This page is available in German only. The legally binding version is German.
Was wir verarbeiten, warum, wie lange.
Diese Datenschutzerklärung beschreibt die Verarbeitungen personenbezogener Daten auf dieser Website nach den Anforderungen der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG). Verantwortlicher im Sinne der DSGVO ist die im Impressum genannte Stelle.
[LEGAL-REVIEW] markiert.Marketplace-Telemetrie
Wenn du den Marketplace-Bereich (/marketplace) oder den Lern-Hub (/lernen) besuchst, setzen wir drei Cookies mit klar getrennten Zwecken:
kiw_ratelimit— schützt unsere Endpunkte vor Spam und Bots. Wird immer gesetzt, ist technisch notwendig (Strictly Necessary nach ePrivacy Art. 5(3) / TDDDG §25(2)(2)), braucht keine Zustimmung. Session-only, kein Account-Bezug.kiw_consent— speichert deine Entscheidung (akzeptiert/abgelehnt) für die Discovery- Telemetrie. 1 Jahr persistent, damit der Banner nicht bei jedem Besuch erscheint.kiw_session— Quelle für den anonymen Session-Hash des Discovery-Algorithmus. Wird nur gesetzt, wenn du oben Akzeptieren gewählt hast. Session-only. Bei eingeloggten Nutzer:innen verknüpfen wir die Events zusätzlich mit der User-ID (für den Für-dich-Recommender); das kannst du jederzeit unter Dashboard → Datenschutz widersprechen.
Lehnst du im Banner ab, wird kiw_session nicht gesetzt und unsere Discovery-Endpunkte speichern nichts; du siehst weiter die generischen Sections (Editor's Picks, Trending, Frisch, Top-Bewertet). Anti-Spam läuft unabhängig.
Was wir erfassen
- Impressions: welche Produkt-Karte ist dir im Marketplace angezeigt worden (10% Sample-Rate, 90 Tage Speicherung).
- Views: welche Produkt-Detailseite hast du geöffnet, und wie lange warst du dort (365 Tage).
- Klicks: CTA-Klicks (z. B. „Card öffnen") — keine Maus-Tracking-Heatmaps, keine Scroll-Tiefe (365 Tage).
- Suchanfragen: normalisierter Suchbegriff, Trefferzahl und IDs angeklickter Treffer (für Such-Relevanz). Kein User-ID-Link (auch logged-in nicht), keine PII — E-Mail, Telefon, IBAN werden server-side redigiert (365 Tage).
- Eingeloggt: Für Impressions, Views und Klicks verknüpfen wir die Events mit deiner User-ID. Das ermöglicht den Für-dich-Recommender. Bei Account-Löschung wird die User-ID in allen Events automatisch entfernt (
ON DELETE SET NULL).
Was wir NICHT erfassen
- Keine IP-Adresse in der Telemetrie-Datenbank — nur ein kurzlebiger IP-Hash im Arbeitsspeicher für Rate-Limiting (wird nicht persistiert; Hosting-Provider-Logs sind separat).
- In der Telemetrie: kein User-Agent, kein Geo-Standort. (Zur groben Region eingeloggter Konten siehe eigener Punkt unten.)
- Kein Browser-Fingerprinting.
- Keine 3rd-Party-Tracker (kein Google Analytics, kein Pixel).
- Kein Cross-Site-Tracking, keine Werbe-Profilbildung. Bei eingeloggten Nutzer:innen ist Marketplace-Telemetrie account-bezogen für die Recommender-Funktion und wird nach Ablauf der Retention-Fristen automatisch gelöscht.
Rechtsgrundlagen (pro Cookie getrennt)
kiw_ratelimit(Anti-Abuse): Strictly Necessary nach §25 Abs. 2 Nr. 2 TDDDG / ePrivacy-RL Art. 5 Abs. 3; kein Consent erforderlich.kiw_session(Discovery-Analytics): Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO + §25 Abs. 1 TDDDG — wird ausschließlich gesetzt, wenn du im Banner zustimmst.kiw_consent(Speicherung der Entscheidung selbst): Strictly Necessary — wir müssen uns merken, ob du zugestimmt oder abgelehnt hast.- userId-Verknüpfung der Events bei eingeloggten Nutzer:innen: berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO (Recommender-Funktion). Widerrufbar im Dashboard → Datenschutz.
Eine ausführliche Interessensabwägung (LIA) zur Discovery-Verarbeitung ist intern dokumentiert und wird Teil des anwaltlichen Sign-offs vor Public-Release. [LEGAL-REVIEW] öffentliche Zusammenfassung der LIA + Cookie-Klassifikation hier verlinken sobald freigegeben.
Opt-Out und Widerspruch (Art. 21 DSGVO)
Anonym (nicht eingeloggt): Cookie jederzeit über die Cookie-Einstellungen des Browsers löschen oder blockieren. Da der Cookie nur auf /marketplace und /lernen gesetzt wird, ist der Rest unserer Seite davon unberührt. Nach Cookie-Löschung ist die nächste Session technisch nicht mehr mit der vorherigen verknüpfbar.
Eingeloggt: Self-Service-Widerspruch über Dashboard → Datenschutz. Sofort nach Bestätigung speichern Marketplace-Telemetrie-Endpunkte deine User-ID nicht mehr; der Für-Dich-Recommender liefert ein leeres Ergebnis. Beim nächsten Discovery-Cron (max 24h) werden auch historische userId-verknüpfte Events aus den Aggregaten gefiltert. Die rohen Events bleiben bis zur Retention-Grenze in der Datenbank und werden während des Widerspruchs gefiltert. Komplette Anonymisierung historischer Events erfolgt über die Konto-Löschung (Support-Anfrage über Impressum).
Authentifizierung (Supabase Auth)
Wenn du dich anmeldest, läuft die Authentifizierung über Supabase Auth. Dabei verarbeiten wir folgende Daten:
- E-Mail-Adresse, Passwort-Hash, Login-Methode (Email oder OAuth)
- Bei OAuth-Login (Google, GitHub etc.): die vom Provider freigegebenen Profilfelder (Name, Profilbild). Wir fragen nur Standardumfang an, keine Adress- oder Kontaktdaten.
[LEGAL-REVIEW]vollständige OAuth-Scope-Liste je Provider ergänzen, sobald produktiv aktiviert. - Session-Cookies (von Supabase verwaltet) für eingeloggten Zustand
- Login-Zeitpunkt (
lastLoginAt) zur Anzeige im Account
Rechtsgrundlage und Speicherdauer
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Nutzerkontos auf deine Anfrage hin).
Speicherdauer: Aktive Konten bleiben gespeichert bis zur Konto-Löschung (Self-Service oder Support-Anfrage). Inaktive Konten (kein Login > 24 Monate) werden [LEGAL-REVIEW] nach Anwalts-Empfehlung anonymisiert oder gelöscht.
Empfänger und Datenübermittlung
Supabase Inc. (Auftragsverarbeiter, USA und EU) — wir haben mit Supabase Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. [LEGAL-REVIEW] aktuelle SCC-Version und Datum des Abschlusses dokumentieren.
Newsletter
Du kannst unseren Newsletter über das Anmeldeformular abonnieren. Wir verwenden ein Double-Opt-In-Verfahren: nach der Eintragung erhältst du eine Bestätigungs-E-Mail, dein Abonnement wird erst nach Klick auf den Bestätigungslink aktiv.
- E-Mail-Adresse
- Sprache (de) und Region (DACH) — für relevante Inhalte
- Zeitstempel von Eintragung und Bestätigung
Kein Open-/Click-Tracking aktiv. Wir setzen aktuell keine Pixel und schreiben Links nicht um. Falls vor Public-Deploy doch eingeführt, wird dies hier ergänzt und ggf. eine separate Einwilligung eingeholt.
Rechtsgrundlage und Widerruf
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, ohne Angabe von Gründen. Jeder Newsletter enthält einen Unsubscribe-Link am Fuß.
Speicherdauer
Bis zum Widerruf. Nach Abmeldung werden Adresse und Metadaten innerhalb von 30 Tagen aus der Versand-Datenbank gelöscht; eine Sperrliste (Hash der Adresse) kann zur Verhinderung erneuter ungewollter Anmeldungen [LEGAL-REVIEW] behalten werden.
Empfänger und Datenübermittlung
Resend, Inc. (Auftragsverarbeiter, USA, E-Mail- Versandinfrastruktur). SCC nach Art. 46 Abs. 2 lit. c DSGVO. [LEGAL-REVIEW] AV-Vertrag und SCC-Status mit Resend dokumentieren.
Kommentare
Wenn du einen Kommentar zu einem News-Artikel verfasst, speichern wir:
- den Kommentar-Text selbst
- die Verknüpfung zu deinem Konto (bei eingeloggtem Posten) oder den von dir angegebenen Anzeigenamen / die optionale E-Mail-Adresse
- Zeitstempel und Moderations-Status (pending / approved / rejected)
- Moderations-Notiz (interne Begründung bei Ablehnung) — nicht öffentlich sichtbar
Kommentare werden nach dem Absenden direkt veröffentlicht (Status: visible). Wir setzen eine nachträgliche Moderation ein: Bei Verstößen gegen unsere Community-Richtlinien (Hass-Rede, Spam, persönliche Angriffe) werden Kommentare manuell auf rejected gesetzt und sind dann nicht mehr öffentlich sichtbar. [LEGAL-REVIEW] Pre-Moderation für sensible Themen erwägen oder Reaktionszeit-SLA dokumentieren.
Rechtsgrundlage und Speicherdauer
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer öffentlichen Diskussionsmöglichkeit zu unseren redaktionellen Inhalten + Schutz der Community durch Moderation).
Speicherdauer: Veröffentlichte Kommentare bleiben so lange wie der zugehörige Artikel online. Du kannst die Löschung eigener Kommentare jederzeit beantragen. Abgelehnte Kommentare werden 90 Tage nach Moderationsentscheidung gelöscht (Beweis-Zeitraum für eventuelle Beschwerden). [LEGAL-REVIEW]
Hosting, Server-Logs und Bilder
Diese Website wird bei Vercel Inc. (USA, mit EU-Datenzentren für statische Assets) gehostet. Beim Aufruf der Seite werden auf Server-Ebene technische Daten verarbeitet, die für die Auslieferung der Inhalte erforderlich sind:
- IP-Adresse (zur Auslieferung der Antwort)
- Zeitpunkt des Aufrufs, abgerufener Pfad, Referer-URL
- User-Agent (Browser-/Geräte-Information)
- HTTP-Statuscode, Antwort-Größe
Diese Logs werden von Vercel verwaltet, primär zur Aufrechterhaltung der Funktion und Sicherheit (DDoS-Schutz, Fehlerdiagnose). [LEGAL-REVIEW] Standard-Vercel-Log-Retention (typisch 30 Tage für Edge-Logs, länger für Function-Logs) gegen aktuelle Vercel-Doku verifizieren und konkrete Tage nennen.
Grobe Region eingeloggter Konten: Für Betrieb und Missbrauchsschutz leiten wir bei eingeloggten Nutzer:innen aus der von Vercel bereitgestellten Geo-Information eine grobe Standortangabe ab (Land, Region, Stadt) und speichern sie am Konto. Die rohe IP-Adresse wird dabei nicht gespeichert — nur das grobe Ergebnis. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). [LEGAL-REVIEW] Interessenabwägung und Speicherdauer anwaltlich bestätigen.
Bilder und Datei-Uploads (Cover, Marketplace-Files) liegen bei Supabase Storage (siehe Sektion Authentifizierung). News-Cover werden seit Juni 2026 als typografische Design-Cover ohne KI-Bildgenerierung erzeugt. Soweit historisch KI-generierte Bilder im Bestand sind, enthalten sie keine personenbezogenen Daten und sind als maschinell erzeugt gekennzeichnet.
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem und sicherem Betrieb der Website). Bei eingeloggten Nutzer:innen ergänzend Art. 6 Abs. 1 lit. b (Vertragserfüllung).
Drittland-Transfer
Vercel, Supabase und Google Cloud verarbeiten Daten teils in den USA. Die Übermittlung ist abgesichert durch Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO und das EU-US Data Privacy Framework, soweit der jeweilige Anbieter zertifiziert ist. [LEGAL-REVIEW] aktuelle Zertifizierungs-Status je Anbieter dokumentieren.
Cookie-Übersicht (TDDDG)
Vollständige Liste der gesetzten Cookies und ihrer Zwecke. Drittanbieter- Cookies setzen wir nicht.
| Name | Zweck | Lifetime | Rechtsgrundlage |
|---|---|---|---|
| kiw_ratelimit | Anti-Abuse / Rate-Limit | Session | §25(2)(2) TDDDG |
| kiw_consent | Speichert Banner-Entscheidung | 1 Jahr | §25(2)(2) TDDDG |
| kiw_session | Discovery-Analytics-Session-ID | Session | Einwilligung (§25(1) TDDDG) |
| sb-* | Supabase-Auth-Session (eingeloggt) | Session bis Logout | §25(2)(2) TDDDG / Art. 6(1)(b) |
Zusätzlich speichern wir clientseitig im LocalStorage: deine Favoriten-Liste (kiw:favorites), damit Lesezeichen ohne Konto erhalten bleiben. Kein Server-Sync, kein Account-Bezug. Löschbar über Browser-Settings.
[LEGAL-REVIEW] ggf. weitere First-Party-Cookies (Theme, Accessibility-Settings) sobald implementiert eintragen.
Minderjährige (Art. 8 DSGVO)
Unser Angebot richtet sich an Erwachsene und an Jugendliche ab 16 Jahren. Konten, Newsletter-Anmeldungen und Marketplace-Käufe sind ab 16 zulässig. Für Personen unter 16 ist nach Art. 8 Abs. 1 DSGVO die Zustimmung einer/eines Erziehungsberechtigten erforderlich; eine technische Altersprüfung findet aktuell nicht statt.
[LEGAL-REVIEW] Soll die Plattform formal auf 16+ ausgeschlossen werden, oder ein verifiziertes Eltern-Zustimmungs- Verfahren eingeführt werden? Aktuell verlassen wir uns auf Selbstauskunft beim Account-Anlegen — Anwalts-Empfehlung holen.
Weitere interne Verarbeitungen
Diese Verarbeitungen sind im Code implementiert. Für Public-Deploy werden sie anwaltlich geprüft und in Folge-Iterationen detailliert aufgeführt.
- Stripe Connect (Marketplace-Käufe und Auszahlungen): Bei kostenpflichtigen Marketplace-Produkten verarbeitet Stripe Zahlungs-Daten, Auszahlungen an Creator und Steuerinformationen. Stripe ist eigenständig Verantwortlicher für Zahlungsabwicklung und PCI-Compliance.
[LEGAL-REVIEW]Joint-Controller- vs Independent-Controller-Bewertung; vollständige Stripe- Datenschutzhinweise verlinken. - Produkt-Reviews: Bewertungen (1–5 Sterne) und optional Review-Texte werden mit Konto-Verknüpfung gespeichert. Veröffentlicht erst nach Status approved. Art. 6(1)(b) + Art. 6(1)(f). Speicherdauer: bis Produkt-Archivierung oder Konto-Löschung.
- Benachrichtigungen (Notifications): In-App- und ggf. E-Mail-Benachrichtigungen zu Konto-relevanten Ereignissen (Käufe, Review-Antworten, Moderations-Updates). Art. 6(1)(b). Speicherdauer: 90 Tage nach Lesen.
[LEGAL-REVIEW]Retention bestätigen. - Audit-Logs (intern): Sicherheits- und Nachverfolgbarkeits-Protokolle bei Account- und Moderations- Aktionen. Enthält optional IP-Hash und User-Agent. Art. 6(1)(f). Speicherdauer:
[LEGAL-REVIEW]typisch 12 Monate, präzisieren. - KI-Cover-Generierungs-Prompts: Eingabe-Prompts für AI-Cover, Provider-Antworten und Kosten-Metadaten werden zur Audit-Nachverfolgung und Budget-Kontrolle gespeichert. Kein Endnutzer-PII verarbeitet (intern erzeugte Briefs). Art. 6(1)(f).
- Cloud-Billing-Snapshots: Tägliche Aggregat-Snapshots der Cloud-Ausgaben (BigQuery-Export). Enthält keine personen- bezogenen Daten. Art. 6(1)(f).
- Creator-/Produkt-Wizard-Drafts: Zwischenspeicher beim Anlegen von Marketplace-Produkten (Auto-Save alle 10s). Art. 6(1)(b). Speicherdauer: bis Veröffentlichung oder manuelles Verwerfen.
Deine Rechte (Art. 15–22 DSGVO)
Du hast jederzeit das Recht auf:
- Auskunft (Art. 15) — Übersicht über die zu deiner Person gespeicherten Daten.
- Berichtigung (Art. 16) — Korrektur unrichtiger Daten.
- Löschung (Art. 17) — „Recht auf Vergessenwerden", soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18) — etwa während eine Auskunfts-Anfrage geprüft wird.
- Datenübertragbarkeit (Art. 20) — strukturierter Export deiner Konto- und Profildaten.
- Widerspruch (Art. 21) — gegen Verarbeitungen auf Basis berechtigten Interesses. Für die Marketplace-Telemetrie gibt es einen Self-Service-Toggle unter Dashboard → Datenschutz.
- Widerruf einer Einwilligung (Art. 7 Abs. 3) — etwa für den Newsletter (Unsubscribe-Link am Fuß jeder E-Mail).
Kontakt für Anfragen
Wende dich an hello@clickted.com oder postalisch an die im Impressum genannte Adresse. Ein Datenschutzbeauftragter ist nicht bestellt (nicht erforderlich nach § 38 BDSG).
Beschwerderecht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren — bei der Behörde deines gewöhnlichen Aufenthaltsorts oder bei der für uns zuständigen Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59–61, 10555 Berlin, datenschutz-berlin.de.