Loading...

Privacy Policy / Datenschutzerklärung

Transparency and protection of your personal data

Datenschutzerklärung – sd20 (Website & App)

Einleitung

Stand: 8. Juni 2026

Diese Datenschutzerklärung gilt sowohl für die Website sd20.org (Abschnitt 2) als auch für die mobile sd20-App (Abschnitt 3). Die gemeinsamen Abschnitte 4–10 gelten für beide.

1. Verantwortlicher

Verantwortlicher fĂĽr die Verarbeitung personenbezogener Daten ist:

ISDT gemeinnützige UG (haftungsbeschränkt)

Institute of Sleep and Dream Technologies

HdE c/o betahaus, EifflerstraĂźe 43, 22769 Hamburg, Deutschland

E-Mail: info@sd20.org · Telefon: +49 1522 2093558

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich und wurde nicht bestellt. Bei Fragen wenden Sie sich bitte an die vorstehende Adresse.

2. Nutzung der Website sd20.org

2.1 Server-Logfiles

Beim Zugriff auf die Website werden automatisch technische Zugriffsdaten erfasst: Browsertyp und -version, Betriebssystem, Referrer-Website, aufgerufene Unterseiten, Datum und Uhrzeit des Zugriffs, IP-Adresse, Internetdienstanbieter und ähnliche Daten, die im Falle von Angriffen der Gefahrenabwehr dienen.

Zweck: korrekte Auslieferung der Inhalte, Optimierung und Sicherheit der Website. Diese Daten werden getrennt von anderen personenbezogenen Daten gespeichert und vom Hoster (goneo) in der Regel nach 7 Tagen gelöscht.

Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

2.2 Cookies

Die Website verwendet ausschlieĂźlich technisch notwendige Cookies (z. B. Session-Cookies fĂĽr Kernfunktionen). Es werden keine Tracking-, Werbe- oder Analyse-Cookies und keine Analyse-/Marketingdienste Dritter eingesetzt.

Sie können Cookies jederzeit über Ihre Browsereinstellungen verhindern oder bereits gesetzte Cookies löschen; einzelne Funktionen der Website können dann nicht verfügbar sein.

Rechtsgrundlage: Speicherung unbedingt erforderlicher Cookies nach § 25 Abs. 2 TDDDG; im Übrigen berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

2.3 Kontakt (Formular/E-Mail)

Wenn Sie uns über ein Kontaktformular oder per E-Mail kontaktieren, verarbeiten wir die von Ihnen angegebenen Daten (z. B. Name, E-Mail-Adresse, Ihre Nachricht), um Ihre Anfrage zu bearbeiten. Diese Daten werden nicht an Dritte weitergegeben. Sie werden gelöscht, sobald sie nicht mehr erforderlich sind und keine Aufbewahrungspflichten entgegenstehen.

Rechtsgrundlage: Vertragsanbahnung/-erfĂĽllung (Art. 6 Abs. 1 lit. b DSGVO) oder berechtigtes Interesse an der Beantwortung (Art. 6 Abs. 1 lit. f DSGVO).

3. Nutzung der sd20-App

Die sd20-App unterstützt Bildung, Selbstbeobachtung, Forschung und Citizen Science rund um Schlaf und Träume. Sie ist kein Medizinprodukt und nicht für die Diagnose, Therapie oder Überwachung von Krankheiten bestimmt.

Datenminimierung durch Technikgestaltung: Die meisten Inhaltsdaten – insbesondere Ihre Schlaf- und Traumtagebücher, Fragebögen, Messreihen und über Bluetooth erfasste Biosignale – werden ausschließlich lokal auf Ihrem Gerät gespeichert. Zum Start gibt es für diese Inhaltsdaten keinen zentralen Server. Eine Übertragung erfolgt nur in den nachfolgend genannten Fällen.

3.1 Lokal auf dem Gerät verarbeitete Daten (keine Übertragung an uns)

Schlaf- und Traumtagebuch, Fragebögen, Notizen, die Sie eingeben.

Biosignal-/Gesundheitsdaten von verbundenen Messgeräten (z. B. „Traumschreiber"): EEG, EOG, EMG, EKG/ExG-Signale und daraus abgeleitete Schlafdaten. Hierbei handelt es sich um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO (Gesundheitsdaten).

Smartphone-Sensordaten: Mikrofon (Umgebungsgeräusche während des Schlafs), Kamera (Helligkeitsmessung), Beschleunigungssensor und Helligkeitssensor.

App-Einstellungen und Inhalte (Rezepte/Nachtprogramme, Zutaten/Dateien in der „Speisekammer").

Diese Daten verbleiben auf dem Gerät, sofern Sie sie nicht selbst exportieren. Sie können sie jederzeit exportieren und löschen.

Rechtsgrundlage: lokale Verarbeitung in Ihrem Herrschaftsbereich; soweit wir Daten verarbeiten, Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO) und VertragserfĂĽllung (Art. 6 Abs. 1 lit. b DSGVO).

3.2 Nutzerprofil (serverseitig)

Wenn Sie ein Profil anlegen, werden die von Ihnen angegebenen Profildaten auf unseren Servern (sd20.org, gehostet bei goneo) gespeichert und mit Ihrem Gerät synchronisiert: Anzeigename/Nickname, Stadt, Land, Standortkoordinaten, Kurzbiografie, Profilbild, Push-Token und eine Nutzerkennung.

Zweck: Profil- und Community-Funktionen (einschließlich der Anzeige von Meetups in Ihrer Nähe, siehe 3.3) und Zuordnung der von Ihnen erstellten Inhalte.

Rechtsgrundlage: Einwilligung / VertragserfĂĽllung (Art. 6 Abs. 1 lit. a, b DSGVO).

3.3 Standortdaten

Mit Ihrer Erlaubnis ermittelt die App Ihren Standort (Koordinaten) und ĂĽbermittelt ihn an unsere Server, wo er als Teil Ihres Profils gespeichert wird.

Zweck: Anzeige und Benachrichtigung über Veranstaltungen/Meetups in Ihrer Nähe (Community-Funktion, typischerweise in einem Umkreis von ca. 10 km).

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Jederzeit in den Geräteeinstellungen widerrufbar.

3.4 Push-Benachrichtigungen (Firebase Cloud Messaging)

Für Erinnerungen/Benachrichtigungen nutzt die App Firebase Cloud Messaging (FCM) der Google Ireland Limited / Google LLC; ein gerätespezifisches Push-Token wird an Google übermittelt. Es werden keine weiteren Firebase-Dienste (Analytics/Crashlytics) verwendet.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); Benachrichtigungen müssen unter Android/iOS ausdrücklich erlaubt werden. Empfänger/Drittland: Google – siehe Abschnitte 4/5.

3.5 KI-/LLM-Funktionen („Cook"-Assistent)

Drei vom Nutzer wählbare Modi:

1. Lokales Modell (Standard, auf dem Gerät): läuft vollständig auf dem Gerät; keine Übertragung an uns/Dritte. Bei der ersten Nutzung wird einmalig ein Modell (~2,4 GB) von Hugging Face (Hugging Face, Inc.; Datenschutzhinweis: https://huggingface.co/privacy) heruntergeladen.

2. Institute-API: Eingaben gehen an unseren Server (sd20.org, goneo) und von dort an Microsoft Azure OpenAI in der Region Germany West Central. Erfordert eine Freigabe. Der tägliche Token-Verbrauch wird zur Abrechnung gespeichert; Prompt-Antwort-Paare (überwiegend Rezepte) werden hash-basiert und ohne Kontobezug zwischengespeichert. Inhalte werden nur zur Rezepterstellung protokolliert (Löschung nach 90 Tagen); bei freiem Chat nur Metadaten ohne Inhalt.

3. Eigener API-Schlüssel: Eingaben gehen direkt von Ihrem Gerät an den von Ihnen gewählten Anbieter (OpenAI, Anthropic, Google, Mistral AI, xAI, Microsoft); dessen Datenschutzerklärung gilt zusätzlich. Ihr Schlüssel wird nur lokal und verschlüsselt gespeichert und nicht an uns übermittelt.

Hinweis: Geben Sie keine sensiblen Gesundheitsdaten in die KI ein, wenn Sie eine Übertragung an externe Anbieter vermeiden möchten. Im lokalen Modus erfolgt keine Übertragung.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a; fĂĽr gesundheitsbezogene Inhalte Art. 9 Abs. 2 lit. a DSGVO) durch Ihre aktive Auswahl/Nutzung.

3.6 App-Berechtigungen

Bluetooth – Verbindung zu Schlaf-/Messgeräten (z. B. Traumschreiber)

Mikrofon – Umgebungsgeräusche während des Schlafs

Kamera – Helligkeitsmessung

Standort – Meetups in Ihrer Nähe (Community, 3.3); unter Android zusätzlich für Bluetooth-Scans erforderlich

Benachrichtigungen – Erinnerungen/Push

Speicher/Dateien – Import/Export von Zutaten und Daten

Erteilte Berechtigungen können jederzeit in den Geräteeinstellungen widerrufen werden.

3.7 Kontolöschung

Sie können Ihr Konto direkt in der App löschen (Profil → „Konto löschen"). Dabei werden Ihr serverseitiges Profil (einschließlich Standort, Profilbild, KI-Zugang) und die lokalen Daten auf dem Gerät gelöscht. Alternativ genügt eine Nachricht an info@sd20.org.

4. Empfänger und Auftragsverarbeiter

Eine Weitergabe von Daten erfolgt nur im fĂĽr die genannten Zwecke erforderlichen Umfang:

goneo Internet GmbH (Deutschland) – Hosting der Website und der sd20.org-Server (Nutzerprofile, Inhalts-/Rezeptabruf, Institute-API-Proxy).

Google Ireland Limited / Google LLC – Firebase Cloud Messaging (nur Push).

Microsoft (Azure OpenAI) – Verarbeitung Ihrer Eingaben bei Nutzung der Institute-API.

Bei Nutzung eines eigenen API-Schlüssels: der von Ihnen gewählte KI-Anbieter (Übermittlung in Ihrer Verantwortung).

Mit diesen Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

5. Übermittlung in Drittländer

Hosting (sd20.org, goneo) und die KI-Verarbeitung der Institute-API (Azure, Germany West Central) finden in Deutschland statt – somit liegt keine Drittlandübermittlung vor. Eine Verarbeitung außerhalb der EU/des EWR (insbesondere in den USA) kann bei Google (FCM) erfolgen sowie – bei Nutzung eines eigenen API-Schlüssels – bei dem von Ihnen gewählten Anbieter; abgesichert durch geeignete Garantien nach Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln) oder das EU-US Data Privacy Framework. Im lokalen KI-Modus erfolgt keine Übermittlung.

6. Speicherfristen

Server-Logfiles der Website und technische App-Server-Logs: beim Hoster (goneo) in der Regel 7 Tage.

Lokale App-Daten: bis Sie sie löschen (in der App oder durch Deinstallation).

Profil-/Standortdaten: solange Ihr Profil besteht; jederzeit auf Anfrage und spätestens 24 Monate nach Ihrer letzten Aktivität gelöscht.

Token-Verbrauchszähler (Institute-API): tagesweise.

Prompt-Cache (hash-basiert, ohne Kontobezug): zur Vermeidung wiederholter KI-Aufrufe vorgehalten.

Inhaltsprotokolle der Rezepterstellung: automatische Löschung nach 90 Tagen.

Push-Token: gelöscht, wenn Sie Benachrichtigungen deaktivieren oder die App deinstallieren.

Kontaktanfragen: gelöscht, sobald nicht mehr erforderlich.

7. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Zur Ausübung dieser Rechte genügt eine Nachricht an info@sd20.org.

Ihnen steht zudem das Recht zu, sich bei einer Aufsichtsbehörde zu beschweren. Zuständige Behörde ist:

Der Hamburgische Beauftragte fĂĽr Datenschutz und Informationsfreiheit

Ludwig-Erhard-Str. 22, 20459 Hamburg, Deutschland

8. Kinder und Minderjährige

Die Angebote richten sich nicht an Kinder unter 16 Jahren. Wir verarbeiten wissentlich keine Daten von Kindern ohne Einwilligung eines Elternteils oder Erziehungsberechtigten.

9. Keine automatisierte Entscheidungsfindung im Einzelfall

Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO findet nicht statt. Die KI-Funktionen sind unterstĂĽtzend und treffen keine verbindlichen Entscheidungen ĂĽber Sie.

10. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Erklärung, wenn sich unsere Datenverarbeitung ändert. Es gilt die jeweils unter der entsprechenden URL veröffentlichte Fassung. Stand: siehe oben.

Privacy Policy – sd20 (Website & App)

Introduction

Last updated: 8 June 2026

This policy applies both to the website sd20.org (section 2) and to the mobile sd20 App (section 3). The common sections 4–10 apply to both.

1. Controller

The controller for the processing of personal data is:

ISDT gemeinnützige UG (haftungsbeschränkt)

Institute of Sleep and Dream Technologies

HdE c/o betahaus, EifflerstraĂźe 43, 22769 Hamburg, Germany

Email: info@sd20.org · Phone: +49 1522 2093558

A data protection officer is not legally required and has not been appointed. For questions, please contact the address above.

2. Use of the sd20.org website

2.1 Server log files

When you access the website, the server automatically records technical access data: browser type and version, operating system, referrer website, sub-pages accessed, date and time of access, IP address, internet service provider, and similar data used for threat prevention in case of attacks.

Purpose: correct delivery of content, optimisation and security of the website. This data is stored separately from any other personal data and is deleted by the host (goneo) after 7 days as a rule.

Legal basis: legitimate interest (Art. 6(1)(f) GDPR).

2.2 Cookies

The website uses only technically necessary cookies (e.g. session cookies for core functionality). No tracking, advertising or analytics cookies and no third-party analytics/marketing services are used.

You can prevent cookies at any time via your browser settings or delete cookies already set; some website functions may then be unavailable.

Legal basis: storage of strictly necessary cookies under § 25(2) TDDDG; otherwise legitimate interest (Art. 6(1)(f) GDPR).

2.3 Contact (form/email)

If you contact us via a contact form or email, we process the data you provide (e.g. name, email address, your message) to handle your request. This data is not shared with third parties. It is deleted once no longer required and no retention obligations apply.

Legal basis: pre-contract/contract performance (Art. 6(1)(b) GDPR) or legitimate interest in responding (Art. 6(1)(f) GDPR).

3. Use of the sd20 App

The sd20 App supports education, self-observation, research and citizen science around sleep and dreams. It is not a medical device and is not intended for the diagnosis, therapy or monitoring of diseases.

Data minimisation by design: Most content data — in particular your sleep and dream diaries, questionnaires, measurement series and biosignals captured via Bluetooth — is stored exclusively locally on your device. At launch there is no central server for this content data. Transmission occurs only in the cases below.

3.1 Data processed locally on the device (not transmitted to us)

Sleep and dream diary, questionnaires, notes that you enter.

Biosignal/health data from connected measurement devices (e.g. "Traumschreiber"): EEG, EOG, EMG, ECG/ExG signals and derived sleep data. These are special categories of personal data within the meaning of Art. 9 GDPR (health data).

Smartphone sensor data: microphone (ambient sounds during sleep), camera (brightness measurement), accelerometer and brightness sensor.

App settings and content (recipes/night programs, ingredients/files in the "pantry").

This data remains on the device unless you export it yourself. You can export and delete it at any time.

Legal basis: local processing within your sphere of control; where we process data, consent (Art. 6(1)(a), Art. 9(2)(a) GDPR) and contract performance (Art. 6(1)(b) GDPR).

3.2 User profile (server-side)

If you create a profile, the profile data you provide is stored on our servers (sd20.org, hosted by goneo) and synchronised with your device: display name/nickname, city, country, location coordinates, short bio, profile picture, push token and a user identifier.

Purpose: profile and community features (including showing meetups near you, see 3.3) and attributing content you create.

Legal basis: consent / contract performance (Art. 6(1)(a),(b) GDPR).

3.3 Location data

With your permission, the app determines your location (coordinates) and transmits it to our servers, where it is stored as part of your profile.

Purpose: showing and notifying you about events/meetups near you (community feature, typically within a ~10 km radius).

Legal basis: consent (Art. 6(1)(a) GDPR). Revocable at any time in your device settings.

3.4 Push notifications (Firebase Cloud Messaging)

For reminders/notifications the app uses Firebase Cloud Messaging (FCM) by Google Ireland Limited / Google LLC; a device-specific push token is transmitted to Google. No other Firebase services (Analytics/Crashlytics) are used.

Legal basis: consent (Art. 6(1)(a) GDPR); notifications must be explicitly allowed on Android/iOS. Recipients/third country: Google – see sections 4/5.

3.5 AI/LLM features ("Cook" assistant)

Three user-selectable modes:

1. Local model (default, on-device): runs entirely on the device; no transmission to us/third parties. On first use, a model (~2.4 GB) is downloaded once from Hugging Face (Hugging Face, Inc.; privacy notice: https://huggingface.co/privacy).

2. Institute API: inputs go to our server (sd20.org, goneo) and from there to Microsoft Azure OpenAI in the Germany West Central region. Requires approval. Daily token usage is stored for metering; prompt–response pairs (mainly recipes) are cached hash-keyed and without account link. Content is logged only for recipe compilation (deleted after 90 days); for free-form chat only metadata without content.

3. Your own API key: inputs go directly from your device to the provider you select (OpenAI, Anthropic, Google, Mistral AI, xAI, Microsoft); that provider's privacy policy additionally applies. Your key is stored only locally and encrypted and is not transmitted to us.

Note: Do not enter sensitive health data into the AI if you wish to avoid transmission to external providers. In local mode no transmission occurs.

Legal basis: consent (Art. 6(1)(a); for health-related content Art. 9(2)(a) GDPR) via your active selection/use.

3.6 App permissions

Bluetooth – Connecting to sleep/measurement devices (e.g. Traumschreiber)

Microphone – Ambient sounds during sleep

Camera – Brightness measurement

Location – Meetups near you (community, 3.3); additionally required on Android for Bluetooth scans

Notifications – Reminders/push

Storage/files – Importing/exporting ingredients and data

Granted permissions can be revoked at any time in your device settings.

3.7 Account deletion

You can delete your account directly in the app (Profile → "Delete account"). This deletes your server-side profile (including location, profile picture, AI access) and the local data on the device. Alternatively, a message to info@sd20.org is sufficient.

4. Recipients and processors

Data is shared only to the extent necessary for the stated purposes:

goneo Internet GmbH (Germany) – hosting of the website and sd20.org servers (user profiles, content/recipe retrieval, Institute API proxy).

Google Ireland Limited / Google LLC – Firebase Cloud Messaging (push only).

Microsoft (Azure OpenAI) – processing your inputs when you use the Institute API.

When you use your own API key: the AI provider you choose (transmission for which you are responsible).

Data processing agreements pursuant to Art. 28 GDPR are in place with these processors.

5. Transfers to third countries

Hosting (sd20.org, goneo) and the Institute API's AI processing (Azure, Germany West Central) take place in Germany — so no third-country transfer. Processing outside the EU/EEA (in particular the USA) may occur with Google (FCM) and — if you use your own API key — with the provider you select; safeguarded by appropriate guarantees under Art. 46 GDPR (in particular EU Standard Contractual Clauses) or the EU-US Data Privacy Framework. In local AI mode no transfer takes place.

6. Retention periods

Website server log files and technical app server logs: at the host (goneo) typically 7 days.

Local app data: until you delete it (in the app or by uninstalling).

Profile/location data: as long as your profile exists; deleted on request at any time and at the latest 24 months after your last activity.

Token usage counters (Institute API): per day.

Prompt cache (hash-keyed, no account link): kept to avoid repeated AI calls.

Recipe-compilation content logs: automatically deleted after 90 days.

Push tokens: deleted when you disable notifications or uninstall the app.

Contact requests: deleted once no longer required.

7. Your rights

You have the right to access (Art. 15), rectification (Art. 16), erasure (Art. 17), restriction (Art. 18), data portability (Art. 20) and objection (Art. 21). You can withdraw consent at any time with effect for the future (Art. 7(3) GDPR). To exercise these rights, a message to info@sd20.org is sufficient.

You also have the right to lodge a complaint with a supervisory authority. The competent authority is:

The Hamburg Commissioner for Data Protection and Freedom of Information

Ludwig-Erhard-Str. 22, 20459 Hamburg, Germany

8. Children and minors

The services are not directed at children under 16. We do not knowingly process children's data without the consent of a parent or guardian.

9. No automated decision-making in individual cases

There is no automated decision-making producing legal effects within the meaning of Art. 22 GDPR. The AI features are assistive and make no binding decisions about you.

10. Changes to this privacy policy

We update this policy when our data processing changes. The version published at the corresponding URL applies. Last updated: see above.