Datenschutz
10 Minuten Coaching — Stand: April 2026
1. Verantwortlicher
XD Consulting GmbH
Marchfeldstraße 17/2/25
1200 Wien
Österreich
Unternehmensgegenstand: IT Dienstleistungen, Werbeagentur
Firmenbuchnummer: FN 612534k
Gerichtsstand, Firmenbuchgericht: Handelsgericht Wien
UID-Nummer: ATU79850859
GLN: 9110010394455
GISA: 26538570, 34919811
E-Mail: hello@startup-force.com
2. Übersicht der Verarbeitungen
| Datenkategorie | Konkrete Daten | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Profildaten | Name, Altersgruppe, Geschlecht, Beruf, Lebensphase, Ziele, größte Herausforderung, Motivationen, Coaching-Erfahrung |
Personalisierung des Coachings | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Sitzungsdaten | Gesprächsverläufe, Sitzungszusammenfassungen, Stimmungsindikatoren | Durchführung und Kontextualisierung der Coaching-Sitzungen | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Geräte-ID | identifierForVendor (herstellerspezifische UUID) | Rate Limiting (Nutzungsbeschränkung zum Schutz vor Missbrauch) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Abonnement-Daten | Abo-Status (Free/Pro), Transaktionsverifizierung via StoreKit | Bereitstellung der gebuchten Leistung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Einwilligungsdaten | Zeitstempel der Datenschutz- und Haftungsausschluss-Zustimmung | Nachweis der Einwilligung | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) |
| Nutzungsdaten | Streak-Zähler, Datum der letzten Sitzung | Motivationsfunktionen in der App | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Attestierungs-Daten | Geräte-ID, öffentlicher kryptografischer Schlüssel (EC P-256), Signaturzähler, Apple-Receipt, Schlüssel-ID, Geräteumgebung |
Geräteintegritätsprüfung (App Attest) zum Schutz vor API-Missbrauch | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
3. Besondere Datenkategorien (Art. 9 DSGVO)
Im Rahmen der Coaching-Sitzungen können Sie freiwillig Informationen teilen, die als besondere Kategorien
personenbezogener Daten gelten — insbesondere Stimmungsindikatoren und Coaching-Inhalte, die Rückschlüsse auf Ihren
Gesundheitszustand ermöglichen könnten.
Die Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2
lit. a DSGVO. Diese Einwilligung erteilen Sie bei der erstmaligen Nutzung der App und können sie jederzeit widerrufen
(siehe Abschnitt 9).
4. Lokale Speicherung
Ihre Profildaten, Sitzungsverläufe und Zusammenfassungen werden lokal auf Ihrem Gerät gespeichert (SwiftData). Es findet
keine serverseitige Speicherung Ihrer Coaching-Inhalte statt. Sie haben die volle Kontrolle über Ihre Daten und können
diese jederzeit über die App-Einstellungen löschen.
5. iCloud-Sicherung
Wenn Sie die iCloud-Sicherung auf Ihrem Gerät aktiviert haben, können lokal gespeicherte App-Daten im Rahmen eines
Geräte-Backups in Ihre iCloud gesichert werden. Diese Sicherung ist nutzerinitiiert und wird durch Apples
Ende-zu-Ende-Verschlüsselung geschützt. Für die Datenverarbeitung durch Apple gelten Apples eigene
Datenschutzrichtlinien.
6. API-Kommunikation
Wenn Sie eine Coaching-Sitzung durchführen, werden folgende Daten über eine verschlüsselte Verbindung (HTTPS/TLS)
übertragen:
- App → Supabase Edge Function (EU/Frankfurt): Gesprächsnachrichten (System-Prompt und die
letzten 40 Nachrichten), Geräte-ID (für Rate Limiting und Attestierung), App-Version, App-Attest-Signatur und
Schlüssel-ID - Supabase → OpenAI API (USA): Gesprächsnachrichten (ohne Geräte-ID, ohne App-Version, ohne
Attestierungs-Daten)
Die Geräte-ID wird ausschließlich für das serverseitige Rate Limiting und die Geräteintegritätsprüfung verwendet und
nicht an OpenAI weitergeleitet. Die App-Version und Attestierungs-Daten werden vor der Weiterleitung an
OpenAI entfernt.
OpenAI nutzt über die API übermittelte Daten nicht für das Training ihrer Modelle (gemäß OpenAIs
API-Datennutzungsrichtlinie). OpenAI speichert API-Anfragen für maximal 30 Tage zur Missbrauchserkennung.
Text-to-Speech (TTS): Coaching-Antworten können optional als Sprachausgabe abgespielt werden. Dazu wird
der Text der Antwort über die Supabase Edge Function an die OpenAI TTS API übertragen. Es gelten die gleichen
Schutzmaßnahmen wie für die Chat-Kommunikation (keine Geräte-ID an OpenAI, verschlüsselte Übertragung).
App Attest (Geräteintegritätsprüfung): Beim ersten Start der App wird über Apples App-Attest-Dienst
(DeviceCheck-Framework) ein kryptografischer Schlüssel auf Ihrem Gerät erzeugt. Apple prüft dabei die Integrität Ihres
Geräts und der App-Installation. Das resultierende Attestierungsobjekt wird an unsere Supabase Edge Function übermittelt
und dort verifiziert. Bei jeder weiteren API-Anfrage wird eine kryptografische Signatur (Assertion) mitgesendet, um die
Authentizität der Anfrage sicherzustellen. Der private Schlüssel verbleibt dabei stets in der Secure Enclave Ihres
Geräts. Der zugehörige Schlüssel-Identifier wird im iOS-Keychain gespeichert (hardwaregeschützt, nicht in Backups
enthalten).
7. Empfänger und Drittlandtransfers
| Empfänger | Zweck | Standort | Schutzmaßnahmen |
|---|---|---|---|
| Apple Inc. | App-Vertrieb, In-App-Käufe (Transaktionsverifizierung und Zahlungsabwicklung via StoreKit), iCloud-Backup, App Attest (Geräteintegritätsprüfung via DeviceCheck) |
USA | EU-US Data Privacy Framework (DPF) |
| Supabase Inc. | Edge Function Proxy (API-Vermittlung, Rate Limiting); PostgreSQL-Datenbank (Attestierungs-Credentials, Rate-Limit-Zähler) |
EU (Frankfurt) | Datenverarbeitung in der EU; Standardvertragsklauseln (SCCs) |
| OpenAI Inc. | KI-Sprachmodell für Coaching-Antworten | USA | EU-US Data Privacy Framework (DPF); Standardvertragsklauseln (SCCs); keine Nutzung von API-Daten für Modelltraining |
| Hostinger International Ltd. | Webhosting und DNS für die Website 10minutes.app (Server-Logfiles mit IP-Adressen, Zugriffszeitpunkt, aufgerufene Seiten) |
Litauen / EU | Datenverarbeitung in der EU; Auftragsverarbeitungsvertrag (AVV) |
Mit Supabase, OpenAI und Hostinger bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO.
8. Speicherdauer
- Lokale Daten (Profil, Sitzungen, Zusammenfassungen): Bis zur Löschung durch Sie in den
App-Einstellungen oder Deinstallation der App. - Attestierungs-Challenges (Geräte-ID + Nonce): Maximal 5 Minuten in der
Supabase-PostgreSQL-Datenbank, automatische Löschung. - Attestierungs-Credentials (Geräte-ID, öffentlicher Schlüssel, Zähler, Receipt): Maximal 90 Tage
in der Supabase-PostgreSQL-Datenbank, automatische Löschung. Bei Neuinstallation der App werden bestehende
Credentials durch neue ersetzt. - Rate-Limiting-Daten (Geräte-ID + Zähler): Maximal 48 Stunden in der
Supabase-PostgreSQL-Datenbank, automatische Löschung. - OpenAI API-Logs: Maximal 30 Tage, danach automatische Löschung durch OpenAI.
- Einwilligungszeitstempel: Lokal gespeichert, bis zur Löschung Ihrer App-Daten.
Alle serverseitig gespeicherten Daten sind pseudonymisiert (Zuordnung ausschließlich über die Geräte-ID) und werden nach
Ablauf der jeweiligen Frist automatisch gelöscht. Eine manuelle Löschung einzelner serverseitiger Datensätze ist nicht
möglich, da kein Benutzerkonto existiert. Durch Deinstallation und Neuinstallation der App wird eine neue Geräte-ID
generiert, wodurch die bisherigen serverseitigen Daten keinem Gerät mehr zugeordnet werden können und nach Ablauf der
Fristen automatisch bereinigt werden.
9. Ihre Rechte (Art. 15–22 DSGVO)
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
- Recht auf Berichtigung (Art. 16): Sie können die Korrektur unrichtiger Daten verlangen.
Profildaten können Sie direkt in der App bearbeiten. - Recht auf Löschung (Art. 17): Sie können die Löschung Ihrer Daten verlangen. Lokale Daten
können Sie direkt in den App-Einstellungen löschen. - Recht auf Einschränkung der Verarbeitung (Art. 18): Sie können die Einschränkung der
Verarbeitung verlangen. - Recht auf Datenübertragbarkeit (Art. 20): Sie können Ihre Daten in einem strukturierten,
maschinenlesbaren Format anfordern. - Widerspruchsrecht (Art. 21): Sie können der Verarbeitung auf Basis berechtigter Interessen
widersprechen. - Recht auf Widerruf der Einwilligung: Erteilte Einwilligungen können Sie jederzeit mit Wirkung
für die Zukunft widerrufen.
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hello@startup-force.com.
Beschwerderecht: Sie haben das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren:
Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
www.dsb.gv.at
10. Website (10minutes.app)
Beim Besuch unserer Website werden durch den Hosting-Anbieter (Hostinger) automatisch folgende Daten in Server-Logfiles
erfasst:
- IP-Adresse (anonymisiert oder vollständig, je nach Serverkonfiguration)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene Seite (URL)
- Referrer-URL (zuvor besuchte Seite)
- Verwendeter Browser und Betriebssystem
- Übertragene Datenmenge
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen
Bereitstellung und Sicherheit der Website). Die Server-Logfiles werden nach maximal 30 Tagen automatisch gelöscht. Die
Website verwendet weder Cookies noch Tracking-Tools.
11. Cookies und Tracking
Die App und die Website verwenden keine Cookies, kein Analytics, keine Werbe-SDKs und keine
Third-Party-Tracking-SDKs. Es findet kein Tracking Ihres Nutzungsverhaltens statt.
12. Automatisierte Entscheidungsfindung
Die KI-generierten Coaching-Antworten stellen keine automatisierten Einzelentscheidungen im Sinne von Art. 22 DSGVO dar,
die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Die Antworten
dienen ausschließlich als Coaching-Impulse und haben keinen bindenden Charakter.
13. Datensicherheit
Wir setzen folgende technische Maßnahmen zum Schutz Ihrer Daten ein:
- iOS Data Protection (hardwarebasierte Verschlüsselung der lokalen Daten)
- Verschlüsselte Datenübertragung via HTTPS/TLS
- Keine serverseitige Speicherung von Coaching-Inhalten
- Geräte-ID wird nicht an den KI-Anbieter weitergeleitet
- Serverseitige Nachrichtenbegrenzung (maximal 40 Nachrichten pro Anfrage)
- Apple App Attest: Kryptografische Geräteintegritätsprüfung mit ECDSA-Signaturen (Secure Enclave)
- Replay-Schutz durch monoton steigende Signaturzähler bei jeder API-Anfrage
- Challenge-Response-Verfahren zur Verhinderung von Attestierungs-Fälschungen
- Sichere Schlüsselspeicherung im iOS-Keychain (hardwaregeschützt, nicht in Backups)
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen oder Änderungen der
App anzupassen. Die aktuelle Version ist stets unter dieser Adresse abrufbar. Bei wesentlichen Änderungen werden Sie
über ein App-Update informiert.
15. Kontakt
Bei Fragen zum Datenschutz erreichen Sie uns unter: hello@startup-force.com