Espresso Coach

Rechtliches

Datenschutzerklärung

Stand: Juni 2026

Kurzfassung, kein Juristen-Sprech

  • Hosting in EU. Vercel + Supabase mit Datenresidenz Frankfurt.
  • Keine Tracking-Cookies. Kein Drittanbieter-Tracking, keine Analyse-Dienste.
  • Keine Datenverkäufe. Deine Bohnen, Analysen und Werte gehören dir.
  • Account jederzeit löschbar. Mit einem Klick alles weg.
  • ⚠️Anthropic-API: Coach-Analysen werden an Anthropic in USA übermittelt (mit AVV + SCC). Anthropic speichert nicht zu Training-Zwecken.

Details findest du unten in der vollen Erklärung.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:
Alina Freitag
Schönaicher Straße 15
71144 Steinenbronn
E-Mail: hello@espresso-coach.com

2. Welche Daten wir verarbeiten

2.1 Beim Besuch der Website

Beim bloßen Aufruf der Website erfasst unser Hosting-Anbieter Vercel Inc. automatisch Server-Logs:

  • IP-Adresse (gekürzt)
  • Datum und Uhrzeit der Anfrage
  • Browser-Typ und Version
  • Referrer-URL

Diese Daten werden zur technischen Bereitstellung der Website verwendet (Art. 6 Abs. 1 lit. f DSGVO) und nach spätestens 30 Tagen gelöscht.

2.2 Bei der Nutzung des Espresso-Coachs

Wenn du eine Espresso-Analyse durchführst, übermittelst du:

  • Maschinen-, Mühlen- und Bohnen-Informationen
  • Geschmacksbeschreibungen
  • Optional: Fotos von Maschine, Mühle und Bohnen-Verpackung

Diese Daten werden an Anthropic PBC (Anbieter der KI-Modelle) übermittelt, um eine personalisierte Empfehlung zu generieren. Anthropic nutzt diese Daten nicht zum Modelltraining. API-Eingaben und -Ausgaben werden bei Anthropic bis zu 30 Tage gespeichert und danach gelöscht. Mehr Infos: Anthropic Commercial Terms.

Rechtsgrundlage: Bei eingeloggten Nutzern Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), da die Coach-Analyse die Kernleistung deines Nutzerkontos ist. Bei anonymer Nutzung ohne Account stützen wir die Verarbeitung auf unser berechtigtes Interesse, die von dir selbst angestoßene Analyse-Anfrage zu beantworten (Art. 6 Abs. 1 lit. f DSGVO). Die Übermittlung an Anthropic in die USA ist durch einen Auftragsverarbeitungsvertrag mit Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO abgesichert (siehe Abschnitt 4.1).

2.3 Bei Registrierung / Login

Wenn du dich registrierst, speichern wir:

  • Deine E-Mail-Adresse
  • Datum der Registrierung
  • Login-Zeitpunkte

Wir nutzen Supabase Inc. (USA) als Auth-Anbieter. Die Daten liegen auf Servern in der EU (Frankfurt). Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

2.4 Eigene Daten in der App

Du kannst optional eigene Daten anlegen:

  • Bohnen-Bibliothek (Name, Röster, Notizen)
  • Analyse-Verlauf (gespeicherte Empfehlungen)
  • Maschinen-Profile

Diese Daten gehören dir und sind durch Row Level Security (RLS) so geschützt, dass nur du sie sehen kannst. Du kannst sie jederzeit löschen oder einen Datenexport anfordern (siehe §6).

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

2.5 Bei Nutzung der Foto-Erkennung (Bohnen, Shot, Milchschaum, Setup)

Wenn du die Foto-Erkennung nutzt, übermittelst du ein Foto deiner Bohnen-Tüte, deines Shots, deines Milchschaums oder deines Setups (Maschine/Mühle) an die Vision-API von Anthropic PBC (548 Market St #150073, San Francisco, CA 94104, USA). Anthropic erkennt Roaster, Bohnen-Daten bzw. visuelle Merkmale und gibt das Ergebnis strukturiert zurück.

  • Anthropic speichert die über die API übermittelten Fotos bis zu 30 Tage und löscht sie anschließend; eine Nutzung zum Modelltraining findet nicht statt.
  • Mit Anthropic haben wir einen Auftragsverarbeitungsvertrag (DPA) mit Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.

Speicherst du nach erfolgreicher Erkennung die Daten in deiner Bohnen-Bibliothek, bleibt das Foto in unserem Storage (Supabase, Server in Frankfurt). Du kannst es jederzeit über die App löschen. Bei Löschung deines Accounts wird es automatisch entfernt.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Foto-Erkennung ist eine Account-Funktion, die du selbst aktiv aufrufst.

2.6 Bei Pro-Abo oder Lifetime-Kauf

Bei kostenpflichtigen Plänen leiten wir dich zur Zahlungsabwicklung an Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland) weiter.

Stripe verarbeitet in eigener Verantwortung:

  • E-Mail-Adresse
  • Rechnungsanschrift (für EU-VAT)
  • Zahlungsdaten (diese erreichen unsere Server nicht)
  • Transaktions-Historie

Wir erhalten von Stripe lediglich eine Zahlungs-ID, deine Plan-Auswahl und den Abrechnungs-Status. Datenschutz von Stripe: stripe.com/de/privacy.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

2.7 Bei aktiviertem Wochenbericht

Der wöchentliche Email-Bericht ist ein Feature in Vorbereitung. Sobald er verfügbar ist, können Pro- und Lifetime-User ihn aktivieren. In diesem Fall übermitteln wir deine E-Mail-Adresse und deinen Wochenrückblick an unseren E-Mail-Anbieter mailbox.org (Heinlein Support GmbH, Berlin; siehe Abschnitt 4.6). Du kannst den Wochenbericht jederzeit per Klick auf „Abmelden“ in der Email oder in den App-Einstellungen deaktivieren.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die Rechtmäßigkeit der bis zu einem Widerruf erfolgten Verarbeitung bleibt unberührt.

2.7b Morgen-Erinnerung (E-Mail)

Wenn du in den App-Einstellungen die „Erinnerung morgens“ aktivierst, senden wir dir an Tagen, an denen du noch keinen Espresso analysiert hast, eine kurze Erinnerungs-Mail (höchstens eine pro Tag). Dafür verarbeiten wir deine E-Mail-Adresse und den Zeitpunkt deiner letzten Analyse.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die Einstellung ist standardmäßig deaktiviert. Du kannst die Erinnerung jederzeit über den Abmelde-Link in jeder Mail oder den Schalter in den App-Einstellungen wieder deaktivieren (Widerruf der Einwilligung mit Wirkung für die Zukunft); die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt. Der Versand erfolgt über unseren E-Mail-Anbieter mailbox.org (siehe Abschnitt 4.6).

2.8 Newsletter-Anmeldung

Wenn du dich für unseren Newsletter anmeldest, verarbeiten wir folgende Daten:

  • E-Mail-Adresse
  • Anmelde-Datum und Bestätigungs-Status (Double-Opt-In)
  • UTM-Parameter und Signup-Quelle (z.B. Lern-Artikel), anonymisiert. Dienen nur der Marketing-Attribution

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Du kannst deine Einwilligung jederzeit widerrufen, indem du dich über den Abmelde-Link in jeder Newsletter-Mail abmeldest oder uns unter hello@espresso-coach.com kontaktierst. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Die Daten werden bis zum Widerruf der Einwilligung gespeichert. Bei der Abmeldung löschen wir die UTM-Parameter und die Signup-Quelle automatisch. Versand erfolgt aktuell direkt über unseren E-Mail-Anbieter (mailbox.org).

2.9 Bohnen-Empfehlungen und Klick-Tracking

Auf der Seite /bohnen empfehlen wir Specialty-Bohnen aus deutschen Röstereien, die zu deinem Setup passen.

Aktueller Status (Bohnen): Für die Bohnen-Empfehlungen haben wir aktuell mit keinem der empfohlenen Röster eine Affiliate-Partnerschaft. Wir verlinken roaster-direkt und bekommen kein Geld für Klicks oder Bestellungen. Die Empfehlungen basieren auf unabhängiger Recherche (Markt-Bekanntheit, Heimbarista-Community, Qualitäts-Reputation). Hinweis: Für Zubehör-Empfehlungen im Coach (z.B. WDT-Tool) besteht bereits eine aktive Affiliate-Partnerschaft über Awin, siehe Abschnitt 2.9b.

Was wir bei einem Klick speichern:

  • Bohnen-Slug und Röster-Name des angeklickten Links
  • Röster-Slug und Affiliate-Phase (aktuell "pending")
  • User-Agent und Referrer-URL (anonymisiert, gekürzt)
  • Klick-Quelle (z.B. Curated-Page, Lern-Artikel)
  • Klick-Zeitstempel

Es wird kein personenbezogenes Profil erstellt. Wenn du nicht eingeloggt bist, erfolgt die Speicherung anonym (kein User-Bezug). Die Klick-Daten dienen zur Verbesserung unserer Bohnen-Empfehlungen.

In Zukunft (Phase 2): Sobald wir mit einem Röster eine Affiliate-Partnerschaft eingehen (z.B. über AWIN), kennzeichnen wir die betroffenen Links transparent mit Sternchen-Hinweis und aktualisieren diese Erklärung um Partner und Cookie-Lifetime.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur Verbesserung der Empfehlungs-Qualität und (in Phase 2) zur Finanzierung der Plattform. Sobald du den Roaster-Shop erreichst, gelten die Datenschutz-Regeln des jeweiligen Anbieters.

2.9b Hardware-Empfehlungen im Coach

Wenn der Coach ein Problem diagnostiziert, das ein konkretes Zubehör-Tool typischerweise löst (z.B. Channeling), kann er dir kontextuell ein passendes Tool vorschlagen (z.B. ein WDT-Tool). Diese Empfehlung erscheint nur eingeloggt, nur im Coach-Ergebnis und höchstens einmal pro Analyse.

Die Hardware-Empfehlungen verlinken auf unseren Affiliate-Partner roastmarket über das Netzwerk Awin. Wenn du über den Link bestellst, bekommen wir ggf. eine Provision. Du zahlst nichts extra. Die Tool-Auswahl basiert auf der Kaffee-Kausalität (welches Tool das diagnostizierte Problem löst), nicht auf Provisions-Höhe.

Beim Klick wirst du über awin1.com (Awin AG, siehe Abschnitt 4.7) zu roastmarket weitergeleitet. Awin setzt dabei ein Cookie zur Bestell-Zuordnung (Laufzeit 30 Tage). Es gelten zusätzlich die Datenschutz-Bestimmungen von Awin und roastmarket.

Was wir selbst bei einem Klick speichern:

  • Slug und Kategorie des angeklickten Tools
  • Affiliate-Phase
  • User-Agent und Referrer-URL (anonymisiert, gekürzt)
  • Klick-Zeitstempel

Du kannst diese Empfehlungen jederzeit in deinem Accountabschalten ("Affiliate-Empfehlungen ausblenden").

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur kontextuellen Hilfestellung und zur Finanzierung der Plattform. Sobald du den Shop erreichst, gelten die Datenschutz-Regeln des jeweiligen Anbieters.

2.10 Bot-Schutz bei Registrierung / Login (Cloudflare Turnstile)

Zum Schutz vor automatisierter Account-Erstellung und Spam setzen wir auf den Login- und Registrierungs-Seiten den Dienst Turnstile der Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) ein.

Beim Aufruf der Seite analysiert Turnstile technische Browser-Eigenschaften wie:

  • User-Agent und Browser-Version
  • Bildschirmgröße und Sprach-Einstellungen
  • Verhaltens- und Interaktions-Muster (Maus-Bewegung, Tipp-Rhythmus)
  • IP-Adresse

Turnstile dient ausschließlich der Bot-Abwehr und nicht dem seitenübergreifenden Tracking oder Werbezwecken. Sofern Cloudflare zur Funktion der Sicherheitsprüfung ein technisch notwendiges Cookie oder einen lokalen Speicherwert setzt, geschieht dies allein zum Schutz vor automatisiertem Missbrauch der von dir aufgerufenen Login- oder Registrierungs-Seite und ist nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei. Eine websiteübergreifende Wiedererkennung findet nicht statt. Die zur Bot-Erkennung verarbeiteten Daten werden nach maximal 30 Minuten gelöscht.

Rechtsgrundlage: berechtigtes Interesse zum Schutz vor automatisiertem Missbrauch (Art. 6 Abs. 1 lit. f DSGVO). Cloudflare hat sich dem EU-US Data Privacy Framework verpflichtet; mit Cloudflare besteht zudem ein Auftragsverarbeitungsvertrag mit Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO. Datenschutz von Cloudflare: cloudflare.com/privacypolicy.

Spam-Schutz bei anonymen Analysen: IP-Adressen anonymer Analyse-Anfragen (Espresso-Analyse ohne Account) werden zur Spam-Prävention für 24 Stunden gespeichert. Es erfolgt keine personenbezogene Verknüpfung; nach 24 Stunden werden die Daten automatisch gelöscht. Rechtsgrundlage: berechtigtes Interesse am Schutz vor automatisiertem Missbrauch (Art. 6 Abs. 1 lit. f DSGVO).

2.11 Coach-Feedback (Daumen hoch/runter pro Empfehlung)

Nach jeder Coach-Empfehlung kannst du mit Daumen hoch oder Daumen runter bewerten, ob der Tipp für dein Setup korrekt war. Bei Daumen runter kannst du optional einen kurzen Kommentar hinzufügen (max 1.000 Zeichen).

Wir speichern:

  • Deine User-ID und die ID der bewerteten Analyse
  • Maschinen- und Mühlen-Slug aus dieser Analyse (Aggregation pro Modell)
  • Bewertung (korrekt / falsch)
  • Optionaler Kommentar
  • Erste 500 Zeichen der Coach-Antwort als Kontext-Erinnerung
  • Zeitpunkt der Bewertung

Zweck ist ausschließlich die Verbesserung der KI-Coach-Empfehlungen (z.B. Erkennung von Profil-Daten-Fehlern oder Coach-Schwachstellen für bestimmte Maschinen-/Mühlen-Modelle). Es findet kein User-Tracking statt; Aggregate werden nur im internen Admin-Dashboard sichtbar.

Rechtsgrundlage: berechtigtes Interesse an der Produktqualität (Art. 6 Abs. 1 lit. f DSGVO). Auf Wunsch wird das Feedback zusammen mit deinem Account gelöscht (Cascade); separater Löschwunsch nur für Feedback an hello@espresso-coach.com möglich.

3. Cookies

Auf unseren eigenen Seiten setzen wir nur technisch notwendige Cookies für:

  • Authentifizierung (Login-Sitzung)
  • Zahlungsabwicklung über Stripe während des Checkouts

Diese werden ohne deine Einwilligung gesetzt (§ 25 Abs. 2 Nr. 2 TDDDG).

Außerdem speichern wir kleine technische Werte direkt in deinem Browser (lokaler Speicher / Session-Speicher), damit Funktionen, die du selbst nutzt, funktionieren: deine Anzeige-Einstellung (hell/dunkel), deine zuletzt gewählte Sieb-Größe, ob du der Foto-Erkennung zugestimmt hast, und ob du Hinweise (z.B. zur App-Installation) bereits weggeklickt hast. Diese Werte verlassen dein Gerät nicht, dienen keiner Reichweiten- oder Werbemessung und sind für die jeweils von dir aufgerufene Funktion erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

Zusätzlich kann beim Klick auf eine Hardware-Empfehlung im Coach ein funktionales Affiliate-Cookie von Awin (awin1.com) gesetzt werden, das ausschließlich der Zuordnung einer späteren Bestellung dient (Laufzeit 30 Tage). Es findet kein seitenübergreifendes Werbe-Tracking statt. Details dazu in Abschnitt 2.9b.

Tracking-Cookies (Google Analytics o.ä.) verwenden wir nicht.

Für anonyme Reichweiten- und Performance-Messung nutzen wir Vercel Web Analytics und Speed Insights. Beide arbeiten ohne Cookies und ohne personenbezogene Profile (Details in Abschnitt 4.2).

4. Externe Dienste

4.1 Anthropic (KI-Coach)

Anthropic PBC, San Francisco, USA. Übermittlung deiner Eingaben zur KI-Analyse. Mit Anthropic besteht ein Auftragsverarbeitungsvertrag; die Datenübermittlung in die USA ist über Standardvertragsklauseln (SCC) nach Art. 46 DSGVO abgesichert. Datenschutz: anthropic.com/privacy

4.2 Vercel (Hosting)

Vercel Inc., San Francisco, USA. Hosting der Website. Server-Standort: Frankfurt (EU). Mit Vercel besteht ein Auftragsverarbeitungsvertrag; die Datenübermittlung in die USA ist über Standardvertragsklauseln (SCC) nach Art. 46 DSGVO abgesichert. Datenschutz: vercel.com/privacy-policy

Zusätzlich nutzen wir Vercel Web Analytics und Speed Insights zur anonymen, cookielosen Messung von Seitenaufrufen und Ladezeiten. Dabei werden keine personenbezogenen Profile gebildet und keine geräteübergreifende Wiedererkennung vorgenommen.

4.3 Supabase (Auth + Datenbank)

Supabase Inc., San Francisco, USA. Server-Standort: Frankfurt (EU). Mit Supabase besteht ein Auftragsverarbeitungsvertrag; die Datenübermittlung in die USA ist über Standardvertragsklauseln (SCC) nach Art. 46 DSGVO abgesichert. Datenschutz: supabase.com/privacy

4.4 Stripe (Zahlungen)

Stripe Payments Europe Ltd., Dublin, Irland (EU). Zahlungsabwicklung für Pro/Lifetime. Stripe verarbeitet Zahlungsdaten als eigenständig Verantwortlicher. Datenschutz: stripe.com/de/privacy

4.5 Cloudflare (Bot-Schutz, DNS)

Cloudflare, Inc., San Francisco, USA. Bot-Schutz via Turnstile auf Login- und Registrierungs-Seiten sowie DNS-Auflösung der Domain. Datenschutz: cloudflare.com/privacypolicy

4.6 mailbox.org (E-Mail-Versand)

Heinlein Support GmbH (mailbox.org), Berlin (EU). Versand von Account-, Bestätigungs- und Newsletter-Mails. Auftragsverarbeitungsvertrag abgeschlossen. Datenschutz: mailbox.org/datenschutz

4.7 Awin (Affiliate-Netzwerk)

Awin AG, Eichhornstraße 3, 10785 Berlin (EU). Vermittlung der Zubehör-Empfehlungen im Coach (Weiterleitung über awin1.com zum Partner-Shop). Beim Klick wird ein funktionales Cookie zur Bestell-Zuordnung gesetzt (Laufzeit 30 Tage), kein seitenübergreifendes Werbe-Tracking. Mit Awin besteht ein Auftragsverarbeitungsvertrag mit Standardvertragsklauseln (SCC) nach Art. 46 DSGVO. Details siehe Abschnitt 2.9b. Datenschutz: awin.com/de/datenschutz

5. Speicherdauer

  • Server-Logs: 30 Tage
  • Account-Daten: bis zur Account-Löschung
  • Analyse-Eingaben: nicht gespeichert (außer eingeloggt)
  • Bohnen-Bibliothek: bis zur Löschung durch dich
  • Bohnen-Fotos, Shot-Fotos und Milchschaum-Fotos: bis zur Löschung durch dich
  • Coach-Feedback (Daumen, optionaler Kommentar): bis zur Account-Löschung (Cascade) oder auf separaten Wunsch; aggregierte, nicht personenbezogene Auswertungen können zur Produktqualität erhalten bleiben
  • Rechnungsdaten (über Stripe): 10 Jahre (steuerrechtliche Aufbewahrungspflicht § 147 AO)
  • Newsletter-Anmeldung (E-Mail, Status): bis zur Abmeldung
  • Newsletter-UTM-Parameter und Signup-Quelle: bis zur Abmeldung, dann sofort gelöscht
  • Email-Versand-Logs (mailbox.org): 30 Tage
  • Bot-Erkennungs-Daten (Cloudflare Turnstile): max. 30 Minuten
  • IP-Adressen anonymer Analyse-Anfragen: 24 Stunden

6. Deine Rechte

Du hast nach DSGVO folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Anfragen an: hello@espresso-coach.com

Hinweis auf dein Widerspruchsrecht (Art. 21 DSGVO): Soweit wir Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, dazu zählen Server-Logs (§2.1), Bohnen-Klick-Auswertung (§2.9), Hardware-Klick-Auswertung (§2.9b), Bot-Schutz und Spam-Prävention (§2.10) sowie Coach-Feedback (§2.11), kannst du dieser Verarbeitung jederzeit aus Gründen, die sich aus deiner besonderen Situation ergeben, widersprechen. Wir verarbeiten die betroffenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die deine Interessen überwiegen. Eine kurze Nachricht an hello@espresso-coach.com genügt.

7. Datensicherheit

Diese Website nutzt SSL/TLS-Verschlüsselung (https). Datenbank-Zugriffe sind durch Row Level Security (RLS) geschützt. Jeder Nutzer sieht nur seine eigenen Daten.

8. Änderungen

Wir passen diese Datenschutzerklärung bei Bedarf an. Aktuelle Version immer auf dieser Seite verfügbar.