. DPA vorhanden (aktiviert im Dashboard). Server: EU-Präferenz konfiguriert. Analytics: cookieless, keine Gesundheitsdaten.

Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge (AVV/DPA) gemäss Art. 28 DSGVO bzw. revDSG.

6.1 Einsatz von KI-Diensten (Mistral AI & Gladia)

• Gladia wird verwendet, um Audio automatisch in Text zu transkribieren.
• Mistral AI wird verwendet, um aus Textinhalten (Transkripte, Fragebögen) Zusammenfassungen, Analysen und strukturierte Coaching-Hilfen zu erstellen.

Bevor Inhalte an Mistral AI übermittelt werden, erfolgt eine automatische Pseudonymisierung, z. B.:

• Entfernung oder Ersetzung von: Namen, E-Mail-Adressen, Telefonnummern
• Anonymisierung bestimmter Orts-, Personen- oder Medikamentenangaben
• Reduktion auf inhaltliche Muster, nicht auf Identität

Dennoch können Inhalte aus Sicht der DSGVO Gesundheitsdaten enthalten (z. B. "Ich habe seit Jahren Schlafprobleme", "Ich war in Therapie").

Deshalb erfolgt diese Verarbeitung nur mit deiner ausdrücklichen Einwilligung (siehe Abschnitt 9).

6.2 IP-Adressen und Consent-Tracking

Um die Rechtmässigkeit der Verarbeitung deiner Gesundheitsdaten nachweisen zu können, speichern wir bei jeder Einwilligung (z. B. für KI-Analyse, Transkription) zusätzlich:

• IP-Adresse des Geräts, mit dem du die Einwilligung erteilt hast
• Zeitstempel (Datum und Uhrzeit der Einwilligung)
• User-Agent (Browser- und Geräte-Informationen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Nachweisbarkeit der Einwilligung gemäss Art. 7 Abs. 1 DSGVO).

Speicherdauer: Diese Daten werden für 3 Jahre als Teil der Audit-Logs gespeichert und anschliessend automatisch gelöscht.

Wichtig: Diese IP-Adressen werden ausschliesslich für den rechtlichen Nachweis der Einwilligung verwendet – nicht für Tracking, Profiling oder Marketing.

Deine Daten werden gestaffelt gespeichert und automatisch gelöscht:

7.1 Fachliche Daten (Coaching-Inhalte)

Anonymisierung bedeutet: Nach 5 Jahren werden Namen und identifizierende Informationen aus Session-Daten entfernt. Es bleiben nur statistische Daten (z. B. "Session am 15.03.2025, 60 Minuten") für interne Qualitätssicherung.

7.2 Technische Protokolle & Sicherheitslogs

Zusätzlich werden für Sicherheit und Nachvollziehbarkeit gespeichert:

• Webhook-Ereignisse (z. B. Stripe, Acuity, Clerk):
  • Enthalten technisch notwendige Informationen aus den externen Systemen
  • Speicherdauer: max. 90 Tage, danach automatische Löschung
• Audit-Logs & Sicherheitsprotokolle:
  • z. B. Login-Ereignisse, sicherheitsrelevante Aktionen im Account, Löschvorgänge
  • Enthalten u. a. Zeitstempel, User-ID, eventuell IP-Adresse, User-Agent und technische Details
  • Speicherdauer: max. 3 Jahre, danach automatische Löschung

7.3 Automatische Löschung

Die Löschung erfolgt automatisch – du musst nichts unternehmen.

Ein monatlicher automatischer Prozess (Cron-Job) entfernt Daten, die ihre Speicherfrist überschritten haben.

7.4 Vorzeitige Löschung

Du kannst jederzeit die vollständige Löschung deiner Daten verlangen – unabhängig von den automatischen Fristen. Die Löschung erfolgt innerhalb von 30 Tagen.

Ausnahme: Rechnungsdaten müssen gemäss Schweizer Obligationenrecht (Art. 958f OR) für 10 Jahre aufbewahrt werden.

Wir kommunizieren mit dir ausschliesslich über:

• Transaktionale E-Mails: Buchungsbestätigungen, Erinnerungen, Sicherheitshinweise
• Service-Updates: Wichtige Änderungen an der Plattform oder den Nutzungsbedingungen
• Support-Anfragen: Wenn du dich an uns wendest

Wir senden keine Marketing-E-Mails oder Newsletter ohne deine ausdrückliche Einwilligung.

Mi Alma verwendet nur technisch notwendige Cookies:

• Session-Cookies: Für sichere Anmeldung und Navigation
• Spracheinstellung: Damit deine bevorzugte Sprache gespeichert wird

Vercel Web Analytics:

• Erfasst ausschliesslich aggregierte Performance-Daten (Seitenaufrufe, Ladezeiten, Fehlerquoten)
• Verwendet keine Cookies
• Speichert keine vollständigen IP-Adressen in auswertbarer Form
• Keine Personenidentifikation möglich
• Dient ausschliesslich der technischen Optimierung der Plattform
• DSGVO-konform gemäss Art. 6 Abs. 1 lit. f (berechtigtes Interesse)

Wir verwenden keine Tracking-, Marketing- oder Werbe-Cookies.

Mehr Details findest du in unserer Cookie-Richtlinie.

9.1 KI-gestützte Verarbeitung & granulares Opt-in

Innerhalb deines Mi Alma Accounts kannst du unter "Einstellungen → Daten & Datenschutz → KI & Datenschutz" separat festlegen, ob:

1. KI deine Sitzungstranskripte analysieren darf
2. KI deine Fragebogen-Antworten analysieren darf
3. Daten (pseudonymisiert) an externe KI-Anbieter (Mistral AI) gesendet werden dürfen

Wichtig:

• Alle drei Einstellungen sind freiwillig und können jederzeit geändert werden.
• Ohne diese Einwilligungen kannst du Mi Alma weiterhin nutzen – lediglich bestimmte KI-Funktionen (z. B. automatische Zusammenfassungen, KI-Analysen) stehen dann nicht zur Verfügung.
• Deine Einwilligungen werden mit Zeitstempel und IP-Adresse protokolliert, um sie rechtssicher nachweisen zu können.

Wir schützen deine Daten mit hohen technischen und organisatorischen Sicherheitsstandards:

• SSL/TLS-Verschlüsselung aller Verbindungen
• Verschlüsselte Datenbank-Speicherung
• Sichere Authentifizierung (z. B. über Clerk, optional MFA)
• Tägliche automatische Backups
• Strenge interne Zugriffskontrollen und Rollenrechte
• Security Monitoring und regelmässige Überprüfung der Infrastruktur

Protokollierung & Fehlerlogs:

• In Standard-Logs speichern wir überwiegend technische Informationen (Statuscodes, Ereignistypen, Anzahl der Vorgänge).
• In Produktionsumgebungen werden personenbezogene Inhalte in Fehlerlogs soweit wie möglich pseudonymisiert oder entfernt (kein Klartext von Gesprächen).
• Für sicherheitsrelevante Vorgänge (z. B. Löschvorgänge, Login-Versuche) werden Audit-Logs geführt (siehe Abschnitt 7.2).

Du hast jederzeit folgende Rechte bezüglich deiner personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO)
• Berichtigungsrecht (Art. 16 DSGVO)
• Löschungsrecht (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)
• Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde

11.1 Wie du deine Rechte ausübst

Daten exportieren (Recht auf Datenübertragbarkeit):

• Einloggen auf mialma.ch
• Profil → "Einstellungen" → "Daten exportieren"
• Du erhältst eine Datei (z. B. JSON) mit deinen Daten zum Download

Enthalten sind u. a.:

• Account-Daten (Name, E-Mail, Einstellungen)
• Session-Zusammenfassungen
• Termine und Buchungen
• Fragebögen & Antworten
• Reflexionen & Notizen
• Transkript-Einträge (sofern noch vorhanden und nicht automatisch gelöscht)
• KI-basierte Auswertungen (z. B. Fragebogen-Analysen)
• Plan-Abonnements & Zahlungsinformationen (ohne vollständige Kreditkartendaten)
• Relevante Protokolle zu deinem Account (z. B. Löschvorgänge)

Daten löschen (Recht auf Vergessenwerden):

• Einloggen → Einstellungen → "Account löschen"
• Bestätigung eingeben (Sicherheitsabfrage)
• Alle löschbaren Daten werden innerhalb von 30 Tagen vollständig gelöscht
• Du erhältst eine Bestätigungs-E-Mail

Nicht gelöscht werden:

• Rechnungsdaten (10 Jahre Aufbewahrungspflicht gemäss Schweizer OR)

Alternativ per E-Mail:

Du kannst deine Rechte jederzeit per E-Mail an info@mialma.ch geltend machen. Wir beantworten deine Anfrage in der Regel innerhalb von 30 Tagen.

Mi Alma hat keinen formellen Datenschutzbeauftragten bestellt, da dies gesetzlich nicht erforderlich ist.

Bei Fragen zum Datenschutz oder zur Ausübung deiner Rechte wende dich bitte direkt an:

Paula Lo Martire Mi Alma, Gertwies 27, 8500 Frauenfeld E-Mail: info@mialma.ch

Alle Zahlungen werden über Stripe abgewickelt, einen der weltweit führenden und sichersten Zahlungsdienstleister.

• Stripe ist PCI-DSS Level 1 zertifiziert (höchster Sicherheitsstandard für Zahlungsabwicklung).
• Mi Alma hat zu keinem Zeitpunkt Zugriff auf deine vollständigen Kreditkartendaten.
• Wir erhalten von Stripe nur die Informationen, die für die Rechnungsstellung erforderlich sind (z. B. Transaktions-ID, Betrag, Datum).

Technische Log-Daten werden ausschliesslich zu Sicherheits-, Fehleranalyse- und Betriebszwecken erfasst.

Standard-Logs (Server-/Infrastruktur-Logs):

Was in der Regel nicht gespeichert wird:

• Keine vollständigen Gesprächsinhalte oder Transkript-Texte
• Keine ungekürzten E-Mail-Adressen oder Klarnamen in Fehlermeldungen

Was gespeichert wird:

• Technische Informationen (z. B. HTTP-Statuscodes, Ereignistypen, Anzahl der Vorgänge)
• IP-Adressen (zur Erkennung und Abwehr von Angriffen, z. B. Rate-Limits, Missbrauch)
• Zugriffszeiten und Browser-Informationen

Speicherdauer:

• Standard-Logdaten: in der Regel max. 90 Tage, danach automatische Löschung oder Aggregation.
• Spezielle Audit-Logs: max. 3 Jahre (siehe Abschnitt 7.2).

Log-Daten werden nicht verwendet für:

• Profiling oder Verhaltensanalyse
• Marketing oder Werbezwecke
• Weitergabe an Dritte (ausser bei rechtlicher Verpflichtung)

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an veränderte rechtliche Rahmenbedingungen, neue Funktionen (insbesondere KI-Funktionen) oder technische Entwicklungen anzupassen.

• Die jeweils aktuelle Version ist stets auf dieser Seite abrufbar.
• Bei wesentlichen Änderungen informieren wir dich rechtzeitig per E-Mail oder in der App.

Wenn du Fragen, Anliegen oder Anfragen zu deinen Daten hast, kontaktiere uns bitte:

Mi Alma – Paula Lo Martire E-Mail: info@mialma.ch

Antwortzeit: in der Regel innerhalb von 48 Stunden

Wir nehmen deine Anfragen ernst und behandeln sie mit der Achtsamkeit, die sie verdienen.