↑ Zur Startseite

Datenschutz

Information nach Art. 13 DSGVO · Stand 27. Mai 2026 · v1.4

Auf einen Blick

STAESH speichert nur die Daten, die zum Betrieb nötig sind: E-Mail-Adresse für den Login, deine Verkostungs-Notizen, optional Username, Bio und Foto. Auslieferung über Google Firebase (Region europe-west). Wir setzen keine Werbe-Pixel und keine Cross-Site-Profiling-Tools ein; für Bot-Schutz nutzen wir Google reCAPTCHA Enterprise, das Geräte- und Browser-Signale auswertet (Details unten). Auftragsverarbeiter ist Google — Details unter „Hosting und Auftragsverarbeitung“.

Verantwortlicher

Jonas Schaeling, Friedenstraße 2, 34121 Kassel. bge.staesh@gmail.com. Volle Anbieterkennung im Impressum. Die endgültige Trägerstruktur der Marke BGE Family wird vor dem Phase-1-Launch im Sommer 2026 finalisiert; bis dahin ist Verantwortlicher für STAESH die natürliche Person Jonas Schaeling.

Konto und Verkostungs-Notizen

Bei Registrierung verarbeiten wir E-Mail-Adresse und Passwort-Hash, optional Username, Display-Name, Bio, Foto und Instagram-Handle. Eingereichte Verkostungs-Notizen werden mit Bewertungs-Achsen, Quelle und Zeitstempel gespeichert. Rechtsgrundlage ist deine ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Wenn du die Grading-Funktionen von STAESH nutzt, erfassen wir ausschließlich objektive, handwerkliche und organoleptische Qualitätsmerkmale von Cannabis-Produkten. Dazu gehören beispielsweise Flavour Translation, Smokeability, Aschefarbe, das A-D Grading sowie Angaben zu Sorte, Quelle und Preis. Wir erfassen keine gesundheitsbezogenen Daten, Konsummengen oder medizinischen Wirkungsbeschreibungen. Die Verarbeitung dieser Produktdaten erfolgt auf Grundlage deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sowie zur Bereitstellung der Community-Funktionen gemäß Nutzungsvertrag (Art. 6 Abs. 1 lit. b DSGVO).

Anmeldung über Google

Du kannst dich über Google anmelden. Dabei überträgt Google an STAESH deine bei Google hinterlegte E-Mail-Adresse, deinen Anzeigenamen und ggf. dein Profilbild. Google selbst erhält die Information, dass du STAESH nutzt, sowie deine IP-Adresse und den User-Agent. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung der Nutzungsbeziehung). Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Datenschutzerklärung: policies.google.com/privacy.

Hosting und Auftragsverarbeitung

Auslieferung der Seite und Speicherung der Kontodaten erfolgen über Google Firebase (App Hosting, Authentication, Firestore, Storage) in der Region europe-west. Vertragspartner ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Auftragsverarbeitung erfolgt auf Grundlage des Google Cloud Data Processing Addendum. Server-Logs (IP, User-Agent, URL, Statuscode) werden für maximal 30 Tage zur Fehleranalyse vorgehalten und danach gelöscht. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO.

Wir können nicht ausschließen, dass Google im Rahmen technischer Wartung oder zur Erfüllung gesetzlicher Pflichten in den USA auf Daten zugreifen muss (Subprozessor: Google LLC, Mountain View, USA). Primäre Rechtsgrundlage einer solchen Übermittlung ist der EU-US Data Privacy Framework (Angemessenheitsbeschluss (EU) 2023/1795 nach Art. 45 DSGVO), unter dem Google LLC als empfangende Stelle zertifiziert ist. Ergänzend kommen die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO sowie technische und organisatorische Maßnahmen (Verschlüsselung im Transit, Region europe-west) zum Einsatz. Wir bewerten die Anforderungen einer Transferfolgenabschätzung im Lichte der Schrems-II-Rechtsprechung fortlaufend und passen den Schutzmechanismus an die Entwicklung des DPF an.

Cookies und vergleichbare Speichertechnologien

Wir setzen ausschließlich technisch notwendige Cookies und localStorage-Einträge — für Login-Session, Spracheinstellung und um den Cookie-Hinweis sowie die Volljährigkeits-Bestätigung nicht bei jedem Besuch erneut anzuzeigen. Diese sind nach § 25 Abs. 2 Nr. 2 TDDDG (vormals TTDSG, neu gefasst durch das DDG vom 14. Mai 2024) einwilligungsfrei.

Konkret werden gesetzt:

  • Firebase Auth Session (Cookie · Anbieter Google · max. 14 Tage · Login-Status)
  • staesh.cookie-ack (localStorage · STAESH · dauerhaft · Hinweis-Bestätigung)
  • staesh.age-ack (localStorage · STAESH · dauerhaft · Volljährigkeits-Bestätigung)

Werbe-Pixel oder Cross-Site-Tracker setzen wir nicht ein. Für aggregierte Reichweiten-Auswertung nutzen wir, sofern aktiviert, GoatCounter (EU-gehostet, ohne Cookies und ohne Speicherung auf deinem Endgerät, IP-Adresse server-seitig pseudonymisiert mit täglich rotierendem Hash; § 25 TDDDG wird nicht ausgelöst, weil weder Speicher- noch Auslesevorgänge auf deinem Endgerät stattfinden). Rechtsgrundlage ist unser berechtigtes Interesse an Betriebs-Analytik (Art. 6 Abs. 1 lit. f DSGVO); du kannst dieser Verarbeitung jederzeit per E-Mail widersprechen. Daten bleiben innerhalb der EU, keine Profilbildung über Sitzungen hinweg.

Kommunikationsabos, Double-Opt-In und Preference Center

Auf STAESH kannst du dich für verschiedene Kommunikationsabos anmelden: das „STAESH Marketing“-Abo (Plattform-Updates) und das „BGE Marketing“-Abo (Infos zu Drops, Genetik und Lifestyle der Marke BGE Family).

Hinweis zur Rechtsnachfolge: Das Projekt STAESH und die Marke BGE Family befinden sich aktuell im Aufbau. Verantwortliche Stelle ist derzeit der im Impressum genannte Betreiber. Mit der Anmeldung willigst du ein, dass im Zuge einer zukünftigen Unternehmensgründung (z.B. als GbR oder GmbH) deine E-Mail-Adresse und der Nachweis deiner Einwilligung an die neu gegründete BGE Family-Gesellschaft übertragen werden, damit diese die E-Mail-Kommunikation nahtlos fortführen kann.

Für die Anmeldung nutzen wir ein striktes Double-Opt-In-Verfahren (DOI) über Google Firebase (Region europe-west). Erst wenn du den Bestätigungslink in der E-Mail klickst, wird dein Abonnement aktiv. Zur Erfüllung unserer gesetzlichen Nachweispflicht (Art. 7 Abs. 1 DSGVO) protokollieren wir die Version des Einwilligungstextes sowie die exakten Zeitstempel des Opt-In-Requests und der DOI-Bestätigung.

Preference Center & Widerruf:
Du hast jederzeit die volle Kontrolle. In jeder E-Mail findest du einen Link zu unserem Preference Center, wo du dich granular von einzelnen Abos abmelden oder deine Einwilligungen vollständig mit Wirkung für die Zukunft widerrufen kannst. Bei einem Widerruf werden die entsprechenden Berechtigungs-Flags in unserer Datenbank umgehend deaktiviert.

Bot-Schutz mit Google reCAPTCHA Enterprise

Zum Schutz vor automatisierten Anfragen (Bot-Spam, Account-Brute-Force, Newsletter-Müll) nutzen wir Google reCAPTCHA Enterprise in Verbindung mit Firebase App Check. Dabei werden Geräte- und Browser-Signale an Google übertragen — insbesondere Browser-Fingerprint (Canvas-, WebGL-, Schrift- und Plug-in-Signale), Mausbewegungs- und Touch-Muster, IP-Adresse, User-Agent und Referrer. Aus diesen Signalen errechnet Google einen Vertrauenswert. Eine Verknüpfung mit deinem Google-Konto durch Google ist nicht ausgeschlossen, wenn du dort eingeloggt bist; Cookies setzen wir im Rahmen der reCAPTCHA-Integration nicht. Anbieter: Google Ireland Limited; Subprozessor Google LLC, USA (siehe „Hosting und Auftragsverarbeitung“). Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchs-Prävention), Speicherdauer bei Google maximal 6 Monate.

Speicherdauern

Konkrete Speicherdauern der einzelnen Daten:

  • Konto- und Profildaten · solange dein Konto besteht; bei Löschung sofortige Entfernung über Server-Funktion
  • Verkostungs-Notizen / Reviews · solange dein Konto besteht oder bis du sie einzeln löschst; bei Konto- Löschung werden öffentlich-anonymisierte Reviews auf Wunsch erhalten oder vollständig entfernt
  • Newsletter-Anmeldung · bis du dich abmeldest (Link in jeder Mail); Consent-Tripel (Version, Zeitpunkt, Beschreibung) zur Beweisführung 3 Jahre ab Abmeldung (regelmäßige Verjährungsfrist § 195 BGB)
  • Server-Logs · max. 30 Tage
  • Firebase Auth Session-Cookie · max. 14 Tage ab letzter Aktivität
  • reCAPTCHA-Daten bei Google · max. 6 Monate (Vorgabe Google)
  • Audit-Eintrag bei Konto-Löschung · 6 Monate (Art. 5 Abs. 2 DSGVO)

Automatisierte Bewertungen und Flagging

STAESH errechnet aus mehreren Reviews einer Charge einen Konsens-Grade (A bis D) und kennzeichnet einzelne Reviews technisch mit System-Flags (Eigenvergung-Flag, Konsens-Meridian- Flag). Diese Bewertungen betreffen Sachgegenstände (Chargen), keine Personen, und stellen keine automatisierte Entscheidung mit Rechtswirkung iSd Art. 22 DSGVO dar. Die Sichtbarkeit einzelner Reviews kann durch Flags beeinflusst werden; Reviewerinnen und Reviewer können dem Flagging widersprechen, das System dokumentiert die Begründung, und ein Mensch überprüft die Entscheidung. Kontaktweg über bge.staesh@gmail.com.

Datenschutzbeauftragter

Die Schwellen für eine zwingende Benennung eines Datenschutzbeauftragten (Art. 37 DSGVO iVm § 38 BDSG) prüfen wir fortlaufend; sobald die Verarbeitung in großem Umfang als Kerntätigkeit erfolgt oder wir gesetzlich dazu verpflichtet sind, wird ein DSB benannt und an dieser Stelle veröffentlicht. Bis dahin werden Datenschutz-Anliegen direkt durch den Verantwortlichen bearbeitet.

Löschung deines Kontos (Art. 17 DSGVO)

In den Einstellungen kannst du deine Kennung jederzeit vollständig löschen. Die Löschung läuft automatisiert über eine Server-Funktion: alle Reviews, dein Username-Slug, alle hochgeladenen Fotos im Storage, dein Profil-Doc und dein Authentifizierungs-Konto werden in einem Vorgang entfernt. Ein Audit-Eintrag (UID, Zeitpunkt, Anzahl entfernter Daten) bleibt für sechs Monate zur Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) erhalten und wird dann ebenfalls gelöscht.

Deine Rechte

Du hast jederzeit Anspruch auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Erteilte Einwilligungen — insbesondere die Einwilligung in die Verarbeitung deiner Produktdaten (Grading) sowie in den Erhalt von E-Mail-Marketing — kannst du jederzeit mit Wirkung für die Zukunft widerrufen. Datenexport und Konto-Löschung kannst du in den Einstellungen direkt selbst auslösen. Beschwerderecht bei der zuständigen Aufsichtsbehörde — für Hessen: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Postfach 31 63, 65021 Wiesbaden.

Kontakt

Datenschutzanfragen mit Betreff „Datenschutz“ an bge.staesh@gmail.com. Wir antworten innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).

Änderungen

Diese Datenschutzerklärung kann an rechtliche oder technische Entwicklungen angepasst werden. Wesentliche Änderungen kündigen wir eingeloggten Nutzerinnen und Nutzern per E-Mail an. Die jeweils gültige Fassung ist auf dieser Seite einsehbar — Stand und Version oben.

↗ Impressum↑ Startseite