Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO ist:

Sebastian Zollner
Wiesenstr. 13, 17489 Greifswald
E-Mail: sebastian@hasskompass.de

Ein:e Datenschutzbeauftragte:r wurde nach Art. 37 DSGVO nicht bestellt, da die gesetzlichen Schwellenwerte nicht erreicht werden. Fragen zum Datenschutz richten Sie bitte direkt an sebastian@hasskompass.de.

2. Hosting (Vercel)

Diese Website wird gehostet durch Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA. Ich nutze vorzugsweise die EU-Region (Frankfurt). Vercel verarbeitet bei jedem Aufruf technische Daten:

• IP-Adresse (gekürzt auf /24-Netz)
• Datum und Uhrzeit der Anfrage
• aufgerufene URL und HTTP-Statuscode
• User-Agent (Browser/Betriebssystem)
• Referrer-URL (falls übermittelt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch sicheren und stabilen Auslieferung der Website). Mit Vercel besteht eine Datenverarbeitungs­vereinbarung (DPA) mit Standardvertragsklauseln (SCC) gemäß Durchführungs­beschluss (EU) 2021/914. Hinweis zum Schrems-II-Restrisiko: Trotz SCC kann ein behördlicher Zugriff durch US-Behörden nicht vollständig ausgeschlossen werden. Ich minimiere Übertragungen personenbezogener Daten an Vercel durch Edge-Caching und EU-First-Routing.

3. Cookies

Hasskompass.de ist beim ersten Besuch cookie-frei. Cookies entstehen erst durch konkrete Nutzer-Aktionen:

• hk-consent — Ihre Cookie-Einwilligung selbst (JSON mit Versionsfeld, Kategorien „essenziell", „funktional", „statistik“ sowie Zeitstempel). Wird erst gesetzt, wenn Sie den Cookie-Banner beantworten. Domain .hasskompass.de, Laufzeit 1 Jahr. Über den Footer-Link „Cookie-Einstellungen“ jederzeit änderbar. Rechtsgrundlage: § 25 Abs. 2 TDDDG (Speicherung der Einwilligung).
• sb-access-token / sb-refresh-token — Auth-Sessions (Supabase). Werden erst nach Login gesetzt. Domain .hasskompass.de, Laufzeit max. 7 Tage.
• hk-theme — Dunkel-/Hell-Modus-Präferenz (kein Personen­bezug, nur „light“ oder „dark"). Wird erst beim manuellen Theme-Wechsel gesetzt.
• ph_*_posthog / ph_*_posthog_* — PostHog-Cookies für die pseudonyme Pfad-Analyse (Distinct-ID, Session-ID). Werden nur gesetzt, wenn Sie der Kategorie „Statistik“ im Cookie-Banner zustimmen. Domain .hasskompass.de, Laufzeit max. 1 Jahr. Pseudonyme UUID — kein Personenbezug ohne internen Datenbank-Join. Rechtsgrundlage: § 25 Abs. 1 TDDDG + Art. 6 Abs. 1 lit. a DSGVO. Siehe § 12 für Details.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig, kein Einwilligungs­erfordernis). Tracking-Cookies (z. B. Google Analytics 4) werden ausschließlich nach aktiver Einwilligung gesetzt — derzeit ist diese Funktion deaktiviert.

4. Server-Logs

Vercel erstellt automatisierte Server-Logs (siehe oben § 2). Diese werden nach 14 Tagen automatisch gelöscht. Eine längere Speicherung erfolgt nur, wenn ein konkreter Sicherheits­vorfall (z. B. DDoS-Angriff, missbräuchliche Account-Versuche) eine Aufklärung erfordert.

5. Supabase Auth & Datenbank

Für Registrierung, Login und Datenhaltung nutze ich Supabase Inc., Region Irland (EU). Bei Registrierung speichere ich:

• E-Mail-Adresse
• verschlüsselter Passwort-Hash (bcrypt, durch Supabase)
• Account-Erstell- und Letzt-Login-Zeitstempel
• Profil­daten, die Sie selbst angeben (Name, optional)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der App-Funktionen). Mit Supabase besteht ein DPA. Daten werden in der EU gehalten.

6. Stripe (Zahlungen)

Für die Zahlungs­abwicklung von Token-Käufen, Workshop-Buchungen und Academy-Kursen nutze ich Stripe Payments Europe Ltd., Irland (EU). Stripe verarbeitet eigenverantwortlich:

• Zahlungs­daten (Karte, SEPA, PayPal)
• Rechnungs­adresse (falls Pflicht durch USt-Recht)
• Transaktions-IDs

Ich selbst erhalte keine Karten- oder Konto­daten, sondern nur ein Erfolgssignal und eine Transaktions-ID. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutzhinweise von Stripe: stripe.com/de/privacy.

7. Resend (E-Mail)

Für transaktionale Mails (Bestätigungs-Mails, Passwort-Reset, Workshop-Erinnerungen) und Newsletter nutze ich Resend Inc. (USA). Resend verarbeitet:

• E-Mail-Adresse
• Mail-Inhalt
• Versand-Status: zugestellt, geöffnet, geklickt, abgewiesen (Bounce), Spam-Beschwerde
• IP-Adresse und Mail-Client bei Öffnung/Klick (technisch nötig für die Auslieferung des Tracking-Pixels bzw. den Klick-Redirect)

Tracking-Pixel und Klick-Tracking: Beim Versand bettet Resend in HTML-Mails einen kleinen unsichtbaren Bildverweis (1×1-Pixel) sowie umgeleitete Links ein. Wenn Ihr E-Mail-Programm Bilder lädt, wird daraus ein Öffnungs-Event abgeleitet; beim Klick auf einen Link in der Mail wird ein Klick-Event erfasst. Ich nutze diese Daten ausschließlich, um die Mail-Qualität zu verbessern (welche Inhalte erreichen Empfänger:innen wirklich, welche Mails landen im Spam, welche Sequenzen sind nützlich).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei transaktionalen Mails (Vertragserfüllung); Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bei Newsletter-Versand; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Versand-Qualität und Zustellbarkeitsanalyse) für die Tracking-Auswertung. Es werden keine Cookies gesetzt, daher greift § 25 TDDDG nicht. Mit Resend besteht ein Auftragsverarbeitungs-Vertrag (DPA) mit Standardvertragsklauseln; Resend ist DPF-zertifiziert.

Widerspruch und Opt-Out: Sie können das Öffnungs-Tracking jederzeit dadurch deaktivieren, dass Sie in Ihrem E-Mail-Programm das automatische Laden externer Bilder ausschalten (in Apple Mail standardmäßig aus; in Outlook, Gmail und Thunderbird per Einstellung möglich). Den Newsletter können Sie jederzeit über den Abmeldelink in jeder Mail widerrufen oder mir formlos schreiben.

8. Anthropic Claude API

Wenn Sie die KI-Analyse-Funktionen meiner Apps (z. B. Hate-Speech-Analyzer, ParoKI) nutzen, werden die von Ihnen eingegebenen Texte serverseitig an die Anthropic PBC, San Francisco, USA, übermittelt und dort verarbeitet (Modell: Claude). Der Aufruf erfolgt von meinem Server, nicht direkt aus Ihrem Browser — Anthropic setzt deshalb keine Cookies in Ihrem Browser.

Nach den Anthropic-API-Bedingungen werden API-Eingaben nicht zum Modell­training verwendet und nach höchstens 30 Tagen für Abuse-Detection-Zwecke gelöscht (bei gemeldeten Verstößen bis zu 2 Jahre).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die KI-Analyse ist die Kernfunktion der Apps). Drittland- Transfer USA: Anthropic PBC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheits­beschluss der EU-Kommission vom 10. Juli 2023, bestätigt durch EuG vom 3. September 2025, Rs. T-553/23); zusätzlich liegen Standardvertragsklauseln (SCC) nach Durchführungs­beschluss (EU) 2021/914 als Fallback vor. Restrisiko: US-Behörden können nach FISA 702 und EO 12333 auf Daten zugreifen.

Hinweis: Bitte geben Sie in die Analyse-Felder keine personenbezogenen Daten Dritter ein, wenn Sie nicht zur Verarbeitung berechtigt sind. Hass-Kommentare zur Analyse sollten — sofern möglich — Klar­namen unkenntlich gemacht werden.

9. DeepMind (Habermas-Maschine)

Unter deepmind.hasskompass.de betreibe ich ein Workshop-Tool nach dem Vorbild der „Habermas-Maschine" (Tessler et al. 2024): Eine Moderation stellt eine Leitfrage, Teilnehmer:innen schreiben ihre Positionen, und eine KI synthetisiert daraus ein gemeinsames Group Statement, das anschließend bewertet und überarbeitet wird.

Anonyme Teilnahme: Teilnehmer:innen treten ausschließlich über einen Room-Code bzw. QR-Code bei — ohne Konto, ohne Passwort und ohne Angabe einer E-Mail-Adresse. Als Anzeigename genügt ein frei wählbares Pseudonym; Klarnamen sind nicht erforderlich und sollten nicht verwendet werden. Bitte geben Sie auch in Ihre Diskussionsbeiträge keine personenbezogenen Daten über sich oder Dritte ein.

Verarbeitete Daten: gewählter Anzeigename, die eingegebenen Diskussionsbeiträge (Positionen, Kritik), Bewertungen der Statements sowie technisch notwendige Sitzungsdaten (Room-Zuordnung). Die eingegebenen Diskussionsbeiträge werden zur KI-Synthese serverseitig an Anthropic übermittelt (siehe § 8 — gleiche Bedingungen: kein Modell­training, DPF-Zertifizierung, SCC als Fallback, keine Cookies durch Anthropic). Die Sitzungsdaten werden in meiner Supabase-Datenbank (EU) gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Workshops, dessen Kernfunktion die KI-Synthese ist) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Durchführung interaktiver Bildungs­formate). Da die Teilnahme pseudonym erfolgt, kann ich einzelne Beiträge ohne Zusatzwissen keiner realen Person zuordnen.

10. OpenAI API

Analog zu Anthropic werden für einzelne KI-Funktionen Anfragen serverseitig an die OpenAI L.L.C., San Francisco, USA, gesendet (Modell: GPT-Familie). OpenAI ist ebenfalls nach dem EU-US Data Privacy Framework zertifiziert; SCC liegen als Fallback vor. Nach OpenAI-API-Daten-Richtlinie werden API-Daten nicht zum Modell­training verwendet und für maximal 30 Tage zur Missbrauchs­erkennung gespeichert. Rechtsgrundlage, Drittland-Hinweise und Restrisiko identisch zu § 8.

11. Vercel Analytics & Speed Insights

Auf hasskompass.de sind Vercel Analytics (anonyme Besuchs­statistik) und Vercel Speed Insights (Messung der realen Ladezeiten, „Core Web Vitals") eingebunden. Empfänger der Daten ist mein Hosting-Provider Vercel Inc., USA (siehe § 2).

Cookielos und first-party: Beide Dienste setzen keine Cookies und greifen nicht auf Informationen in Ihrem Endgerät zu — § 25 TDDDG ist daher nicht einschlägig. Die Messdaten (aufgerufene Seite, Referrer, Gerätetyp/Browser-Klasse, Web-Vitals-Messwerte) werden über die eigene Domain (first-party) an Vercel übermittelt. Es findet kein seiten­übergreifendes Tracking statt; Vercel Analytics arbeitet ohne persistente Kennung — Besucher werden nur über einen flüchtigen, nicht rückrechenbaren Hash innerhalb eines Tages unterschieden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an einer aggregierten, anonymen Reichweiten- und Performance-Messung zur technischen Verbesserung des Angebots. Drittland-Transfer USA: Vercel Inc. ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert; Standardvertragsklauseln (SCC) liegen als Fallback vor (siehe § 21).

Widerspruchsrecht (Art. 21 DSGVO): Sie können dieser Verarbeitung jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen — formlos an sebastian@hasskompass.de. Da die Messung ohne Cookies und ohne dauerhafte Kennung erfolgt, werden zudem keine Profile über Sie gebildet.

12. Reichweiten-Messung (PostHog Cloud EU)

Für die anonymisierte Auswertung von Klick-Pfaden und Drop-off- Stellen im Onboarding-Funnel setze ich PostHog Cloud (EU-Region Frankfurt) ein — Anbieter: PostHog Inc., 2261 Market St #4008, San Francisco, CA 94114, USA, mit Hosting in der EU.

Was wird gemessen: besuchte Seiten (Pfade), geklickte Buttons (CTAs), durchlaufene Wizard-Schritte und Abbruchpunkte, Fehlerraten der Analyse-Pipeline. Pro Event werden ausschließlich strukturelle Properties getrackt (z. B. Strategie-Name, Dauer in Millisekunden) — niemals Hasskommentar-Texte, Email-Adressen oder sonstige Volltext-Inhalte.

Identifikation: als Distinct-ID wird die pseudonyme Supabase-UUID verwendet — keine Email, kein Klarname. PostHog speichert die UUID, kann sie aber ohne Zugriff auf meine Auth-Datenbank keiner realen Person zuordnen (Pseudonymisierung im Sinne von Art. 4 Nr. 5 DSGVO).

Was NICHT gemacht wird: kein Session Replay (also keine Video-Aufnahme von Maus- oder Tastatur-Eingaben), kein Heatmap-Recording, kein Cross-Site-Tracking, kein Re-Targeting, keine Werbe-Cookies.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG (ausdrückliche Einwilligung über den Cookie-Banner, Kategorie „Statistik"). Zusätzlich für die Admin-seitige Auswertung der Daten: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Qualitätssicherung und Missbrauchsprävention — vollständige Interessenabwägung dokumentiert im internen Compliance-Bereich, auf Anfrage einsehbar). Die Einwilligung kann jederzeit über den Footer-Link „Cookie-Einstellungen“ widerrufen werden; danach werden keine neuen Events erfasst und bestehende PostHog-Cookies werden ungültig.

Speicherort und Aufbewahrung: EU-Cloud Frankfurt (kein Drittland-Transfer in die USA für das Event-Hosting). Aufbewahrung der Events: maximal 12 Monate, danach automatische Löschung im PostHog-Backend.

Auftragsverarbeitung: mit PostHog Inc. ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen (DPA online unter posthog.com/dpa).

Widerspruch / Datenexport / Löschung: Anfragen bitte an sebastian@hasskompass.de — eine Löschung Ihrer PostHog-Daten kann ich innerhalb von 30 Tagen vornehmen (Art. 17 DSGVO).

13. Google Analytics 4 (Opt-In, derzeit deaktiviert)

Google Analytics 4 ist vorbereitet, aber derzeit deaktiviert. Sollte GA4 in Zukunft aktiviert werden, wird es ausschließlich nach aktiver Einwilligung über einen Cookie-Banner geladen (Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG). Datenverarbeiter wäre dann Google Ireland Limited (mit Drittland-Transfer in die USA). Eine Aktivierung wird in dieser Erklärung dokumentiert.

14. Cal.com (Buchungen)

Für Workshop- und Coaching-Buchungen binde ich Cal.com Inc., USA, als Iframe ein. Cal.com verarbeitet Name, E-Mail, gewählten Termin und ggf. ein Freitext-Feld.

Technische Umsetzung: Der Cal.com-Iframe wird nicht automatischgeladen — er erscheint erst, wenn Sie über den Cookie-Banner (Kategorie „Funktional") oder im Buchungs-Platzhalter aktiv zustimmen. Davor sehen Sie nur einen Hinweis mit dem Button „Akzeptieren & Kalender laden". Rechtsgrundlage: § 25 Abs. 1 TDDDG (Einwilligung) + Art. 6 Abs. 1 lit. a DSGVO für das Einbinden des Iframes; Art. 6 Abs. 1 lit. b DSGVO für die anschließende Vertragsanbahnung der Buchung.

Drittland-Transfer USA: Cal.com Inc. ist nach dem EU-US Data Privacy Framework zertifiziert; SCC liegen als Fallback vor. Alternativ können Sie eine Buchung formlos per E-Mail an sebastian@hasskompass.de anfragen, ohne dass Cal.com-Daten anfallen.

15. Giscus (Kommentare via GitHub Discussions)

Falls in Blog-Posts Kommentare aktiviert sind, nutze ich Giscus (Open-Source-Bridge zu GitHub Discussions). Der Kommentar­dienst lädt erst nach Klick auf „Kommentare laden“ Inhalte von github.com nach. Verantwortlich für die Verarbeitung über GitHub: GitHub Inc., USA. Hinweise: docs.github.com — Privacy Statement.

16. Webmention.io

Für die Anzeige von Pingbacks aus dem Fediverse (Mastodon, Bluesky) nutze ich Webmention.io. Es werden ausschließlich öffentlich publizierte Verlinkungen angezeigt — keine direkte Datenerhebung von Besucher*innen meiner Seite. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

17. Newsletter und Topic-Opt-In

Mein Newsletter wird über Resend versendet (siehe § 7). Die Anmeldung erfolgt im Double-Opt-In-Verfahren: nach Eintragen der E-Mail-Adresse erhalten Sie eine Bestätigungs-Mail; erst nach Klick auf den darin enthaltenen Link werden Sie in den Newsletter aufgenommen. Bei Account- Anmeldung mit Magic-Link erfüllt der Klick auf den Magic-Link gleichzeitig die DOI-Bestätigung.

Bundle-Consent bei der Account-Anmeldung: Wenn Sie bei der ersten Anmeldung die Checkbox „Halt mich auf dem Laufenden" aktivieren, willigen Sie in den Versand der folgenden Themenbereiche ein:

• Allgemeine Infos rund um Hasskompass — wichtige Plattform-Updates (selten)
• Neue Tools und Features — wenn neue Funktionen live gehen (ca. 1× pro Monat)
• Counter-Speech-Tipp der Woche — Mittwochs eine kurze Lese-Mail
• Mediendiskurs-Watch — monatliche Diskurs-Beobachtungen
• Wochenrückblick — Freitag-Übersicht
• Community-Outreach — Community-Veranstaltungen (gelegentlich)
• Support- und Service-Hinweise — Wartungsfenster, Sicherheits-Updates (selten)

Sie können jederzeit unter Konto → Newsletter-Einstellungen einzelne Themen aktivieren oder abbestellen (granularer Widerruf nach Art. 7 Abs. 3 DSGVO). Auch ein Komplett-Widerruf über den Abmeldelink in jeder Mail ist möglich.

Gespeichert werden: E-Mail-Adresse, aktive Topic-Slugs, Anmelde- und Bestätigungs­zeitpunkt sowie die IP-Adresse (gekürzt) zum Nachweis der Einwilligung (Art. 7 Abs. 1 DSGVO). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung können Sie jederzeit ohne Angabe von Gründen widerrufen — über den Abmeldelink, im Konto-Bereich oder per Mail an sebastian@hasskompass.de. Bei Widerruf werden Sie aus den jeweiligen Audiences entfernt; transaktionale Mails (Login-Links, Workshop-Bestätigungen, Service-Hinweise zur Vertragserfüllung) bleiben davon unberührt.

18. Kontaktformular

Wenn Sie mein Kontaktformular nutzen, speichere ich die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, Betreff, Nachricht) ausschließlich zur Beantwortung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kommunikation).

Die Daten werden in einer geschützten Datenbank gespeichert und spätestens nach 90 Tagen automatisch gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen oder ein laufender Geschäftsvorgang die längere Speicherung erfordert.

19. Speicherdauer (Übersicht)

• Server-Logs: 14 Tage
• Kontaktformular-Anfragen: 90 Tage (Verlängerung bei laufendem Vorgang)
• Auth-Sessions (Cookies): max. 7 Tage
• Account-Daten: bis zur Konto­löschung; Rechnungs­daten 10 Jahre nach § 147 AO
• Newsletter-Anmeldung: bis Widerruf
• Email-Versand­protokoll: 24 Monate (für Zustell-Nachvollzug)

20. Auftragsverarbeiter (Art. 28 DSGVO)

Mit den folgenden Dienstleistern bestehen Verträge zur Auftragsverarbeitung (DPA). „DPF“ bezeichnet die Zertifizierung nach dem EU-US Data Privacy Framework als primäres Übermittlungs­instrument; „SCC“ Standardvertragsklauseln nach Durchführungs­beschluss (EU) 2021/914 als Fallback.

• Vercel Inc., USA (Hosting) — DPF + SCC
• Supabase Inc., Irland (Datenbank) — EU
• Resend Inc., USA (E-Mail) — DPF + SCC
• Anthropic PBC, USA (KI) — DPF + SCC
• OpenAI L.L.C., USA (KI) — DPF + SCC
• PostHog Inc., USA (Reichweiten-Messung) — Hosting in EU (Frankfurt), DPF + SCC. Wird nur nach Statistik-Einwilligung aktiv.
• Cal.com Inc., USA (Buchungen) — DPF + SCC. Wird nur nach Einwilligung geladen.
• Stripe Payments Europe Ltd., Irland (Zahlung) — EU; Stripe Inc., USA (Sub-Prozessor) — DPF + SCC.

Eine vollständige Liste der Sub-Prozessoren je Dienstleister sowie die jeweiligen DPA-Verträge können Sie auf Anfrage über sebastian@hasskompass.de erhalten.

21. Drittland­transfer (USA)

Einige der eingesetzten Dienste verarbeiten Daten in den USA. Primäres Übermittlungs­instrument ist der EU-US Data Privacy Framework (DPF) — Angemessenheits­beschluss der EU-Kommission vom 10. Juli 2023 (Beschluss (EU) 2023/1795), bestätigt durch das Gericht der EU am 3. September 2025 (Rs. T-553/23 Latombe). Anbieter wie Anthropic, OpenAI, Cal.com, Vercel und Resend sind DPF- zertifiziert (Selbst­zertifizierung prüfbar auf dataprivacyframework.gov). Als Fallback liegen Standardvertragsklauseln (SCC) nach Durchführungs­beschluss (EU) 2021/914 vor.

Restrisiko: US-Behörden können nach FISA 702 und Executive Order 12333 grundsätzlich auf Daten zugreifen. Ich minimiere dieses Risiko durch:

• Vermeidung sensibler Daten in KI-Inputs (Hinweis im UI)
• Verschlüsselung im Transport (TLS 1.3)
• EU-Region-Bevorzugung wo verfügbar (Supabase, Stripe)
• Minimum-Necessary-Prinzip pro Anfrage
• Server-seitige LLM-Calls — Anthropic und OpenAI setzen keine Cookies in Ihrem Browser

Sollte der DPF-Angemessenheits­beschluss zukünftig aufgehoben werden (analog zu „Schrems II"), greift der SCC-Fallback und dieser Abschnitt wird unverzüglich aktualisiert.

22. Ihre Rechte

Sie haben mir gegenüber folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO) — welche Daten ich gespeichert habe
• Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO) — „Recht auf Vergessenwerden"
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) — Export Ihrer Daten in strukturiertem Format
• Widerspruch (Art. 21 DSGVO) — gegen Verarbeitungen auf Basis berechtigter Interessen
• Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO) — jederzeit mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte genügt eine formlose Mail an sebastian@hasskompass.de.

23. Beschwerderecht bei der Aufsichtsbehörde

Sie haben als betroffene Person das Recht, sich bei einer Datenschutz-Aufsichts­behörde Ihrer Wahl zu beschweren (Art. 77 DSGVO) — Sie können sich insbesondere an die Aufsichtsbehörde Ihres Aufenthalts­orts, Ihres Arbeits­platzes oder des Orts der mutmaßlichen Verletzung wenden. Eine Übersicht aller Aufsichtsbehörden in Deutschland finden Sie bei der BfDI.

Aus formaler Pflicht (Art. 13 Abs. 2 lit. d DSGVO) muss ich an dieser Stelle die Aufsichtsbehörde benennen, die für mich als Verantwortlichen zuständig ist — dies bedeutet nicht, dass Sie sich nur dort beschweren können:

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Werderstraße 74a, 19055 Schwerin
www.datenschutz-mv.de

24. Datensicherheit

Ich setze technische und organisatorische Maßnahmen nach dem Stand der Technik ein (Art. 32 DSGVO), um Ihre Daten gegen unbefugten Zugriff, Verlust und Manipulation zu schützen. Dazu gehören insbesondere die verschlüsselte Übertragung aller Verbindungen, eine sichere Passwort-Speicherung, abgestufte Zugriffsrechte sowie regelmäßige Sicherheits­updates und Datensicherungen innerhalb der EU.

Auf Anfrage betroffener Personen oder der Aufsichtsbehörde gebe ich weitergehende Auskünfte zu den eingesetzten Maßnahmen.

25. Stand der Erklärung

Stand:10. Juni 2026 (neuer § 9 zu DeepMind / Habermas-Maschine; § 11 zu Vercel Analytics & Speed Insights aktualisiert; überarbeiteter Cookie-Banner-Text — Banner-Version 4, bestehende Einwilligungen werden erneut abgefragt). Vorherige Fassung: 17. Mai 2026 (Aufnahme von PostHog Cloud EU).

26. Änderungen dieser Erklärung

Ich behalte mir vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage oder meine Dienste ändern. Wesentliche Änderungen werden auf der Startseite angekündigt und — bei Bestand­snutzer*innen — per Mail kommuniziert. Die jeweils aktuelle Version ist auf dieser Seite abrufbar.