Metamorfon-Anwendung — Verarbeitung personenbezogener Daten
Gültig ab 20.06.2026
Dieser Abschnitt beschreibt die personenbezogenen Daten, die im Rahmen der Nutzung der Metamorfon-Desktopanwendung sowie der zugehörigen Authentifizierungs- und Abonnementverwaltungsdienste (Cloud-API) erhoben und verarbeitet werden. Er ergänzt die Datenschutzerklärung der Website metamorfon.com.
Von der Anwendung erhobene Daten
Bei der Erstellung eines Kontos und der Nutzung des Dienstes werden die folgenden Daten vom Anbieter (siehe Impressum) über seine in der Europäischen Union auf IONOS-Servern gehostete Cloud-API erhoben und verarbeitet:
| Daten | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| E-Mail-Adresse | Authentifizierung, Service-Kommunikation | Vertragserfüllung | Dauer des Abonnements + 12 Monate |
| Passwort (gehasht, nicht lesbar) | Kontosicherheit | Vertragserfüllung | Dauer des Abonnements + 12 Monate |
| Stripe-Kundenkennung | Verwaltung von Abonnement und Rechnungsstellung | Vertragserfüllung | Dauer des Abonnements + 12 Monate |
| Sprache der Benutzeroberfläche | Personalisierung des Dienstes | Berechtigtes Interesse | Dauer des Abonnements + 12 Monate |
| Anwendungsversion und Betriebssystem | Technischer Support, Kompatibilität | Berechtigtes Interesse | Dauer des Abonnements + 12 Monate |
| Datum der letzten Anmeldung | Sicherheit, Inaktivitätserkennung | Berechtigtes Interesse | Dauer des Abonnements + 12 Monate |
| Gerätekennung (UUID) | Beschränkung auf 3 Geräte pro Konto | Berechtigtes Interesse | Dauer des Abonnements + 12 Monate |
Alle diese Daten werden spätestens 12 Monate nach Kündigung des Abonnements gelöscht.
Automatische Kommunikation mit der Cloud-API
Um den ordnungsgemäßen Betrieb des Dienstes zu gewährleisten, stellt die Anwendung zwei automatische Verbindungen zur Cloud-API des Anbieters her:
- Aktualisierungsprüfung: Beim Start und in regelmäßigen Abständen während der Sitzung fragt die Anwendung den Server ab, um die Verfügbarkeit einer neuen Version zu prüfen. Diese Anfrage übermittelt die installierte Anwendungsversion und das verwendete Betriebssystem.
- Abonnementprüfung: Die Anwendung überprüft regelmäßig die Gültigkeit des laufenden Abonnements, indem sie die Konto-Kennung und die Gerätekennung (UUID) übermittelt.
Diese Verbindungen sind rein technischer Natur und für die Erbringung des Dienstes erforderlich (Rechtsgrundlage: Vertragserfüllung). Die übermittelten Daten sind jene, die bereits in der Tabelle oben aufgeführt sind; bei diesen Übermittlungen werden keine weiteren Informationen (Sitzungsinhalte, Prompts, Modellantworten, API-Schlüssel oder Verhaltensdaten) übertragen.
Was die Anwendung nicht erhebt
- Die API-Schlüssel der KI-Modellanbieter (AI21, Anthropic, Cohere, DeepSeek, Google, Mistral, Moonshot, OpenAI, Qwen, xAI usw.): Diese werden vom Benutzer eingegeben und ausschließlich lokal auf seinem Gerät gespeichert. Sie werden niemals an die Server des Anbieters übermittelt.
- Die Inhalte der Sitzungen (Prompts, Antworten der KI-Modelle, Exporte): Diese Daten verbleiben auf dem Gerät des Benutzers und werden nicht an den Anbieter übermittelt.
- Keine Webnavigationsdaten und keine verhaltensbezogene Telemetrie: Die Anwendung ist eine Desktopsoftware, sie verwendet keine Cookies und integriert keinen Verhaltensanalysedienst, keine Produkttelemetrie und keine automatische Absturzberichterstattung.
KI-Modelle von Drittanbietern
Die Anwendung orchestriert Anfragen an KI-Modelle von Drittanbietern unter Verwendung der eigenen API-Schlüssel des Benutzers. Diese Austausche finden direkt zwischen dem Gerät des Benutzers und dem jeweiligen KI-Anbieter statt, ohne Vermittlung durch den Anbieter. Jeder Drittanbieter ist für seine eigenen Datenverarbeitungen verantwortlich. Den Benutzern wird empfohlen, die Datenschutzerklärungen dieser Anbieter zur Kenntnis zu nehmen.
In bestimmten Orchestrierungsmodi kann die Anwendung die Antwort eines KI-Modells als Eingabekontext für die Anfrage an ein anderes Modell verwenden. Diese Verarbeitung erfolgt vorübergehend im Arbeitsspeicher des Geräts des Benutzers und wird nicht vom Anbieter gespeichert. Einige KI-Modellanbieter verarbeiten Daten auf Servern außerhalb der Europäischen Union, insbesondere in den Vereinigten Staaten. Diese Übermittlungen werden durch die jeweils geltenden Standardvertragsklauseln (SCC) oder Angemessenheitsbeschlüsse für jeden Anbieter geregelt. Den Benutzern wird empfohlen, die Datenschutzerklärungen dieser Anbieter zur Kenntnis zu nehmen, um die Einzelheiten zu erfahren.
Zahlungsdienstleister: Stripe
Die Verwaltung von Abonnements und Zahlungen wird von Stripe, Inc. (185 Berry Street, San Francisco, CA 94107, USA) durchgeführt, einem PCI-DSS-zertifizierten Dienstleister. Stripe erhebt und verarbeitet Zahlungsdaten gemäß seiner eigenen Datenschutzerklärung, die unter folgender Adresse verfügbar ist: https://stripe.com/de/privacy.
Der Anbieter hat keinen Zugriff auf die Bankdaten des Benutzers. In der Cloud-API wird lediglich eine Stripe-Kundenkennung (stripe_customer_id) gespeichert, um das Abonnement mit dem Konto zu verknüpfen.
Auftragsverarbeiter (Hosting)
Die von der Cloud-API erhobenen Daten werden von IONOS SE (7 Place de la Gare, 57200 Sarreguemines, Frankreich) gehostet, deren Server sich innerhalb der Europäischen Union befinden. IONOS handelt als Auftragsverarbeiter im Sinne der DSGVO.
Datensicherheit
Der Anbieter setzt technische und organisatorische Maßnahmen ein, die ein angemessenes Schutzniveau im Verhältnis zu den mit der Verarbeitung verbundenen Risiken gewährleisten:
- Verschlüsselung bei der Übertragung: Sämtliche Kommunikation zwischen der Anwendung und der Cloud-API wird über TLS 1.2 oder höher verschlüsselt.
- Hashing der Passwörter: Passwörter werden niemals im Klartext gespeichert. Sie werden mit dem Algorithmus bcrypt unter Verwendung eines für jeden Benutzer einzigartig generierten kryptografischen Salts gehasht, sodass ihre Rekonstruktion technisch nicht praktikabel ist.
- Verschlüsselung im Ruhezustand: Die von der Cloud-API gespeicherten sensiblen Daten werden auf den Servern des Hosters im Ruhezustand verschlüsselt.
- Eingeschränkter Zugriff: Der Zugriff auf Server und Datenbanken ist streng auf befugte Personen beschränkt und wird protokolliert.
- Token-basierte Authentifizierung: Der Zugriff auf das Konto wird durch ein vorübergehendes, erneuerbares Authentifizierungstoken (JWT) geschützt, das vom Passwort getrennt ist.
- Schutz vor Brute-Force-Angriffen: Anfragen an sensible Endpunkte (Authentifizierung, Passwort-Zurücksetzung) unterliegen einer Ratenbegrenzung (Rate Limiting).
Datensicherungen: Es werden regelmäßige Datensicherungen durchgeführt und innerhalb der Europäischen Union aufbewahrt; sie unterliegen denselben Schutzmaßnahmen wie die Primärdaten.
Nutzung durch Minderjährige
Die Metamorfon-Anwendung richtet sich nicht an Personen unter 16 Jahren. Der Anbieter erhebt wissentlich keine personenbezogenen Daten von Minderjährigen dieser Altersgruppe. Wenn Sie Elternteil oder Erziehungsberechtigter sind und feststellen, dass uns ein Minderjähriger unter 16 Jahren personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte unter contact@metamorfon.com, damit wir diese Daten und das zugehörige Konto löschen können.
Kontakt zum Datenschutz
Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder zur Ausübung Ihrer Rechte können Sie die dedizierte Kontaktstelle des Anbieters unter folgender Adresse erreichen: contact@metamorfon.com.
Ihre Rechte
Gemäß der Datenschutz-Grundverordnung (DSGVO — EU 2016/679) stehen Ihnen hinsichtlich der im Rahmen der Anwendung verarbeiteten Daten die folgenden Rechte zu:
- Auskunftsrecht: eine Kopie der Sie betreffenden Daten erhalten
- Recht auf Berichtigung: unrichtige Daten berichtigen lassen
- Recht auf Löschung: Löschung Ihres Kontos und Ihrer Daten verlangen
- Recht auf Datenübertragbarkeit: Ihre Daten in einem strukturierten Format erhalten
- Widerspruchsrecht: einer auf berechtigtem Interesse beruhenden Verarbeitung widersprechen
Zur Ausübung dieser Rechte richten Sie Ihre Anfrage an: contact@metamorfon.com.
Bei nicht beigelegten Beschwerden können Sie sich an eine zuständige Aufsichtsbehörde wenden. Da der Anbieter in Frankreich ansässig ist, ist die federführende Aufsichtsbehörde die französische Datenschutzkommission CNIL (Commission Nationale de l’Informatique et des Libertés — www.cnil.fr). Gemäß Art. 77 DSGVO können Sie sich darüber hinaus an die Aufsichtsbehörde des Mitgliedstaats Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden. In Deutschland sind dies die jeweils zuständigen Landesdatenschutzbehörden bzw. der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI — www.bfdi.bund.de).
Meldung von Datenschutzverletzungen
Gemäß den Artikeln 33 und 34 DSGVO verpflichtet sich der Anbieter, Sie im Falle einer Verletzung personenbezogener Daten, die ein Risiko für Ihre Rechte und Freiheiten zur Folge haben kann, unverzüglich per E-Mail an die mit Ihrem Konto verknüpfte Adresse und/oder durch eine Benachrichtigung in der Anwendung zu informieren. Sofern dies gesetzlich erforderlich ist, wird die Verletzung darüber hinaus innerhalb von 72 Stunden nach Kenntnisnahme an die federführende Aufsichtsbehörde (CNIL) gemeldet.
Änderungen dieser Datenschutzerklärung
Der Anbieter behält sich das Recht vor, die vorliegende Datenschutzerklärung anzupassen, um Weiterentwicklungen des Dienstes, des geltenden rechtlichen Rahmens oder bewährter Verfahren im Bereich des Datenschutzes Rechnung zu tragen. Das Datum des Inkrafttretens jeder Fassung ist am Anfang dieses Dokuments angegeben.
Bei wesentlichen Änderungen (insbesondere bei Hinzufügung eines neuen Verarbeitungszwecks, einer neuen Empfängerkategorie oder einer Änderung der Speicherdauer) werden Sie mindestens 30 Tage vor dem Inkrafttreten der Änderungen per E-Mail an die mit Ihrem Konto verknüpfte Adresse und durch eine Benachrichtigung in der Anwendung informiert. Die Fortsetzung der Nutzung des Dienstes nach Inkrafttreten gilt als Annahme der neuen Fassung. Andernfalls steht es Ihnen frei, Ihr Abonnement kostenfrei zu kündigen.