Datenschutz

Informationen zur Datenverarbeitung

Datenschutzerklärung

Der Schutz Ihrer persönlichen Daten ist uns wichtig. Diese Datenschutzerklärung informiert Sie über die Art, den Umfang und den Zweck der Verarbeitung personenbezogener Daten in unserer karmaful App.

Welche Daten verarbeiten wir?

Account-Daten:

  • E-Mail-Adresse (für Anmeldung und Kommunikation)
  • Verschlüsseltes Passwort
  • Registrierungsdatum

Nutzungsdaten:

  • Gewählte Themen und Präferenzen
  • Fortschritts-Tracking (Streaks, gelesene Impulse)
  • Persönliche Reflexions-Notizen (lokal gespeichert)
  • App-Nutzungsstatistiken (anonym)
Warum verarbeiten wir Daten?

Kernfunktionen bereitstellen:

Personalisierte Achtsamkeits-Impulse, Fortschrittsverfolgung, Archiv-Funktionen

Benutzererfahrung verbessern:

Themen-Empfehlungen, No-Repeat-Algorithm, bessere Content-Kuratierung

Kommunikation:

Support-Anfragen, wichtige Produkt-Updates (opt-in)

Ihre Rechte
Auskunftsrecht: Sie können jederzeit Auskunft über Ihre gespeicherten Daten erhalten.
Löschungsrecht: Sie können die Löschung Ihrer Daten verlangen.
Berichtigungsrecht: Unrichtige Daten können Sie korrigieren lassen.
Widerspruchsrecht: Sie können der Verarbeitung Ihrer Daten widersprechen.
Datenportabilität: Sie können Ihre Daten in einem strukturierten Format erhalten.
Technische Informationen

Datenspeicherung:

Ihre Daten werden verschlüsselt auf Servern in der EU gespeichert (Supabase). Reflexions-Notizen werden lokal auf Ihrem Gerät gespeichert.

Cookies & Lokale Speicherung:

Detaillierte Informationen zu allen Cookies und lokalen Speichern findest du im nächsten Abschnitt. Zusammenfassung: Nur technisch notwendige Cookies (Strictly Necessary), keine Tracking- oder Werbe-Cookies.

Externe Dienste:

Bilder werden über Supabase Storage (EU-Server) bereitgestellt. Keine Social Media-Integration oder externe Tracking-Tools.

Hosting & Infrastruktur

Hosting-Anbieter:

Vercel Inc.
340 S Lemon Ave #4133, Walnut, CA 91789, USA
Datenschutz: vercel.com/legal/privacy-policy

Datenverarbeitung in der EU:

Serverless Functions: Laufen in Frankfurt, Deutschland (EU/fra1)
→ Alle API-Anfragen und Nutzer-Sessions werden in der EU verarbeitet

Statische Inhalte: Bereitstellung über globales CDN (Vercel Edge Network)
→ Bilder, CSS, JavaScript werden vom nächstgelegenen Server ausgeliefert

Build-Prozess: Washington D.C., USA (nur Code-Kompilierung)
→ Keine Verarbeitung von Nutzerdaten, rein technischer Prozess

Rechtsgrundlage & DSGVO:

Auftragsverarbeitung: Vercel verarbeitet Daten gemäß Art. 28 DSGVO als Auftragsverarbeiter.

Data Processing Agreement (DPA): Liegt vor.
Details: vercel.com/legal/dpa

EU-Standardvertragsklauseln: Für EU-US-Datentransfer (CDN, Build-Prozess)

Welche Daten sieht Vercel?

  • Server-Logs (IP-Adressen, Zugriffszeiten, Browser-Type, angeforderte URLs)
  • Performance-Metriken (Ladezeiten, Fehlerquoten)
  • Deployment-Logs (Build-Prozess, Versionierung)

Speicherdauer: 30 Tage (automatisch gelöscht)
Zweck: Technischer Betrieb, Sicherheit, Performance-Monitoring

Subprozessoren:

Vercel nutzt folgende Subprozessoren:

  • Amazon Web Services (AWS): Frankfurt-Region für Serverless Functions
  • Cloudflare: Content Delivery Network (CDN) für statische Inhalte

Vollständige Liste: vercel.com/legal/subprocessors

🇪🇺

DSGVO-konformes Hosting:

  • Deine persönlichen Daten (Sessions, Fortschritt) werden NUR in Frankfurt (EU) verarbeitet
  • Vercel hat Zugriff nur auf technische Logs (IP, Browser) - KEINE Inhalte deiner Reflexionen
  • Automatische Löschung nach 30 Tagen
  • EU-Standardvertragsklauseln schützen bei US-Datentransfer (nur für CDN)
Cookies & Lokale Speicherung

Authentifizierung (Cookies):

Cookie-Name: sb-[project]-auth-token
Typ: Session-Cookie (httpOnly, secure, sameSite=lax)
Speicherdauer: 7 Tage
Zweck: Eingeloggt bleiben, Sicherheit (XSS-Schutz)
Rechtsgrundlage: DSGVO Art. 6 Abs. 1 lit. b (Vertragserfüllung)
Kategorie: Strictly Necessary (technisch notwendig)

Performance-Cache (localStorage):

Key: karmaful_stats_cache
Daten: Anonyme Nutzungsstatistiken (User ID + Counts)
Speicherdauer: 24 Stunden
Zweck: Schnellere App-Performance, weniger Server-Anfragen
Rechtsgrundlage: DSGVO Art. 6 Abs. 1 lit. f (legitimes Interesse)
Kategorie: Strictly Necessary (Performance, 1st-party)

UI-Präferenzen (localStorage):

Keys:
  • karmaful_archive_filter_mode (Dauerhaft)
  • karmaful_desktop_hint_dismissed (Dauerhaft)
  • karmaful_badge_discovery_date (User-spezifisch)
Daten: UI-Einstellungen (keine sensiblen Daten)
Zweck: Personalisierte Nutzererfahrung
Rechtsgrundlage: DSGVO Art. 6 Abs. 1 lit. f (legitimes Interesse)

Session Storage (temporär):

Zweck: Scroll-Position in Modals (ReflectionModal, BadgeGallery)
Speicherdauer: Gelöscht beim Tab-Close
DSGVO: Nicht relevant (keine persistente Speicherung)
🔒

Wichtig zu wissen:

  • Alle Daten werden NUR lokal gespeichert
  • Keine Weitergabe an Dritte
  • Kein Tracking oder Analytics
  • Keine Werbe-Cookies
  • Du kannst localStorage jederzeit in deinem Browser löschen

Fragen zum Datenschutz?

Bei Fragen zur Verarbeitung Ihrer Daten wenden Sie sich an:

E-Mail: datenschutz@karmaful.de

Stand: 22. November 2025 • Letzte Aktualisierung: 22. November 2025