Datenschutzerklärung

Datenschutzerklärung

Datenschutzerklärung für metaFox.online
Stand: 25.04.2026

Dein Datenschutz ist uns wichtig. In dieser Datenschutzerklärung erklären wir dir klar und verständlich, wie wir deine personenbezogenen Daten verarbeiten, wenn du unsere Web-App nutzt.

Wer ist verantwortlich?

metaFox GmbH
Carl-Spitzweg-Str. 61, 90768 Fürth, Deutschland

Register: Amtsgericht Fürth, HRB 19366
Geschäftsführung: Maximilian Friedle, Tobias Weghorn

Warum verarbeiten wir deine Daten?

Wir nutzen deine Daten, um dir folgende Dienstleistungen anzubieten:

  • Bereitstellung und Betrieb unserer Web-App
    Dies umfasst Standardfunktionen, wie Kontoverwaltung, und Funktionen für erfolgreiches Online Coaching, wie auf unserer Website dargestellt: https://metaFox.online
  • Versendung von Transaktions-E-Mails
    Wir senden wichtige E-Mails wie Bestätigungsnachrichten, Passwort-Zurücksetzungen und Benachrichtigungen zu deiner Kontaktivität.
  • Abrechnung und Abonnements (soweit zutreffend)
    Wir verarbeiten die Daten, die für kostenpflichtige Angebote, Abonnements und Zahlungsabwicklung erforderlich sind.
  • Analyse des Nutzerverhaltens
    Wir verfolgen allgemeine Nutzungsmuster, um die Benutzerfreundlichkeit zu verbessern, technische Probleme zu erkennen und einen reibungslosen Betrieb zu gewährleisten. Optionale Produktanalysen erfolgen über PostHog wie unten beschrieben und nur nach deiner Einwilligung.

Cookies und Einwilligung

Wir setzen notwendige Cookies bzw. ähnliche Technologien ein, damit du eingeloggt bleibst und deine Spracheinstellung gespeichert wird. Optionale Produktanalysen (PostHog) und das browserseitige Meta Pixel auf unseren Marketingseiten werden erst aktiviert, wenn du sie im Cookie-Banner akzeptierst oder in den Datenschutzeinstellungen deines Kontos einschaltest. Die serverseitige Meta Conversions API läuft auf unseren Servern — unabhängig von Cookies — für die zwei unten beschriebenen Conversion-Ereignisse (Registrierung und Aktivierung eines kostenpflichtigen Abonnements) auf Grundlage unseres berechtigten Interesses. Vercel Web Analytics und Vercel Speed Insights arbeiten ohne Cookies und benötigen keine Einwilligung. Sentry wird ohne Cookies auf Grundlage unseres berechtigten Interesses eingesetzt; Texteingaben, Eingabefelder und Medien werden dabei standardmäßig maskiert (siehe Abschnitt „Sentry" weiter unten).

Tools und Dienste, die wir nutzen

  • Supabase
    Wir nutzen Supabase zur sicheren Verarbeitung und Speicherung aller Benutzer- und Nutzungsdaten.
    Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992
    Website: https://www.supabase.com
    Datenschutzerklärung: https://www.supabase.com/privacy
    Hinweis: Unser Supabase-Projekt nutzt die eu-central-1 Region (AWS Europa, Frankfurt, Deutschland); die Daten werden damit in der EU verarbeitet und gespeichert.

  • Sendpulse
    Wir nutzen SendPulse für systemgenerierte E-Mails (z. B. Kontobestätigungen und Passwort-Zurücksetzungen), wenn unser Mail-Anbieter in der Produktion entsprechend konfiguriert ist.
    Anbieter: SendPulse Inc., 101 Spear Street, 1st Floor, San Francisco, CA 94105, USA
    Website: https://sendpulse.com
    Datenschutzerklärung: https://sendpulse.com/privacy-policy
    Hinweis: EU-Standardvertragsklauseln gelten, um eine DSGVO-konforme Datenübertragung sicherzustellen.

  • Stripe (Zahlungsabwicklung)
    Wenn du ein kostenpflichtiges Abonnement buchst oder verwaltest, werden Zahlungsdaten von Stripe (Stripe, Inc., USA) verarbeitet. Vollständige Zahlungskartendaten speichern wir nicht auf unseren eigenen Servern; die Kartendaten werden durch Stripe verarbeitet.
    Datenschutz: https://stripe.com/privacy
    Hinweis: Übermittlungen an Stripe in die USA und die eingesetzten Garantien sind in den Datenschutz- und Auftragsverarbeitungsunterlagen von Stripe beschrieben (u. a. EU-Standardvertragsklauseln, soweit anwendbar).

  • PostHog
    Wir nutzen PostHog für Produktanalysen: Wir verarbeiten Angaben wie Ereignisse in der App (z. B. welche Bereiche oder Abläufe genutzt werden), ungefähren Nutzungskontext sowie technische Daten wie Browsertyp und Gerätetyp, um das Produkt zu verbessern, Fehler zu analysieren und Nutzung zu verstehen.
    Anbieter: PostHog Inc.
    Website: https://posthog.com
    Datenschutzerklärung: https://posthog.com/privacy
    Auftragsverarbeitung und DPA: https://posthog.com/dpa · https://posthog.com/terms
    Rechtsgrundlage: Diese Verarbeitung ist optional und erfolgt nur, wenn du Analyse-Cookies im Cookie-Banner akzeptierst oder die Analyse in den Datenschutzeinstellungen deines Kontos aktivierst (Art. 6 Abs. 1 lit. a DSGVO – Einwilligung). Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (z. B. über dieselben Einstellungen oder Cookie-Steuerung).
    Region / Hosting: Ereignisdaten werden ausschließlich an PostHog Cloud EU übermittelt, über den EU-Ingest-Endpunkt (https://eu.i.posthog.com).
    Aufbewahrung: Dauer und Einzelheiten richten sich nach unseren PostHog-Projekteinstellungen und der Dokumentation von PostHog.

  • Vercel (Hosting, Performance und Web-Analyse)
    Wir hosten und betreiben die Web-App auf Vercel. Vercel verarbeitet technische Daten, die zur Bereitstellung der Anwendung nötig sind (z. B. HTTP-Anfragen und zugehörige Metadaten).
    Anbieter: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA
    Website: https://vercel.com
    Datenschutzerklärung: https://vercel.com/legal/privacy-policy
    Zusätzlich nutzen wir Vercel Speed Insights für anonyme Web-Vitals (Ladezeiten, Gerätetypen, ungefähre geografische Region) sowie Vercel Web Analytics für aggregierte, cookie-lose Seitenaufrufe und Routen-Statistiken. Beide Produkte arbeiten ohne persistente Identifier und verfolgen keine einzelnen Nutzer über Sitzungen hinweg: Besucherzahlen werden aus anonymisierten, gesalzenen Hashes von Anfrage-Metadaten abgeleitet, die täglich rotiert werden. Die Erfassung beschränkt sich auf aggregierte Traffic- und Performance-Kennzahlen. Datenübermittlungen werden soweit erforderlich durch EU-Standardvertragsklauseln abgesichert.

  • Sentry (Fehler-Monitoring und Session Replay)
    Wir nutzen Sentry für Fehler-Monitoring und ein maskiertes Session Replay, um Fehler und Performance-Probleme zu erkennen, nachzuvollziehen und zu beheben. Sentry verarbeitet technische Daten wie Stack-Traces, HTTP-Request- und Response-Metadaten, Browser- und Geräteinformationen sowie ein Session Replay der Seitensitzung, in der ein Fehler aufgetreten ist.
    Anbieter: Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA
    Website: https://sentry.io
    Datenschutzerklärung: https://sentry.io/privacy/
    Auftragsverarbeitung (DPA): https://sentry.io/legal/dpa/
    Was maskiert wird. Session Replays sind mit maskAllText, maskAllInputs und blockAllMedia konfiguriert — Replays zeichnen damit DOM-Struktur und Interaktionen auf, nicht jedoch deine tatsächlichen Texteingaben, die Inhalte von Eingabefeldern oder Bilder und sonstige Medien. Zusätzlich filtern wir Sentry-Ereignisse sowohl im Browser als auch auf dem Server durch einen Redaktor (apps/web/lib/sentry-redact.ts, in den Browser-, Server- und Edge-SDKs jeweils als beforeSend-Hook registriert), der z. B. Freigabe-Tokens aus URLs und Authorization-Headern vor der Übermittlung entfernt.
    Sampling. Wir erfassen ein Session Replay ausschließlich für die Seitensitzung, in der ein Fehler auftritt (zu 100 %). Reguläre, fehlerfreie Sitzungen erfassen wir nicht als Replay (replaysSessionSampleRate: 0). Performance-Traces werden mit 10 % abgetastet.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse am stabilen, sicheren und fehlerfreien Betrieb des Dienstes, abgewogen gegen die oben beschriebene Maskierung und Stichprobenbildung. Du kannst dem jederzeit widersprechen (siehe „Deine Rechte unter der DSGVO").
    Region / Hosting: Daten werden an die Verarbeitungsinfrastruktur von Sentry (USA) übermittelt. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln gemäß Sentry's DPA.

  • Meta Pixel und Meta Conversions API
    Wir setzen Meta-Technologien in zwei klar voneinander getrennten Konstellationen mit zwei unterschiedlichen Rechtsgrundlagen ein — bitte lies beide Abschnitte:

    (a) Browserseitiges Meta Pixel — auf unseren öffentlichen Marketingseiten, einwilligungsbasiert. Auf unseren öffentlichen Marketingseiten laden wir das Meta Pixel, um die Wirksamkeit unserer Werbung auf Meta-Plattformen (Facebook, Instagram) zu messen. Das Pixel verarbeitet die Conversion-Ereignisse Seitenaufruf, Registrierung gestartet, Registrierung abgeschlossen, erste Session erstellt und Klick auf Marketing-CTA, zusammen mit technischen Daten (Browser, Gerät, IP-Adresse, Seiten-URL) und den von Meta gesetzten cookie-basierten Identifiern, die zum Abgleich von Nutzern über Sitzungen hinweg verwendet werden (z. B. dem _fbp-Cookie).
    Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO — Einwilligung. Das browserseitige Pixel wird erst aktiviert, nachdem du Marketing- bzw. Analyse-Cookies im Cookie-Banner akzeptiert hast; du kannst deine Einwilligung jederzeit über das Cookie-Banner oder die Datenschutzeinstellungen deines Kontos widerrufen, und der Widerruf wirkt für die Zukunft (browserseitig).

    (b) Serverseitige Meta Conversions API — bei Registrierung und bei Aktivierung eines kostenpflichtigen Abonnements, berechtigtes Interesse. Unabhängig vom browserseitigen Pixel übermittelt unser Server bei einer abgeschlossenen Registrierung sowie bei der Aktivierung eines kostenpflichtigen Abonnements ein begrenztes serverseitiges Conversion-Ereignis an die Meta Conversions API, damit die Werbeerfolgsmessung auch dann funktioniert, wenn das browserseitige Pixel blockiert ist (durch einen Adblocker, durch den Tracking-Schutz des Browsers oder weil keine Einwilligung für browserseitiges Tracking vorliegt). Übermittelt werden ausschließlich die Ereignisse CompleteRegistration (bei der Registrierung, aus packages/auth/auth.ts) und Purchase (bei einem von Stripe bestätigten kostenpflichtigen Abonnement, aus packages/payments/provider/stripe/index.ts). Die übermittelten Daten beschränken sich auf den SHA-256-Hash deiner E-Mail-Adresse (von Meta zum Abgleich verwendet, niemals die E-Mail im Klartext), die IP-Adresse der Anfrage, den User-Agent der Anfrage sowie eine zufällig erzeugte Ereignis-ID.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — unser berechtigtes Interesse an der Messung der Wirksamkeit unserer Werbung für Registrierungen und kostenpflichtige Conversions. Wir haben dieses Interesse gegen deine schutzwürdigen Interessen abgewogen; berücksichtigt wurde insbesondere, dass wir nur gehashte Identifier übermitteln (Meta kann einen SHA-256-Hash nicht in deine Klartext-E-Mail-Adresse zurückrechnen), dass die Übermittlung auf zwei vordefinierte Meilensteine beschränkt ist (kein laufendes Tracking) und dass du dieser Verarbeitung jederzeit widersprechen kannst (siehe „Deine Rechte unter der DSGVO" — Widerspruch an die unten genannte Kontaktadresse).
    Anbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland (gemeinsam mit uns verantwortlich für die unter (a) und (b) übermittelten Ereignisse; eigenständig verantwortlich für die weitere Verarbeitung auf den Meta-Plattformen)
    Website: https://www.facebook.com
    Datenschutzerklärung: https://www.facebook.com/privacy/policy/
    Vereinbarung über die gemeinsame Verantwortlichkeit: https://www.facebook.com/legal/controller_addendum
    Region / Hosting: Daten werden an Meta in den USA übermittelt; die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln und ergänzender Schutzmaßnahmen von Meta.

Rechtsgrundlage für die Verarbeitung deiner Daten

  • Artikel 6(1)(b) DSGVO – zur Erbringung von Dienstleistungen und Verwaltung deines Kontos
  • Artikel 6(1)(f) DSGVO – basierend auf unseren berechtigten Interessen an der Verbesserung und Sicherung der App, einschließlich Fehler-Monitoring (Sentry, mit Maskierung), anonymer Performance- und Reichweitenmessung (Vercel Speed Insights und Vercel Web Analytics) sowie serverseitiger Werbeerfolgsmessung für Registrierungen und kostenpflichtige Conversions über die Meta Conversions API (ausschließlich gehashte Identifier, ausschließlich zwei vordefinierte Ereignisse)
  • Artikel 6(1)(a) DSGVO – wenn du ausdrücklich einwilligst, z. B. für optionale Produktanalysen (PostHog) und das browserseitige Meta Pixel auf unseren Marketingseiten über das Cookie-Banner oder die Datenschutzeinstellungen deines Kontos

Wie lange speichern wir deine Daten?

Wir speichern deine personenbezogenen Daten nur so lange, wie es zur Erfüllung der beschriebenen Zwecke oder gesetzlich erforderlich ist.
Du kannst dein Konto jederzeit löschen; damit werden auch deine personenbezogenen Daten von unseren Servern entfernt, es sei denn, wir sind gesetzlich verpflichtet, sie aufzubewahren.

Deine Rechte unter der DSGVO

  • Auskunft über deine gespeicherten Daten verlangen
  • Falsche oder veraltete Daten korrigieren lassen
  • Löschung oder Einschränkung deiner Daten verlangen
  • Widerspruch gegen die Verarbeitung deiner Daten einlegen
  • Deine Einwilligung widerrufen (wirkt für die Zukunft)
  • Deine Daten in einem übertragbaren Format erhalten
  • Beschwerde bei einer Datenschutzbehörde einreichen

Fragen zum Datenschutz?

E-Mail: tobias@metafox.eu