Datenschutzerklärung

Version 1.0|Last updated: März 2026|Effective: März 2026

Diese Datenschutzerklärung informiert Sie darüber, wie Talari AI Services OÜ Ihre personenbezogenen Daten im Zusammenhang mit der talari.ai-Plattform und dem KI-gestützten NinaSession-Dienst erhebt, verarbeitet und schützt.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:

Talari AI Services OÜ

Straße und Hausnummer

PLZ und Ort, Estland

Registernummer: Estnische Handelsregisternummer

E-Mail: legal@talari.ai

2. Datenschutzbeauftragter

Für Fragen zum Datenschutz oder zur Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte an unseren Datenschutzbeauftragten:

E-Mail: dpo@talari.ai

Sie können den Datenschutzbeauftragten jederzeit bezüglich aller datenschutzrechtlichen Fragen kontaktieren.

3. Kategorien personenbezogener Daten

Im Rahmen der Nutzung unserer Plattform verarbeiten wir die folgenden Kategorien personenbezogener Daten:

Kontodaten: Name, E-Mail-Adresse, gehashtes Passwort, Rolle, Mandanten-Zugehörigkeit
Sitzungsdaten: Audiotranskriptionen, KI-generierte Berichte, Sitzungsmetadaten (Dauer, Typ, Zeitstempel)
Gesundheitsbezogene Daten: Informationen, die während therapeutischer oder beratender Sitzungen über NinaSession erfasst werden (besondere Kategorie gemäß Art. 9 DSGVO)
Technische Daten: IP-Adresse, Browser-Typ, Geräteinformationen, JWT-Sitzungs-Token
Zahlungsdaten: Abrechnungsinformationen, die über Stripe verarbeitet werden (wir speichern keine vollständigen Zahlungskartendaten)
Kommunikationsdaten: Supportanfragen, E-Mail-Korrespondenz
Remote-Sitzungsdaten: Gastname, E-Mail-Adresse (falls angegeben), Einwilligungsstatus
Hochgeladene Dokumente: Kontextdokumente für die KI-Analyse (ephemere Verarbeitung)

4. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten auf Grundlage der folgenden Rechtsgrundlagen der DSGVO:

Data	Purpose	Legal Basis	Retention
Name, E-Mail-Adresse	Kontoregistrierung und -verwaltung	Art. 6 Abs. 1 lit. b DSGVO	Bis zur Kontolöschung
Audio-Transkriptionen	Sitzungstranskription (Audio zu Text)	Art. 6 Abs. 1 lit. b + Art. 9 Abs. 2 lit. h DSGVO	Durch Nutzer steuerbar
PII-Zuordnungstabellen	PII-Anonymisierungszuordnung	Art. 6 Abs. 1 lit. c DSGVO	Sitzungsbezogen
Anonymisierte Transkripte	KI-Analyse und Berichterstellung	Art. 6 Abs. 1 lit. b DSGVO	Durch Nutzer steuerbar
Dauer, Typ, Zeitstempel	Sitzungsmetadaten	Art. 6 Abs. 1 lit. b DSGVO	Bis zur Kontolöschung
Gastname, E-Mail, Einwilligung	Remote-Sitzung Gastdaten	Art. 6 Abs. 1 lit. a DSGVO	Sitzungsdauer + 30 Tage
Kontextdokumente	Hochgeladene Kontextdokumente für KI-Verarbeitung	Art. 6 Abs. 1 lit. b DSGVO	Ephemer (nach Verarbeitung gelöscht)
Zahlungsinformationen	Abrechnung und Zahlung über Stripe	Art. 6 Abs. 1 lit. b DSGVO	7 Jahre (Steuerrecht)
JWT-Token, Redis-Sitzungen	Authentifizierung und Sitzungsverwaltung	Art. 6 Abs. 1 lit. c DSGVO	2 Stunden (Sitzungs-TTL)
Benutzeraktionen, IP-Adressen	Audit-Protokolle	Art. 6 Abs. 1 lit. c DSGVO	90 Tage
Anonymisierte Prompts	LLM-Anbieteraufrufe (anonymisiert)	Art. 6 Abs. 1 lit. b DSGVO	Nicht gespeichert (Echtzeit)

5. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

NinaSession kann Gesundheitsdaten verarbeiten, wenn es im therapeutischen oder beratenden Kontext eingesetzt wird. Diese Daten unterliegen dem besonderen Schutz gemäß Art. 9 DSGVO.

Die Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) in Verbindung mit den folgenden Schutzmaßnahmen:

Vor der Übermittlung an KI-Modelle erfolgt eine automatische PII-Anonymisierung
Ende-zu-Ende-Verschlüsselung bei der Übertragung (TLS 1.3)
Mandantenisolierung auf Datenbankebene (Multi-Tenant-Architektur)
Rollenbasierte Zugriffskontrolle (RBAC) mit minimalen Berechtigungen
Audioaufnahmen werden lokal im Browser verarbeitet und nicht dauerhaft auf unseren Servern gespeichert

6. Automatisierte Verarbeitung und Profiling

Unsere Plattform setzt KI-Modelle zur Verarbeitung von Sitzungstranskriptionen und zur Erstellung analytischer Berichte ein. Dies stellt eine automatisierte Verarbeitung im Sinne von Art. 22 DSGVO dar.

Wir stellen klar:

Es erfolgt kein Profiling von Nutzern oder deren Klienten
KI-generierte Berichte stellen keine medizinischen Diagnosen dar
Es werden keine automatisierten Entscheidungen mit rechtlicher Wirkung getroffen
Alle KI-Ausgaben dienen ausschließlich als Hilfsmittel für den Fachbenutzer

7. Drittanbieter und Auftragsverarbeiter

Wir setzen die folgenden Drittanbieter als Auftragsverarbeiter gemäß Art. 28 DSGVO ein:

Processor	Country	Purpose	Safeguard
Hetzner Online GmbH	Deutschland	Server-Hosting und Infrastruktur	EU-Rechenzentrum, AVV
Stripe, Inc.	USA	Zahlungsabwicklung	EU-US DPF, SCCs
Mailtrap (Railsware)	Ukraine / USA	Transaktions-E-Mails	SCCs, Verschlüsselung
Ollama / LLM-Anbieter	Variabel	KI-Modell-Inferenz (anonymisierte Daten)	Nur anonymisierte Daten, keine PII
Telegram Bot API	Vereinigte Arabische Emirate	Messaging-Integration (optional)	Nur bei Aktivierung durch Nutzer

Mit allen Auftragsverarbeitern wurden Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen.

8. Internationale Datenübermittlungen

Soweit personenbezogene Daten an Empfänger in Drittländern übermittelt werden (d. h. Länder außerhalb des Europäischen Wirtschaftsraums), erfolgt dies auf Grundlage folgender Garantien:

Angemessenheitsbeschluss: Für Länder mit einem Angemessenheitsbeschluss der EU-Kommission (z. B. EU-US Data Privacy Framework)
Standardvertragsklauseln (SCCs): Gemäß Art. 46 Abs. 2 lit. c DSGVO, in der von der EU-Kommission am 4. Juni 2021 genehmigten Fassung
Technische Maßnahmen: Verschlüsselung bei der Übertragung, Pseudonymisierung und PII-Anonymisierung vor der Datenübermittlung

Unser primärer Server-Standort befindet sich in Deutschland (Hetzner). Gesundheitsbezogene Daten werden grundsätzlich nicht an Drittländer übermittelt — an LLM-Anbieter werden ausschließlich anonymisierte Daten übertragen.

9. Speicherfristen

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

Kontodaten: Bis zur Löschung des Kontos durch den Nutzer, zuzüglich gesetzlicher Aufbewahrungsfristen
Sitzungsdaten: Durch den Nutzer steuerbar; können jederzeit gelöscht werden
Authentifizierungssitzungen: 2 Stunden (automatischer Ablauf)
Audit-Protokolle: 90 Tage
Abrechnungsdaten: 7 Jahre (gemäß Steuer- und Handelsrecht)
Remote-Sitzung Gastdaten: Sitzungsdauer zuzüglich 30 Tage
Hochgeladene Kontextdokumente: Werden unmittelbar nach der Verarbeitung gelöscht (ephemere Verarbeitung)

Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder irreversibel anonymisiert.

10. Ihre Rechte nach der DSGVO (Art. 15–22)

Als betroffene Person stehen Ihnen die folgenden Rechte zu:

Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen.
Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger Daten zu verlangen.
Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, der Verarbeitung Ihrer Daten zu widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO beruht.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an dpo@talari.ai. Wir werden Ihre Anfrage innerhalb von 30 Tagen bearbeiten. Bei komplexen Anfragen kann die Frist um weitere 60 Tage verlängert werden, worüber wir Sie informieren werden.

11. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Für Deutschland:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)

Website: www.bfdi.bund.de

Alternativ können Sie sich an die zuständige Landesdatenschutzbehörde Ihres Bundeslandes wenden.

Für Estland (Sitz des Verantwortlichen):

Andmekaitse Inspektsioon (Estnische Datenschutzaufsichtsbehörde)

Website: www.aki.ee

12. Cookie-Richtlinie

Unsere Plattform verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Website und die Bereitstellung unserer Dienste erforderlich sind:

Authentifizierungs-Cookie (HttpOnly): JWT-Token zur Sitzungsverwaltung — erforderlich für die sichere Anmeldung
Sprachpräferenz: Speicherung der gewählten Sprache der Benutzeroberfläche

Wir verwenden keine Tracking-Cookies, keine Analyse-Cookies und keine Werbe-Cookies. Ein Cookie-Banner ist daher nicht erforderlich, da ausschließlich technisch notwendige Cookies eingesetzt werden (§ 25 Abs. 2 TDDDG / Art. 5 Abs. 3 ePrivacy-Richtlinie).

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, um Änderungen unserer Datenverarbeitungspraktiken oder rechtlichen Anforderungen Rechnung zu tragen. Bei wesentlichen Änderungen werden wir Sie per E-Mail oder über eine Benachrichtigung auf der Plattform informieren.

Das Datum der letzten Aktualisierung finden Sie am Anfang dieses Dokuments. Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig zu überprüfen.