Datenschutzerklärung

Stand: 2026-05

Diese Erklärung gilt für die Domain www.coreboard.me. Wir nehmen den Schutz deiner personenbezogenen Daten ernst und geben hier einen Überblick darüber, welche Daten wir wann zu welchem Zweck erheben und wie du deine Rechte nach der Datenschutz-Grundverordnung (DSGVO/GDPR) ausübst.

1. Verantwortlicher

Nikolas Sievertsen
Rosmarinweg 28, 70374 Stuttgart, Deutschland
E-Mail: contact@coreboard.me

2. Hosting & Infrastruktur

Hosting: Die Anwendung wird über Vercel ausgeliefert (Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA). Bei jedem Aufruf werden technisch notwendige Daten verarbeitet: IP-Adresse, User-Agent, Referrer, Zeitstempel und angeforderte Ressource (Server-Logs). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler und sicherer Bereitstellung des Dienstes). Mit Vercel besteht ein Auftragsverarbeitungsvertrag (DPA). Datenübermittlung in die USA basiert auf den EU-Standardvertragsklauseln (SCC) und der Vercel-Zertifizierung unter dem EU-US Data Privacy Framework. Edge-Funktionen können je nach Nutzer-Standort von einem EU-Edge-Knoten (z.B. Frankfurt, Paris) ausgeliefert werden.

Backend (Auth + Datenbank + Storage): Supabase, Inc. (970 Toa Payoh North #07-04, Singapore 318992). Wir nutzen Supabase als Auftragsverarbeiter (DPA abgeschlossen). Speicherung erfolgt in EU-Regionen, sofern wir das Backend entsprechend konfigurieren. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. f DSGVO (berechtigtes Interesse an einem stabilen Backend).

3. Welche Daten wir verarbeiten

3.1 Konto- & Authentifizierungsdaten

  • E-Mail-Adresse, gehashtes Passwort (bcrypt via Supabase Auth)
  • Login-Zeitpunkt, Session-Cookies (HttpOnly, Secure, SameSite=Lax)

3.2 Inhaltsdaten

  • Tagebuch-Einträge (Gratitude, Journal, Reflexionen)
  • Ziele (kurzfristig 2026 und langfristig 3/5/10 Jahre)
  • To-Dos und wiederkehrende Habits inkl. Erledigungs-Status
  • Bad-Habit-Tracking (Name, Reset-Zeitpunkt)
  • Optionale Foto-Uploads in einem privaten Storage-Bucket
  • Layout-Präferenzen der Widgets

3.3 Technische Daten

  • Server-Logs (IP, User-Agent, Pfad, Zeitstempel) — ggf. anonymisiert/gekürzt nach 7 Tagen

4. Zwecke der Verarbeitung

  • Bereitstellung des Dashboards (Art. 6 Abs. 1 lit. b DSGVO)
  • Sicherheit und Missbrauchsschutz (Art. 6 Abs. 1 lit. f DSGVO)
  • Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO)
  • Mit deiner Einwilligung: optionale Analyse / Marketing (Art. 6 Abs. 1 lit. a DSGVO)

5. Cookies & lokaler Speicher

Wir nutzen technisch notwendige Cookies (Auth-Session) sowie ggf. lokalen Speicher (Consent-Auswahl, Layout). Optionale Analyse- oder Marketing-Cookies werden ausschließlich nach deiner Zustimmung im Cookie-Banner gesetzt (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). Du kannst deine Auswahl jederzeit in den Cookie-Einstellungen widerrufen.

6. Analyse

Wir nutzen Vercel Analytics (Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA), um aggregierte Nutzungsstatistiken (z.B. Seitenaufrufe, Geräteklasse, ungefähre Region) zu erheben. Vercel Analytics arbeitet cookielos und ohne stabile Geräte-IDs; IP-Adressen werden nicht im Klartext gespeichert. Das Skript wird ausschließlich nach deiner Einwilligung über das Cookie-Banner geladen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. § 25 Abs. 1 TDDDG. Datenübermittlung in die USA basiert auf den EU-Standardvertragsklauseln (SCC) sowie der Vercel-Zertifizierung unter dem EU-US Data Privacy Framework. Du kannst die Einwilligung jederzeit unter „Account & Privatsphäre" oder über die Cookie-Einstellungen widerrufen.

7. Werbung

Aktuell wird keine Werbung ausgeliefert. Falls in Zukunft Werbenetzwerke (z.B. Google AdSense, Apple Search Ads) eingesetzt werden, geschieht dies nur mit deiner expliziten Einwilligung. Personalisierte Werbung wird ohne Einwilligung nicht ausgespielt.

8. Zahlungen / Premium

Aktuell werden keine Zahlungen verarbeitet. Eine spätere Premium-Funktion würde über einen externen PCI-DSS-konformen Anbieter abgewickelt werden.

9. Speicherdauer

  • Kontodaten: bis zur Kontolöschung durch dich
  • Inhaltsdaten: bis du sie löschst oder dein Konto entfernst
  • Server-Logs: max. 7 Tage

10. Empfänger / Drittlandtransfer

Auftragsverarbeiter: Supabase (Singapore/EU – DPA, EU-Region-Hosting möglich), Vercel (USA – SCC + DPF, EU-Edge-Nodes). Wir geben Daten nicht zu Werbezwecken weiter.

11. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO) — direkt in den Account-Einstellungen möglich
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — JSON-Export im Account verfügbar
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — z.B. Landesbeauftragter für Datenschutz Baden-Württemberg

Bitte richte Anfragen an contact@coreboard.me.

12. Sicherheit

Verschlüsselung in Transit (TLS), Row-Level-Security in der Datenbank (jede Zeile gehört eindeutig einem Nutzer), gehashte Passwörter, HttpOnly-Session-Cookies, isolierte private Storage-Buckets.

13. Mobile Apps (geplant)

Geplante iOS- und Android-Apps werden dieselben Verarbeitungsgrundsätze einhalten und im jeweiligen App-Store eine eigene Privacy-Nutrition-Label-Deklaration veröffentlichen.

14. Änderungen

Wir können diese Erklärung anpassen, wenn sich die Verarbeitung ändert. Aktuelle Version siehe Datum oben.