Datenschutzerklärung
Stand: 18. Juni 2026
Verantwortlicher
urera ist ein Produkt der crossconnect GmbH Lemböckgasse 47A/B1 1230 Wien Österreich
Firmenbuch: FN 411708d (Handelsgericht Wien) UID: ATU68526856 Geschäftsführung: Christoph Zenk
E-Mail: datenschutz@urera.io Website: https://urera.io
Kurzübersicht
urera erstellt personalisierte Lebensberichte auf Basis von KI-Technologie. Dafür verarbeiten wir personenbezogene Daten, die du uns im Rahmen der Bestellung mitteilst. Diese Datenschutzerklärung informiert dich darüber, welche Daten wir erheben, warum, wie lange wir sie speichern und welche Rechte du hast.
Das Wichtigste in Kürze:
- Wir erheben nur Daten, die für deinen Report notwendig sind.
- Deine persönlichen Daten werden 90 Tage nach dem Kauf automatisch anonymisiert.
- Wir verwenden KI (Anthropic Claude) zur Report-Erstellung — deine Daten werden dabei nicht für KI-Training verwendet.
- Für Webanalyse und Werbung nutzen wir Google Analytics 4, das Google-Ads-Tag und Microsoft Clarity. Sie setzen Cookies und werden erst nach deiner Einwilligung über unser Cookie-Banner aktiviert. Du kannst die Einwilligung jederzeit widerrufen.
- Du kannst jederzeit Auskunft, Berichtigung oder Löschung deiner Daten verlangen und eine Einwilligung widerrufen.
A — Daten, die du uns gibst
A.1 Briefing-Daten (Report-Erstellung)
Wenn du einen Report bestellst, gibst du uns persönliche Informationen über die Person, für die der Report erstellt wird. Das können sein:
- Grunddaten: Vorname, Nachname, Geburtsdatum, Geburtsort und -land
- Biografische Daten: Schulen, Beruf, Hobbys, Lieblingsmusik, Haustiere, Lieblingsorte
- Beziehungsdaten: Name von Partner/Partnerin, Kinder, Familienstand
- Persönliche Ereignisse: Hochzeit, Umzüge, Berufswechsel, besondere Lebensstationen
- Sensible Daten (optional): Gesundheitsereignisse, religiöse Zugehörigkeit — nur wenn du diese freiwillig angibst
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Für sensible Daten: ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO).
Speicherdauer: 90 Tage nach Kaufdatum, dann automatische Anonymisierung (siehe Abschnitt D).
A.2 Geschenk-Reports
Wenn du einen Report für eine andere Person bestellst, gibst du uns Daten dieser Person. Du bestätigst bei der Bestellung, dass du berechtigt bist, diese Informationen zu teilen. Die beschenkte Person hat die gleichen Datenschutzrechte wie du (Auskunft, Löschung etc.) und kann sich jederzeit an uns wenden.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — das Erstellen eines personalisierten Geschenks.
A.3 Account- und Kaufdaten
- E-Mail-Adresse: Für Kaufbestätigung, Report-Zustellung und Support
- Zahlungsdaten: Werden direkt von unserem Zahlungsdienstleister Stripe verarbeitet — wir sehen und speichern keine Kreditkartennummern oder Bankdaten
- Rechnungsdaten: Name und Adresse für die Rechnung
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), für Rechnungsdaten: rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).
Speicherdauer: Rechnungsdaten 7 Jahre (österreichische Bundesabgabenordnung). Alle anderen Daten: 90 Tage.
A.4 Feedback und Bewertungen
Nach Erhalt deines Reports kannst du ihn bewerten (Emotionale Wirkung, Qualität, Persönlichkeit) und Freitext-Feedback geben. Das Feedback hilft uns, unsere Reports zu verbessern.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — du entscheidest selbst, ob du Feedback gibst.
Speicherdauer: 90 Tage in voller Form, danach bleiben nur die anonymisierten Bewertungszahlen (ohne Texte und ohne Zuordnung zu deiner Person).
B — Daten, die automatisch erhoben werden
B.1 Server-Logs
Bei jedem Besuch unserer Website werden automatisch technische Daten erfasst:
- IP-Adresse (anonymisiert nach 7 Tagen)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene Seite
- Browser-Typ und Betriebssystem
- Referrer-URL
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Sicherheit und Stabilität der Website.
Speicherdauer: 30 Tage.
B.2 Cookies und Einwilligung
Technisch notwendige Cookies (immer aktiv, keine Einwilligung nötig):
- Session-Cookie: Hält deine Sitzung aufrecht
- CSRF-Token: Schützt dich vor Angriffen
- Auth-Cookie (bei Login): Speichert deine Anmelde-Sitzung
- Consent-Cookie: Merkt sich deine Cookie-Entscheidung
Analyse- und Werbe-Cookies (nur mit deiner Einwilligung): Für Google Analytics 4 (siehe B.3), Google Ads (siehe B.4) und Microsoft Clarity (siehe B.5). Diese werden erst gesetzt, nachdem du im Cookie-Banner „Akzeptieren" gewählt hast; bis dahin werden über Googles Consent Mode v2 keine Analyse- oder Werbe-Cookies gesetzt. Du kannst deine Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.
Rechtsgrundlage: für notwendige Cookies berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO); für Analyse- und Werbe-Cookies deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 165 Abs. 3 TKG 2021).
B.3 Webanalyse — Google Analytics 4
Wir nutzen Google Analytics 4, einen Webanalysedienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland; für EU-Nutzer). Eine Verarbeitung durch Google LLC, USA, ist möglich.
Zweck: Reichweitenmessung und Analyse des Nutzungsverhaltens, um unser Angebot zu verbessern.
Verarbeitete Daten: pseudonyme Client-ID (Cookie), gekürzte IP-Adresse (Google speichert in GA4 keine vollständigen IP-Adressen), Geräte- und Browser-Informationen, ungefährer Standort (Land/Region), aufgerufene Seiten und Interaktionen (z. B. Start des Onboardings, Kaufabschluss).
Cookies: u. a. _ga und _ga_<Property> mit einer Speicherdauer von bis zu 24 Monaten.
Einwilligung & Consent Mode: Google Analytics wird erst nach deiner Einwilligung aktiviert. Bis dahin werden über Googles Consent Mode v2 keine Analyse-Cookies gesetzt; es werden allenfalls cookielose, aggregierte Signale übertragen. Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Rechtsgrundlage: deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 165 Abs. 3 TKG 2021).
Speicherdauer: gemäß GA4-Property-Einstellung (max. 14 Monate auf Nutzer-/Ereignisebene).
Datenübermittlung in die USA: siehe Abschnitt H. Mit Google bestehen Auftragsverarbeitungs-Bedingungen. Mehr Informationen: https://policies.google.com/privacy. Deaktivierung zusätzlich per Browser-Add-on: https://tools.google.com/dlpage/gaoptout.
B.4 Google Ads (Conversion- & Remarketing-Tag)
Wir nutzen Google Ads, einen Werbedienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland; für EU-Nutzer); eine Verarbeitung durch Google LLC, USA, ist möglich. Tag-ID: AW-18244088033.
Zweck: Erfolgsmessung unserer Werbeanzeigen (Conversion-Tracking) und Bildung von Remarketing-Zielgruppen.
Verarbeitete Daten: Cookie- und Geräte-Kennungen, Werbe-Interaktionen und Conversion-Ereignisse (z. B. Kaufabschluss). Die Conversion-Messung erfolgt derzeit über die Verknüpfung mit Google Analytics 4.
Einwilligung: Das Google-Ads-Tag wird erst nach deiner Einwilligung über das Cookie-Banner aktiviert (gemeinsam mit der Analytics-Einwilligung). Bis dahin werden über den Consent Mode v2 keine Werbe-Cookies gesetzt. Jederzeit widerrufbar.
Rechtsgrundlage: deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 165 Abs. 3 TKG 2021).
Datenübermittlung in die USA: siehe Abschnitt H (DPF + SCCs). Mehr Informationen: https://policies.google.com/privacy.
B.5 Microsoft Clarity
Wir nutzen Microsoft Clarity, einen Analysedienst der Microsoft Corporation (One Microsoft Way, Redmond, WA 98052, USA). Projekt-ID: x8dp9dvwmn.
Zweck: Verständnis der Nutzung über anonymisierte Sitzungsaufzeichnungen und Heatmaps, um die Bedienbarkeit von urera.io zu verbessern.
Verarbeitete Daten: Mausbewegungen, Klicks, Scroll-Verhalten, aufgerufene Seiten sowie Geräte- und Browser-Informationen. Eingaben in Formularen (z. B. im Onboarding und Checkout) werden maskiert und nicht im Klartext erfasst.
Einwilligung: Clarity wird erst nach deiner Einwilligung über das Cookie-Banner geladen. Jederzeit widerrufbar.
Rechtsgrundlage: deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 165 Abs. 3 TKG 2021).
Datenübermittlung in die USA: siehe Abschnitt H (DPF + SCCs). Microsofts Datenschutzhinweise: https://privacy.microsoft.com/privacystatement.
C — KI-Verarbeitung
C.1 Report-Erstellung mit Anthropic Claude
Für die Erstellung deines personalisierten Reports nutzen wir KI-Technologie von Anthropic (Anthropic PBC, San Francisco, USA).
Was passiert mit deinen Daten:
- Deine Briefing-Daten werden an die Anthropic API übermittelt, um den Report-Text zu generieren.
- Anthropic speichert die Daten nur für die Dauer der Verarbeitung und löscht sie danach.
- Deine Daten werden nicht für das Training von KI-Modellen verwendet.
Drittlandtransfer: Anthropic ist unter dem EU-US Data Privacy Framework zertifiziert. Zusätzlich haben wir Standard-Vertragsklauseln (SCCs) vereinbart.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
D — Speicherdauer und Anonymisierung
D.1 90-Tage-Regel
Wir speichern deine personenbezogenen Daten (Briefing-Daten, E-Mail, Feedback-Texte) für 90 Tage nach dem Kauf. Danach werden sie automatisch anonymisiert:
- Dein Name, Geburtstag, Geburtsort und alle persönlichen Details werden unwiderruflich gelöscht.
- Es bleiben nur statistische Daten ohne Rückschluss auf deine Person (z. B. Geburtsjahr, gewähltes Produkt, Bewertungszahlen).
Innerhalb der 90 Tage kannst du deinen Report erneut herunterladen, Feedback geben oder ändern und die Löschung aller Daten verlangen.
D.2 Ausnahmen
- Rechnungsdaten: 7 Jahre (gesetzliche Aufbewahrungspflicht)
- Consent-Nachweise: 12 Monate (Cookie-Einwilligungen)
- Server-Logs: 30 Tage
E — Zahlungsabwicklung
E.1 Stripe
Für die Zahlungsabwicklung nutzen wir Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland). Stripe verarbeitet deine Zahlungsdaten als eigenständiger Verantwortlicher.
Wir erhalten von Stripe nur eine Bestätigung über die erfolgreiche Zahlung sowie eine Transaktions-ID. Kreditkartennummern oder Bankdaten werden uns nicht übermittelt.
Stripes Datenschutzerklärung: https://stripe.com/privacy
F — E-Mail-Kommunikation
F.1 Transaktions-E-Mails
Wir senden dir E-Mails, die direkt mit deiner Bestellung zusammenhängen: Bestellbestätigung, Report-Zustellung (Download-Link), Feedback-Einladung, Support-Antworten.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
E-Mail-Versand: Wir nutzen Resend (Resend Inc., San Francisco, USA — EU-Edge-Server). Resend ist unter dem EU-US Data Privacy Framework zertifiziert.
F.2 Newsletter
Wenn du dich für unseren Newsletter anmeldest, verwenden wir deine E-Mail-Adresse für gelegentliche Updates zu urera.
Anmeldung (Double-Opt-in): Du gibst deine E-Mail ein, erhältst eine Bestätigungs-E-Mail mit Link (§107 TKG / DSGVO) und bist erst nach Klick im Verteiler.
Was wir speichern: E-Mail-Adresse, Anmeldezeitpunkt, IP-Adresse der Anmeldung (12 Monate als Nachweis), aggregierte Versand-/Öffnungsstatistik (Resend).
Abmeldung: Abmelde-Link in jeder Newsletter-Mail oder an hello@urera.io.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO + §107 Abs. 2 TKG).
F.3 Hosting und Datenbank
Vercel (Vercel Inc., San Francisco, USA) — hostet die Website und liefert sie über ein globales CDN aus; für Europa über EU-Edge-Server. Zertifiziert unter dem EU-US Data Privacy Framework.
Supabase (Supabase Inc., San Francisco, USA — EU-Region Frankfurt) — speichert Briefing-, Account- und Feedback-Daten in einer PostgreSQL-Datenbank, physisch in der EU (Frankfurt). Verschlüsselung at-rest (AES-256) und in-transit (TLS 1.3).
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
G — Deine Rechte
Du hast nach der DSGVO folgende Rechte:
Auskunft — welche Daten wir über dich gespeichert haben. Berichtigung — falsche Daten korrigieren lassen. Löschung — Löschung verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Einschränkung — eingeschränkte Verarbeitung verlangen. Datenübertragbarkeit — deine Daten in einem gängigen Format erhalten. Widerspruch — der Verarbeitung auf Basis berechtigter Interessen widersprechen. Widerruf — eine erteilte Einwilligung jederzeit widerrufen (ohne Auswirkung auf die bis dahin erfolgte Verarbeitung).
So erreichst du uns: datenschutz@urera.io. Wir antworten innerhalb eines Monats.
Beschwerderecht: Du kannst dich bei einer Datenschutzbehörde beschweren. Zuständig:
Österreichische Datenschutzbehörde Barichgasse 40–42, 1030 Wien E-Mail: dsb@dsb.gv.at · Website: https://www.dsb.gv.at
H — Drittlandtransfers
Einige unserer Dienstleister haben ihren Hauptsitz in den USA. Für alle Transfers gilt:
- EU-US Data Privacy Framework: Unsere US-Dienstleister (Google für Analytics und Ads, Microsoft für Clarity, Anthropic, Vercel, Supabase, Resend) sind unter dem DPF zertifiziert.
- Standard-Vertragsklauseln (SCCs): als zusätzliche Absicherung mit den US-Dienstleistern vereinbart.
- EU-Standort wo möglich: Supabase-Datenbank in der EU (Frankfurt); Vercel-Edge-Auslieferung über EU-Server; Zahlungsabwicklung über Stripe Europe (Irland).
- Hinweis: Ein dem EU-Niveau vollständig gleichwertiger Datenschutz kann in den USA nicht in jedem Fall garantiert werden (möglicher Zugriff durch US-Behörden). Sollte das DPF gerichtlich für unwirksam erklärt werden, greifen die SCCs.
I — Pflicht zur Bereitstellung und automatisierte Entscheidungsfindung
I.1 Pflicht zur Bereitstellung von Daten
Die Bereitstellung deiner Grunddaten (Vorname, Geburtsdatum, Geburtsort) ist für die Vertragserfüllung erforderlich — ohne sie können wir keinen Report erstellen. Alle weiteren Angaben sind freiwillig und verbessern die Qualität. Deine E-Mail-Adresse ist erforderlich, um dir den Report zuzustellen.
I.2 Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Dein Report wird mit KI-Unterstützung erstellt, ohne automatisierte Entscheidungen mit rechtlicher Wirkung.
J — Änderungen dieser Datenschutzerklärung
Wir aktualisieren diese Datenschutzerklärung bei Bedarf. Die aktuelle Version findest du immer auf dieser Seite. Wesentliche Änderungen teilen wir dir per E-Mail mit, sofern wir deine Adresse haben.
K — Kontakt
Bei Fragen zum Datenschutz: datenschutz@urera.io