This is a translation of the English original. In case of discrepancy, the English version prevails, except where local law requires otherwise.

Datenschutzrichtlinie

Gültigkeitsdatum: 6. April 2026 Version: 1.1.0

---

1. Identität des Verantwortlichen

HearQA wird betrieben von HC DESENVOLVIMENTO DE SOFTWARES LTDA, einer Gesellschaft, die nach den Gesetzen der Föderativen Republik Brasilien gegründet wurde. Wir sind der Verantwortliche für die Verarbeitung Ihrer personenbezogenen Daten im Sinne der Datenschutz-Grundverordnung der EU (DSGVO), des brasilianischen Allgemeinen Datenschutzgesetzes (LGPD, Lei nº 13.709/2018) und des California Consumer Privacy Act (CCPA).

Für die Zahlungsabwicklung nutzen wir Paddle.com als unseren Merchant of Record (offiziellen Wiederverkäufer). Paddle wickelt alle Kartentransaktionen ab, erhebt Steuern und bearbeitet Rückerstattungen und erscheint als Verkäufer auf Ihrer Kartenabrechnung. Siehe §6 für die vollständige Liste der Drittanbieter.

• Datenschutzkontakt: legal@hearqa.com

• Sicherheitsmeldungen: security@hearqa.com

• Eingetragener Sitz: Rua Guaicui, 715, CEP 30.380-342, Bairro Luxemburgo, Belo Horizonte, MG, Brasilien

---

2. Welche Daten wir erheben

HearQA erhebt und verarbeitet die folgenden Datenkategorien:

2.1 Audio

Das Mikrofon Ihres Geräts erfasst Audio über die Mikrofon-API des Browsers. Audio wird direkt an die Groq Whisper API zur Echtzeit-Transkription gestreamt. Audio wird niemals gespeichert, auf HearQA-Server hochgeladen oder aufbewahrt. Es wird unmittelbar nach der Transkription durch den Drittverarbeiter verworfen.

2.2 Transkriptionstext

Von Groq aus Ihrem Audiostream erzeugter Text. Dieser Text wird an KI-Dienste (AWS Bedrock Claude 3.5 Haiku oder Google Vertex AI Gemini als Fallback) gesendet, um Coaching-Antworten zu generieren. Transkriptionstext wird nur während einer aktiven Sitzung in unserer Datenbank aufbewahrt. Er wird nach Ende der Sitzung nicht dauerhaft gespeichert, es sei denn, Sie entscheiden sich, eine Sitzungszusammenfassung zu behalten.

2.3 Fotos und Bilder

Bilder, die über die Kamera Ihres Geräts oder die Dateiauswahl hochgeladen werden. Diese werden zur OCR-Texterkennung (optische Zeichenerkennung) verarbeitet. Bilder werden während einer aktiven Sitzung vorübergehend in AWS S3 gespeichert und automatisch gelöscht, wenn die Sitzung endet.

2.4 Bildschirmaufnahmen

Auf Desktop-Geräten kann der Bildschirminhalt über die getDisplayMedia-API des Browsers erfasst werden. Bildschirmaufnahmen werden während der Sitzung zur OCR-Texterkennung verarbeitet. Bildschirmaufnahmen werden weder aufbewahrt noch gespeichert.

2.5 Videoaufnahmen

Kurze Videoclips (bis zu 20 Sekunden), die über die Kamera Ihres Geräts, Bildschirmaufzeichnung, Webcam aufgenommen oder von Ihrem Gerät hochgeladen werden. Videos werden auf AWS S3 hochgeladen, von Google Vertex AI (Gemini 2.5 Flash) zur Texterkennung verarbeitet und anschließend von AWS Bedrock (Claude) für KI-Coaching-Antworten verarbeitet. Videodateien werden innerhalb von 24 Stunden automatisch aus S3 gelöscht, gemäß der Bucket-Lifecycle-Richtlinie. Nur der extrahierte Text wird während der aktiven Sitzung aufbewahrt.

2.6 Kontoinformationen

Ihre E-Mail-Adresse und Ihr Name, bereitgestellt über die Google-Anmeldung oder die Registrierung per E-Mail/Passwort. Diese Daten werden in AWS Cognito (zur Authentifizierung) und AWS DynamoDB (für Ihr Benutzerprofil) gespeichert.

2.7 Sitzungsmetadaten

Informationen über Ihre Sitzungen, einschließlich Sitzungstyp, verwendeter Vorlage, Dauer, Anzahl der KI-Antworten und Zeitstempel. Gespeichert in DynamoDB, bis Sie Ihr Konto löschen.

2.8 Sitzungszusammenfassungen

KI-generierte Leistungsberichte, die am Ende einer Sitzung erstellt werden. Gespeichert in DynamoDB. Sie können einzelne Zusammenfassungen jederzeit löschen, oder alle Zusammenfassungen werden gelöscht, wenn Sie Ihr Konto löschen.

2.9 Dokumente

Dateien, die Sie hochladen (PDFs, Textdateien), zur Verwendung als KI-Kontext durch Retrieval-Augmented Generation (RAG). Gespeichert in einem dedizierten AWS S3-Bucket. Sie können jedes Dokument jederzeit über Ihre Kontoeinstellungen löschen.

2.10 Zahlungsinformationen

Die gesamte Zahlungsabwicklung wird vollständig von Paddle übernommen. HearQA sieht, speichert oder verarbeitet niemals Ihre Zahlungskartendaten. Wir erhalten lediglich Ihre Kunden-E-Mail-Adresse und die Zahlungsabsichtsbestätigung von Paddle zur Verwaltung Ihres Abonnements.

---

3. Rechtsgrundlage der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten auf den folgenden Rechtsgrundlagen, wie von der DSGVO (Artikel 6) und der LGPD (Artikel 7) gefordert:

| Datentyp | Rechtsgrundlage | Begründung | |-----------|-------------|---------------| | Kontoinformationen | Vertragserfüllung | Erforderlich zur Erstellung und Pflege Ihres Kontos und zur Erbringung der von Ihnen abonnierten Dienstleistung. | | Audiostream | Vertragserfüllung | Erforderlich zur Bereitstellung der Echtzeit-Transkription, einer Kernfunktion des Dienstes. | | Transkriptionstext | Vertragserfüllung | Erforderlich zur Generierung von KI-Coaching-Antworten während Ihrer Sitzung. | | Fotos und Bilder | Vertragserfüllung | Erforderlich zur Bereitstellung der von Ihnen initiierten OCR- und dokumentenbasierten KI-Funktionen. | | Bildschirmaufnahmen | Vertragserfüllung | Erforderlich zur Bereitstellung der von Ihnen initiierten bildschirmbasierten OCR-Funktionen. | | Videoaufnahmen | Vertragserfüllung | Erforderlich zur Bereitstellung der von Ihnen initiierten videobasierten Texterkennung und KI-Coaching. | | Sitzungsmetadaten | Vertragserfüllung; Berechtigtes Interesse | Erforderlich zur Durchsetzung von Planlimits und Verbesserung der Dienstzuverlässigkeit. | | Sitzungszusammenfassungen | Vertragserfüllung | Auf Ihre Anfrage generiert, um Leistungsberichte der Sitzung bereitzustellen. | | Dokumente | Vertragserfüllung | Von Ihnen zur Verwendung als KI-Kontext in Ihren Sitzungen hochgeladen. | | Zahlungsdaten (über Paddle) | Vertragserfüllung | Erforderlich zur Abwicklung Ihrer Abonnementzahlungen. | | Transaktions-E-Mails | Vertragserfüllung; Berechtigtes Interesse | Erforderlich zur Mitteilung kontobezogener Informationen (z. B. Zahlungsbelege, Planänderungen). | | Fehlerverfolgung (Sentry) | Berechtigtes Interesse | Nicht personenbezogene Daten zur Aufrechterhaltung der Dienststabilität und Fehlerdiagnose. |

Soweit wir uns auf berechtigtes Interesse stützen, haben wir Abwägungstests durchgeführt, um sicherzustellen, dass unsere Interessen Ihre Grundrechte und Grundfreiheiten nicht überwiegen. Sie können der Verarbeitung auf Grundlage berechtigter Interessen jederzeit widersprechen, indem Sie legal@hearqa.com kontaktieren.

---

4. Wie wir Ihre Daten verwenden

Wir verwenden Ihre Daten für die folgenden Zwecke:

• Diensterbringung — Bereitstellung von Echtzeit-Transkription, KI-Coaching, OCR und dokumentenbasierten Antworten während Ihrer Sitzungen.
• KI-Coaching — Übermittlung von Transkriptionstext und Dokumentenkontext an KI-Modelle (AWS Bedrock, Google Vertex AI) zur Generierung relevanter, kontextbezogener Unterstützung.
• Kontoverwaltung — Authentifizierung Ihrer Identität, Verwaltung Ihres Profils und Pflege Ihrer Sitzungshistorie und Dokumente.
• Nutzungsverfolgung und Plandurchsetzung — Überwachung der Sitzungsanzahl, -dauer und KI-Antwortvolumen zur Durchsetzung der Limits Ihres Abonnementplans (Free, Pro, Session Pack oder Annual).
• Transaktions-E-Mails — Versand von Zahlungsbestätigungen, Planänderungsbenachrichtigungen und wesentlichen Kontomitteilungen über AWS SES.
• Dienstverbesserung — Analyse nicht personenbezogener Fehlerdaten (über Sentry) und aggregierter Nutzungsmuster zur Verbesserung der Zuverlässigkeit und Leistung.

Wir verwenden Ihre Daten nicht für Werbung, Profiling, automatisierte Entscheidungsfindung mit rechtlichen Auswirkungen oder den Verkauf an Dritte.

---

5. Datenweitergabe und Auftragsverarbeiter

Wir geben Ihre Daten nur an die zur Erbringung des Dienstes erforderlichen Auftragsverarbeiter weiter. Wir verkaufen, vermieten oder handeln nicht mit Ihren personenbezogenen Daten.

| Dienst | Zweck | Empfangene Daten | Verarbeitungsregion | |---------|---------|---------------|-------------------| | Groq (Whisper API) | Audiotranskription | Audiostream (unmittelbar nach der Transkription verworfen) | Groq-Infrastruktur | | AWS Bedrock (Claude 3.5 Haiku) | KI-Coaching-Antworten | Texttranskription, Dokumentenkontext | us-east-1 (N. Virginia, USA) | | Google Vertex AI (Gemini) | KI-Coaching (Fallback) + Video-Texterkennung | Texttranskription, Dokumentenkontext, Videoframes | us-central1 (Iowa, USA) | | Paddle | Zahlungsabwicklung | Kunden-E-Mail, Zahlungsabsicht | Paddle-Infrastruktur | | AWS Cognito | Benutzerauthentifizierung | E-Mail, Name, OAuth-Token | us-east-1 (N. Virginia, USA) | | AWS DynamoDB | Datenspeicherung | Kontodaten, Sitzungsmetadaten, Zusammenfassungen | us-east-1 (N. Virginia, USA) | | AWS S3 | Dokument- und Upload-Speicherung | Benutzerdokumente, Sitzungs-Uploads | us-east-1 (N. Virginia, USA) | | AWS SES | Transaktions-E-Mail | Empfänger-E-Mail, Nachrichteninhalt | us-east-1 (N. Virginia, USA) | | Sentry (optional) | Fehlerverfolgung | Nicht personenbezogene Fehlerdaten, Stack-Traces | Sentry-Infrastruktur |

Jeder Auftragsverarbeiter ist durch Auftragsverarbeitungsverträge gebunden, die ihn verpflichten, Daten nur weisungsgemäß zu verarbeiten, angemessene Sicherheitsmaßnahmen zu implementieren und Daten nicht für eigene Zwecke zu verwenden.

---

6. Internationale Datenübermittlungen

HearQA wird von Brasilien aus betrieben, aber der Großteil der Datenverarbeitung erfolgt in den Vereinigten Staaten (AWS us-east-1, N. Virginia). Wenn Sie sich in Brasilien, im Europäischen Wirtschaftsraum (EWR) oder in anderen Rechtsordnungen mit Beschränkungen für Datenübermittlungen befinden, werden Ihre Daten in die Vereinigten Staaten übermittelt.

Wir gewährleisten die Rechtmäßigkeit der Übermittlungen durch folgende Schutzmaßnahmen:

• Brasilien (LGPD): Internationale Übermittlungen erfolgen in Übereinstimmung mit Artikel 33 der Lei nº 13.709/2018 und der Resolution CD/ANPD nº 19/2024, gestützt auf Standardvertragsklauseln und die Angemessenheit der von unseren Auftragsverarbeitern umgesetzten Datenschutzmaßnahmen.
• EU/EWR (DSGVO): Übermittlungen an Auftragsverarbeiter außerhalb des EWR unterliegen den von der Europäischen Kommission angenommenen Standardvertragsklauseln (SVK) gemäß Kapitel V der DSGVO, die ein angemessenes Datenschutzniveau gewährleisten.
• Allgemein: Alle Daten während der Übertragung sind mittels TLS verschlüsselt. Alle Daten im Ruhezustand sind mittels AWS-verwalteter Verschlüsselung verschlüsselt. Unsere Auftragsverarbeiter (AWS, Paddle, Groq, Sentry) verfügen über eigene Compliance-Zertifizierungen (SOC 2, ISO 27001 oder gleichwertig).

---

7. Datenspeicherung

Wir bewahren Ihre Daten nur so lange auf, wie es für die in dieser Richtlinie beschriebenen Zwecke erforderlich ist. Die Aufbewahrungsfristen variieren je nach Datentyp:

| Datentyp | Aufbewahrungsfrist | |-----------|-----------------| | Audio | Wird niemals gespeichert. Wird unmittelbar nach der Echtzeit-Transkription durch Groq verworfen. | | Transkriptionstext | Nur während der aktiven Sitzung. Wird gelöscht, wenn die Sitzung endet, es sei denn, der Benutzer behält eine Sitzungszusammenfassung. | | Fotos und Bilder | Nur während der aktiven Sitzung. Werden aus S3 gelöscht, wenn die Sitzung endet. | | Bildschirmaufnahmen | Werden niemals gespeichert. Werden nur während der Sitzung verarbeitet. | | Videoaufnahmen | Werden innerhalb von 24 Stunden automatisch gelöscht. Nur der extrahierte Text wird während der aktiven Sitzung aufbewahrt. | | Kontoinformationen | Bis Sie Ihr Konto löschen. | | Sitzungsmetadaten | Bis Sie Ihr Konto löschen. | | Sitzungszusammenfassungen | Bis Sie die Zusammenfassung löschen oder Ihr Konto löschen. | | Dokumente | Bis Sie das Dokument löschen oder Ihr Konto löschen. | | Zahlungsaufzeichnungen | Werden von Paddle gemäß dessen Aufbewahrungsrichtlinie gespeichert. HearQA speichert nur den Abonnementstatus und den Plantyp. | | Fehlerprotokolle (Sentry) | Gemäß der Aufbewahrungsrichtlinie von Sentry (in der Regel 90 Tage). Enthalten keine personenbezogenen Daten. |

Wenn Sie Ihr Konto löschen, bleiben Ihre Nutzerinhalte gemäß Abschnitt 17 unserer Nutzungsbedingungen für 30 Tage nach der Löschungsanfrage zum Export verfügbar. Nach Ablauf dieses 30-Tage-Fensters werden alle Ihre Daten dauerhaft aus DynamoDB und S3 entfernt. Diese Entfernung ist unwiderruflich.

Sie können auch die sofortige, unwiderrufliche Löschung (unter Umgehung des 30-Tage-Exportfensters) per E-Mail an legal@hearqa.com anfordern. Wir werden die Anfrage vor der Ausführung bestätigen.

---

8. Ihre Rechte

Unabhängig von Ihrem Standort gewähren wir allen HearQA-Benutzern die folgenden Rechte:

• Recht auf Auskunft — Sie können Ihr Profil und Ihre Kontodaten jederzeit über Ihre Kontoeinstellungen einsehen oder eine Kopie unter legal@hearqa.com anfordern.
• Recht auf Datenübertragbarkeit — Sie können alle Ihre personenbezogenen Daten im JSON-Format über die Datenexportfunktion in den Einstellungen exportieren.
• Recht auf Berichtigung — Sie können Ihre Profilinformationen jederzeit über Ihre Kontoeinstellungen aktualisieren.
• Recht auf Löschung — Sie können Ihr Konto vollständig über die Einstellungen löschen. Dadurch werden alle Ihre Daten dauerhaft aus unseren Systemen entfernt (DynamoDB, S3, Cognito). Sie können auch einzelne Sitzungszusammenfassungen oder Dokumente löschen, ohne Ihr gesamtes Konto zu löschen.
• Recht auf Einschränkung der Verarbeitung — Sie können beantragen, dass wir die Art und Weise der Verarbeitung Ihrer Daten einschränken, indem Sie legal@hearqa.com kontaktieren.
• Widerspruchsrecht — Sie können der Verarbeitung auf Grundlage berechtigter Interessen widersprechen, indem Sie legal@hearqa.com kontaktieren.
• Recht auf Widerruf der Einwilligung — Wenn die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der vor dem Widerruf durchgeführten Verarbeitung.

Um eines dieser Rechte auszuüben, kontaktieren Sie uns unter legal@hearqa.com. Wir antworten innerhalb von 15 Tagen bei LGPD-Anfragen, 30 Tagen bei DSGVO-Anfragen und 45 Tagen bei CCPA-Anfragen, wie von der geltenden Gesetzgebung vorgeschrieben.

---

9. Für Benutzer in Brasilien (LGPD)

Wenn Sie sich in Brasilien befinden, enthält dieser Abschnitt zusätzliche Informationen, die durch die Lei Geral de Proteção de Dados (Lei nº 13.709/2018) vorgeschrieben sind.

• Verantwortlicher: HC DESENVOLVIMENTO DE SOFTWARES LTDA, Rua Guaicui, 715, CEP 30.380-342, Bairro Luxemburgo, Belo Horizonte, MG, Brasilien.
• Datenschutzbeauftragter (Encarregado): Erreichbar unter legal@hearqa.com. Der Encarregado ist für den Empfang von Mitteilungen von betroffenen Personen und der ANPD zuständig.
• Rechtsgrundlagen: Die Verarbeitung basiert auf Artikel 7 der LGPD, insbesondere: Vertragserfüllung (inciso V), berechtigtes Interesse (inciso IX) und Einwilligung, sofern zutreffend (inciso I).
• Aufsichtsbehörde: Die Autoridade Nacional de Proteção de Dados (ANPD) ist die zuständige Behörde für LGPD-Angelegenheiten. Sie haben das Recht, bei der ANPD Beschwerde einzulegen, wenn Sie der Ansicht sind, dass Ihre Datenschutzrechte verletzt wurden.
  • Website der ANPD: https://www.gov.br/anpd
• Internationale Übermittlungen: Ihre Daten werden in Übereinstimmung mit Artikel 33 der LGPD und der Resolution CD/ANPD nº 19/2024 in die Vereinigten Staaten übermittelt.
• Antwortfrist: Wir antworten auf Ihre Anfragen innerhalb von 15 Tagen, wie von der LGPD vorgeschrieben.

---

10. Für Benutzer in der EU/im EWR (DSGVO)

Wenn Sie sich in der Europäischen Union oder im Europäischen Wirtschaftsraum befinden, enthält dieser Abschnitt zusätzliche Informationen, die durch die Datenschutz-Grundverordnung (EU 2016/679) vorgeschrieben sind.

• Rechtsgrundlagen: Unsere Verarbeitungstätigkeiten und deren Rechtsgrundlagen sind in Abschnitt 3 oben dargelegt. Die Hauptgrundlagen sind Vertragserfüllung (Artikel 6 Absatz 1 Buchstabe b) und berechtigtes Interesse (Artikel 6 Absatz 1 Buchstabe f).
• Recht auf Beschwerde: Sie haben das Recht, bei Ihrer zuständigen Datenschutzaufsichtsbehörde Beschwerde einzulegen. Eine Liste der EU/EWR-Aufsichtsbehörden ist verfügbar unter https://edpb.europa.eu/about-edpb/about-edpb/members_en.
• Internationale Übermittlungen: Daten werden auf Grundlage der von der Europäischen Kommission angenommenen Standardvertragsklauseln (SVK) gemäß Kapitel V der DSGVO in die Vereinigten Staaten übermittelt.
• Datenschutzbeauftragter: Für DSGVO-bezogene Anfragen kontaktieren Sie legal@hearqa.com.
• Automatisierte Entscheidungsfindung: HearQA führt keine automatisierte Entscheidungsfindung oder Profiling durch, die rechtliche Wirkung oder ähnlich erhebliche Auswirkungen auf Sie hat. KI-Coaching-Antworten dienen ausschließlich Informationszwecken und stellen keine automatisierten Entscheidungen im Sinne von Artikel 22 dar.
• Antwortfrist: Wir antworten auf Ihre Anfragen innerhalb von 30 Tagen, mit einer möglichen Verlängerung um 60 weitere Tage bei komplexen Anfragen, wie nach Artikel 12 Absatz 3 zulässig.

---

11. Für Benutzer in Kalifornien (CCPA)

Wenn Sie in Kalifornien ansässig sind, enthält dieser Abschnitt zusätzliche Informationen, die durch den California Consumer Privacy Act (Cal. Civ. Code Section 1798.100 et seq.) und den California Privacy Rights Act (CPRA) vorgeschrieben sind.

• Wir verkaufen keine personenbezogenen Daten. HearQA hat Ihre personenbezogenen Daten nie an Dritte verkauft und wird dies auch in Zukunft nicht tun.
• Wir geben keine personenbezogenen Daten für kontextübergreifende verhaltensbasierte Werbung weiter.
• Recht auf Auskunft: Sie haben das Recht, die Kategorien und spezifischen personenbezogenen Daten anzufordern, die wir in den letzten 12 Monaten über Sie erhoben haben.
• Recht auf Löschung: Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen. Dies können Sie direkt über Ihre Kontoeinstellungen oder durch Kontaktaufnahme unter legal@hearqa.com tun.
• Recht auf Berichtigung: Sie haben das Recht, die Korrektur unrichtiger personenbezogener Daten zu verlangen.
• Recht auf Widerspruch gegen den Verkauf: Da wir keine personenbezogenen Daten verkaufen, gibt es keinen Verkauf, dem Sie widersprechen könnten.
• Nichtdiskriminierung: Wir werden Sie nicht diskriminieren, weil Sie eines Ihrer CCPA-Rechte ausüben. Sie erhalten keine unterschiedliche Preisgestaltung, keine andere Dienstqualität und der Dienst wird Ihnen nicht aufgrund der Ausübung Ihrer Rechte verweigert.
• Antwortfrist: Wir antworten auf überprüfbare Verbraucheranfragen innerhalb von 45 Tagen, wie vom CCPA vorgeschrieben.

Kategorien erhobener personenbezogener Daten (gemäß CCPA-Kategorien):

| CCPA-Kategorie | Beispiele | Erhoben | |---------------|----------|-----------| | Identifikatoren | E-Mail-Adresse, Name | Ja | | Geschäftliche Informationen | Abonnementplan, Zahlungshistorie (über Paddle) | Ja | | Internet- oder Netzwerkaktivität | Sitzungsmetadaten (Typ, Dauer, Zeitstempel) | Ja | | Audioinformationen | Mikrofonaudio (gestreamt, nie gespeichert) | Nur vorübergehend | | Audio-/visuelle Informationen | Videoaufnahmen (bis zu 20 Sekunden, automatisch innerhalb von 24 Stunden gelöscht) | Nur vorübergehend | | Berufliche Informationen | Sitzungsinhalte zu Vorstellungsgesprächen, Prüfungen, Zertifizierungen | Ja (nur Sitzungsdauer) | | Inferenzen | KI-generierte Sitzungszusammenfassungen | Ja (vom Benutzer initiiert) |

---

12. Datenschutz von Minderjährigen

HearQA ist nicht für die Nutzung durch Personen unter 16 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen unter 16 Jahren.

• Gemäß dem US-amerikanischen Children's Online Privacy Protection Act (COPPA) erheben wir keine Daten von Kindern unter 13 Jahren.
• Gemäß der DSGVO verarbeiten wir keine Daten von Personen unter 16 Jahren ohne elterliche Einwilligung, und wir verfügen über keinen Mechanismus zur Einholung einer solchen Einwilligung.
• Gemäß der LGPD erfordert die Verarbeitung von Daten von Kindern und Jugendlichen die spezifische und hervorgehobene Einwilligung eines Elternteils oder gesetzlichen Vertreters (Artikel 14).

Wenn wir erfahren, dass wir personenbezogene Daten eines Minderjährigen unter 16 Jahren erhoben haben, werden wir diese Daten unverzüglich löschen. Wenn Sie glauben, dass ein Minderjähriger unter 16 Jahren uns personenbezogene Daten mitgeteilt hat, kontaktieren Sie uns bitte unter legal@hearqa.com.

---

13. Cookies und Tracking-Technologien

HearQA verwendet keine Cookies, Web-Beacons, Pixel oder ähnliche Tracking-Technologien.

Wir verwenden weder Erst- noch Drittanbieter-Cookies. Wir betreiben kein Cross-Site-Tracking, keine verhaltensbasierte Werbung und kein Fingerprinting. Authentifizierungstoken werden im sessionStorage Ihres Browsers gespeichert, der beim Schließen Ihres Browser-Tabs gelöscht wird und für andere Websites nicht zugänglich ist.

Da wir keine Cookies oder Tracking-Technologien verwenden, gibt es kein Cookie-Consent-Banner und kein Opt-out-Mechanismus ist erforderlich.

---

14. Sicherheitsmaßnahmen

Wir implementieren angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten:

• Verschlüsselung im Ruhezustand: Alle in DynamoDB und S3 gespeicherten Daten sind mit von AWS verwalteten Verschlüsselungsschlüsseln (AES-256) verschlüsselt.
• Verschlüsselung bei der Übertragung: Alle zwischen Ihrem Browser, unseren Servern und Auftragsverarbeitern übertragenen Daten sind mit TLS 1.2 oder höher verschlüsselt.
• Zugriffskontrollen: Der Zugriff auf Produktionssysteme und Daten ist auf autorisiertes Personal durch rollenbasierte Zugriffskontrollen und Multi-Faktor-Authentifizierung beschränkt.
• Infrastruktursicherheit: Alle Dienste laufen auf AWS-Infrastruktur, die SOC 1/2/3, ISO 27001 und andere Compliance-Zertifizierungen unterhält.
• Authentifizierungssicherheit: Benutzerpasswörter werden von AWS Cognito mit branchenüblichem Hashing verwaltet. OAuth-Token folgen dem PKCE-Verfahren (Proof Key for Code Exchange) für erhöhte Sicherheit.
• Datenisolierung: Benutzerdaten sind in DynamoDB durch das Partitionsschlüssel-Design logisch isoliert. Jeder Benutzer kann nur auf seine eigenen Daten zugreifen.
• Regelmäßige Überprüfungen: Wir führen periodische Sicherheitsüberprüfungen durch und überwachen Schwachstellen in unseren Abhängigkeiten und unserer Infrastruktur.

Offenlegung von Schwachstellen: Wenn Sie eine Sicherheitslücke entdecken, melden Sie diese bitte an security@hearqa.com. Wir nehmen alle Meldungen ernst und werden umgehend reagieren.

---

15. Änderungen dieser Richtlinie

Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken, Technologie, rechtlichen Anforderungen oder anderer Faktoren widerzuspiegeln.

• Wesentliche Änderungen: Bei bedeutenden Änderungen, die Ihre Rechte oder die Art und Weise der Verarbeitung Ihrer Daten betreffen, werden wir Sie mindestens 30 Tage im Voraus per E-Mail an die mit Ihrem Konto verknüpfte Adresse benachrichtigen.
• Unwesentliche Änderungen: Geringfügige Klarstellungen oder Formatierungsänderungen können ohne vorherige Ankündigung vorgenommen werden.
• Versionshistorie: Das Datum der „Letzten Aktualisierung" am Anfang dieser Richtlinie gibt das Datum der jüngsten Überarbeitung an. Die Versionsnummer folgt der semantischen Versionierung.

Wir empfehlen Ihnen, diese Richtlinie regelmäßig zu überprüfen. Ihre fortgesetzte Nutzung von HearQA nach Inkrafttreten von Änderungen gilt als Annahme der aktualisierten Richtlinie.

---

16. Kontakt

Für Fragen, Anliegen oder Anfragen im Zusammenhang mit dieser Datenschutzrichtlinie oder Ihren personenbezogenen Daten:

• Datenschutz- und Rechtsanfragen: legal@hearqa.com
• Meldungen von Sicherheitslücken: security@hearqa.com

Für Support-Anfragen zu Ihrem Abonnement oder Service können aktive Pro- und Session-Pack-Abonnenten das Kontaktformular in ihrem Portal nutzen.

Postanschrift: HC DESENVOLVIMENTO DE SOFTWARES LTDA Rua Guaicui, 715 CEP 30.380-342, Bairro Luxemburgo Belo Horizonte, MG, Brasilien

Wir sind bestrebt, alle datenschutzbezogenen Anfragen innerhalb von 15 Tagen zu beantworten.