Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO):

Sonja Burns
Gartenweg 2
73453 Abtsgmünd
Deutschland

E-Mail: info@socialfreedom.pro
Telefon: +49 157 87343908

Die Benennung eines Datenschutzbeauftragten ist gesetzlich nicht erforderlich. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben genannte Adresse.

2. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten ausschließlich für folgende Zwecke:

• Bereitstellung und Verwaltung Ihres Benutzerkontos
• Durchführung der KI-gestützten Buchgenerierung (Manuskript, Cover, Listing)
• Abwicklung von Zahlungen und Verwaltung von Credits
• Versand transaktionaler E-Mails (z. B. Registrierungsbestätigung)
• Sicherstellung des technischen Betriebs und der IT-Sicherheit

3. Rechtsgrundlagen

Die Verarbeitung Ihrer Daten erfolgt auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Registrierung, Account-Verwaltung, Buchgenerierung, Zahlungsabwicklung
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) — IT-Sicherheit, Missbrauchsprävention, Session-Verwaltung
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung) — Aufbewahrung von Rechnungsdaten gemäß steuerrechtlichen Vorschriften

4. Welche Daten wir verarbeiten

4.1 Registrierung und Benutzerkonto

Bei der Registrierung erheben wir Ihre E-Mail-Adresse und ein von Ihnen gewähltes Passwort (gespeichert als kryptographischer Hash). Diese Daten sind für die Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO).

Nach der Registrierung senden wir einen einmaligen Bestätigungs-Link an Ihre E-Mail-Adresse. Bis zur Bestätigung zeigen wir Ihnen einen Hinweis-Banner im Dashboard; die Nutzung ist davon unabhängig weiter möglich. Zur Verifizierung und bei späteren Adress-Änderungen speichern wir in der Tabelle kdp_email_changes einen kryptografischen Token (gültig bis zu 7 Tage) sowie die angestrebte neue Adresse. Nach erfolgreicher Bestätigung wird der Zeitpunkt der Verifizierung (email_verified_at) in Ihrem Konto gespeichert; der Token wird unmittelbar gelöscht.

Optional können Sie die Zwei-Faktor-Authentifizierung (2FA) über eine Authenticator-App aktivieren. In diesem Fall speichern wir in der Tabelle kdp_user_2fa ein 20 Byte langes TOTP-Geheimnis (RFC 6238) sowie bcrypt-gehashte Recovery-Codes. Das Geheimnis und die Recovery-Codes dienen ausschließlich der Login-Sicherheit und werden bei Deaktivierung der 2FA vollständig gelöscht. Rechtsgrundlage ist unser und Ihr berechtigtes Interesse an der Konto-Sicherheit (Art. 6 Abs. 1 lit. f DSGVO).

4.2 Buchgenerierung

Wenn Sie ein Buchprojekt anlegen, verarbeiten wir die von Ihnen eingegebenen Daten (Thema, Zielgruppe, Sprache, Gliederung) sowie die daraus generierten Inhalte (Manuskript, Listing, Cover). Diese Daten werden in Ihrem Projektverzeichnis auf unserem Server gespeichert.

4.3 Zahlungsdaten

Zahlungen werden über Stripe abgewickelt. Wir speichern die Stripe-Session-ID, den gezahlten Betrag und die Anzahl der gutgeschriebenen Credits. Ihre Kreditkarten- oder Bankdaten werden ausschließlich von Stripe verarbeitet und sind uns nicht zugänglich.

4.4 E-Mail-Versand

Wir versenden transaktionale E-Mails (z. B. bei der Registrierung) über den Mailserver unseres Hosting-Anbieters IONOS. Ihre E-Mail-Adresse wird ausschließlich für diesen Zweck verwendet.

4.5 Server-Logdateien

Unser Hosting-Anbieter IONOS erhebt bei jedem Zugriff automatisch Informationen in sogenannten Server-Logdateien (IP-Adresse, Datum und Uhrzeit des Zugriffs, angeforderte URL, Referrer-URL, verwendeter Browser). Diese Daten werden zur Sicherstellung des Betriebs und zur Fehleranalyse verarbeitet (Art. 6 Abs. 1 lit. f DSGVO) und in der Regel nach 30 Tagen automatisch gelöscht.

4.6 Sicherheitsprotokolle (Brute-Force-Prävention)

Zum Schutz vor Brute-Force- und Missbrauchsangriffen speichern wir für maximal 24 Stunden die Anzahl und den Zeitpunkt fehlgeschlagener Anmelde-, Registrierungs- und Passwort-Reset-Versuche, gruppiert nach IP-Adresse bzw. E-Mail-Hash. Diese Daten werden automatisch gelöscht und ausschließlich zur Abwehr von Missbrauch genutzt. Rechtsgrundlage ist unser berechtigtes Interesse an der IT-Sicherheit (Art. 6 Abs. 1 lit. f DSGVO).

4.7 Login-Versuche (Audit-Log)

Zur Erkennung und Abwehr von Brute-Force-Angriffen sowie zur Einhaltung unserer DSGVO-Audit-Pflichten protokollieren wir jeden Login-Versuch in der Tabelle kdp_login_audit. Gespeichert werden ausschließlich:

• die gehashte E-Mail-Adresse (SHA-256, kein Klartext)
• die gehashte IP-Adresse (SHA-256, kein Klartext)
• der Erfolgs- oder Fehlschlag-Status
• ein technischer Fehlergrund (z. B. wrong_password, 2fa_invalid)
• der Zeitstempel des Versuchs

Eine Rückverfolgung auf eine konkrete Person ist nur mit Kenntnis der Original-E-Mail bzw. -IP-Adresse möglich. Die Daten werden nach 30 Tagen automatisch gelöscht. Rechtsgrundlage ist unser berechtigtes Interesse an der IT-Sicherheit (Art. 6 Abs. 1 lit. f DSGVO).

4.8 Aktive Sitzungen

Damit Sie in Ihrem Konto alle Geräte einsehen können, auf denen Sie aktuell eingeloggt sind, speichern wir in der Tabelle kdp_active_sessions für jede aktive Sitzung:

• die interne Sitzungs-Kennung (PHP-Session-ID, nicht an Dritte sichtbar)
• die gehashte IP-Adresse (SHA-256)
• den übermittelten User-Agent-String Ihres Browsers
• den Zeitpunkt der letzten Aktivität

Diese Daten ermöglichen es Ihnen, einzelne Sitzungen gezielt zu beenden (Force-Logout), etwa wenn Sie sich an einem fremden Gerät nicht abgemeldet haben. Ein Eintrag wird gelöscht, sobald Sie sich abmelden, spätestens jedoch nach 30 Tagen Inaktivität. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), da die Sitzungsverwaltung ein integraler Bestandteil des Nutzer-Accounts ist.

4.9 Marketing-E-Mails (Nudges)

Bei der Registrierung oder in den Konto-Einstellungen können Sie sich optional für den Empfang gelegentlicher Marketing-E-Mails (Tipps, Erinnerungen, Neuigkeiten) anmelden.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Anmeldung erfolgt über eine separate Checkbox bei der Registrierung oder per Toggle in den Konto-Einstellungen.
• Verarbeitete Daten: E-Mail-Adresse sowie Aktivitätsdaten (letzter Login, Projektstatus, Credit-Stand) zur Segmentierung der E-Mail-Inhalte. Es werden keine Daten an externe Dienste übermittelt — der Versand erfolgt ausschließlich über unseren eigenen Server.
• Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen — per One-Click-Unsubscribe-Link in jeder Marketing-E-Mail oder in den Konto-Einstellungen unter „Marketing-E-Mails".
• Speicherdauer: Ihr Opt-in-Status und der Zeitpunkt der Einwilligung werden bis zur Löschung Ihres Benutzerkontos gespeichert.
• Frequenz: Maximal eine Marketing-E-Mail pro 7 Tage.

4.10 Empfehlungsprogramm (Freunde werben)

Sie können über einen persönlichen Einladungslink Freunde zu KDP Pro einladen. Im Rahmen dieses Empfehlungsprogramms verarbeiten wir folgende Daten:

• Referral-Code: Ein eindeutiger Code (z.B. REF-a1b2c3d4), der Ihrem Benutzerkonto zugeordnet ist. Dieser Code wird bei der Registrierung automatisch generiert.
• Zuordnung Werber/Geworbener: Wenn sich eine Person über Ihren Einladungslink registriert, wird die Zuordnung (wer hat wen eingeladen) in der Tabelle kdp_referrals gespeichert.
• Reward-Status: Ob und wann ein Gratis-Credit als Belohnung gutgeschrieben wurde.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — die Durchführung des Empfehlungsprogramms ist Bestandteil unseres Dienstleistungsangebots.
• Speicherdauer: Die Daten werden für die Dauer des Benutzerkontos gespeichert und bei Kontolöschung automatisch entfernt (ON DELETE CASCADE).
• Anzeige: Auf der Seite „Freunde einladen" sehen Sie die E-Mail-Adressen Ihrer eingeladenen Freunde in maskierter Form (z.B. m***@gmail.com). Die vollständigen E-Mail-Adressen werden nicht angezeigt.

4.11 KI-Verarbeitung bei externen APIs

Für die automatisierte Buch-Generierung übertragen wir bestimmte von Ihnen eingegebene Informationen an externe KI-Dienste (siehe Abschnitt 6 „Datenübermittlung an Dritte und Drittlandtransfers"):

• Anthropic (Claude): Buchthema, Zielgruppe, Beschreibung, Outline-Struktur und generierte Kapitel-Kontexte. Diese Daten werden von Anthropic ausschließlich zur Erstellung der Antwort genutzt und — gemäß Anthropic-DPA — nicht zum Training der Modelle verwendet.
• OpenAI (DALL·E 3): Buch-Titel und Genre als Teil eines generierten Bild-Prompts für das Cover. Es werden keine Kontodaten (E-Mail, Name, IP-Adresse) an diese Dienste übertragen.

Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt: Sie selbst prüfen und akzeptieren jeden generierten Abschnitt (Nische, Outline, Kapitel, Listing, Cover) und können ihn verwerfen, regenerieren oder bearbeiten.

4.12 Kundenfeedback und Testimonials

Wenn du nach Fertigstellung deines Buches Feedback abgibst, verarbeiten wir:

• Vorname/Anzeigename (von dir eingebbar)
• Bewertung (1-5 Sterne)
• Kommentar (Freitext, optional)
• Projekt-Zuordnung (Buchtitel und Genre)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Mit dem Absenden des Feedbacks stimmst du zu, dass dein Anzeigename und deine Bewertung auf unserer Website veröffentlicht werden. Die Veröffentlichung des Buchtitels ist optional und kann beim Absenden abgewählt werden.

Löschung: Du kannst jederzeit per E-Mail an info@socialfreedom.pro die Löschung deines Feedbacks verlangen.

5. Cookies

Wir verwenden ausschließlich ein technisch notwendiges Session-Cookie. Dieses Cookie ist für den Betrieb der Anwendung erforderlich (Login-Zustand, CSRF-Schutz) und enthält keine personenbezogenen Daten. Es wird beim Schließen des Browsers gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Funktionsfähigkeit). Eine Einwilligung ist für technisch notwendige Cookies nicht erforderlich.

Wir setzen keine Analyse-, Tracking- oder Werbe-Cookies ein. Auf dieser Webseite werden keine externen Tracking- oder Drittanbieter-Cookies geladen.

Bei einer Zahlung werden Sie zu einer von Stripe gehosteten Checkout-Seite weitergeleitet. Auf dieser externen Seite setzt Stripe eigene Cookies (z. B. zur Betrugsprävention). Diese Cookies werden ausschließlich auf der Domain von Stripe gesetzt und unterliegen der Verantwortung sowie der Datenschutzerklärung von Stripe. Eine Einwilligung auf unserer Seite ist hierfür nicht erforderlich, da Stripe als eigenständiger Verantwortlicher auftritt (siehe Abschnitt 6.3).

5.1 Lokaler Speicher (localStorage / sessionStorage)

Zusätzlich zu Session-Cookies verwenden wir den lokalen Browser-Speicher für UI-Präferenzen (z. B. Sidebar-Zustand, zuletzt eingegebenes Thema auf der Startseite, weggeklickte Hinweise). Diese Daten bleiben ausschließlich auf Ihrem Gerät und werden nicht an unsere Server übertragen. Sie können sie jederzeit in den Einstellungen Ihres Browsers löschen.

6. Datenübermittlung an Dritte und Drittlandtransfers

Zur Erbringung unserer Dienste übermitteln wir Daten an folgende Auftragsverarbeiter:

6.1 Anthropic (Claude API) — USA

Für die Textgenerierung (Nischenanalyse, Gliederung, Kapitel, Listing) übermitteln wir Ihre Projekteingaben an die API von Anthropic, PBC (San Francisco, USA). Übermittelt werden ausschließlich Projektinhalte (Thema, Gliederung, Textabschnitte) — keine personenbezogenen Kontodaten. Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

6.2 OpenAI (DALL-E 3) — USA

Für die Generierung des Cover-Hintergrundbilds übermitteln wir eine textbasierte Bildbeschreibung an die API von OpenAI, LLC (San Francisco, USA). Es werden keine personenbezogenen Daten übermittelt, sondern ausschließlich der generierte Bildprompt. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

6.3 Stripe — USA

Für die Zahlungsabwicklung nutzen wir Stripe, Inc. (San Francisco, USA). Wir verwenden das Stripe Hosted Checkout: Beim Klick auf „Bezahlen" werden Sie zu einer von Stripe betriebenen Webseite (checkout.stripe.com) weitergeleitet. Stripe verarbeitet dort Ihre Zahlungsdaten als eigenständiger Verantwortlicher und setzt während des Checkout-Vorgangs eigene Cookies, etwa zur Betrugsprävention. Diese Cookies werden ausschließlich auf der Domain von Stripe gesetzt; auf unserer Webseite werden sie nicht geladen.

Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe. Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

6.4 IONOS — Deutschland

Das Hosting erfolgt bei IONOS SE (Montabaur, Deutschland). IONOS verarbeitet Daten ausschließlich innerhalb der EU.

Kopien der mit den oben genannten US-Anbietern abgeschlossenen Standardvertragsklauseln stellen wir Betroffenen auf Anfrage unter info@socialfreedom.pro bereit.

7. Speicherdauer

• Kontodaten (E-Mail, Passwort-Hash): Bis zur Löschung Ihres Benutzerkontos.
• Projektdaten (Manuskripte, Outlines, Cover): Bis zur Löschung Ihres Benutzerkontos oder des jeweiligen Projekts.
• Zahlungsdaten (Rechnungsdaten, Transaktionen): 10 Jahre ab Ende des Kalenderjahres der Transaktion gemäß § 257 HGB und § 147 AO.
• Server-Logdateien: In der Regel 30 Tage (durch IONOS verwaltet).

8. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte:

• Auskunft (Art. 15 DSGVO) — Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
• Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sie können Ihr Benutzerkonto jederzeit selbst löschen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO) — Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO) — Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruch (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO jederzeit widersprechen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@socialfreedom.pro

9. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite.