Datenschutz

Datenschutzerklärung

Zuletzt aktualisiert: Januar 2026 · Gilt für finnstrauss.com

🔒 Deine Daten gehören dir. Wir verkaufen keine Nutzerdaten. Wir schalten keine personalisierte Werbung. Deine Gewohnheitsdaten werden ausschließlich für den Betrieb von HabitFix verwendet.
§ 1

Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:

Finn Strauß
Hausgärten 5
73087 Bad Boll
Deutschland
E-Mail: info@finnstrauss.com

§ 2

Welche Daten wir erheben

Je nach Art der Nutzung erheben wir folgende Kategorien personenbezogener Daten:

DatenkategorieBeispieleQuelle
Kontodaten Name, E-Mail-Adresse, verschlüsseltes Passwort Direkt vom Nutzer bei Registrierung
Habit-Daten Gewohnheitsnamen, Kategorien, XP, Streaks, Abzeichen, tägliche Vervollständigungen Direkt vom Nutzer im App-Betrieb
Technische Daten IP-Adresse, Browser-Typ, Betriebssystem, Zugriffszeiten Automatisch bei Serveranfragen (Server-Logs)
Zahlungsdaten Transaktions-ID, Abonnementstatus (kein Zugriff auf Kartendaten) Stripe (Zahlungsdienstleister)
KI-Anfragen Gewohnheitsnamen zur Schwierigkeitsbewertung (kein Nutzerprofil) Direkt vom Browser an Anthropic API
Gast-Modus Alle Daten nur im localStorage des Browsers — kein Serverkontakt Lokal im Browser
§ 3

Zweck und Rechtsgrundlage der Verarbeitung

ZweckRechtsgrundlage (DSGVO)
Bereitstellung des Nutzerkontos und App-Funktionen Art. 6 Abs. 1 lit. b — Vertragserfüllung
Verarbeitung von Zahlungen (Pro-Abonnement) Art. 6 Abs. 1 lit. b — Vertragserfüllung
Server-Logs zur Sicherheit und Fehlerbehebung Art. 6 Abs. 1 lit. f — Berechtigte Interessen
Analyse der Nutzung (nur mit Einwilligung) Art. 6 Abs. 1 lit. a — Einwilligung (Cookie-Banner)
Einhaltung gesetzlicher Aufbewahrungspflichten Art. 6 Abs. 1 lit. c — Rechtliche Verpflichtung
§ 4

Cookies und lokale Speicherung

HabitFix verwendet localStorage (kein klassisches Cookie) für folgende Zwecke:

SchlüsselInhaltNotwendig?Dauer
hf_tokenSitzungstoken für authentifizierte API-Anfragen✓ Ja30 Tage
hf_sessionZwischengespeichertes Nutzerobjekt (Name, Tier, Avatar)✓ Ja30 Tage
hf_cookie_consentDeine Cookie-Einwilligung (»accepted« oder »necessary«)✓ JaDauerhaft
hf_habits, hf_stats etc.Gast-Modus: Gewohnheitsdaten lokal✓ Ja (Gast)Bis Löschung

Wir verwenden keine Tracking-Cookies von Drittanbietern ohne deine ausdrückliche Einwilligung. Falls du Google AdSense aktiviert hast (Betreiber-Konfiguration), können funktionale Werbe-Cookies gesetzt werden — dies wird separat über den Cookie-Banner kommuniziert.

Du kannst localStorage jederzeit über die Entwicklerwerkzeuge deines Browsers löschen.

§ 5

Drittanbieter & Auftragsverarbeitung

5.1 IONOS SE (Hosting)

Die Website und API werden auf IONOS-Servern in Deutschland betrieben.

  • Anbieter: IONOS SE, Elgendorfer Str. 57, 56410 Montabaur
  • Zweck: Webhosting, Datenbank, E-Mail
  • Serverstandort: Deutschland (EU)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO, Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

5.2 Stripe (Zahlungsabwicklung)

Für die Abwicklung von Pro-Abonnements nutzen wir Stripe.

  • Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland
  • Zweck: Zahlungsabwicklung, Betrugsprävention
  • Datenschutz: stripe.com/de/privacy
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Wir erhalten von Stripe keine Kreditkarten- oder Kontodaten — nur den Transaktionsstatus.

5.3 Anthropic PBC (KI-Bewertung)

Gewohnheitsnamen werden zur Schwierigkeitsbewertung direkt vom Browser an die Anthropic API gesendet.

  • Anbieter: Anthropic PBC, 548 Market St PMB 90375, San Francisco, CA 94104, USA
  • Zweck: KI-basierte XP-Bewertung von Gewohnheiten
  • Übermittelte Daten: Nur der Gewohnheitsname (kein Name, keine E-Mail, keine ID)
  • Drittlandtransfer: USA — auf Basis von Anthropics Standardvertragsklauseln
  • Datenschutz: anthropic.com/privacy
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an KI-Funktion) und Art. 49 Abs. 1 lit. b DSGVO für den USA-Transfer

5.4 Google Fonts

Zur Darstellung der Schriftarten werden Google Fonts eingebunden. Dabei wird deine IP-Adresse an Google übermittelt.

  • Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
  • Datenschutz: policies.google.com/privacy
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

5.5 Google AdSense (optional)

Falls der Betreiber Google AdSense aktiviert hat, schaltet Google Werbeanzeigen und setzt Cookies. Dies geschieht nur mit deiner Einwilligung (Cookie-Banner).

§ 6

Datenweitergabe an Dritte

Eine Weitergabe deiner personenbezogenen Daten an Dritte erfolgt ausschließlich:

  • an die oben genannten Auftragsverarbeiter im Rahmen der Leistungserbringung
  • wenn wir gesetzlich dazu verpflichtet sind (z.B. auf behördliche Anordnung)
  • zur Durchsetzung unserer Rechte oder zur Abwehr von Ansprüchen

Eine Weitergabe zu Werbezwecken oder der Verkauf von Nutzerdaten findet nicht statt.

§ 7

Speicherdauer

DatenartSpeicherdauer
Kontodaten (registrierte Nutzer)Bis zur Kontolöschung, danach sofortige Löschung
Habit- und FortschrittsdatenBis zur Kontolöschung
Server-Logs (IP, Zugriffszeiten)Maximal 7 Tage, dann automatische Löschung
Zahlungsdaten (Stripe)10 Jahre gemäß HGB / AO-Aufbewahrungspflicht
Sitzungstoken (hf_token)30 Tage oder bis zur Abmeldung
Admin-Log (Plattformbetrieb)12 Monate
§ 8

Deine Rechte (Betroffenenrechte)

Als betroffene Person hast du nach der DSGVO folgende Rechte:

📋
Auskunft (Art. 15)
Du hast das Recht zu erfahren, welche Daten wir über dich gespeichert haben.
✏️
Berichtigung (Art. 16)
Unrichtige Daten kannst du jederzeit korrigieren lassen — im App-Profil oder per E-Mail.
🗑️
Löschung (Art. 17)
Du kannst die Löschung deines Kontos und aller zugehörigen Daten jederzeit beantragen.
⏸️
Einschränkung (Art. 18)
Du kannst die Verarbeitung einschränken lassen, solange Streitigkeiten geprüft werden.
📦
Datenportabilität (Art. 20)
Du kannst deine Habit-Daten als CSV-Export anfordern (Pro-Feature oder per E-Mail-Anfrage).
🚫
Widerspruch (Art. 21)
Du kannst der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen.
↩️
Einwilligung widerrufen (Art. 7)
Eine erteilte Einwilligung (z.B. Analyse-Cookies) kannst du jederzeit widerrufen.
⚖️
Beschwerde (Art. 77)
Du hast das Recht, dich bei einer Aufsichtsbehörde zu beschweren (z.B. Landesbeauftragte).

Zur Ausübung deiner Rechte wende dich an: info@finnstrauss.com

Wir antworten innerhalb von 30 Tagen auf Anfragen zur Wahrnehmung deiner Datenschutzrechte.

§ 9

Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz deiner Daten:

  • HTTPS/TLS-Verschlüsselung für alle Datenübertragungen
  • bcrypt-Hashing (Kostenfaktor 12) für alle Passwörter — Klartextpasswörter werden nie gespeichert
  • Sitzungstoken (64 Zeichen, kryptografisch zufällig) mit automatischem Ablauf nach 30 Tagen
  • Server in Deutschland (IONOS), unterliegen dem deutschen und europäischen Datenschutzrecht
  • Regelmäßige Sicherheitsupdates der eingesetzten Software
Sicherheitslücke gefunden? Bitte melde Sicherheitsprobleme vertraulich an info@finnstrauss.com. Wir nehmen Sicherheitshinweise ernst und reagieren innerhalb von 48 Stunden.
§ 10

Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Anforderungen ändern oder neue Dienste eingeführt werden. Die jeweils aktuelle Version ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

Das Datum der letzten Aktualisierung ist oben auf dieser Seite angegeben.

§ 11

Kontakt & Beschwerden bei der Aufsichtsbehörde

Bei Fragen zum Datenschutz oder zur Ausübung deiner Rechte:

E-Mail: info@finnstrauss.com
Postadresse: Angaben gemäß Impressum

Du hast das Recht, dich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Behörde richtet sich nach dem Bundesland des Unternehmenssitzes. Eine Liste aller Aufsichtsbehörden findest du beim Bundesbeauftragten für den Datenschutz:

bfdi.bund.de — Aufsichtsbehörden der Länder