Skip to main content

Datenschutzerklärung

Beta-Hinweis

HeySpeak befindet sich derzeit in einer frühen Rollout-Phase (Beta). Diese Datenschutzerklärung wird fortlaufend aktualisiert und an den Entwicklungsstand des Dienstes angepasst.

Verantwortlicher

Thomas Lorenz
An der Schleifmühle 44
28203 Bremen
Deutschland

E-Mail: hello@heyspeak.io

Welche Daten wir erheben

  • Sprachaufnahmen: aufgenommen über Magic Links durch Empfänger
  • E-Mail-Adresse: bei Registrierung via Google OAuth (Sender)
  • Optionale E-Mail: freiwillige Angabe durch Empfänger nach einer Aufnahme
  • Browser, Betriebssystem, Sprache: automatisch bei Aufnahme erfasst (aus dem User-Agent und Accept-Language Header)
  • Grobe Herkunft (Land, ggf. Stadt): über Vercel-Edge-Header (z.B. "DE"), zur Einordnung der Antwort durch den Sender
  • Referrer-Hostname: nur die Domain (z.B. "linkedin.com"), niemals der vollständige Pfad oder Query-Parameter
  • Keine IP-Adresse gespeichert: IPs werden ausschließlich transient für Rate-Limiting im Speicher gehalten und nie in der Datenbank persistiert
  • Keine Cookies, kein Cross-Site-Tracking auf der Empfänger-Seite
  • Nutzungsdaten: anonymisierte Produktanalysen via PostHog
  • Zahlungsdaten: verarbeitet durch Stripe, nicht bei uns gespeichert

Rechtsgrundlagen

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): für Sprachaufnahmen. Empfänger stimmen der Aufnahme aktiv zu, bevor sie aufnehmen.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): für die Bereitstellung des Dienstes an registrierte Nutzer.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): für Produktanalysen zur Verbesserung des Dienstes.

Sprachaufnahmen: Lebenszyklus

Der vollständige Verarbeitungsweg einer Sprachaufnahme:

  1. Upload: Die Aufnahme wird verschlüsselt (HTTPS) an Cloudflare R2 übertragen.
  2. Speicherung: Die Datei liegt in einem privaten R2-Bucket (EU). Kein öffentlicher Zugriff möglich.
  3. Transkription: Verarbeitung durch Mistral AI (Voxtral), 100% EU-gehostet.
  4. AI-Zusammenfassung: Kontextbezogene Zusammenfassung durch Mistral AI (EU).
  5. Zugriff: Nur der Sender kann die Aufnahme abspielen, über eine signierte URL mit 1 Stunde Gültigkeit.
  6. Löschung: Auf Anfrage des Senders oder Empfängers werden Aufnahme, Transkription und Zusammenfassung vollständig gelöscht.

Auftragsverarbeiter (Sub-Processors)

DienstZweckDatenstandort
SupabaseDatenbank & AuthentifizierungEU (Frankfurt)
Cloudflare R2Speicherung von AudiodateienEU
Mistral AITranskription & KI-ZusammenfassungenEU (100% EU-gehostet)
BrevoTransaktionale E-MailsEU
VercelHosting & Serverless FunctionsEdge (EU-US Data Privacy Framework)
PostHogProduktanalysenEU Cloud
StripeZahlungsabwicklungEU-US Data Privacy Framework
Google OAuthAuthentifizierungEU-US Data Privacy Framework

Datenübermittlung in Drittländer

Die KI-Verarbeitung (Mistral AI) sowie Datenbank (Supabase), Dateispeicherung (Cloudflare R2), E-Mail-Versand (Brevo) und Analysen (PostHog) erfolgen vollständig innerhalb der EU.

Vercel, Stripe und Google OAuth sind unter dem EU-US Data Privacy Framework zertifiziert und gewährleisten ein angemessenes Datenschutzniveau gemäß Art. 45 DSGVO.

Speicherdauer

Personenbezogene Daten werden gespeichert, solange das Nutzerkonto aktiv ist. Nach Löschung des Kontos werden alle zugehörigen Daten, einschließlich Sprachaufnahmen, Transkriptionen und Zusammenfassungen, innerhalb von 30 Tagen vollständig gelöscht.

Auf ausdrückliche Anfrage an hello@heyspeak.io erfolgt die Löschung unverzüglich.

Ihre Rechte (DSGVO Art. 15–21)

Sie haben das Recht auf:

  • Auskunft (Art. 15 DSGVO): Welche Daten wir über Sie gespeichert haben.
  • Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten.
  • Löschung (Art. 17 DSGVO): Vollständige Löschung Ihrer Daten.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO): Export Ihrer Daten in maschinenlesbarem Format.
  • Widerspruch (Art. 21 DSGVO): Gegen die Verarbeitung auf Basis berechtigter Interessen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an hello@heyspeak.io.

Darüber hinaus steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO).

Cookies & Tracking

Empfänger-Seite (/l/…): Keine Cookies, kein lokaler Speicher, kein Tracking, keine Analysen. Empfänger benötigen kein Konto. Auf den Empfänger-Seiten wird das Analyse-Skript nicht initialisiert und die Content Security Policy blockiert jegliche Verbindung zu Analyse-Endpunkten bereits auf Browser-Ebene.

Dashboard & öffentliche Seiten: HeySpeak verwendet PostHog (EU Cloud) für Produktanalysen in einer cookielosen Konfiguration:persistence: memory unddisable_persistence: true. Es werden keine Cookies und kein Local-Storage-Eintrag gesetzt. Eine pro Tab vergebene Kennung lebt ausschließlich im Arbeitsspeicher und verschwindet beim Schließen des Tabs. Session-Recording ist deaktiviert.person_profiles: identified_only: personalisierte Profile werden nur für eingeloggte Sender angelegt.

Essenzielle Cookies: Für eingeloggte Sender setzt Supabase ein server-seitiges Session-Cookie zur Aufrechterhaltung der Anmeldung. Dies ist technisch notwendig im Sinne von § 25 Abs. 2 Nr. 2 TTDSG und erfordert keine Einwilligung.

Es werden keine Werbe-Cookies eingesetzt. Nutzerdaten werden nicht an Dritte verkauft oder für Werbezwecke verwendet.

Streitschlichtung

Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit: https://ec.europa.eu/consumers/odr

Wir sind nicht bereit oder verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.

Stand: April 2026