Datenschutzerklärung

BotlLab – Stand: 25. Mai 2026 · Version 2.0

Update: präzisere Beschreibung der Zwei-Stufen-Consent-Architektur für QR-Scans (Stufe 1 anonym / Stufe 2 mit Einwilligung). Keine inhaltliche Erweiterung der Datenverarbeitung — kein Re-Accept erforderlich.

1. Verantwortlicher

BotlLab

Tim Beisheim
Droste-Hülshoff-Str. 7
50858 Köln
Deutschland

E-Mail: info@botllab.de
Website: https://botllab.de

2. Bestimmungszweck & Hobby-Brau-Kontext

BotlLab richtet sich ausschließlich an Privatpersonen und gemeinnützige Brau-Vereine(Hobby-Brauer, Heimbrauer) in Deutschland und der EU. Die Plattform dient der Dokumentation, dem Lernen und dem Austausch im Heimbrau-Bereich.

Keine kommerzielle Inverkehrbringung: Die entgeltliche Abgabe von Bier im Sinne der Lebensmittelinformationsverordnung (LMIV Art. 8) ist nicht gestattet — auch nicht im Rahmen von Vereinsfesten mit Verkauf, Veranstaltungen mit Eintritt oder ähnlichen entgeltlichen Konstellationen. Als Orientierung dient die Hobby-Schwelle nach § 22 BierStG (200 L/Jahr steuerfrei).

Diese Bestimmung prägt unseren gesamten Datenschutz-Ansatz: wir verarbeiten nur das Minimum, das für eine Hobby-/Vereins-Plattform nötig ist. BotlLab ist kein Marketing- oder Business-Intelligence- Tool für Brauereien. Die ausführlichen Pflichten und Konsequenzen regeln unsere Nutzungsbedingungen.

3. Allgemeine Informationen

Diese Datenschutzerklärung informiert dich über die Verarbeitung personenbezogener Daten bei der Nutzung der Plattform BotlLab gemäß der Europäischen Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

4. Welche Daten erheben wir?

4.1 Registrierung & Authentifizierung

  • E-Mail-Adresse
  • Passwort (verschlüsselt mit bcrypt, wird niemals im Klartext gespeichert)
  • Anzeigename / Username (frei wählbar, öffentlich sichtbar)
  • Geburtsdatum (Pflichtfeld zur Altersverifikation ≥ 18 Jahre; wird nicht öffentlich angezeigt)
  • Nutzungsmodus: Brauer oder Biertrinker (bestimmt die Startseite und Funktionsbereiche)
  • Optional (nach Registrierung im Profil): Name der Brauerei, Gründungsjahr, Standort, Bio, Website, Profilbild/Logo

4.2 Inhalte & Funktionalität

  • Rezepte und Rezeptdaten (Name, Stil, ABV, IBU, Beschreibung, Zutaten)
  • Flaschenverwaltungsdaten (Flaschenummern, Inhalt, Status)
  • QR-Code-Links und damit verbundene Daten
  • Bewertungen und Kommentare von Nutzern (falls öffentlich sichtbar)
  • Forum-Inhalte: Threads (Titel, Beschreibung), Posts (Kommentare, Antworten) sowie hochgeladene Bilder und Medien (Brew-Labels, Kronkorken-Designs) — Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. lit. a (Einwilligung bei Bild-Uploads). Speicherdauer: für die Dauer des Kontos; Forum-Inhalte bleiben nach Konto-Löschung in anonymisierter Form erhalten (Autor-Referenz wird auf "Gelöschter Nutzer" gesetzt), um die Lesbarkeit von Diskussionen zu gewährleisten (berechtigtes Interesse der Community, Art. 6 Abs. 1 lit. f DSGVO). Bilder werden auf Anfrage vollständig gelöscht.

4.3 Automatisch erfasste Daten & Analytics

  • IP-Adresse (nur für Logfiles & Sicherheit, nicht für Analytics gespeichert)
  • Browserdaten (User-Agent, Betriebssystem) zur Fehlerbehebung
  • Zugriffszeit und -dauer
  • Interne Interaktionsdaten (z.B. Button-Klicks, erreichte Limits, Feature-Nutzung) zur Produktverbesserung

4.4 QR-Scans auf Flaschen-Etiketten (Zwei-Stufen-Modell)

Wenn du einen QR-Code auf einer Bierflasche scannst, läuft die Datenverarbeitung in zwei klar getrennten Stufen — eine anonyme E-Label-Anzeige und eine optionale Community-Funktion, die nur nach deiner ausdrücklichen Zustimmung aktiv wird.

Stufe 1 — E-Label-Anzeige (/b/[id])

Beim ersten Aufruf der Flaschenseite siehst du das gesetzliche E-Label (Zutaten, Nährwerte, Hersteller-Angaben gemäß LMIV). Dabei verarbeiten wir keine personenbezogenen Daten:

  • Keine IP-Adresse wird gespeichert
  • Kein User-Agent, kein Gerätetyp
  • Kein Standort (weder GPS noch IP-basiert)
  • Keine Cookies, kein Session-Hash, kein Fingerprinting
  • Lediglich ein anonymer Zähler: welche Flasche, welche Brauerei, Zeitstempel

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse Betriebsmessung für Hobby-Brauereien). § 25 TDDDG ist nicht einschlägig, da kein Endgeräte-Zugriff erfolgt.

Stufe 2 — Community-Funktionen (/b/[id]/explore)

Nur wenn du aktiv auf "Mehr erfahren" klickst und dem eingeblendeten Hinweis ausdrücklich zustimmst, verarbeiten wir folgende anonymisierte Daten für Brauerei-Statistiken und Community-Funktionen:

  • Geo-Region (Land/Stadt per IP-Lookup über Vercel, IP wird nie gespeichert)
  • Geräte-Typ (Mobile/Desktop/Tablet) aus dem User-Agent
  • Standort optional auf ~460m Genauigkeit gerastert (H3-Hexagon, nur wenn du GPS-Zustimmung gibst)
  • Tagesrotierender Session-Hash (SHA-256 aus IP + Browser + tägliches Salt) — ermöglicht Duplikat-Erkennung, enthält aber keine identifizierbaren Daten und wird täglich invalidiert
  • Verweildauer auf der Seite, optionale UTM-Parameter
  • Bewertungen, Bierstil-Präferenzen, Beat-the-Brewer-Teilnahmen (bei aktiver Nutzung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst die Zustimmung jederzeit widerrufen, indem du den Cookie botllab-scan-consent in deinem Browser löschst.

Was sehen Brauereien? Ausschließlich aggregierte Statistiken (Anzahl Scans, Region, Tageszeit, geschätzte Trinker-Wahrscheinlichkeit). Niemals einzelne Personen oder Klar-Identifikatoren. Brauereien und BotlLab sind dabei in getrennten Rollen tätig: die Brauerei verantwortet die Produkt-/Inhaltsdaten ihres E-Labels, BotlLab betreibt die Plattform als Auftragsverarbeiter nach Art. 28 DSGVO.

4.5 Personalisierung & Profiling

  • Interaktionen mit Inhalten (z.B. welche Brews du ansiehst, wie lange du auf einer Karte verweilst, welche du likest).
  • Daraus abgeleitete Präferenzen (z.B. bevorzugte Bierstile, Zutaten), um dir im "Für dich"-Feed passendere Inhalte anzuzeigen.
  • Taste DNA: Aus deinen Bewertungen und Interaktionen erstellen wir ein persönliches Geschmacksprofil. Dies ist rein empfehlungsbasiert (Art. 22 DSGVO — keine automatisierte Entscheidung mit Rechtswirkung). Du kannst dein Taste-DNA-Profil jederzeit in den Kontoeinstellungen löschen.

5. Wofür nutzen wir deine Daten?

  • Kontoverwaltung: Authentifizierung, Sicherheit, Account-Recovery
  • Servicebereitstellung: Rezept- und Flaschenmanagement, QR-Code-Generierung
  • Personalisierung: Anpassung des Discover-Feeds an deine Interessen basierend auf deinem Nutzungsverhalten (z.B. angesehene oder gelikte Rezepte).
  • Kommunikation: Support, wichtige Mitteilungen über Änderungen
  • Verbesserung: Analyse von Nutzerverhalten zur Optimierung (anonym/aggregiert)
  • Sicherheit: Betrugsprävention, Missbrauchserkennung
  • Rechtliche Compliance: Erfüllung gesetzlicher Anforderungen

6. Rechtsgrundlagen (DSGVO)

Wir stützen jede Datenverarbeitung auf eine konkrete Rechtsgrundlage nach Art. 6 DSGVO. Die folgende Tabelle ordnet jede Verarbeitungstätigkeit ihrer Rechtsgrundlage zu — Stufen-Hinweise beziehen sich auf das Zwei-Stufen-Modell aus Abschnitt 4.4.

VerarbeitungRechtsgrundlageKontext
Anonymer E-Label-ZählerArt. 6 Abs. 1 lit. fStufe 1 — berechtigtes Interesse Betriebsmessung
Community-Tracking nach ConsentArt. 6 Abs. 1 lit. aStufe 2 — Einwilligung via Banner
Bewertungen, Beat-the-Brewer, VibeCheckArt. 6 Abs. 1 lit. a + bStufe 2 — Einwilligung + Vertragserfüllung
Account-Daten (E-Mail, Passwort, Profil)Art. 6 Abs. 1 lit. bVertragserfüllung Nutzungsvertrag
Personalisierung "Für dich"-FeedArt. 6 Abs. 1 lit. fBerechtigtes Interesse, Opt-Out möglich
Sicherheit, Spam-/MissbrauchspräventionArt. 6 Abs. 1 lit. fBerechtigtes Interesse
Steuer-/Buchhaltungs-PflichtenArt. 6 Abs. 1 lit. cRechtliche Verpflichtung (HGB, AO)
KI-Features (Label-Generator, BotlGuide)Art. 6 Abs. 1 lit. aEinwilligung durch bewusste Nutzung

Art. 7 DSGVO (Widerruf): Jede Einwilligung kannst du jederzeit für die Zukunft widerrufen — entweder in den Kontoeinstellungen (für Personalisierung) oder durch Löschen des entsprechenden Cookies (für Stufe-2-Tracking).

7. Wie lange speichern wir deine Daten?

Kontodaten: Solange dein Konto aktiv ist. Nach Löschung werden Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Rezepte & Flaschen: Solange du sie nicht löschst. Bei Account-Löschung werden Rezepte und Flaschendaten anonymisiert: Die Verknüpfung zu deinem Konto wird entfernt, die Inhalte bleiben jedoch als Teil der Community erhalten, da andere Nutzer ihre Brausitzungen und Flaschen darauf aufgebaut haben könnten. Profilbilder (Logo, Banner) und alle personenbezogenen Profildaten (Name, Bio, Standort) werden vollständig gelöscht. Rechtsgrundlage für die Aufbewahrung anonymisierter Rezeptdaten: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Datenintegrität für andere Community-Mitglieder).

Nutzungs- & Interaktionsdaten (Analytics): Rohdaten aus internen Nutzungsanalysen (z.B. aufgerufene Seiten, Feature-Nutzung) werden nach 365 Tagen automatisch gelöscht. Dies entspricht dem Geschäftszweck (Jahresvergleiche für Brewery-Inhaber). Aggregierte Tageszusammenfassungen ohne Personenbezug werden dauerhaft gespeichert.

QR-Scan-Daten (bottle_scans): Rohdaten einzelner Scans (Länderkode, Gerätetyp, tagesrotierender Session-Hash — kein IP, kein Name) werden nach 12 Monaten automatisch gelöscht. Aggregierte Statistiken bleiben dauerhaft erhalten.

KI-Nutzungslogs (BotlGuide): Protokolle über KI-Anfragen (enthält Nutzer-ID, anonymisierte Zusammenfassung der Anfrage/Antwort, IP-Adresse) werden nach 365 Tagen automatisch gelöscht.

Admin-Audit-Logs: Protokolle von Verwaltungsaktionen (enthält Admin-ID, Aktion, IP-Adresse) werden nach 365 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Nachvollziehbarkeit von Verwaltungshandlungen).

Bier-Browsing-Verlauf: Aufzeichnungen, welche Biere du angeschaut hast (Nutzer-ID, Bier-ID, Zeitstempel, Quelle), werden nach 365 Tagen automatisch gelöscht. Diese Daten dienen ausschließlich der Verbesserung von Empfehlungen.

Anti-Replay-Nonces (Bewertungen & Aktionen): Kurzzeitig gespeicherte Einmalschlüssel zur Verhinderung von Mehrfach-Aktionen (enthält Nutzer-ID, gehashten IP-Fingerprint) werden nach 90 Tagen automatisch gelöscht.

Benachrichtigungen: Gelesene Benachrichtigungen werden nach 1 Jahr, alle anderen nach 2 Jahren automatisch gelöscht.

Sentry (Fehler-Monitoring): Fehler-Events und Stack Traces werden standardmäßig 90 Tage bei Sentry gespeichert, danach automatisch gelöscht.

Resend (E-Mail-Logs): Protokolle über versendete System-E-Mails werden bei Resend für maximal 30 Tage aufbewahrt.

Bewertungen: So lange, wie der Beitrag online ist oder bis zur Löschung angefordert.

8. Wer erhält deine Daten?

Supabase: Datenbankhosting und Authentifizierung (Supabase, Inc. – Datenspeicherung in der EU, abgesichert durch Standardvertragsklauseln)

Vercel: Hosting und Edge Functions (Vercel Inc. – abgesichert durch SCCs)

Sentry: Technisches Fehlermonitoring bei App-Abstürzen (Functional Software Inc. – Datenspeicherung in Deutschland, Frankfurt)

Google Gemini: Prompt-Daten für KI-Features (Label-Generierung, Texterstellung, BotlGuide). Es werden ausschließlich die von dir eingegebenen Prompt-Inhalte übertragen, keine Konto-Metadaten.

Mapbox: Geodaten-Visualisierung für Brewery-Analytics-Heatmaps (Mapbox Inc. – nur sichtbar für Brewery-Inhaber)

Resend: Transaktionale System-E-Mails (Moderationsbenachrichtigungen, Kontohinweise)

Stripe: Zahlungsabwicklung für Abonnements (Stripe Payments Europe Ltd., Dublin — PCI-DSS-zertifiziert)

Interne Teams: Support und technisches Personal (NDA-gebunden)

Drittanbieter: Keine freiwillige Weitergabe ohne deine Einwilligung.

9. Deine Rechte als Nutzer

  • Auskunftsrecht (Art. 15 DSGVO): Erfrage, welche Daten wir über dich speichern.
  • Berichtigungsrecht (Art. 16 DSGVO): Lass fehlerhafte Daten korrigieren.
  • Löschungsrecht (Art. 17 DSGVO): „Recht auf Vergessenwerden“ – Lösche dein Konto und deine Daten.
  • Einschränkungsrecht (Art. 18 DSGVO): Fordere an, dass Daten nicht verarbeitet werden.
  • Datenportabilität (Art. 20 DSGVO): Erhalte deine Daten in maschinenlesbarem Format. Sende hierfür eine Anfrage an info@botllab.de — wir stellen dir deine Profil-, Rezept- und Bewertungsdaten innerhalb von 30 Tagen in einem strukturierten, gängigen Format zur Verfügung.
  • Widerspruchsrecht (Art. 21 DSGVO): Widerspreche der Verarbeitung für bestimmte Zwecke.
  • Beschwerde (Art. 77 DSGVO): Wende dich an deine zuständige Datenschutzbehörde.

10. Cookies, Lokaler Speicher und Personalisierung

9.1 Essenzielle Cookies & Lokaler Speicher

  • Session-Management (Login-Daten)
  • Sicherheitstoken (CSRF-Schutz)
  • Lokaler Speicher (sessionStorage) zur Vermeidung von Mehrfacherfassungen bei der Personalisierung (z.B. welche Brews du in der aktuellen Sitzung bereits gesehen hast).
  • Lokaler Speicher (localStorage) zur geräteinternen Duplikat-Prüfung beim Bewerten und Kronkorken-Sammeln: Schlüssel botllab_rated_[BrewID] und botllab_cap_[BrewID]. Diese Daten verlassen dein Gerät nicht, werden an keinen Server übermittelt und stellen kein Tracking-Cookie dar. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Spam- und Missbrauchsprävention).
  • Lokaler Speicher: botllab_geo_asked — speichert deine Entscheidung zur Standortabfrage (granted / denied), damit du nicht wiederholt gefragt wirst.
  • Lokaler Speicher: botllab-cookie-consent — speichert die Bestätigung des Cookie-Hinweisbanners. Verlässt dein Gerät nicht.
  • Cookie: botllab-scan-consent — wird gesetzt, sobald du im Banner auf einer Flaschen-Detailseite ausdrücklich der Stufe-2-Datenverarbeitung zustimmst (siehe Abschnitt 4.4). Wert: explore. Laufzeit: 30 Tage. Dies ist kein Tracking-Cookie — er markiert nur deine Zustimmung. Du kannst ihn jederzeit löschen, dann zeigen wir den Hinweis bei deinem nächsten Scan erneut. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich für die ausdrücklich gewünschte Community-Funktion).

9.2 Interne Analyse & Personalisierung (First-Party)

Wir nutzen keine Drittanbieter-Tracker (wie Google Analytics, Facebook Pixel, etc.), die Daten an andere Unternehmen weitergeben.

Um BotlLab zu verbessern und dir relevante Inhalte im "Für dich"-Feed anzuzeigen, erfassen wir Interaktionsdaten (z.B. angesehene Brews, Verweildauer) verknüpft mit deinem Profil. Dies geschieht auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an der Bereitstellung eines personalisierten und nutzerfreundlichen Dienstes.

Widerspruchsrecht: Du kannst dieser internen Analyse und Personalisierung jederzeit in deinen Kontoeinstellungen widersprechen (Opt-Out).

11. Wie schützen wir deine Daten?

  • Verschlüsselung: HTTPS/TLS für alle Übertragungen
  • Passwörter: Mit starken Algorithmen gehashed (bcrypt)
  • Zugriffskontrolle: Row-Level Security (RLS) in der Datenbank
  • Regelmäßige Backups: Automatische Sicherungen durch Supabase
  • Monitoring: Überwachung auf verdächtige Aktivitäten

12. Externe Dienstleister (Auftragsverarbeiter gem. Art. 28 DSGVO)

Wir setzen folgende Dienstleister ein. Alle sind durch Auftragsverarbeitungsverträge (AVV) oder Standardvertragsklauseln (SCCs) der EU-Kommission datenschutzrechtlich abgesichert:

Supabase — Datenbank, Authentifizierung, Dateispeicher

Supabase Inc., 970 Tresser Blvd, Stamford CT 06901, USA. Datenspeicherung in der EU (Frankfurt). Abgesichert durch SCCs. Verarbeitete Daten: alle Nutzkonto- und Inhaltsdaten.

Datenschutzerklärung

Vercel — Hosting, Edge Functions, Speed Insights

Vercel Inc., 340 Pine Street Suite 900, San Francisco CA 94104, USA. Rolle: Sub-Auftragsverarbeiter nach Art. 28 DSGVO (für BotlLab als Auftragsverarbeiter der Brauereien). Datenkategorien: Server-Logs (Request-Pfad, Timestamp, anonymisierte Verbindungsmetadaten) für ca. 24 Stunden zur Betriebsführung; keine Inhaltsdaten. Drittland-Übermittlung: USA — abgesichert durch das EU-US Data Privacy Framework (Vercel ist als zertifiziertes Unternehmen unter dataprivacyframework.gov geführt) sowie Standardvertragsklauseln (SCCs) als Backup. Vertragsgrundlage: Vercel-DPA gemäß Art. 28 DSGVO. Geo-Lookup für Stufe-2-Scans: Vercel liefert beim Aufruf von /b/[id]/explore Land/Stadt aus der IP — die IP selbst wird auf BotlLab-Servern nie persistiert. Speed Insights erfasst anonymisierte Performance-Metriken (Core Web Vitals) ohne personenbezogene Zuordnung.

Datenschutzerklärung

Sentry — Fehlerüberwachung & Performance-Monitoring

Functional Software Inc. d/b/a Sentry, 45 Fremont Street, San Francisco CA 94105, USA. Datenspeicherung in Deutschland (Frankfurt, ingest.de.sentry.io). Bei technischen Fehlern werden Stack Traces, Browser-Version und eine anonymisierte Session-ID übertragen. Persönliche Daten (E-Mail, Name) werden nicht gesendet. Texteingaben werden vor Übertragung automatisch maskiert. Session-Recording ist deaktiviert; Fehler-Replays (nur bei App-Abstürzen) enthalten keine lesbaren Texte.

Datenschutzerklärung

Google Gemini — KI-Features

Google LLC, 1600 Amphitheatre Parkway, Mountain View CA 94043, USA. Genutzt für: KI-generierte Label-Designs, Texterstellung (Rezeptbeschreibungen), BotlGuide (KI-Brauassistent). Es werden ausschließlich die von dir eingegebenen Prompt-Inhalte übertragen — keine Konto-Metadaten oder Profilinformationen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch bewusste Nutzung der jeweiligen Funktion).

Datenschutzerklärung

Mapbox — Geodaten-Visualisierung

Mapbox Inc., 740 15th Street NW Suite 500, Washington DC 20005, USA. Genutzt ausschließlich zur Darstellung von Scan-Heatmaps im Brewery-Analytics-Bereich. Dieser Bereich ist nur für den jeweiligen Brewery-Inhaber sichtbar. Übertragen werden Kartenkachel-Anfragen; Rohdaten der Scan-Koordinaten verbleiben auf unseren Servern und werden anonymisiert dargestellt.

Datenschutzerklärung

Resend — Transaktionaler E-Mail-Versand

Resend Inc. Genutzt für System-E-Mails: Moderationsbenachrichtigungen, Kontosicherheitshinweise, Support-Kommunikation. Übertragen werden E-Mail-Adresse und Name des Empfängers sowie der Nachrichteninhalt. Es werden keine Marketing-E-Mails über Resend versendet.

Datenschutzerklärung

Stripe — Zahlungsabwicklung

Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin D02 H210, Irland. Genutzt für die Verarbeitung von Abo-Zahlungen. Stripe verarbeitet Zahlungsdaten (Karteninformationen, Rechnungsadresse) eigenverantwortlich als Datenverantwortlicher nach PCI-DSS-Standard. BotlLab speichert keine vollständigen Zahlungsdaten. Hinweis: Stripe-Zahlungen sind aktuell noch nicht aktiviert (Plattform in Entwicklung).

Datenschutzerklärung

Alle Dienstleister wurden auf Datenschutz-Konformität geprüft und sind vertraglich zur zweckgebundenen Nutzung und Absicherung deiner Daten verpflichtet.

13. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung jederzeit ändern. Bedeutsame Änderungen teilen wir dir per E-Mail mit.

14. Kontakt & Fragen

Bei Fragen zu dieser Datenschutzerklärung oder zur Ausübung deiner Rechte, kontaktiere uns unter:
E-Mail: info@botllab.de