Datenschutzerklärung

Bernard Zitzer
Erich-Weinert-Str. 19
10439 Berlin
Email: info@bernard.digital

Beim bloßen Aufruf der Seite:

• IP-Adresse (anonymisiert / nicht dauerhaft gespeichert, Server-Logs max. 7 Tage)
• Browser-Typ, Referrer, abgerufene Seite (technische Notwendigkeit nach Art. 6 Abs. 1 lit. f DSGVO)

Beim Absenden einer Review:

• Angezeigter Name (öffentlich — du wählst ihn selbst)
• Email-Adresse (optional) — wird zusätzlich zum gehashed-Tabellenwert im Klartext nur kurzzeitig zum Versand der Bestätigungs-Mail verarbeitet (gehoben über unseren Versandpartner Resend, siehe Punkt 5). Dauerhaft im Store: nur der salted Hash. Wird nicht angezeigt, nie an Läden weitergegeben.
• Foto (wird verarbeitet, in WebP umgewandelt, von EXIF-Metadaten befreit; Originaldatei wird nicht dauerhaft gespeichert)
• EXIF-Metadaten (Kamera-Modell, Aufnahmezeit, GPS-Koordinaten — ausschließlich zur Verifizierung verwendet, nicht veröffentlicht)
• Detaillierte Angaben (Brot, Fleisch, Sauce, Scores, Preis, Kommentar)
• IP-Adresse (gehashed mit Salt für Missbrauchserkennung)
• Marketing-Opt-In (optional, separates Häkchen im Formular): wenn du zustimmst, dürfen wir dich gelegentlich per Email kontaktieren (~1× pro Monat) mit Updates zu neuen Läden, Deals von Premium-Partnern und Insights. Ohne dein Häkchen senden wir ausschließlich die transaktionale Bestätigungs-Mail nach Submit — keinerlei weitere Mails. Rechtsgrundlage Marketing-Mails: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), jederzeit per Klick im Newsletter-Footer widerrufbar.

Beim Absenden von Feedback oder einer Profil-Anspruch-Anfrage:

• Name (optional)
• Email-Adresse (gehashed für Rückfrage-Abgleich)
• Inhalt deiner Nachricht

• Betrieb der Plattform: Art. 6 Abs. 1 lit. b (Vertragserfüllung) und lit. f DSGVO (berechtigtes Interesse an funktionierendem Dienst).
• Reviews: Freiwilliger Upload durch dich. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) mit der Maßgabe, dass du deine Review jederzeit zurückziehen kannst.
• Verifizierung (EXIF-GPS-Abgleich): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Echtheits-Nachweis und Fake-Review-Prävention). Das ist der Kern unseres Plattform-Versprechens.
• Anti-Missbrauch (Rate-Limits, IP-Hashes): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Integritätssicherung).

Wir setzen aktuell keine Tracking-Cookies und kein Third-Party- Analytics. Funktional nutzen wir ausschließlich localStorage deines Browsers, um deine Name/Email-Eingabe für zukünftige Reviews vorzubefüllen (nicht auf unseren Servern gespiegelt). Du kannst das jederzeit in deinem Browser löschen.

Falls wir später Analytics einführen (z.B. Vercel Analytics oder Plausible — beide cookieless), aktualisieren wir diese Erklärung und fragen deine Einwilligung ab, wo gesetzlich erforderlich.

• Google Maps — auf Laden-Seiten eingebettete Karte. Google kann dabei technische Daten (IP, Browser) erhalten. Datenschutz von Google: policies.google.com/privacy.
• OpenStreetMap — Grundlage unserer Geodaten. Keine personen- bezogenen Daten werden übertragen (statisch abgerufen).
• Vercel — Hosting-Infrastruktur. EU-Regionen bevorzugt. AVV mit Vercel geschlossen.
• Resend (Email-Versanddienst) — wir nutzen Resend (Resend, Inc., USA) als Auftragsverarbeiter für transaktionale Bestätigungs-Mails und (bei Opt-In) Newsletter. Übergeben wird dabei deine Email-Adresse im Klartext und der Mail-Inhalt (Place-Name, Edit-Link, Foto-URL). Resend speichert Sende- Metadaten (Datum, Status, Empfänger-Domain) bis zu 30 Tage. AVV nach Art. 28 DSGVO besteht. Datenschutz von Resend: resend.com/legal/privacy-policy.
• Clerk (optional, nur wenn du dich anmeldest) — Authentifizierungs- Anbieter für Login mit Reddit/Google/X. Verarbeitet deine OAuth-Daten (Provider- Username, Email, Name, ggf. Profilbild) im Auftrag von doener.io. AVV besteht. Wir speichern lokal nur eine gehashed Email + Display-Name + Profilbild-URL. Datenschutz von Clerk: clerk.com/legal/privacy. Du kannst dein Konto jederzeit über das User-Menü oder per Email an info@bernard.digital löschen.
• OAuth-Provider (Reddit, Google, X — nur wenn du sie zum Login nutzt) — senden uns nach deiner Einwilligung Profil-Username + Email. Account-Alter und Karma fragen wir aktuell nicht ab. Du kannst die Verbindung jederzeit in den jeweiligen Provider-Einstellungen widerrufen.

• Server-Logs: maximal 7 Tage.
• Reviews: solange sie öffentlich angezeigt werden (du kannst Löschung verlangen).
• Fotos zu Reviews: gleicher Lebenszyklus wie die Review.
• EXIF-Original-Metadaten: werden nach Verifizierung verworfen; nur das prozessierte Bild ohne EXIF bleibt.
• Claim-Anfragen und Feedback: 24 Monate, dann Löschung.
• Gehashte Emails/IPs: verbleiben zur Missbrauchs-Prävention; keine Re-Identifikation möglich ohne Salt.

Du hast nach DSGVO die folgenden Rechte:

• Auskunft (Art. 15)
• Berichtigung (Art. 16)
• Löschung (Art. 17)
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch (Art. 21)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77)

Zur Ausübung deiner Rechte schreibe an info@bernard.digital. Wir antworten innerhalb von 30 Tagen.

Die Kommunikation zwischen deinem Browser und unseren Servern ist TLS-verschlüsselt. Intern nutzen wir Least-Privilege-Zugriff, hashen sensible Felder und vermeiden die Speicherung unnötiger personenbezogener Daten.

Wir passen diese Erklärung an, wenn sich etwas an der Verarbeitung ändert. Die jeweils aktuelle Version findest du immer unter /datenschutz.