Datenschutzerklärung

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben einen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen und ein VocaPulse-Konto anlegen. Wir verarbeiten so wenige Daten wie möglich; Audiodaten und Transkriptionen verlassen niemals Ihr Gerät.

2. Verantwortliche Stelle

Manuel Evers
Goldweiherstr. 40, 90480 Nürnberg, Deutschland
E-Mail: hello@vocapulse.app

3. Datenerfassung auf dieser Website

Cookies

Wir verwenden ausschließlich ein technisch notwendiges Session- Cookie (vocapulse-session, HttpOnly, SameSite=Lax), um Sie nach dem Login wiederzuerkennen. Es werden keine Tracking-, Analyse- oder Werbe-Cookies gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines sicheren Logins).

Hosting und Server-Log-Dateien

Diese Website wird gehostet bei Hostinger International Ltd., Jonavos g. 60C, 44192 Kaunas, Litauen. Mit Hostinger besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die Verarbeitung findet im Rechenzentrum Frankfurt am Main (Deutschland) statt. Beim Aufruf der Website werden vom Hosting-Provider automatisch Server-Logs erhoben: Browsertyp, Betriebssystem, Referrer-URL, Hostname, Uhrzeit, IP-Adresse. E-Mail-Adressen, Einmalcodes (OTP), Geräte-Tokens und Machine-IDs werden grundsätzlich nicht geloggt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen und sicheren Betrieb). Speicherdauer: 14 Tage, danach automatische Löschung.

4. Registrierung und Nutzerkonto

VocaPulse ist passwortlos. Für die Kontoerstellung und den Login erheben wir ausschließlich Ihre E-Mail-Adresse. Es wird ein einmaliger 6-stelliger Code per E-Mail versendet, der nach 10 Minuten verfällt. Zusätzlich werden erhoben: Zeitpunkt der Registrierung, Zeitpunkt der Einwilligung, aktuelles Abonnement (Tarif & Status).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung zur Verarbeitung der E-Mail-Adresse, erteilt bei der Registrierung). Die Einwilligung kann jederzeit durch Kontolöschung widerrufen werden.

5. Gerätelizenzierung

Für die Aktivierung der Desktop-Anwendung speichern wir pro Gerät: einen Geräte-Token (als kryptografischer Hash, niemals im Klartext), einen gepfefferten Hash der Machine-ID des Geräts, optionaler Gerätename, Zeitstempel der Registrierung und der letzten Nutzung. Die Machine-ID selbst wird niemals an unsere Server übertragen — der Client sendet ausschließlich einen lokalen Hash, den wir serverseitig nochmals mit einem geheimen Pepper hashen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Das Gerätelimit hängt vom Tarif ab: FREE 1 Gerät, PRO 3 Geräte.

6. E-Mail-Versand durch Resend

Für den Versand transaktionaler E-Mails (Login-Codes, neue Geräte-Benachrichtigungen) nutzen wir Resend (Resend Inc.). Die Verarbeitung findet in der EU-Region (Irland) statt. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutzerklärung von Resend: https://resend.com/legal/privacy-policy

7. Zahlungsabwicklung über Stripe

Die Zahlungsabwicklung für den Pro-Tarif erfolgt über Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Mit Stripe besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Beim Bezahlvorgang werden Ihre Zahlungsdaten (Kartennummer, IBAN, etc.) direkt an Stripe übermittelt — wir selbst haben zu keinem Zeitpunkt Zugriff auf vollständige Zahlungsdaten. Wir erhalten von Stripe ausschließlich: eine Stripe-Kunden-ID, den Status Ihres Abonnements (aktiv, gekündigt, Zahlungsausfall), den Tarif (Free/Pro), den Abrechnungszeitraum (monatlich) sowie das Datum der nächsten Verlängerung. Diese Daten werden in unserer Datenbank Ihrem Konto zugeordnet und steuern den Zugriff auf die Pro-Funktionen der Desktop-Anwendung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten nach HGB und AO für Rechnungs- und Buchhaltungsdaten — 10 Jahre).

Stripe verarbeitet einen Teil der Daten in den USA. Stripe, Inc. ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Die Übermittlung stützt sich auf das Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO sowie ergänzend auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Datenschutzerklärung von Stripe: https://stripe.com/de/privacy

8. Support-Formular (Fehlermeldungen und Feature-Wünsche)

Wenn Sie in der VocaPulse Desktop-Anwendung einen Fehler melden oder einen Funktionswunsch einreichen, übertragen wir die von Ihnen eingegebenen Inhalte (Zusammenfassung und Beschreibung), die Anwendungsversion, Ihre Betriebssystembezeichnung sowie zwei anonyme interne Kennungen (Benutzer-ID und Geräte-ID) an unser selbst betriebenes Issue-Tracking auf git.vocapulse.app (Forgejo, gehostet bei Hostinger International Ltd. in der Europäischen Union).

Nicht übertragen werden: Ihre E-Mail-Adresse, Machine-ID, IP-Adresse, Audiodaten, Transkriptionen oder Geräte-Tokens. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung und Verbesserung des Produkts durch Bearbeitung von Nutzeranfragen).

Da das Issue-Tracking auf unserer eigenen Infrastruktur in der EU läuft, findet keine Drittlandübermittlung statt; ein gesondertes Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO mit einem externen Anbieter besteht für diese Verarbeitung nicht (siehe §6 zur Hostinger-Infrastruktur). Speicherdauer: solange dies zur Bearbeitung des Anliegens erforderlich ist; anschließend werden Tickets in angemessenen Abständen überprüft und geschlossen oder gelöscht. Bei Löschung Ihres Kontos entfernen wir den Bezug zwischen Ihrem Profil und den Tickets (die Kennungen im Ticket werden überschrieben), der reine Inhalt der Meldung kann zur Produktverbesserung erhalten bleiben.

9. Die VocaPulse Desktop-Anwendung

Die VocaPulse Desktop-Anwendung verarbeitet alle Sprachdaten ausschließlich lokal auf Ihrem Gerät. Audiodaten verbleiben nur im Arbeitsspeicher und werden nach der Transkription sofort verworfen. Es werden keine Audiodaten, Transkriptionen oder Wortzahlen an unsere Server oder Drittanbieter übermittelt.

Die Anwendung stellt Internetverbindungen ausschließlich in den folgenden, technisch klar abgegrenzten Fällen her:

  • Erstmalige Geräte-Aktivierung: übermittelt Gerätenamen und einen lokal berechneten Hash der Machine-ID (siehe §5).
  • Tarif- und Lizenz-Abfrage an vocapulse.app: übermittelt einen Geräte-Token und den Machine-ID-Hash; ca. einmal täglich.
  • Update-Prüfung an vocapulse.app (Versions-Manifest).
  • Sprachmodell-Downloads bei Erstinstallation oder Modellwechsel (Hugging Face).
  • Support-Tickets — nur wenn Sie aktiv eine Fehlermeldung oder einen Funktionswunsch absenden (siehe §8 für die übermittelten Inhalte).
  • Optional und Opt-in: Ende-zu-Ende-verschlüsselte Geräte-Synchronisation (geplant). Aktivierung ausschließlich durch ausdrückliche Zustimmung.

In keinem dieser Fälle werden Ihre Audiodaten, Transkriptionen oder eingegebenen Texte übertragen. Die rohe Machine-ID verlässt Ihr Gerät niemals — nur ein lokal berechneter Hash (siehe §5).

10. Ihre Rechte (DSGVO)

Sie haben das Recht auf: Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO), Widerspruch (Art. 21 DSGVO).

Zur Ausübung dieser Rechte genügt eine formlose E-Mail an hello@vocapulse.app. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO). Ein Konto inklusive aller zugehörigen Geräte und Tokens können Sie zusätzlich jederzeit selbst in Ihrem Konto über „Delete my account" vollständig löschen (unwiderruflich).

Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei der für unseren Sitz zuständigen Datenschutzaufsichtsbehörde zu beschweren:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Telefon: +49 981 180093-0
E-Mail: poststelle@lda.bayern.de
Web: https://www.lda.bayern.de

11. Auftragsverarbeiter und Sub-Auftragsverarbeiter

Wir setzen die folgenden Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit jedem dieser Dienstleister besteht ein Auftragsverarbeitungsvertrag.

  • Hostinger International Ltd. — Jonavos g. 60C, 44192 Kaunas, Litauen — Hosting der Website und der Datenbank im Rechenzentrum Frankfurt am Main (Deutschland).
  • Resend Inc. — 2261 Market Street #5039, San Francisco, CA 94114, USA — Versand transaktionaler E-Mails (Login-Codes, neue Geräte-Benachrichtigungen). Verarbeitung in der EU-Region (Irland). Drittlandtransfers werden über die EU-U.S. DPF und ergänzende Standardvertragsklauseln abgesichert.
  • Stripe Payments Europe, Limited — 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (Sub-Auftragsverarbeiter: Stripe, Inc., USA — EU-U.S. DPF zertifiziert) — Zahlungsabwicklung Pro-Tarif.
  • Eigenbetrieb (Forgejo auf Hostinger EU) — Issue-Tracking für Support-Tickets aus der Desktop-Anwendung läuft auf git.vocapulse.app und damit auf derselben EU-Infrastruktur wie der Website-Betrieb (siehe §6, §8). Kein separates Sub-Auftragsverarbeitungsverhältnis.
  • Hugging Face, Inc. — 20 Jay Street, Suite 620, Brooklyn, NY 11201, USA — Auslieferung der Sprachmodelle als CDN-Download bei Erstinstallation oder Modellwechsel. Es werden keine Konto-, Audio- oder Transkriptionsdaten an Hugging Face übermittelt; lediglich Ihre IP-Adresse wird beim Download technisch übertragen. Drittlandtransfer auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

12. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben.

  • Konto-Daten (E-Mail, Tarif-Status): bis zur Kontolöschung durch den Nutzer; danach unmittelbare Hard-Deletion.
  • Geräte-Records (Geräte-Token-Hash, Machine-ID-Hash, Gerätename): bis zur Deaktivierung des Geräts oder Kontolöschung.
  • OTP-Einmalcodes: maximal 10 Minuten ab Versand, danach automatischer Verfall.
  • Server-Logs: 14 Tage, danach automatische Löschung.
  • Stripe-Rechnungs- und Zahlungsdaten: 10 Jahre gemäß § 257 HGB und § 147 AO (Aufbewahrungspflicht für Buchungsbelege).
  • Support-Tickets (eigenes Forgejo, EU): bis zur abschließenden Bearbeitung; danach regelmäßige Überprüfung und Schließung. Bei Kontolöschung wird die Verknüpfung zwischen Profil und Tickets gelöst (Pseudonymisierung der Kennungen im Ticket).
  • Datenbank-Backups: rollierend bis zu 30 Tage, danach automatische Überschreibung.

13. Datensicherheit (Art. 32 DSGVO)

Wir treffen technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

  • Transportverschlüsselung: die gesamte Kommunikation zwischen Browser bzw. Desktop-Anwendung und unseren Servern erfolgt ausschließlich über TLS 1.2+ (HTTPS).
  • Verschlüsselung sensibler Daten: Geräte-Tokens werden ausschließlich als kryptografische Hashes gespeichert, niemals im Klartext. Machine-IDs werden sowohl client- als auch serverseitig gepfeffert gehashed (siehe §5). Die lokale Transkriptionshistorie der Desktop-Anwendung ist mit AES-256-GCM zeilenweise verschlüsselt (siehe §9).
  • Zugriffskontrolle: der Zugriff auf die Produktivdatenbank ist auf den Anbieter persönlich beschränkt; es existieren keine weiteren Mitarbeiter mit Datenzugriff.
  • EU-Hosting: primäre Datenspeicherung erfolgt ausschließlich in der EU.
  • Backup-Verschlüsselung: Datenbank-Backups werden verschlüsselt abgelegt.
  • Datenminimierung: wir erheben grundsätzlich nur die Daten, die zur Erbringung des Dienstes erforderlich sind. Audio, Transkriptionen und Wortzahlen werden niemals erhoben.

14. Pre-Launch-Warteliste

Vor dem öffentlichen Launch betreiben wir eine Warteliste, auf die Sie sich freiwillig eintragen können, um über den Beta- und Early-Access-Start informiert zu werden.

Verarbeitete Daten: E-Mail-Adresse, ein Sprach-Tag (en/de) zur Wahl der E-Mail- Sprache, ein Kennzeichen, ob Sie sich für die Beta-Phase interessieren, sowie eine Position auf der Warteliste, die nach Bestätigung Ihrer E-Mail-Adresse vergeben wird. Zusätzlich speichern wir den Zeitpunkt der Einwilligung, um deren Erteilung dokumentieren zu können (Art. 7 Abs. 1 DSGVO).

Zweck: Versand von genau drei transaktionalen E-Mails: (1) eine Bestätigungsmail mit einem einmaligen Aktivierungslink (Double-Opt-In), (2) eine Mail bei Eröffnung der Beta- Phase, (3) eine Mail bei Eröffnung des Early Access. Eine gesonderte Beta-Einladung erhalten Sie nur dann, wenn Sie ausdrücklich Interesse an der Beta-Phase bekundet haben und einen der ersten 25 Plätze zugewiesen bekommen. Werbliche Massenmails versenden wir nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Diese wird durch das aktive Setzen einer nicht-vorausgewählten Checkbox im Anmeldeformular erteilt und ist jederzeit per Klick auf den Abmelde-Link in jeder E-Mail oder durch formlose Mail an hello@vocapulse.app widerrufbar.

Speicherdauer: Bis zur Abmeldung, längstens jedoch 30 Tage nach dem öffentlichen Launch. Danach werden die Datensätze vollständig gelöscht. Bei einer Abmeldung über den Link in einer unserer E-Mails wird der Datensatz unmittelbar und ohne Aufbewahrung gelöscht (Recht auf Löschung, Art. 17 DSGVO).

Auftragsverarbeiter: Der E-Mail-Versand erfolgt über Resend (siehe Abschnitt 6); die Speicherung erfolgt in unserer eigenen PostgreSQL-Datenbank in der EU (siehe Abschnitt 3). Eine Weitergabe an Dritte zu Werbe- oder Analysezwecken findet nicht statt; insbesondere setzen wir keine Tracking-Pixel oder Referral-Tracking ein.

15. Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf einer Einwilligung beruht (insbesondere die Verarbeitung Ihrer E-Mail-Adresse zur Konto-Authentifizierung), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt. Der Widerruf erfolgt durch eine formlose E-Mail an hello@vocapulse.app oder durch vollständige Kontolöschung in der Anwendung.

16. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO einschließlich Profiling findet nicht statt. Es werden keine algorithmischen Entscheidungen mit rechtlicher Wirkung oder vergleichbarer Beeinträchtigung für die betroffene Person getroffen.

17. Aktualisierung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienstleistungen sowie der Datenverarbeitung anzupassen. Maßgeblich ist die jeweils zum Zeitpunkt der Verarbeitung gültige Fassung. Über wesentliche Änderungen — insbesondere solche, die einer aktiven Bestätigung bedürfen — werden registrierte Nutzer per E-Mail informiert.

Stand: 6. Mai 2026