Votiq

Datenschutzerklärung

GĂĽltig ab: 11. April 2026

Diese Datenschutzerklärung erläutert, wie Votiq (“wir”, “uns” oder “unser”) personenbezogene Daten erhebt, nutzt, offenlegt und schützt, wenn Sie Votiq.io und verwandte Dienste (zusammenfassend der “Dienst”) nutzen. Wir sind verpflichtet, Ihre Daten verantwortungsvoll und in Übereinstimmung mit den anwendbaren Datenschutzgesetzen zu behandeln, einschließlich der Datenschutz-Grundverordnung der EU (DSGVO) und der UK-DSGVO.

1. Erhobene Daten

Wir erheben die folgenden Kategorien personenbezogener Daten:

Konto- & Profildaten — Bei der Registrierung erheben wir Ihren Namen, Ihre E-Mail-Adresse, Ihr Passwort (gehasht), den Organisationsnamen, die Rechnungsadresse sowie ggf. Ihre Umsatzsteuer-/Steuer-Identifikationsnummer.

Feedback- & Interaktionsdaten — Funktionswünsche, Beitragstitel und -beschreibungen, Kommentare, Abstimmungsaufzeichnungen, Reaktionsdaten und Changelog-Abonnements, die von Anbietern und Endnutzern eingereicht werden.

Crowdfunding- & Zusagedaten — Zusagebeträge, Kampagnenauswahl, Zusagestatus (ausstehend, eingezogen, erstattet) und Bestätigungen des Lieferzeitraums. Zahlungsmitteldetails werden von Stripe, nicht von Votiq, gespeichert.

Nutzungs- & Technische Daten — IP-Adressen, Browsertyp und -version, Betriebssystem, verweisende URLs, besuchte Seiten, Verweildauer, Funktionsinteraktionen und API-Anforderungsprotokolle. Diese Daten werden über Server-Logs und eigene Analysedienste erhoben.

Kommunikationsdaten — E-Mails, die Sie an uns senden, Support-Tickets und Ihre Kommunikationspräferenzen.

Drittanbieter-Anmeldedaten — Wenn Sie sich über einen Drittanbieter (z. B. Google OAuth) registrieren, erhalten wir Ihren Namen und Ihre E-Mail-Adresse von diesem Anbieter.

2. Verwendung Ihrer Daten

Wir verwenden die erhobenen Daten, um:

  • den Dienst bereitzustellen, zu betreiben und zu pflegen.
  • Nutzer zu authentifizieren, Sitzungen zu verwalten und Sicherheitskontrollen durchzusetzen.
  • Abonnementzahlungen und Crowdfunding-Transaktionen ĂĽber Stripe zu verarbeiten.
  • Transaktions-E-Mails zu versenden (Kontobestätigung, Passwort-ZurĂĽcksetzung, Zusagebestätigungen, Kampagnenstatusaktualisierungen und Digest-Benachrichtigungen).
  • KI-gestĂĽtzte Funktionen bereitzustellen: Duplikaterkennung von Beiträgen, Stimmungsanalyse von Feedback und semantische Suche mittels Vektoreinbettungen.
  • Aggregierte Analysen und Produktnutzungseinblicke fĂĽr Anbieter zu generieren.
  • Betrug, Missbrauch und Sicherheitsvorfälle zu erkennen und zu verhindern.
  • Rechtliche Verpflichtungen zu erfĂĽllen und unsere Nutzungsbedingungen durchzusetzen.
  • Neue Funktionen zu verbessern und zu entwickeln (unter Verwendung aggregierter, anonymisierter Daten).

3. Rechtsgrundlage der Verarbeitung (DSGVO)

Für Personen in der EU/dem EWR und dem Vereinigten Königreich verarbeiten wir personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • VertragserfĂĽllung — Verarbeitung, die zur Erbringung des von Ihnen abonnierten Dienstes erforderlich ist (Kontoverwaltung, Abrechnung, Kernfunktionen).
  • Berechtigte Interessen — SicherheitsĂĽberwachung, Betrugsprävention, Produktanalysen und Verbesserung des Dienstes, soweit unsere Interessen nicht von Ihren Rechten ĂĽberwiegen werden.
  • Rechtliche Verpflichtung — Aufbewahrung von Finanzunterlagen, Beantwortung rechtmäßiger Anfragen von Behörden.
  • Einwilligung — Marketingkommunikation, optionale Analysefunktionen. Sie können Ihre Einwilligung jederzeit widerrufen.

4. Datenspeicherung & Sicherheit

Alle Daten werden in Supabase gespeichert, das auf der Amazon Web Services (AWS)-Infrastruktur in der EU (standardmäßig eu-west-1) betrieben wird. Die Daten sind im Ruhezustand (AES-256) und bei der Übertragung (TLS 1.2+) verschlüsselt. Der Datenbankzugriff ist durch zeilenbasierte Sicherheitsrichtlinien (Row-Level Security, RLS) geschützt, die auf jede Organisation beschränkt sind.

Wir setzen folgende Sicherheitsmaßnahmen ein: bcrypt-gehashte Passwörter, SHA-256-gehashte API-Schlüssel, kurzlebige JWT-Sitzungstoken, regelmäßige Sicherheitsüberprüfungen und Zugangskontrollen nach dem Prinzip der minimalen Rechtevergabe für unser Team. Wir führen regelmäßige automatisierte Datensicherungen durch.

Keine Methode der elektronischen Übertragung oder Speicherung ist zu 100 % sicher. Sollten wir von einer Datenpanne erfahren, die Ihre Rechte beeinträchtigt, werden wir Sie und die zuständigen Aufsichtsbehörden wie gesetzlich vorgeschrieben benachrichtigen.

5. Zahlungsdaten

Die Zahlungsabwicklung erfolgt durch Stripe, Inc., einen nach PCI DSS Level 1 zertifizierten Zahlungsabwickler. Votiq speichert, überträgt oder hat keinen Zugang zu vollständigen Kreditkartennummern, CVV-Codes oder rohen Bankkontodetails. Stripe speichert Zahlungsmethoden-Token und verwaltet alle Kartendaten.

Beim Crowdfunding verbinden Anbieter ihre Stripe-Konten über Stripe Connect. Stripe fungiert als unabhängiger Verantwortlicher für Zahlungsdaten, die im Zusammenhang mit Auszahlungen verarbeitet werden. Bitte lesen Sie die Datenschutzerklärung von Stripe für weitere Einzelheiten.

6. KI-Verarbeitung

Votiq nutzt KI-Dienste, um die Qualität des Feedback-Managements zu verbessern:

  • Anthropic Claude (Stimmungsanalyse) — Beitragstitel und -beschreibungen werden an die API von Anthropic gesendet, um die Stimmung (positiv, neutral, negativ) zu klassifizieren und den Ton zu ermitteln. Es werden nur Beiragstextinhalte ĂĽbertragen; keine personenbezogenen Kontodaten sind in diesen Anfragen enthalten. Die Verarbeitung erfolgt gemäß der Datenschutzerklärung von Anthropic.
  • VoyageAI (Semantische Einbettungen) — Beitragstext wird von VoyageAI in Vektoreinbettungen umgewandelt, um semantische Ă„hnlichkeitssuche und Duplikaterkennung zu ermöglichen. Es wird nur Beitragstext ĂĽbertragen. Einbettungen werden in Supabase gespeichert und ausschlieĂźlich im Rahmen Ihrer Organisation verwendet. Die Verarbeitung erfolgt gemäß der Datenschutzrichtlinie von VoyageAI.

Die KI-Verarbeitung ist für Anbieter mit kostenpflichtigen Plänen standardmäßig aktiviert, kann jedoch in den Arbeitsbereichseinstellungen deaktiviert werden. Wir verwenden Ihre Daten nicht zum Training von KI-Modellen Dritter; an diese APIs gesendete Daten werden ausschließlich für Inferenzen auf Ihren Inhalten genutzt.

7. Drittanbieterdienste

Wir geben Daten nur in dem MaĂźe an folgende Dritte weiter, wie es zur Erbringung des Dienstes erforderlich ist:

  • Stripe — Zahlungsabwicklung und Stripe-Connect-Auszahlungen.
  • Supabase — Datenbank, Authentifizierung, Echtzeit und Dateispeicherung (gehostet auf AWS).
  • Vercel — Anwendungshosting und Edge-Netzwerk (CDN). Vercel verarbeitet Anforderungsprotokolle, die IP-Adressen enthalten können.
  • Resend — Transaktionaler E-Mail-Versand (Konten-E-Mails, Zusagebestätigungen, Digests).
  • Anthropic — KI-Stimmungsanalyse (nur Beitragstext).
  • VoyageAI — Semantische Vektoreinbettungen (nur Beitragstext).
  • Inngest — Orchestrierung von Hintergrundaufgaben fĂĽr asynchrone Verarbeitung (z. B. ZahlungseinzĂĽge, E-Mail-Auslöser). Auftrags-Payloads können Verweise auf Nutzer-IDs und Beitrags-IDs enthalten.

Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte. Wir geben Ihre Daten nicht an Werbetreibende weiter. Die Datenweitergabe an Unterauftragsverarbeiter wird durch Auftragsverarbeitungsverträge geregelt, soweit von der DSGVO gefordert.

8. Cookies & Lokaler Speicher

Votiq verwendet ausschlieĂźlich technisch notwendige Cookies. Wir verwenden keine Werbe- oder Tracking-Cookies von Drittanbietern.

  • Sitzungs-Cookies — Von Supabase Auth gesetzt, um Ihre authentifizierte Sitzung aufrechtzuerhalten. Diese werden gelöscht, wenn Sie Ihren Browser schlieĂźen oder sich abmelden.
  • Präferenz-Cookies — Speichern UI-Präferenzen wie Theme (Dunkel-/Hellmodus) und Sprachauswahl.
  • CSRF-Token — Kurzlebige Token zum Schutz von FormularĂĽbermittlungen.

Wir verwenden den lokalen Browser-Speicher, um nicht sensible UI-Zustände zwischenzuspeichern (z. B. offene Filterauswahlen). Im lokalen Speicher werden keine personenbezogenen Daten abgelegt. Sie können den lokalen Speicher jederzeit über Ihre Browsereinstellungen löschen.

Da wir ausschlieĂźlich technisch notwendige Cookies verwenden, zeigen wir kein Cookie-Einwilligungsbanner an. Wenn Sie Cookies deaktivieren, funktionieren die Authentifizierungsfunktionen nicht.

9. Datenspeicherfristen

Wir speichern personenbezogene Daten für folgende Zeiträume:

  • Kontodaten — FĂĽr die Dauer Ihres Abonnements zuzĂĽglich 30 Tage nach der Kontolöschung, um den Datenexport zu ermöglichen. Nach 30 Tagen werden Kontodaten dauerhaft gelöscht.
  • Feedback- & Beitragsdaten — FĂĽr die Dauer der Aktivität des Organisationskontos. Löschung innerhalb von 30 Tagen nach Kontolöschung.
  • Finanzdaten — Abrechnungshistorie und Transaktionsdatensätze werden 7 Jahre lang aufbewahrt, um buchhalterischen und steuerrechtlichen Verpflichtungen nachzukommen.
  • Server-Logs — Anforderungsprotokolle werden 90 Tage lang fĂĽr Sicherheits- und Debugging-Zwecke aufbewahrt.
  • KI-Einbettungen — Löschung innerhalb von 30 Tagen nach Kontolöschung.

10. Ihre Rechte (DSGVO & Datenschutzrechte)

Je nach Ihrem Wohnsitz können Sie folgende Rechte bezüglich Ihrer personenbezogenen Daten geltend machen:

  • Auskunftsrecht — Anforderung einer Kopie der personenbezogenen Daten, die wir ĂĽber Sie gespeichert haben.
  • Recht auf Berichtigung — Anforderung der Korrektur unrichtiger oder unvollständiger Daten.
  • Recht auf Löschung (“Recht auf Vergessenwerden”) — Anforderung der Löschung Ihrer personenbezogenen Daten, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
  • Recht auf DatenĂĽbertragbarkeit — Erhalt Ihrer Daten in einem maschinenlesbaren Format (JSON/CSV).
  • Recht auf Einschränkung der Verarbeitung — Anforderung der Einschränkung der Verarbeitung Ihrer Daten unter bestimmten Umständen.
  • Widerspruchsrecht — Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen oder zu Direktmarketingzwecken.
  • Recht auf Widerruf der Einwilligung — Widerruf der Einwilligung jederzeit, wenn die Verarbeitung auf einer Einwilligung beruht.

Wir werden auf verifizierte Anfragen innerhalb von 30 Tagen antworten (bei komplexen Anfragen mit Ankündigung um weitere 60 Tage verlängerbar). Wir müssen möglicherweise Ihre Identität vor der Bearbeitung einer Anfrage überprüfen.

11. DSGVO-Datenexport & Kontolöschung

Votiq stellt Self-Service-Tools zur AusĂĽbung Ihrer Datenschutzrechte bereit:

  • Datenexport — VerfĂĽgbar in Ihren Arbeitsbereichseinstellungen unter “Daten & Datenschutz”. Sie können einen vollständigen JSON-Export der Beiträge, Abstimmungen, Kommentare, Changelogs und Mitgliedsdaten Ihrer Organisation herunterladen.
  • Kontolöschung — VerfĂĽgbar in den Arbeitsbereichseinstellungen. Die Löschung Ihres Kontos initiiert eine 30-tägige Ăśbergangsfrist, während der die Daten aufbewahrt und exportierbar sind. Nach 30 Tagen werden alle personenbezogenen Daten dauerhaft und unwiderruflich gelöscht, mit Ausnahme von Finanzdaten, die aus rechtlichen GrĂĽnden aufbewahrt werden.

Um eine manuelle Datenanfrage zu stellen oder wenn Sie Unterstützung benötigen, kontaktieren Sie uns unter privacy@votiq.io.

12. Internationale DatenĂĽbertragungen

Votiq speichert und verarbeitet Daten primär in der EU (AWS eu-west-1). Einige unserer Unterauftragsverarbeiter sind jedoch in den Vereinigten Staaten ansässig (Stripe, Anthropic, VoyageAI, Inngest, Vercel, Resend). Soweit personenbezogene Daten außerhalb der EU/des EWR übermittelt werden, stellen wir sicher, dass angemessene Schutzmaßnahmen vorhanden sind, darunter:

  • EU-Standardvertragsklauseln (SCC), die in Auftragsverarbeitungsverträge einbezogen sind.
  • AngemessenheitsbeschlĂĽsse der Europäischen Kommission, soweit anwendbar.

Sie können Informationen über die spezifischen Schutzmaßnahmen für internationale Übertragungen unter privacy@votiq.io anfordern.

13. Datenschutz für Minderjährige

Der Dienst richtet sich nicht an Personen unter 16 Jahren und ist nicht für deren Nutzung vorgesehen. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir feststellen, dass ein Kind unter 16 Jahren uns personenbezogene Daten bereitgestellt hat, werden wir Maßnahmen ergreifen, um diese unverzüglich zu löschen. Wenn Sie der Ansicht sind, dass ein Kind uns seine Daten mitgeteilt hat, kontaktieren Sie uns bitte unter privacy@votiq.io.

14. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen werden wir Sie mindestens 14 Tage vor Inkrafttreten der Änderungen per E-Mail oder durch einen deutlichen Hinweis im Dienst informieren. Wir empfehlen Ihnen, diese Erklärung regelmäßig zu überprüfen. Ihre fortgesetzte Nutzung des Dienstes nach dem Inkrafttreten gilt als Zustimmung zur überarbeiteten Datenschutzerklärung.

15. Datenschutzbeauftragter

Wir haben einen Datenschutzbeauftragten (DSB) ernannt, der für die Überwachung unserer Datenschutzpraktiken verantwortlich ist. Bei Fragen oder Bedenken hinsichtlich des Umgangs mit Ihren personenbezogenen Daten können Sie unseren DSB wie folgt erreichen:

Datenschutzbeauftragter, Votiq
privacy@votiq.io

Sie haben außerdem das Recht, eine Beschwerde bei Ihrer zuständigen Datenschutz-Aufsichtsbehörde einzureichen. In der EU finden Sie Ihre nationale Behörde unter edpb.europa.eu.

16. Kontakt

Für alle datenschutzbezogenen Anfragen, Betroffenenanfragen oder Fragen zu dieser Datenschutzerklärung wenden Sie sich bitte an:

Votiq Datenschutzteam
privacy@votiq.io

Datenschutzerklärung — Votiq