Datenschutzerklärung

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO:

• Martin Yeh
• Richard-Strauss-Straße 21A
• 81677 München
• Deutschland
• E-Mail: privacy@ichingoracle.de
• Website: https://www.ichingoracle.de

Für allgemeine Anfragen außerhalb des Datenschutzes: support@ichingoracle.de.

I Ching Oracle ist eine webbasierte Anwendung für I-Ging-inspirierte Beratungen mit KI-unterstützten Deutungen. Nutzerinnen und Nutzer können ein Konto anlegen, Beratungen durchführen, Verläufe speichern und optional ein kostenpflichtiges Premium-Abo abschließen (Freemium-SaaS).

Wir verarbeiten personenbezogene Daten nur, soweit dies für den Betrieb der Website, die Vertragserfüllung, berechtigte Interessen oder Ihre Einwilligung erforderlich ist. Eine Weitergabe an Dritte erfolgt nur im Rahmen der in dieser Erklärung beschriebenen Auftragsverarbeitung oder wenn wir gesetzlich dazu verpflichtet sind.

Rechtsgrundlagen (Auswahl): Art. 6 Abs. 1 lit. b DSGVO (Vertrag), lit. f DSGVO (berechtigtes Interesse, z. B. IT-Sicherheit), lit. a DSGVO (Einwilligung, z. B. optionale Analyse-Cookies), lit. c DSGVO (rechtliche Verpflichtung).

Unsere Website und API werden bei einem professionellen Hosting-Anbieter betrieben (derzeit u. a. Vercel Inc. für Bereitstellung und Edge-Netzwerk). Dabei können technische Daten (z. B. IP-Adresse, Zeitstempel, angeforderte URL) in Server- und CDN-Logfiles anfallen.

Mit dem Hosting-Anbieter bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Sofern Daten in Drittländern (z. B. USA) verarbeitet werden, setzen wir — soweit erforderlich — geeignete Garantien ein (z. B. EU-Standardvertragsklauseln).

Die Anwendungsdatenbank (PostgreSQL) wird über einen separaten Datenbank-Hosting-Dienst bereitgestellt; Vertragspartner und Standort entnehmen Sie ggf. ergänzenden Unterlagen im internen Verarbeitungsverzeichnis.

Bei jedem Aufruf unserer Website werden automatisch Informationen durch Ihren Browser übermittelt und in Logfiles gespeichert, u. a.:

• IP-Adresse (ggf. gekürzt oder pseudonymisiert)
• Datum und Uhrzeit der Anfrage
• aufgerufene Seite bzw. API-Route
• HTTP-Statuscode
• Browsertyp und -version, Betriebssystem
• Referrer-URL

Zweck: Bereitstellung der Website, Fehleranalyse, Abwehr von Angriffen, Missbrauchserkennung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: in der Regel wenige Tage bis maximal ca. 30 Tage, sofern keine längere Aufbewahrung aus Sicherheitsgründen erforderlich ist.

Sie können ein Benutzerkonto mit E-Mail und Passwort anlegen. Dabei verarbeiten wir insbesondere:

• E-Mail-Adresse
• Passwort (nur als kryptografischer Hash, kein Klartext)
• optional: Anzeigename und Profilbild
• Spracheinstellungen und Kontoeinstellungen
• Beratungsverlauf: Fragen, Hexagramm-Ergebnisse, KI-Deutungen, Notizen, Favoriten
• Nutzungsdaten: Guthaben/Credits, Abonnementstatus, Zeitstempel

Zweck: Vertragserfüllung, Bereitstellung personalisierter Funktionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Sie können Ihr Konto in den Kontoeinstellungen löschen. Dadurch werden Ihre Profildaten und zugehörige Beratungen aus den aktiven Systemen entfernt, vorbehaltlich technischer Backup-Fristen und gesetzlicher Aufbewahrungspflichten (siehe Abschnitt Speicherdauer).

Optional können Sie sich mit Google anmelden (OAuth 2.0 über Auth.js / NextAuth). Dabei erhält unser System von Google u. a.:

• E-Mail-Adresse
• Name und Profilbild (sofern in Ihrem Google-Konto hinterlegt und freigegeben)
• eindeutige Google-Kennung (Subject-ID) zur Kontoverknüpfung

Anbieter: Google Ireland Limited / Google LLC. Es gelten die Datenschutzbestimmungen von Google: policies.google.com/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anmeldung/Vertrag) sowie ggf. lit. a DSGVO, soweit Sie die Google-Anmeldung aktiv wählen.

Für Premium-Abonnements nutzen wir Stripe, Inc. als Zahlungsdienstleister. Beim Checkout werden Zahlungsdaten (z. B. Kartennummer) direkt bei Stripe eingegeben und verarbeitet — nicht auf unseren Servern.

Von Stripe erhalten wir nur die für die Vertragsabwicklung erforderlichen Metadaten, z. B.:

• Stripe-Kunden-ID und Abonnement-ID
• Zahlungs- und Abonnementstatus
• Abrechnungszeiträume
• Rechnungsreferenzen (keine vollständigen Kartendaten)

Stripe verarbeitet Daten eigenverantwortlich und nach eigenen Datenschutzgrundsätzen: stripe.com/de/privacy. Eine Übermittlung in die USA kann nicht ausgeschlossen werden; Stripe stellt hierfür geeignete Garantien bereit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und lit. c DSGVO (steuerliche Aufbewahrung von Rechnungsdaten).

Zur Erzeugung von Deutungen und Mustertexten übermitteln wir ausgewählte Inhalte Ihrer Beratung (z. B. Fragestellung, Hexagramm-Symbole, Kontext) an einen externen KI-Dienstleister. Derzeit nutzen wir die DeepSeek-API über eine OpenAI-kompatible Schnittstelle.

Wichtiger Hinweis: Die Verarbeitung kann auf Servern außerhalb der EU/des EWR (insbesondere in Drittländern) erfolgen. Soweit erforderlich, werden geeignete Schutzmaßnahmen (z. B. Standardvertragsklauseln) eingesetzt.

Wir verwenden Ihre Eingaben nicht, um öffentliche KI-Modelle zu trainieren. Die Übermittlung dient der Bereitstellung Ihrer jeweiligen Sitzung und verbundener Funktionen (z. B. Mustererkennung für Premium-Nutzer).

KI-Ausgaben sind automatisch generiert, können unzutreffend oder unvollständig sein und stellen keine medizinische, psychologische, rechtliche oder finanzielle Beratung dar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Leistung) sowie lit. f DSGVO (technisch notwendige Weiterleitung zur KI-Verarbeitung).

Wir versenden E-Mails über den Dienstleister Resend, u. a.:

• Transaktions-E-Mails (z. B. E-Mail-Bestätigung, Passwort-Reset)
• optional: Lebenszyklus-E-Mails (tägliche Impulse, wöchentliche Reflexion) — nur mit Ihrer Einwilligung bzw. soweit erlaubt
• Antworten auf Support-Anfragen

Verarbeitet werden mindestens die E-Mail-Adresse, Betreff, Inhalt sowie technische Zustellinformationen. Sie können Marketing- und Lebenszyklus-E-Mails in den Kontoeinstellungen oder über Abmeldelinks in der E-Mail abbestellen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktional) bzw. lit. a DSGVO (optionale Inhalte).

Wir verwenden Cookies und vergleichbare Technologien:

• Session-/Authentifizierungs-Cookies (NextAuth) — für Anmeldung erforderlich
• Einwilligungs-Speicher — merkt sich Ihre Cookie-/Analyse-Wahl
• optional: Besucher-Cookie für die tägliche Orakel-Vorschau ohne Konto
• optionale Analyse-Cookies — nur nach Einwilligung (siehe nächster Abschnitt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (technisch notwendig) bzw. lit. a DSGVO (nicht essenzielle Cookies). Sie können Cookies in Ihrem Browser löschen oder blockieren; einzelne Funktionen stehen dann ggf. nicht zur Verfügung.

Ausführliche Informationen finden Sie in unserer Cookie-Richtlinie.

Sofern Sie im Cookie-Banner zustimmen, können wir datenschutzfreundliche Analyse-Tools einsetzen (z. B. PostHog und/oder Google Analytics), um Nutzungsmuster zu verstehen und das Produkt zu verbessern.

Analyse wird nicht ohne Ihre Einwilligung aktiviert. Sie können die Einwilligung jederzeit über die Cookie-Einstellungen im Footer widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TTDSG.

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist:

• Kontodaten und Beratungsverlauf: bis zur Kontolöschung
• Backups: begrenzte technische Wiederherstellungsfrist, danach Löschung
• Abrechnungsdaten: gemäß handels- und steuerrechtlichen Fristen (in der Regel bis zu 10 Jahre, soweit anwendbar)
• Server-Logs: siehe Abschnitt Server-Logfiles
• Einwilligungsnachweise (Cookies): entsprechend gesetzlicher Nachweispflichten

Sie haben gegenüber uns insbesondere folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitung auf Basis von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung wenden Sie sich an: privacy@ichingoracle.de. Wir werden Anfragen innerhalb der gesetzlichen Fristen bearbeiten.

Beschwerderecht: Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, z. B. beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), wenn Sie in Bayern ansässig sind oder die Verarbeitung dort erhebliche Auswirkungen hat.

Einwilligungen: Sie können erteilte Einwilligungen (z. B. für Analyse-Cookies oder optionale E-Mails) jederzeit mit Wirkung für die Zukunft widerrufen.

Kontolöschung: In den Kontoeinstellungen können Sie Ihr Konto selbst löschen.

Löschanfragen: Ohne Zugang zum Konto können Sie die Löschung oder Auskunft per E-Mail an privacy@ichingoracle.de beantragen. Zur Verifikation können wir eine Rückfrage an die bei uns hinterlegte E-Mail-Adresse stellen.

Eine Löschung ist nicht möglich, soweit wir zur Aufbewahrung gesetzlich verpflichtet sind oder berechtigte Interessen entgegenstehen (z. B. Abwehr von Rechtsansprüchen).

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten, u. a.:

• Verschlüsselte Übertragung (HTTPS/TLS)
• Passwort-Hashing (keine Klartextspeicherung)
• Zugriffsbeschränkungen und rollenbasierte Administration
• Hosting bei etablierten Cloud-Anbietern mit Sicherheitsstandards

Absolute Sicherheit kann im Internet nicht garantiert werden. Bitte schützen Sie Ihre Zugangsdaten und melden Sie verdächtige Aktivitäten an support@ichingoracle.de.

Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, Dienste oder Verarbeitungspraktiken ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar; das Datum „Stand“ oben gibt den Zeitpunkt der letzten wesentlichen Aktualisierung an.

Bei wesentlichen Änderungen informieren wir registrierte Nutzer, soweit erforderlich, per E-Mail oder Hinweis in der Anwendung.