top of page

Datenschutz

Datenschutzhinweise für die ChangePath-App

A. Vorwort
ChangePath – Bonanso Change Collective GmbH, Lohmühlenstraße 65, 12435 Berlin, Deutschland („ChangePath“), nimmt den Schutz Ihrer personenbezogenen Daten sehr ernst. Diese Datenschutzhinweise erläutern transparent Art, Umfang, Zwecke, Dauer und Rechtsgrundlagen der Verarbeitungen im Zusammenhang mit der ChangePath-App. Die Hinweise folgen Aufbau und Begrifflichkeiten der einschlägigen datenschutzrechtlichen Vorlage, um eine klare und vollständige Information sicherzustellen.
 

B. Allgemeines
 

  1. Begriffsbestimmungen
    Die in Art. 4 DSGVO definierten Begriffe (z. B. „personenbezogene Daten“, „Verarbeiten“, „Verantwortlicher“, „Auftragsverarbeiter“, „Einwilligung“) gelten. Zur besseren Lesbarkeit verwendet ChangePath diese Begriffe in der hier üblichen Kurzform und erläutert Fachwörter in einfachen Klammerzusätzen, wo sinnvoll.
     

  2. Änderung dieser Datenschutzhinweise
    ChangePath überprüft diese Hinweise regelmäßig und passt sie an Rechtslage, Technik und Produktfortentwicklung an. Über wesentliche Änderungen informiert ChangePath in der App. Stand dieser Fassung: 15.03.2026.
     

  3. Keine generelle Pflicht zur Bereitstellung
    Es besteht keine gesetzliche Pflicht, Daten bereitzustellen. Die Nutzung bestimmter Funktionen setzt jedoch notwendige Angaben voraus. Ohne diese Angaben kann ChangePath Leistungen nur eingeschränkt oder nicht erbringen.

 

C. Informationen über die Verarbeitung Ihrer Daten

  1. Erhebung personenbezogener Daten
    Bei Aufruf und Nutzung der App verarbeitet ChangePath personenbezogene Daten, etwa technische Zugriffsdaten, Kontodaten, Nutzereingaben in Übungen sowie Interaktions- und Ereignisdaten, soweit dies für Betrieb, Vertragserfüllung, Sicherheit, Analyse oder – nach Einwilligung – Marketing erforderlich ist.
     

  2. Rechtsgrundlagen der Verarbeitung

Je nach Vorgang stützt ChangePath sich auf:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag und vorvertragliche Maßnahmen)

  • Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG (Einwilligung für nicht notwendige Endgeräte-Zugriffe wie Marketing-Pixel/Analytics),

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen, z. B. IT-Sicherheit, Fehlersuche),

  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflichten, z. B. Steueraufbewahrung).

  • Für jede unten beschriebene Verarbeitung nennt ChangePath Zweck, Rechtsgrundlage, Empfänger und Speicherdauer. 

3. Aufruf der Mobile-App und Webseite/Web-App (Hosting: Sevalla / Wix)

Datenkategorien: IP-Adresse, Datum/Uhrzeit, Zeitzone, URL/Referrer, Geräte- und Browserinformationen, Session-IDs, Fehler- und Sicherheitslogs.
Zwecke: Auslieferung, Stabilität, Sicherheit, Caching und Performance.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb). Für Endgerätezugriffe, die technisch notwendig sind, gilt § 25 Abs. 2 Nr. 2 TTDSG.

Empfänger/Verarbeiter:

  1. Web und Mobile-App: Sevalla (Kinsta, Inc., USA). Sevalla handelt als Auftragsverarbeiter von ChangePath auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO. Serverstandort: Sevalla / Kinsta, Inc. (USA): Hosting der Web-App in Frankfurt (GCP europe-west3). Administrativer Fernzugriff aus den USA möglich, abgesichert über EU-Standardvertragsklauseln (SCC)  und Verschlüsselung.

  2. Marketing-Website und Formulare: Wix.com Ltd. (Israel). Drittlandtransfer: Das Hosting und die technische Bereitstellung der Web-App erfolgen über Server von Wix.com Ltd. mit Sitz in Israel. Wix unterfällt dem Angemessenheitsbeschluss der EU-Kommission für Israel (Beschluss 2011/61/EU). Soweit Wix Unterauftragnehmer in weiteren Drittländern einsetzt, erfolgt die Absicherung über EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO, ergänzt durch Transportverschlüsselung (TLS 1.2+) und vertragliche Zugriffsbeschränkungen.


Speicherdauer: Server-/Sicherheitslogs in der Regel 7–30 Tage; längere Aufbewahrung bei Sicherheitsvorfällen.
 

4. Nutzerkonto, Registrierung und Kernnutzung

Datenkategorien: E-Mail, Passwort-Hash, Sprache/Zeitzone, Profileinstellungen, Vertrags- und Transaktionsdaten, Kommunikationspräferenzen.
Zwecke: Kontoerstellung, Authentifizierung, Erfüllung der vertraglichen Leistungen, Kundenservice.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Empfänger/Verarbeiter: Hosting Wix; Authentifizierung Clerk (Clerk, Inc., San Francisco, USA); Anwendungs-Datenbank Convex; Transaktions- und Servicemails Wix/Brevo; Produktmetriken Posthog; AI-Observability Langfuse.
Speicherdauer: Während des aktiven Nutzungsverhältnisses; anschließend gemäß Löschkonzept in Abschnitt C.13.
Authentifizierung (Clerk): ChangePath verwendet Clerk, Inc. als Authentifizierungsdienst. Bei der Registrierung und Anmeldung verarbeitet Clerk Ihre E-Mail-Adresse, den Passwort-Hash, Session-Token, IP-Adresse sowie Geräte- und Browser-Metadaten zum Zweck der sicheren Authentifizierung und Sitzungsverwaltung. Clerk handelt als Auftragsverarbeiter von ChangePath auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.
Drittlandtransfer: Clerk, Inc. hat ihren Sitz in den Vereinigten Staaten. Die Übermittlung ist über Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert und über das EU-US Data Privacy Framework. Ihre bestehende Convex-Nutzer-ID bleibt unverändert bestehen. Bei Ihrer nächsten Anmeldung nach der Umstellung wird Ihnen automatisch eine zusätzliche Clerk-Nutzer-ID zugewiesen; eine Handlung Ihrerseits ist nicht erforderlich.
 

5. Mobile App (iOS / Android)

App-Store-Betreiber: Wenn Sie die App über den Apple App Store oder den Google Play Store herunterladen, verarbeiten Apple Inc. bzw. Google LLC bestimmte Daten (z. B. Ihr App-Store-Konto, Download-Verlauf, Gerätekennungen) als jeweils eigener Verantwortlicher nach Maßgabe ihrer eigenen Datenschutzerklärung. ChangePath hat auf diese Verarbeitung keinen Einfluss. Einzelheiten entnehmen Sie bitte der Datenschutzerklärung von Apple (https://www.apple.com/legal/privacy/) und der Datenschutzerklärung von Google (https://policies.google.com/privacy).

 


Datenkatekorien: Datenkategorien: Gerätekennungen (IDFV unter iOS, Android Advertising ID bei erteilter Einwilligung), Betriebssystem und Version, App-Version, Gerätemodell, Sprach- und Regionseinstellungen, Push-Notification-Token (sofern aktiviert), Absturz- und Diagnosedaten.
Zwecke: Bereitstellung und Betrieb der mobilen App, Push-Benachrichtigungen (mit Ihrer Einwilligung), Absturzanalyse und Stabilitätsverbesserung, Erfüllung von App-Store-Anforderungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die App-Bereitstellung; Art. 6 Abs. 1 lit. a DSGVO für Push-Benachrichtigungen und optionale Diagnosedaten; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für die zur Aufrechterhaltung der App-Stabilität erforderliche Absturzanalyse. Für den Zugriff auf Endgeräteinformationen (z. B. Gerätekennungen) gilt § 25 Abs. 1 TTDSG, soweit der Zugriff nicht technisch unbedingt erforderlich ist; § 25 Abs. 2 Nr. 2 TTDSG gilt, soweit der Zugriff technisch unbedingt erforderlich ist.
Drittlandtransfer: Apple Inc. und Google LLC haben ihren Sitz in den Vereinigten Staaten. Die Übermittlung erfolgt über das EU-US Data Privacy Framework bzw. ist über Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.
Speicherdauer: Absturz- und Diagnosedaten werden 90 Tage aufbewahrt. Push-Notification-Token werden bei der Deinstallation der App oder bei Widerruf der Einwilligung gelöscht.

6. Nutzereingaben und KI-basierte Auswertung

Datenkategorien: Von Ihnen eingegebene Inhalte in Übungen (Stärken, Werte, Motivation), Nutzungsverlauf, daraus abgeleitete Profile und Insights.
Zwecke: Erstellung des Transition-Plans, Personalisierung, Bereitstellung der App-Funktionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Verarbeitungskette: Speicherung in Convex → Pseudonymisierung/Anonymisierung, Routing via n8n → Anfrage an OpenAI mit allgemeinem Prompt und anonymisierten Nutzungsdaten → Speicherung der generierten Insights in Convex.
Empfänger/Verarbeiter: Convex, n8n, OpenAI.
Trainingshinweis: ChangePath trainiert keine eigenen KI-Modelle mit personenbezogenen Nutzerdaten. Sollte ChangePath künftig eine solche Nutzung planen, wird ChangePath Sie vorab gesondert informieren und eine ausdrückliche Einwilligung einholen. Ohne diese Einwilligung findet keine Verwendung Ihrer Daten für Trainingszwecke statt.
Drittlandtransfer: Bei OpenAI und ggf. weiteren Anbietern außerhalb des EWR Absicherung über über Standardvertragsklauseln (SCC) und ergänzende Schutzmaßnahmen.
Speicherdauer: Siehe Löschkonzept in Abschnitt C.13.
 

7. Analytics, Tag-Management und Marketing-Tags

Hinweis zu Cookies, Pixeln und ähnlichen Technologien: Nicht technisch notwendige Endgeräte-Zugriffe erfolgen nur nach Einwilligung im Consent-Banner (CMP). Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Funktionsweise und Kategorien von Cookies/Technologien richten sich nach den Grundsätzen der Vorlage, wonach ein Opt-In erforderlich ist, außer bei unbedingt erforderlichen Cookies.

Details zu einzelnen Cookies/Technologien, Zweck, Laufzeit und Widerruf finden Sie in der folgenden  Tabelle:

Pink Poppy Flowers
Pink Poppy Flowers

8. Formulare, Kommunikation, Newsletter

Kontaktformular (Wix): Name, E-Mail, Sprache, Freitext. Zweck: Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich) oder lit. f DSGVO. Speicherdauer: Vorgangsbezogen, Löschung nach 12 Monaten Abschluss, sofern keine Aufbewahrungspflichten entgegenstehen.


Newsletter (Substack, Double-Opt-In): E-Mail, Sprache, Zeitstempel; Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 7 UWG). Widerruf jederzeit über Abmeldelink. Empfänger: Substack; ggf. Drittlandtransfer via EU-Standardvertragsklauseln (SCC).
Mailing-System (Wix + Brevo): Transaktions- und Service-E-Mails; Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
 

9. Checkout und Zahlungen (Stripe/RevenueCat)

ChangePath wickelt Zahlungen je nach genutzter Plattform über unterschiedliche Kanäle ab:

Web-App (Stripe): Wenn Sie über die Web-App ein Abonnement abschließen oder einen Kauf tätigen, wird die Zahlung über Stripe Payments Europe, Ltd. (Dublin, Irland) abgewickelt.
Daten: Name, E-Mail, Rechnungsadresse, Zahlungs-Token, Maskierte Kartendaten, Zahlungsverlauf, Betrugsindikatoren.
Zwecke: Zahlungsabwicklung, Betrugsprävention, Erfüllung steuerlicher Pflichten.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO, Art. 6 Abs. 1 lit. f DSGVO.
Empfänger/Verantwortlichkeit: Für die technische Zahlungsabwicklung und die Weiterleitung Ihrer Zahlungsdaten an Ihr Kreditinstitut agiert Stripe Payments Europe, Ltd. (Dublin, Irland) als Auftragsverarbeiter von ChangePath auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO. Für eigene Verarbeitungszwecke (insbesondere Betrugserkennung, Erfüllung regulatorischer Pflichten nach PSD2 und Geldwäschegesetzgebung) agiert Stripe als eigener Verantwortlicher. Die Datenschutzerklärung von Stripe finden Sie unter https://stripe.com/de/privacy.
Speicherdauer: Steuer-/Handelsrecht 6 bzw. 10 Jahre (HGB/AO).

Mobile App – iOS (Apple In-App Purchase): Wenn Sie über die iOS-App ein Abonnement abschließen oder einen Kauf tätigen, wird die Zahlung von Apple Inc. als eigenem Verantwortlichen abgewickelt. ChangePath erhält von Apple eine Transaktionsbestätigung, eine pseudonyme Transaktionskennung, das erworbene Produkt, den Abonnementstatus und das Kaufdatum. ChangePath erhält keine Angaben zu Ihrem Zahlungsmittel. Die Verarbeitung durch Apple richtet sich nach der Datenschutzerklärung von Apple.

Mobile App – Android (Google Play Billing): Wenn Sie über die Android-App ein Abonnement abschließen oder einen Kauf tätigen, wird die Zahlung von Google LLC als eigenem Verantwortlichen abgewickelt. ChangePath erhält von Google ein Purchase-Token, das erworbene Produkt, den Abonnementstatus und das Kaufdatum. ChangePath erhält keine Angaben zu Ihrem Zahlungsmittel. Die Verarbeitung durch Google richtet sich nach der Datenschutzerklärung von Google.

Abonnementverwaltung (RevenueCat): ChangePath verwendet RevenueCat, Inc. (San Francisco, USA) als Abonnementverwaltungs- und Analyseschicht. RevenueCat erhält pseudonyme Nutzer-IDs, Purchase-Token, den Abonnementstatus, Produktkennungen und Plattforminformationen. RevenueCat handelt als Auftragsverarbeiter von ChangePath auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.
Drittlandtransfer: RevenueCat, Inc. hat ihren Sitz in den Vereinigten Staaten. Die Übermittlung ist über Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.
Speicherdauer: RevenueCat speichert Abonnementdaten für die Dauer des aktiven Abonnementverhältnisses und im Anschluss gemäß dem Löschkonzept von ChangePath.“

Rechtsgrundlage für alle Zahlungsvorgänge: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO (steuer- und handelsrechtliche Aufbewahrungspflichten); Art. 6 Abs. 1 lit. f DSGVO (Betrugsprävention).“
 

10. Produkt-Metriken und AI-Observability (Posthog, Langfuse)

Datenkategorien: Pseudonyme IDs, Events, Feature-Nutzung, technische Metadaten, Fehlermeldungen, Latenzen; falls erforderlich, stark minimierte Prompt-/Antwort-Metadaten ohne Klardaten.
Zwecke: Produktverbesserung, Fehleranalyse, Stabilität.
Rechtsgrundlagen: Einwilligung für nicht notwendige Analysen; berechtigtes Interesse für zwingend notwendige Telemetrie zur Fehlerbehebung/IT-Sicherheit.
Empfänger: Posthog, Langfuse.
Serverstandort: Posthog Cloud EU/Langfuse Cloud EU laufen auf AWS in Frankfurt; Soweit PostHog und Lanfuse von ihrem Sitz in den USA aus administrativ auf die in Frankfurt gehostete Infrastruktur zugreift, ist dieser Zugriff über die im Auftragsverarbeitungsvertrag vereinbarten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.
Speicherdauer: Standard 14 Monate für Analysedaten; Rohdaten kürzer.
 

11. Referral-Programm (GrowSurf)

Datenkategorien: E-Mail-Adresse, Name (sofern angegeben), eindeutige Referral-ID, Referral-Links, Status der Empfehlung (z. B. eingeladen, registriert, qualifiziert), IP-Adresse und Geräte-/Browserinformationen der geworbenen Person beim Klick auf den Referral-Link, Prämien- und Einlösestatus.
Zwecke: Durchführung des Referral-Programms, Zuordnung von Empfehlungen zu werbenden Nutzern, Prämienvergabe, Betrugserkennung und Missbrauchsprävention.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), da die Teilnahme auf einer gesonderten Einwilligung beruht. Für die Verarbeitung von Geräte-/Browserinformationen der geworbenen Person beim Klick auf den Referral-Link: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Zuordnung der Empfehlung und Betrugserkennung); für den Zugriff auf Endgeräteinformationen § 25 Abs. 1 TTDSG, sofern nicht technisch unbedingt erforderlich.
Empfänger/Verarbeiter: GrowSurf, Inc. (USA). GrowSurf handelt als Auftragsverarbeiter von ChangePath auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.“
Drittlandtransfer: GrowSurf, Inc. hat ihren Sitz in den Vereinigten Staaten. Die Übermittlung ist über Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.
Speicherdauer: Referral-Daten werden für die Dauer der Teilnahme am Referral-Programm gespeichert. Nach Beendigung der Teilnahme oder Löschung des Nutzerkontos werden die Daten gemäß dem allgemeinen Löschkonzept (Abschnitt C.13) gelöscht, sofern keine steuer- oder handelsrechtlichen Aufbewahrungspflichten entgegenstehen.
 

12. Minderjährige
Die App richtet sich an Nutzer ab 16 Jahren; Coaching-Leistungen sind ab 18 Jahren verfügbar. ChangePath erhebt bei der Registrierung eine Altersangabe im Rahmen einer Selbstauskunft. ChangePath verarbeitet wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Erlangt ChangePath Kenntnis davon, dass ein Nutzer unter 16 Jahre alt ist, werden die entsprechenden Daten unverzüglich gelöscht.
 

13. Zeitraum der Datenspeicherung (Allgemeines Löschkonzept)
 

  • Account-Daten: Löschung nach Vertragsende, sofern keine Aufbewahrungspflichten entgegenstehen.

  • Inaktive Accounts: Löschung oder Anonymisierung nach 36 Monaten Inaktivität.

  • Nutzereingaben/Insights (Convex): Löschung mit Account-Löschung oder auf Ihr Verlangen.

  • Support-Kommunikation: Löschung 12 Monate nach Vorgangsabschluss.

  • Marketing/Analytics-Rohdaten: in der Regel 14 Monate; aggregiert länger ohne Personenbezug.

  • Steuer/Handelsrecht: Löschung nach 6 bzw. 10 Jahre. 

  • Wix-Nutzerkonfiguration: Löschung nach 12 Monaten.
     

14. Datensicherheit

ChangePath setzt angemessene technische und organisatorische Maßnahmen ein (Verschlüsselung, Zugriffskontrollen, Protokollierung, Rollenkonzepte, Backups) und passt sie fortlaufend an den Stand der Technik und das Risiko an. Nähere Informationen erhalten Sie auf Anfrage.

 

15. Keine automatisierte Entscheidungsfindung mit Rechtswirkung

ChangePath trifft keine automatisierten Entscheidungen, die rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Personalisierung und Profilbildung dienen ausschließlich der inhaltlichen Anpassung der App.

 

16. Zweckänderung

ChangePath verwendet Daten nur für die beschriebenen Zwecke. Bei abweichenden Zwecken informiert ChangePath vorab und holt erforderliche Einwilligungen ein.

 

D. Verantwortlichkeit und Kontakte

  1. Verantwortlicher
    ChangePath – Bonanso Change Collective GmbH
    Lohmühlenstraße 65, 12435 Berlin, Deutschland
    Telefon: +49 15127001257
    E-Mail: annsophie@changepath.ai
     

  2. Datenschutzbeauftragte*r / Datenschutz-Kontakt
    ChangePath ist derzeit nach § 38 Abs. 1 BDSG nicht zur Benennung eines Datenschutzbeauftragten verpflichtet, da regelmäßig weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Eine Benennungspflicht nach Art. 37 Abs. 1 lit. b oder c DSGVO (umfangreiche Verarbeitung besonderer Kategorien oder systematische Überwachung) besteht ebenfalls nicht.

    Für Datenschutzanfragen wenden Sie sich bitte an: annsophie@changepath.ai.
     

  3. Datenerhebung bei Kontaktaufnahme
    Wenn Sie ChangePath per E-Mail oder Formular kontaktieren, werden Ihre Angaben zur Bearbeitung der Anfrage verarbeitet und nach Abschluss gemäß C.11 gelöscht oder verarbeitet beschränkt aufbewahrt.

E. Datenverarbeitung durch Dritte

  1. Auftragsverarbeitung und sonstige Empfänger
    ChangePath setzt sorgfältig ausgewählte Dienstleister ein und schließt Auftragsverarbeitungsverträge nach Art. 28 DSGVO.
    Kategorien von Empfängern: Hosting/CMS (Wix), Hosting (Sevalla/Kinsta), Datenbank (Convex), Authentifizierung (Clerk), Workflow (n8n), AI-Provider (OpenAI), Analytics/Ads (Google, Meta, TikTok, LinkedIn, Wix Analytics), Tag-Management (Google Tag/GTM), Newsletter (Substack), Mailing (Wix, Brevo), Produktmetriken (Posthog), Observability (Langfuse), Payment (Stripe, Apple, Google, RevenueCat), Referral- Programm (GrowSurf), IT-Sicherheit und Support. Darüber hinaus können gesetzliche Empfängerstellen (Behörden, Gerichte) betroffen sein.
     

  2. Drittlandübermittlungen
    Soweit Daten außerhalb des EWR verarbeitet werden, stellt ChangePath ein angemessenes Datenschutzniveau sicher, etwa durch EU-Standardvertragsklauseln und zusätzliche technische Maßnahmen, sowie – soweit einschlägig – durch das EU-US Data Privacy Framework bei zertifizierten Anbietern.

    Bei den folgenden Auftragsverarbeitern erfolgt die Verarbeitung der Anwendungsdaten ausschließlich auf Servern innerhalb der Europäischen Union: Sevalla (Frankfurt am Main, Google Cloud Platform europe-west3), Posthog Cloud EU (Frankfurt am Main, AWS eu-central-1), Langfuse Cloud EU (Frankfurt am Main, AWS) sowie n8n Cloud (EU-Region). Langfuse und n8n werden zudem von Gesellschaften mit Sitz in der Europäischen Union betrieben (Langfuse GmbH, Deutschland; n8n GmbH, Berlin). Sevalla und Posthog werden von Gesellschaften mit Sitz in den Vereinigten Staaten betrieben (Kinsta, Inc. bzw. PostHog Inc.); ein administrativer Fernzugriff durch diese Gesellschaften aus den USA ist im Rahmen von Wartung und technischem Support möglich und über die im jeweiligen Auftragsverarbeitungsvertrag vereinbarten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.

    Bei den folgenden Empfängern findet eine Übermittlung personenbezogener Daten in die Vereinigten Staaten statt:

 

Als Auftragsverarbeiter von ChangePath: Convex (Convex, Inc.) zur Speicherung der Anwendungsdaten, OpenAI (OpenAI, L.L.C.) zur KI-gestützten Auswertung pseudonymisierter Nutzungsdaten, Clerk (Clerk, Inc.) zur Authentifizierung, RevenueCat (RevenueCat, Inc.) zur Abonnementverwaltung der Mobile App und GrowSurf (GrowSurf, Inc.) zur Durchführung des Referral-Programms.

Als eigene Verantwortliche: Apple Inc. im Rahmen des Apple App Store und der In-App-Käufe unter iOS sowie Google LLC im Rahmen des Google Play Store und der In-App-Käufe unter Android.Die Übermittlung in die Vereinigten Staaten ist wie folgt abgesichert: Für Clerk, OpenAI, Apple und Google liegt eine Zertifizierung unter dem EU-US Data Privacy Framework vor; die Übermittlung beruht insoweit auf dem Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 (Beschluss (EU) 2023/1795). 

Für Convex, RevenueCat und GrowSurf erfolgt die Absicherung über Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO in Verbindung mit dem jeweiligen Auftragsverarbeitungsvertrag, ergänzt durch technische und organisatorische Schutzmaßnahmen, insbesondere Verschlüsselung der Daten im Ruhezustand und während der Übertragung.

Weitere Informationen stellt ChangePath auf Anfrage bereit. 

 

3.     Gesetzliche Übermittlungspflichten

ChangePath kann zur Übermittlung rechtmäßig verarbeiteter Daten an öffentliche Stellen verpflichtet sein, wenn eine Rechtsnorm dies vorsieht.
 

F.  Ihre Rechte


Sie haben gegenüber ChangePath folgende Rechte: 

  • Auskunft (Art. 15 DSGVO), 

  • Berichtigung (Art. 16), 

  • Löschung (Art. 17), 

  • Einschränkung (Art. 18), 

  • Datenübertragbarkeit (Art. 20), 

  • Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen oder zu Direktmarketing (Art. 21) sowie 

  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3). 

Zur Ausübung wenden Sie sich an die oben angegebenen Kontaktdaten. Sie haben zudem das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde, insbesondere bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit (www.datenschutz-berlin.de). 

G. Ort der Einholung von Einwilligungen und Bestätigung der Hinweise

ChangePath stellt diese Datenschutzhinweise in der App bereit. Einwilligungen für nicht notwendige Technologien sowie – falls erforderlich – für bestimmte Verarbeitungen werden elektronisch eingeholt, protokolliert und können jederzeit widerrufen werden.

bottom of page