Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Simon Reß
Elektrastraße 4a
81925 München
Deutschland
Telefon: +49 89 9997 9990
E-Mail: kontakt@zuhaben.com

Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO nicht zu benennen, da die gesetzlichen Voraussetzungen (insbesondere mind. 20 mit der ständigen automatisierten Datenverarbeitung beschäftigte Personen oder umfangreiche Verarbeitung besonderer Datenkategorien) nicht erfüllt sind.

2. Allgemeine Hinweise und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen. Rechtsgrundlagen sind insbesondere:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung der betroffenen Person.
  • Art. 6 Abs. 1 lit. b DSGVO — Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen (z. B. bei Anlage eines Benutzerkontos).
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung.
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen, sofern die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen (z. B. IT-Sicherheit, Spam-Abwehr).

Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen oder Nutzerverhalten.

3. Hosting

Diese Website wird auf einem virtuellen Server (vServer) bei der STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin, gehostet. Bei einem Aufruf der Website verarbeitet STRATO im Auftrag IP-Adresse, Datum und Uhrzeit der Anfrage, die abgefragte Datei, Statuscode, übertragene Datenmenge sowie User-Agent und Referrer-URL (Server-Logfiles).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse liegt in einem stabilen, sicheren und funktionsfähigen Webangebot. Mit STRATO besteht ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Die Server stehen in Deutschland.

Server-Logfiles werden für einen begrenzten Zeitraum (in der Regel maximal sieben Tage) gespeichert und anschließend automatisch gelöscht. Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.

4. Domain

Die Domain zuhaben.com wird über die IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, verwaltet. Eine Verarbeitung personenbezogener Daten der Website-Besucher durch IONOS findet im normalen Aufruf-Betrieb über DNS-Logs nur in begrenztem Umfang statt.

5. SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und am Schloss-Symbol in Ihrer Browserzeile.

6. Cookies

Diese Website verwendet ausschließlich technisch notwendige Cookies. Konkret:

  • Session-Cookie (zuhaben_session) — hält Ihre Sitzung nach dem Login aufrecht. Lebensdauer: 120 Minuten ab letzter Aktivität.
  • CSRF-Token-Cookie (XSRF-TOKEN) — schützt vor Cross-Site-Request-Forgery-Angriffen bei Formularen. Lebensdauer: Sitzungsdauer.

Diese Cookies sind technisch erforderlich, damit die Website grundlegend funktioniert (§ 25 Abs. 2 Nr. 2 TDDDG). Eine Einwilligung ist daher nicht erforderlich. Ein Cookie-Banner wird nicht eingesetzt, da keine einwilligungspflichtigen Cookies oder Tracking-Technologien zum Einsatz kommen.

Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies einzeln zulassen oder generell ausschließen können. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website eingeschränkt sein.

7. Schriftarten

Diese Website nutzt zur einheitlichen Darstellung der Schriftarten selbstgehostete Web-Fonts (Inter, Material Symbols Outlined). Die Schriftarten werden direkt vom eigenen Server geladen. Eine Verbindung zu Servern Dritter (z. B. Google) findet nicht statt; eine Übermittlung Ihrer IP-Adresse an Dritte erfolgt nicht.

8. Benutzerkonto und Registrierung

Sie können sich auf zuhaben.com ein Benutzerkonto anlegen, um eigene Einträge zu erstellen und mit Codes zu verknüpfen. Bei der Registrierung verarbeiten wir folgende Daten:

  • Name (Anzeigename),
  • E-Mail-Adresse,
  • Passwort (verschlüsselt gespeichert als bcrypt-Hash mit 12 Runden — das Klartextpasswort ist uns zu keinem Zeitpunkt zugänglich),
  • Zeitpunkt der Registrierung sowie der E-Mail-Verifikation,
  • IP-Adresse zum Zeitpunkt der Registrierung (zur Spam- und Missbrauchsabwehr).

Zur Sicherstellung der Identität versenden wir nach der Registrierung einen Bestätigungslink an die angegebene E-Mail-Adresse (Double-Opt-In). Erst nach Klick auf den Link ist der Account aktiv.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsabwehr). Speicherdauer: bis zur Löschung des Accounts durch Sie selbst (siehe Ziffer 15).

9. Einträge und öffentliche Profilseiten

Als angemeldeter Nutzer können Sie eigene Einträge anlegen. Jeder Eintrag erhält automatisch einen 6- bis 8-stelligen Code aus einem reduzierten Alphabet (ohne verwechselbare Zeichen). Sie können beliebige Felder hinzufügen und für jedes Feld einzeln entscheiden, ob es öffentlich angezeigt wird (is_public-Flag).

Felder, die Sie als „öffentlich" markieren, sind unter https://zuhaben.com/c/{code} für jeden abrufbar, der den Code kennt oder den zugehörigen QR-Code scannt. Die Veröffentlichung erfolgt ausschließlich auf Ihre eigene Veranlassung. Verantwortlich für die Inhalte und deren Rechtmäßigkeit (z. B. bei der Veröffentlichung personenbezogener Daten Dritter) sind Sie selbst.

Sie können einen Eintrag jederzeit deaktivieren (is_active = false) — die öffentliche Seite antwortet dann mit HTTP 410 Gone — oder vollständig löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: bis zur Deaktivierung oder Löschung durch den Eintrag-Inhaber.

10. Bild-Uploads zu Einträgen

Als angemeldeter Nutzer können Sie zu Ihren Einträgen Bilder hochladen. Pro Bild entscheiden Sie selbst, ob es auf der öffentlichen Profilseite angezeigt wird. Beim Hochladen wird das erste Bild eines Eintrags automatisch als öffentlich (Hauptbild) markiert, alle weiteren Bilder werden standardmäßig als privat angelegt; Sie können die Sichtbarkeit jederzeit pro Bild ändern.

Verarbeitete Daten:

  • die Bilddatei selbst (im Format WebP, max. 2048 Pixel Längsseite),
  • ein automatisch erzeugtes Thumbnail (max. 600 Pixel Längsseite),
  • Datei-Metadaten: Dateiname, Dateigröße, Bildmaße, MIME-Typ, optionale Bildunterschrift, Reihenfolge, Sichtbarkeits-Flag, SHA-256-Prüfsumme zur Duplikatserkennung,
  • Zeitpunkt des Uploads.

Vor der Speicherung werden die Bilder automatisch optimiert: EXIF-Metadaten — einschließlich GPS-Standortdaten — werden vollständig entfernt, das Bild wird auf max. 2048 Pixel Längsseite verkleinert und in das WebP-Format konvertiert. Das hochgeladene Original wird nicht dauerhaft gespeichert.

Speicherort: ausschließlich auf unserem Server (siehe Ziffer 3 — Hosting). Eine Übermittlung an externe Bilder-Dienste, CDNs oder KI-Trainings-Pipelines findet nicht statt.

Nutzungsrechte: Die Versicherung des Nutzers, dass er über sämtliche erforderlichen Rechte am Bildmaterial verfügt (insbesondere Urheber- und Nutzungsrechte sowie ggf. Persönlichkeitsrechte abgebildeter Personen nach §§ 22, 23 KUG), sowie die Einräumung eines auf den Plattform-Betrieb beschränkten, jederzeit widerruflichen Nutzungsrechts an uns sind in den Allgemeinen Geschäftsbedingungen, Ziffer 5, geregelt. Eine Verwendung Ihrer Bilder für Werbung, KI-Trainingszwecke oder die Weitergabe an Dritte findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in die öffentliche Anzeige durch Setzen des Sichtbarkeits-Flags pro Bild).

Speicherdauer: bis zur Löschung des einzelnen Bildes durch Sie, zur Deaktivierung/Löschung des zugehörigen Eintrags oder zur Löschung Ihres Accounts (jeweils sofortige Hard-Delete inklusive Datei-Löschung von der Disk).

11. QR-Codes

Zu jedem Code wird auf Anfrage ein QR-Code als PNG erzeugt (/qr/{code}.png). Die Erzeugung erfolgt serverseitig; eine Übermittlung an Dritte findet nicht statt. Die generierten PNGs werden für 24 Stunden im HTTP-Cache vorgehalten und beim Abruf je nach Cache-Zustand neu erzeugt.

12. Kontaktformular auf öffentlichen Eintragsseiten

Über die öffentliche Eintragsseite können Besucher dem Eintrag-Inhaber eine Nachricht senden. Es gibt zwei Zustellwege, abhängig davon, ob der Absender angemeldet ist:

12.1 Anonyme Absender (ohne Login)

Verarbeitet werden:

  • Name (vom Absender angegeben),
  • E-Mail-Adresse des Absenders,
  • Nachrichteninhalt,
  • Zeitpunkt des Absendens,
  • IP-Adresse zum Zeitpunkt des Absendens (zur Missbrauchs- und Spam-Abwehr).

Zur Verifizierung der angegebenen E-Mail-Adresse wenden wir ein Double-Opt-In-Verfahren an: An die angegebene Adresse wird ein Bestätigungslink versendet. Die Nachricht wird dem Eintrag-Inhaber erst nach Klick auf den Bestätigungslink zugestellt. Bestätigt der Absender die Nachricht nicht innerhalb von 7 Tagen, wird sie automatisch gelöscht (Job conversations:purge-pending, täglich 03:30 Uhr).

Schutz fremder E-Mail-Adressen: Wird beim anonymen Absenden eine E-Mail-Adresse angegeben, die bereits zu einem registrierten Nutzerkonto gehört, wird keine Bestätigungsmail versendet und keine Nachricht angelegt. Der Absender wird stattdessen aufgefordert, sich anzumelden. So vermeiden wir, dass Dritte unter einer fremden E-Mail-Adresse Bestätigungsmails auslösen können.

Zur Spam-Abwehr setzen wir folgende Mechanismen ein: Honeypot-Feld, Time-Trap (Mindestzeit zwischen Seitenaufruf und Abschicken), Rate-Limit von 3 Nachrichten pro 10 Minuten je IP-Adresse sowie 5 Nachrichten pro Tag je E-Mail-Adresse. Wiederholt als Spam markierte E-Mail-Adressen werden in einer internen Sperrliste geführt, um weitere Zustellungen zu verhindern.

12.2 Angemeldete Absender

Angemeldete Nutzer mit verifizierter E-Mail-Adresse und freigeschaltetem Account können eine Nachricht direkt senden — ohne erneuten Bestätigungsklick, da die Identität durch den Login bereits nachgewiesen ist. Verarbeitet werden:

  • Verknüpfung mit dem angemeldeten Nutzerkonto (Account-ID, Anzeigename, hinterlegte E-Mail-Adresse),
  • Nachrichteninhalt,
  • Zeitpunkt des Absendens,
  • IP-Adresse zum Zeitpunkt des Absendens (zur Missbrauchs- und Spam-Abwehr).

Die Konversation wird sofort dem Eintrag-Inhaber zugestellt; dieser sieht den Anzeigenamen und die E-Mail-Adresse des Absenders, um antworten zu können. Es wird keine Bestätigungsmail an den Absender versendet.

Für angemeldete Absender gilt ein eigenes Rate-Limit von 30 Nachrichten pro Minute je Nutzerkonto; ein Tageslimit auf E-Mail-Ebene entfällt, da die Identität durch den Login zweifelsfrei feststeht.

12.3 Tokens und Rechtsgrundlagen

Bestätigungs- und Antwort-Tokens (nur Anonym-Pfad) werden ausschließlich als SHA-256-Hash in der Datenbank gespeichert; das Klartext-Token verlässt den Server nur einmalig per E-Mail. Verbrauchte Tokens werden nach 30 Tagen, abgelaufene Tokens nach Ablauf täglich um 03:15 Uhr automatisch entfernt (Job tokens:prune).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Eintrag-Inhabers an erreichbarer Kontaktmöglichkeit; berechtigtes Interesse des Betreibers an Spam-Abwehr) sowie — für anonyme Absender — Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Absenders durch Bestätigungsklick) bzw. — für angemeldete Absender — Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen des Nutzungsvertrags).

13. E-Mail-Versand

Für den Versand transaktionaler E-Mails (Account-Bestätigung, Passwort-Reset, Nachrichten-Benachrichtigungen, Owner-Antworten an Gäste) nutzen wir Resend (Resend.com Inc., 2261 Market Street #4413, San Francisco, CA 94114, USA). Es findet kein Newsletter-Versand statt.

  • Server-Standort: Irland (Region eu-west-1).
  • Auftragsverarbeitungsvertrag: durch Anmeldung am 1. Mai 2026 nach Art. 28 DSGVO abgeschlossen.
  • SOC 2 Type II Compliance: vorhanden (Audit-Zeitraum 02/2024 – 02/2025).

Verarbeitete Daten: E-Mail-Adresse, Name, Inhalt der Mail. Speicherdauer: Resend hält Mail-Logs für 30 Tage vor und löscht sie anschließend automatisch.

Drittlandtransfer: Resend hat seinen Sitz in den USA, die Datenverarbeitung erfolgt jedoch ausschließlich in der EU (Region Irland). Soweit konzernintern Daten in Drittländer übermittelt werden, geschieht dies auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an verlässlicher Kommunikation).

14. T-Shirt-Mockup

Für Ihre eigenen Einträge können Sie als angemeldeter Nutzer im Bereich „T-Shirt-Mockup" eine Druckvorschau (PNG), eine Druckdatei (PDF, DIN A4) sowie ein reines Druckmotiv (PNG, ohne Shirt-Vorlage) erzeugen und herunterladen. Die Generierung erfolgt vollständig serverseitig auf unserem Server; es findet keine Übermittlung an externe Druckdienstleister oder Drittanbieter statt. Die erzeugten Dateien werden lokal zwischengespeichert und beim Bump der Asset-Version oder im wöchentlichen Cleanup-Job automatisch gelöscht.

15. Datenexport und Account-Löschung

Sie haben jederzeit die Möglichkeit, Ihre Daten zu exportieren oder Ihren Account vollständig zu löschen.

  • Datenexport: Über /account/export erhalten Sie eine maschinenlesbare JSON-Datei mit Ihrem Account, Ihren Einträgen, Ihren Konversationen und Nachrichten. Token-Hashes und Passwort-Hashes sind nicht enthalten.
  • Account-Löschung: Im Benutzerbereich unter „Account" können Sie Ihren Account vollständig und unwiderruflich löschen. Es handelt sich um ein Hard-Delete: Account, Einträge, Felder, Konversationen, Nachrichten, Claim-Tokens und Sperrlisten-Einträge werden direkt aus der Datenbank entfernt; eine zeitversetzte Löschung („Soft Delete") findet nicht statt.

16. Speicherdauern im Überblick

  • Server-Logfiles: max. 7 Tage
  • Sitzungs-Cookie: 120 Minuten ab letzter Aktivität
  • Account und alle damit verknüpften Daten: bis zur Löschung durch den Nutzer
  • Nachrichten ohne Bestätigung („pending"): 7 Tage, danach automatische Löschung
  • Verbrauchte Bestätigungs-Tokens: 30 Tage, danach automatische Löschung
  • Mockup-Cache (PNG/PDF): bis zur Versionsänderung, mindestens wöchentliche Bereinigung
  • Hochgeladene Bilder (WebP + Thumbnail): bis zur Löschung durch den Nutzer oder Account-Löschung
  • Buchhalterisch relevante Daten: 6 bzw. 10 Jahre nach AO/HGB (sofern anwendbar)

17. Empfänger und Auftragsverarbeiter

Personenbezogene Daten werden ausschließlich an die folgenden Empfänger weitergegeben, soweit dies zur Erbringung der Dienste erforderlich ist:

  • STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin — Hosting / Infrastruktur (Server-Standort Deutschland) sowie Backup-Speicher über das STRATO-HiDrive-Produkt (selbe AVV).
  • IONOS SE, Elgendorfer Straße 57, 56410 Montabaur — Domain-Registrierung.
  • Resend.com Inc. (Resend) — transaktionaler E-Mail-Versand (Verifikation, Passwort-Reset, Nachrichten-Bestätigung, Owner-Antworten). Versand erfolgt über die EU-Region mit Server-Standort Irland (eu-west-1); Details siehe Ziffer 13.
  • Functional Software, Inc. (Sentry) — Error- und Performance-Tracking, ausschließlich für unbehandelte Server-Exceptions (keine Tracking-Cookies, keine Analytics-Daten). Verarbeitung auf der EU-Region (Server-Standort Dublin); soweit Daten in Drittländer übertragen werden, geschieht dies auf Grundlage der EU-Standardvertragsklauseln. Wir senden keine personenbezogenen Daten standardmäßig (send_default_pii=false).

Mit allen Auftragsverarbeitern bestehen oder werden Verträge nach Art. 28 DSGVO (AVV) geschlossen. Eine darüberhinausgehende Übermittlung in Drittländer außerhalb der EU/des EWR findet nicht statt.

18. Ihre Rechte als betroffene Person

Nach den Vorschriften der DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO) — Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO) — bei unrichtigen Daten.
  • Recht auf Löschung (Art. 17 DSGVO) — siehe Ziffer 15 zur Selbstbedienung.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — siehe Ziffer 15 zum Selbst-Export.
  • Widerspruchsrecht (Art. 21 DSGVO) — gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen.
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft.

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an kontakt@zuhaben.com.

19. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständige Aufsichtsbehörde für nicht-öffentliche Stellen mit Sitz in Bayern ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach (Besucheranschrift)
Postfach 1349, 91504 Ansbach (Postanschrift)
Telefon: +49 981 180093-0
Telefax: +49 981 180093-800
E-Mail: poststelle@lda.bayern.de
Web: www.lda.bayern.de

20. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen, z. B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Stand: 2. Mai 2026