Privacy Policy

This privacy policy is provided in German as required by EU data protection law (GDPR/DSGVO). The German version is legally binding. An English translation will be provided in the future.

Stand: April 2026

1. Verantwortlicher

Joel Schneider & Paul Yurian Kreft
Heym GbR (Gesellschaft bürgerlichen Rechts)
Maybachstraße 22
50670 Köln
E-Mail: soyboyshq@gmail.com
Telefon: +49 176 46 151 828

2. Datenschutzbeauftragter

Die Benennung eines Datenschutzbeauftragten ist für uns gesetzlich nicht erforderlich (§ 38 BDSG). Bei Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte Kontaktadresse.

3. Übersicht der Verarbeitungen

Im Rahmen unseres Dienstes verarbeiten wir folgende Kategorien personenbezogener Daten:

• Bestandsdaten – Name, E-Mail-Adresse, Profilbild, Zeitzone
• Inhaltsdaten – Aufgaben, Ziele, Gewohnheiten, Lebensbereiche, Labels, Pomodoro-Sitzungen, Favoriten, Einstellungen
• Zahlungsdaten – Rechnungsinformationen, Zahlungshistorie (über Stripe)
• Nutzungsdaten – Zugriffszeitpunkte, Geräte- und Browserinformationen
• Technische Daten – IP-Adressen, Fehlermeldungen, Anfragemetadaten

4. Maßgebliche Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen der DSGVO:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Die betroffene Person hat ihre Einwilligung für einen bestimmten Zweck erteilt (z. B. Webanalyse).
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Die Verarbeitung ist zur Erfüllung des Nutzungsvertrags erforderlich.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen erforderlich, sofern nicht die Interessen der betroffenen Person überwiegen.

5. Registrierung und Nutzerkonto

Bei der Registrierung erheben wir folgende Daten:

• E-Mail-Adresse
• Vollständiger Name
• Profilbild (über Ihr Google-Konto)
• Zeitzone

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Registrierung ist Voraussetzung für die Nutzung unseres Dienstes.

6. Authentifizierung

Wir bieten verschiedene Anmeldemethoden an: die Anmeldung über externe Identitätsanbieter (Google, Apple) sowie die Anmeldung per E-Mail (Magic Link). Die Datenübertragung erfolgt erst, wenn Sie aktiv die jeweilige Anmeldemethode auswählen.

6.1 E-Mail-Authentifizierung (Magic Link)

Bei der Anmeldung per Magic Link geben Sie Ihre E-Mail-Adresse ein und erhalten einen einmaligen Anmeldelink per E-Mail. Ihre E-Mail-Adresse wird hierfür an unseren Authentifizierungsdienst Supabase (siehe Abschnitt 9.1) übermittelt. Der E-Mail-Versand erfolgt über den Dienstleister Resend (siehe Abschnitt 9.4).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

6.2 Google OAuth

Beim Anmelden über Google werden Name, E-Mail-Adresse und Profilbild von Ihrem Google-Konto übermittelt.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Drittlandtransfer: Google ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023).

Datenschutzerklärung von Google: https://policies.google.com/privacy

6.3 Apple Sign-In

Beim Anmelden über Apple werden Name und E-Mail-Adresse von Ihrem Apple-Konto übermittelt. Apple bietet Ihnen die Möglichkeit, Ihre E-Mail-Adresse zu verbergen (Private Relay); in diesem Fall wird eine von Apple generierte Weiterleitungsadresse übermittelt.

Anbieter: Apple Distribution International Ltd., Hollyhill Industrial Estate, Cork, Irland

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Drittlandtransfer: Apple ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

Datenschutzerklärung von Apple: https://www.apple.com/legal/privacy/

7. Nutzungsdaten (Ihre Inhalte)

Im Rahmen der Nutzung unseres Dienstes verarbeiten und speichern wir die von Ihnen erstellten Inhalte:

• Aufgaben (Titel, Beschreibung, Fälligkeitsdaten, Prioritäten, Abschlussstatus)
• Ziele (Titel, Beschreibung, Messungen, Fortschrittswerte)
• Gewohnheiten (Titel, Häufigkeit, Zielwerte, tägliche Abschlüsse, Notizen)
• Lebensbereiche (Name, Visionstext)
• Labels und Kategorisierungen
• Pomodoro-Sitzungen (Dauer, Typ, Status)
• Persönliche Einstellungen und Präferenzen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Speicherung dieser Daten ist der Kernzweck unseres Dienstes.

8. Zahlungsabwicklung (Stripe)

Für kostenpflichtige Abonnements nutzen wir den Zahlungsdienstleister Stripe. Kreditkartendaten werden direkt von Stripe verarbeitet und zu keinem Zeitpunkt auf unseren Servern gespeichert.

Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland

Verarbeitete Daten: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsinformationen, Transaktionshistorie

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Drittlandtransfer: Stripe ist unter dem EU-U.S. Data Privacy Framework zertifiziert und verwendet zusätzlich EU-Standardvertragsklauseln (SCCs).

Datenschutzerklärung von Stripe: https://stripe.com/privacy

9. Hosting und Infrastruktur

9.1 Datenbank und Authentifizierung (Supabase)

Unsere Datenbank und Authentifizierung werden bei Supabase gehostet. Sämtliche Nutzerdaten werden in einer PostgreSQL-Datenbank in der EU gespeichert.

Anbieter: Supabase, Inc., 970 Toa Payoh North #07-04, Singapur 318992 (US-amerikanisches Unternehmen)

Serverstandort: EU (Irland, AWS eu-west-1)

Verarbeitete Daten: Alle in den Abschnitten 5–7 genannten Daten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Drittlandtransfer: Die Daten werden in der EU gespeichert. Da Supabase seinen Hauptsitz außerhalb des EWR hat, stützen wir die Datenverarbeitung auf EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO.

9.2 Anwendungshosting (Vercel)

Unsere Webanwendung wird auf der Plattform Vercel gehostet. Sämtliche HTTP-Anfragen an unseren Dienst werden über die Infrastruktur von Vercel verarbeitet.

Anbieter: Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA

Verarbeitete Daten: IP-Adressen, HTTP-Anfragemetadaten (URL, Header, Methode), Serverprotokolle

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässigem und performantem Hosting)

Drittlandtransfer: Vercel ist unter dem EU-U.S. Data Privacy Framework zertifiziert und verwendet zusätzlich EU-Standardvertragsklauseln (SCCs).

9.3 DNS und Netzwerkschutz (Cloudflare)

Wir nutzen Cloudflare für DNS-Auflösung, DDoS-Schutz und Edge-Routing. Sämtlicher Datenverkehr zu unserem Dienst wird über die Infrastruktur von Cloudflare geleitet.

Anbieter: Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA

Verarbeitete Daten: IP-Adressen, HTTP-Anfragemetadaten, TLS-Verbindungsinformationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit, Verfügbarkeit und performanter Auslieferung unseres Dienstes)

Drittlandtransfer: Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert und verwendet zusätzlich EU-Standardvertragsklauseln (SCCs).

9.4 E-Mail-Versand (Resend)

Für den Versand von Authentifizierungs-E-Mails (Magic Links, E-Mail-Bestätigungen) nutzen wir den Dienst Resend als SMTP-Dienstleister.

Anbieter: Resend, Inc., San Francisco, CA, USA

Verarbeitete Daten: E-Mail-Adresse des Empfängers, Zeitpunkt des Versands, Zustellstatus

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Drittlandtransfer: Resend hat seinen Sitz in den USA. Wir stützen die Datenverarbeitung auf EU-Standardvertragsklauseln (SCCs).

10. Fehlerüberwachung (Sentry)

Zur Sicherstellung der Stabilität und Fehlerbehebung nutzen wir den Dienst Sentry. Bei Auftreten eines Fehlers werden automatisch technische Informationen erfasst.

Zusätzlich setzen wir Sentry Session Replay ein, um Fehler besser nachvollziehen zu können. Dabei werden Nutzerinteraktionen (Klicks, Navigation, Eingabefelder) aufgezeichnet. Session Replays werden bei 10 % aller Sitzungen und bei 100 % der Sitzungen, in denen ein Fehler auftritt, erfasst. Sensible Eingabefelder (z. B. Passwörter) werden dabei automatisch maskiert.

Anbieter: Functional Software, Inc. (Sentry), 1501 Mariposa St #408, San Francisco, CA 94107, USA

Verarbeitete Daten: Fehlermeldungen, Geräteinformationen, Browsertyp, Zeitstempel, IP-Adressen, Sitzungsaufzeichnungen (Klicks, Navigation, DOM-Interaktionen)

Serverstandort: EU (Deutschland)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilität und Fehlerbehebung unseres Dienstes)

Drittlandtransfer: Sentry ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Daten werden in der EU-Region (Deutschland) gespeichert.

11. Ratenbegrenzung und Sicherheit (Upstash)

Zum Schutz vor Missbrauch und zur Sicherstellung der Dienstverfügbarkeit setzen wir eine Ratenbegrenzung ein.

Anbieter: Upstash, Inc., San Francisco, CA, USA

Verarbeitete Daten: IP-Adressen, Anfragemetadaten (Zeitpunkt, Häufigkeit)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Missbrauchsschutz)

Speicherdauer: Daten werden nur kurzfristig (wenige Stunden) vorgehalten und danach automatisch gelöscht.

12. Webanalyse (PostHog)

Wir setzen den Analysedienst PostHog ein, um die Nutzung unserer Website zu verstehen und zu verbessern. PostHog wird ausschließlich mit Ihrer ausdrücklichen Einwilligung aktiviert.

Anbieter: PostHog, Inc., San Francisco, CA, USA

Verarbeitete Daten: Seitenaufrufe, Interaktionen, Geräteinformationen, IP-Adresse (ggf. anonymisiert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Erfassung erfolgt erst nach Ihrer aktiven Zustimmung über unser Cookie-/Einwilligungsbanner.

Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Einwilligungseinstellungen ändern.

Cookie-Hinweis: Sofern PostHog Cookies einsetzt, werden diese gemäß § 25 Abs. 1 TDDDG erst nach Ihrer ausdrücklichen Einwilligung gesetzt.

13. Content-Management (Marketing-Website)

Unsere Marketing-Website nutzt Sanity CMS zur Bereitstellung von redaktionellen Inhalten (Blog, Glossar, Changelog).

Anbieter: Sanity AS, Oslo, Norwegen (EWR)

Verarbeitete Daten: Beim Abruf von Inhalten über das Sanity CDN kann Ihre IP-Adresse verarbeitet werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung unserer Website-Inhalte)

Drittlandtransfer: Sanity hat seinen Sitz in Norwegen (EWR). Ein Transfer in Drittländer findet nicht statt.

14. Schriftarten

Wir verwenden Schriftarten, die lokal auf unseren Servern gehostet werden (Self-Hosting über next/font). Beim Laden der Schriftarten findet keine Datenübertragung an externe Anbieter (z. B. Google) statt.

15. Content Delivery Network (jsDelivr)

Für die Darstellung unserer API-Dokumentation laden wir eine JavaScript-Bibliothek über das öffentliche CDN jsDelivr. Beim Abruf der API-Dokumentationsseite stellt Ihr Browser eine Verbindung zu den Servern von jsDelivr her.

Anbieter: Prospect One Sp. z o.o., Krakau, Polen (EWR)

Verarbeitete Daten: IP-Adresse, Browserinformationen, Zeitpunkt des Abrufs

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung einer funktionsfähigen API-Dokumentation)

Drittlandtransfer: jsDelivr wird von einem polnischen Unternehmen (EWR) betrieben. Das CDN nutzt weltweit verteilte Server; bei der Auslieferung kann Ihre IP-Adresse an Server außerhalb des EWR übertragen werden.

16. Cookies und lokale Speicherung

Technisch notwendige Cookies

Wir setzen ein Authentifizierungs-Cookie zur Sitzungsverwaltung ein. Dieses Cookie ist technisch notwendig und wird gesetzt, sobald Sie sich anmelden.

Lokale Speicherung (Local Storage)

Wir nutzen die lokale Speicherung des Browsers für Ihre Designeinstellungen (z. B. helles oder dunkles Erscheinungsbild). Diese Daten verlassen Ihren Browser nicht und werden nicht an unsere Server übertragen.

Analyse-Cookies

Sofern PostHog eingesetzt wird, können Analyse-Cookies verwendet werden. Diese werden gemäß § 25 Abs. 1 TDDDG erst nach Ihrer ausdrücklichen Einwilligung gesetzt. Ohne Ihre Zustimmung findet kein Tracking statt.

17. API-Zugang für Drittanwendungen

Im Rahmen kostenpflichtiger Abonnements bieten wir eine API-Schnittstelle an. Bei Nutzung der API werden zusätzlich verarbeitet:

• API-Schlüssel (Name, Berechtigungsumfang, Erstellungsdatum)
• Nutzungsprotokolle (HTTP-Methode, Pfad, Statuscode, Antwortzeit)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

18. Auftragsverarbeitung

Wir haben mit allen in dieser Datenschutzerklärung genannten Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten, Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen. Diese Verträge stellen sicher, dass unsere Auftragsverarbeiter personenbezogene Daten nur nach unserer Weisung verarbeiten und angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten umsetzen.

19. Datenübermittlung in Drittländer

Einige unserer Auftragsverarbeiter haben ihren Sitz außerhalb des EWR. Wir stellen den Schutz Ihrer Daten durch folgende Maßnahmen sicher:

20. Speicherdauer und Löschung

• Kontodaten: Bis zur Löschung Ihres Nutzerkontos
• Inhaltsdaten (Aufgaben, Ziele etc.): Bis zur Löschung durch Sie oder bei Kontoauflösung
• Gelöschte Inhalte (Papierkorb): 30 Tage nach Löschung, danach endgültig entfernt
• Zahlungsdaten: 10 Jahre gemäß handels- und steuerrechtlichen Aufbewahrungspflichten (§ 147 AO, § 257 HGB)
• Fehlerprotokolle (Sentry): 90 Tage
• Ratenbegrenzungsdaten (Upstash): Wenige Stunden
• Analysedaten (PostHog): Anonymisierung nach 24 Monaten

21. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
• Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.
• Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO jederzeit widersprechen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: soyboyshq@gmail.com

22. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem unser Geschäftssitz liegt, oder die Aufsichtsbehörde Ihres Wohnsitzes bzw. des Ortes des mutmaßlichen Verstoßes.

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44, 40102 Düsseldorf
Kavalleriestraße 2–4, 40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Website: https://www.ldi.nrw.de

23. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.

24. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslage oder bei Änderungen unseres Dienstes bzw. der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen werden wir Sie gesondert informieren.