Datenschutzerklärung

1. Verantwortlicher

2. Allgemeine Hinweise zur Datenverarbeitung

Ich nehme den Schutz Ihrer persönlichen Daten sehr ernst und behandle Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften (DSGVO, BDSG, TTDSG) sowie dieser Datenschutzerklärung.

Soweit auf diesen Seiten personenbezogene Daten erhoben werden, erfolgt dies auf freiwilliger Basis. Diese Daten werden ohne Ihre ausdrückliche Zustimmung nicht an Dritte weitergegeben — es sei denn, dies ist zur Vertragserfüllung erforderlich oder gesetzlich vorgeschrieben.

SSL-/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an dem Schloss-Symbol in Ihrer Browserzeile und daran, dass die Adresszeile von „http://" auf „https://" wechselt.

3. Hosting und Infrastruktur

Vercel (Website-Hosting)

Diese Website wird gehostet auf der Plattform von Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA. Die Serverless Functions laufen in der EU-Region (Stockholm). Bei jedem Zugriff werden Server-Logdaten (IP-Adresse, Zeitpunkt, angeforderte Seite) kurzzeitig verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung). Vercel hat sich den EU-Standardvertragsklauseln unterworfen. Datenschutzbestimmungen: https://vercel.com/legal/privacy-policy

Supabase (Datenbank & Authentifizierung)

Für Benutzerkonten, Datenbankspeicherung und Authentifizierung nutze ich Supabase (Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992). Die Datenbank liegt in der EU-Region (Irland). Gespeichert werden: E-Mail-Adresse, Name, Profilinformationen, Kaufhistorie und toolspezifische Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Account-Daten; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für die Sicherheit der Authentifizierung. Datenschutzbestimmungen: https://supabase.com/privacy

4. Benutzerkonten

Sie können auf dieser Website ein Benutzerkonto erstellen. Dabei werden folgende Daten erhoben und in Supabase (EU-Region Irland) gespeichert:

• E-Mail-Adresse (Pflicht)
• Anzeigename (optional)
• Kaufhistorie (alle Käufe sind Einmalkäufe — keine Abonnements)
• Toolspezifische Nutzungsdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Sie können Ihr Konto jederzeit löschen lassen, indem Sie mich per E-Mail kontaktieren. Bei Löschung werden alle mit dem Konto verknüpften Daten unwiderruflich entfernt, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Digitale Werkzeuge (selbst→fokus, selbst→beleg, selbst→dna u.a.)

Ich biete verschiedene digitale Werkzeuge an, die entweder als Web-App im Browser oder als lokale HTML-/Desktop-Anwendung genutzt werden können.

Web-Apps (HTML-basiert)

Web-Apps wie selbst→fokus laufen vollständig im Browser. Ihre Daten (Aufgaben, Einstellungen etc.) werden lokal in Ihrem Browser gespeichert (LocalStorage). Eine optionale Cloud-Synchronisation (siehe Abschnitt 5b) kann aktiviert werden, um zwischen Geräten zu synchronisieren. Ohne aktive Cloud-Synchronisation habe ich keinen Zugriff auf diese Daten; bei Löschung der Browserdaten gehen sie verloren.

Lokale HTML-Apps mit Lizenz (z.B. selbst→beleg)

Einige kostenpflichtige Werkzeuge werden als einzelne HTML-Datei zum Herunterladen bereitgestellt und laufen lokal im Browser oder per Doppelklick aus dem Dateisystem (file://). Zum Download ist ein Benutzerkonto erforderlich. Nach dem Download verbindet sich die App in regelmäßigen Abständen (ca. alle 14 Tage) kurz mit meinem Server, um die Lizenz zu prüfen (siehe Abschnitt 5a — Lizenzsystem). Ansonsten arbeitet die App vollständig offline; Rechnungs- und Kundendaten bleiben lokal im Browser, sofern die Cloud-Sicherung nicht aktiviert ist.

Desktop-Anwendungen (Downloads)

Einige Werkzeuge sind als Desktop-Anwendung (Windows, macOS, Linux) verfügbar. Diese speichern Daten ausschließlich lokal auf Ihrem Gerät. Es findet keine Kommunikation mit meinen Servern statt — weder Telemetrie noch automatische Updates.

Beim Herunterladen der Anwendung wird lediglich Ihre IP-Adresse im Rahmen der normalen HTTP-Verbindung verarbeitet. Ein Benutzerkonto ist erforderlich, um den Download-Bereich zu nutzen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5a. Lizenzsystem für kostenpflichtige HTML-Apps

Für kostenpflichtige lokale HTML-Apps (z.B. selbst→beleg, selbst→fokus Pro) setze ich ein eigenes Lizenzsystem ein. Dieses schützt vor unerlaubter Weitergabe der App-Datei und dient ausschließlich der Missbrauchserkennung.

Welche Daten werden verarbeitet?

• Lizenz-ID und Refresh-Token (werden lokal in Ihrem Browser gespeichert)
• Ein SHA-256-Hash Ihrer IP-Adresse (nicht die IP selbst, nicht umkehrbar)
• Zeitpunkt des letzten Lizenz-Refreshs
• Zuordnung zu Ihrem Benutzerkonto und der gekauften Lizenz

Zweck

Die Speicherung dient der Erkennung, ob eine App-Datei über die zulässige Anzahl an Geräten oder außerhalb des Kundenkreises verbreitet wird. Die App-Datei kontaktiert den Server typischerweise alle 14 Tage zum stillen Lizenz-Refresh; dabei werden keine inhaltlichen Nutzungsdaten übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz meines geistigen Eigentums und der Durchsetzung von Lizenzbedingungen). Der IP-Hash wird ohne Verknüpfung zu anderen Tracking-Systemen verwendet.

Speicherdauer: für die Laufzeit der Lizenz. Bei Löschung des Benutzerkontos wird die Lizenzdatenbank-Zeile ebenfalls gelöscht.

5b. Cloud-Sicherung — was wo gespeichert wird

Die Werkzeuge unterscheiden sich darin, ob sie Inhalte serverseitig speichern oder ausschließlich lokal im Browser:

Ausschließlich lokal (kein Cloud-Speicher beim Anbieter)

• selbst→beleg: Kundenstammdaten, Rechnungs- und Angebotsdaten verbleiben vollständig im Browser des Nutzers (LocalStorage). Ich habe keinen Zugriff auf diese Daten.
• selbst→lehren: Schülerdaten, Klassen, Noten und Stundenpläne verbleiben vollständig im Browser des Nutzers (LocalStorage). Ich habe keinen Zugriff auf diese Daten.
• selbst→dna: DNA-Befunde, Laborwerte und Editorials — auch wenn Coaches damit Auswertungen für ihre Klienten erstellen — verbleiben vollständig im Browser des Nutzers (LocalStorage). Genetische Daten sind nach Art. 9 DSGVO besonders geschützt; deshalb ist der serverseitige Sync für selbst→dna technisch deaktiviert. Ich habe keinen Zugriff auf diese Daten.
• selbst→anatomie: reines Lern-Werkzeug ohne personenbezogene Daten, läuft vollständig im Browser.

Backup-Empfehlung: Die Werkzeuge bieten einen JSON-Export an, mit dem der Nutzer seine Daten selbst sichern kann. Bei Browser-Reset oder Geräteverlust gehen die Daten ohne Export verloren.

Da der Anbieter zu keinem Zeitpunkt Daten Dritter (Rechnungsempfänger, Schüler, Klienten von Coaches) in eigener Infrastruktur speichert, liegt keine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor — ein AV-Vertrag wird nicht benötigt.

Optionale Cloud-Synchronisation (eigene Daten des Nutzers)

• selbst→fokus: Aufgaben, Notizen, Einstellungen — Geräte-Sync via Supabase, sofern der Nutzer eingeloggt ist. Es handelt sich um Daten des Nutzers über sich selbst, keine Daten Dritter.

Speicherort: Supabase-Projekt (EU-Region Irland), zugriffsbeschränkt auf das eigene Konto über Supabase Row Level Security.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Eine Löschung der cloud-gespeicherten Daten kann per E-Mail an hallo@selbststruktur.de angefordert werden.

6. Terminbuchung (Cal.com)

Für die Online-Terminbuchung nutze ich Cal.com, einen Terminbuchungsdienst der Cal.com, Inc., 2261 Market Street #4382, San Francisco, CA 94114, USA. Wenn Du über meine Website einen Termin buchst, werden die von Dir eingegebenen Daten (Name, E-Mail-Adresse, ggf. Telefonnummer und Termin-Notizen) an Cal.com übermittelt und dort gespeichert.

Cal.com ist nach dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen findest Du in der Datenschutzerklärung von Cal.com: https://cal.com/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Terminkoordination).

7. Zahlungsabwicklung

Je nach Art der Leistung nutze ich unterschiedliche Wege zur Abrechnung:

Digistore24 (Werkzeuge)

Für den Verkauf digitaler Werkzeuge (u.a. selbst→beleg, selbst→fokus Pro, selbst→lehren) nutze ich Digistore24 GmbH, St.-Godehard-Straße 32, 31139 Hildesheim, Deutschland. Digistore24 ist gleichzeitig Zahlungsdienstleister und Händler (Reseller-Modell), d.h. der Vertrag über den Kauf kommt zwischen Ihnen und Digistore24 zustande.

Beim Kauf werden Sie auf eine Checkout-Seite von Digistore24 weitergeleitet. Zahlungsdaten werden ausschließlich von Digistore24 verarbeitet. Ich erhalte nach dem Kauf per Webhook Ihre E-Mail-Adresse, Ihren Namen und Bestelldetails, um Ihnen den Zugang zum gekauften Werkzeug bereitzustellen. Diese Daten werden in meiner Supabase-Datenbank (EU-Region Irland) gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutzbestimmungen von Digistore24: https://www.digistore24.com/page/privacy

Rechnungsstellung (Begleitung, DNA-Tests, Pakete, selbst→dna)

Für persönliche Begleitungs-Leistungen, DNA-Tests, Business-Setup-Pakete sowie für selbst→dna stelle ich die Rechnung direkt im Namen von HumanFirst Ltd an Sie aus. Die Zahlung erfolgt per SEPA-Überweisung oder einem anderen auf der Rechnung angegebenen Weg. Ihre Rechnungsdaten (Name, Anschrift, E-Mail, ggf. Steuernummer) werden zur Abwicklung der Geschäftsbeziehung in meiner Supabase-Datenbank (EU-Region Irland) verarbeitet und gemäß den gesetzlichen Aufbewahrungsfristen (§§ 147 AO, 257 HGB, i.d.R. 10 Jahre) archiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Aufbewahrungspflichten).

8. E-Mail-Versand (Brevo)

Für den Versand von E-Mails (Newsletter, Tool-Benachrichtigungen, Transaktions-E-Mails wie Rechnungen und Lieferinformationen) nutze ich Brevo (ehemals Sendinblue), Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland.

Brevo ist ein europäischer Anbieter mit Servern in der EU. Datenschutzbestimmungen: https://www.brevo.com/de/legal/privacypolicy/

Newsletter

Wenn Sie den Newsletter abonnieren, benötige ich Ihre E-Mail-Adresse. Die Anmeldung erfolgt per Double-Opt-In. Sie können den Newsletter jederzeit über den Abmeldelink oder per E-Mail an hallo@selbststruktur.de abbestellen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Transaktionale E-Mails

Systembenachrichtigungen (z.B. Bestätigung eines Kaufs, Lieferung von Download-Links und Lizenzen, Rechnungsversand) werden ebenfalls über Brevo versendet. Diese E-Mails sind für die Funktionalität der Dienste erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9. Telegram-Integration und Sprachtranskription (OpenAI)

Im Rahmen des Werkzeugs selbst→fokus kann optional ein Telegram-Bot verknüpft werden, um Aufgaben per Text- oder Sprachnachricht zu erfassen.

Telegram-Verknüpfung

Bei der Verknüpfung werden Ihre Telegram-Chat-ID und Ihr Telegram-Benutzername in der Datenbank (Supabase, EU-Region Irland) gespeichert. Textnachrichten werden als Aufgaben in Ihrem selbst→fokus-Konto abgelegt.

Sprachnachrichten und OpenAI Whisper

Sprachnachrichten werden über die Telegram-API heruntergeladen und — sofern Sie einen eigenen OpenAI-API-Key hinterlegt haben — zur Transkription an die OpenAI Whisper API (OpenAI, L.L.C., San Francisco, USA) gesendet. Die Transkription erfolgt mit Ihrem persönlichen API-Key; die Kosten trägt der Nutzer.

Ohne hinterlegten API-Key wird die Audiodatei temporär in Supabase Storage (EU-Region Irland) gespeichert und erst beim Öffnen der App clientseitig transkribiert.

Verschlüsselte Schlüsselspeicherung

Ihr OpenAI-API-Key wird ausschließlich verschlüsselt (pgcrypto, AES-256) in der Datenbank gespeichert. Eine Entschlüsselung erfolgt nur zum Zeitpunkt der Transkription. Der Key ist jederzeit löschbar über die App-Einstellungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Verknüpfung und Key-Hinterlegung).

10. Eingebettete Inhalte (Gamma)

Auf einigen Seiten werden Präsentationen über den Dienst Gamma (Gamma Tech, Inc., San Francisco, USA) per iFrame eingebettet. Beim Laden des iFrames wird Ihre IP-Adresse an die Server von Gamma übermittelt. Gamma kann dabei eigene Cookies setzen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der ansprechenden Darstellung von Inhalten). Datenschutzbestimmungen: https://gamma.app/privacy

11. Webanalyse (Umami)

Diese Website nutzt Umami, eine datenschutzfreundliche Webanalyse-Lösung der Umami Software, Inc. Umami erfasst ausschließlich anonymisierte Nutzungsdaten (Seitenaufrufe, Verweisquelle, Gerätetyp, Land) und setzt keine Cookies. Es werden keine personenbezogenen Daten gespeichert und kein Tracking über Websites hinweg durchgeführt.

Die Daten werden auf EU-Servern verarbeitet. Datenschutzbestimmungen: https://umami.is/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der anonymisierten Analyse des Nutzerverhaltens). Eine Einwilligung ist nicht erforderlich, da keine personenbezogenen Daten verarbeitet werden.

12. Cookies

Diese Website verwendet Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden.

• Technisch notwendige Cookies: Session-Cookies für die Authentifizierung (Benutzerkonto). Diese sind für die Funktion der Website erforderlich und können nicht deaktiviert werden.
• Präferenz-Cookies: Speicherung Ihrer Theme-Einstellung (Hell-/Dunkel-Modus) via LocalStorage.

Analyse-Cookies werden nicht eingesetzt. Die Webanalyse erfolgt cookieless über Umami (siehe Abschnitt 11).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (technisch notwendige Cookies und berechtigtes Interesse).

13. Weitergabe von Daten an Dritte

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur in folgenden Fällen:

• An Auftragsverarbeiter (Vercel, Supabase, Brevo) zur technischen Bereitstellung der Dienste
• An Digistore24 im Rahmen des Kaufprozesses von Werkzeugen
• Wenn Sie ausdrücklich eingewilligt haben
• Wenn eine gesetzliche Verpflichtung besteht

Es findet kein Verkauf von Daten statt. Es findet kein Profiling oder automatisierte Entscheidungsfindung statt.

14. Datensicherheit

Zum Schutz Ihrer Daten setze ich folgende technische Maßnahmen ein:

• TLS-Verschlüsselung aller Verbindungen
• Row Level Security (RLS) auf Datenbankebene — jeder Nutzer sieht nur seine eigenen Daten
• Passwort-Hashing über Supabase Auth (bcrypt)
• Rate-Limiting auf öffentliche Endpunkte
• Keine Speicherung von Klartext-Passwörtern
• Regelmäßige Sicherheitsaudits des Quellcodes

15. Speicherdauer

• Benutzerkonto-Daten: Bis zur Löschung des Kontos durch den Nutzer oder auf Anfrage.
• Rechnungs- und Bestelldaten: 10 Jahre gemäß gesetzlicher Aufbewahrungspflichten (§§ 147 AO, 257 HGB).
• Newsletter-Daten: Bis zur Abmeldung des Newsletters.
• Server-Logs: Maximal 30 Tage (automatisch durch Vercel).
• Web-App-Daten (lokal): Verbleiben im Browser des Nutzers, bis dieser sie löscht. Ich habe keinen Zugriff.

16. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

• Auskunft (Art. 15) — Welche Daten ich über Sie gespeichert habe.
• Berichtigung (Art. 16) — Korrektur unrichtiger Daten.
• Löschung (Art. 17) — Löschung Ihrer Daten, sofern keine Aufbewahrungspflicht besteht.
• Einschränkung (Art. 18) — Einschränkung der Verarbeitung unter bestimmten Voraussetzungen.
• Datenübertragbarkeit (Art. 20) — Herausgabe Ihrer Daten in maschinenlesbarem Format.
• Widerspruch (Art. 21) — Widerspruch gegen die Verarbeitung Ihrer Daten.
• Widerruf der Einwilligung (Art. 7 Abs. 3) — Jederzeit mit Wirkung für die Zukunft.

Zur Ausübung Ihrer Rechte genügt eine E-Mail an hallo@selbststruktur.de.

Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem Sie wohnen oder in dem der Verantwortliche seinen Sitz hat.

17. Eingesetzte Auftragsverarbeiter

Folgende Dienstleister verarbeiten Daten in meinem Auftrag:

* OpenAI (USA): Die Übermittlung erfolgt nur bei aktiver Nutzung der Sprachtranskription und ausschließlich mit dem eigenen API-Key des Nutzers. Es gelten die Datenschutzbestimmungen von OpenAI.

18. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand Mai 2026. Durch Weiterentwicklung der Website oder aufgrund geänderter gesetzlicher Vorgaben kann eine Anpassung erforderlich werden. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite.