Zurück

Datenschutz

Stand: Mai 2026

1. Allgemeines und Geltungsbereich

Diese Datenschutzerklärung gilt für das gesamte RAAV-Ökosystem, einschließlich folgender Domains und Dienste:

  • raav.io (Hauptseite)
  • os.raav.io (RAAV OS Lernmodule)
  • members.raav.io (RAAV AI Coach)
  • academy.raav.io (RAAV Academy)
  • clinic.raav.io (RAAV Clinic)
  • get.raav.io (Shop und Buchung)
  • api.raav.io (RAAVatar Chatbot)

Die folgenden Hinweise geben Ihnen einen Überblick darüber, was mit Ihren personenbezogenen Daten geschieht, wenn Sie unsere Webseiten und Dienste besuchen oder nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Besondere Hinweise zur KI-Nutzung:

Mehrere unserer Angebote nutzen Künstliche Intelligenz (insbesondere der RAAV AI Coach unter members.raav.io und der RAAVatar Chatbot unter api.raav.io). Bitte lesen Sie hierzu insbesondere die Abschnitte 6 und 7 sorgfältig durch.

2. Verantwortliche Stelle

Tim Raav
RAAV Therapie

Moltkestr. 9, 24105 Kiel
0176 70 80 29 29
tim@raav.io

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (z.B. Namen, E-Mail-Adressen oder andere personenbezogene Daten).

3. Datenverarbeitung beim Besuch unserer Webseiten

a. Server-Logfiles

Bei jedem Aufruf unserer Webseiten erfasst unser Webserver automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer-URL (zuvor besuchte Seite)
  • Hostname des zugreifenden Rechners
  • Datum und Uhrzeit der Serveranfrage
  • IP-Adresse

Zweck der Verarbeitung

Die vorübergehende Speicherung dieser Daten ist technisch notwendig, um die Auslieferung der Webseiten zu ermöglichen, die Stabilität und Sicherheit unserer Systeme zu gewährleisten und Angriffe abzuwehren.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung und Sicherheit unserer Webseiten).

Speicherdauer

Server-Logfiles werden nach maximal 14 Tagen automatisch gelöscht oder anonymisiert.

Hosting

Frontend-Dateien werden bei Strato AG (Pascalstraße 10, 10587 Berlin) gehostet. Backend-Dienste (Coach API, RAAVatar) laufen auf einem Server bei DigitalOcean LLC, betrieben über das EU-Rechenzentrum in Frankfurt am Main. Mit beiden Anbietern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

4. Cookies und lokale Speicherung

Wir verwenden auf unseren Webseiten ausschließlich technisch notwendige Cookies und ähnliche Speichermechanismen (z.B. localStorage, sessionStorage des Browsers).

Welche Daten werden lokal gespeichert?

  • Einwilligung zur Datenverarbeitung im AI Coach (members.raav.io)
  • Session-bezogene Gesprächsverläufe im Browser (werden bei Schließen des Tabs gelöscht oder durch den Nutzer manuell beendet)
  • Spracheinstellungen und ähnliche Komfort-Funktionen

Wir setzen keine Tracking-Cookies, keine Analyse-Cookies und keine Marketing-Cookies ein. Es findet keine Webanalyse durch Google Analytics, Meta Pixel oder vergleichbare Dienste statt.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO und § 25 Abs. 2 Nr. 2 TTDSG (technisch erforderliche Speicherung zum Betrieb der Dienste).

Steuerung durch den Nutzer

Sie können in den Einstellungen Ihres Browsers Cookies und lokale Speicherung jederzeit löschen oder einschränken.

5. Schriftarten (Google Fonts)

Auf unseren Webseiten setzen wir derzeit Schriftarten aus den Google Fonts ein, bereitgestellt durch die Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland), Mutterkonzern Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).

Beim Besuch unserer Webseiten lädt Ihr Browser die benötigten Schriftarten von Servern von Google. Dabei wird Ihre IP-Adresse an Google übermittelt. Die Übermittlung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen und ansprechenden Darstellung unserer Inhalte).

Hinweis zur Optimierung:

Wir arbeiten daran, Google Fonts vollständig lokal auf unseren eigenen Servern zu hosten, um diese Datenübertragung an Google zu vermeiden. Die Umstellung wird zeitnah erfolgen.

Datenschutzerklärung von Google: policies.google.com/privacy

6. RAAV AI Coach (members.raav.io)

Der RAAV AI Coach ist ein KI-basierter Gesundheitscoach. Die Nutzung ist freiwillig und passwortgeschützt. Vor der ersten Nutzung erfolgt ein gesonderter Hinweis auf die Datenverarbeitung sowie eine ausdrückliche Einwilligung („Verstanden“-Bestätigung).

a. Welche Daten werden verarbeitet?

  • Texteingaben: Inhalt der Nachrichten, die Sie an den Coach senden
  • Sprachaufnahmen (Voice-Modus): Audiodaten, die Sie über das Mikrofon aufnehmen
  • Generierte Antworten: Coach-Antworten und Sprachausgaben (Tims geklonte Stimme)
  • Sitzungs-Kontext: Komprimierte Gesprächszusammenfassungen während einer aktiven Sitzung

b. Hinweis zu besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO)

Da der AI Coach gesundheitsbezogene Themen bearbeitet (Schmerzen, Beschwerden, mentale Belastung, Ernährung), kann es zur Verarbeitung von Gesundheitsdaten im Sinne von Art. 9 DSGVO kommen.

Diese Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie die Nutzung des AI Coachs einstellen.

c. KI-Anbieter und Verarbeitungsdienste

Für die Verarbeitung der Eingaben nutzen wir ausschließlich einen einzigen KI-Anbieter:

Mistral AI SAS
15, rue des Halles, 75001 Paris, Frankreich
Datenschutzerklärung: mistral.ai/terms

Mistral AI ist ein französisches Unternehmen mit Sitz innerhalb der Europäischen Union. Die Verarbeitung Ihrer Daten erfolgt auf Servern innerhalb der EU. Es findet kein Drittlandtransfer in die USA statt.

Mistral AI übernimmt für uns folgende Verarbeitungsschritte:

  • Spracherkennung (Speech-to-Text) – Modell: Voxtral
  • Generierung der Coach-Antworten – Modell: Mistral Large
  • Sprachausgabe (Text-to-Speech) – Modell: Voxtral TTS mit personalisierter Stimme

d. Speicherdauer

  • Eingaben werden ausschließlich während der Verarbeitung übermittelt und nicht dauerhaft gespeichert.
  • Gesprächsverläufe verbleiben nur lokal in Ihrem Browser (sessionStorage) und werden beim Schließen des Tabs entfernt.
  • Mistral AI speichert übermittelte Daten gemäß eigener Datenschutzbestimmungen kurzfristig zur Sicherstellung der Dienstqualität und nutzt diese ausdrücklich nicht zum Training ihrer Modelle.

e. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Der AI Coach trifft keine automatisierten Entscheidungen mit rechtlicher Wirkung. Er stellt keine medizinischen Diagnosen, gibt keine verbindlichen Behandlungsempfehlungen und ersetzt keine ärztliche oder therapeutische Beratung. Die Coach-Antworten dienen ausschließlich zur Information und Selbstreflexion.

f. Rechtsgrundlage

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung bei Gesundheitsdaten).

7. RAAVatar Chatbot (api.raav.io / Einbettung auf Landingpages)

Auf einigen unserer Landingpages ist ein Chat-Widget eingebettet, das einfache Fragen zu RAAV beantwortet (RAAVatar). Auch dieser Chatbot nutzt Mistral AI als KI-Anbieter (siehe Abschnitt 6 für Details zum Anbieter und zur Datenverarbeitung).

Verarbeitete Daten

  • Inhalt der gestellten Fragen und Coach-Antworten
  • Technische Verbindungsdaten (IP, Zeitstempel) zur Bereitstellung des Dienstes

Rechtsgrundlage

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung des Chatbots).

8. Newsletter und E-Mail-Marketing (KlickTipp)

Für unseren Newsletter und automatisierte E-Mail-Sequenzen nutzen wir den Dienst KlickTipp.

KlickTipp Limited
15 Cambridge Court, 210 Shepherds Bush Road, London W6 7NJ, Vereinigtes Königreich
Datenschutzerklärung: klick-tipp.com/datenschutzerklaerung

Welche Daten werden verarbeitet?

  • E-Mail-Adresse (Pflichtfeld)
  • Vor- und Nachname (optional)
  • Telefonnummer (optional)
  • Anmeldedaten (Datum, Uhrzeit, IP-Adresse)
  • Tag-basierte Kategorisierung (z.B. Interesse an Modulen)

Verfahren (Double-Opt-In)

Nach Ihrer Anmeldung erhalten Sie eine Bestätigungs-E-Mail. Erst nach Klick auf den Bestätigungslink wird Ihre E-Mail-Adresse in unsere Empfängerliste aufgenommen.

Rechtsgrundlage

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Widerruf und Abmeldung

Sie können Ihre Einwilligung jederzeit widerrufen. Jede Newsletter-E-Mail enthält einen Abmeldelink. Alternativ können Sie sich per E-Mail an tim@raav.io abmelden.

Drittlandtransfer

KlickTipp hat seinen Sitz im Vereinigten Königreich. Für das UK liegt ein Angemessenheitsbeschluss der EU-Kommission vor (Beschluss vom 28.06.2021), sodass die Datenübermittlung gemäß Art. 45 DSGVO zulässig ist.

9. Online-Shop und Buchungen (Shopify, get.raav.io)

Über die Domain get.raav.io bieten wir kostenpflichtige Erstgespräche, Kurse und Produkte an. Die Shop-Funktionalität wird über Shopify bereitgestellt.

Shopify International Limited
2nd Floor, Victoria Buildings, 1-2 Haddington Road, Dublin 4, D04 XN32, Irland
Datenschutzerklärung: shopify.com/legal/privacy

Welche Daten werden verarbeitet?

  • Vor- und Nachname
  • Rechnungs- und Lieferadresse
  • E-Mail-Adresse und Telefonnummer
  • Zahlungsdaten (verarbeitet durch den jeweiligen Zahlungsdienstleister)
  • Bestellverlauf

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten nach HGB und AO).

Speicherdauer

Bestelldaten werden gemäß handels- und steuerrechtlicher Aufbewahrungspflichten 10 Jahre aufbewahrt.

Drittlandtransfer

Shopify International Limited hat ihren Sitz in Irland (EU). Die Mutterkonzern Shopify Inc. sitzt in Kanada. Für Kanada besteht ein Angemessenheitsbeschluss der EU-Kommission, sodass die Datenübermittlung gemäß Art. 45 DSGVO zulässig ist.

10. Kontaktaufnahme und Erstgespräche

Wenn Sie uns per E-Mail, Telefon oder über ein Kontaktformular kontaktieren, werden Ihre Angaben (Name, E-Mail-Adresse, Telefonnummer, Inhalt der Anfrage) zur Bearbeitung Ihres Anliegens und für mögliche Anschlussfragen gespeichert.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage).

Speicherdauer

Wir löschen Ihre Daten, sobald der Zweck der Speicherung entfällt – spätestens nach 3 Jahren, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11. Therapeutische Behandlungen in der Praxis

Im Rahmen einer therapeutischen Behandlung in unseren Praxisstandorten Kiel und Hamburg werden besondere Kategorien personenbezogener Daten (Gesundheitsdaten gemäß Art. 9 DSGVO) erhoben und in einer Patientenakte gespeichert. Diese Verarbeitung erfolgt nach den Vorgaben des Patientenrechtegesetzes und einschlägiger berufsrechtlicher Bestimmungen.

Diese Daten werden nicht mit den oben genannten Online-Diensten (AI Coach, RAAVatar, Newsletter) verknüpft.

Rechtsgrundlage

Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG.

Speicherdauer

Patientenakten werden gemäß § 630f Abs. 3 BGB für mindestens 10 Jahre aufbewahrt.

12. Empfänger und Weitergabe von Daten

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte findet nur in den oben beschriebenen Fällen statt (insbesondere an unsere Auftragsverarbeiter Mistral AI, Strato, DigitalOcean, KlickTipp, Shopify) sowie:

  • wenn dies zur Vertragserfüllung erforderlich ist (z.B. Versanddienstleister bei physischen Produkten)
  • wenn eine gesetzliche Verpflichtung besteht
  • wenn Sie uns ausdrücklich Ihre Einwilligung erteilt haben

Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO.

13. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

a. Recht auf Auskunft (Art. 15 DSGVO)

Sie können jederzeit kostenlos Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.

b. Recht auf Berichtigung (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.

c. Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

d. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird.

e. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder zur Vertragserfüllung verarbeiten, in einem maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übermitteln zu lassen.

f. Widerspruchsrecht (Art. 21 DSGVO)

Soweit wir Ihre Daten auf Grundlage berechtigter Interessen verarbeiten, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einlegen.

g. Widerruf der Einwilligung

Sofern die Datenverarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

h. Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Holstenstraße 98, 24103 Kiel
Telefon: 0431 988-1200
E-Mail: mail@datenschutzzentrum.de
Web: datenschutzzentrum.de

i. Ausübung Ihrer Rechte

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an: tim@raav.io

14. SSL- bzw. TLS-Verschlüsselung

Sämtliche Übertragungen zwischen Ihrem Browser und unseren Servern erfolgen verschlüsselt über SSL/TLS. Eine verschlüsselte Verbindung erkennen Sie am Schloss-Symbol in Ihrer Browserzeile und am „https://" am Anfang der Adresszeile.

15. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre Daten gegen Verlust, Manipulation und unbefugten Zugriff zu schützen. Dazu gehören insbesondere:

  • Verschlüsselung der Übertragung (TLS)
  • Zugriffsbeschränkung auf den Server (SSH-Authentifizierung)
  • Sichere Speicherung von API-Schlüsseln auf dem Server (nicht im Frontend)
  • Regelmäßige Sicherheitsupdates der Server-Software
  • Backups zur Wiederherstellung im Schadensfall

16. Widerspruch gegen Werbe-E-Mails

Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit widersprochen. Wir behalten uns ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-E-Mails, vor.

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch unserer Webseiten gilt dann die jeweils aktualisierte Fassung. Wesentliche Änderungen werden wir gesondert kenntlich machen.