Datenschutzerklärung

27. Juni 2025

Diese Datenschutzerklärung informiert über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf thc.nurrobin.de („Website“).

1. Verantwortlicher

Robin Gramb Im Soppen 3, 88639 Wald E-Mail: privacy@nurrobin.de

2. Datenschutzbeauftragter

Nach § 38 BDSG ist kein Datenschutzbeauftragter zu benennen.

3. Server-Protokolle (nginx)

Bei jedem Aufruf der Website werden serverseitig folgende Daten protokolliert: Datum/Uhrzeit, IP-Adresse, aufgerufene URL, HTTP-Methode, Statuscode, User-Agent.

Zweck: Betrieb der Website, IT-Sicherheit, Fehleranalyse Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) Speicherdauer: 14 Tage (Rotation per logrotate: tägliche Rotation, Aufbewahrung von 14 Archiven inkl. Kompression).

4. Kontaktaufnahme

Bei Kontakt per E-Mail oder Formular werden Name, E-Mail-Adresse und der Inhalt Ihrer Anfrage verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche/vertragliche Kommunikation) Speicherdauer: bis zum Abschluss der Bearbeitung und darüber hinaus nur, soweit gesetzliche Aufbewahrungspflichten bestehen.

5. Cookies

Die Website setzt ausschließlich technisch notwendige Cookies ein.

CookieZweckGeltungsbereichLaufzeitKategorie
pb_authAuthentifizierte Login-Sitzungthc.nurrobin.de / .nurrobin.debis Logout oder Ablauf (i. d. R. bis zu 3 Tagen)Notwendig

Hinweis (TTDSG): Es werden keine Statistik-/Marketing-Cookies gesetzt; ein Cookie-Banner ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG).

6. Betroffenenrechte

Sie haben nach Art. 15 ff. DSGVO das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch nach Art. 21 DSGVO. Kontakt: privacy@nurrobin.de

7. Widerruf von Einwilligungen

Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, per E-Mail an privacy@nurrobin.de oder durch Löschen des Accounts in den Einstellungen.

8. Beschwerderecht

Zuständige Aufsichtsbehörde: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW).

9. Pflicht zur Bereitstellung

Die Bereitstellung personenbezogener Daten ist gesetzlich nicht vorgeschrieben. Ohne als Pflichtfeld markierte Angaben ist eine Registrierung jedoch nicht möglich.

10. Automatisierte Entscheidungen / Profiling

Finden nicht statt.

Zusatzdienste auf thc.nurrobin.de

PocketBase (Datenbank & Authentifizierung) (thcdata.nurrobin.de)

Zweck: Nutzerkonten, Datenverwaltung (CRUD), Datei-Uploads Verarbeitete Daten: Benutzername, optionale E-Mail-Adresse, gehashte Passwörter, Profilfelder, hochgeladene Dateien, Zeitstempel Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. f (IT-Sicherheit) Empfänger/Verarbeitung: Selbst gehosteter PocketBase-Server (Docker) auf der unten genannten Hosting-Infrastruktur Drittlandtransfer: nicht beabsichtigt Speicherdauer: bis zur Löschung des Nutzerkontos Zugriffskontrollen: Authentifizierung und rollenbasierte Berechtigungen (PocketBase-ACL)

PocketBase-Systemprotokolle

PocketBase führt technische Protokolle (inkl. Client-IP-Adresse) zu Betriebs- und Fehlersuchzwecken. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO Speicherdauer: max. 5 Tage, danach automatische Löschung (konfigurationsgemäß).

Cannabis-Sessions & Dashboard (Art. 9 DSGVO)

Zweck: Speicherung/Auswertung freiwillig eingegebener Konsumdaten (z. B. Menge, THC-Gehalt, Konsumart, Datum/Uhrzeit, optionale Notizen) zur Anzeige persönlicher Statistiken. Rechtsgrundlage: Art. 6 Abs. 1 lit. a i. V. m. Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Einwilligung/Widerruf: Verarbeitung nur bei aktiv erteilter Einwilligung; Widerruf jederzeit per E-Mail oder durch Account-Löschung. Speicherdauer: bis zum Widerruf bzw. zur Account-Löschung. Datenübertragbarkeit: Export (JSON/CSV) in den Account-Einstellungen. Drittlandtransfer: nicht beabsichtigt.

Gesundheitsdaten (freiwillig, Art. 9 DSGVO)

Zweck: Speicherung/Auswertung freiwilliger Gesundheitsdaten zur genaueren Berechnung und Visualisierung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a i. V. m. Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Einwilligung/Widerruf: jederzeit per E-Mail oder durch Account-Löschung. Speicherdauer: bis zum Widerruf bzw. zur Account-Löschung. Datenübertragbarkeit: Export (JSON/CSV). Drittlandtransfer: nicht beabsichtigt.

THC-Berechnungen Personalisierung (optional, Art. 9 DSGVO)

Um präzisere THC-Konzentrationsberechnungen zu ermöglichen, können Sie optional folgende Personalisierungsdaten angeben:

Erfasste Daten (alle freiwillig mit explizitem Opt-In):

  • Körperliche Merkmale (Basis):

    • Körpergewicht (kg) – zur Berechnung des Verteilungsvolumens
    • Körpergröße (cm) – zur optionalen BMI-Berechnung

  • Besonders sensible Gesundheitsdaten (Extra-Opt-In erforderlich):

    • Biologisches Geschlecht (m/w/nicht angegeben) – kann Metabolisierungsunterschiede beeinflussen (nur für Forschungszwecke)
    • Körperfettanteil (%) – beeinflusst die lipophile THC-Speicherung

  • Konsummuster & Verhalten:

    • Toleranzniveau (0-3) – beeinflusst subjektive Wirkung
    • Stoffwechselgeschwindigkeit (0-2) – beeinflusst Abbaugeschwindigkeit
    • Bevorzugte Konsumform (Joint/Bong/Vaporizer/Edible)
    • Mischung mit Tabak (ja/nein)

  • Kontextfaktoren (Session-spezifisch):

    • Nüchtern-Status (ja/nein)
    • Zeit seit letzter Mahlzeit (Minuten)
    • Flüssigkeitsversorgung (niedrig/normal/hoch)
    • Aktivitätslevel nach Konsum (sitzend/leicht aktiv/aktiv)

Zweck: Personalisierte pharmakokinetische Berechnungen zur genaueren Schätzung der THC-Blutkonzentration und Wirkungsdauer basierend auf individuellen Faktoren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a i. V. m. Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung für Gesundheitsdaten).

Einwilligung/Opt-In:

  • Personalisierung muss aktiv in den Einstellungen aktiviert werden
  • Besonders sensible Daten (Geschlecht, Körperfett) erfordern zusätzliche explizite Bestätigung mit Warnhinweis
  • Prominente Datenschutzhinweise werden vor Aktivierung angezeigt

Widerruf/Deaktivierung:

  • Jederzeit in den Account-Einstellungen deaktivierbar (Daten bleiben gespeichert, werden aber nicht verwendet)
  • Einzelne Felder können gelöscht werden
  • Vollständige Löschung durch Account-Löschung
  • Widerruf auch per E-Mail möglich

Datenspeicherung & Sicherheit:

  • Speicherung verschlüsselt in der PocketBase-Datenbank
  • Zugriff nur durch den Nutzer selbst (kein Zugriff durch andere Nutzer oder Dritte)
  • Keine Weitergabe an Drittanbieter
  • Keine Verwendung für Marketing oder andere Zwecke
  • Keine Analyse oder Aggregation über Nutzer hinweg

Speicherdauer: bis zur Account-Löschung oder expliziten Löschung der Personalisierungsdaten.

Datenübertragbarkeit: Vollständiger Export aller Personalisierungsdaten im JSON-Format über die Account-Einstellungen.

Transparenz: Detaillierte Dokumentation, welche Faktoren wie in die Berechnungen einfließen, ist in den Einstellungen einsehbar.

Content-Delivery, DNS & Sicherheitsdienste (Cloudflare)

Dienst: Cloudflare, Inc. – Einsatz als DNS-Provider (autoritative Nameserver) und Reverse-Proxy/CDN/WAF („orange Wolke“). Zweck: Auslieferung der Website, DDoS-/Angriffsschutz, Web-Application-Firewall, Bot-Abwehr, Performance-Optimierung sowie Edge-/Proxy-basierte Nutzungsstatistiken (z. B. Request-Zahlen, Bandbreite, Cache-Treffer) ohne clientseitiges JavaScript.

Verarbeitete Daten: IP-Adresse, angefragte URL/Path, HTTP-Header (u. a. User-Agent, Referrer), Zeitstempel, Protokoll-/TLS-Metadaten sowie hieraus generierte Sicherheits-/Ereignis- und Betriebs-Logs. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: sicherer, effizienter Betrieb). Auftragsverarbeitung/Datenübermittlung: Es gilt das Cloudflare Customer Data Processing Addendum (DPA) inkl. EU-Standardvertragsklauseln (SCC). – DPA: https://www.cloudflare.com/cloudflare-customer-dpa/ – SCC: https://www.cloudflare.com/cloudflare-customer-scc/

Datenlokation/Drittlandtransfer: Cloudflare nutzt ein global verteiltes Netz (u. a. EU/EEA und USA). Übermittlungen erfolgen auf Basis des DPA/SCC. Eine besondere Datenlokalisierung ist für den CDN-/WAF-Einsatz nicht konfiguriert. (Hinweis: R2-Backups siehe gesonderten Abschnitt „Backups (Cloudflare R2 – EU)“.)

Cloudflare-Cookies (nur sicherheitsbedingt, technisch erforderlich):

CookieZweckLaufzeitKategorie
__cf_bmBot-Erkennung/Bot-Abwehri. d. R. ≤ 30 MinNotwendig
cf_clearanceNachweis bestandener Challenge (WAF)variabelNotwendig
__cfruid / _cfuvidRate-Limiting/Bot-SchutzSession/kurzNotwendig

Es werden keine Cloudflare-Analytics via clientseitigem JavaScript (Web Analytics Beacon) eingesetzt.

TLS/HTTPS

Alle Verbindungen zur Website erfolgen verschlüsselt über HTTPS (TLS); die Zertifikate werden serverseitig in nginx eingebunden.

Backups (Cloudflare R2 – EU)

Zweck: Tägliche Sicherungskopien der Anwendung/Database zur Ausfallsicherheit und Wiederherstellung. Umfang der Sicherungen: Snapshot der PocketBase-Daten (z. B. Nutzer-/Profildaten, Inhalts-/Nutzungsdaten, System-/Fehlerprotokolle; abhängig von Ihrer Nutzung). Automatisierung & Aufbewahrung: automatische tägliche Backups; max. 7 Backups werden vorgehalten (Rolling-Retention). Ältere Sicherungen werden automatisch gelöscht. Anbieter/Empfänger: Cloudflare, Inc. – R2 Object Storage (S3-kompatibel). Speicherort/Jurisdiktion: Backups werden in einem R2-Bucket mit Jurisdiktion „Europäische Union (EU)“ gespeichert; Objekte verbleiben innerhalb der EU. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Ausfallsicherheit und Datenwiederherstellung). Auftragsverarbeitung & Übermittlungsrahmen: Es gilt das Cloudflare Customer DPA inkl. SCC; Cloudflare ist zudem nach dem EU-US Data Privacy Framework (DPF) zertifiziert. – DPA: https://www.cloudflare.com/cloudflare-customer-dpa/ – SCC: https://www.cloudflare.com/cloudflare-customer-scc/ – DPF-Eintrag: https://www.dataprivacyframework.gov/ (Suche: „Cloudflare, Inc.“)

Mögliche Drittlandübermittlungen: Trotz EU-Speicherung der Objekte können im Rahmen des Betriebs (z. B. Supportfälle oder verarbeitungsbegleitende Metadaten) Übermittlungen in Drittländer erfolgen. Diese erfolgen auf Grundlage des DPF und/oder der SCC gemäß DPA. Cloudflare veröffentlicht zudem eine Liste der Unterauftragsverarbeiter. – Sub-Processor-Übersicht: https://www.cloudflare.com/trust-hub/ (Unterpunkt „Subprocessors“)

Speicherdauer: 7 Tage, danach automatische Löschung. Sicherheit: Cloudflare schützt gespeicherte Daten nach dem Stand der Technik (u. a. Verschlüsselung). Optional können Backups zusätzlich client-seitig verschlüsselt werden, bevor sie übertragen werden.

Auftragsverarbeitung / Hosting (Oracle Cloud)

Die Hosting-Infrastruktur wird auf Oracle Cloud Infrastructure (OCI) betrieben (Compute/Netzwerk; „Always Free“). Auftragsverarbeitung: Es gilt das Data Processing Agreement (DPA) von Oracle gemäß Art. 28 DSGVO (Stand: Juni 2025). Öffentliche Fassung: https://www.oracle.com/contracts/docs/data-processing-agreement-oracle-services-060225.pdf (Es wird eine Archivkopie zu Nachweiszwecken vorgehalten.)

Drittlandtransfer: nicht beabsichtigt; der Betrieb erfolgt in einer EU-Region. Sollte ausnahmsweise eine Übermittlung in ein Drittland erforderlich werden, erfolgt diese ausschließlich unter den Voraussetzungen der Art. 44 ff. DSGVO (z. B. EU-Standardvertragsklauseln).

Externe Inhalte / Drittanbieter

Abgesehen von Cloudflare (siehe oben) werden keine externen Analyse-, Marketing- oder Font-Dienste (z. B. Google Analytics, Google Fonts, reCAPTCHA) eingebunden.

Änderungen dieser Datenschutzerklärung

Diese Erklärung wird bei technischen/organisatorischen Änderungen aktualisiert. Maßgeblich ist die oben angegebene Fassung („Stand“).