Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Daniel Luca Aguirre
E-Mail: daguirreftw@googlemail.com
Website: zyklusversteher.de
Hosting: Hetzner Online GmbH (Nürnberg), Server verwaltet durch Wolf Webentwicklung

2. Welche Daten wir erheben

Wir erheben und verarbeiten folgende personenbezogene Daten:

• Kontodaten: Name, E-Mail-Adresse, Passwort (nur als Bcrypt-Hash gespeichert)
• Gesundheitsdaten (Art. 9 DSGVO): Zyklus-Daten (Periodenbeginn/-ende), Symptome (Typ + Intensität), Stimmung und Energie-Level
• Nutzungsdaten: Session-Cookies für die Anmeldung
• Anonymisierte Analysedaten: Seitenaufrufe, Sitzungsdauer, Gerätetyp, Referrer, UTM-Parameter (siehe Abschnitt 7)

3. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von:

• Art. 6 Abs. 1 lit. a DSGVO — Deine ausdrückliche Einwilligung bei der Registrierung
• Art. 9 Abs. 2 lit. a DSGVO — Ausdrückliche Einwilligung für Gesundheitsdaten
• Art. 6 Abs. 1 lit. b DSGVO — Erfüllung des Nutzungsvertrags
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse für anonymisierte Webanalyse (siehe Abschnitt 7)

4. Gesundheitsdaten (besondere Kategorie nach Art. 9 DSGVO)

Zyklus-, Symptom- und Stimmungsdaten sind Gesundheitsdaten nach Art. 9 DSGVO und gehören damit zu den besonderen Kategorien personenbezogener Daten. Diese werden:

• Nur mit deiner ausdrücklichen Einwilligung erhoben (Art. 9 Abs. 2 lit. a DSGVO)
• Du hast diese Einwilligung bei der Registrierung durch Aktivierung der DSGVO-Checkbox erteilt
• Ausschließlich auf unserem Server in Deutschland (Hetzner, Nürnberg) gespeichert
• Nie an Dritte weitergegeben
• Nie für Werbung oder Profiling verwendet
• Verschlüsselt übertragen (TLS/SSL)

Du kannst deine Einwilligung jederzeit widerrufen, indem du deinen Account in den Einstellungen löschst. Mit der Löschung werden alle Gesundheitsdaten sofort und unwiderruflich entfernt.

5. Partner-Funktion

Wenn du einen Partner über einen 6-stelligen Pairing-Code verknüpfst, hast du die volle Kontrolle darüber, welche Daten dein Partner sehen kann:

• Aktuelle Zyklusphase und Zyklustag
• Symptome (nur wenn von dir explizit freigegeben)
• Stimmung (nur wenn von dir explizit freigegeben)
• Phasen-Benachrichtigungen (nur wenn von dir aktiviert)

Du kannst die Freigabe jederzeit in den Einstellungen ändern oder die Partner-Verknüpfung vollständig lösen. Nach dem Entkoppeln hat dein ehemaliger Partner keinen Zugriff mehr auf deine Daten.

6. Speicherung und Hosting

• Server: Hetzner Online GmbH, Nürnberg, Deutschland
• Serververwaltung: Wolf Webentwicklung
• Datenbank: SQLite (lokal auf dem Server, keine Cloud-Datenbank)
• Keine Weitergabe an Dritte
• Keine Drittanbieter-Tracking-Tools (kein Google Analytics, kein Meta Pixel, keine Drittanbieter-Tracker)
• Keine Cookies außer dem technisch notwendigen Session-Cookie

7. Eigenes Analytics-System (Cookie-frei)

Wir verwenden ein eigenes, Cookie-freies Analytics-System zur Verbesserung unserer Website. Es werden keine Drittanbieter-Tools wie Google Analytics, Meta Pixel oder ähnliche Dienste eingesetzt.

Was wird erfasst?

• Seitenaufrufe (welche Seiten besucht werden)
• Sitzungsdauer (wie lange du auf der Seite bist)
• Gerätetyp (Mobil, Tablet oder Desktop)
• Referrer (von welcher Website du kommst)
• UTM-Parameter (Kampagnen-Zuordnung bei Links)

Was wird NICHT erfasst?

• Keine personenbezogenen Daten (PII) — es werden keine Namen, E-Mail-Adressen oder ähnliches durch das Analytics-System erhoben
• Keine IP-Adressen im Klartext — IP-Adressen werden mit HMAC-SHA256 und einem täglich rotierenden Geheimnis gehasht. Der Hash ist nicht umkehrbar und kann nicht zur Identifikation einzelner Nutzer verwendet werden
• Keine Cookies — statt Cookies verwenden wir eine pseudonymisierte Visitor-ID im localStorage deines Browsers

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Wir haben ein berechtigtes Interesse daran zu verstehen, wie unsere Website genutzt wird, um sie stetig zu verbessern. Die erhobenen Daten sind vollständig anonymisiert und können nicht mit einzelnen Nutzern verknüpft werden.

Speicherung

Die Analysedaten werden in einer SQLite-Datenbank auf unserem Server in Deutschland (Hetzner, Nürnberg) gespeichert. Es erfolgt keine Übermittlung an Dritte oder in Drittländer.

Widerspruch

Du kannst deine Visitor-ID jederzeit löschen, indem du den localStorage deines Browsers leerst (Browsereinstellungen → Websitedaten → zyklusversteher.de löschen). Danach wird eine neue, nicht verknüpfbare ID generiert.

8. Deine Rechte (DSGVO Art. 15-21)

Du hast jederzeit das Recht auf:

• Auskunft (Art. 15) — Welche Daten wir über dich gespeichert haben
• Berichtigung (Art. 16) — Falsche Daten korrigieren (in den Einstellungen)
• Löschung (Art. 17) — Deinen Account und alle Daten unwiderruflich löschen (in den Einstellungen unter "Account löschen")
• Datenportabilität (Art. 20) — Alle deine Daten als JSON-Datei herunterladen (in den Einstellungen unter "Daten exportieren")
• Widerruf der Einwilligung — Jederzeit durch Löschung deines Accounts
• Widerspruch (Art. 21) — Gegen die Verarbeitung auf Basis berechtigter Interessen (z.B. Analytics)
• Beschwerde bei einer Aufsichtsbehörde

9. Speicherdauer

Deine Daten werden gespeichert, solange dein Account besteht. Bei Löschung des Accounts werden alle Daten sofort und unwiderruflich gelöscht. Anonymisierte Analysedaten bleiben davon unberührt, da sie keinen Personenbezug haben.

10. Sicherheit

• Passwörter werden mit Bcrypt gehasht (nie im Klartext gespeichert)
• Verbindung über HTTPS/TLS verschlüsselt
• Session-Cookies sind httpOnly und SameSite=Lax
• Rate-Limiting gegen Brute-Force-Angriffe
• SQL-Injection-Schutz durch Prepared Statements
• IP-Adressen im Analytics werden mit HMAC-SHA256 und täglicher Schlüsselrotation gehasht

11. Kontakt

Bei Fragen zum Datenschutz: daguirreftw@googlemail.com