Datenschutzerklärung

Stand: 7. Juni 2026

1. Verantwortlicher

Jonas Fendel
Körnerstraße 14
64653 Lorsch
E-Mail: contact@hivekraft.com

2. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z.B. Namen, Adressen)
  • Kontaktdaten (z.B. E-Mail)
  • Inhaltsdaten (z.B. Eingaben in Formularen, Imkerei-Daten)
  • Nutzungsdaten (z.B. besuchte Seiten, Zugriffszeit)
  • Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen)

3. Rechtsgrundlagen

Nachfolgend erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) - Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten gegeben.
  • Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) - Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) - Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich.

3.X KI-Transparenz (AI Act Art. 50)

Beim Einsatz generativer KI (Chat-Assistent, Voice-Strukturierung, Design-Studio, Label-Vorschläge, Foto-Analyse) werden Sie gem. Art. 50 Abs. 1 der Verordnung (EU) 2024/1689 (KI-Verordnung) darauf hingewiesen, dass Sie mit einem KI-System interagieren oder dass Inhalte durch ein KI-System erstellt wurden. Die Kennzeichnung erfolgt über ein sichtbares Hinweis-Element ("KI"-Badge) direkt am AI-Feature. Anwendungsdatum der KI-Verordnung für Transparenz-Pflichten: 02.08.2026.

4. Nutzerkonto / Registrierung

Bei der Registrierung erheben wir folgende Daten: Name, E-Mail-Adresse, Passwort (gehasht mit bcrypt). Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b DSGVO zur Vertragserfüllung.

Im Rahmen der Nutzung speichern wir die von Ihnen eingegebenen Imkerei-Daten (Standorte, Völker, Durchsichten, Behandlungen, Ernten etc.). Diese Daten werden ausschließlich für die Bereitstellung des Dienstes verwendet.

4.X Account-Löschung mit 14-tägiger Karenz (Recovery-Phase)

Wenn Sie Ihr Hivekraft-Konto löschen, wird die endgültige Anonymisierung Ihrer personenbezogenen Daten nicht sofort durchgeführt, sondern erst nach Ablauf einer Karenzzeit von 14 Tagen ('Grace-Period'). Dieses Pattern entspricht der branchenüblichen Auslegung des Rechts auf Löschung (Art. 17 DSGVO) bei GitHub, Google und Apple und ist DSGVO-konform, weil Sie während der gesamten Karenzzeit über die Löschung informiert sind und sie jederzeit widerrufen können. Konkreter Datenfluss während der Karenzzeit: • Beim Klick auf 'Konto löschen' wird ein Zeitstempel deletionScheduledAt = jetzt + 14 Tage in Ihrem Datensatz gesetzt; bestehende Login-Sessions werden sofort ungültig (tokenVersion-Bump). • Es wird ein zufälliger Recovery-Token (cryptographically random) erzeugt — nur der SHA-256-Hash des Tokens wird in der Tabelle AccountDeletionToken gespeichert (Token-at-rest niemals lesbar). Der Klartext-Token geht ausschließlich per E-Mail an Sie und ist 14 Tage lang gültig. • Sie erhalten eine Recovery-E-Mail über Brevo (Sendinblue GmbH, Berlin, Deutschland — siehe §8.2) mit einem Recovery-Link. Solange Sie den Link in der 14-Tage-Frist anklicken, wird die geplante Löschung vollständig zurückgenommen. • Nach Ablauf der 14 Tage führt ein stündlicher Cron-Job (account-deletion-anonymize) die endgültige Anonymisierung Ihrer personenbezogenen Daten durch: Name, E-Mail und persönliche Felder werden überschrieben; Audit-relevante Bestandsbuch-Daten (Behandlungen, EU 2019/6 Art. 108, 5 Jahre Aufbewahrungspflicht) bleiben pseudonymisiert erhalten. • Wird ein Bienenseuchen-Quarantäne-Block aktiv, wird die Löschung nicht eingeleitet (siehe §10.X Tierseuchen-Meldepflicht). Rechtsgrundlage: Art. 17 DSGVO (Recht auf Löschung) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung des Lifecycle-Vertrags). Aufbewahrungsdauer Recovery-Token: 14 Tage (deckungsgleich mit Grace-Period; Hard-Delete nach Verbrauch oder Ablauf). Empfänger der Recovery-E-Mail: Brevo (EU/DE, keine Drittlandtransfers).

5. Authentifizierung / Session

Wir verwenden JSON Web Tokens (JWT) zur Authentifizierung. Die Tokens werden als HTTP-Only Cookies gespeichert und haben eine Gültigkeit von 30 Tagen. Es werden keine Tracking-Cookies eingesetzt.

6. Hosting und Server

Die Anwendung wird bei Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland gehostet. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die Datenverarbeitung erfolgt ausschließlich auf Servern in Deutschland. Beim Zugriff auf unsere Website werden automatisch Informationen in Server-Log-Dateien gespeichert, die Ihr Browser übermittelt (IP-Adresse, Browsertyp, Betriebssystem, Referrer URL, Zeitpunkt des Zugriffs).

7. Cookies

Wir unterscheiden zwei Cookie-Kategorien, die Sie separat steuern können:

  • Session-Cookie - Enthält das verschlüsselte Authentifizierungs-Token. Gültigkeit: 30 Tage. Essentiell für die Anmeldung.

Daneben verwenden wir KEINE Werbe- oder Tracking-Cookies. Für die anonymisierte Webanalyse setzen wir Umami ein (siehe §13) — Umami selbst nutzt KEINE Cookies (cookieless), speichert aber eine kurzlebige anonyme Visit-ID im Browser-localStorage. Diese wird nur nach Ihrer Einwilligung gesetzt.

Einwilligungs-Nachweis (DSGVO Art. 7 Abs. 1)

Gemäß Art. 7 Abs. 1 DSGVO sind wir verpflichtet, Ihre Cookie-Einwilligung nachweisen zu können. Hierzu speichern wir bei jedem Klick auf 'Akzeptieren' oder 'Ablehnen' im Cookie-Banner serverseitig ein Audit-Protokoll mit folgenden Informationen: Zeitpunkt der Einwilligung, gewählte Optionen (notwendig/analytisch), Version der Datenschutzerklärung sowie ein anonymer Hash Ihrer IP-Adresse (SHA-256 mit projektspezifischem Salt — die Klartext-IP wird nicht gespeichert). Aufbewahrungsdauer: 5 Jahre (Beweispflicht). Diese Protokolle erhalten Sie als Teil des Datenexports (Einstellungen → Daten exportieren). Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. c DSGVO (rechtliche Verpflichtung) in Verbindung mit Art. 7 Abs. 1 DSGVO.

Widerruf der Cookie-Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie können Ihre Einwilligung in die Cookie-Nutzung jederzeit widerrufen. Dieser Widerruf gilt ausschließlich für die Cookie-Einwilligung — er ist nicht mit dem Verbraucher-Widerrufsrecht für unsere Tarife zu verwechseln (siehe Widerrufsbelehrung).

Klicken Sie im Footer auf 'Cookie-Einstellungen'. Wenn Sie eingeloggt sind, markieren wir Ihren bisherigen Eintrag serverseitig automatisch als widerrufen — keine zusätzliche Aktion nötig.

Wir löschen Ihren ursprünglichen Consent-Eintrag nicht, sondern ergänzen ihn um den Widerrufszeitstempel. So bleibt nachweisbar, dass Sie eingewilligt und widerrufen haben (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

Auch ohne Benutzerkonto können Sie widerrufen — der Mechanismus ist nur anders: Es wird ein neuer 'abgelehnt'-Eintrag erzeugt. Anonyme Consent-Logs verknüpfen wir nicht untereinander, da eine Rückwärts-Suche über Session-IDs eine unzulässige Re-Identifikation ermöglichen würde (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO).

Trotz Ihres Widerrufs bewahren wir den Audit-Eintrag noch 5 Jahre auf — in Anlehnung an § 147 AO und EDPB-Empfehlungen zur Beweispflicht. Nach Ablauf erfolgt automatische Löschung. Diese Aufbewahrung ist zulässig (Art. 17 Abs. 3 lit. b DSGVO).

Wenn Sie Ihr Hivekraft-Konto löschen, werden die mit Ihrem Account verknüpften Consent-Logs pseudonymisiert: das Benutzer-Feld wird auf null gesetzt, die Audit-Inhalte (Zeitpunkt, Wahl, IP-Hash) bleiben erhalten. So erfüllen wir gleichzeitig Ihren Anspruch auf Löschung (Art. 17 DSGVO) und unsere Nachweispflicht (Art. 7 Abs. 1 DSGVO).

8. Auftragsverarbeiter und Drittdienste

Zur Erbringung unseres Dienstes setzen wir folgende Drittanbieter ein, die personenbezogene Daten in unserem Auftrag verarbeiten:

8.1 Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen bei kostenpflichtigen Tarifen nutzen wir Stripe Inc. (510 Townsend Street, San Francisco, CA 94103, USA). Bei der Buchung eines kostenpflichtigen Tarifs werden Ihre Zahlungsdaten (Kreditkartendaten, Rechnungsadresse) direkt von Stripe verarbeitet. Wir selbst speichern keine vollständigen Zahlungsdaten — lediglich eine Stripe-Kunden-ID und den Abonnement-Status. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung). Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Datenschutzerklärung von Stripe.

8.2 E-Mail-Versand (Brevo)

Für den Versand transaktionaler E-Mails (Registrierungsbestätigung, Passwort-Zurücksetzen) nutzen wir Brevo (Sendinblue GmbH, Berlin, Deutschland). Dabei wird Ihre E-Mail-Adresse an Brevo übermittelt. Brevo verarbeitet die Daten auf Servern in der EU. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung). Neben transaktionalen E-Mails senden wir optionale Service-Benachrichtigungen (z.B. Erinnerungen, Tipps). Du kannst diese in den Einstellungen deaktivieren. Datenschutzerklärung von Brevo.

8.3 Social Login (Google, Facebook)

Optional können Sie sich über Google oder Facebook anmelden (OAuth 2.0). Dabei erhalten wir ausschließlich Ihren Namen und Ihre E-Mail-Adresse vom jeweiligen Anbieter. Wir erhalten keinen Zugriff auf Ihre Social-Media-Profile oder Kontakte. Die Nutzung von Social Login ist freiwillig — eine Registrierung per E-Mail und Passwort ist ebenfalls möglich. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung).

8.4 Fehler-Tracking (Sentry)

Zur Erkennung und Behebung von Fehlern setzen wir Sentry (Functional Software, Inc., USA) ein. Sentry ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Wir nutzen das EU-Ingest (ingest.de.sentry.io), sodass die Erstverarbeitung in der EU erfolgt. IP-Adressen werden serverseitig entfernt (IP-Scrubbing), personenbezogene Daten werden nicht aktiv übermittelt (sendDefaultPii: false). Aufbewahrungsdauer: 30 Tage. Übermittelt werden technische Fehlerdaten (Stack Traces, Browser, URL). Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an der Fehlerbehebung und Systemstabilität).

8.5 IP-Reputation-Schutz (CrowdSec)

Zur Abwehr automatisierter Angriffe (Bots, Brute-Force, bekannte Angriffsmuster) nutzen wir CrowdSec (CrowdSec SAS, Frankreich). CrowdSec analysiert serverseitige Zugriffsmuster und meldet IP-Adressen, die wiederholt schädliches Verhalten zeigen, an ein gemeinschaftliches Reputations-Netzwerk (Crowd-Intelligence). Verarbeitet werden ausschließlich technische Zugriffsmetadaten (IP-Adresse, User-Agent, angefragte URL, Statuscode). Server-Standort: EU (Frankreich). Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit).

8.6 Sprach-Transkription (AssemblyAI)

Für die Audio-Transkription der Spracheingabe (Voice-Roundup, Diktat) nutzen wir AssemblyAI Inc. (Dublin, Irland — EU-Region 'Universal-3 Pro'). Übermittelt werden: das Audio-Binärbild (max. 30 Minuten je Aufnahme) sowie eine anonyme Job-ID. Die Verarbeitung erfolgt produktiv seit Mai 2026. Audio-Dateien werden nach Abschluss der Transkription verworfen — eine Retention-Policy von 0 Tagen wurde gegenüber AssemblyAI angefordert. Mit AssemblyAI Inc. besteht ein Verarbeitungsverhältnis; ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO wird zeitnah abgeschlossen (Stand: Mai 2026). Server-Standort: EU (Dublin, Irland) — kein Drittlandtransfer in die USA. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung).

8.7 KI-Routing (Requesty, EU)

Für textuelle KI-Verarbeitung (Chat, Strukturierung von Transkripten, Empfehlungen, Design Studio, Label-Generator) leiten wir die jeweiligen Text-Daten primär über Requesty (Inceptron AB, EU) an EU-gehostete KI-Modelle weiter. Die Verarbeitung erfolgt ausschließlich auf europäischer Infrastruktur (AWS-Region Frankfurt, Deutschland — eu-central-1); die Daten verlassen die EU nicht. Eingesetzte KI-Modelle sind aktuell Modelle von Google (Gemini-Familie, Google Ireland Ltd. / EU-Region), Mistral (Mistral AI SAS, Paris, Frankreich) und OpenAI (GPT-Familie, über EU-Region) — je nach Funktion als primäres Modell oder als technische Ausfallsicherung; alle werden über Requesty EU-resident (EU-Region) gehostet und verarbeitet, die Daten verlassen die EU nicht. Mit Requesty bestehen Zero Data Retention (keine Speicherung der Inhalte, kein Training mit Nutzerdaten) sowie ein Auftragsverarbeitungsverhältnis gemäß Art. 28 DSGVO (Data Processing Agreement, Stand: Juni 2026 — Abschluss in Vorbereitung). Da die Verarbeitung in der EU erfolgt, liegt KEIN Drittlandtransfer vor. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung).

8.8 KI-Routing — Ausfallsicherung (OpenRouter)

Als technische Ausfallsicherung (Fallback bei Nichtverfügbarkeit des EU-Routings) sowie für Nutzer mit eigenem API-Schlüssel (BYOK) kann textuelle KI-Verarbeitung über OpenRouter Inc. (San Francisco, CA, USA) an Sub-Sub-Prozessoren weitergeleitet werden. Eingesetzte Sub-Sub-Prozessoren sind Mistral AI (Paris, Frankreich) und Anthropic, PBC (San Francisco, CA, USA) — beide über OpenRouter angesprochen, kein direkter Vertrag durch Hivekraft. Mit OpenRouter besteht ein Auftragsverarbeitungsverhältnis gemäß Art. 28 DSGVO (Data Processing Agreement) sowie Zero Data Retention (siehe §9.7). Für den Drittlandtransfer in die USA gelten EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung).

Darüber hinaus werden personenbezogene Daten nicht an Dritte weitergegeben, verkauft oder zu Werbezwecken genutzt. Eine Ausnahme besteht nur, wenn wir gesetzlich dazu verpflichtet sind.

9. KI-gestützte Verarbeitung

Hivekraft nutzt KI-gestützte Funktionen zur Verbesserung der Imkerei-Verwaltung. Die Nutzung aller KI-Funktionen ist freiwillig und erfordert eine ausdrückliche Einwilligung. Für die Audio-Transkription nutzen wir AssemblyAI (Dublin, Irland — siehe §8.6); Audio-Daten werden in der EU verarbeitet. Für textuelle und multimodale KI-Verarbeitung (Strukturierung, Chat, Empfehlungen, Foto-Analyse) werden anonymisierte Daten primär über Requesty (EU, Frankfurt — siehe §8.7) an EU-gehostete KI-Modelle (siehe §8.7) übermittelt; die Daten verlassen die EU nicht (Zero Data Retention). Als technische Ausfallsicherung kann OpenRouter (OpenRouter Inc., USA — siehe §8.8) zum Einsatz kommen; für den Drittlandtransfer in die USA gelten dann EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit in den Einstellungen widerrufen werden.

9.1 Spracheingabe

Audio-Daten der Spracheingabe werden zur Transkription an AssemblyAI (Dublin, Irland — siehe §8.6) übertragen; die Verarbeitung ist produktiv seit Mai 2026 und ersetzt den vormals selbst gehosteten Whisper-Server. Audio wird nach der Verarbeitung verworfen; eine Retention-Policy von 0 Tagen wurde gegenüber AssemblyAI angefordert. Der anonymisierte Text-Transkript wird anschließend zur strukturierten Auswertung (Erkennung von Volk-Referenzen, Zahlen, Aktionen) primär über Requesty (EU, siehe §8.7) an EU-gehostete KI-Modelle (siehe §8.7) übermittelt; ersatzweise (Ausfallsicherung) über OpenRouter (siehe §8.8). Audio-Originaldateien werden nach erfolgreicher Verarbeitung automatisch gelöscht (Art. 5 Abs. 1 lit. e DSGVO, Speicherbegrenzung).

9.2 KI-Chat-Assistent

Der KI-Chat-Assistent beantwortet Imkerei-Fragen unter Berücksichtigung Ihrer Bestandsdaten. Übermittelt werden: Ihre Frage, Kontextdaten zu Ihren Völkern (aktuelle Durchsichten, Behandlungen, Ernten, Standort-Wetter). Chat-Verläufe werden in Ihrer Datenbank gespeichert und bei Kontolöschung entfernt.

9.3 Intelligence Engine

Die Intelligence Engine berechnet Empfehlungen (z.B. Schwarmrisiko, Gesundheitsstatus, Behandlungszeitpunkte, Anomalien) regelbasiert und statistisch direkt auf unserem Server in Deutschland. Diese Kern-Auswertung erfolgt ohne externe KI-Dienste — Ihre Daten verlassen den Server nicht. Falls Sie zusätzlich AI-gestützte Erklärungen (z.B. natürlichsprachliche Zusammenfassungen, KI-Chat-Antworten) aktivieren, werden hierfür anonymisierte Aggregat-Daten primär über Requesty (EU, siehe §8.7), ersatzweise über OpenRouter (siehe §8.8) übermittelt — dies ist optional und Opt-in.

9.4 Design Studio & Marken-Generator

Im Design Studio können KI-generierte Imker-Profile, Markenauftritte und HTML-basierte Marken-Seiten erstellt werden. Dabei werden Ihre Eingaben (Name, Beschreibung, Stil-Präferenzen, Farbschemata) primär über Requesty (EU, siehe §8.7) an EU-gehostete KI-Modelle (siehe §8.7) übermittelt; ersatzweise (Ausfallsicherung) über OpenRouter (siehe §8.8). Generierte Inhalte werden in Ihrem Benutzerprofil gespeichert. Die Verarbeitung erfolgt nur bei aktiver Nutzung des Design Studios.

9.5 Etiketten-KI (Label-Generator)

Der Label-Generator erstellt KI-generierte Honig-Etiketten auf Basis Ihrer Eingaben (Honigsorte, Imkerei-Name, Design-Stil, Farben). Ihre Eingaben werden primär über Requesty (EU, siehe §8.7) an EU-gehostete KI-Modelle (siehe §8.7) übermittelt; ersatzweise (Ausfallsicherung) über OpenRouter (siehe §8.8). Die generierten Etikettendesigns werden in Ihrem Benutzerprofil gespeichert. Die Verarbeitung erfolgt nur bei aktiver Nutzung des Label-Generators. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung).

9.6 Foto-Analyse

Fotos von Bienenvölkern (Waben, Brutnester, Varroaböden) können zur KI-gestützten Analyse primär über Requesty (EU, siehe §8.7) an ein multimodales KI-Modell (siehe §8.7) übermittelt werden; ersatzweise (Ausfallsicherung) über OpenRouter (siehe §8.8). Übermittelt werden: das Foto-Binärbild (max. 5 MB), zugehörige Volk-Metadaten (Name, Typ) und der Analyse-Prompt. Beim EU-Pfad (Requesty) erfolgt die Verarbeitung in der EU — kein Drittlandtransfer; es gilt Zero Data Retention (siehe §9.7). Die Analyse erfolgt nur bei aktiver Nutzung der Foto-Analyse-Funktion. Tageslimits abhängig vom Tarif (Free: 5, Pro: 50, Business: 500). Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung).

9.7 Auftragsverarbeitung & Zero Data Retention (ZDR)

Die textuelle KI-Verarbeitung erfolgt primär über Requesty (EU, Frankfurt) auf europäischer Infrastruktur — die Daten verlassen die EU nicht, es gilt Zero Data Retention (keine Speicherung der Inhalte, kein Training mit Ihren Daten). Mit Requesty besteht ein Auftragsverarbeitungsverhältnis gemäß Art. 28 DSGVO (Data Processing Agreement). Als Ausfallsicherung (Fallback) sowie für Nutzer mit eigenem API-Schlüssel kann OpenRouter (USA) zum Einsatz kommen; auch hier gilt Zero Data Retention und ein Auftragsverarbeitungsvertrag (Header data_collection: deny). Eine absolute Garantie können wir nicht geben, da die Verarbeitung über Drittanbieter erfolgt. Audio-Dateien der Spracheingabe werden nach erfolgreicher Verarbeitung automatisch gelöscht (maximal 24 Stunden).

9.8 Web Speech API (Spracherkennung)

Die Spracheingabe im Chat nutzt die Web Speech API des Browsers. Dabei werden Audiodaten an den Browser-Hersteller (Google Chrome: Google LLC, USA; Safari: Apple Inc., USA) zur Spracherkennung übermittelt. Diese Verarbeitung erfolgt durch Ihren Browser, nicht durch Hivekraft. Wir haben keinen Einfluss auf die Datenverarbeitung durch den Browser-Hersteller. Bitte beachten Sie die Datenschutzerklärung Ihres Browsers.

9.10 EU AI Act — Transparenzpflicht

Die KI-gestützten Funktionen von Hivekraft (Spracheingabe-Strukturierung, KI-Chat, Foto-Analyse, Design Studio, Etiketten-Generator) fallen unter Art. 50 der EU-Verordnung 2024/1689 (EU AI Act), der ab dem 02. August 2026 verbindlich gilt. Risiko-Klassifizierung gemäß AI Act: "Limited Risk" (begrenztes Risiko, Transparenz-Pflicht). Wir kennzeichnen alle Funktionen mit KI-Beteiligung sichtbar in der Benutzeroberfläche (z.B. durch ein KI-Badge oder einen Hinweistext). KI-generierte Inhalte (Bilder, Texte) werden als solche ausgewiesen. Sie können der Nutzung von KI-Funktionen jederzeit widersprechen — Hivekraft bleibt vollumfänglich ohne KI-Funktionen nutzbar.

9.11 Voice-Roundup (Lange Aufnahmen)

Längere Audio-Aufnahmen bis 30 Minuten (z.B. einer kompletten Durchsichts-Runde mehrerer Völker) werden via BullMQ-Queue auf unserem Server in Deutschland gepuffert und durch AssemblyAI (Dublin, Irland — siehe §8.6) asynchron transkribiert. Die anschließende Segmentierung pro Volk und Strukturierung erfolgt über die AI-Pipeline (primär Requesty EU, siehe §9.2/9.7). Audio-Originaldateien werden nach Abschluss der Verarbeitung automatisch gelöscht (Art. 5 Abs. 1 lit. e DSGVO). Bei fehlender Internetverbindung werden Aufnahmen lokal in Ihrem Browser via IndexedDB zwischengespeichert und automatisch übertragen, sobald wieder Verbindung besteht — diese Pufferung erfolgt ausschließlich auf Ihrem Gerät.

10. Externe Datenquellen

Hivekraft nutzt folgende externe Datenquellen zur Bereitstellung von Wetter- und Phänologie-Funktionen:

  • Deutscher Wetterdienst (DWD) - Wetterdaten und Grünlandtemperatursumme werden über die Bright Sky API bezogen, die offene DWD-Daten bereitstellt. Dabei werden Ihre Standort-Koordinaten (Breitengrad, Längengrad) an den API-Dienst übermittelt, um ortsbezogene Wetterdaten abzurufen. Lizenz: GeoNutzV (Quelle: Deutscher Wetterdienst).
  • OpenStreetMap - Kartenansichten verwenden OpenStreetMap-Kacheln. Beim Laden der Karte werden Anfragen an die OpenStreetMap-Tile-Server gesendet. Datenschutzrichtlinien der OpenStreetMap Foundation.

10.X Datenweitergabe bei Bienenseuchen-Verdacht (Tierseuchen-Meldepflicht)

Bei Verdacht auf eine meldepflichtige Bienenseuche (insbes. Amerikanische Faulbrut — AFB, Europäische Faulbrut — EFB) weisen wir dich als Tierhalter auf deine gesetzliche Meldepflicht hin. HiveKraft meldet NICHT selbst an Behörden — die Anzeige muss vom Halter erfolgen. In diesem Zusammenhang können wir personenbezogene Daten (Halter-Name, Adresse, Standort des betroffenen Volks, betroffene Hive-IDs, Diagnose-Zeitpunkt und ggf. Foto-Befund) auf deine Aufforderung hin an die zuständigen Veterinärbehörden weitergeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. den jeweiligen nationalen Tierseuchen-Meldepflichten. Empfänger je nach Land: • Deutschland: AFB/EFB-Meldepflicht an die zuständige Veterinärbehörde (Veterinäramt der Kreis- bzw. Stadtverwaltung) — anzeigepflichtige Tierseuche • Österreich: AFB/EFB-Anzeigepflicht an die zuständige Bezirksverwaltungsbehörde (Bezirkshauptmannschaft bzw. Magistrat) • Schweiz: Tierseuchenverordnung (TSV) Art. 273–279 — Meldepflicht für AFB/EFB an den Bieneninspektor (Kantonstierarzt) Die Aufbewahrungsfrist für diese Quarantäne-Aufzeichnungen beträgt 5 Jahre nach Abschluss der Sanierung (EU 2019/6 Art. 108). Beta-Feature — die genaue juristische Erfüllung der Meldepflicht klärt der Imker selbst.

11. Community Insights & TrachtNetz

Hivekraft bietet aggregierte Community-Statistiken an. Ihre Daten fließen nur anonymisiert in diese Statistiken ein. Die Teilnahme ist freiwillig und wird bei der Registrierung abgefragt (Opt-in). Sie können die Teilnahme jederzeit in den Einstellungen ändern.

12. Nutzungsanalyse

Zur Sicherstellung der Systemstabilität und zur Erkennung von Missbrauch protokollieren wir API-Zugriffe (aufgerufener Endpunkt, HTTP-Methode, Statuscode, Antwortzeit). Diese Daten werden mit Ihrer Benutzer-ID verknüpft und nach 90 Tagen automatisch gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Dienstes).

13. Webanalyse (Umami — Self-Hosted)

Zur Verbesserung unseres Dienstes setzen wir Umami ein, eine datenschutzfreundliche Open-Source-Webanalyse-Lösung, die wir auf unseren eigenen Servern bei Hetzner Online GmbH in Falkenstein (Deutschland, EU) selbst hosten. Es findet KEIN Drittlandtransfer statt und es ist kein externer Auftragsverarbeiter beteiligt. Umami setzt keine Cookies (cookieless) und nutzt kein Fingerprinting. Erhoben werden ausschließlich anonyme Nutzungsstatistiken: aufgerufene Seiten-URL, Verweildauer, Referrer, anonymisierter User-Agent (Browser/Betriebssystem), Bildschirmgröße und ungefähres Herkunftsland (per IP-Geolocation; die IP selbst wird NICHT gespeichert). Eine kurzlebige anonyme Visit-ID wird im Browser-localStorage gehalten, die keine personenbezogene Identifikation erlaubt. Das Skript wird ausschließlich nach Ihrer ausdrücklichen Einwilligung im Cookie-Banner geladen — ohne Einwilligung erfolgt keine Datenerfassung. Sie können Ihre Einwilligung jederzeit über den Footer-Link 'Cookie-Einstellungen' widerrufen. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung).

14. Speicherdauer

Die Speicherdauer Ihrer Daten richtet sich nach dem jeweiligen Verarbeitungszweck:

  • Kontodaten (Name, E-Mail, Profil): bis zur Kontolöschung
  • Imkerei-Daten (Völker, Durchsichten, Ernten): bis zur Kontolöschung. Bei Kontolöschung werden personenbezogene Daten anonymisiert, Imkerei-Daten bleiben anonymisiert erhalten (EU 2019/6 Aufbewahrungspflicht).
  • Behandlungsdaten: mindestens 5 Jahre ab Behandlungsdatum (gesetzliche Aufbewahrungspflicht gemäß EU 2019/6, Art. 108)
  • Server-Logs: 90 Tage
  • JWT-Cookies: 30 Tage
  • API-Nutzungsprotokolle: 90 Tage

15. Datenschutzbeauftragter

Die Bestellung eines Datenschutzbeauftragten ist gemäß Art. 37 DSGVO nicht erforderlich. Für Datenschutzfragen wenden Sie sich bitte an: contact@hivekraft.com

16. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO) - Sie haben das Recht, Auskunft über Ihre gespeicherten personenbezogenen Daten zu erhalten.
  • Berichtigungsrecht (Art. 16 DSGVO) - Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO) - Sie können die Löschung Ihrer Daten verlangen. Sie können Ihr Konto jederzeit selbst löschen. Behandlungsdaten unterliegen der gesetzlichen Aufbewahrungspflicht (5 Jahre, EU 2019/6) und werden anonymisiert aufbewahrt.
  • Einschränkung (Art. 18 DSGVO) - Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO) - Sie können Ihre Daten in einem maschinenlesbaren Format exportieren (JSON-Export über Einstellungen → Daten exportieren).
  • Widerspruchsrecht (Art. 21 DSGVO) - Sie können der Verarbeitung Ihrer Daten widersprechen.
  • Beschwerderecht - Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

17. Datensicherheit

Wir verwenden SSL/TLS-Verschlüsselung für die Datenübertragung. Passwörter werden mit bcrypt gehasht gespeichert. API-Schlüssel und sonstige sensible Zugangsdaten (z.B. für die Konfiguration externer AI-Provider) werden mit AES-256-GCM (Authenticated Encryption mit Auth-Tag, scrypt-basierte Schlüsselableitung) verschlüsselt gespeichert. Der Zugriff auf Ihre Daten ist durch Authentifizierung geschützt und auf Ihren Benutzeraccount beschränkt.

18. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht. Die jeweils aktuelle Fassung gilt für Ihren Besuch.