Dies ist eine Demo-Version. Alle Daten sind fiktiv.
Skip to content
grovation
Zurück zum Shop

Datenschutzerklärung

1. Verantwortlicher

Yuki by Timon Schenkbier

Inhaber: Timon Schenkbier

Ingeborg-Bachmann-Straße 1

31157 Sarstedt, Deutschland

USt-IdNr: DE457821598

E-Mail: hilfe@yuki-schenkbier.de

Plattform-Kontakt: growzentrale@grovation.de

2. Überblick der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z.B. Namen, Adressen)
  • Kontaktdaten (z.B. E-Mail, Telefonnummern)
  • Inhaltsdaten (z.B. Grow-Diary-Einträge, Gear-Daten)
  • Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit)
  • Zahlungsdaten (verarbeitet durch Stripe Payments Europe Ltd., Dublin)
  • Nutzungsdaten (z.B. besuchte Seiten, Zugriffszeiten)
  • Meta-/Kommunikationsdaten (z.B. IP-Adressen, Geräteinformationen)

3. Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten gegeben.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.

4. Hosting

Unsere Website wird bei Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) gehostet. Hetzner verarbeitet Zugriffsdaten (IP-Adressen, Zeitstempel) im Rahmen der Bereitstellung der Server-Infrastruktur. Die Verarbeitung erfolgt auf Servern in Deutschland.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – effiziente und sichere Bereitstellung unseres Onlineangebotes.

5. Authentifizierung & Datenbank (Supabase)

Für die Benutzerauthentifizierung und Datenspeicherung nutzen wir Supabase (Supabase Inc., 970 Toa Payoh North, #07-04, Singapore 318992). Die Daten werden auf Amazon Web Services (AWS) in Frankfurt am Main (eu-central-1), Deutschland gespeichert.

Verarbeitete Daten

  • E-Mail-Adresse (für Magic-Link-Authentifizierung)
  • Profildaten (Anzeigename, Benutzername, Bio, Erfahrungslevel)
  • Grow-Diary-Einträge
  • Gear-/Equipment-Daten
  • Session-Tokens

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Bereitstellung des Benutzerkontos und der Community-Funktionen.

6. Zahlungsabwicklung (Stripe)

Für die Zahlungsabwicklung von Abos (Conservatory, Atelier, Vereins-Abos, Community-Boost) und Bestellungen nutzen wir Stripe Payments Europe, Limited (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland). Stripe verarbeitet die für die Zahlungsabwicklung erforderlichen Daten (Name, E-Mail, Rechnungs-/Lieferadresse, Zahlungsdaten wie Kartennummer, Bestelldaten, IP).

Es kann eine Übermittlung an Stripe Inc. (USA) erfolgen. Die Datenübermittlung in Drittländer erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit Stripe besteht ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Abwicklung von Bestellungen und Abonnements.

7. Transaktionale E-Mails (Resend)

Für den Versand transaktionaler E-Mails (z. B. Magic-Links, Bestellbestätigungen, Newsletter-Bestätigungen) nutzen wir Resend (Resend, Inc., USA). Verarbeitet werden die E-Mail-Adresse des Empfängers, der E-Mail-Inhalt und Zustell-Metadaten (Zustellzeit, IP des Mailservers).

Datenfluss USA: Mit Resend besteht ein AVV nach Art. 28 DSGVO sowie eine Übermittlung gestützt auf EU-Standardvertragsklauseln.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Newsletter.

7a. KI-Features (Sage AI-Chat, Grow-Planer, Foto-Analyse)

Für KI-gestützte Funktionen wie den Sage AI-Chat, den Grow-Planer und die Foto-Analyse nutzen wir je nach Verfügbarkeit folgende Anbieter (kaskadiert mit Fallback):

  • OpenRouter Inc. (USA) – Routing zu verschiedenen LLM-Anbietern. AVV vorhanden, Übermittlung auf Basis EU-Standardvertragsklauseln.
  • Google Cloud Vertex AI (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) – ergaenzendes Vertex AI Modell-Hosting. Mit Google besteht ein Data Processing Addendum (DPA); Datenübermittlung in die USA erfolgt auf Grundlage von SCCs.
  • Google Gemini API (Google Ireland Ltd.) – wird als Fallback genutzt. Gleiche Datenschutzbasis wie Vertex AI.

Verarbeitet werden vom Nutzer eingegebene Prompts, Foto-Uploads und Konversationskontext. Die Inhalte werden nicht zum Modell-Training der Anbieter verwendet (Opt-Out vertraglich vereinbart).

Speicherung & Löschung: Konversationen werden in unserer Datenbank in den Tabellen ai_chat_sessions und ai_chat_messages gespeichert, damit du später darauf zurückgreifen kannst. Du kannst deine Sage-Konversationen jederzeit selbständig über das Konto-Menü („Profil → AI-Einstellungen → Verlauf löschen“) entfernen. Bei vollständiger Konto-Löschung (Art. 17 DSGVO) werden auch alle Sage-Sessions gelöscht.

Transparenz nach EU AI Act (Art. 50): Sage ist als KI-System (Large Language Model) klar erkennbar. Vor jeder neuen Konversation wird im Sage-Panel der Hinweis „Du chattest mit Sage — einer KI“ eingeblendet, ein persistenter Tooltip neben dem Sage-Avatar weist auf den KI-Charakter und mögliche Fehler hin. Antworten basieren auf KI-Modellen und können fehlerhaft sein – keine medizinische, rechtliche oder fachliche Beratung. Sage trifft keine automatisierten Einzelfallentscheidungen mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO. Näheres zur Auftragsverarbeitung findest du in Sektion 6 (Auftragsverarbeitung).

Rechtsgrundlage: Einwilligung bzw. Vertragserfüllung (Art. 6 Abs. 1 lit. a / b DSGVO).

8. Webanalyse (Umami)

Wir nutzen Umami, eine datenschutzfreundliche, Open-Source-Webanalyse-Software. Umami wird von uns selbst auf Servern in Deutschland (Hetzner) gehostet.

Umami arbeitet vollständig ohne Cookies und speichert keine personenbezogenen Daten. Es werden keine IP-Adressen gespeichert oder an Dritte weitergegeben. Die Analyse erfolgt auf Basis anonymisierter, aggregierter Daten.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – statistische Analyse der Website-Nutzung zur Optimierung unseres Angebots. Aufgrund der cookielosen Funktionsweise ist keine Einwilligung erforderlich.

9. Cookies, lokale Speicherung & Consent

Wir kategorisieren Cookies und lokale Speicherung in drei Gruppen. Die folgende Liste ist vollständig – alle Cookies und localStorage-Einträge, die diese Website verwendet, sind hier dokumentiert.

Notwendige Cookies (immer aktiv)

Diese werden auf Basis von Vertragserfüllung bzw. berechtigtem Interesse gesetzt (Art. 6 Abs. 1 lit. b/f DSGVO, § 25 Abs. 2 TDDDG) und brauchen keine Einwilligung:

  • sb-<projekt>-auth-token – Supabase Auth-Session (Login). Lebensdauer: Session bzw. bis Logout.
  • NEXT_LOCALE – gewählte Sprache (next-intl). Lebensdauer: 1 Jahr.
  • grv-cookie-consent-v2 – Cookie-Consent-Marker selbst (deine Einwilligungs-Entscheidung). Lebensdauer: 180 Tage (entsprechend EDPB Guidelines 03/2022).
  • grv_demo – Demo-Mode-Marker auf grovation.de (zeigt Demo-Banner, lädt Mock-Daten). Lebensdauer: Session.
  • grv_gate_pass – Marker, dass du den Einlass-Gate (Wartelisten-/Zugangs-Filter) passiert hast. Lebensdauer: 30 Tage.
  • grv-age-verified – JuSchG/KCanG-Altersverifikation (18+). Wird nach Klick auf „Ja, ich bin 18+“ gesetzt. Lebensdauer: 180 Tage (gemäß EDPB Guidelines 03/2022).
  • grv-referral – Referral-Code eines werbenden Mitglieds (Affiliate-Tracking, pseudonymisiert). Lebensdauer: 30 Tage.
  • grv-campaign – Kampagnen-Code (UTM-ähnlich) für Marketing-Attribution. Lebensdauer: 30 Tage.
  • grv_admin_bypass_token – ausschließlich für Admin-Login (Inhaber). Lebensdauer: kurzer Session-Token.
  • localStorage: grv-cart-store (Warenkorb), grv-theme (Hell/Dunkel-Modus), grv-age-verified (zusätzlich zum Cookie). Diese Daten verlassen niemals deinen Browser.

Statistik (optional – nur mit deiner Einwilligung)

Umami-Analytics (selbst gehostet auf Hetzner-Servern in Deutschland). Umami arbeitet vollständig ohne Cookies und ohne IP-Speicherung. Wir laden das Umami-Skript erst, nachdem du der Statistik-Kategorie zugestimmt hast. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG).

Marketing (optional – aktuell nicht aktiv)

Aktuell nicht aktiv. Reserviert für zukünftige Tracking-Pixel von Drittanbietern (z. B. Meta-Pixel, Google-Ads-Conversion). Sollten wir solche Pixel einbauen, werden sie ausschließlich nach deiner ausdrücklichen Einwilligung geladen.

Du kannst deine Einwilligung jederzeit unter Cookie-Einstellungen (Footer-Link) widerrufen. Wir protokollieren deine Consent-Entscheidung in der Tabelle cookie_consents mit anonymisiertem (SHA-256) IP- und User-Agent-Hash zum Nachweis nach Art. 7 Abs. 1 DSGVO.

9a. Newsletter (Double-Opt-In)

Bei der Anmeldung für unseren Newsletter (Footer-Form, Waitlist-Popup, Home-Page) verarbeiten wir deine E-Mail-Adresse auf Grundlage deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO & § 7 Abs. 2 Nr. 3 UWG).

Wir setzen Double-Opt-In ein: Nach der Anmeldung erhältst du eine Bestätigungsmail mit einem 24-Stunden-gültigen Link. Erst nach Klick wird deine E-Mail-Adresse in den Verteiler aufgenommen. Bis dahin liegt sie mit Status „pending“ in der Datenbank und wird nach 30 Tagen ohne Bestätigung automatisch gelöscht.

Du kannst dich jederzeit per Klick auf den Abmelde-Link in jeder Newsletter-Mail oder per E-Mail an hilfe@yuki-schenkbier.de abmelden. Wir nutzen den RFC 8058 List-Unsubscribe-Header (One-Click-Unsubscribe).

Empfänger der Daten: Resend, Inc. (Versanddienstleister, USA, AVV nach Art. 28 DSGVO und Standardvertragsklauseln nach Art. 46 DSGVO) sowie unsere Datenbank bei Supabase (siehe Sektion 6).

10. Ihre Rechte als betroffene Person

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO) – Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten.
  • Recht auf Berichtigung (Art. 16 DSGVO) – Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.
  • Recht auf Löschung (Art. 17 DSGVO) – Sie haben das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung, zur Erfüllung einer rechtlichen Verpflichtung oder aus Gründen des öffentlichen Interesses erforderlich ist.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) – Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.
  • Widerspruchsrecht (Art. 21 DSGVO) – Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.
  • Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) – Sie haben das Recht, eine einmal erteilte Einwilligung jederzeit zu widerrufen.
  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO) – Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.

11. Datensicherheit

Wir verwenden innerhalb des Website-Besuchs das verbreitete SSL-/TLS-Verfahren (Secure Socket Layer / Transport Layer Security) in Verbindung mit der jeweils höchsten Verschlüsselungsstufe, die von Ihrem Browser unterstützt wird. Alle Daten, die Sie an uns übermitteln, können nicht von Dritten mitgelesen werden.

12. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 2026-05-06. Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern.

Stand: 2026-05-06