Datenschutzerklärung — SteerMind AI

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen für den Betrieb des Dienstes SteerMind AI unter www.steer-mind.com ist:

Name: Nicolas Schraml
Rechtsform: geschäftliche Bezeichnung: SteerMind AI
Anschrift: Heide 2, 33824 Werther, Deutschland
E-Mail: privacy@steer-mind.com

2. Allgemeine Hinweise zur Datenverarbeitung

SteerMind AI ist eine KI-gestützte Anwendung für den kontrollierten Pflanzenanbau. Der Dienst verarbeitet personenbezogene Daten nur, soweit dies für die Bereitstellung und den sicheren Betrieb des Dienstes technisch notwendig ist. Im Folgenden beschreiben wir, welche Daten in welchen Situationen erhoben werden, zu welchem Zweck und auf welcher Rechtsgrundlage die Verarbeitung erfolgt.

Personenbezogene Daten werden insbesondere in den folgenden Situationen verarbeitet:

Zugriff auf die Website und Verarbeitung von Server-Logfiles
Erstellung und Nutzung von Benutzerkonten sowie Authentifizierung
Nutzung der KI-gestützten Chat- und Diagnosefunktionen
Speicherung und Abruf von Konversationsverläufen
Abgabe von optionalem Feedback zu KI-Antworten
Durchführung von In-App-Käufen und Abonnements über Google Play
Technische und organisatorische Sicherheitsmaßnahmen zum Schutz des Dienstes

Der Dienst ist technisch so konzipiert, dass nur die für den jeweiligen Verarbeitungszweck erforderlichen Daten erfasst werden (Grundsatz der Datenminimierung). Grow-bezogene Inhalte (Pflanzenbilder, Grow-Parameter, Kontexteingaben) werden verarbeitet, um KI-Antworten zu generieren, stellen aber keine dauerhaft personenidentifizierenden Daten im Kern des Profils dar.

3. Zugriff auf Website und Server-Logfiles

Bei jedem Zugriff auf unsere Website und bei jedem Abruf einer Datei werden durch den Webserver automatisch technische Zugriffsdaten erhoben und in Server-Logfiles gespeichert. Folgende Daten werden dabei verarbeitet:

IP-Adresse des anfragenden Geräts
Datum und Uhrzeit des Zugriffs
Angefragter Pfad (URL)
HTTP-Statuscode der Antwort
Verwendeter Browser und Betriebssystem (User-Agent)

Diese Daten werden für den technischen Betrieb, die Fehlerdiagnose und die Sicherheit des Dienstes benötigt. Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung eines störungsfreien Betriebs und der IT-Sicherheit)
Speicherdauer: Server-Logfiles werden nach spätestens 30 Tagen automatisch gelöscht bzw. rotiert.

4. Nutzung von Benutzerkonto, Authentifizierung und App-Instanz-ID

Die App übermittelt bei jeder Anfrage eine gerätebezogene App-Instanz-ID (X-App-Instance-Id-Header). Diese dient der technischen Zuordnung von Anfragen, der Verwaltung von Kontingenten (Rate Limiting) und der Entitlement-Prüfung.

Bei der Nutzung authentifizierter Funktionen stellt der Dienst beim Login ein signiertes JWT (JSON Web Token) aus, das bei nachfolgenden Anfragen als Bearer-Token übermittelt wird. Das Token enthält eine Client-ID und Berechtigungsinformationen. Es werden Session-Daten in Redis für die Dauer der Sitzung zwischengespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsschutz und sicherem Betrieb)
Speicherdauer: Redis-basiertes Rate-Limit-Tracking: kurzlebig, üblicherweise ≤ 60 Minuten. JWT-Gültigkeit gemäß Konfiguration; keine serverseitige Session-Persistenz über Redis-TTL hinaus. Datenbankgestützte Kontingent- und Kontodaten: für die Dauer des aktiven Kontos.

5. Chat-, Diagnose- und KI-Anfragen

Eingaben der Nutzenden (Textnachrichten, Grow-Kontext, Parameter) werden an den KI-Dienst übermittelt, um strukturierte Empfehlungen und Diagnosen zu generieren. Die Anfragen werden dabei an externe KI-Anbieter (Google Gemini API) zur Verarbeitung weitergeleitet.

Konversationsdaten werden in PostgreSQL gespeichert, soweit die Funktion „persistente Konversationen“ genutzt wird. Nutzende können einzelne Konversationen oder alle Konversationen über die App löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des KI-Dienstes)
Externe Übermittlung: Anfragen werden an die Google Gemini API (Google LLC, USA) übertragen. Hinweise zur Datenverarbeitung durch Google: Google AI Terms.
Speicherdauer: Persistente Konversationen werden für die Dauer des Nutzerkontos gespeichert. Die Löschung einzelner Konversationen ist jederzeit über die App möglich. Nicht-persistente Anfragen werden nach Ablauf der serverseitig konfigurierbaren Retention-Frist gelöscht.

6. Bilduploads für Diagnosefunktionen

Nutzende können Bilder (z. B. Blatt-, Wurzel- oder Canopy-Aufnahmen) für die KI-gestützte visuelle Diagnose hochladen. Diese Bilder werden für die Anfrageverarbeitung an den KI-Dienst (Google Gemini API) übermittelt.

Bilder werden nicht dauerhaft auf unseren Servern gespeichert, es sei denn, die nutzende Person hat die Persistenz-Funktion für Konversationen aktiviert. In diesem Fall werden Bilder zusammen mit der zugehörigen Konversation gespeichert und bei Löschung der Konversation ebenfalls gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Temporär für die Dauer der Anfrageverarbeitung, sofern keine Persistenz aktiviert ist. Bei aktivierter Persistenz: für die Dauer der Konversation bzw. des Nutzerkontos.

7. Nutzerprofil, Einstellungen und Präferenzen

Nutzerseitige Einstellungen (Präferenzen, Grow-spezifischer Kontext, bevorzugte Sprache und weitere Konfigurationsoptionen) werden in PostgreSQL gespeichert, um eine personalisierte Nutzung des Dienstes zu ermöglichen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Für die Dauer des Nutzerkontos. Bei Löschung des Kontos werden sämtliche Profildaten unwiderruflich gelöscht.

8. Optionales Feedback

Nutzende können optional Feedback zu KI-Antworten abgeben (z. B. Bewertungen oder Freitext-Rückmeldungen). Dieses Feedback wird in der Datenbank (PostgreSQL) gespeichert und dient ausschließlich der Qualitätsverbesserung des Dienstes.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung der Dienstqualität)
Speicherdauer: Bis zur Löschung des Nutzerkontos oder auf ausdrücklichen Wunsch der nutzenden Person.

9. Abonnements und In-App-Kauf-Verifikation

Bei Nutzung der Android-App und von Google-Play-Abonnements übermittelt die App einen Kaufnachweis (Purchase Token) an unseren Dienst. Dieser wird zur Verifikation an die Google Play Developer API weitergeleitet. Wir speichern Transaktionsreferenzen (Purchase Token, Order ID, Produktkennung, Zeitstempel) zur Verwaltung von Berechtigungen und Kontingenten.

Es werden keine Zahlungsdaten (Kreditkartennummer, IBAN o. ä.) auf unseren Systemen gespeichert. Die Zahlungsabwicklung erfolgt ausschließlich über Google Play.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Transaktionsreferenzen für die Dauer der Abobeziehung und darüber hinaus für die Erfüllung gesetzlicher Aufbewahrungsfristen (§ 147 AO, § 257 HGB).

10. Externe Empfänger und eingesetzte Dienste

Im Rahmen der Bereitstellung des Dienstes werden personenbezogene Daten an die folgenden externen Empfänger bzw. Dienstleister übermittelt:

Anbieter	Zweck	Sitz	Transfergrundlage
Hosting-Infrastruktur	Serverbetrieb, Datenbank, Cache	EU/EWR	Auftragsverarbeitung
Google LLC (Gemini API)	KI-Antwortgenerierung, Bildanalyse	USA	EU-U.S. Data Privacy Framework (DPF)
Pinecone Systems Inc.	Vektorsuche (Wissensbasis-Retrieval)	USA	Standardvertragsklauseln (SCC)
Tavily AI Inc.	Ergänzende Web-Suche	USA	Standardvertragsklauseln (SCC)
Google Play (Billing API)	Verifikation von In-App-Käufen und Abonnements	USA	EU-U.S. Data Privacy Framework (DPF)

11. Datenübermittlung in Drittländer

Einige der eingesetzten Dienstleister haben ihren Sitz in den USA, einem Land außerhalb des Europäischen Wirtschaftsraums (EWR). Die Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO:

Google LLC (Gemini API, Google Play): Google ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO liegt vor.
Pinecone Systems Inc.: Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Tavily AI Inc.: Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Wir überprüfen regelmäßig, ob die eingesetzten Garantien ein angemessenes Schutzniveau gewährleisten, und passen unsere Maßnahmen bei Bedarf an.

12. Hinweise zu Google Gemini API

SteerMind AI nutzt die Google Gemini API (kostenpflichtige Version) für die Verarbeitung von KI-Anfragen. Gemäß den Nutzungsbedingungen von Google für die kostenpflichtige Gemini API gilt:

Google kann übermittelte Daten für Zwecke der Missbrauchserkennung und der Durchsetzung der Nutzungsbedingungen (Abuse Monitoring) verarbeiten.
Bei Nutzung der kostenpflichtigen API werden übermittelte Daten von Google nicht zum allgemeinen Training von KI-Modellen verwendet.

Weitere Informationen finden Sie in den Google AI Terms of Service sowie in den Gemini API Additional Terms of Service.

13. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die gegenüber der betroffenen Person rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Die KI-gestützten Empfehlungen und Diagnosen des Dienstes sind ausschließlich als Hilfestellung und Informationsangebot zu verstehen und begründen keine rechtsverbindlichen Entscheidungen.

14. Cookies und lokale Speicherung

Die öffentlichen Seiten unter www.steer-mind.com verwenden keine Tracking-Cookies und setzen kein clientseitiges JavaScript für Analysezwecke ein. Es werden keine Drittanbieter-Cookies gesetzt.

Ausschließlich technisch notwendige Cookies werden eingesetzt:

Session-Cookie: Der Admin-Bereich des Dienstes setzt einen Session-Cookie für die Administrator-Authentifizierung (HttpOnly, SameSite=Strict). Dieser Cookie ist für reguläre Nutzende nicht zugänglich und nicht relevant.
Admin-Auth-Cookie: Dient der Sitzungsverwaltung im internen Administrationsbereich und wird nach Ende der Sitzung oder nach Ablauf der konfigurierten Gültigkeit gelöscht.

15. Rechtsgrundlagen im Überblick

Die Verarbeitung personenbezogener Daten durch SteerMind AI erfolgt auf Grundlage der folgenden Rechtsgrundlagen der DSGVO:

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen erforderlich. Dies umfasst die Bereitstellung des KI-Dienstes, die Kontoverwaltung, die Abonnementverwaltung und die Speicherung von Nutzerprofilen und Konversationen.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich. Dies umfasst insbesondere die IT-Sicherheit, den Missbrauchsschutz (Rate Limiting), die Auswertung von Server-Logfiles und die Verarbeitung von optionalem Feedback zur Qualitätsverbesserung.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Derzeit setzt SteerMind AI keine Verarbeitungsvorgänge ein, die auf einer Einwilligung basieren.

16. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die Erreichung des jeweiligen Verarbeitungszwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen gelten folgende Grundsätze:

Server-Logfiles: bis zu 30 Tage
Rate-Limit-Tracking (Redis): kurzlebig, üblicherweise ≤ 60 Minuten
Kontodaten, Profildaten, Präferenzen: für die Dauer des aktiven Nutzerkontos
Konversationsdaten: für die Dauer des Nutzerkontos oder bis zur Löschung durch die nutzende Person
Feedback: bis zur Kontolöschung oder auf ausdrücklichen Wunsch
Transaktionsreferenzen: für die Dauer der Abobeziehung und gesetzliche Aufbewahrungsfristen

Nach Wegfall des Verarbeitungszwecks oder Ablauf gesetzlicher Aufbewahrungsfristen werden die Daten routinemäßig und gemäß den gesetzlichen Vorschriften gelöscht oder gesperrt.

17. Ihre Rechte

Als betroffene Person haben Sie nach der DSGVO folgende Rechte gegenüber dem Verantwortlichen:

Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über die Sie betreffenden gespeicherten personenbezogenen Daten verlangen, einschließlich Informationen über Verarbeitungszwecke, Kategorien und Empfänger.
Recht auf Berichtigung (Art. 16 DSGVO): Sie können die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen und kein anderer Ausnahmetatbestand vorliegt.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können in bestimmten Fällen die Einschränkung der Verarbeitung Ihrer Daten verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
Recht auf Widerspruch (Art. 21 DSGVO): Sie können jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung auf Basis von berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) Widerspruch einlegen.

Zur Ausübung Ihrer Rechte können Sie sich jederzeit an die unter Abschnitt 1 genannte Kontaktadresse oder an privacy@steer-mind.com wenden.

18. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist:

Behörde: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Anschrift: Postfach 20 04 44, 40102 Düsseldorf
Website: https://www.ldi.nrw.de

19. Löschanfragen und Kontakt

Der Dienst stellt technische Endpunkte für die Datenlöschung bereit, die über die App zugänglich sind:

Löschung aller Nutzerdaten (Konto, Konversationen, Feedback, Präferenzen)
Löschung einzelner Konversationen

Alternativ können Sie einen Löschantrag per E-Mail an privacy@steer-mind.com stellen. Wir werden Ihren Antrag unverzüglich, spätestens jedoch innerhalb eines Monats, bearbeiten.

20. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstörung und Manipulation zu schützen. Die Datenübertragung zwischen App und Server erfolgt ausschließlich über TLS-verschlüsselte Verbindungen (HTTPS).

Zu den eingesetzten Maßnahmen gehören insbesondere:

Verschlüsselte Kommunikation (TLS 1.2/1.3)
Authentifizierung über JWT mit definierten Gültigkeitszeiträumen
Passwort-Hashing mit modernen Algorithmen (Argon2)
Rate Limiting zum Schutz vor Missbrauch
Strikte Zugriffskontrolle auf administrative Funktionen
Regelmäßige Sicherheitsüberprüfungen der Serverkonfiguration
Read-only-Container und minimale Berechtigungen in der Produktionsumgebung

21. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte rechtliche Anforderungen, technische Entwicklungen oder an Änderungen des Dienstes anzupassen. Das Datum der letzten Änderung ist am Anfang dieser Seite angegeben.

Bei wesentlichen Änderungen, die Ihre Rechte als betroffene Person betreffen, werden wir Sie nach Möglichkeit gesondert informieren.