Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

2. Allgemeine Hinweise zur Datenverarbeitung

2.1 Umfang der Verarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer:innen grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder wenn eine andere Rechtsgrundlage greift.

2.2 Rechtsgrundlagen

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei Verarbeitung zur Erfüllung eines Vertrages (z. B. Buchung eines Workshops) ist Art. 6 Abs. 1 lit. b DSGVO einschlägig. Soweit wir aufgrund einer rechtlichen Verpflichtung verarbeiten, ist Art. 6 Abs. 1 lit. c DSGVO die Grundlage. Für Verarbeitung auf Grundlage berechtigter Interessen (z. B. Server-Logs zur IT-Sicherheit) ist Art. 6 Abs. 1 lit. f DSGVO maßgeblich.

2.3 Datenlöschung und Speicherdauer

Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine längere Speicherung kann erfolgen, wenn dies durch europäische oder nationale Vorschriften (z. B. handels- oder steuerrechtliche Aufbewahrungsfristen) vorgesehen ist.

3. Bereitstellung der Website und Server-Logfiles

Bei jedem Aufruf unserer Website erfasst unser Hosting-Anbieter automatisch Daten und Informationen, die Ihr Browser übermittelt. Erfasst werden:

• IP-Adresse (gekürzt bzw. anonymisiert)
• Datum und Uhrzeit der Anfrage
• Inhalt der Anforderung (konkrete Seite)
• Zugriffsstatus / HTTP-Statuscode
• jeweils übertragene Datenmenge
• Website, von der die Anforderung kommt (Referrer)
• verwendeter Browser, Betriebssystem und Sprache

Diese Daten werden in den Logfiles unseres Hosters gespeichert. Die Speicherung erfolgt aus Gründen der IT-Sicherheit (Art. 6 Abs. 1 lit. f DSGVO) und ist erforderlich, um die Auslieferung der Website zu gewährleisten und Angriffe abzuwehren. Logfiles werden nach 30 Tagen gelöscht.

4. Cookies und vergleichbare Technologien

Wir setzen auf unserer Website Cookies und ähnliche Technologien (z. B. localStorage) ein. Cookies sind kleine Textdateien, die beim Aufruf einer Webseite auf Ihrem Endgerät gespeichert werden können. Wir unterscheiden vier Kategorien:

Mit Ausnahme der essenziellen Cookies setzen wir Cookies und vergleichbare Technologien nur mit Ihrer ausdrücklichen Einwilligung gemäß § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer ändern oder widerrufen. Der Widerruf wirkt für die Zukunft.

5. Eingesetzte Drittanbieter und Auftragsverarbeiter

Für den Betrieb unserer Website und unserer Apps setzen wir sorgfältig ausgewählte Dienstleister ein. Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Wo Daten in Drittländer übermittelt werden, sichern wir die Übermittlung über die EU-Standardvertragsklauseln (SCC) und zusätzliche technische Maßnahmen ab.

5.1 Vercel Inc.

Zweck: Hosting und Auslieferung der Website, Edge-Caching, anonymisierte Reichweitenmessung (nur bei Einwilligung).
Anbieter: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA.
Datenkategorien: Server-Logs, IP-Adresse (gekürzt), Browser-Informationen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Webbetrieb); für Vercel Analytics zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Drittlandtransfer: USA. Abgesichert durch EU-Standardvertragsklauseln und das EU-US Data Privacy Framework. Mit Vercel besteht ein Auftragsverarbeitungsvertrag (DPA).

5.2 Supabase

Zweck: Authentifizierung (Sign-up, Login, Passwort-Reset) und Speicherung von Nutzerdaten der App und Academy.
Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992; EU-Region: Frankfurt am Main, Deutschland.
Datenkategorien: E-Mail-Adresse, gehashtes Passwort, Profildaten, Sitzungsmetadaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. lit. a (Einwilligung).
Speicherort: EU (Frankfurt). Mit Supabase besteht ein DPA.

5.3 Stripe

Zweck: Zahlungsabwicklung für kostenpflichtige Workshops, Beratungen und App-Funktionen.
Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland; Stripe Inc., 510 Townsend Street, San Francisco, CA 94103, USA.
Datenkategorien: Name, E-Mail, Zahlungsdaten (Kreditkarte, SEPA, etc.), Rechnungsanschrift.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandtransfer: EU + USA, abgesichert durch SCC und EU-US Data Privacy Framework. Mit Stripe besteht ein DPA. Details: stripe.com/de/privacy.

5.4 Anthropic PBC

Zweck: KI-gestützte Analyse von Text-Eingaben in der Hasskompass-App (z. B. Counter-Speech-Vorschläge). Verarbeitung erfolgt nur, wenn Nutzer:innen die App aktiv verwenden.
Anbieter: Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA.
Datenkategorien: Texteingaben der Nutzer:innen; keine Klarnamen oder Account-Identifier werden mitgesendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erbringung der angeforderten Funktion).
Drittlandtransfer: USA. Mit Anthropic besteht ein DPA. Anthropic verwendet die Inhalte standardmäßig nicht zum Modelltraining (Zero-Retention-Vereinbarung für API-Nutzung).

5.5 Higgsfield AI

Zweck: Server-seitige Bildgenerierung für redaktionelle Inhalte des Blogs und der Bildungsmaterialien.
Anbieter: Higgsfield Inc., USA.
Datenkategorien: Keine personenbezogenen Daten der Website-Besucher:innen — Higgsfield wird ausschließlich redaktionell vom Verantwortlichen genutzt, nicht durch Endnutzer.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Inhaltsproduktion).

5.6 Resend

Zweck: Versand transaktionaler E-Mails (z. B. Bestätigungs-Mails, Newsletter — sofern aktiviert).
Anbieter: Resend, Inc., EU-Region.
Datenkategorien: E-Mail-Adresse, Inhalt der jeweiligen Nachricht, Zustellmetadaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) bzw. lit. a (Einwilligung bei Newsletter).
Speicherort: EU. Mit Resend besteht ein DPA.

6. Kontaktaufnahme und E-Mail-Korrespondenz

Wenn Sie uns per E-Mail oder über ein Kontaktformular kontaktieren, werden Ihre Angaben (Name, E-Mail-Adresse, Inhalt der Nachricht) gespeichert, um Ihre Anfrage zu beantworten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anfragen, sonst Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Anfragenbearbeitung). Wir löschen Anfragen, sobald sie erledigt sind und keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

7. Newsletter (sofern aktiviert)

Sofern Sie unseren Newsletter abonnieren, verwenden wir Ihre E-Mail-Adresse, um Ihnen Informationen zu Forschung, Vorträgen und neuen Counter-Speech-Tools zu senden. Die Anmeldung erfolgt im Double-Opt-In-Verfahren: nach der Anmeldung erhalten Sie eine Bestätigungs-E-Mail mit einem Aktivierungslink. Sie können den Newsletter jederzeit über den Link am Ende jeder E-Mail oder per Nachricht an sebastian.zollner@hasskompass.de abbestellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO.

8. Soziale Netzwerke (Verlinkung)

Auf unserer Website verlinken wir auf unsere Profile in sozialen Netzwerken (Bluesky, Mastodon, Instagram, LinkedIn, TikTok, YouTube, X). Ein Datenaustausch mit diesen Diensten findet erst statt, wenn Sie auf einen Link klicken. Es handelt sich um einfache Hyperlinks, keine eingebetteten Inhalte oder Tracking-Pixel. Sobald Sie die jeweilige Plattform aufrufen, gelten deren Datenschutzbestimmungen.

9. Rechte der betroffenen Personen

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffene:r im Sinne der DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, ob und welche Daten wir über Sie verarbeiten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflicht entgegensteht.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Soweit eine Verarbeitung auf berechtigtem Interesse beruht, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einlegen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
• Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Zuständige Aufsichtsbehörde für den Verantwortlichen:

10. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen nach dem Stand der Technik ein, um Ihre Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung zu schützen. Insbesondere:

• Verschlüsselte Übertragung über HTTPS (TLS 1.2+ mit moderner Cipher-Suite)
• Passwort-Hashing nach aktuellem Standard (Argon2 / bcrypt) bei Supabase
• Regelmäßige Sicherheitsupdates, abgesicherte Build-Pipeline, Dependency-Scans
• Minimierungs-Prinzip: nur die für den jeweiligen Zweck notwendigen Daten werden erhoben

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen abzubilden. Bei wesentlichen Änderungen — insbesondere bei neuen Drittanbietern oder neuen Verarbeitungszwecken — wird die Cookie-Banner-Version zurückgesetzt, sodass eine erneute Einwilligung erforderlich ist.

12. Hinweise zu Hosting und Content Delivery

Unsere Webseiten werden über das Vercel Edge Network ausgeliefert. Vercel betreibt weltweit verteilte Server, die Inhalte zwischenspeichern und an die geografisch nächstgelegene Region ausliefern. Bei jedem Aufruf einer Seite werden technische Verbindungsdaten kurzzeitig verarbeitet, um die Anfrage zu beantworten und die Stabilität der Plattform sicherzustellen. Diese Verarbeitung beruht auf unserem berechtigten Interesse an einem performanten und ausfallsicheren Webauftritt (Art. 6 Abs. 1 lit. f DSGVO). Personenbezogene Profile werden dabei nicht angelegt; eine Verknüpfung mit Konto-Identifikatoren findet ausschließlich nach erfolgter Anmeldung im Rahmen der jeweiligen App-Funktion statt.

Der Betrieb der Hasskompass-App und der Academy erfolgt zusätzlich über Supabase in der Region Frankfurt am Main. Damit verbleiben sämtliche Datenbankinhalte – also Account-Daten, Lernfortschritte und app-spezifische Einstellungen – innerhalb der Europäischen Union. Backups werden ausschließlich verschlüsselt und regional innerhalb der EU vorgehalten.

13. Minderjährigenschutz

Unsere Angebote richten sich grundsätzlich an erwachsene Nutzer:innen sowie an Bildungsinstitutionen. Soweit Inhalte im schulischen Kontext eingesetzt werden, erfolgt die Verarbeitung personenbezogener Daten von Schüler:innen ausschließlich auf Grundlage einer Vereinbarung mit dem jeweiligen Schulträger und in dessen Verantwortung. Wir erheben keine Daten von Personen unter 16 Jahren ohne Zustimmung der Erziehungsberechtigten. Sollten wir Kenntnis darüber erlangen, dass ein Kind ohne entsprechende Einwilligung Daten übermittelt hat, löschen wir diese unverzüglich.

14. Automatisierte Entscheidungsfindung

Eine vollautomatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet auf unseren Seiten nicht statt. KI-gestützte Funktionen der Hasskompass-App liefern lediglich Vorschläge und Analysen, die ausschließlich von Menschen weiterverwendet werden; Rechtsfolgen oder vergleichbare erhebliche Beeinträchtigungen werden durch unsere Systeme nicht ausgelöst.

15. Kontakt für Datenschutzanfragen

Bei allen Fragen rund um den Datenschutz wenden Sie sich bitte an: