Datenschutzerklärung – Lights & Colors

Letzte Aktualisierung: 2025-08-18
Domain: lightsandcolors.art • Kontakt: kunsttherapieblog@gmail.com

---

1. Datenverantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten ist der Eigentümer des Dienstes Lights & Colors, erreichbar unter
https://www.lightsandcolors.art (im Folgenden: „Dienst“).
Bei Fragen zum Datenschutz kannst du uns kontaktieren unter:
kunsttherapieblog@gmail.com.

2. Anwendungsbereich

Diese Datenschutzerklärung beschreibt die Verarbeitung von Daten im Zusammenhang mit der Nutzung des Dienstes (Web-App/Blog) sowie von Benutzerkonten.

3. Welche Daten wir erheben

3.1. Registrierung und lokale Anmeldung

• E-Mail-Adresse
• Anzeigename (falls angegeben)
• Passwort – ausschließlich als Hash gespeichert mit Argon2 (wir speichern keine Klartext-Passwörter)

3.2. Anmeldung über Google (OAuth 2.0)

Umfang der Berechtigungen: email und profile (Name und Avatar).

• wir speichern: E-Mail-Adresse, Name, Avatar-URL
• wir erhalten und speichern dein Google-Passwort nicht
• wir speichern keine langfristigen Google-Token (Access/Refresh) in unserer Datenbank

3.3. Technische Daten und Protokolle

Zu Sicherheits- und Wartungszwecken können wir verarbeiten: IP-Adresse (aus X-Forwarded-*-Headern), Zeitstempel, Anfrage-IDs, grundlegende Fehlerprotokolle.

3.4. Nutzerinhalte

Alle Inhalte, die im Dienst hinzugefügt werden (z. B. Beiträge, Bilder, Kommentare), werden verarbeitet, um den Veröffentlichungs- und Kontoverwaltungsdienst bereitzustellen.

4. Herkunft der Daten

• direkt von dir (Registrierung/lokale Anmeldung, Profilbearbeitung, Hinzufügen von Inhalten)
• von Google – wenn du dich über Google OAuth im Umfang von email und profile anmeldest

5. Zwecke und Rechtsgrundlagen der Verarbeitung

• Authentifizierung und Kontoführung – um Anmeldung und Nutzung des Dienstes zu ermöglichen (Art. 6 Abs. 1 lit. b DSGVO)
• Sicherheit und Wartung (Rate Limiting, Logs, Moderation) – unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Wir betreiben kein verhaltensbasiertes Marketing und kein Profiling.

6. Missbrauchserkennung und Moderationsunterstützung (OpenAI)

Zur Vermeidung von Missbrauch (z. B. Spam, Hassinhalte, Aufrufe zu Gewalt) und zur Aufrechterhaltung der Qualität des Dienstes nutzen wir OpenAI API als Auftragsverarbeiter.

Wir übermitteln nur das notwendige Minimum an Daten, hauptsächlich von Nutzern eingereichte Inhalte zur Moderation sowie technische Metadaten für die Klassifizierung.

• Die Entscheidung erfolgt nicht vollständig automatisiert – jeder Fall, der vom System markiert wird, wird durch einen Menschen überprüft
• Ein Moderator kann Inhalte eigenständig als regelwidrig markieren
• Wir geben keine Daten zum Training von Modellen frei – die Daten werden ausschließlich zur Bereitstellung des Klassifizierungs-/Moderationsdienstes genutzt

Details bei OpenAI: openai.com/policies

7. Datenempfänger und Auftragsverarbeiter

• Supabase – Datenbank (PostgreSQL), AWS-Region eu-north-1 (Stockholm, EWR)
• Vercel / Railway – Hosting der Anwendung
• Upstash (Redis) – Warteschlangen (BullMQ); verschlüsselte TLS-Verbindungen
• OpenAI – automatische Inhaltsklassifizierung
• Google – Identitätsanbieter (OAuth, eigenständiger Verantwortlicher)

Wir verkaufen keine Daten.

8. Datenübermittlung außerhalb des EWR

Daten werden im EWR gespeichert (Supabase eu-north-1).
Falls ausnahmsweise eine Übermittlung außerhalb des EWR erfolgt, setzen wir geeignete Schutzmaßnahmen ein (z. B. Standardvertragsklauseln).

9. Speicherdauer

• Konto (E-Mail, Name, Avatar) – bis zur Löschung des Kontos
• technische Logs – in der Regel 30 Tage
• Warteschlangen (Upstash) – vorübergehend

10. Sicherheitsmaßnahmen (Kurzfassung)

• HTTP-Header (helmet): CSP, HSTS, X-Frame-Options, nosniff
• restriktives CORS
• Datenvalidierung (ValidationPipe)
• Authentifizierung über JWT (Authorization-Header, keine Cookies)
• lokale Passwörter als Argon2-Hash
• Anmeldung über Google OAuth im minimalen Umfang (email, profile)
• Rate Limiting, TLS, Proxy-aware IP (X-Forwarded-*)

11. Deine Rechte

Du hast das Recht auf: Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung, Datenübertragbarkeit und Widerspruch.

Wir können eine vollständige Löschung verweigern, wenn ein Missbrauch vorliegt (Art. 17 Abs. 3 DSGVO) – in diesem Fall bewahren wir ein Mindestset an Daten (E-Mail, IP, Logs) auf.

Anfragen: kunsttherapieblog@gmail.com.

12. Cookies

Wir verwenden JWT-Token im Authorization-Header (nicht in Cookies).
Der Dienst kann nur notwendige Cookies verwenden (z. B. UI-Präferenzen).
Keine Marketing-Cookies.

13. Zusammenarbeit mit staatlichen Behörden

Bei Verdacht auf eine Straftat (z. B. Drohungen, Hass, Pädophilie, Betrug) können wir den zuständigen Behörden alle vorliegenden Daten zur Verfügung stellen, einschließlich IP-Adressen und Logs – im gesetzlich erforderlichen Umfang.

14. Information zur Google-Anmeldung

Du kannst den Zugriff für unsere Anwendung jederzeit in den Google-Kontoeinstellungen widerrufen („Sicherheit“ → „Zugriff durch Drittanbieter“).
Der Widerruf des Zugriffs verhindert die Anmeldung über Google.

15. Änderungen der Datenschutzerklärung

Die Datenschutzerklärung kann aktualisiert werden. Die aktuelle Version ist jederzeit unter dieser Adresse verfügbar.

---

© Lights & Colors — Datenschutzerklärung