// LEGAL

Datenschutzerklärung

Stand: 29.03.2026 · v1.1

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist die oben genannte Person.

2. Überblick der Datenverarbeitung

Collrd ist eine Web-Anwendung zur gamifizierten Organisation persönlicher Gewohnheiten und Routinen im Kontext von BDSM/Kink-Dynamiken. Dabei verarbeiten wir personenbezogene Daten nur, soweit dies zur Bereitstellung der App und ihrer Funktionen erforderlich ist.

Wir verarbeiten personenbezogene Daten grundsätzlich nur, soweit eine Rechtsgrundlage dies erlaubt. Wir verkaufen keine Nutzerdaten, setzen kein Werbe-Tracking ein und geben Daten nur an Dritte weiter, soweit dies für die Vertragserfüllung erforderlich ist (siehe Abschnitt 11).

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — für die Bereitstellung des Nutzerkontos, der App-Funktionen und der Zahlungsabwicklung.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — für die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 2 lit. a DSGVO (siehe Abschnitt 5).
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — für die Analyse der Website-Nutzung mittels Plausible Analytics, die Gewährleistung der IT-Sicherheit und die Betrugsprävention.
• Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) — für die Aufbewahrung von Rechnungsdaten gemäß Handels- und Steuerrecht.

4. Hosting und Server

Diese Website und die Collrd-App werden auf Servern der Hetzner Online GmbH in Deutschland gehostet. Hetzner ist als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig. Die Datenverarbeitung erfolgt ausschließlich innerhalb der Europäischen Union.

5. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Collrd ermöglicht die Organisation von Aktivitäten im Bereich BDSM und Kink. Dabei können Daten verarbeitet werden, die Rückschlüsse auf sexuelle Vorlieben oder Praktiken zulassen. Diese Daten fallen unter die besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO.

Die Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Diese Einwilligung erteilst du bei der Registrierung über eine separate Checkbox. Du kannst diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem du deinen Account löschst oder uns per E-Mail kontaktierst.

Wir behandeln diese Daten mit besonderer Sorgfalt. Der Zugriff ist streng auf den jeweiligen Nutzer und — sofern eine D/s-Verbindung besteht — auf verbundene Nutzer gemäß des Permission-Systems beschränkt (siehe Abschnitt 8).

6. SSL/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennst du daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in deiner Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die du an uns übermittelst, nicht von Dritten mitgelesen werden.

7. Account-Registrierung und Nutzerdaten

Bei der Registrierung und Nutzung von Collrd verarbeiten wir folgende Daten:

7.1 Bei der Registrierung

• Benutzername (frei wählbar, muss nicht der echte Name sein)
• E-Mail-Adresse
• Passwort (wird ausschließlich als bcrypt-Hash gespeichert, das Klartext-Passwort wird nicht gespeichert)
• Profiltyp (Dom, Sub oder Switch)
• Einwilligungen (AGB, Datenschutz, Art. 9 DSGVO) mit Zeitstempel, IP-Adresse und Spracheinstellung

7.2 Bei der Nutzung

• Routinen, Aufgaben, Strafen, Belohnungen und Mantras (selbst erstellt oder aus Vorlagen)
• Journal-Einträge und Check-In-Antworten
• Gamification-Daten (XP, Level, Gems, Achievements, Streaks)
• Keuschheitstracker-Daten (sofern aktiviert)
• Verhaltensverträge (sofern erstellt)
• Verbindungsdaten zu anderen Nutzern (D/s-Dynamik, UUID-basiert)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Account-Daten; Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) für Daten mit Bezug zu sexuellen Vorlieben.

8. Daten in der D/s-Dynamik

Wenn du eine Verbindung zu einem anderen Nutzer herstellst (D/s-Verbindung), können bestimmte Daten für die verbundene Person sichtbar werden. Welche Daten sichtbar sind, wird durch das Permission-System gesteuert, das dem Sub die Kontrolle über die Sichtbarkeit seiner Daten gibt.

Das Freeze-System ermöglicht es jedem Nutzer, die Verbindung jederzeit sofort einzufrieren. Im Freeze-Zustand werden keine Daten mehr mit dem verbundenen Nutzer geteilt.

Verbindungen werden über zufällig generierte UUIDs hergestellt und erfordern die aktive Zustimmung beider Seiten. Jede Verbindung kann jederzeit einseitig getrennt werden.

9. Zahlungsdaten (Stripe)

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe. Bei einem Kauf werden deine Zahlungsdaten direkt von Stripe verarbeitet. Wir selbst speichern keine Kreditkartennummern oder Bankdaten.

An Stripe werden folgende Daten übermittelt:

• E-Mail-Adresse
• Zahlungsinformationen (Kreditkarte, SEPA etc. — direkt an Stripe, nicht an uns)
• Gewähltes Abo und Abrechnungszeitraum

Stripe ist unter dem EU-US Data Privacy Framework zertifiziert und gewährleistet ein angemessenes Datenschutzniveau für die Übermittlung personenbezogener Daten in die USA (siehe Abschnitt 12).

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Auf deinen Rechnungen und Kontoauszügen erscheint der diskrete Abrechnungsdeskriptor „CRD Digital" — nicht der Name Collrd oder ein Hinweis auf den Inhalt der App.

10. E-Mail-Versand (Brevo)

Für den Versand transaktionaler E-Mails (z.B. E-Mail-Verifizierung, Passwort-Reset, Account-Benachrichtigungen) nutzen wir den Dienst Brevo (ehemals Sendinblue). Brevo ist als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig.

An Brevo werden folgende Daten übermittelt:

• E-Mail-Adresse
• Benutzername (als Anrede in der E-Mail)
• Anlass der E-Mail (z.B. Verifizierung, Passwort-Reset)

Es werden keine inhaltsbezogenen Daten (z.B. Routinen, Aufgaben, Kink-Präferenzen) an Brevo übermittelt.

Die Datenverarbeitung durch Brevo erfolgt auf Servern innerhalb der Europäischen Union. Eine Übermittlung in Drittländer findet nicht statt.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für transaktionale E-Mails; Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für den Newsletter, sofern du dich dafür angemeldet hast.

11. Datenweitergabe an Dritte

Wir geben personenbezogene Daten grundsätzlich nicht an Dritte weiter, es sei denn, dies ist zur Vertragserfüllung erforderlich oder wir sind gesetzlich dazu verpflichtet. Im Einzelnen:

• Stripe Inc. — Zahlungsabwicklung (siehe Abschnitt 9)
• Brevo (Sendinblue GmbH) — E-Mail-Versand (siehe Abschnitt 10)
• Hetzner Online GmbH — Hosting (siehe Abschnitt 4)

Wir verkaufen keine Nutzerdaten. Wir nutzen kein Werbe-Tracking und keine Marketing-Cookies. Es findet kein Profiling im Sinne von Art. 22 DSGVO statt.

12. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer (Länder außerhalb der EU/des EWR) erfolgt nur im folgenden Fall:

• Stripe Inc. (USA) — Stripe ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Die Europäische Kommission hat für das DPF einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO erlassen.

Plausible Analytics verarbeitet Daten ausschließlich innerhalb der EU. Hetzner hostet ausschließlich in Deutschland. Brevo verarbeitet Daten auf Servern innerhalb der EU. Eine darüber hinausgehende Drittlandübermittlung findet nicht statt.

13. Cookies und Session-Daten

Collrd verwendet ausschließlich technisch notwendige Session-Cookies. Diese Cookies sind für den Betrieb der Anwendung erforderlich (Login-Status, CSRF-Schutz) und werden automatisch gelöscht, wenn du den Browser schließt.

Wir setzen keine Tracking-Cookies, keine Marketing-Cookies und keine Cookies von Drittanbietern ein. Ein Cookie-Consent-Banner ist daher nicht erforderlich.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) bzw. § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendige Cookies).

14. Website-Analyse (Plausible Analytics)

Für die Analyse der Website-Nutzung verwenden wir Plausible Analytics. Plausible ist ein datenschutzfreundliches Analyse-Tool, das vollständig ohne Cookies auskommt, keine personenbezogenen Daten erhebt und keine individuellen Nutzerprofile erstellt.

Die Datenverarbeitung durch Plausible erfolgt ausschließlich innerhalb der Europäischen Union. Es werden keine Daten an Drittländer übermittelt.

Plausible wird nur auf den öffentlichen Website-Seiten eingesetzt, nicht innerhalb der App nach dem Login.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Unser berechtigtes Interesse liegt in der statistischen Auswertung der Website-Nutzung zur Verbesserung unseres Angebots.

15. Server-Log-Dateien

Der Hosting-Provider erhebt und speichert automatisch Informationen in Server-Log-Dateien, die dein Browser automatisch übermittelt. Dies sind:

• Browsertyp und -version
• Verwendetes Betriebssystem
• Referrer-URL (zuvor besuchte Seite)
• Hostname des zugreifenden Rechners
• IP-Adresse
• Uhrzeit der Serveranfrage

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Die Speicherung erfolgt für 14 Tage und dient der Gewährleistung der IT-Sicherheit.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

16. Consent-Logging

Wir protokollieren deine Einwilligungen (z.B. Zustimmung zu AGB, Datenschutzerklärung und Art. 9-Einwilligung bei der Registrierung) mit folgenden Daten:

• Art der Einwilligung und Version der zugehörigen Dokumente
• Zeitstempel
• IP-Adresse
• Spracheinstellung

Diese Protokollierung dient der Erfüllung unserer Nachweispflicht gemäß Art. 7 Abs. 1 DSGVO. Die Consent-Logs werden für 3 Jahre aufbewahrt.

Rechtsgrundlage: Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).

17. Speicherdauer

• Account-Daten und nutzergenerierte Inhalte: Bis zur Löschung des Accounts durch den Nutzer oder bis zur automatischen Löschung bei Inaktivität (siehe Abschnitt 18).
• Rechnungsdaten: 10 Jahre nach Ende des Geschäftsjahres (gesetzliche Aufbewahrungspflicht gemäß § 147 AO, § 257 HGB).
• Server-Log-Dateien: 14 Tage.
• Consent-Logs: 3 Jahre.

18. Account-Löschung

18.1 Manuelle Löschung

Du kannst deinen Account jederzeit in den Profileinstellungen löschen. Nach der Löschung wird dein Account für 30 Tage deaktiviert. Während dieser Frist kannst du dich erneut einloggen und deinen Account reaktivieren. Nach Ablauf der 30 Tage werden alle deine Daten unwiderruflich gelöscht — mit Ausnahme der Rechnungsdaten, die gemäß gesetzlicher Aufbewahrungspflicht 10 Jahre aufbewahrt werden.

18.2 Automatische Löschung bei Inaktivität

Accounts, die über einen längeren Zeitraum inaktiv sind, werden automatisch gelöscht. Die Inaktivitätsfrist beträgt 180 Tage, gerechnet ab dem späteren der folgenden Zeitpunkte:

• Letzter Login
• Ende des letzten aktiven Abonnements (sofern vorhanden)

Vor der automatischen Löschung wirst du per E-Mail benachrichtigt, sofern eine E-Mail-Zustellung möglich ist.

19. Datenexport (Art. 20 DSGVO)

Collrd bietet eine integrierte Export-Funktion, mit der du deine Daten jederzeit in den Formaten PDF, CSV und JSON herunterladen kannst. Damit erfüllen wir dein Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO.

20. Deine Rechte

Dir stehen folgende Rechte in Bezug auf deine personenbezogenen Daten zu:

• Recht auf Auskunft (Art. 15 DSGVO) — du kannst Auskunft über deine gespeicherten Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO) — du kannst die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO) — du kannst die Löschung deiner Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — siehe Abschnitt 19 (Export-Funktion).
• Recht auf Widerspruch (Art. 21 DSGVO) — du kannst der Verarbeitung auf Grundlage eines berechtigten Interesses widersprechen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — du kannst erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung deiner Rechte wende dich bitte an: support@collrd.app

21. Minderjährigenschutz

Collrd richtet sich ausschließlich an Personen, die mindestens 18 Jahre alt sind. Bei der Registrierung wird eine Altersbestätigung per Checkbox verlangt. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Sollten wir Kenntnis davon erlangen, dass ein Nutzer unter 18 Jahre alt ist, wird der Account umgehend gelöscht.

22. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen, die deine Rechte betreffen, werden wir dich per E-Mail oder In-App-Benachrichtigung informieren.

Diese Datenschutzerklärung ist versioniert. Die aktuelle Version und das Datum findest du am Anfang dieser Seite.

23. Beschwerderecht bei der Aufsichtsbehörde

Wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt, hast du das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist: