I Ching +

Datenschutzerklärung

Diese Datenschutzerklärung beschreibt die Verarbeitung personenbezogener Daten beim Besuch und der Nutzung von iching.plus, insbesondere Hosting, optionale KI-Funktionen und optionale Analytik.

Verantwortlicher

Verantwortlicher: Csaba Nagy, Bergstr. 3, 76684 Östringen, Deutschland
E‑Mail: info@iching.plus

Zwecke und Datenkategorien

Zwecke: Bereitstellung und Betrieb des Dienstes, Kontofunktionen, Speicherung von Inhalten. Optional (nur nach Einwilligung): KI-gestützte Interpretation von I Ching-Würfen.

Datenkategorien: Bestands‑/Kontodaten, Inhaltsdaten (Prompts, Eingaben, Uploads, Ausgaben), Nutzungs‑/Protokolldaten, essenzielle technische Daten für Sitzungen, Sicherheit und Sprache.

Rechtsgrundlagen

Kernfunktionen (I Ging-Orakel ohne KI): Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO.

KI-gestützte Interpretation (optional): Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO mit jederzeitiger Widerrufsmöglichkeit.

Nicht essenzielle Analytik (PostHog): Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO mit jederzeitiger Widerrufsmöglichkeit.

Newsletter-Versand (Sender.net): Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO (Double-Opt-in-Verfahren).

Newsletter-Tracking (Sender.net): Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO mit Widerspruchsrecht.

Betrieb/Sicherheit/Logs (z. B. Firewalls, DDoS‑Schutz, Fehlerdiagnose): Berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO.

Hosting und Infrastruktur

Vercel (Hosting)

Die Website, das CDN und Serverless‑Funktionen werden über Vercel (Vercel Inc.) bereitgestellt; Vercel verarbeitet personenbezogene Daten als Auftragsverarbeiter auf Grundlage eines Data Processing Addendum (DPA) einschließlich EU‑Standardvertragsklauseln für etwaige internationale Übermittlungen. Vercel verarbeitet im Rahmen der Bereitstellung technisch erforderliche Daten und Logfiles (z. B. IP‑Adresse, Zeitstempel, User‑Agent, Referrer, angeforderte URL/Headers, Fehler‑ und Zugriffslogs) zur Auslieferung, Stabilität, Sicherheit (inkl. DDoS‑Schutz/WAF) und Performance des Dienstes; Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. f DSGVO (berechtigte Interessen an sicherem und effizientem Betrieb). Vercel dokumentiert technische und organisatorische Maßnahmen, darunter TLS‑Verschlüsselung, mehrschichtige Netzwerk‑/Firewall‑Schutzmechanismen, SOC 2 Type 2 und ISO 27001:2022; die Verantwortlichkeiten folgen dem Shared‑Responsibility‑Modell von Vercel. Soweit Verarbeitungen in Drittländer stattfinden, werden geeignete Garantien eingesetzt (insbesondere die EU‑Standardvertragsklauseln); Vercel bindet Unterauftragsverarbeiter nach Art. 28 DSGVO ein und verpflichtet diese auf gleichwertige Schutzstandards.

Vercel Web Analytics (immer aktiv, cookielos)

Es wird Vercel Web Analytics als cookieloses, datensparsames Analyse‑Tool eingesetzt, das ohne Cookies/Local Storage arbeitet und ausschließlich aggregierte Metriken verarbeitet; dies erfolgt zur Sicherstellung Stabilität/Performance, Fehlerdiagnose und zur bedarfsgerechten Gestaltung des Angebots. Rechtsgrundlage sind berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO; Daten werden in aggregierter Form ohne Nutzer‑Profile verarbeitet. Soweit hierfür internationale Übermittlungen erforderlich sind, kommen EU‑Standardvertragsklauseln zur Anwendung.

Supabase (Datenbank & Auth)

Für Speicherung, Verwaltung und Authentifizierung personenbezogener Daten wird Supabase (Supabase, Inc.) als Auftragsverarbeiter eingesetzt; die Verarbeitung erfolgt auf Grundlage eines Data Processing Addendum gemäß Art. 28 DSGVO. Das Projekt ist in der Region Central EU (Frankfurt) gehostet; Supabase nutzt hierfür die Region AWS eu‑central‑1. Supabase verschlüsselt Daten in der Übertragung (TLS) und im Ruhezustand und bietet Sicherheitsfunktionen wie Row Level Security/Policies sowie optional Vault für Geheimnisse; die technischen und organisatorischen Maßnahmen sind dokumentiert. Soweit in Einzelfällen internationale Übermittlungen oder Support‑Zugriffe außerhalb der EU erforderlich sind, erfolgen diese unter Beachtung von Kapitel 5 DSGVO, insbesondere mittels EU‑Standardvertragsklauseln und ergänzender Transfer‑Bewertungen (TIA) von Supabase. Rechtsgrundlagen: Vertragserfüllung für Kernfunktionen (Art. 6 Abs. 1 lit. b DSGVO) sowie berechtigte Interessen an sicherem und effizientem Betrieb (Art. 6 Abs. 1 lit. f DSGVO); soweit erforderlich, Verarbeitung auf Basis von Einwilligungen mit Widerrufsmöglichkeit (Art. 6 Abs. 1 lit. a DSGVO).

KI-Funktionen (OpenRouter)

Rechtsgrundlage und Einwilligung

Die KI-gestützte Interpretation ist ein optionales Feature und nicht für die Nutzung der App erforderlich. Beim ersten Aufruf der Interpretationsfunktion werden Sie durch einen Dialog um Ihre ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) gebeten. Ohne Ihre Zustimmung erfolgt keine KI-Verarbeitung. Diese Einwilligung umfasst:

  • Die Übermittlung Ihrer Frage, des Hexagramms und der wechselnden Linien an OpenRouter
  • Die Verarbeitung durch KI-Modelle, teilweise außerhalb der EU (mit Standardvertragsklauseln gemäß Art. 46 DSGVO)
  • Die Kenntnis, dass keine Daten dauerhaft gespeichert werden (Zero Data Retention)

Sie können Ihre Einwilligung jederzeit in den Account-Einstellungen widerrufen. Nach Widerruf werden keine weiteren KI-Interpretationen generiert. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Welche Daten werden übermittelt?

Für die KI-Verarbeitung werden ausschließlich die zur Interpretation erforderlichen Inhalte übermittelt (Fragen, Hexagramme, wechselnde Linien). Kontoinformationen wie E-Mail-Adresse, Nutzername oder interne IDs werden nicht weitergegeben.

Nutzerverantwortung und Datensparsamkeit

Die Eingaben werden technisch nicht gefiltert oder geprüft; Nutzer sind selbst für die Formulierung ihrer Fragen verantwortlich. Wir weisen ausdrücklich darauf hin und fordern Nutzer vor jeder Eingabe auf, keine personenbezogenen oder sensiblen Angaben (wie Namen, Kontaktdaten, Gesundheitsdaten) zu machen. Diese Verpflichtung ist in unseren Nutzungsbedingungen festgelegt.

Die Auswertung erfolgt automatisiert, und die Daten sind im Backend verschlüsselt und für uns nicht einsehbar. Eine Personenbeziehbarkeit entsteht nur dann, wenn Nutzer freiwillig personenbeziehbare Informationen in das Fragefeld eingeben; bitte formulieren Sie alle Fragen neutral und ohne persönlichen Bezug.

Datenspeicherung und Zero Data Retention (ZDR)

OpenRouter speichert Prompts/Antworten standardmäßig nicht. Zero Data Retention (ZDR) und „kein Prompt-Training" sind standardmäßig aktiviert und werden zentral durch uns erzwungen; diese Einstellungen sind für Nutzer nicht änderbar.

Wir nutzen ausschließlich Anbieter/Endpoints, die ZDR unterstützen und nicht auf Prompts trainieren. Sollte ein gewähltes Modell ausnahmsweise ZDR nicht unterstützen, werden Sie vorab darüber informiert.

Prompts/Antworten werden nicht protokolliert. Verarbeitet werden lediglich technische Metadaten (z. B. Token-Zählung, Latenz) für Abrechnung und Reporting; die Übertragung erfolgt verschlüsselt.

Drittlandtransfer

Die Verarbeitung erfolgt teilweise durch Provider außerhalb der EU (insbesondere in den USA). Wir nutzen hierfür Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen finden Sie in den Datenschutzrichtlinien von OpenRouter.

Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt.

Analytik (PostHog EU, nur nach Einwilligung)

Analytik wird ausschließlich nach Einwilligung geladen; verwendet wird PostHog Cloud EU (Region Frankfurt), sodass Ereignisdaten innerhalb der EU verarbeitet werden. Erfasst werden nur erforderliche Nutzungsereignisse und technische Daten; datenschutzfreundliche Einstellungen (deaktiviertes Autocapture, Redaction/Hashing von Eigenschaften, IP‑Anonymisierung) sind aktiviert, und bei fehlender Einwilligung wird ein cookieless‑Fallback ohne Cookies/Local Storage genutzt. Rechtsgrundlage ist die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO; Einwilligungen können jederzeit über das Consent‑Banner widerrufen werden, woraufhin keine Analytik‑Daten mehr erhoben werden. PostHog bietet Kontrollen für Speicherfristen, Löschungen und Datenexporte; es besteht ein Auftragsverarbeitungsvertrag (DPA), und auf Anfrage werden personenbezogene Analytik‑Daten gelöscht. Aufbewahrung für Analytik‑Events: 6 Monate. Autocapture: aus. IP‑Anonymisierung: aktiv. Keine Erfassung sensibler Inhalte/Formulardaten.

Newsletter und Warteliste (Sender.net)

Für den Versand von Newslettern und die Verwaltung der Warteliste wird Sender.net (UAB Sender.lt, Antakalnio g. 17, LT-10312 Vilnius, Litauen) als Auftragsverarbeiter eingesetzt. Sender.net ist GDPR-konform und verarbeitet personenbezogene Daten auf Grundlage eines Data Processing Addendum (DPA) gemäß Art. 28 DSGVO.

Verarbeitete Daten

Bei der Newsletter-Anmeldung werden die E-Mail-Adresse sowie optional Vor- und Nachname erhoben. Zusätzlich werden zu technischen und statistischen Zwecken folgende Daten erfasst:

  • IP-Adresse und Zeitstempel der Anmeldung (zur Missbrauchsprävention und Nachweis der ordnungsgemäßen Anmeldung)
  • Öffnungs- und Klickverhalten (zur Analyse der Newsletter-Performance und Optimierung der Inhalte)
  • Geräteinformationen und E-Mail-Client-Daten (zur Gewährleistung einer optimalen Darstellung)

Zweck

Der Newsletter dient der Information über Updates, neue Funktionen und relevante Inhalte zu iching.plus sowie der Verwaltung der Warteliste für neue Features. Die Analyse des Öffnungs- und Klickverhaltens erfolgt, um die Qualität und Relevanz unserer Inhalte zu verbessern und Ihnen ein besseres Nutzererlebnis zu bieten. Die Verarbeitung erfolgt ausschließlich für die angegebenen Zwecke (Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO).

Rechtsgrundlage

Newsletter-Versand: Die Newsletter-Anmeldung erfolgt nach dem Double-Opt-in-Verfahren auf Basis Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie erhalten nach der Anmeldung eine Bestätigungs-E-Mail, in der Sie die Anmeldung durch Klick auf einen Link bestätigen müssen. Ohne diese Bestätigung erfolgt kein Newsletter-Versand.

Analyse des Nutzerverhaltens (Tracking): Die Analyse des Öffnungs- und Klickverhaltens erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, die Wirksamkeit unserer Newsletter-Kommunikation zu messen, Inhalte zu optimieren und Ihnen relevante Informationen bereitzustellen.

Wir haben eine Interessenabwägung durchgeführt und sind zu dem Ergebnis gekommen, dass unsere Interessen an der Erfolgsmessung die Interessen der Newsletter-Empfänger nicht überwiegen, da:

  • Die Datenverarbeitung im Rahmen der Newsletter-Anmeldung für Sie vorhersehbar ist
  • Die erhobenen Daten ausschließlich zur Verbesserung des Newsletter-Dienstes verwendet werden
  • Eine datenschutzkonforme Verarbeitung durch einen GDPR-zertifizierten Dienstleister erfolgt
  • Sie jederzeit durch Abmeldung vom Newsletter der Datenverarbeitung widersprechen können

Widerspruchsrecht

Sie haben das Recht, jederzeit der Verarbeitung Ihrer personenbezogenen Daten zum Zweck der Newsletter-Analyse zu widersprechen (Art. 21 DSGVO). Da unser E-Mail-Dienstleister keine separate Deaktivierung des Trackings ermöglicht, können Sie Ihren Widerspruch durch Abmeldung vom Newsletter ausüben. Nutzen Sie hierfür den Abmeldelink in jeder Newsletter-E-Mail oder senden Sie eine E-Mail an info@iching.plus. Nach Ihrer Abmeldung werden keine weiteren Newsletter an Sie versendet und sämtliche Tracking-Daten werden nicht mehr erfasst.

Widerruf der Einwilligung und Abmeldung

Sie können Ihre Einwilligung zum Newsletter-Empfang jederzeit mit Wirkung für die Zukunft widerrufen. Nutzen Sie hierfür den Abmeldelink in jeder Newsletter-E-Mail oder senden Sie eine E-Mail an info@iching.plus. Nach der Abmeldung werden Ihre Daten unverzüglich gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.

Speicherdauer

Die Daten werden für die Dauer Ihrer Newsletter-Mitgliedschaft gespeichert. Nach Abmeldung oder Widerspruch erfolgt die Löschung innerhalb von 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.

Internationale Übermittlung

Sender.net hat seinen Sitz in Litauen (EU). Soweit Datenverarbeitungen außerhalb der EU stattfinden, erfolgen diese auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 DSGVO.

Technische und organisatorische Maßnahmen

Sender.net setzt Verschlüsselung (TLS), ISO-Zertifizierung und umfassende Sicherheitsmaßnahmen ein und ist als GDPR-konform zertifiziert. Weitere Informationen finden Sie in der Datenschutzerklärung von Sender.net unter: www.sender.net/privacy-policy/

Cookies und ähnliche Technologien

Essenzielle Cookies/Technologien (z. B. Session/Auth, Sprache, grundlegende UI‑Zustände) werden für den Betrieb eingesetzt und benötigen keine Einwilligung. Nicht essenzielle Kategorien (Analytik) bleiben bis zur Einwilligung blockiert; Widerruf beendet die Verarbeitung für die Zukunft. Cookie/Storage‑Übersicht (Auszug):

  • Name: Session‑Cookie; Zweck: Authentifizierung/Sitzung; Kategorie: essenziell; Speicherdauer: 4 Tage.
  • Name: Sprache/Locale; Zweck: Sprachauswahl; Kategorie: essenziell; Speicherdauer: 6 Monate.
  • Name: Vercel Web Analytics; Zweck: aggregierte, cookielose Messung; Kategorie: essenziell; Speicherdauer: aggregiert, ohne persönliche Profile.
  • Name: PostHog; Zweck: Analytik (nur nach Einwilligung); Kategorie: nicht essenziell; Speicherdauer: 6 Monate.
  • Name: Sender.net Tracking-Pixel; Zweck: Newsletter-Öffnungs- und Klickanalyse; Kategorie: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO); Speicherdauer: 30 Tage nach Newsletter-Abmeldung.

Hinweis zur Einwilligung

Das Consent‑Banner bietet gleichwertige Optionen zum Annehmen und Ablehnen, granulare Einstellungen sowie eine jederzeitige Widerrufsmöglichkeit über „Cookie‑Einstellungen" im Footer.

Empfänger und Kategorien von Dritten

Hosting: Vercel als Auftragsverarbeiter für Bereitstellung/Hosting und verwandte Dienste.

Datenbank/Auth: Supabase als Auftragsverarbeiter für Speicherung, Verwaltung und Authentifizierung.

KI: OpenRouter als Weiterleitungs‑/Vermittlungsdienst an jeweilige Modellanbieter; Daten können je nach Modellanbieter in Drittländern verarbeitet werden.

Analytik: Vercel Web Analytics (cookielos, immer aktiv) sowie PostHog (nur nach Einwilligung) als Auftragsverarbeiter.

Newsletter/Warteliste: Sender.net (UAB Sender.lt, Litauen, EU) als Auftragsverarbeiter für Newsletter-Versand, Wartelisten-Verwaltung und Newsletter-Analyse (Öffnungs-/Klickraten).

Internationale Übermittlungen

Bei Verarbeitungen außerhalb der EU/des EWR kommen geeignete Garantien zum Einsatz, insbesondere EU‑Standardvertragsklauseln gemäß Art. 46 DSGVO. Dies betrifft:

  • KI-Verarbeitungen (OpenRouter/Modellanbieter): Je nach Modellanbieter außerhalb der EU
  • Hosting-Infrastruktur (Vercel): Mögliche internationale Übermittlungen bei CDN/Edge-Funktionen
  • Newsletter (Sender.net): Soweit Verarbeitungen außerhalb der EU stattfinden (z.B. Subunternehmer)

Die Anbieter‑ und Regionsauswahl wird in der technischen Konfiguration berücksichtigt.

Speicherdauer und Löschung

Kontoinhalte und KI-Interpretationen werden verschlüsselt in unserer Datenbank gespeichert und sind für die Dauer des aktiven Kontos abrufbar; nur Sie haben Zugang zu diesen Daten. Nach Kontolöschung werden alle personenbezogenen Daten aus der Datenbank gelöscht und Backups innerhalb von 30 Tagen entfernt.

  • Server‑Logs: 14 Tage, soweit erforderlich für Sicherheit/Diagnose
  • Analytik‑Events: 6 Monate
  • Newsletter-Daten (Sender.net): Für die Dauer der Newsletter-Mitgliedschaft; Löschung innerhalb von 30 Tagen nach Abmeldung

Anonymisierte, nicht mehr personenbezogene Auswertungen/Statistiken können fortgeführt werden.

Sicherheit

Datenübertragung erfolgt über TLS; serverseitige Verschlüsselung und branchenübliche technische und organisatorische Maßnahmen sind implementiert. Zusätzliche Maßnahmen umfassen u. a. Sicherheitsheader (z. B. Content‑Security‑Policy, HSTS, Referrer‑Policy) und rollenbasierte Zugriffskontrollen. Schnittstellen zu Dritten (Hosting/KI/Analytik/Newsletter) werden über gesicherte Verbindungen betrieben.

Betroffenenrechte

Es bestehen Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerruf erteilter Einwilligungen. Es besteht ein Recht, jederzeit Widerspruch gegen Verarbeitungen einzulegen, die auf berechtigten Interessen beruhen (Art. 21 DSGVO). Spezielle Hinweise zum Widerspruchsrecht bei Newsletter-Tracking finden Sie im Abschnitt "Newsletter und Warteliste (Sender.net)".

Es besteht ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde am Sitz des Verantwortlichen: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden‑Württemberg (Postanschrift: Postfach 10 29 32, 70025 Stuttgart; Dienststelle: Lautenschlagerstraße 20, 70173 Stuttgart; E‑Mail: poststelle@lfdi.bwl.de).

Widerruf der Einwilligung für KI-Funktionen: Die Einwilligung zur Nutzung der KI-gestützten Interpretation kann jederzeit in den Account-Einstellungen widerrufen werden. Nach Widerruf werden keine weiteren KI-Interpretationen generiert.

Bereitstellungspflicht

Die Bereitstellung essentieller Daten ist für die Nutzung der Kernfunktionen erforderlich; ohne diese ist der Dienst nur eingeschränkt funktionsfähig.

Kontakt

Anfragen zum Datenschutz: info@iching.plus.

Änderungen

Diese Datenschutzerklärung wird bei Änderungen von Funktionen, Anbietern oder Rechtslagen aktualisiert.

Anbieterübersicht (Kurzangaben)

Vercel (Hosting, CDN, Serverless): Verarbeitung als Auftragsverarbeiter; DPA verfügbar; internationale Übermittlungen mit Standardvertragsklauseln möglich.

Vercel Web Analytics (cookielos): Aggregierte, profilfreie Messung für Betrieb/Performance; berechtigte Interessen; ggf. internationale Übermittlungen mit Standardvertragsklauseln.

Supabase (Datenbank, Auth): EU‑Region (Frankfurt), Verschlüsselung in Transit und at rest; AVV/DPA; ggf. internationale Support‑Zugriffe mit SCCs/TIA.

OpenRouter + Modellanbieter (KI‑Verarbeitung): Weiterleitung von Prompts/Outputs; Privacy‑/Logging‑Optionen; Zero‑Retention/No‑Training nach Verfügbarkeit konfigurierbar; mögliche Drittlandverarbeitungen.

PostHog (Analytik, EU‑Cloud): Einsatz nur nach Einwilligung; datenschutzfreundliche Konfiguration (Autocapture deaktiviert, IP‑Anonymisierung, Redaction/Hashing); Retention steuerbar.

Sender.net (Newsletter, Warteliste): Verarbeitung als Auftragsverarbeiter; GDPR-konform; DPA verfügbar; Sitz in Litauen (EU); ggf. internationale Übermittlungen mit Standardvertragsklauseln; Double-Opt-in-Verfahren; Abmeldemöglichkeit in jeder E-Mail; Newsletter-Tracking auf Basis berechtigten Interesses; Widerspruch durch Abmeldung möglich.

Stand: 15. Oktober 2025 Version: 1.0.0