Datenschutzerklärung

Stand: Mai 2026

Der Schutz deiner personenbezogenen Daten ist mir, Markus Hirndorf, besonders wichtig. Diese Erklärung informiert dich umfassend über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf www.der-vermeidende-bindungsstil.de gemäß der Datenschutz-Grundverordnung (DSGVO), dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) und dem Bundesdatenschutzgesetz (BDSG).

1. Verantwortlicher

Markus Hirndorf
Moritzstraße 41, 99084 Erfurt, Deutschland
📞 +491727755524 · 📧 [email protected]

Als Verantwortlicher im Sinne der DSGVO bestimme ich die Zwecke und Mittel der Verarbeitung personenbezogener Daten auf dieser Website. Bei Fragen zum Datenschutz kannst du mich jederzeit über die oben genannten Kontaktdaten erreichen.

2. Hosting & technische Infrastruktur

Diese Website wird von Squarespace Inc., 225 Varick Street, New York, NY 10014, USA, bereitgestellt. Beim Aufruf der Website werden serverseitig automatisch folgende Daten verarbeitet:

• IP-Adresse (wird von Squarespace anonymisiert)
• Datum und Uhrzeit des Zugriffs
• Browsertyp und -version
• Betriebssystem des zugreifenden Systems
• Referrer-URL (zuvor besuchte Seite)
• Hostname des zugreifenden Rechners
• Aufgerufene Seiten und übertragene Datenmenge

Zweck der Verarbeitung: Die Verarbeitung dieser Daten ist technisch notwendig, um die Website anzuzeigen, die Stabilität und Sicherheit zu gewährleisten sowie missbräuchliche Zugriffe zu erkennen und abzuwehren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler, sicherer Bereitstellung der Website).

Drittlandtransfer: Squarespace hat seinen Hauptsitz in den USA. Die Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF). Squarespace ist nach dem DPF zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023, Durchführungsbeschluss (EU) 2023/1795). Die Zertifizierung kann unter dataprivacyframework.gov überprüft werden.

Speicherdauer: Server-Logdaten werden von Squarespace nach 30 Tagen automatisch gelöscht.

Weitere Informationen: Squarespace Datenschutzerklärung

2a. Content Delivery Network (Cloudflare)

Zur Optimierung der Ladezeiten und zum Schutz vor Cyberangriffen nutzen wir Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA. Cloudflare fungiert als Content Delivery Network (CDN) und Sicherheitsdienst und wird als Reverse Proxy zwischen unserem Server und den Besuchern geschaltet.

Verarbeitete Daten:
Bei jedem Aufruf unserer Website werden folgende Daten durch Cloudflare verarbeitet:

• IP-Adresse des zugreifenden Systems
• Browsertyp und -version, Betriebssystem
• Referrer-URL (zuvor besuchte Seite)
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• Request-URL und HTTP-Statuscode
• Geolocation-Daten (Land/Stadt, aus IP-Adresse abgeleitet)

Cloudflare-Cookies:
Cloudflare setzt folgende technisch notwendige Cookies zur Bereitstellung und Sicherung des Dienstes:

• __cflb (Session-Cookie zur Server-Auswahl und Load Balancing)
• __cf_bm (Laufzeit: 30 Minuten, Bot-Management und Sicherheitsprüfung)
• cf_clearance (Laufzeit: 30 Tage, wird nach erfolgreicher Sicherheitsüberprüfung gesetzt)

Diese Cookies sind technisch erforderlich für die Bereitstellung der Website-Funktionalität und unterliegen daher nicht der Einwilligungspflicht gemäß § 25 TDDDG.

Zweck der Verarbeitung:

• Beschleunigung der Auslieferung durch geografisch verteilte Server (CDN)
• Schutz vor DDoS-Angriffen und anderen Cyberangriffen
• Abwehr von Bot-Traffic, Scrapern und automatisierten Zugriffen
• Web Application Firewall (WAF) zum Schutz vor Sicherheitsbedrohungen
• SSL/TLS-Verschlüsselung und -Optimierung
• Weiterleitung von Anfragen an den KI-Chatbot-Backend-Dienst (Subdomain api.der-vermeidende-bindungsstil.de)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Bereitstellung einer sicheren, schnellen und zuverlässigen Website sowie dem Schutz vor Cyberangriffen.

Datenübermittlung in die USA:
Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert. Die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission vom 10. Juli 2023 (Durchführungsbeschluss (EU) 2023/1795). Die DPF-Zertifizierung kann unter dataprivacyframework.gov überprüft werden.

Auftragsverarbeitung:
Mit Cloudflare wurde ein Vertrag zur Auftragsverarbeitung (Data Processing Addendum) gemäß Art. 28 DSGVO geschlossen, der auf den EU-Standardvertragsklauseln basiert.

Speicherdauer: Die von Cloudflare erfassten Logdaten werden für maximal 30 Tage gespeichert und anschließend automatisch gelöscht. Cookies werden gemäß der oben angegebenen Laufzeiten gespeichert.

Widerspruchsmöglichkeit: Du kannst der Datenverarbeitung durch Cloudflare widersprechen, indem du JavaScript in deinem Browser deaktivierst oder die Nutzung unserer Website einstellst. Bitte beachte, dass bei Deaktivierung von JavaScript die Funktionalität unserer Website stark eingeschränkt sein kann.

Weitere Informationen:

• Cloudflare Datenschutzerklärung
• Cloudflare Data Processing Addendum
• Cloudflare DSGVO-Compliance

2b. Sicherheit & Missbrauchserkennung (CrowdSec / AbuseIPDB)

Was ist AbuseIPDB?

AbuseIPDB (Anbieter: Marathon Studios Inc., USA) ist eine gemeinschaftlich betriebene, öffentliche Datenbank für missbräuchliche IP-Adressen. Das Prinzip funktioniert wie eine Nachbarschaftswache im Internet: Server-Administratoren und Website-Betreiber weltweit melden dort IP-Adressen, die durch Angriffe, Spam, Brute-Force-Versuche (automatisierte Passwort-Ratangriffe), Port-Scans oder andere schädliche Aktivitäten aufgefallen sind. Andere Teilnehmer können diese Datenbank abfragen, um bekannte Angreifer frühzeitig zu erkennen und von ihren Systemen fernzuhalten. Wer einen Angriffsversuch meldet, schützt damit gleichzeitig alle anderen Teilnehmer vor demselben Angreifer – ein kollektiver Sicherheitsmechanismus, der von Hosting-Anbietern, Unternehmen und Privatpersonen gleichermaßen genutzt wird und aktiv zur Sicherheit des Internets beiträgt.

CrowdSec – Intrusion Detection

Zum Schutz unserer Server-Infrastruktur setzen wir CrowdSec ein, eine Open-Source-Software zur automatisierten Erkennung und Abwehr von Angriffen. CrowdSec analysiert Server-Logdaten in Echtzeit auf Muster, die auf missbräuchliche Aktivitäten hindeuten – beispielsweise Brute-Force-Angriffe, automatisierte Scanning-Versuche oder Port-Scans.

Wie funktioniert CrowdSec?
CrowdSec läuft ausschließlich auf unserem eigenen Server. Es werden keine Daten gewöhnlicher Besucher an externe Dienste weitergegeben – außer im Fall einer erkannten Missbrauchs-IP (siehe unten). CrowdSec analysiert ausschließlich Aktivitäten, die sich durch anormales Verhalten eindeutig von normalem Web-Traffic unterscheiden. Für normale Websitebesucher ist dieser Prozess vollständig unsichtbar und hat keinerlei Auswirkungen auf ihr Nutzungserlebnis.

Rechtsgrundlage (CrowdSec): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherung unserer Server-Infrastruktur und dem Schutz der Website vor Cyberangriffen).

Meldung missbräuchlicher IP-Adressen an AbuseIPDB

IP-Adressen, die durch CrowdSec als missbräuchlich eingestuft werden, können automatisch an AbuseIPDB gemeldet werden. Durch das Teilen dieser Informationen tragen wir zur kollektiven Absicherung des Internets bei.

Welche Daten werden übermittelt?

• IP-Adresse der als missbräuchlich eingestuften Quelle
• Zeitstempel des Angriffsereignisses
• Kategorie des Angriffs (z. B. Brute-Force, Port-Scan)
• Beschreibung des erkannten Musters

Rechtsgrundlage (AbuseIPDB-Meldung): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der aktiven Abwehr von Cyberangriffen und der Mitwirkung an kollektiver Internet-Sicherheit).

Drittlandtransfer (AbuseIPDB-Meldung): Marathon Studios Inc. hat seinen Sitz in den USA. AbuseIPDB ist nach aktuellem Stand nicht im EU-US Data Privacy Framework zertifiziert. Die Übermittlung erfolgt daher auf Grundlage von Art. 49 Abs. 1 lit. f DSGVO (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO. Die Übermittlung beschränkt sich auf das absolut erforderliche Minimum – ausschließlich missbräuchliche IP-Adressen werden gemeldet.

Speicherdauer: AbuseIPDB speichert gemeldete IP-Einträge gemäß den eigenen Nutzungsbedingungen; einzelne Einträge können nach 15 Tagen ohne weitere Bestätigung aus öffentlichen Abfragen entfernt werden.

AbuseIPDB Contributor-Badge

Auf der Über-mich-Seite dieser Website ist ein Badge des Dienstes AbuseIPDB eingebunden, das unsere aktive Mitgliedschaft im AbuseIPDB-Contributor-Netzwerk als öffentlich sichtbaren Transparenznachweis kennzeichnet. Das Badge wird als externe Grafik direkt von den Servern von AbuseIPDB geladen:

https://www.abuseipdb.com/contributor/283834.svg

Beim Laden der Über-mich-Seite wird dadurch automatisch eine Verbindung zu Servern von AbuseIPDB (Marathon Studios Inc., USA) hergestellt. Dabei werden folgende Daten übertragen:

• IP-Adresse deines Geräts
• Browsertyp und -version
• Betriebssystem
• Referrer-URL (von welcher Seite der Abruf erfolgt)
• Datum und Uhrzeit des Zugriffs

Zweck: Darstellung unserer Mitgliedschaft im AbuseIPDB-Contributor-Netzwerk als Transparenznachweis gegenüber Besuchern der Website.

Rechtsgrundlage (Badge): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der transparenten Kommunikation unserer Sicherheitsmaßnahmen).

Drittlandtransfer (Badge): Die Übermittlung der Verbindungsdaten an Marathon Studios Inc. (USA) stützt sich auf Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit Art. 49 Abs. 1 DSGVO. Für den Badge-Aufruf gelten dieselben Ausführungen wie für die AbuseIPDB-Meldung oben.

Widerspruch: Du kannst das Laden des Badges und die damit verbundene Datenübertragung verhindern, indem du in deinem Browser einen Content-Blocker einsetzt. Die Funktionalität der Website selbst wird davon nicht beeinträchtigt.

Weitere Informationen: AbuseIPDB Datenschutzerklärung

3. Allgemeine Hinweise zur Verarbeitung

Umfang der Verarbeitung: Wir verarbeiten personenbezogene Daten nur in dem Umfang, wie dies für die Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt nur mit deiner Einwilligung oder wenn eine gesetzliche Grundlage vorliegt.

• Zwecke: Betrieb und Bereitstellung der Website, Kommunikation, Newsletter-Versand, statistische Auswertung, Sicherheit und Spam-Abwehr.
• Speicherdauer: Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
• SSL/TLS-Verschlüsselung: Alle Datenübertragungen auf dieser Website erfolgen verschlüsselt über HTTPS (TLS 1.3). Erkennbar am Schloss-Symbol in der Adresszeile deines Browsers.

4. Kontaktaufnahme

Bei Kontakt per Kontaktformular, E-Mail oder Telefon verarbeiten wir die von dir übermittelten Daten (z. B. Name, E-Mail-Adresse, Telefonnummer, Nachricht) ausschließlich zur Bearbeitung deiner Anfrage. Die Daten werden nach Abschluss der Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen oder Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation mit Besuchern).

Speicherdauer: Deine Anfrage und die damit verbundenen Daten werden gelöscht, sobald die Bearbeitung abgeschlossen ist und keine gesetzlichen Aufbewahrungspflichten bestehen. Im Regelfall erfolgt die Löschung nach 6 Monaten, sofern kein fortlaufender Kontakt besteht.

4a. Kommentarfunktion unter Blogbeiträgen

Auf dieser Website bieten wir Lesern die Möglichkeit, unter Blogbeiträgen Kommentare zu hinterlassen. Die Kommentarfunktion wird über das Squarespace-Kommentarsystem bereitgestellt. Wenn du einen Kommentar verfasst und absendest, werden folgende Daten verarbeitet:

Verarbeitete Daten

• Name: Der von dir angegebene Name (Pflichtfeld)
• E-Mail-Adresse: Deine E-Mail-Adresse (Pflichtfeld, wird nicht öffentlich angezeigt)
• Kommentartext: Der von dir verfasste Kommentar
• IP-Adresse: Deine IP-Adresse wird von Squarespace zum Zeitpunkt der Kommentarabgabe gespeichert und automatisch anonymisiert
• Zeitstempel: Datum und Uhrzeit der Kommentarabgabe
• Website-URL (optional): Falls du eine Website-URL angibst
• Gravatar-Profilbild (optional): Falls deine E-Mail-Adresse bei Gravatar registriert ist, wird dein Profilbild neben dem Kommentar angezeigt

Zweck der Verarbeitung

• Darstellung deines Kommentars: Anzeige deines Kommentars unter dem jeweiligen Blogbeitrag für andere Besucher
• Spam-Abwehr: Erkennung und Verhinderung von Spam-Kommentaren (IP-Adresse, reCAPTCHA v3)
• Moderation: Prüfung von Kommentaren auf Verstöße gegen unsere Richtlinien
• Benachrichtigungen: Optional: Benachrichtigung bei Antworten auf deinen Kommentar (falls du dies wählst)
• Rechtliche Verpflichtungen: Nachweis bei rechtlichen Streitigkeiten oder missbräuchlichen Kommentaren

Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Mit dem Absenden deines Kommentars erklärst du dich mit der Verarbeitung der angegebenen Daten einverstanden. Diese Einwilligung kannst du jederzeit widerrufen.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Die Speicherung der IP-Adresse erfolgt aufgrund unseres berechtigten Interesses an der Abwehr von Spam und missbräuchlichen Kommentaren sowie zur Erfüllung rechtlicher Verpflichtungen.

Öffentliche Sichtbarkeit

Empfänger der Daten

• Squarespace Inc. (USA): Speicherung und Verwaltung aller Kommentardaten. Squarespace ist nach dem EU-US Data Privacy Framework zertifiziert.
• Automattic Inc. (Gravatar) (USA): Falls deine E-Mail-Adresse bei Gravatar registriert ist, wird deine E-Mail-Adresse gehasht an Gravatar übermittelt, um dein Profilbild abzurufen. Gravatar ist nach dem EU-US Data Privacy Framework zertifiziert.
• Google LLC (reCAPTCHA v3) (USA): Falls reCAPTCHA zum Spam-Schutz aktiviert ist, werden Daten zur Prüfung an Google übermittelt (siehe Abschnitt 5).

Drittlandtransfer

Da Squarespace seinen Hauptsitz in den USA hat, erfolgt eine Übermittlung deiner Kommentardaten in die USA. Squarespace ist nach dem EU-US Data Privacy Framework zertifiziert. Die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission vom 10. Juli 2023.

Gravatar (Automattic Inc.)

Falls du einen Kommentar hinterlässt und deine E-Mail-Adresse bei Gravatar (Global Recognized Avatar) registriert ist, wird automatisch dein Gravatar-Profilbild neben deinem Kommentar angezeigt. Gravatar ist ein Dienst von Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA.

Funktionsweise: Deine E-Mail-Adresse wird mittels MD5-Hash verschlüsselt an Gravatar übermittelt. Gravatar prüft, ob zu dieser gehashten E-Mail-Adresse ein Profilbild hinterlegt ist. Falls ja, wird dieses Bild auf unserer Website angezeigt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an optisch ansprechender Darstellung von Kommentaren).

Drittlandtransfer: Automattic ist nach dem EU-US Data Privacy Framework zertifiziert.

Widerspruch: Wenn du nicht möchtest, dass dein Gravatar-Bild angezeigt wird, verwende beim Kommentieren eine E-Mail-Adresse, die nicht bei Gravatar registriert ist, oder melde dich bei Gravatar ab.

Weitere Informationen: Automattic Datenschutzerklärung

Moderation und Löschung

Alle Kommentare werden nach der Veröffentlichung moderiert. Ich behalte mir vor, Kommentare nachträglich zu moderieren, zu bearbeiten, zu löschen oder nicht freizuschalten, wenn sie gegen geltendes Recht, die guten Sitten oder unsere Kommentarrichtlinien verstoßen (siehe Impressum – Kommentare und Nutzer-Inhalte).

Speicherdauer

Kommentare und die damit verbundenen Daten werden grundsätzlich dauerhaft gespeichert, um einen kontinuierlichen Austausch unter den Blogbeiträgen zu ermöglichen. Du kannst jederzeit die Löschung deines Kommentars beantragen.

Deine Rechte bezüglich deiner Kommentare

• Widerruf der Einwilligung: Du kannst deine Einwilligung zur Verarbeitung deiner Kommentardaten jederzeit widerrufen. Kontaktiere mich dazu unter [email protected].
• Löschung: Du hast das Recht, die Löschung deines Kommentars zu verlangen. Sende dazu eine E-Mail mit dem Link zum betreffenden Kommentar an [email protected]. Zur Identitätsprüfung benötige ich die E-Mail-Adresse, mit der du den Kommentar verfasst hast.
• Berichtigung: Falls in deinem Kommentar fehlerhafte Angaben enthalten sind, kannst du eine Korrektur anfordern.
• Auskunft: Du hast das Recht auf Auskunft über die von dir gespeicherten Kommentardaten.

Verantwortlichkeit für Kommentarinhalte

Für die Inhalte der Kommentare sind ausschließlich die jeweiligen Verfasser verantwortlich. Ich übernehme keine Haftung für von Dritten verfasste Kommentare. Solltest du auf einen problematischen Kommentar stoßen, melde diesen bitte unter [email protected].

4b. KI-Chatbot Philia (Anthropic API)

Auf dieser Website steht dir ein KI-gestützter Chat-Assistent namens Philia zur Verfügung. Philia beantwortet Fragen rund um Bindungsstile und Beziehungspsychologie. Die Nutzung des Chatbots ist vollständig freiwillig — alle Inhalte der Website sind unabhängig davon zugänglich.

Technische Funktionsweise

Philia läuft als Backend-Dienst auf unserem eigenen VPS-Server (IONOS SE, Deutschland). Deine Nachricht wird zunächst verschlüsselt (HTTPS/TLS) an unseren Server übermittelt, von dort zur KI-Verarbeitung an die Anthropic API weitergeleitet und die generierte Antwort zurück an deinen Browser gesendet. Konversationsinhalte werden auf unserem Server nicht dauerhaft gespeichert — sie existieren ausschließlich für die Dauer der Verarbeitung im Arbeitsspeicher der laufenden Sitzung.

Verarbeitete Daten

• Nachrichteninhalt: Der Text deiner Anfrage sowie bis zu drei vorherige Gesprächsrunden innerhalb derselben Sitzung (zur Kontextualisierung der Antwort) — diese werden an die Anthropic API übermittelt
• IP-Adresse: Deine IP-Adresse wird in unserem Nginx-Webserver-Log erfasst (zur Rate-Limitierung und Missbrauchserkennung); sie wird nicht an Anthropic übermittelt
• Anonyme Nutzungsstatistiken: Über Matomo werden anonymisierte Ereignisse erfasst, z. B. ob der Chat geöffnet wurde oder eine Nachricht gesendet wurde — Nachrichteninhalte werden dabei zu keinem Zeitpunkt erfasst (siehe Abschnitt 8)

Anthropic als Auftragsverarbeiter

Die KI-gestützte Antwortgenerierung erfolgt durch die Anthropic API des Unternehmens Anthropic, PBC, 548 Market St PMB 90375, San Francisco, CA 94104-5401, USA. Anthropic verarbeitet die übermittelten Nachrichten ausschließlich zur Generierung der KI-Antwort.

Datenverarbeitung durch Anthropic:

• Anthropic speichert API-Eingaben und -Ausgaben für bis zu 30 Tage zum Zweck der Sicherheitsüberwachung und zur Einhaltung gesetzlicher Verpflichtungen
• Anthropic verwendet API-Daten nicht zum Training seiner KI-Modelle — für API-Nutzer gilt standardmäßig ein Opt-out vom Modelltraining
• Es werden ausschließlich die Nachrichteninhalte übermittelt, die zur Beantwortung deiner Anfrage erforderlich sind

Auftragsverarbeitung (AVV):
Mit Anthropic wurde ein Vertrag zur Auftragsverarbeitung (Data Processing Addendum, DPA) gemäß Art. 28 DSGVO abgeschlossen, der EU-Standardvertragsklauseln umfasst. Das DPA steht unter anthropic.com/legal/dpa zur Einsicht bereit.

Drittlandtransfer (USA):
Anthropic hat seinen Sitz in den USA. Die Übermittlung deiner Nachrichten in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914 der EU-Kommission). Das DPA von Anthropic umfasst diese Standardvertragsklauseln.

Missbrauchsschutz

Zum Schutz vor missbräuchlicher Nutzung des Chatbots und zur Sicherstellung der Verfügbarkeit für alle Nutzer sind folgende technische Maßnahmen aktiv:

• Rate Limiting (Nginx): Maximal 20 Anfragen pro Minute pro IP-Adresse auf Proxy-Ebene
• Rate Limiting (Backend): Maximal 10 Anfragen pro Minute pro IP-Adresse auf Anwendungsebene
• Fail2Ban + Cloudflare Firewall: IP-Adressen, die das Rate Limit wiederholt überschreiten, können automatisch durch die Cloudflare-Firewall für unsere Domain gesperrt werden
• Eingabebegrenzung: Nachrichten sind auf 1.000 Zeichen begrenzt; der Gesprächsverlauf wird auf maximal 6 Einträge beschränkt

Datenschutzhinweis im Chat

Beim ersten Öffnen des Chats weist Philia in ihrer Begrüßungsnachricht transparent auf die Datenverarbeitung hin und verlinkt direkt auf diese Datenschutzerklärung. Die Nutzung des Chatbots ist vollständig freiwillig.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Bereitstellung eines nützlichen, niedrigschwelligen Informationsangebots über Bindungspsychologie sowie dem Schutz unserer Infrastruktur vor Missbrauch.

Speicherdauer:

• Nachrichteninhalte (unser Server): Keine dauerhafte Speicherung — Verarbeitung ausschließlich im flüchtigen Arbeitsspeicher
• Nachrichteninhalte (Anthropic): Bis zu 30 Tage (Sicherheits- und Compliance-Zwecke)
• Nginx-Zugriffslogs (IP-Adresse): Automatische Löschung nach 30 Tagen durch Log-Rotation
• Matomo-Ereignisstatistiken: Anonymisiert, maximal 24 Monate (siehe Abschnitt 8)

Weitere Informationen:

• Anthropic Datenschutzerklärung
• Anthropic Data Processing Addendum (DPA)
• Anthropic Acceptable Use Policy

5. Spam-Schutz (Google reCAPTCHA v3)

Zum Schutz der Formulare (Kontaktformular, Kommentarfunktion) nutzen wir Google reCAPTCHA v3. Der Dienst prüft automatisch im Hintergrund, ob Eingaben von Menschen oder von Bots stammen. reCAPTCHA v3 ist unsichtbar und erfordert keine Nutzerinteraktion (keine Captcha-Abfragen mehr).

Verarbeitete Daten:

• IP-Adresse
• Browsertyp und -version
• Betriebssystem
• Referrer-URL (zuvor besuchte Seite)
• Mausbewegungen, Klickverhalten und Scroll-Verhalten auf der Seite
• Datum und Uhrzeit der Anfrage
• Spracheinstellung des Browsers
• Bildschirmauflösung

Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (EU) bzw. Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit unserer Formulare und der Abwehr von Spam). Sofern eine Einwilligung über das Cookie-Banner eingeholt wird, zusätzlich Art. 6 Abs. 1 lit. a DSGVO.

Drittlandtransfer: Google LLC ist nach dem EU-US Data Privacy Framework zertifiziert. Die Übermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission.

Weitere Informationen:

• Google Datenschutzerklärung
• Google Cookie-Richtlinie
• Google reCAPTCHA Informationen

6. Newsletter (Squarespace Email Campaigns)

Auf dieser Website kannst du einen kostenlosen Newsletter abonnieren, um regelmäßig über neue Inhalte, Artikel und Entwicklungen informiert zu werden. Der Newsletter wird über Squarespace Email Campaigns versendet.

Verarbeitete Daten:

• E-Mail-Adresse (Pflichtfeld)
• Zeitstempel der Anmeldung und Bestätigung (Double-Opt-In)
• IP-Adresse zum Zeitpunkt der Anmeldung (zum Nachweis der Einwilligung)
• Optional: Vorname (falls im Anmeldeformular angegeben)

Double-Opt-In-Verfahren:
Nach der Anmeldung erhältst du eine Bestätigungs-E-Mail mit einem Link. Erst nach Klick auf diesen Link wird deine Anmeldung aktiviert. Dies stellt sicher, dass nur du selbst dich anmelden kannst und schützt vor Missbrauch durch Dritte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst deine Einwilligung jederzeit widerrufen.

Empfänger: Squarespace Inc., USA. Squarespace ist nach dem EU-US Data Privacy Framework zertifiziert.

Speicherdauer: Deine E-Mail-Adresse wird gespeichert, bis du den Newsletter abbestellst oder deine Löschung anforderst.

Abmeldung: Du kannst den Newsletter jederzeit abbestellen, indem du auf den Abmeldelink am Ende jeder Newsletter-E-Mail klickst oder eine E-Mail an [email protected] sendest.

Weitere Informationen: Squarespace Datenschutzerklärung

6a. Unterstützung via Buy Me a Coffee

Auf dieser Website bieten wir die Möglichkeit, unsere Arbeit über die Plattform Buy Me a Coffee (Buy Me a Coffee Pty Ltd, Australien) freiwillig finanziell zu unterstützen. Wenn du auf den entsprechenden Button oder Link klickst, wirst du auf die externe Plattform buymeacoffee.com/hirndorf weitergeleitet.

Verarbeitete Daten:
Beim Klick auf den Buy Me a Coffee-Button werden folgende Daten an Buy Me a Coffee übermittelt:

• IP-Adresse deines Geräts
• Browsertyp und -version
• Betriebssystem
• Referrer-URL (von welcher Seite du kommst)
• Datum und Uhrzeit des Zugriffs

Wenn du dich entscheidest, eine Spende zu tätigen, verarbeitet Buy Me a Coffee zusätzlich:

• Deinen Namen (optional oder Pseudonym)
• Deine E-Mail-Adresse
• Zahlungsinformationen (werden von Payment-Providern wie Stripe verarbeitet, nicht direkt von uns)
• Spendenbetrag und -nachricht (falls angegeben)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Finanzierung unseres kostenfreien Angebots). Für die tatsächliche Spende auf der Buy Me a Coffee-Plattform gilt zudem Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Weitere Informationen:

• Buy Me a Coffee Datenschutzerklärung
• Buy Me a Coffee Nutzungsbedingungen
• Stripe Datenschutzerklärung

7. Cookies & Consent-Management (Cookiebot)

Diese Website nutzt Cookies und ähnliche Technologien. Zur Verwaltung deiner Einwilligung für nicht essentielle Cookies setzen wir den Dienst Cookiebot (Cybot A/S, Havnegade 39, 1058 Kopenhagen, Dänemark) ein.

Was ist Cookiebot?
Cookiebot ist eine Consent-Management-Platform (CMP), die beim ersten Besuch der Website ein Cookie-Banner anzeigt. Du kannst dort auswählen, welche Kategorien von Cookies du zulässt. Cookiebot blockiert automatisch alle nicht essentiellen Dienste, bis du deine Einwilligung erteilst (Opt-in-Verfahren).

Cookie-Kategorien:

• Essenziell / Notwendig: Technisch erforderliche Cookies für die Grundfunktionen der Website (z. B. Cloudflare-Sicherheit, Session-Verwaltung). Diese Cookies benötigen keine Einwilligung gemäß § 25 Abs. 2 Nr. 2 TDDDG.
• Statistik / Analyse: Cookies zur anonymen Reichweitenmessung und Analyse des Nutzerverhaltens (z. B. Matomo). Erfordern deine Einwilligung.
• Marketing / Externe Medien: Cookies von Drittanbietern für eingebettete Inhalte (z. B. YouTube, Instagram, Spotify). Erfordern deine Einwilligung.

Verarbeitete Daten durch Cookiebot:

• IP-Adresse (anonymisiert)
• Browsertyp und -version
• Betriebssystem
• Referrer-URL
• Datum und Uhrzeit des Zugriffs
• Deine Cookie-Einwilligungen (gespeichert im CookieConsent-Cookie)

Consent-Cookie (CookieConsent):
Deine Einwilligungsentscheidung wird in einem Cookie namens CookieConsent gespeichert. Dieser Cookie hat eine Laufzeit von 12 Monaten und enthält Informationen darüber, welche Cookie-Kategorien du zugelassen hast.

Protokollierung der Einwilligung:
Gemäß Art. 7 Abs. 1 DSGVO protokolliert Cookiebot deine Einwilligung (Zeitstempel, Auswahl der Kategorien, IP-Adresse), um im Streitfall nachweisen zu können, dass eine Einwilligung vorlag. Diese Protokolle werden für 12 Monate gespeichert.

Rechtsgrundlagen:

• § 25 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Für nicht essenzielle Cookies (Statistik, Marketing)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Für die Verwaltung und Protokollierung der Einwilligung sowie für essentielle Cookies

Empfänger: Cybot A/S, Dänemark (EU). Es erfolgt keine Übermittlung in Drittländer.

Speicherdauer: Der Consent-Cookie wird nach 12 Monaten automatisch gelöscht. Danach wirst du erneut um deine Einwilligung gebeten.

Einwilligung ändern / widerrufen:
Du kannst deine Cookie-Einstellungen jederzeit ändern oder widerrufen, indem du auf folgenden Link klickst: Cookie-Einstellungen ändern

Weitere Informationen:

• Cookiebot Datenschutzerklärung
• Cookiebot Cookie-Consent Informationen

7a. Cookie-Erklärung (automatisch aktualisiert)

Nachfolgend findest du eine automatisch aktualisierte Übersicht aller Cookies und Dienste, die von Cookiebot auf dieser Website erkannt wurden. Diese Liste wird automatisch von Cookiebot generiert und zeigt dir detailliert, welche Cookies von welchen Diensten gesetzt werden.

Du kannst deine Einwilligung jederzeit ändern oder widerrufen: Cookie-Einstellungen ändern

8. Web-Analyse mit Matomo

Zur Reichweitenmessung und Analyse des Nutzerverhaltens verwenden wir die Open-Source-Software Matomo (ehemals Piwik). Matomo ist auf unserem eigenen VPS-Server selbst gehostet (Self-Hosted / On-Premise). Damit bleiben alle erhobenen Daten vollständig unter unserer Kontrolle – es erfolgt keine Übermittlung an Drittanbieter oder in Drittländer.

Verarbeitete Daten:

• IP-Adresse (wird unmittelbar nach der Erhebung anonymisiert – mindestens 2 Bytes werden gekürzt, z. B. 192.168.xxx.xxx → 192.168.0.0)
• Browsertyp und -version, Betriebssystem
• Referrer-URL (zuvor besuchte Seite)
• Aufgerufene Seiten und Verweildauer
• Ungefährer geografischer Standort (auf Basis der anonymisierten IP, z. B. Stadt/Region)
• Suchbegriffe, über die die Website aufgerufen wurde
• Bildschirmauflösung, Browsersprache
• Datum und Uhrzeit des Zugriffs
• Chatbot-Ereignisse (Philia): Anonymisierte Nutzungsereignisse des KI-Chatbots, z. B. ob der Chat geöffnet wurde, ob eine Nachricht gesendet wurde oder welche Schnellantwort-Schaltfläche genutzt wurde — ohne Nachrichteninhalte

IP-Anonymisierung:
Die IP-Adressen werden vor der Speicherung automatisch um mindestens zwei Bytes gekürzt (z. B. 192.168.123.45 → 192.168.0.0). Damit kann dein tatsächlicher Standort nicht auf eine einzelne Person oder einen Haushalt zurückgeführt werden.

Cookies:
Matomo setzt einen Tracking-Cookie namens _pk_id mit einer Laufzeit von 13 Monaten, um anonyme Besucherstatistiken zu erstellen. Dieser Cookie wird erst nach deiner ausdrücklichen Einwilligung über das Cookie-Banner gesetzt.

Do Not Track (DNT):
Matomo respektiert die „Do Not Track"-Einstellung deines Browsers. Wenn du in deinem Browser „Do Not Track" aktiviert hast, wird kein Tracking durchgeführt, auch wenn du dem Tracking zugestimmt hast.

Datenspeicherung:
Alle Matomo-Daten werden ausschließlich auf unserem eigenen VPS-Server in Deutschland gespeichert. Es finden keine Übermittlungen an externe Dienstleister, Cloud-Anbieter oder Drittländer statt.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 25 Abs. 1 TDDDG, da Matomo einen Cookie auf dem Endgerät setzt. Die Einwilligung wird über das Cookie-Banner (Cookiebot) eingeholt und kann jederzeit widerrufen werden.

Widerruf / Opt-Out:
Du kannst deine Einwilligung jederzeit über das Cookie-Banner auf der Website zurückziehen: Cookie-Einstellungen ändern

Speicherdauer:
Die Matomo-Daten werden auf unserem Server für maximal 24 Monate gespeichert. Nach Ablauf dieser Frist werden die Daten automatisch gelöscht.

Keine Weitergabe an Dritte:
Die mit Matomo erhobenen Daten werden niemals an Dritte weitergegeben, verkauft oder für andere Zwecke als die Website-Analyse verwendet.

Weitere Informationen: Matomo Datenschutzerklärung

9. Eingebettete Inhalte & Social Media

Auf dieser Website können externe Inhalte von Drittanbietern eingebettet sein (z. B. Videos, Musik, Social-Media-Beiträge). Diese Inhalte werden erst nach deiner ausdrücklichen Einwilligung über das Cookie-Banner geladen.

Mögliche Dienste:

• YouTube (Google LLC): Eingebettete Videos
• Instagram (Meta Platforms Ireland Ltd.): Eingebettete Beiträge
• TikTok (TikTok Technology Ltd.): Eingebettete Videos
• Pinterest (Pinterest Europe Ltd.): Eingebettete Pins
• Spotify (Spotify AB): Eingebettete Musik-Player

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über das Cookie-Banner).

Drittlandtransfer:
Viele der genannten Anbieter haben ihren Sitz in den USA oder übermitteln Daten in die USA. Die Anbieter sind teilweise nach dem EU-US Data Privacy Framework zertifiziert (z. B. Google, Meta). Die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission.

Widerruf: Du kannst deine Einwilligung jederzeit über das Cookie-Banner widerrufen: Cookie-Einstellungen ändern

Weitere Informationen zu den Anbietern:

• Google / YouTube Datenschutzerklärung
• Instagram Datenschutzerklärung
• TikTok Datenschutzerklärung
• Pinterest Datenschutzerklärung
• Spotify Datenschutzerklärung

10. Betroffenenrechte

Du hast als betroffene Person folgende Rechte gemäß der DSGVO:

• Auskunft (Art. 15 DSGVO): Du hast das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten, einschließlich Informationen über die Verarbeitungszwecke, Kategorien der Daten, Empfänger und Speicherdauer.
• Berichtigung (Art. 16 DSGVO): Du hast das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
• Löschung (Art. 17 DSGVO – „Recht auf Vergessenwerden"): Du hast das Recht, die unverzügliche Löschung deiner personenbezogenen Daten zu verlangen, sofern einer der gesetzlichen Gründe vorliegt.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Du hast das Recht, die Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen, wenn bestimmte Voraussetzungen erfüllt sind.
• Datenübertragbarkeit (Art. 20 DSGVO): Du hast das Recht, die dich betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten an einen anderen Verantwortlichen zu übermitteln.
• Widerspruch (Art. 21 DSGVO): Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten Widerspruch einzulegen, die auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Du hast das Recht, deine erteilte Einwilligung jederzeit zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt.

Bearbeitungszeit:
Wir werden Anfragen zur Ausübung deiner Rechte unverzüglich, spätestens aber innerhalb eines Monats nach Eingang der Anfrage beantworten. In besonderen Fällen kann diese Frist um weitere zwei Monate verlängert werden.

Kontakt für Betroffenenrechte:
Um deine Rechte auszuüben, kontaktiere mich bitte unter:
📧 [email protected]
📞 +49 172 7755524

Beschwerderecht bei der Aufsichtsbehörde:
Unbeschadet anderer verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe hast du das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde:
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI)
Häßlerstraße 8, 99096 Erfurt, Deutschland
📧 [email protected]
🌐 www.tlfdi.de

11. Automatisierte Entscheidungsfindung & Profiling

Wir nutzen keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO und erstellen keine Nutzerprofile auf Basis deines Verhaltens. Die von uns eingesetzten Analyse-Tools (Matomo) dienen ausschließlich der anonymen statistischen Auswertung und haben keinen Einfluss auf individuelle Entscheidungen oder Inhalte, die dir angezeigt werden.

Der KI-Chatbot Philia nutzt künstliche Intelligenz (Anthropic Claude) zur Generierung von Antworten auf deine Fragen. Dieser Prozess stellt keine automatisierte Entscheidungsfindung mit Rechtswirkung im Sinne von Art. 22 DSGVO dar — es werden weder Entscheidungen mit rechtlicher Wirkung noch ähnlich erhebliche Beeinträchtigungen gegenüber Nutzern getroffen. Philia beantwortet ausschließlich inhaltliche Fragen zu Bindungsstilen und Beziehungspsychologie.

12. Datensicherheit

Ich treffe umfassende technische und organisatorische Maßnahmen (TOM), um deine Daten gegen Verlust, Zerstörung, Manipulation und unbefugten Zugriff zu schützen. Diese Maßnahmen werden regelmäßig überprüft und dem Stand der Technik angepasst.

Technische Sicherheitsmaßnahmen:

• TLS/HTTPS-Verschlüsselung: Die Übertragung aller Daten erfolgt verschlüsselt über TLS 1.3 (Transport Layer Security). Erkennbar am Schloss-Symbol in der Adresszeile deines Browsers.
• Cloudflare-Schutz: Zusätzlicher Schutz durch DDoS-Abwehr, Web Application Firewall (WAF) und Bot-Management
• CrowdSec / AbuseIPDB: Automatisierte Erkennung und Meldung missbräuchlicher IP-Adressen zur aktiven Abwehr von Cyberangriffen (siehe Abschnitt 2b)
• KI-Chatbot-Absicherung: Der Philia-Backend-Dienst läuft isoliert in einem Docker-Container; Rate Limiting auf Nginx- und Anwendungsebene; Fail2Ban-Integration zur automatischen Sperrung missbräuchlicher IP-Adressen über die Cloudflare Firewall
• Regelmäßige Sicherheitsupdates: Alle verwendeten Systeme und Software werden zeitnah mit Sicherheitsupdates versorgt
• Zugriffsbeschränkungen: Zugriff auf personenbezogene Daten ist ausschließlich nur durch mich möglich
• Backup-Systeme: Regelmäßige Sicherungskopien zum Schutz vor Datenverlust

Organisatorische Sicherheitsmaßnahmen:

• Vertraulichkeitsverpflichtungen
• Regelmäßige Überprüfung der Sicherheitsmaßnahmen
• Datenschutzkonformes Verhalten aller involvierten Personen
• Dokumentation aller Verarbeitungstätigkeiten

13. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird bei rechtlichen, technischen oder inhaltlichen Änderungen der Website angepasst. Es gilt jeweils die aktuelle, auf dieser Seite veröffentlichte Version. Wesentliche Änderungen werden durch Aktualisierung des Datums am Anfang dieser Erklärung kenntlich gemacht.

Wir empfehlen dir, diese Datenschutzerklärung regelmäßig zu überprüfen, um über den Schutz deiner Daten informiert zu bleiben.

14. Kontakt zum Datenschutz

Fragen zum Datenschutz, zur Verarbeitung deiner personenbezogenen Daten oder zur Ausübung deiner Rechte? Kontaktiere mich gerne:

Markus Hirndorf
Moritzstraße 41, 99084 Erfurt, Deutschland
📧 [email protected]
📞 +49 172 7755524