VERARBEITUNGSVERZEICHNIS
Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO
VERANTWORTLICHER
Philip Dedekind
Futterstrasse 4, 99084 Erfurt
E-Mail: hello@better-catch.de
Stand: März 2026 — Dieses Verzeichnis wird fortlaufend aktualisiert.
1. WEBSITE-HOSTING UND SERVER-LOGS
Bereitstellung und technischer Betrieb der Website, Erkennung und Abwehr von Angriffen.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und zuverlässigen Betrieb)
Alle Website-Besucher
- IP-Adresse (anonymisiert)
- Browsertyp und -version
- Betriebssystem
- Referrer-URL
- Zeitpunkt der Anfrage
- Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA (Auftragsverarbeiter, DPA vorhanden)
Server-Logs werden von Vercel automatisch nach 30 Tagen gelöscht.
- IP-Anonymisierung
- TLS 1.3 Verschlüsselung
- Security-Header (CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy)
- Nonce-basierte Content Security Policy
2. NEWSLETTER (DOUBLE-OPT-IN)
Versand von Informationen zu neuen Tackle-Tests, Guides und Angeboten per E-Mail.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Double-Opt-In-Verfahren)
Newsletter-Abonnenten
- E-Mail-Adresse
- IP-Adresse (gehasht, zur Missbrauchsverhinderung)
- Zeitpunkt der Anmeldung und Bestätigung
- HMAC-basierter Bestätigungstoken
- n8n-Webhook (Auftragsverarbeiter für E-Mail-Versand)
- Keine Weitergabe an Dritte
Bis zum Widerruf (Abmeldung). Unbestätigte Anmeldungen werden nach 7 Tagen gelöscht. Bestätigungstoken läuft nach 7 Tagen ab.
- Double-Opt-In-Verfahren
- HMAC-SHA256-signierte Bestätigungs- und Abmelde-Links
- IP-Hashing (kein Klartext)
- Rate Limiting: max. 3 Anmeldungen pro IP/Tag
3. COMMUNITY VOTING (PRODUKTVORSCHLÄGE)
Ermöglichung von Produktvorschlägen und Abstimmungen der Community über zukünftige Testberichte.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Community-Einbindung)
Website-Besucher, die am Voting teilnehmen
- IP-Adresse (gehasht, zur Rate-Limitierung)
- Produktvorschlag, Marke, Kategorie, Begründung
- Zeitpunkt der Abstimmung
- Keine Weitergabe an Dritte (dateibasierte Speicherung auf dem Server)
Vorschlagsdaten bis zur Löschung durch den Administrator. IP-Hashes werden nicht rückauflösbar gespeichert.
- IP-Hashing (SHA-256, kein Klartext)
- Rate Limiting: max. 5 Vorschläge pro IP/Tag
- Fuzzy-Duplikat-Erkennung
- Dateibasierte Speicherung (voting.json)
4. COMMUNITY REVIEWS (NUTZERBEWERTUNGEN)
Ermöglichung von Nutzerbewertungen zu Testberichten, einschließlich Hilfsmarkierungen und Meldungen.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nutzerinteraktion)
Website-Besucher, die Bewertungen verfassen
- Selbstgewählter Autorenname (Pseudonym)
- Bewertungstext und Punktzahl
- IP-Adresse (gehasht, zur Rate-Limitierung)
- Zeitpunkt der Bewertung
- Keine Weitergabe an Dritte
Bis zur Löschung durch den Autor (Anfrage) oder Administrator. IP-Hashes unbegrenzt (nicht rückauflösbar).
- IP-Hashing
- Rate Limiting: max. 2 Reviews pro IP/Tag, 1 pro Test
- Anti-Spam-Filter (URL-Erkennung, Caps-Prüfung)
- Moderationsqueue vor Veröffentlichung
5. KOMMENTARE
Ermöglichung von Diskussionen zu Testberichten in Kommentarform (threaded).
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nutzerinteraktion)
Website-Besucher, die Kommentare verfassen
- Selbstgewählter Autorenname (Pseudonym)
- Kommentartext
- IP-Adresse (gehasht, zur Rate-Limitierung)
- Zeitpunkt des Kommentars
- Keine Weitergabe an Dritte
Bis zur Löschung durch den Autor (Anfrage) oder Administrator.
- IP-Hashing
- Rate Limiting: max. 5 Kommentare pro IP/Tag
- Anti-Spam-Filter
- Moderationsqueue vor Veröffentlichung
- Threaded-Struktur mit max. 3 Verschachtelungsebenen
6. ADMIN-AUTHENTIFIZIERUNG
Zugriffskontrolle für den geschützten Administrationsbereich.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Absicherung des Verwaltungsbereichs)
Administratoren und Content-Ersteller
- HMAC-SHA256-Token (in HTTP-only Cookie)
- Rolle (admin/creator, in lesbarem Cookie)
- IP-Adresse (für Login-Rate-Limiting)
- Keine Weitergabe an Dritte
Cookie-Laufzeit: 24 Stunden. Login-Sperren: 15 Minuten.
- HMAC-SHA256-Tokengenerierung
- Timing-safe Vergleich (Schutz gegen Timing-Angriffe)
- HTTP-only, Secure-Cookies
- Rate Limiting: max. 5 Login-Versuche, 15-Minuten-Sperre
- Rollenbasierte Zugriffskontrolle (RBAC)
7. PUSH-BENACHRICHTIGUNGEN
Benachrichtigung über neue Testberichte in abonnierten Produktkategorien.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Abonnement)
Besucher, die Push-Benachrichtigungen abonnieren
- Subscription-Endpoint (Browser-generierte URL)
- Kryptographische Schlüssel (p256dh, auth)
- Gewählte Kategorien
- Browser-Push-Dienst des jeweiligen Browsers (technisch notwendig)
Bis zur Abmeldung oder bis der Endpoint ungültig wird (automatische Bereinigung).
- Keine personenbezogenen Daten im Klartext
- Rate Limiting: max. 5 Subscriptions pro IP
- Automatische Entfernung abgelaufener Endpoints
- Dateibasierte Speicherung
8. VERCEL ANALYTICS
Aggregierte, anonyme Nutzungsstatistiken zur Verbesserung der Website.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung des Angebots)
Alle Website-Besucher
- Seitenaufrufe (anonymisiert)
- Verweildauer
- Gerätekategorie (keine Fingerprints)
- Vercel Inc. (Auftragsverarbeiter)
Aggregierte Daten ohne Personenbezug. Keine individuelle Speicherung.
- Keine Cookies
- Keine IP-Speicherung
- Keine geräteübergreifende Verfolgung
- Privacy-by-Design (Vercel Analytics ist cookiefrei)
9. KONTAKT PER E-MAIL
Bearbeitung von Anfragen, die per E-Mail an hello@better-catch.de gesendet werden.
Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung)
Personen, die per E-Mail Kontakt aufnehmen
- E-Mail-Adresse
- Name (sofern angegeben)
- Inhalt der Nachricht
- Keine Weitergabe an Dritte
Bis zur vollständigen Bearbeitung der Anfrage, maximal 6 Monate nach letztem Kontakt, sofern keine gesetzliche Aufbewahrungspflicht besteht.
- E-Mail-Verschlüsselung (TLS)
- Zugriff nur durch den Verantwortlichen
10. COOKIE-CONSENT-VERWALTUNG
Speicherung der Einwilligungsentscheidung des Nutzers bezüglich Cookies.
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Nachweisbarkeit der Einwilligung)
Alle Website-Besucher
- Consent-Präferenz (akzeptiert/abgelehnt)
- Zeitpunkt der Entscheidung
- Keine Weitergabe (localStorage im Browser des Nutzers)
Unbegrenzt im localStorage des Browsers. Löschung durch den Nutzer jederzeit möglich.
- Rein clientseitige Speicherung (localStorage)
- Keine serverseitige Übermittlung
- Jederzeit widerrufbar
11. SPRACHEINSTELLUNG
Speicherung der bevorzugten Spracheinstellung (Deutsch/Englisch) für ein konsistentes Nutzungserlebnis.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner)
Website-Besucher, die eine Spracheinstellung wählen
- Sprachpräferenz (DE/EN)
- Keine Weitergabe an Dritte
1 Jahr (Cookie bc_lang). Wird nur bei Einwilligung gesetzt.
- Cookie wird nur mit Consent gesetzt
- Keine personenbezogenen Daten
- Jederzeit löschbar
ALLGEMEINE TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (ART. 32 DSGVO)
- TLS 1.3 Verschlüsselung für alle Datenübertragungen
- Content Security Policy mit Nonce-basierter Script-Kontrolle
- Security-Header: X-Frame-Options (DENY), X-Content-Type-Options (nosniff), Referrer-Policy, X-XSS-Protection
- Dateibasierte Speicherung (kein externer Datenbankdienst)
- IP-Hashing (SHA-256) statt Klartextspeicherung bei allen Community-Funktionen
- Rate Limiting auf allen öffentlichen Endpunkten
- Timing-safe Token-Vergleiche (Schutz gegen Seitenkanalangriffe)
- Rollenbasierte Zugriffskontrolle (Admin/Creator) über Middleware
- Keine externen Tracking-Dienste, keine Werbe-Cookies
- Regelmäßige Sicherheitsupdates der eingesetzten Softwarekomponenten
DRITTLANDTRANSFERS
Durch das Hosting bei Vercel Inc. (USA) findet eine Übermittlung in ein Drittland statt. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission) sowie ergänzender Standardvertragsklauseln (SCCs). Ein Data Processing Agreement (DPA) mit Vercel liegt vor.