Was wir verarbeiten, warum, wie lange.

Wenn du den Marketplace-Bereich (/marketplace) oder den Lern-Hub (/lernen) besuchst, setzen wir drei Cookies mit klar getrennten Zwecken:

• kiw_ratelimit — schützt unsere Endpunkte vor Spam und Bots. Wird immer gesetzt, ist technisch notwendig (Strictly Necessary nach ePrivacy Art. 5(3) / TDDDG §25(2)(2)), braucht keine Zustimmung. Session-only, kein Account-Bezug.
• kiw_consent — speichert deine Entscheidung (akzeptiert/abgelehnt) für die Discovery- Telemetrie. 1 Jahr persistent, damit der Banner nicht bei jedem Besuch erscheint.
• kiw_session — Quelle für den anonymen Session-Hash des Discovery-Algorithmus. Wird nur gesetzt, wenn du oben Akzeptieren gewählt hast. Session-only. Bei eingeloggten Nutzer:innen verknüpfen wir die Events zusätzlich mit der User-ID (für den Für-dich-Recommender); das kannst du jederzeit unter Dashboard → Datenschutz widersprechen.

Lehnst du im Banner ab, wird kiw_session nicht gesetzt und unsere Discovery-Endpunkte speichern nichts; du siehst weiter die generischen Sections (Editor's Picks, Trending, Frisch, Top-Bewertet). Anti-Spam läuft unabhängig.

Was wir erfassen

• Impressions: welche Produkt-Karte ist dir im Marketplace angezeigt worden (10% Sample-Rate, 90 Tage Speicherung).
• Views: welche Produkt-Detailseite hast du geöffnet, und wie lange warst du dort (365 Tage).
• Klicks: CTA-Klicks (z. B. „Card öffnen") — keine Maus-Tracking-Heatmaps, keine Scroll-Tiefe (365 Tage).
• Suchanfragen: normalisierter Suchbegriff, Trefferzahl und IDs angeklickter Treffer (für Such-Relevanz). Kein User-ID-Link (auch logged-in nicht), keine PII — E-Mail, Telefon, IBAN werden server-side redigiert (365 Tage).
• Eingeloggt: Für Impressions, Views und Klicks verknüpfen wir die Events mit deiner User-ID. Das ermöglicht den Für-dich-Recommender. Bei Account-Löschung wird die User-ID in allen Events automatisch entfernt (ON DELETE SET NULL).

Was wir NICHT erfassen

• Keine IP-Adresse in der Telemetrie-Datenbank — nur ein kurzlebiger IP-Hash im Arbeitsspeicher für Rate-Limiting (wird nicht persistiert; Hosting-Provider-Logs sind separat).
• Kein User-Agent, kein Geo-Standort.
• Kein Browser-Fingerprinting.
• Keine 3rd-Party-Tracker (kein Google Analytics, kein Pixel).
• Kein Cross-Site-Tracking, keine Werbe-Profilbildung. Bei eingeloggten Nutzer:innen ist Marketplace-Telemetrie account-bezogen für die Recommender-Funktion und wird nach Ablauf der Retention-Fristen automatisch gelöscht.

Rechtsgrundlagen (pro Cookie getrennt)

• kiw_ratelimit (Anti-Abuse): Strictly Necessary nach §25 Abs. 2 Nr. 2 TDDDG / ePrivacy-RL Art. 5 Abs. 3; kein Consent erforderlich.
• kiw_session (Discovery-Analytics): Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO + §25 Abs. 1 TDDDG — wird ausschließlich gesetzt, wenn du im Banner zustimmst.
• kiw_consent (Speicherung der Entscheidung selbst): Strictly Necessary — wir müssen uns merken, ob du zugestimmt oder abgelehnt hast.
• userId-Verknüpfung der Events bei eingeloggten Nutzer:innen: berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO (Recommender-Funktion). Widerrufbar im Dashboard → Datenschutz.

Eine ausführliche Interessensabwägung (LIA) zur Discovery-Verarbeitung ist intern dokumentiert und wird Teil des anwaltlichen Sign-offs vor Public-Release. [LEGAL-REVIEW] öffentliche Zusammenfassung der LIA + Cookie-Klassifikation hier verlinken sobald freigegeben.

Opt-Out und Widerspruch (Art. 21 DSGVO)

Anonym (nicht eingeloggt): Cookie jederzeit über die Cookie-Einstellungen des Browsers löschen oder blockieren. Da der Cookie nur auf /marketplace und /lernen gesetzt wird, ist der Rest unserer Seite davon unberührt. Nach Cookie-Löschung ist die nächste Session technisch nicht mehr mit der vorherigen verknüpfbar.

Eingeloggt: Self-Service-Widerspruch über Dashboard → Datenschutz. Sofort nach Bestätigung speichern Marketplace-Telemetrie-Endpunkte deine User-ID nicht mehr; der Für-Dich-Recommender liefert ein leeres Ergebnis. Beim nächsten Discovery-Cron (max 24h) werden auch historische userId-verknüpfte Events aus den Aggregaten gefiltert. Die rohen Events bleiben bis zur Retention-Grenze in der Datenbank und werden während des Widerspruchs gefiltert. Komplette Anonymisierung historischer Events erfolgt über die Konto-Löschung (Support-Anfrage über Impressum).

Wenn du dich anmeldest, läuft die Authentifizierung über Supabase Auth. Dabei verarbeiten wir folgende Daten:

• E-Mail-Adresse, Passwort-Hash, Login-Methode (Email oder OAuth)
• Bei OAuth-Login (Google, GitHub etc.): die vom Provider freigegebenen Profilfelder (Name, Profilbild). Wir fragen nur Standardumfang an, keine Adress- oder Kontaktdaten. [LEGAL-REVIEW] vollständige OAuth-Scope-Liste je Provider ergänzen, sobald produktiv aktiviert.
• Session-Cookies (von Supabase verwaltet) für eingeloggten Zustand
• Login-Zeitpunkt (lastLoginAt) zur Anzeige im Account

Rechtsgrundlage und Speicherdauer

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Nutzerkontos auf deine Anfrage hin).

Speicherdauer: Aktive Konten bleiben gespeichert bis zur Konto-Löschung (Self-Service oder Support-Anfrage). Inaktive Konten (kein Login > 24 Monate) werden [LEGAL-REVIEW] nach Anwalts-Empfehlung anonymisiert oder gelöscht.

Empfänger und Datenübermittlung

Supabase Inc. (Auftragsverarbeiter, USA und EU) — wir haben mit Supabase Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. [LEGAL-REVIEW] aktuelle SCC-Version und Datum des Abschlusses dokumentieren.

Du kannst unseren Newsletter über das Anmeldeformular abonnieren. Wir verwenden ein Double-Opt-In-Verfahren: nach der Eintragung erhältst du eine Bestätigungs-E-Mail, dein Abonnement wird erst nach Klick auf den Bestätigungslink aktiv.

• E-Mail-Adresse
• Sprache (de) und Region (DACH) — für relevante Inhalte
• Zeitstempel von Eintragung und Bestätigung

Kein Open-/Click-Tracking aktiv. Wir setzen aktuell keine Pixel und schreiben Links nicht um. Falls vor Public-Deploy doch eingeführt, wird dies hier ergänzt und ggf. eine separate Einwilligung eingeholt.

Rechtsgrundlage und Widerruf

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, ohne Angabe von Gründen. Jeder Newsletter enthält einen Unsubscribe-Link am Fuß.

Speicherdauer

Bis zum Widerruf. Nach Abmeldung werden Adresse und Metadaten innerhalb von 30 Tagen aus der Versand-Datenbank gelöscht; eine Sperrliste (Hash der Adresse) kann zur Verhinderung erneuter ungewollter Anmeldungen [LEGAL-REVIEW] behalten werden.

Empfänger und Datenübermittlung

Resend, Inc. (Auftragsverarbeiter, USA, E-Mail- Versandinfrastruktur). SCC nach Art. 46 Abs. 2 lit. c DSGVO. [LEGAL-REVIEW] AV-Vertrag und SCC-Status mit Resend dokumentieren.

Wenn du einen Kommentar zu einem News-Artikel verfasst, speichern wir:

• den Kommentar-Text selbst
• die Verknüpfung zu deinem Konto (bei eingeloggtem Posten) oder den von dir angegebenen Anzeigenamen / die optionale E-Mail-Adresse
• Zeitstempel und Moderations-Status (pending / approved / rejected)
• Moderations-Notiz (interne Begründung bei Ablehnung) — nicht öffentlich sichtbar

Kommentare werden nach dem Absenden direkt veröffentlicht (Status: visible). Wir setzen eine nachträgliche Moderation ein: Bei Verstößen gegen unsere Community-Richtlinien (Hass-Rede, Spam, persönliche Angriffe) werden Kommentare manuell auf rejected gesetzt und sind dann nicht mehr öffentlich sichtbar. [LEGAL-REVIEW] Pre-Moderation für sensible Themen erwägen oder Reaktionszeit-SLA dokumentieren.

Rechtsgrundlage und Speicherdauer

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer öffentlichen Diskussionsmöglichkeit zu unseren redaktionellen Inhalten + Schutz der Community durch Moderation).

Speicherdauer: Veröffentlichte Kommentare bleiben so lange wie der zugehörige Artikel online. Du kannst die Löschung eigener Kommentare jederzeit beantragen. Abgelehnte Kommentare werden 90 Tage nach Moderationsentscheidung gelöscht (Beweis-Zeitraum für eventuelle Beschwerden). [LEGAL-REVIEW]

Diese Website wird bei Vercel Inc. (USA, mit EU-Datenzentren für statische Assets) gehostet. Beim Aufruf der Seite werden auf Server-Ebene technische Daten verarbeitet, die für die Auslieferung der Inhalte erforderlich sind:

• IP-Adresse (zur Auslieferung der Antwort)
• Zeitpunkt des Aufrufs, abgerufener Pfad, Referer-URL
• User-Agent (Browser-/Geräte-Information)
• HTTP-Statuscode, Antwort-Größe

Diese Logs werden von Vercel verwaltet, primär zur Aufrechterhaltung der Funktion und Sicherheit (DDoS-Schutz, Fehlerdiagnose). [LEGAL-REVIEW] Standard-Vercel-Log-Retention (typisch 30 Tage für Edge-Logs, länger für Function-Logs) gegen aktuelle Vercel-Doku verifizieren und konkrete Tage nennen.

Bilder und Datei-Uploads (Cover, Marketplace-Files) liegen bei Supabase Storage (siehe Sektion Authentifizierung). Cover-AI-Generierung läuft über Google's Generative Language API (Imagen/Gemini) via generativelanguage.googleapis.com. Die generierten Bilder enthalten keine personenbezogenen Daten; die Eingabe-Prompts werden zur Audit-Nachverfolgung gespeichert (siehe Sektion „Weitere interne Verarbeitungen"). [LEGAL-REVIEW] EU-AI-Act- Transparenzpflichten für AI-generated Images klären.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem und sicherem Betrieb der Website). Bei eingeloggten Nutzer:innen ergänzend Art. 6 Abs. 1 lit. b (Vertragserfüllung).

Drittland-Transfer

Vercel, Supabase und Google Cloud verarbeiten Daten teils in den USA. Die Übermittlung ist abgesichert durch Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO und das EU-US Data Privacy Framework, soweit der jeweilige Anbieter zertifiziert ist. [LEGAL-REVIEW] aktuelle Zertifizierungs-Status je Anbieter dokumentieren.

Vollständige Liste der gesetzten Cookies und ihrer Zwecke. Drittanbieter- Cookies setzen wir nicht.

Zusätzlich speichern wir clientseitig im LocalStorage: deine Favoriten-Liste (kiw:favorites), damit Lesezeichen ohne Konto erhalten bleiben. Kein Server-Sync, kein Account-Bezug. Löschbar über Browser-Settings.

[LEGAL-REVIEW] ggf. weitere First-Party-Cookies (Theme, Accessibility-Settings) sobald implementiert eintragen.

Unser Angebot richtet sich an Erwachsene und an Jugendliche ab 16 Jahren. Konten, Newsletter-Anmeldungen und Marketplace-Käufe sind ab 16 zulässig. Für Personen unter 16 ist nach Art. 8 Abs. 1 DSGVO die Zustimmung einer/eines Erziehungsberechtigten erforderlich; eine technische Altersprüfung findet aktuell nicht statt.

[LEGAL-REVIEW] Soll die Plattform formal auf 16+ ausgeschlossen werden, oder ein verifiziertes Eltern-Zustimmungs- Verfahren eingeführt werden? Aktuell verlassen wir uns auf Selbstauskunft beim Account-Anlegen — Anwalts-Empfehlung holen.

Diese Verarbeitungen sind im Code implementiert. Für Public-Deploy werden sie anwaltlich geprüft und in Folge-Iterationen detailliert aufgeführt.

• Stripe Connect (Marketplace-Käufe und Auszahlungen): Bei kostenpflichtigen Marketplace-Produkten verarbeitet Stripe Zahlungs-Daten, Auszahlungen an Creator und Steuerinformationen. Stripe ist eigenständig Verantwortlicher für Zahlungsabwicklung und PCI-Compliance. [LEGAL-REVIEW] Joint-Controller- vs Independent-Controller-Bewertung; vollständige Stripe- Datenschutzhinweise verlinken.
• Produkt-Reviews: Bewertungen (1–5 Sterne) und optional Review-Texte werden mit Konto-Verknüpfung gespeichert. Veröffentlicht erst nach Status approved. Art. 6(1)(b) + Art. 6(1)(f). Speicherdauer: bis Produkt-Archivierung oder Konto-Löschung.
• Benachrichtigungen (Notifications): In-App- und ggf. E-Mail-Benachrichtigungen zu Konto-relevanten Ereignissen (Käufe, Review-Antworten, Moderations-Updates). Art. 6(1)(b). Speicherdauer: 90 Tage nach Lesen.[LEGAL-REVIEW] Retention bestätigen.
• Audit-Logs (intern): Sicherheits- und Nachverfolgbarkeits-Protokolle bei Account- und Moderations- Aktionen. Enthält optional IP-Hash und User-Agent. Art. 6(1)(f). Speicherdauer: [LEGAL-REVIEW] typisch 12 Monate, präzisieren.
• KI-Cover-Generierungs-Prompts: Eingabe-Prompts für AI-Cover, Provider-Antworten und Kosten-Metadaten werden zur Audit-Nachverfolgung und Budget-Kontrolle gespeichert. Kein Endnutzer-PII verarbeitet (intern erzeugte Briefs). Art. 6(1)(f).
• Cloud-Billing-Snapshots: Tägliche Aggregat-Snapshots der Cloud-Ausgaben (BigQuery-Export). Enthält keine personen- bezogenen Daten. Art. 6(1)(f).
• Creator-/Produkt-Wizard-Drafts: Zwischenspeicher beim Anlegen von Marketplace-Produkten (Auto-Save alle 10s). Art. 6(1)(b). Speicherdauer: bis Veröffentlichung oder manuelles Verwerfen.

Du hast jederzeit das Recht auf:

• Auskunft (Art. 15) — Übersicht über die zu deiner Person gespeicherten Daten.
• Berichtigung (Art. 16) — Korrektur unrichtiger Daten.
• Löschung (Art. 17) — „Recht auf Vergessenwerden", soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung der Verarbeitung (Art. 18) — etwa während eine Auskunfts-Anfrage geprüft wird.
• Datenübertragbarkeit (Art. 20) — strukturierter Export deiner Konto- und Profildaten.
• Widerspruch (Art. 21) — gegen Verarbeitungen auf Basis berechtigten Interesses. Für die Marketplace-Telemetrie gibt es einen Self-Service-Toggle unter Dashboard → Datenschutz.
• Widerruf einer Einwilligung (Art. 7 Abs. 3) — etwa für den Newsletter (Unsubscribe-Link am Fuß jeder E-Mail).

Kontakt für Anfragen

Wende dich an die im Impressum genannte Adresse. [LEGAL-REVIEW] dedizierte datenschutz@-Adresse oder Datenschutzbeauftragter (falls bestellt) ergänzen.

Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren — typischerweise bei der Behörde deines gewöhnlichen Aufenthaltsorts. [LEGAL-REVIEW] nach Owner-Sitz die zuständige Behörde verlinken (z.B. BfDI für Bund, oder LDSB Bayern etc.).