Stand: Januar 2025 1. Verantwortlicher Verantwortlicher für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist: Özgür Ergül Österfeldstraße 11 70563 Stuttgart Deutschland E-Mail: erguel.neurometrik@gmail.com Website: https://qurai.io 2. Überblick über die Datenverarbeitung 2.1 Welche Daten erheben wir? Qurai erhebt und verarbeitet folgende Kategorien personenbezogener Daten: Bei der Registrierung: E-Mail-Adresse Passwort (verschlüsselt gespeichert) Erstellungszeitpunkt des Accounts Bei der Nutzung der App: Notizen, Ideen und Skripte (von dir erstellte Inhalte) Onboarding-Antworten (Zielgruppe, Expertise, Tonalität) Sprachaufnahmen (zur Transkription und Script-Generierung) Videoaufnahmen (lokal auf deinem Gerät, nicht auf unseren Servern) Nutzungsdaten (welche Features genutzt werden, Zeitstempel) Geräteinformationen (Gerätetyp, Betriebssystemversion, App-Version) Bei Abschluss eines Abonnements: Abonnement-Status und -Typ Transaktions-ID (über Apple – wir erhalten keine Zahlungsdaten) Bei Absturzberichten (Crashlytics): Absturzzeitpunkt und -ursache Gerätezustand zum Zeitpunkt des Absturzes Betriebssystem und App-Version Bei aktiviertem Tracking (nur mit deiner Einwilligung): Werbe-ID (IDFA bei iOS) App-Installationsquelle In-App-Ereignisse für Werbezwecke 2.2 Zwecke der Datenverarbeitung Wir verarbeiten deine Daten für folgende Zwecke: Zweck Rechtsgrundlage Bereitstellung der App-Funktionen Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Synchronisierung deiner Inhalte Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Personalisierung der KI-Scripts Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Abwicklung von Abonnements Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Fehlerbehebung (Crashlytics) Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) Analyse und Werbung Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

3. Datenverarbeitung im Detail 3.1 Firebase Authentication Für die Benutzerregistrierung und -anmeldung nutzen wir Firebase Authentication von Google. Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland Erhobene Daten: E-Mail-Adresse Verschlüsseltes Passwort Anmeldezeitpunkte IP-Adresse (temporär) Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Speicherort: Firebase Authentication wird ausschließlich in den USA verarbeitet. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Frameworks. Weitere Informationen: https://firebase.google.com/support/privacy 3.2 Cloud Firestore (Datenbank) Deine Inhalte (Notizen, Skripte, Onboarding-Daten) werden in Cloud Firestore gespeichert. Anbieter: Google Ireland Limited Erhobene Daten: Alle von dir erstellten Inhalte Metadaten (Erstellungs- und Änderungszeitpunkte) Nutzer-ID Speicherort: EU (europe-west) – Deine Daten verlassen die Europäische Union nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Auftragsverarbeitungsvertrag: Mit Google wurde ein Auftragsverarbeitungsvertrag (Data Processing Terms) abgeschlossen.

3.3 Google Cloud Functions / Vertex AI Für die KI-gestützte Script-Generierung nutzen wir Google Cloud Functions und Vertex AI. Anbieter: Google Ireland Limited Verarbeitete Daten: Deine Sprachaufnahmen (zur Transkription) Deine Onboarding-Antworten (für personalisierte Scripts) Generierte Inhalte Speicherort: EU (europe-west) Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Hinweis: Die KI-Modelle werden nicht mit deinen persönlichen Daten trainiert. Deine Inhalte werden ausschließlich zur Generierung deiner Scripts verwendet.

3.4 Firebase Crashlytics Zur Stabilitätsverbesserung der App nutzen wir Firebase Crashlytics. Anbieter: Google Ireland Limited Erhobene Daten im Falle eines Absturzes: Zeitpunkt des Absturzes Zustand der App zum Absturzzeitpunkt Gerätetyp und Betriebssystem App-Version Crash-Stack-Trace Installations-UUID (anonyme Geräte-ID) Was wir NICHT erheben: Deine Inhalte (Notizen, Skripte) Deine E-Mail-Adresse Personenbezogene Identifikationsdaten Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen App) Datenübermittlung: Crashlytics-Daten können an Server von Google in den USA übermittelt werden. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Frameworks. Opt-out: Du kannst Crashlytics in den App-Einstellungen deaktivieren. Weitere Informationen: https://firebase.google.com/support/privacy

3.5 Google Analytics for Firebase Wir nutzen Google Analytics for Firebase zur Analyse der App-Nutzung und zur Optimierung unseres Angebots. Anbieter: Google Ireland Limited Erhobene Daten (nur mit deiner Einwilligung): App-Instanz-ID (anonyme Kennung) Nutzungsereignisse (z.B. "Script generiert", "Video exportiert") Sitzungsdauer Geräte- und Betriebssysteminformationen Ungefährer Standort (Land/Region, basierend auf IP-Adresse) Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) Datenübermittlung: Daten können an Google-Server in den USA übermittelt werden. Opt-out: Du kannst Analytics in den App-Einstellungen oder über den Einwilligungs-Dialog beim ersten Start deaktivieren. Speicherdauer: Nutzungsdaten werden nach 14 Monaten automatisch gelöscht.

3.6 Werbemessung und Conversion-Tracking 3.6.1 Meta (Facebook) Pixel / SDK Wir nutzen das Meta SDK zur Messung der Wirksamkeit unserer Werbeanzeigen auf Facebook und Instagram. Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland Erhobene Daten (nur mit deiner Einwilligung): Werbe-ID (IDFA) App-Installations-Events In-App-Käufe (aggregiert, ohne persönliche Daten) Custom Events (z.B. "Trial gestartet", "Abo abgeschlossen") Zweck: Messung der Werbeeffektivität, Erstellung von Custom Audiences, Optimierung von Werbekampagnen Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) Datenübermittlung: Daten werden an Meta-Server übermittelt, die sich auch in den USA befinden können. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln. Opt-out: Du kannst das Meta-Tracking ablehnen: Beim ersten App-Start über den Einwilligungs-Dialog In den App-Einstellungen unter "Datenschutz" Über die iOS-Einstellungen unter "Datenschutz" → "Tracking" Weitere Informationen: https://www.facebook.com/privacy/policy

3.6.2 Google Ads Conversion-Tracking Wir nutzen Google Ads zur Messung der Wirksamkeit unserer Google-Werbeanzeigen. Anbieter: Google Ireland Limited Erhobene Daten (nur mit deiner Einwilligung): Werbe-ID (IDFA) App-Installations-Events Conversion-Events Zweck: Messung der Werbeeffektivität, Remarketing Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) Opt-out: Über den Einwilligungs-Dialog oder in den App-Einstellungen Weitere Informationen: https://policies.google.com/privacy

3.7 Apple App Tracking Transparency (ATT) Gemäß Apples Richtlinien fragen wir dich vor dem Tracking um Erlaubnis. Beim ersten Start der App erscheint der Apple-Dialog "App möchte Tracking erlauben". Wenn du "Erlauben" wählst: Wir können deine Aktivitäten für Werbezwecke messen Du erhältst möglicherweise relevantere Werbung Wenn du "App-Tracking ablehnen" wählst: Kein Tracking für Werbezwecke Anonyme Nutzungsstatistiken sind weiterhin möglich (falls separat eingewilligt) Du kannst deine Entscheidung jederzeit ändern unter: iOS-Einstellungen → Datenschutz & Sicherheit → Tracking 3.8 Apple In-App-Käufe Abonnements werden über Apples In-App-Purchase-System abgewickelt. Anbieter: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland Verarbeitete Daten: Transaktions-ID Abonnement-Status (aktiv/gekündigt/abgelaufen) Kaufdatum und Ablaufdatum Was wir NICHT erhalten: Zahlungsinformationen (Kreditkarte, etc.) Apple-ID Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Weitere Informationen: https://www.apple.com/legal/privacy/ 4. Speicherdauer Datenart Speicherdauer Account-Daten Bis zur Löschung deines Accounts Inhalte (Notizen, Skripte) Bis zur Löschung deines Accounts Crashlytics-Daten 90 Tage Analytics-Daten 14 Monate Werbe-Tracking-Daten 180 Tage Nach Löschung deines Accounts werden alle deine Daten innerhalb von 30 Tagen unwiderruflich gelöscht. 5. Deine Rechte Du hast folgende Rechte bezüglich deiner personenbezogenen Daten: 5.1 Recht auf Auskunft (Art. 15 DSGVO) Du kannst Auskunft über die von uns verarbeiteten Daten verlangen. 5.2 Recht auf Berichtigung (Art. 16 DSGVO) Du kannst die Berichtigung unrichtiger Daten verlangen. 5.3 Recht auf Löschung (Art. 17 DSGVO) Du kannst die Löschung deiner Daten verlangen. So löschst du deinen Account: Öffne die Qurai App Gehe zu Einstellungen → Account Tippe auf "Account löschen" Bestätige die Löschung Alle deine Daten werden innerhalb von 30 Tagen vollständig gelöscht. 5.4 Recht auf Einschränkung (Art. 18 DSGVO) Du kannst die Einschränkung der Verarbeitung verlangen. 5.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Du kannst deine Daten in einem strukturierten Format erhalten. So exportierst du deine Daten: Öffne die Qurai App Gehe zu Einstellungen → Datenschutz → Daten exportieren 5.6 Recht auf Widerspruch (Art. 21 DSGVO) Du kannst der Verarbeitung deiner Daten widersprechen. 5.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) Erteilte Einwilligungen (z.B. für Tracking) kannst du jederzeit widerrufen: In der App unter Einstellungen → Datenschutz Über die iOS-Einstellungen unter Tracking Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. 5.8 Beschwerderecht (Art. 77 DSGVO) Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg Postfach 10 29 32 70025 Stuttgart https://www.baden-wuerttemberg.datenschutz.de 6. Einwilligung und Consent-Management 6.1 Einwilligungs-Dialog beim ersten Start Beim ersten Start der App zeigen wir dir einen Einwilligungs-Dialog, in dem du entscheiden kannst: Notwendige Datenverarbeitung (immer aktiv): Firebase Authentication (für Login) Cloud Firestore (für Datenspeicherung) Cloud Functions (für KI-Generierung) Optionale Datenverarbeitung (deine Wahl): ☐ Crashlytics (Absturzberichte) ☐ Google Analytics (Nutzungsanalyse) ☐ Meta/Google Ads (Werbemessung)

6.2 Einstellungen ändern Du kannst deine Einstellungen jederzeit ändern unter: App → Einstellungen → Datenschutz 7. Datensicherheit Wir setzen folgende technische und organisatorische Maßnahmen zum Schutz deiner Daten ein: Verschlüsselung: Alle Datenübertragungen erfolgen über TLS/SSL-verschlüsselte Verbindungen Passwort-Hashing: Passwörter werden mit sicheren Hash-Algorithmen gespeichert EU-Server: Deine Inhalte werden ausschließlich auf Servern in der EU gespeichert Zugriffskontrolle: Nur autorisierte Mitarbeiter haben Zugriff auf Backend-Systeme Regelmäßige Updates: Wir aktualisieren unsere Sicherheitsmaßnahmen regelmäßig 8. Datenübermittlung in Drittländer Folgende Daten können in die USA übermittelt werden: Dienst Daten Rechtsgrundlage Firebase Auth Login-Daten EU-US Data Privacy Framework Crashlytics Absturzberichte EU-US Data Privacy Framework Google Analytics Nutzungsdaten EU-US Data Privacy Framework + Einwilligung Meta SDK Werbe-Daten Standardvertragsklauseln + Einwilligung Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert, was ein angemessenes Datenschutzniveau gewährleistet. 9. Minderjährige Qurai richtet sich an Erwachsene (Coaches, Berater, Unternehmer). Die App ist nicht für Personen unter 16 Jahren bestimmt. Wir erheben wissentlich keine Daten von Minderjährigen unter 16 Jahren. 10. Änderungen dieser Datenschutzerklärung Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte rechtliche Anforderungen oder neue Funktionen anzupassen. Die aktuelle Version findest du immer unter: https://qurai.io/datenschutz Bei wesentlichen Änderungen informieren wir dich innerhalb der App. 11. Kontakt Bei Fragen zum Datenschutz oder zur Ausübung deiner Rechte kontaktiere uns: E-Mail: datenschutz@qurai.io Wir werden dein Anliegen schnellstmöglich, spätestens innerhalb von 30 Tagen, bearbeiten. © 2025 Özgür Ergül – Qurai