Datenschutzerklärung gemäß EU-DSGVO und TDDDG

1. Verantwortlicher

Dr. Siegfried Ziegler Mildred-Scheel-Bogen 55 80804 München E-Mail: kontakt@simplychange.network

2. Hosting und technische Infrastruktur

2.1 Frontend-Hosting (Vercel)

Die Benutzeroberfläche wird bei Vercel Inc. (USA) gehostet. Vercel agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Datenübertragung in die USA erfolgt auf Grundlage von Standardvertragsklauseln der EU-Kommission.

2.2 Backend-Hosting (Google Cloud Run)

Das Backend wird auf Google Cloud Run (Region: europe-west1, Frankfurt) gehostet. Die Verarbeitung erfolgt ausschließlich in der EU.

2.3 Datenbank (Supabase)

Nutzerdaten werden in einer PostgreSQL-Datenbank bei Supabase gespeichert (eu-central-1). Supabase ist DSGVO-konform und als Auftragsverarbeiter vertraglich gebunden.

3. Benutzerkonten und Datenverarbeitung

3.1 Registrierung und Authentifizierung

Die Anmeldung erfolgt passwortlos per E-Mail-Code (OTP). Erfasst werden: E-Mail-Adresse, Anzeigename (optional), Registrierungsdatum und letzte Anmeldung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.2 Nutzer-Einladungen per E-Mail

Administratoren können neue Nutzer einladen. Der Versand erfolgt über Brevo. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

3.3 Nutzungsanalyse (server-seitig, immer aktiv)

Die Plattform erfasst server-seitig anonymisierte Nutzungsdaten: aufgerufene Seiten, App-Öffnungen, Login-Häufigkeit. Es werden keine Cookies gesetzt und kein Client-seitiges Tracking durchgeführt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) Speicherdauer: 30 Tage

4. KI-Integration

4.1 Google Vertex AI (Kerndienst, ohne gesonderte Einwilligung)

Bestimmte Anwendungen nutzen Google Vertex AI zur Verarbeitung von Nutzereingaben. Diese Verarbeitung ist funktionaler Bestandteil der jeweiligen App. Ein Auftragsverarbeitungsvertrag (AVV) mit Google ist vorhanden. Daten werden nicht für das Training von KI-Modellen genutzt. Server: EU oder USA (Standardvertragsklauseln). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Subprozessor: Google Cloud EMEA Limited, Irland

4.2 Externe KI-Dienste (mit Einwilligung)

Einzelne optionale Anwendungen können externe KI-Dienste ohne gesicherten AVV nutzen (z. B. Google AI Studio). Bevor solche Apps aktiviert werden, wird eine ausdrückliche Einwilligung eingeholt. Die Einwilligung kann jederzeit widerrufen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

5. Cookies und Consent-Management

5.1 Essenzielle Cookies

Technisch notwendige Cookies für Authentifizierung und Sitzungsverwaltung. Immer aktiv, keine Einwilligung erforderlich. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG

5.2 Kontextueller Consent (kein vorgelagerter Cookie-Banner)

Die Plattform verwendet keinen vorgelagerten Cookie-Banner. Einwilligungen werden kontextuell eingeholt — genau dann, wenn eine App erstmalig einen externen oder optionalen KI-Dienst aktivieren möchte.

Drei Kategorien:

• Externe Dienste: Eingebettete Drittanbieter-Apps (z. B. iFrames) → ausdrückliche Einwilligung erforderlich
• Externe KI-Dienste: Weitergabe von Eingaben an KI ohne AVV → ausdrückliche Einwilligung erforderlich
• Google Vertex AI: AVV-gesicherte KI-Verarbeitung → einmaliger Hinweis, keine Einwilligung erforderlich

Erteilte Einwilligungen werden in der Datenbank gespeichert und können jederzeit unter Profil → Datenschutz widerrufen werden.

6. E-Mail-Kommunikation

Der E-Mail-Versand (Anmeldecodes, Einladungen) erfolgt über Brevo (kontakt@simplychange.network). Eingehende E-Mails werden über Hostinger empfangen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO

7. Rechte der Nutzer

Sie haben folgende Rechte gemäß DSGVO: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Widerruf der Einwilligung (Art. 7 Abs. 3).

Für Anfragen: kontakt@simplychange.network Beschwerden: Bayerisches Landesamt für Datenschutzaufsicht

8. Auftragsverarbeitung (Art. 28 DSGVO)

Auftragsverarbeitungsverträge bestehen mit: Vercel Inc., Google Cloud (Cloud Run + Vertex AI), Supabase Inc., Brevo, Hostinger International Ltd.

9. Datensicherheit

TLS/SSL-Verschlüsselung, JWT-Authentifizierung (OTP), RBAC, Row Level Security (RLS)

10. Änderungen

Stand: Mai 2026 | Letzte Aktualisierung: 20. Mai 2026