Datenschutzerklärung
Stand: 28. Juni 2026 · Version v1.5 · Diese deutsche Fassung ist die rechtlich verbindliche.
1. Datenschutz auf einen Blick
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit deinen personenbezogenen Daten passiert, wenn du diese Website besuchst oder unsere macOS-App Voiceit nutzt.
Wichtig: Voiceit verarbeitet Sprache lokal auf deinem Gerät. Audio-Aufnahmen verlassen dein Gerät nicht. Erst wenn du Prompt- oder Agent-Mode aktiv nutzt, geht der bereits transkribierte Text (nie Audio) an einen KI-Anbieter.
2. Verantwortlicher i.S.d. DSGVO
Verantwortliche Stelle im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:
Marcel Porcher
Newways
Rabestraße 6
10405 Berlin
USt-IdNr: DE344920245
E-Mail: marcel@newways.ai
3. Datenschutzbeauftragter
Es besteht keine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO und § 38 BDSG (Solo-Selbständiger, keine regelmäßige umfangreiche Verarbeitung besonderer Kategorien). Datenschutzanfragen richtest du direkt an marcel@newways.ai.
4. Rechtsgrundlagen und Speicherdauer
Rechtsgrundlagen Art. 6 DSGVO
- Art. 6 Abs. 1 lit. a (Einwilligung): Newsletter, Lead-Magnete, Instagram-Keyword-Comment-DM, Marketing-E-Mails
- Art. 6 Abs. 1 lit. b (Vertragserfüllung): App-Bereitstellung, Account, Pro-Subscription via Stripe
- Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung): Aufbewahrung steuerrelevanter Daten
- Art. 6 Abs. 1 lit. f (berechtigtes Interesse): Hosting-Logs, Trustpilot-Widget, externe Verlinkungen, Update-Checks
Interessenabwägung bei Art. 6(1)(f)
Bei Verarbeitungen auf Basis berechtigter Interessen führen wir eine schriftliche Interessenabwägung durch. Diese Dokumentation legen wir auf Anfrage der zuständigen Aufsichtsbehörde vor.
Aufbewahrungsdauer pro Datenkategorie
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Hosting-Logs Vercel (IP, User-Agent) | 7 Tage volle Logs, danach 23 Tage aggregiert | Art. 6(1)(f) |
| Newsletter-/Lead-Magnet-E-Mails | bis Widerruf + 1 Monat | Art. 6(1)(a) |
| Account-Daten Supabase | solange Account besteht, bei Löschung sofort | Art. 6(1)(b) |
| Stripe-Zahlungsbelege | 10 Jahre (GoBD/§ 147 AO) | Art. 6(1)(c) |
| Lokale Transkripte und Audio | 30 Tage Auto-Löschung, jederzeit manuell löschbar | lokal, keine Übertragung |
| KI-Anfragen Google Vertex AI | ~24h Abuse-Cache (kein Training auf Kundendaten) | Art. 6(1)(b) |
| Lizenz-Verifikations-Logs | 30 Tage (Supabase Edge Function Logs) | Art. 6(1)(b)/(f) |
| In-App-Feedback | bis Issue geschlossen, danach 2 Jahre Archiv | Art. 6(1)(f) |
| E-Mail-Korrespondenz | 3 Jahre nach Anliegen-Abschluss | Art. 6(1)(b)/(f) |
5. Rechte der betroffenen Person
Als betroffene Person hast du jederzeit das Recht auf:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung / „Recht auf Vergessenwerden" (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde
Zur Geltendmachung genügt eine formlose Mitteilung an marcel@newways.ai. Wir antworten innerhalb von 30 Tagen.
Widerspruchsrecht Art. 21 bei Direktwerbung
Du kannst jederzeit Widerspruch gegen die Verarbeitung deiner Daten zur Direktwerbung einlegen — per Klick auf den Abmeldelink in jeder E-Mail oder per Nachricht an marcel@newways.ai.
Zuständige Aufsichtsbehörde
Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)
Friedrichstr. 219, 10969 Berlin
Telefon: +49 (0)30 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Web: datenschutz-berlin.de
6. Automatisierte Entscheidungen (Art. 22 DSGVO)
Wir setzen keine automatisierten Entscheidungsverfahren im Sinne des Art. 22 DSGVO ein. Voiceit trifft keine rechtlich bindenden oder vergleichbar erheblichen Entscheidungen über dich. Die KI-Modi unterstützen dich bei Diktat und Text-Verfeinerung; du siehst alle KI-Ergebnisse, bevor sie eingefügt werden.
7. Bereitstellung der Website (Hosting)
Wir hosten die Inhalte unserer Website beim folgenden Anbieter:
Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA
Beim Aufruf erhebt und speichert Vercel automatisch Informationen in Server-Logfiles (IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Zugriffszeitpunkt). Diese Daten dienen der technisch fehlerfreien Bereitstellung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Drittland-Übermittlung USA: Die Datenübertragung wird durch EU-Standardvertragsklauseln (SCC) und das EU-U.S. Data Privacy Framework (DPF) abgesichert. Stand Mai 2026 ist DPF gültig, aber durch EuGH-Verfahren angefochten.
Sub-Subprozessoren: Vercel nutzt Amazon Web Services, Microsoft Azure und Google Cloud Platform als technische Infrastruktur.
Mit Vercel besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Details: vercel.com/legal/privacy-policy.
8. Local Storage und Cookies (TTDSG § 25)
Diese Website verwendet ausschließlich technisch notwendige Local-Storage-Einträge:
voiceit-theme— Speicherung deiner Theme-Präferenz (hell/dunkel)
Rechtsgrundlage: TTDSG § 25 Abs. 2 Nr. 2 (technisch unbedingt erforderlich, keine Einwilligung nötig) i.V.m. Art. 6 Abs. 1 lit. f DSGVO.
Es werden keine Tracking-Cookies, Analyse-Tools oder Marketing-Cookies eingesetzt. Daher kein Cookie-Banner.
9. Externe Dienste und Subprozessoren
Die folgende Tabelle listet alle Subprozessoren, an die personenbezogene Daten übermittelt werden können. Mit allen Anbietern mit Zugriff auf personenbezogene Daten besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) oder gleichwertige Vereinbarung.
| Anbieter | Sitz | Funktion | Daten | Drittland-Mechanismus | Datenschutz |
|---|---|---|---|---|---|
| Vercel Inc. | USA | Website-Hosting | IP, Logs | DPF + SCC | Link |
| Supabase Pte. Ltd. | EU (Irland, eu-west-1) | Account, Lizenz-Verifikation, App-Backend | E-Mail, Device-ID | EU-Hosting, US-Mutter (Supabase Inc., Delaware) — DPF + SCC | Link |
| Stripe, Inc. | USA + EU + UK | Pro-Subscription-Zahlung | Name, Adresse, Karten-/Bankdaten, Steuerinfo | DPF + SCC + UK-Adequacy | Link |
| Google Cloud EMEA Ltd | Irland / Frankfurt, DE | KI-Modell Gemini via Vertex AI (Prompt/Agent-Mode) | transkribierter Text (opt-in) | EU-intern (europe-west3) | Cloud DPA |
| Brevo (Sendinblue GmbH) | Berlin | Newsletter, Lead-Magnet-E-Mails | E-Mail, Name | EU-intern | Link |
| Newways Lead-Magnet-Service (self-hosted) | Frankfurt, DE | Instagram-Comment-to-DM-Automation (Lead-Magnete) | IG-Username, DM-Inhalt (Lead-Magnet-Links) | EU-intern (Hostinger Frankfurt) | Hostinger AVV |
| WhatsApp Ireland Ltd. (Meta) | Irland / USA | Kontakt-Link | Metadaten bei Klick | DPF + SCC | Link |
| Skool Inc. | USA | Community-Verlinkung | Klick-Metadaten | DPF + SCC | Link |
| Trustpilot A/S | Dänemark | Reviews-Widget | IP bei Widget-Ladung | EU-intern | Link |
| GitHub Inc. (Microsoft) | USA | Release-Distribution, Update-Check (alle 30 Min) | IP bei Download / Polling | DPF + SCC + Microsoft DPA | Link |
| Google Workspace | USA | Geschäftsmail marcel@newways.ai | E-Mail-Inhalte, Empfänger-Metadaten | DPF + SCC | DPA |
| Apple Inc. (Sign-in mit Apple — aktuell deaktiviert) | USA / EU | Optionale OAuth-Anmeldung | Apple-Nutzer-ID, E-Mail | DPF + Apple-Standards | Link |
| Google LLC (Sign-in mit Google — aktuell deaktiviert) | USA | Optionale OAuth-Anmeldung | Google-Nutzer-ID, E-Mail, Name | DPF + SCC | Link |
Hinweis zu US-Konzernmüttern (CLOUD Act). Einige Subprozessoren in der Tabelle oben (Google Cloud EMEA Ltd, Supabase Pte. Ltd., Stripe, Vercel, GitHub) gehören zu Konzernen mit US-Mutter. Der US CLOUD Act erlaubt US-Behörden theoretisch, Daten auch dann anzufordern, wenn sie physisch in der EU gespeichert sind. Wir reduzieren dieses Risiko aktiv: Audio-Aufnahmen verlassen dein Gerät nie. Nur transkribierter Text geht in den KI-Modi an Vertex AI in Frankfurt. Für Account- und Zahlungsdaten setzen wir auf EU-Hosting plus EU-Standardvertragsklauseln und das EU-U.S. Data Privacy Framework. Der Status des Frameworks wird durch laufende EuGH-Verfahren (Schrems-III) beobachtet — sollte er kippen, informieren wir dich proaktiv und stellen auf Standardvertragsklauseln plus Transfer Impact Assessment um.
Supabase DPA: Vertrag signiert am 25.05.2026 (Document Ref: WQJGP-LPPWT-HOCVQ-FZYVT, Part 2 vom 5. August 2025). Annex: EU-Standardvertragsklauseln (Commission Decision 2021/914).
10. KI-Verarbeitung (AI Act, Art. 50)
Voiceit nutzt ein lokales Voice-Modell auf deinem Mac. Voice-Aufnahmen werden niemals an externe Anbieter übertragen.
Zusätzlich kannst du optional Prompt- oder Agent-Mode aktivieren. Dabei wird der bereits lokal transkribierte Text (nicht Audio) über unsere Supabase Edge Function an einen KI-Anbieter weitergeleitet, um den Text zu verfeinern oder zu transformieren.
Routing: Supabase Edge Function → Google Cloud Vertex AI (europe-west3 Frankfurt, Failover europe-west4 Amsterdam).
Modell: Gemini 2.5 Flash via Vertex AI.
Kein Training: Google nutzt deine Daten nicht zum Training von KI-Modellen (Google Cloud DPA-Garantie).
Kein US-Routing: Alle KI-Anfragen bleiben in der EU.
Hinweis nach Art. 50 AI Act: Diese App nutzt Künstliche Intelligenz. KI-Ergebnisse können Fehler enthalten. Du siehst alle KI-Outputs, bevor sie eingefügt werden.
Rechtsgrundlage für die optionale KI-Nutzung: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung Pro-Subscription) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Mode-Auswahl).
11. Newsletter
Wenn du dich für unseren Newsletter einträgst, verarbeiten wir deine E-Mail-Adresse über Brevo (Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin). Brevo speichert die Daten auf Servern in der EU. Die Anmeldung erfolgt im Double-Opt-in-Verfahren — du bekommst eine Bestätigungsmail, die du klicken musst.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst den Empfang jederzeit widerrufen — per Klick auf den Abmeldelink in jeder Mail oder per Nachricht an marcel@newways.ai.
12. Lead-Magnete und Instagram-DM
Wenn du auf einem unserer Instagram-Posts ein bestimmtes Keyword kommentierst, sendet dir unser eigener, self-hosted Lead-Magnet-Service den angeforderten Lead-Magnet als Instagram-DM.
Anbieter: Newways (Marcel Porcher), Rabestraße 6, 10405 Berlin.
Server-Standort: Self-hosted auf einem Hostinger-VPS in Frankfurt, Deutschland (Hostinger Operations Ltd., Datacenter „fra"). Keine Drittland-Übermittlung.
Verarbeitete Daten: dein Instagram-Nutzername, der Inhalt deines Kommentars (Keyword-Erkennung) und die versendete DM-Antwort (standardisierte Lead-Magnet-Links/-Texte).
Speicherdauer: Keyword + IG-Username werden in einer eigenen PostgreSQL-Datenbank für die Dauer der Kampagne und maximal 6 Monate danach für statistische Auswertung gespeichert; danach automatische Löschung.
Sub-Prozessor: Hostinger Operations Ltd. als VPS-Hoster. AVV: hostinger.com/legal/data-processing-agreement.
Instagram-seitige Daten: Der Kommentar selbst und alle Metadaten werden von Meta/Instagram verarbeitet — darauf haben wir keinen Einfluss. Instagram-Datenschutzrichtlinie.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Keyword-Kommentar-Aktion).
13. E-Mail-Kontakt
Wenn du uns per E-Mail an marcel@newways.ai kontaktierst, wird deine Nachricht inklusive der personenbezogenen Daten zur Bearbeitung deines Anliegens gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogener Kommunikation, sonst Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: 3 Jahre nach Abschluss des Anliegens.
14. Lokales Mail.app-Lesen für OTP-Auto-Erkennung (v0.7.23+)
Bei der Anmeldung per E-Mail sendet Voiceit dir einen 6-stelligen Einmal-Code. Ab v0.7.23 kann die App diesen Code optional direkt aus deiner macOS Mail.app auslesen, damit du ihn nicht manuell kopieren musst.
Wo das passiert: Das Lesen findet vollständig auf deinem Mac über eine einzelne AppleScript-Abfrage gegen die letzten 5 Minuten deines Mail.app-Posteingangs statt. Voiceit filtert nach Sender-Adressen, die voiceit@, supabase@ oder noreply@ enthalten.
Was wird gelesen: nur der 6-stellige Code aus der E-Mail. Voiceit liest keine anderen E-Mail-Inhalte, Betreffzeilen oder Absenderinformationen außer dem Muster der Absender-Adresse.
Was wird übertragen: nichts. Der Code bleibt auf deinem Gerät, bis du ihn an Supabase Auth übermittelst, um die Anmeldung abzuschließen (gleicher Weg wie wenn du ihn manuell eintippen würdest).
Berechtigung: Die macOS Automation → Mail-Berechtigung wird nur bei der ersten Anmeldung angefordert. Du kannst sie jederzeit in Systemeinstellungen → Datenschutz & Sicherheit → Automation widerrufen.
Opt-out: Wenn du die Berechtigung ablehnst, funktioniert die Anmeldung trotzdem — du kopierst den Code einfach manuell wie gehabt.
14a. Nutzungsstatistik (Wortzahl)
Um das wöchentliche Wort-Kontingent des Free-Tarifs durchzusetzen und zu verstehen, wie Voiceit insgesamt genutzt wird, sendet die App eine kleine Menge an Nutzungsdaten — eine an deinen Account gebundene Wortzahl, niemals Diktat-Inhalte — an unser Backend (Supabase, EU).
Was gesendet wird: eine aggregierte Wortzahl (wie viele Wörter du in der aktuellen Woche diktiert hast) sowie einfache Zähler wie die Anzahl der KI-Aufgaben in diesem Monat und die Kalenderwoche. Das sind reine Zahlen.
Was niemals gesendet wird: der Inhalt deiner Diktate. Kein transkribierter Text, kein Audio und keine einzelnen Transkripte verlassen über diesen Weg deinen Mac. Die Zahl ist ein Zählwert, nicht die Wörter selbst.
Warum: Der Free-Tarif enthält ein wöchentliches Wortlimit, das nur durchgesetzt werden kann, wenn die Zahl serverseitig gespeichert wird (sonst würde sie bei jedem App-Neustart zurückgesetzt). Über alle Nutzer aggregiert zeigen diese Zahlen außerdem, ob das Produkt nützlich ist und wo wir es verbessern können.
Rechtsgrundlage: Art. 6(1)(f) DSGVO (berechtigtes Interesse am Betrieb und an der Verbesserung des Dienstes sowie an der Durchsetzung von Fair-Use-Limits). Interessenabwägung: Die Daten sind ein numerischer Zählwert, der pseudonym an deine Account-ID gebunden ist und keinen Diktat-Inhalt enthält; er kann nicht offenbaren, was du diktiert hast; der Eingriff in deine Privatsphäre ist minimal, während das Interesse an einem funktionierenden Limit und an Produkteinblicken real ist.
Aufbewahrung: Der aktuelle und der vorherige Wochenzähler werden gespeichert, solange dein Account aktiv ist, und bei Account-Löschung entfernt.
Opt-out: Da dieser Zählwert das Free-Limit durchsetzt, kann er im Free-Tarif nicht deaktiviert werden, ohne das Limit selbst zu entfernen. In einem kostenpflichtigen Tarif gilt das wöchentliche Wortlimit nicht; der Zählwert dient dann nur als Anzeigewert und account-gebundenes Nutzungssignal.
15. Datensicherheit (TOM nach Art. 32 DSGVO)
Wir setzen technische und organisatorische Maßnahmen (TOMs) ein, um deine Daten vor Verlust, Manipulation und unberechtigtem Zugriff zu schützen — verschlüsselte Übertragung (TLS), starke Authentifizierung, Zugriffsbeschränkungen, regelmäßige Updates. Eine vollständige TOM-Dokumentation führen wir intern und legen sie bei Aufsichts-Anfragen vor.
16. Externe Links
Diese Webseite enthält Links zu Webseiten Dritter. Beim Klick werden insbesondere deine IP-Adresse, der Zeitpunkt und die zuvor besuchte Seite an den Anbieter übertragen. Für diese fremden Inhalte und deren Datenschutzhinweise übernehmen wir keine Haftung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
17. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht. Materielle Änderungen kündigen wir in der App oder per E-Mail (für Account-Inhaber) an. Aktueller Stand: 28. Juni 2026, Version v1.5.
Stand: 28. Juni 2026 · Version v1.5