Datenschutzerklärung
Artikel 1 — Verantwortlicher
Der Verantwortliche für die Verarbeitung personenbezogener Daten ist:
CES Venture SAS (Handelsname: Hello Mira)
Geschäftssitz: Euratechnologies, 165 avenue de Bretagne, 59000 Lille, Frankreich
SIREN: 991 370 115
Gesetzlicher Vertreter: Cédric Tumminello, Präsident
Datenschutzbeauftragter (DSB):
Cédric Tumminello
E-Mail: [email protected]
Artikel 2 — Anwendungsbereich
Diese Datenschutzerklärung gilt für alle personenbezogenen Daten, die im Rahmen folgender Tätigkeiten erhoben und verarbeitet werden:
- die Nutzung der Hello Mira Plattform (mobile App Mira Nomad, Website hello-mira.com, Mira Chat);
- das Abonnieren und die Nutzung des Mira Pass;
- die Buchung und Durchführung von Mira Trips;
- die Interaktionen mit Mira Agents und Mira Brain;
- die Teilnahme an Mira Tribes und der Mira-Community;
- den Austausch mit dem Kundendienst.
Artikel 3 — Erhobene Daten und Zwecke
3.1 Registrierungs- und Profildaten
| Datum | Zweck | Rechtsgrundlage |
|---|---|---|
| Vor- und Nachname | Identifikation, Personalisierung | Vertragserfüllung |
| E-Mail-Adresse | Kommunikation, Authentifizierung | Vertragserfüllung |
| Passwort (gehasht) | Authentifizierung | Vertragserfüllung |
| Geburtsdatum | Altersverifikation (18 Jahre), Eignung der Reiseziele | Vertragserfüllung |
| Staatsangehörigkeit | Eignung der Reiseziele (Visum), Personalisierung | Vertragserfüllung |
| Mobiltelefonnummer | Kommunikation, Benachrichtigungen, Notfallhilfe | Vertragserfüllung |
| Steuerliches Wohnsitzland (beim Bezahlvorgang abgefragt) | Anwendung des Mehrwertsteuersatzes | Rechtliche Verpflichtung |
| Beruf / berufliche Tätigkeit | Personalisierung, Zuweisung zu Mira Tribes | Einwilligung |
| Profilfoto | Community-Identifikation | Einwilligung |
| Reisepräferenzen | Personalisierung, KI-Empfehlungen | Einwilligung |
3.2 Buchungs- und Reisedaten
| Datum | Zweck | Rechtsgrundlage |
|---|---|---|
| Reisepass-Scan | Identitätsverifizierung (KYC) | Vertragserfüllung + rechtliche Verpflichtung |
| Aus dem Reisepass extrahierte MRZ-Daten (Name, Staatsangehörigkeit, Geburtsdatum, Ablaufdatum, Dokumentennummer) | KYC, Eignung der Reiseziele | Vertragserfüllung |
| Abflugstadt | Preisberechnung (Flugzuschlag) | Vertragserfüllung |
| Buchungshistorie | Kontoverwaltung, Treuenachlässe | Vertragserfüllung |
| Reiseversicherungsnachweis | Überprüfung der Buchungsvoraussetzung | Vertragserfüllung |
| Zahlungsdaten | Transaktionsverarbeitung (über Stripe) | Vertragserfüllung |
3.3 Nutzungsdaten der Plattform
| Datum | Zweck | Rechtsgrundlage |
|---|---|---|
| Verbindungsprotokolle | Sicherheit, Betrugsprävention | Berechtigtes Interesse |
| Gespräche mit Mira Agents und Mira Brain | Betrieb des Dienstes, Verbesserung von KI-Modellen | Vertragserfüllung (Betrieb) / Berechtigtes Interesse (Verbesserung) |
| Nachrichten in Mira Tribes | Betrieb des Dienstes, Moderation | Vertragserfüllung |
| Privatnachrichten (DM) | Betrieb des Dienstes | Vertragserfüllung |
| Navigationsdaten (Analytics) | Verbesserung der Benutzererfahrung (UX) | Einwilligung (Clarity) / Befreit (Plausible) |
3.4 Kommunikationsdaten
| Datum | Zweck | Rechtsgrundlage |
|---|---|---|
| Verlauf des Support-Austauschs | Kundendienst | Vertragserfüllung |
| Benachrichtigungseinstellungen | Gezielte Kommunikation | Einwilligung |
| E-Mail-Adresse (Newsletter) | Werbeansprache | Einwilligung (Opt-in) |
Artikel 4 — Rechtsgrundlage für die Verbesserung von KI-Modellen
Die Gespräche des Nutzers mit Mira Agents und Mira Brain können zur Verbesserung der Antwortqualität und zur Bereicherung von Mira Knowledge (proprietäre Wissensbasis) verwendet werden.
Diese Verarbeitung stützt sich auf das berechtigte Interesse von Hello Mira (Artikel 6 Abs. 1 lit. f DSGVO), nach einer Abwägung mit den Rechten und Freiheiten der Nutzer:
- Verfolgtes Interesse: kontinuierliche Verbesserung der Relevanz und Zuverlässigkeit der den Nomaden bereitgestellten Informationen in einem Bereich (Reisen, Visa, Gesundheit, Steuerrecht), in dem die Informationsqualität entscheidend ist;
- Schutzmaßnahmen: Anonymisierung der Daten vor der Verwendung für das Training, Datenminimierung, Widerspruchsrecht des Nutzers.
Der Nutzer kann jederzeit Widerspruch gegen die Verwendung seiner Gespräche zur Verbesserung der Modelle einlegen, über die Einstellungen seines Kontos oder per E-Mail an [email protected]. Dieser Widerspruch gilt für künftige Gespräche.
Artikel 5 — Empfänger der Daten
5.1 Intern
Die Daten sind den operativen Teams von Hello Mira (Kundendienst, Reisebetrieb, Technik, Marketing) zugänglich, soweit dies zur Ausübung ihrer Aufgaben unbedingt erforderlich ist.
5.2 Technische Auftragsverarbeiter
Hello Mira beauftragt folgende Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten:
| Auftragsverarbeiter | Dienst | Datenspeicherort | Übermittlung außerhalb der EU |
|---|---|---|---|
| OVHcloud | Hosting, Infrastruktur | Frankreich / EU | Nein |
| Supabase (AWS Stockholm) | Datenbank, Authentifizierung | Schweden (EU) | Nein |
| Stripe | Zahlungen, Stripe Connect (Treuhandkonto) | EU (Hauptsitz USA) | Möglich (SCC) |
| Brevo | E-Mailing, Newsletter | Frankreich | Nein |
| Cloudflare | CDN, DDoS-Schutz | EU-Caches (Hauptsitz USA) | Möglich (SCC) |
| Duffel | Flug-API | Vereinigtes Königreich | Nein (Angemessenheitsbeschluss) |
| Vonage | Kommunikation (SMS, Sprache) | Hauptsitz USA | Wahrscheinlich (SCC) |
| Firebase (Google) | Push-Benachrichtigungen | Hauptsitz USA | Wahrscheinlich (SCC) |
| Plausible | Web-Analytics | EU | Nein |
| Microsoft Clarity | Verhaltensanalyse (Heatmaps, Sitzungsaufzeichnungen) | Hauptsitz USA | Wahrscheinlich (SCC) |
| Google Gemini | Generative KI (Mira Brain) | Hauptsitz USA | Wahrscheinlich (SCC) |
| Anthropic (Claude) | Generative KI (Mira Brain) | Hauptsitz USA | Wahrscheinlich (SCC) |
| OpenAI (GPT) | Generative KI (KYC-Untersuchung, Mira Brain) | Hauptsitz USA | Wahrscheinlich (SCC) |
| Mistral AI | Generative KI (Mira Brain) | Frankreich | Nein |
Hinweis: Hello Mira verfolgt einen schrittweisen Ansatz zur technologischen Souveränität durch die Entwicklung proprietärer KI-Modelle mit Hosting in der EU, mit dem Ziel, die Abhängigkeit von außereuropäischen Anbietern zu verringern.
Jeder Auftragsverarbeiter ist durch einen Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO gebunden.
5.3 Reisepartner (bei tatsächlichem Verkauf)
Im Rahmen der Durchführung eines Mira Trips können bestimmte Daten an Reisedienstleister übermittelt werden:
- Unterkunftsanbieter (Coliving, Hotels): für die Buchung unbedingt erforderliche Daten (Name, Daten, Präferenzen);
- Fluggesellschaften: nach der Luftfahrtgesetzgebung erforderliche Passagierdaten;
- Mira Amigos: begrenzte Daten (Vorname, Interessen).
Übermittlung des Reisepasses an Dienstleister: Mit der ausdrücklichen Einwilligung des Reisenden kann Hello Mira die Reisepassdaten an Reiseveranstalter (Fluggesellschaften, Unterkunftsanbieter) übermitteln, die diese für die Abwicklung von Formalitäten benötigen. Diese Einwilligung ist freiwillig, gesondert und jederzeit widerrufbar.
5.4 Behörden
Daten können in Erfüllung einer gesetzlichen Verpflichtung an zuständige Behörden (Steuerbehörden, Justizbehörden usw.) weitergegeben werden.
5.5 Weitergabe zu Marketingzwecken
Hello Mira kann anonymisierte und aggregierte Daten (die keine Identifizierung der Nutzer ermöglichen) mit Marketingpartnern zu Zwecken der statistischen Analyse und Kampagnenoptimierung teilen.
Keine personenbezogenen Daten, die eine Identifizierung ermöglichen, werden ohne die ausdrückliche Einwilligung des Nutzers an Marketingpartner weitergegeben.
Artikel 6 — Übermittlungen außerhalb der Europäischen Union
Einige Auftragsverarbeiter von Hello Mira sind außerhalb der Europäischen Union, hauptsächlich in den Vereinigten Staaten, ansässig (Stripe, Cloudflare, Vonage, Firebase, Google Gemini, Anthropic, OpenAI, Microsoft Clarity).
Diese Übermittlungen werden durch folgende Garantien abgesichert:
- Standardvertragsklauseln (SCC) der Europäischen Kommission, die in die Verträge mit den betreffenden Auftragsverarbeitern aufgenommen wurden;
- Angemessenheitsbeschlüsse der Europäischen Kommission, soweit anwendbar (z. B.: Vereinigtes Königreich für Duffel);
- Zusätzliche Maßnahmen: Verschlüsselung der Daten bei der Übertragung und im Ruhezustand, Minimierung der übermittelten Daten.
Hello Mira stellt sicher, dass nur die für den Verarbeitungszweck unbedingt erforderlichen Daten übermittelt werden. Insbesondere werden sensible Daten (Reisepass-Scan) nicht an KI-Anbieter übermittelt, außer für den KYC-Prozess (Namensuntersuchung über OpenAI GPT-4.1 Vision), bei dem die übermittelten Daten auf das absolut Notwendige beschränkt und den SCC von OpenAI unterliegen.
Artikel 7 — Aufbewahrungsfristen
| Datenkategorie | Aufbewahrungsfrist |
|---|---|
| Daten eines aktiven Kontos | Dauer der Vertragsbeziehung |
| Kontodaten nach Löschung | 3 Jahre (Verjährung, Streitbeilegung) |
| Kontodaten nach Inaktivität (ohne Löschung) | Archivierung nach 24 Monaten Inaktivität, Löschung nach 36 Monaten |
| Buchungsdaten | Vertragslaufzeit + 5 Jahre (buchhalterische Pflichten) |
| Rechnungen und Zahlungsdaten | 10 Jahre (buchhalterische Pflicht, Art. L123-22 Code de commerce [Französisches Handelsgesetzbuch]) |
| Reisepass-Scan — abgelehnt/fehlgeschlagen | 24 Stunden nach Ablehnung |
Reisepass-Scan — validiert, retain_document = false | Bild gelöscht 30 Tage nach Validierung; MRZ-Daten werden aufbewahrt, solange der Mira Pass aktiv ist |
Reisepass-Scan — validiert, retain_document = true | Aufbewahrt, solange der Mira Pass aktiv ist + 90 Tage Nachfrist nach Ablauf |
| Reisepass-Scan — Recht auf Vergessenwerden | Sofortiges Soft Delete + physische Löschung innerhalb von 30 Tagen |
| KI-Gespräche (aktives Konto) | Dauer der Vertragsbeziehung |
| KI-Gespräche (nach Kontolöschung) | Anonymisierung innerhalb von 30 Tagen (Inhalt anonym zur Serviceverbesserung aufbewahrt) |
| Mira Tribes-Nachrichten / DMs | Anonymisiert nach Kontolöschung |
| Verbindungsprotokolle | 1 Jahr (CNIL-Empfehlung) |
| Akquisedaten | 3 Jahre nach dem letzten Kontakt |
| Cookies und Tracker | Maximal 13 Monate (CNIL-Empfehlung) |
| Werbeguthaben | 12 Monate ab Zuteilung |
Artikel 8 — Datensicherheit
8.1 Technische Maßnahmen
Hello Mira implementiert folgende Sicherheitsmaßnahmen:
- Verschlüsselung der Daten bei der Übertragung (TLS/SSL) und im Ruhezustand;
- strenges, rollenbasiertes Zugriffsmanagement (RBAC);
- Protokollierung aller Zugriffe auf sensible Dateien (insbesondere Reisepass-Scans) mit vollständiger Nachvollziehbarkeit;
- Vorab signierte URLs mit begrenzter Gültigkeitsdauer (15 Minuten) für den Zugriff auf sensible Dateien;
- Hosting auf zertifizierten Servern (OVHcloud) in Frankreich und der EU;
- Pseudonymisierung der Daten, soweit technisch möglich.
8.2 Organisatorische Maßnahmen
- interne Sicherheitsrichtlinie;
- Sensibilisierung der Teams für Datenschutzfragen;
- Zugang zu Daten auf berechtigte Personen beschränkt, unter Beachtung des Grundsatzes der Datensparsamkeit.
8.3 Meldung von Datenschutzverletzungen
Im Falle einer Datenschutzverletzung, die voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt:
- wird die CNIL (Commission Nationale de l'Informatique et des Libertés, französische Datenschutzbehörde) innerhalb von 72 Stunden benachrichtigt;
- werden die betroffenen Personen so rasch wie möglich informiert, wenn das Risiko hoch ist.
Artikel 9 — Rechte der Nutzer
Gemäß den Artikeln 15 bis 22 der DSGVO stehen dem Nutzer folgende Rechte zu:
| Recht | Beschreibung |
|---|---|
| Auskunftsrecht (Art. 15) | Eine Kopie aller seiner personenbezogenen Daten erhalten |
| Recht auf Berichtigung (Art. 16) | Unrichtige oder unvollständige Daten korrigieren |
| Recht auf Löschung (Art. 17) | Die Löschung seiner Daten beantragen («Recht auf Vergessenwerden») |
| Recht auf Einschränkung (Art. 18) | Die Verarbeitung in bestimmten Fällen einschränken (Bestreitung, Unrechtmäßigkeit) |
| Recht auf Datenübertragbarkeit (Art. 20) | Seine Daten in einem strukturierten, maschinenlesbaren Format erhalten |
| Widerspruchsrecht (Art. 21) | Der Verarbeitung aus berechtigten Gründen widersprechen (insbesondere der Nutzung von Gesprächen zur KI-Verbesserung) |
| Recht auf Widerruf der Einwilligung | Jederzeit, ohne die Rechtmäßigkeit der vorherigen Verarbeitung zu berühren |
| Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden (Art. 22) | Nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und rechtliche oder erhebliche Auswirkungen hat |
9.1 Automatisierte Entscheidungen
Hello Mira verwendet ein automatisiertes System zur Identitätsverifizierung (KYC): Der Reisepass-Scan wird von einer KI analysiert, die die MRZ-Daten mit den Profilinformationen abgleicht. Dieses System kann eine Identitätsverifizierung automatisch validieren oder ablehnen.
Der Nutzer hat das Recht, jede automatisierte Entscheidung anzufechten und einen menschlichen Eingriff zu beantragen, indem er den Kundendienst unter [[email protected]] kontaktiert. Für strittige Fälle ist ein manuelles Untersuchungsverfahren vorgesehen.
9.2 Ausübung der Rechte
Der Nutzer kann seine Rechte ausüben:
- per E-Mail an [email protected];
- per Post an CES Venture SAS — Euratechnologies, 165 avenue de Bretagne, 59000 Lille, France.
Hello Mira verpflichtet sich, innerhalb von einem (1) Monat nach Eingang des Antrags zu antworten. Diese Frist kann bei einem komplexen Antrag um zwei Monate verlängert werden; in diesem Fall wird der Nutzer über die zusätzliche Frist informiert.
Zur Bearbeitung des Antrags kann eine Identitätsprüfung des Antragstellers erforderlich sein.
9.3 Löschung des KI-Gesprächsverlaufs
Der Nutzer kann die Löschung seines Gesprächsverlaufs mit Mira Agents und Mira Brain beantragen, indem er sich an [email protected] wendet.
Artikel 10 — Cookies und Tracker
10.1 Unbedingt erforderliche Cookies
Diese Cookies sind für den Betrieb der Plattform unverzichtbar (Authentifizierung, Sicherheit, Sitzungsverwaltung). Sie erfordern keine Einwilligung des Nutzers.
10.2 Analyse-Cookies
Plausible: ein datenschutzfreundliches Analytics-Tool, das keine Cookies setzt und keine personenbezogenen Daten erfasst. Eine Einwilligung ist nicht erforderlich.
Microsoft Clarity: ein Verhaltensanalyse-Tool (Heatmaps, Sitzungsaufzeichnungen). Clarity setzt Cookies und verarbeitet personenbezogene Daten. Seine Aktivierung bedarf der vorherigen Einwilligung des Nutzers über das Cookie-Banner.
10.3 Einwilligungsverwaltung
Bei seinem ersten Besuch wird der Nutzer eingeladen, seine Wahl über ein Cookie-Banner zu treffen. Die Ablehnung ist genauso einfach wie die Zustimmung. Tracker, die einer Einwilligung bedürfen, werden erst nach ausdrücklicher Zustimmung aktiviert.
Der Nutzer kann seine Einstellungen jederzeit in den Plattformeinstellungen ändern.
Cookies haben eine maximale Lebensdauer von 13 Monaten gemäß den Empfehlungen der CNIL (Commission Nationale de l'Informatique et des Libertés, französische Datenschutzbehörde).
Artikel 11 — Daten Minderjähriger
Die Plattform richtet sich nicht an Personen unter 18 Jahren. Hello Mira erhebt nicht absichtlich personenbezogene Daten von Minderjährigen.
Sollte Hello Mira Kenntnis von der Erhebung von Daten eines Minderjährigen erlangen, werden diese Daten so schnell wie möglich gelöscht.
Artikel 12 — Änderung der Datenschutzerklärung
Hello Mira behält sich das Recht vor, diese Datenschutzerklärung zu ändern. Bei wesentlichen Änderungen werden die Nutzer mindestens 30 Tage vor Inkrafttreten per E-Mail und/oder In-App-Benachrichtigung informiert.
Artikel 13 — Kontakt und Beschwerden
Ansprechpartner für personenbezogene Daten: [email protected]
Im Falle einer nicht gelösten Beschwerde kann der Nutzer die zuständige Aufsichtsbehörde anrufen:
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715
75334 Paris Cedex 07
Website: www.cnil.fr
Nutzer mit Wohnsitz in einem anderen EU-Mitgliedstaat können sich auch an die Datenschutzbehörde ihres Wohnsitzlandes wenden.