← Back to Privacy Policy

Data Protection Impact Assessment (DPIA)

AI-Powered Conversation Starter (Approach Helper)
Pursuant to Art. 35 GDPR
Date: April 5, 2026

1. Document Information

FieldDetails
Data ControllerMathias Gillitz, Bahnhofstraße 6b, 84558 Kirchweidach, Germany
Contactinfo@claryai.app
VAT IDDE332029950
Feature assessedAI-Powered Conversation Starter (Approach Helper)
Assessment dateApril 5, 2026
Review scheduleAnnually, or upon significant changes to the feature or processing

2. Purpose and Necessity of the DPIA

This DPIA is conducted pursuant to Art. 35 GDPR because the Approach Helper feature involves:

  • Systematic processing of images that may contain personal data of third parties (bystanders in social situations)
  • Use of new technologies (AI-powered image analysis via the OpenAI GPT Vision API)
  • Large-scale processing across a potentially large user base

These factors, taken together, indicate a high risk to the rights and freedoms of natural persons, triggering the DPIA requirement under Art. 35(1) and (3) GDPR.

3. Description of the Processing

3.1 Feature Overview

The Approach Helper allows users to photograph a social situation, optionally add text context, and receive AI-generated conversation starters. The feature is entirely optional — users can alternatively use a text-only mode that involves no image processing.

3.2 Data Flow

  1. Image capture: The user takes a photograph within the Clary AI app.
  2. On-device preprocessing: Before the image leaves the device:
    • All detected faces are automatically blurred using Apple Vision (iOS) or Google ML Kit (Android)
    • All EXIF metadata (GPS coordinates, timestamps, camera info) is stripped
    • Image resolution is reduced
  3. Encrypted transmission: The preprocessed image and optional text context are sent via TLS-encrypted connection to the Clary AI backend.
  4. Transient relay: The Clary AI backend relays the data to the OpenAI GPT Vision API without storing the image.
  5. AI analysis: OpenAI processes the image and text to generate context-aware conversation starters.
  6. Response delivery: The generated text is returned to the user's device via SSE streaming. Only the text response is stored in session history.
  7. Cleanup: The image is not stored at any point on Clary AI servers. OpenAI retains API inputs for up to 30 days for abuse monitoring, then permanently deletes them.

3.3 Categories of Personal Data

Data CategorySourceStored?Notes
Photographs (faces blurred)User's device cameraNoTransient processing only; faces blurred on-device
Text contextUser inputNo (image context); Yes (generated response)User-provided description of the situation
EXIF metadataDevice cameraNoStripped on-device before transmission
User ID / session IDApp authenticationYesStandard session tracking

3.4 Data Subjects

  • Primary: App users who voluntarily use the feature (consent-based)
  • Incidental: Third parties who may appear in photographs (legitimate interest-based, mitigated by face blurring)

3.5 Data Processors

ProcessorRoleLocationSafeguards
OpenAI Ireland LtdAI image analysis (EEA entity)Dublin, IrelandDPA with SCCs
OpenAI OpCo, LLCParent entity / infrastructureSan Francisco, CA, USASCCs per EU Commission Decision 2021/914

OpenAI does not use API inputs for model training (Business API terms). API inputs are retained for a maximum of 30 days for trust & safety monitoring, then permanently deleted.

4. Necessity and Proportionality Assessment

4.1 Necessity

Image processing is necessary for the core functionality of the Approach Helper — generating context-aware conversation starters requires visual understanding of the social situation. Without image analysis, the feature cannot provide situation-specific suggestions beyond what the text-only mode already offers.

4.2 Proportionality

  • Purpose limitation: Images are used solely for generating conversation starters and for no other purpose.
  • Data minimization: Only the minimum necessary data is processed — faces are blurred, metadata is stripped, and resolution is reduced before transmission.
  • Storage limitation: No images are stored by Clary AI. OpenAI's 30-day retention is the minimum required for abuse monitoring.
  • Voluntariness: The feature is entirely optional, with a text-only alternative available.
  • Transparency: Users are informed about the processing through the Privacy Policy and in-app consent flow before using the feature.

4.3 Legal Basis

Data SubjectLegal BasisJustification
App userArt. 6(1)(a) GDPR — ConsentFreely given, specific, informed, unambiguous consent via in-app opt-in before first use
Third parties in imagesArt. 6(1)(f) GDPR — Legitimate interestInterest in providing AI-powered social coaching, balanced against third-party rights through face blurring, transient processing, no storage, and metadata stripping

5. Risk Assessment

5.1 Identified Risks

#RiskLikelihoodSeverityResidual RiskMitigation
R1 Identification of third parties in images Low High Low On-device face blurring, resolution reduction, EXIF stripping
R2 Unauthorized access to images in transit Very Low High Low TLS encryption for all transmissions
R3 Unauthorized retention of images by processor Very Low Medium Low DPA/AVV with OpenAI; contractual 30-day deletion; no training use
R4 Location tracking via image metadata None (mitigated) High Eliminated All EXIF metadata stripped on-device before transmission
R5 Misuse of the feature (e.g., stalking, harassment) Low High Low Rate limiting (10 req/min), abuse monitoring at OpenAI, Terms of Service prohibition
R6 Processing of children's images Low High Low Minimum age 18 for Clary AI; age verification in app; face blurring applies to all faces including children
R7 International data transfer risks (EEA → US) Low Medium Low SCCs per EU Commission Decision 2021/914; EEA data handled by OpenAI Ireland Ltd

5.2 Overall Risk Assessment

After applying all technical and organizational measures, the residual risk to the rights and freedoms of data subjects is low. The combination of on-device face blurring, EXIF stripping, transient processing, TLS encryption, contractual safeguards with OpenAI, and the availability of a text-only alternative collectively mitigate the identified risks to an acceptable level.

6. Measures and Safeguards

6.1 Technical Measures (Privacy by Design, Art. 25 GDPR)

MeasureImplementationRisk Addressed
On-device face blurringApple Vision (iOS) / Google ML Kit (Android) detects and blurs all faces before the image leaves the deviceR1, R6
EXIF metadata strippingAll metadata (GPS, timestamps, camera info) removed on-deviceR4
Image resolution reductionImages downscaled on-device to limit identifiable detailR1
TLS encryptionAll data in transit encrypted via TLS 1.2+R2
No server-side storageImages pass through backend transiently; never written to disk or databaseR1, R3
Rate limiting10 requests per minute per user via Upstash RedisR5

6.2 Organizational Measures

MeasureDetails
Data Processing Addendum (DPA)Signed with OpenAI, including SCCs for international transfers
No-training guaranteeOpenAI Business API terms prohibit use of API inputs for model training
30-day retention limitOpenAI contractually obligated to delete API inputs within 30 days
Informed consent flowIn-app explanation and opt-in before first use of the feature
Privacy Policy disclosureComprehensive Section 11 in the Privacy Policy covers all aspects of the processing
Terms of ServiceExplicit prohibition of misuse (stalking, harassment, illegal activities)
Age restrictionClary AI is restricted to users 18+ with in-app age verification
Text-only alternativeUsers can opt out of image processing entirely by using text-only mode

7. Legitimate Interest Assessment (Third Parties in Images)

Since the processing of incidental third-party data relies on Art. 6(1)(f) GDPR, the following balancing test has been conducted:

7.1 Legitimate Interest

Providing AI-powered social coaching that understands visual context to generate relevant, situation-specific conversation starters. This serves both the controller's commercial interest and the user's interest in effective social support.

7.2 Necessity

Visual context analysis is necessary for the Approach Helper to generate situation-aware suggestions. The text-only alternative exists but cannot replicate the same level of context awareness.

7.3 Balancing of Interests

FactorAssessment
Reasonable expectationIn public social settings, people have a lower reasonable expectation of privacy regarding incidental photography
Nature of dataFaces are blurred before processing — no biometric identification possible; no special category data processed
Impact on data subjectsMinimal — transient processing with no storage, no profiling, no decision-making affecting third parties
Safeguards appliedFace blurring, EXIF stripping, resolution reduction, TLS encryption, no storage, 30-day processor deletion

7.4 Conclusion

The legitimate interest of the controller and app users outweighs the rights of incidentally depicted third parties, given the comprehensive technical safeguards that minimize any impact on their rights and freedoms.

8. Consultation

Given that the residual risk after applying all measures is assessed as low, prior consultation with the supervisory authority pursuant to Art. 36 GDPR is not required. This assessment will be reviewed if the risk profile changes.

9. Conclusion and Approval

This DPIA concludes that the Approach Helper feature, with all described technical and organizational measures in place, presents a low residual risk to the rights and freedoms of data subjects. The processing may proceed.

FieldDetails
DecisionProcessing approved — residual risk is acceptable
Approved byMathias Gillitz, Data Controller
DateApril 5, 2026
Next reviewApril 2027, or upon significant changes to processing

10. Revision History

VersionDateChanges
1.0April 5, 2026Initial DPIA for the Approach Helper feature
← Zurück zur Datenschutzerklärung

Datenschutz-Folgenabschätzung (DSFA)

KI-gestützter Gesprächseinstieg (Ansprechen-Helfer)
Gemäß Art. 35 DSGVO
Datum: 5. April 2026

1. Dokumentinformationen

FeldDetails
VerantwortlicherMathias Gillitz, Bahnhofstraße 6b, 84558 Kirchweidach, Deutschland
Kontaktinfo@claryai.app
USt-IdNr.DE332029950
Bewertetes FeatureKI-gestützter Gesprächseinstieg (Ansprechen-Helfer)
Bewertungsdatum5. April 2026
ÜberprüfungsintervallJährlich oder bei wesentlichen Änderungen des Features oder der Verarbeitung

2. Zweck und Notwendigkeit der DSFA

Diese DSFA wird gemäß Art. 35 DSGVO durchgeführt, da der Ansprechen-Helfer Folgendes umfasst:

  • Systematische Verarbeitung von Bildern, die personenbezogene Daten Dritter enthalten können (Personen in sozialen Situationen)
  • Einsatz neuer Technologien (KI-gestützte Bildanalyse über die OpenAI GPT Vision API)
  • Umfangreiche Verarbeitung über eine potenziell große Nutzerbasis

Diese Faktoren zusammengenommen deuten auf ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen hin und lösen die DSFA-Pflicht gemäß Art. 35 Abs. 1 und 3 DSGVO aus.

3. Beschreibung der Verarbeitung

3.1 Feature-Übersicht

Der Ansprechen-Helfer ermöglicht es Nutzern, eine soziale Situation zu fotografieren, optional einen Textkontext hinzuzufügen und KI-generierte Gesprächseinstiege zu erhalten. Die Funktion ist vollständig optional — Nutzer können alternativ einen reinen Textmodus verwenden, der keine Bildverarbeitung beinhaltet.

3.2 Datenfluss

  1. Bildaufnahme: Der Nutzer macht ein Foto innerhalb der Clary-AI-App.
  2. Geräteinterne Vorverarbeitung: Bevor das Bild das Gerät verlässt:
    • Alle erkannten Gesichter werden automatisch mittels Apple Vision (iOS) oder Google ML Kit (Android) unkenntlich gemacht
    • Alle EXIF-Metadaten (GPS-Koordinaten, Zeitstempel, Kamerainformationen) werden entfernt
    • Die Bildauflösung wird reduziert
  3. Verschlüsselte Übermittlung: Das vorverarbeitete Bild und der optionale Textkontext werden über eine TLS-verschlüsselte Verbindung an das Clary-AI-Backend gesendet.
  4. Transiente Weiterleitung: Das Clary-AI-Backend leitet die Daten an die OpenAI GPT Vision API weiter, ohne das Bild zu speichern.
  5. KI-Analyse: OpenAI verarbeitet Bild und Text, um kontextbezogene Gesprächseinstiege zu generieren.
  6. Antwortübermittlung: Der generierte Text wird über SSE-Streaming an das Gerät des Nutzers zurückgegeben. Nur die Textantwort wird im Sitzungsverlauf gespeichert.
  7. Bereinigung: Das Bild wird zu keinem Zeitpunkt auf Clary-AI-Servern gespeichert. OpenAI speichert API-Eingaben für bis zu 30 Tage zur Missbrauchsüberwachung und löscht diese anschließend endgültig.

3.3 Kategorien personenbezogener Daten

DatenkategorieQuelleGespeichert?Anmerkungen
Fotografien (Gesichter unkenntlich gemacht)Gerätekamera des NutzersNeinAusschließlich transiente Verarbeitung; Gesichter geräteintern unkenntlich gemacht
TextkontextNutzereingabeNein (Bildkontext); Ja (generierte Antwort)Vom Nutzer bereitgestellte Situationsbeschreibung
EXIF-MetadatenGerätekameraNeinGeräteintern vor Übermittlung entfernt
Nutzer-ID / Sitzungs-IDApp-AuthentifizierungJaStandardmäßige Sitzungsverfolgung

3.4 Betroffene Personen

  • Primär: App-Nutzer, die die Funktion freiwillig nutzen (einwilligungsbasiert)
  • Beiläufig: Dritte, die möglicherweise auf Fotografien erscheinen (basierend auf berechtigtem Interesse, gemindert durch Gesichtsunkenntlichmachung)

3.5 Auftragsverarbeiter

AuftragsverarbeiterRolleStandortSchutzmaßnahmen
OpenAI Ireland LtdKI-Bildanalyse (EWR-Einheit)Dublin, IrlandAVV mit Standardvertragsklauseln
OpenAI OpCo, LLCMuttergesellschaft / InfrastrukturSan Francisco, CA, USAStandardvertragsklauseln gem. EU-Kommissionsbeschluss 2021/914

OpenAI verwendet API-Eingaben nicht zum Modelltraining (Business-API-Bedingungen). API-Eingaben werden maximal 30 Tage zur Vertrauens- und Sicherheitsüberwachung gespeichert und anschließend endgültig gelöscht.

4. Bewertung der Notwendigkeit und Verhältnismäßigkeit

4.1 Notwendigkeit

Die Bildverarbeitung ist für die Kernfunktionalität des Ansprechen-Helfers notwendig — die Generierung kontextbezogener Gesprächseinstiege erfordert ein visuelles Verständnis der sozialen Situation. Ohne Bildanalyse kann die Funktion keine situationsspezifischen Vorschläge liefern, die über den bereits verfügbaren reinen Textmodus hinausgehen.

4.2 Verhältnismäßigkeit

  • Zweckbindung: Bilder werden ausschließlich zur Generierung von Gesprächseinstiegen und für keinen anderen Zweck verwendet.
  • Datenminimierung: Es werden nur die minimal erforderlichen Daten verarbeitet — Gesichter werden unkenntlich gemacht, Metadaten entfernt und die Auflösung vor der Übermittlung reduziert.
  • Speicherbegrenzung: Clary AI speichert keine Bilder. Die 30-tägige Aufbewahrung bei OpenAI ist das für die Missbrauchsüberwachung erforderliche Minimum.
  • Freiwilligkeit: Die Funktion ist vollständig optional; eine Nur-Text-Alternative steht zur Verfügung.
  • Transparenz: Nutzer werden vor der Nutzung der Funktion durch die Datenschutzerklärung und den In-App-Einwilligungsprozess informiert.

4.3 Rechtsgrundlage

Betroffene PersonRechtsgrundlageBegründung
App-NutzerArt. 6 Abs. 1 lit. a DSGVO — EinwilligungFreiwillige, spezifische, informierte und unmissverständliche Einwilligung über In-App-Opt-in vor der ersten Nutzung
Dritte in BildernArt. 6 Abs. 1 lit. f DSGVO — Berechtigtes InteresseInteresse an KI-gestütztem Social Coaching, abgewogen gegen Rechte Dritter durch Gesichtsunkenntlichmachung, transiente Verarbeitung, keine Speicherung und Metadatenentfernung

5. Risikobewertung

5.1 Identifizierte Risiken

Nr.RisikoWahrscheinl.SchwereRestrisikoMinderung
R1 Identifizierung Dritter in Bildern Gering Hoch Gering Geräteinterne Gesichtsunkenntlichmachung, Auflösungsreduzierung, EXIF-Entfernung
R2 Unbefugter Zugriff auf Bilder bei der Übertragung Sehr gering Hoch Gering TLS-Verschlüsselung für alle Übertragungen
R3 Unbefugte Aufbewahrung von Bildern durch Auftragsverarbeiter Sehr gering Mittel Gering AVV mit OpenAI; vertragliche 30-Tage-Löschung; kein Trainingseinsatz
R4 Standortverfolgung über Bild-Metadaten Keine (mitigiert) Hoch Eliminiert Alle EXIF-Metadaten geräteintern vor Übermittlung entfernt
R5 Missbrauch der Funktion (z. B. Stalking, Belästigung) Gering Hoch Gering Ratenbegrenzung (10 Anfr./Min.), Missbrauchsüberwachung bei OpenAI, Verbot in Nutzungsbedingungen
R6 Verarbeitung von Bildern mit Kindern Gering Hoch Gering Mindestalter 18 für Clary AI; Altersverifikation in der App; Gesichtsunkenntlichmachung gilt für alle Gesichter einschl. Kinder
R7 Risiken internationaler Datenübermittlung (EWR → USA) Gering Mittel Gering Standardvertragsklauseln gem. EU-Kommissionsbeschluss 2021/914; EWR-Daten von OpenAI Ireland Ltd verarbeitet

5.2 Gesamtrisikobewertung

Nach Anwendung aller technischen und organisatorischen Maßnahmen ist das Restrisiko für die Rechte und Freiheiten der betroffenen Personen gering. Die Kombination aus geräteinterner Gesichtsunkenntlichmachung, EXIF-Entfernung, transienter Verarbeitung, TLS-Verschlüsselung, vertraglichen Schutzmaßnahmen mit OpenAI und der Verfügbarkeit einer Nur-Text-Alternative mindert die identifizierten Risiken auf ein akzeptables Niveau.

6. Maßnahmen und Schutzmaßnahmen

6.1 Technische Maßnahmen (Datenschutz durch Technikgestaltung, Art. 25 DSGVO)

MaßnahmeUmsetzungAdressiertes Risiko
Geräteinterne GesichtsunkenntlichmachungApple Vision (iOS) / Google ML Kit (Android) erkennt und macht alle Gesichter unkenntlich, bevor das Bild das Gerät verlässtR1, R6
EXIF-MetadatenentfernungAlle Metadaten (GPS, Zeitstempel, Kamerainfo) geräteintern entferntR4
BildauflösungsreduzierungBilder geräteintern herunterskaliert zur Begrenzung identifizierbarer DetailsR1
TLS-VerschlüsselungAlle Daten im Transit über TLS 1.2+ verschlüsseltR2
Keine serverseitige SpeicherungBilder passieren das Backend transient; werden nie auf Festplatte oder in Datenbank geschriebenR1, R3
Ratenbegrenzung10 Anfragen pro Minute pro Nutzer über Upstash RedisR5

6.2 Organisatorische Maßnahmen

MaßnahmeDetails
Auftragsverarbeitungsvertrag (AVV)Unterzeichnet mit OpenAI, einschließlich Standardvertragsklauseln für internationale Übermittlungen
Kein-Training-GarantieOpenAI-Business-API-Bedingungen verbieten die Nutzung von API-Eingaben zum Modelltraining
30-Tage-AufbewahrungsgrenzeOpenAI vertraglich zur Löschung von API-Eingaben innerhalb von 30 Tagen verpflichtet
Informierter EinwilligungsprozessIn-App-Erklärung und Opt-in vor der ersten Nutzung der Funktion
DatenschutzerklärungUmfassender Abschnitt 11 in der Datenschutzerklärung deckt alle Aspekte der Verarbeitung ab
NutzungsbedingungenAusdrückliches Verbot von Missbrauch (Stalking, Belästigung, illegale Aktivitäten)
AltersbeschränkungClary AI ist auf Nutzer ab 18 Jahren beschränkt mit In-App-Altersverifikation
Nur-Text-AlternativeNutzer können die Bildverarbeitung vollständig umgehen, indem sie den reinen Textmodus nutzen

7. Interessenabwägung (Dritte in Bildern)

Da die Verarbeitung beiläufiger personenbezogener Daten Dritter auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird, wurde folgende Abwägung durchgeführt:

7.1 Berechtigtes Interesse

Bereitstellung KI-gestützten Social Coachings, das visuellen Kontext versteht, um relevante, situationsspezifische Gesprächseinstiege zu generieren. Dies dient sowohl dem kommerziellen Interesse des Verantwortlichen als auch dem Interesse des Nutzers an effektiver sozialer Unterstützung.

7.2 Erforderlichkeit

Die visuelle Kontextanalyse ist notwendig, damit der Ansprechen-Helfer situationsgerechte Vorschläge generieren kann. Die Nur-Text-Alternative besteht, kann aber nicht das gleiche Maß an Kontextverständnis replizieren.

7.3 Abwägung der Interessen

FaktorBewertung
Vernünftige ErwartungIn öffentlichen sozialen Situationen haben Personen eine geringere vernünftige Erwartung an Privatsphäre bezüglich beiläufiger Fotografie
Art der DatenGesichter werden vor der Verarbeitung unkenntlich gemacht — keine biometrische Identifizierung möglich; keine besonderen Datenkategorien verarbeitet
Auswirkung auf BetroffeneMinimal — transiente Verarbeitung ohne Speicherung, kein Profiling, keine Entscheidungen, die Dritte betreffen
Angewandte SchutzmaßnahmenGesichtsunkenntlichmachung, EXIF-Entfernung, Auflösungsreduzierung, TLS-Verschlüsselung, keine Speicherung, 30-Tage-Löschung beim Auftragsverarbeiter

7.4 Ergebnis

Das berechtigte Interesse des Verantwortlichen und der App-Nutzer überwiegt die Rechte der beiläufig abgebildeten Dritten angesichts der umfassenden technischen Schutzmaßnahmen, die jegliche Auswirkungen auf deren Rechte und Freiheiten minimieren.

8. Konsultation

Da das Restrisiko nach Anwendung aller Maßnahmen als gering bewertet wird, ist eine vorherige Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO nicht erforderlich. Diese Bewertung wird überprüft, wenn sich das Risikoprofil ändert.

9. Ergebnis und Freigabe

Diese DSFA kommt zu dem Ergebnis, dass der Ansprechen-Helfer mit allen beschriebenen technischen und organisatorischen Maßnahmen ein geringes Restrisiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Die Verarbeitung darf fortgesetzt werden.

FeldDetails
EntscheidungVerarbeitung freigegeben — Restrisiko ist akzeptabel
Freigegeben durchMathias Gillitz, Verantwortlicher
Datum5. April 2026
Nächste ÜberprüfungApril 2027 oder bei wesentlichen Änderungen der Verarbeitung

10. Änderungshistorie

VersionDatumÄnderungen
1.05. April 2026Erstmalige DSFA für den Ansprechen-Helfer