Datenschutzerklärung
Stand: 27. März 2026
1. Verantwortliche Stelle
heej — ein Produkt der The NEED GmbH
The NEED GmbH
Zettachring 12A
70567 Stuttgart
Geschäftsführer: Sinan Yurttadur
E-Mail: info@theneed.works
Telefon: +49 (0) 711 25 25 1916
Verantwortlicher für den Datenschutz: Sinan Yurttadur (Kontaktdaten wie oben)
Die verantwortliche Stelle entscheidet allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, Kontaktdaten o.ä.).
2. Erhebung und Verarbeitung personenbezogener Daten
2.1 Beim Besuch unserer Website
Bei jedem Zugriff auf unsere Website erfasst unser System automatisiert Daten und Informationen des aufrufenden Geräts. Folgende Daten werden hierbei erhoben:
- IP-Adresse des anfragenden Geräts
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Datei
- Website, von der aus der Zugriff erfolgt (Referrer-URL)
- Verwendeter Browser und ggf. das Betriebssystem
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung und Sicherheit der Website).
2.2 Bei Registrierung und Nutzung unseres Dienstes
Bei der Registrierung und Nutzung von heej erheben wir folgende Daten:
- E-Mail-Adresse
- Name (sofern angegeben)
- Profilbild (sofern hochgeladen)
- Hochgeladene Inhalte (Videos, Podcasts, PDFs, Texte) zur Erstellung des KI-Avatars
- Audiodaten zur Erstellung des Voice Clones
- Chatverläufe zwischen Followern und dem KI-Avatar
- Nutzungsdaten und Analytics (z.B. Anzahl Chats, Engagement-Metriken)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, soweit erforderlich).
2.3 Zahlungsdaten
Zahlungsdaten werden über unseren Zahlungsdienstleister Stripe verarbeitet. Wir selbst speichern keine vollständigen Zahlungsinformationen (z.B. Kreditkartennummern). Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe.
3. Cookies
Unsere Website verwendet Cookies. Bei Cookies handelt es sich um kleine Textdateien, die Ihr Browser automatisch erstellt und die auf Ihrem Endgerät gespeichert werden, wenn Sie unsere Website besuchen.
3.1 Notwendige Cookies
Diese Cookies sind für den Betrieb der Website erforderlich. Sie ermöglichen grundlegende Funktionen wie die Seitennavigation und den Zugang zu geschützten Bereichen. Hierzu gehören insbesondere Session-Cookies für die Authentifizierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
3.2 Analyse-Cookies
Wir setzen derzeit keine Analyse-Cookies ein. Sollten wir in Zukunft Analytics-Tools verwenden, werden wir diese Datenschutzerklärung entsprechend aktualisieren und Ihre Einwilligung einholen.
4. Drittanbieter und Auftragsverarbeitung
Zur Erbringung unserer Dienste setzen wir folgende Drittanbieter ein, mit denen ggf. Auftragsverarbeitungsverträge (AVV) geschlossen wurden:
Supabase
Zweck: Datenbank (PostgreSQL), Authentifizierung (Magic Link / PKCE) und Dateispeicherung (Profilbilder, Inhalte). Alle Nutzerdaten, Chatverläufe und hochgeladenen Inhalte werden in der Supabase-Infrastruktur gespeichert. Der Datenbankstandort ist in der EU (Frankfurt am Main).
Anbieter: Supabase Inc., San Francisco, USA
Drittlandtransfer: EU-Server (Frankfurt am Main) — kein Drittlandtransfer für Datenbank-Daten.
Datenschutz: https://supabase.com/privacy
Anthropic (Claude)
Zweck: KI-gestützte Textgenerierung für den Chat-Avatar (Large Language Model). Chatanfragen und Kontextinformationen aus dem RAG-System werden zur Antwortgenerierung an die Anthropic-API übermittelt.
Anbieter: Anthropic, PBC, San Francisco, USA
Drittlandtransfer: Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Datenschutz: https://www.anthropic.com/privacy
Hinweis: Nutzerdaten werden nicht zum Training von Anthropic-Modellen verwendet (API-Nutzung).
OpenAI
Zweck: Erzeugung von Text-Embeddings (text-embedding-3-small) für die semantische Suche im RAG-System sowie Whisper-Transkription von hochgeladenen Audio-/Videoinhalten.
Anbieter: OpenAI, L.L.C., San Francisco, USA
Drittlandtransfer: EU-US Data Privacy Framework (DPF) zertifiziert + Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Datenschutz: https://openai.com/privacy
Hinweis: Wir nutzen die OpenAI API mit deaktiviertem Training. Nutzerdaten werden nicht zum Training von OpenAI-Modellen verwendet.
ElevenLabs
Zweck: Voice Cloning und Text-to-Speech-Generierung (TTS) für den Sprach-Avatar. Audiodaten des Influencers werden zur Erstellung eines individuellen Stimmmodells übermittelt. Bei Chat-Interaktionen werden generierte Texte zur Sprachsynthese an ElevenLabs gesendet.
Anbieter: ElevenLabs Inc., New York, USA
Drittlandtransfer: Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Datenschutz: https://elevenlabs.io/privacy
Stripe
Zweck: Zahlungsabwicklung und Rechnungsstellung (Follower-Abonnements, Pro Plan, Stripe Connect für Influencer-Auszahlungen). Name, E-Mail-Adresse und Zahlungsinformationen werden zur Transaktionsverarbeitung an Stripe übermittelt. Stripe ist als Zahlungsdienstleister eigenverantwortlich (kein Auftragsverarbeiter).
Anbieter: Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA / Stripe Payments Europe, Ltd., Dublin, Irland (für EU-Kunden)
Drittlandtransfer: EU-US Data Privacy Framework (DPF) zertifiziert. EU-Zahlungsdaten werden vorrangig über Stripe Payments Europe, Ltd. (Irland) verarbeitet.
Datenschutz: https://stripe.com/privacy
Vercel
Zweck: Hosting und Bereitstellung der Frontend-Webanwendung (Next.js). Beim Besuch der Website werden IP-Adresse und Anfragedaten von Vercel verarbeitet (Edge Network, CDN).
Anbieter: Vercel Inc., San Francisco, USA
Drittlandtransfer: EU-US Data Privacy Framework (DPF) zertifiziert + Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Datenschutz: https://vercel.com/legal/privacy-policy
Render
Zweck: Hosting des Backend-API-Servers (FastAPI / Python). API-Anfragen (Chat, Ingest, Voice) werden auf Render-Infrastruktur verarbeitet.
Anbieter: Render Services, Inc., San Francisco, USA
Drittlandtransfer: Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Datenschutz: https://render.com/privacy
Resend
Zweck: Versand transaktionaler E-Mails (Willkommens-E-Mails, Abo-Bestätigungen, Benachrichtigungen). E-Mail-Adresse und Name des Empfängers werden an Resend übermittelt.
Anbieter: Resend, Inc., San Francisco, USA
Drittlandtransfer: Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Datenschutz: https://resend.com/legal/privacy-policy
Replicate
Zweck: ML-Inferenz, insbesondere Whisper-Transkription (large-v3) von hochgeladenen Audio- und Videodateien. Audiodaten werden zur Transkription an Replicate übermittelt.
Anbieter: Replicate, Inc., San Francisco, USA
Drittlandtransfer: Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Datenschutz: https://replicate.com/privacy
Hinweis zur Datenübermittlung in Drittländer: Die spezifischen Transfermechanismen (SCC, DPF oder EU-Serverstandort) sind bei jedem Anbieter oben einzeln ausgewiesen. Soweit ein Anbieter unter dem EU-US Data Privacy Framework (DPF) zertifiziert ist, liegt ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO vor. Für alle weiteren Anbieter wurden Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen, um ein angemessenes Datenschutzniveau sicherzustellen.
Hinweis zum Einsatz Künstlicher Intelligenz (EU AI Act)
heej setzt KI-Avatare ein, die auf Basis hochgeladener Inhalte des Influencers automatisch Antworten generieren. Nutzer werden in der Anwendung stets deutlich darauf hingewiesen, dass sie mit einem KI-Avatar und nicht mit einer realen Person kommunizieren. Dies erfolgt gemäß den Transparenzanforderungen der EU-Verordnung über Künstliche Intelligenz (EU AI Act, Art. 50). Die generierten Antworten sind maschinell erzeugt und können ungenau oder unvollständig sein. Synthetisch erzeugte Sprachausgaben des KI-Avatars werden gemäß Art. 50 Abs. 4 EU AI Act als künstlich generiert gekennzeichnet.
5. Rechte der Betroffenen
Sie haben gemäß DSGVO folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
- Recht auf Einschränkung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
- Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen.
- Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, Ihre einmal erteilte Einwilligung jederzeit uns gegenüber zu widerrufen.
- Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.
6. Speicherdauer
Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt. Bei Vertragsdaten ist dies in der Regel der Fall, wenn das Vertragsverhältnis beendet und alle gegenseitigen Ansprüche erfüllt sind. Gesetzliche Aufbewahrungsfristen (z.B. steuerrechtliche Aufbewahrungspflichten von 6 bzw. 10 Jahren) bleiben unberührt.
Bei Löschung des Nutzerkontos werden alle personenbezogenen Daten, hochgeladene Inhalte, Voice-Clone-Daten und Chatverläufe innerhalb von 30 Tagen unwiderruflich gelöscht.
7. Datensicherheit
Wir verwenden innerhalb des Website-Besuchs das verbreitete SSL-Verfahren (Secure Socket Layer) in Verbindung mit der jeweils höchsten Verschlüsselungsstufe, die von Ihrem Browser unterstützt wird. Alle übermittelten Daten werden verschlüsselt übertragen. Unsere Datenbank ist durch Row-Level Security (RLS) geschützt, sodass Nutzer nur auf ihre eigenen Daten zugreifen können.
8. Kontakt für Datenschutzanfragen
Bei Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten, bei Auskünften, Berichtigung, Sperrung oder Löschung von Daten wenden Sie sich bitte an:
The NEED GmbH — Sinan Yurttadur
Zettachring 12A, 70567 Stuttgart
E-Mail: info@theneed.works
Telefon: +49 (0) 711 25 25 1916