Zum Hauptinhalt springen

Datenschutzerklärung

Datenschutzerklärung der Aphantasie-Plattform. Informationen zur Verarbeitung Ihrer Daten gemäß DSGVO.

Stand: Juni 2026

Einleitung

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 DSGVO über die Verarbeitung Ihrer Daten auf unserer Plattform.

Verantwortlicher (Art. 4 Abs. 7 DSGVO)

HEADON Kreativagentur Onur Cirakoglu Am Vogelsberg 8 97922 Lauda-Königshofen Deutschland E-Mail: hallo@headon.pro

Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre Daten auf Basis folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO: Einwilligung (z. B. Forschungsdaten)
  • Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (z.B. Benutzerkonto, Forum)
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (z.B. Sicherheit, Betrieb der Website)

Benutzerkonto und Registrierung

Bei der Registrierung verarbeiten wir folgende Daten. Die Registrierung setzt voraus, dass Sie bestätigen, mindestens 16 Jahre alt zu sein, und die Datenschutzerklärung zur Kenntnis genommen zu haben.

  • E-Mail-Adresse (zur Authentifizierung und Kommunikation)
  • Benutzername (öffentlich sichtbar im Forum)
  • Passwort (verschlüsselt gespeichert)
  • Profilinformationen (optional: Anzeigename, Biografie, Avatar)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Optional: Einwilligung in Forschungskontakt (allow_research_contact) und E-Mail-Benachrichtigungen – jeweils Opt-in, Standard: aus.

Speicherdauer: Bis zur Löschung Ihres Kontos

Forum und Community

Bei der Nutzung unseres Forums und der Community verarbeiten wir:

  • Ihre Beiträge, Kommentare und Threads
  • Upvotes, Lesezeichen und hilfreiche Markierungen
  • Direktnachrichten an andere Nutzer
  • Gruppenmitgliedschaften und -beiträge
  • Erfahrungsberichte (optional anonym)
  • Trust-Level (automatisch auf Basis von Aktivität und Moderationshistorie), Badges und In-App-Benachrichtigungen
  • Maschinelle Übersetzung von Beiträgen durch LibreTranslate – auf unserem eigenen Server betrieben, keine Drittübermittlung; Übersetzungen werden gespeichert

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Bis zur Löschung des Beitrags oder Kontos

Das Trust-Level-System stuft Nutzer automatisch anhand ihrer Aktivität und Moderationshistorie ein. Es beeinflusst ausschließlich Community-Rechte (z. B. Bearbeitungsrechte) und stellt keine rechtlich wirksame automatisierte Entscheidung im Sinne von Art. 22 DSGVO dar.

Moderation: Zur Durchsetzung unserer Community-Richtlinien und zum Schutz der Nutzer verarbeiten wir Moderationsdaten – Meldungen von Inhalten (gemeldeter Inhalt, Grund, Zeitpunkt), Verwarnungen (Grund, Schweregrad), Stummschaltungen und Sperren (Grund, Dauer) sowie ein Moderations-Protokoll der durchgeführten Maßnahmen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, regelkonformen Community). Sie können dieser Verarbeitung nach Art. 21 DSGVO widersprechen.

Aphantasie-Tests

Anonyme Nutzung

Unsere Tests (VVIQ, PSIQ, Binocular Rivalry) können vollständig anonym genutzt werden. Einzelantworten existieren nur im Arbeitsspeicher während der Testsitzung. Ergebnisse werden erst nach Ihrer aktiven Consent-Wahl im Browser-LocalStorage gespeichert. Analytics-Events enthalten ausschließlich Testtyp, Dauer und Sprache – keine Scores und keine Kategorien.

Nutzung mit Konto

Wenn Sie angemeldet sind, können Testergebnisse optional mit Ihrem Konto verknüpft werden, um Ihren Testverlauf zu speichern.

Forschungseinwilligung (optional – Art. 9 DSGVO)

Testergebnisse ermöglichen Rückschlüsse auf die mentale Vorstellungsfähigkeit und fallen daher als Gesundheitsdaten unter Art. 9 DSGVO (besondere Datenkategorie). Eine Speicherung auf unseren Servern erfolgt ausschließlich mit Ihrer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Gespeichert werden: Score, Interpretation und Einzelantworten. Keine IP-Adresse, kein User-Agent. Nicht angemeldete Nutzer erhalten eine zufällige pseudonyme Kennung (aphantasie-anonymous-id), die im LocalStorage gespeichert wird; diese verknüpft Sitzungen auf demselben Gerät, aber nicht geräteübergreifend. Angemeldete Nutzer werden über ihre Nutzer-ID zugeordnet. Ohne diese Einwilligung werden keine Daten auf unseren Servern gespeichert.

Ich willige ausdrücklich ein, dass meine Testergebnisse (einschließlich Score, Interpretation und Einzelantworten) für wissenschaftliche Forschungszwecke pseudonym gespeichert werden. Mir ist bekannt, dass diese Daten Rückschlüsse auf meine mentale Vorstellungsfähigkeit ermöglichen können (Art. 9 Abs. 2 lit. a DSGVO).

Die Teilnahme ist freiwillig. Sie können die Einwilligung jederzeit über den Bereich „Meine Testdaten“ auf den Testseiten widerrufen; dabei werden Ihre lokalen Daten und alle anonymen Test-Sitzungen zu Ihrer Kennung aus der Datenbank gelöscht.

Pseudonyme Forschungsdaten werden nach 36 Monaten automatisch vollständig anonymisiert (Kennung entfernt). Danach ist keine Zuordnung zu Ihrem Gerät mehr möglich.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO i. V. m. Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung)

Forschungs-Kontaktliste (E-Mail-Opt-in)

Nach einem Test kannst du freiwillig deine E-Mail-Adresse hinterlassen, um über künftige Aphantasie-Studien informiert zu werden. Die Adresse wird erst nach Bestätigung per E-Mail (Double-Opt-in) verwendet und getrennt von deinen Testergebnissen gespeichert — eine Verknüpfung findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst dich jederzeit über den Abmeldelink in jeder E-Mail austragen; die Adresse wird dann nicht mehr kontaktiert. Eine Weitergabe an Dritte erfolgt nicht; Forschende erhalten Kontakt ausschließlich über uns.

Forschungskooperationen / Research-Export

Registrierte und geprüfte Forschende erhalten auf Antrag Zugang zu pseudonymisierten Test-Datensätzen (Testtyp, Datum, Score, Interpretation, Einzelantworten – ohne Nutzer- oder Gerätekennung). Jeder Datenabruf wird mit IP-Adresse und Browser-Kennung der abrufenden Person zu Audit-Zwecken protokolliert. Antragsdaten der Forschenden (Name, E-Mail, Institution, Forschungszweck) werden gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Förderung wissenschaftlicher Forschung) sowie Art. 9 Abs. 2 lit. j DSGVO (Forschungsinteresse bei angemessenen Schutzmaßnahmen).

Technische Datenerfassung

Cookies

Wir verwenden ausschließlich technisch notwendige Authentifizierungs-Cookies (Supabase-Session-Cookies). Die Sprachwahl erfolgt über die URL, die Theme-Einstellung über den localStorage-Key theme – nicht über Cookies.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Lokale Speicherung

Wir nutzen den LocalStorage Ihres Browsers mit folgenden Einträgen: aphantasie-test-store (Testergebnis und Consent-Wahl – wird erst nach Ihrer aktiven Consent-Entscheidung angelegt, bleibt bis zur manuellen Löschung oder Browser-Daten-Leerung), aphantasie-anonymous-id (pseudonyme Kennung – wird nur bei Forschungseinwilligung angelegt, Widerruf über „Meine Testdaten“), theme (Theme-Präferenz – kein Personenbezug). Diese Daten verlassen Ihr Gerät nicht.

Server-Log-Dateien

Bei jedem Zugriff werden automatisch erfasst: IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Zugriffszeitpunkt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Betrieb)

Speicherdauer: 7 Tage (anschließend automatische Löschung)

Auftragsverarbeiter

Wir setzen folgende Dienstleister ein, die Daten in unserem Auftrag verarbeiten. Alle Daten verbleiben in der EU:

Supabase (EU – Frankfurt)

Für Datenbank, Authentifizierung und Dateispeicherung nutzen wir Supabase (Anbieter: Supabase Inc.). Das Hosting erfolgt in der EU (Region Frankfurt am Main). Wir haben einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen. Sub-Auftragsverarbeiter: Resend Inc. (USA) wird für den Versand von Auth-E-Mails (Bestätigung, Passwort-Reset) eingesetzt; der Transfer ist über Standardvertragsklauseln (SCC) abgesichert. Ein weitergehender Zugriff aus Drittländern durch den Anbieter oder weitere Sub-Auftragsverarbeiter ist nicht vollständig auszuschließen; er ist über SCC bzw. das EU-US Data Privacy Framework abgesichert.

https://supabase.com/privacy

Hetzner Online GmbH (Deutschland)

Unsere Website wird auf einem eigenen Server bei Hetzner Online GmbH am Standort Nürnberg (Deutschland) gehostet. Hetzner ist ein deutscher Hosting-Anbieter mit Rechenzentren in Deutschland und Finnland. Wir haben einen Auftragsverarbeitungsvertrag (AVV) abgeschlossen. Ein Datentransfer in Drittländer findet nicht statt.

https://www.hetzner.com/de/legal/privacy-policy

Schriftarten

Wir verwenden selbst gehostete Schriftarten. Es erfolgt keine Verbindung zu externen Diensten wie Google Fonts.

Webanalyse (Umami – Self-Hosted)

Wir nutzen Umami, eine datenschutzfreundliche Open-Source-Analysesoftware, die wir selbst auf unseren Servern in Deutschland hosten. Umami ist vollständig cookieless – es werden keine Cookies gesetzt und keine Einwilligung benötigt. IP-Adressen werden nicht gespeichert. Es findet kein Datentransfer an Dritte oder in Drittländer statt. Umami respektiert das Global Privacy Control (GPC)-Signal des Browsers. Statistik-Events enthalten keine Testergebnisse, Scores oder Kategorien – nur anonyme Nutzungsdaten. Rohdaten werden nach 12 Monaten gelöscht.

Erfasste Daten (aggregiert und anonym):

  • Seitenaufrufe und Verweildauer
  • Referrer-URL (woher Sie kamen)
  • Gerätetyp und Browser (anonymisiert)
  • Ungefährer Standort (nur Land, keine IP-Speicherung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots). Da keine personenbezogenen Daten verarbeitet werden und keine Cookies gesetzt werden, ist keine Einwilligung nach TTDSG erforderlich.

Speicherdauer

Wir speichern Ihre Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

  • Kontodaten: Bis zur Kontolöschung
  • Forenbeiträge: Bis zur Löschung durch Sie oder Moderation
  • Moderationsdaten: Protokolle und deaktivierte Verwarnungen 365 Tage, technische Rate-Limit-Daten 30 Tage; aktive Sperren bis zur Aufhebung
  • Server-Logs: 7 Tage
  • Forschungsdaten (pseudonym): nach 36 Monaten automatische Vollständig-Anonymisierung (Kennung entfernt); anonym gespeicherte ohne Kennung unbefristet (kein Personenbezug). Widerruf löscht die pseudonymen Daten sofort.

Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO) – Sie können Ihr Konto jederzeit selbst in den Kontoeinstellungen löschen; dabei werden Ihre personenbezogenen Daten entfernt und Freitext-Angaben zu Ihrer Person in Moderations-Protokollen anonymisiert
  • Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem gängigen Format erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung können Sie jederzeit widerrufen.

Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Lautenschlagerstraße 20 70173 Stuttgart Telefon: 0711/615541-0 E-Mail: poststelle@lfdi.bwl.de Website: https://www.baden-wuerttemberg.datenschutz.de

Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

  • HTTPS-Verschlüsselung für alle Datenübertragungen
  • Verschlüsselte Speicherung von Passwörtern
  • Row Level Security (RLS) in der Datenbank
  • Regelmäßige Sicherheitsupdates

Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslage oder Änderungen unserer Dienste anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.

Besondere Datenkategorien (Art. 9 DSGVO) — Premium-Report

Die Testergebnisse, die zur Erstellung des Premium-Reports verwendet werden, können Rückschlüsse auf die visuelle Vorstellungsfähigkeit und damit auf gesundheitsbezogene Merkmale erlauben und fallen unter Art. 9 DSGVO (besondere Kategorien personenbezogener Daten).

Datenkategorie: Angaben zur Vorstellungsfähigkeit (visuelle und multisensorische Imagination); mögliche Gesundheitsdaten gemäß Art. 9 Abs. 1 DSGVO

Rechtsgrundlage: Ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, erteilt vor dem Kauf

Zweck: Erstellung des persönlichen Premium-Reports (Auswertung, Perzentil-Vergleich, Alltagsstrategien)

Zahlungs- und Vertragsabwicklung: Die eigentliche Zahlungs- und Vertragsabwicklung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) durch Paddle Payments Limited als Merchant of Record

Die Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden (hallo@headon.pro). Ein Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Zahlungsabwicklung (Premium-Report)

Paddle Payments Limited

Für den Kauf digitaler Produkte setzen wir Paddle Payments Limited als Merchant of Record und Zahlungsabwickler ein. Paddle verarbeitet dabei deine Zahlungsdaten, stellt Rechnungen aus und übernimmt die steuerliche Abwicklung.

Datenempfänger: Paddle Payments Limited · Zweck: Kaufabwicklung · Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) · Datenschutz Paddle: paddle.com/legal/privacy

paddle.com/legal/privacy

Resend (Transaktionale E-Mails)

Für die Zustellung des Download-Links nach dem Kauf nutzen wir den Dienst Resend (Resend Inc., USA). Resend verarbeitet dabei deine E-Mail-Adresse ausschließlich zum Versand der Kaufbestätigung und des Report-Links.

Speicherung von Bestelldaten

Bestelldaten (einschließlich des für den Report verwendeten Testergebnis-Payloads) werden 90 Tage nach Bereitstellung des Reports gelöscht. Report-Dateien werden in Supabase Storage gespeichert und nach Ablauf des Download-Links unzugänglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie gesetzliche Aufbewahrungspflichten.

Kontakt zum Datenschutz

Bei Fragen zum Datenschutz erreichen Sie uns unter: hallo@headon.pro