Rechtliches
Datenschutzerklärung
Stillschrift ist so gebaut, dass so wenig über dich gespeichert wird wie möglich — kein Klarname, keine E-Mail-Adresse. Hier steht, welche Daten wir verarbeiten, warum, auf welcher Rechtsgrundlage und wie lange.
Verantwortlicher
Stefan Kohlweg
Stenografengasse 4, 1230 Wien, Österreich
E-Mail: [email protected]
Grundsatz: pseudonym, ohne E-Mail
Du legst deinen Zugang mit einem frei gewählten Pseudonym und einem Passwort an — ohne Klarnamen, ohne E-Mail-Adresse, ohne Telefonnummer. Deine Einschätzung und jede weitere Antwort erscheinen ausschließlich in deinem geschützten Bereich; wir versenden dir keine E-Mails mit Inhalten. Das ist zugleich Datenschutz und Diskretion.
Welche Daten wir verarbeiten und warum
Zugangsdaten (Pseudonym + Passwort)
Für deinen geschützten Zugang speichern wir dein selbst gewähltes Pseudonym und dein Passwort. Das Passwort wird nie im Klartext, sondern nur als kryptografischer Hash (Argon2id) gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vorvertragliche Maßnahme).
Wiederherstellungs-Phrase
Beim Anlegen erhältst du einmalig eine Wiederherstellungs-Phrase aus zwölf Wörtern. Sie ist dein einziger Weg zurück in den Zugang, wenn du das Passwort verlierst — gerade weil es keine E-Mail gibt, über die wir zurücksetzen könnten. Wir speichern die Phrase nicht im Klartext, sondern nur einen Prüfwert, mit dem sich eine Eingabe verifizieren lässt.
Dein Anliegen / der Beratungsinhalt
Der Text, den du schreibst, sowie unsere Antworten darauf werden verarbeitet, um dir die Beratung zu leisten. Dieser Text kann besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO enthalten — etwa Angaben über dein Intimleben oder deine seelische Verfassung. Diese verarbeiten wir ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO (zugleich Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DSGVO), die du vor dem Absenden gesondert erteilst. Ohne diese Einwilligung können wir dein Anliegen nicht bearbeiten, weil diese Angaben für die Beratung unerlässlich sind. Du kannst die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen und deine Texte löschen lassen.
Der Inhalt wird verschlüsselt gespeichert (AES-256-GCM), getrennt von den Zugangsdaten, ohne im Klartext lesbaren Verknüpfungsschlüssel; Zeitstempel werden nur monatsgenau geführt (Datenminimierung, Art. 5 DSGVO).
Zahlungsdaten
Entscheidest du dich für die kostenpflichtige Beratung, wird die Zahlung über Stripe abgewickelt. Wir speichern nur eine Zahlungs-Referenz (Stripe-Session-ID) — keine Kartennummern oder Kontodaten. Die Rechnung ist eine Kleinbetragsrechnung ohne deinen Namen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Server- und Zugriffsprotokolle
Technische Daten (IP-Adresse, Browsertyp, Zugriffszeitpunkt) werden von Cloudflare automatisch zur Sicherheit und Fehleranalyse verarbeitet und dort je nach Konfiguration für wenige Stunden bis maximal 30 Tage vorgehalten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Verfügbarkeit).
Schutz vor automatisiertem Missbrauch (Cloudflare Turnstile)
Auf den Formularen kommt Cloudflare Turnstile zum Einsatz, um automatisierten Missbrauch zu verhindern. Turnstile verarbeitet dabei minimale technische Daten (u. a. IP-Adresse, Browsereigenschaften) ohne Tracking-Cookies. Diese Verarbeitung ist vom Cloudflare-Vertrag zur Auftragsverarbeitung mit abgedeckt.
Zustellung nur im geschützten Zugang
Deine Antwort erscheint ausschließlich in deinem geschützten Bereich nach dem Einloggen — nie per E-Mail, nie als Nachricht auf dein Telefon. Etwaige Systemhinweise sind inhaltsfrei (z. B. „Du hast eine neue Nachricht") und enthalten weder Absender noch Betreff zum Thema.
KI-gestützte Bearbeitung
Zur Unterstützung beim Entwerfen der Antworten setzen wir KI-Modelle ein (Anthropic Claude, bezogen über Google Cloud Vertex AI, Verarbeitung innerhalb der EU). Übermittelt wird dabei ausschließlich der Beratungsinhalt — niemals Zahlungsdaten und niemals deine Zugangsdaten. Die Anbieter nutzen deine Daten nicht zum Training ihrer Modelle.
Dies ist KI-gestützte Bearbeitung, keine automatisierte Entscheidung im Sinne des Art. 22 DSGVO. Jede Antwort wird von Stefan Kohlweg gelesen, bearbeitet und verantwortet, bevor sie dir zugeht. Es findet kein automatisiertes Profiling und kein Scoring statt.
Empfänger / Auftragsverarbeiter
Cloudflare (Hosting, Datenbank, Serverless-Ausführung)
Die Website läuft über Cloudflare Pages; Daten werden in Cloudflare D1 gespeichert. Cloudflare ist Auftragsverarbeiter nach Art. 28 DSGVO; ein Auftragsverarbeitungsvertrag besteht. Alle Verbindungen sind per TLS verschlüsselt.
Datenschutz: cloudflare.com/privacypolicy
Stripe (Zahlungsabwicklung)
Für die eigentliche Zahlungsabwicklung in unserem Auftrag verarbeitet Stripe Zahlungsdaten als Auftragsverarbeiter (Art. 28 DSGVO); das Stripe Data Processing Agreement ist abgeschlossen. Für bestimmte eigene Zwecke — etwa Betrugsprävention und aufsichtsrechtliche Pflichten als reguliertes Zahlungsinstitut — verarbeitet Stripe Daten zusätzlich als eigenständig Verantwortlicher. Stripe erhält den Zahlungsbetrag, aber keine Beratungsinhalte; die Zahlung erfolgt ohne Erhebung deines Namens.
Datenschutz: stripe.com/privacy
Google Cloud / Vertex AI (KI-Entwürfe)
Anthropic-Claude-Modelle werden über Google Cloud Vertex AI genutzt, um Antwort-Entwürfe zu erzeugen. Google Cloud ist Auftragsverarbeiter nach Art. 28 DSGVO; die Datenverarbeitung des KI-Anbieters Anthropic ist vertraglich über Google Cloud geregelt. Es wird nur der Beratungsinhalt übermittelt; die Verarbeitung findet innerhalb der EU statt. Kein Training mit Kundendaten.
AV-Vertrag: cloud.google.com/terms/data-processing-addendum
Schriften
Alle Schriften sind selbst gehostet. Es werden keine Verbindungen zu externen Schriftdiensten (etwa Google Fonts) hergestellt.
Keine Analyse, keine Werbe-Cookies
Stillschrift setzt keine Analyse-Werkzeuge (z. B. Google Analytics) und keine Werbe- oder Tracking-Cookies ein und benötigt daher kein Cookie-Banner. Gesetzt wird ein technisch notwendiges Sitzungs-Cookie für den Login. Zusätzlich setzt unser Sicherheitsdienstleister Cloudflare technische Cookies (u. a. __cf_bm) ausschließlich zur Absicherung des von dir angeforderten Dienstes. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO. Kommst du über eine Google-Ads-Anzeige, gilt zusätzlich eine gesonderte, freiwillige und standardmäßig nicht angehakte Einwilligung zur Werbe-Zuordnung ohne Cookie (siehe „Werbe-Zuordnung (gclid)" unten).
Datenübermittlung in Drittländer
Einige unserer Dienstleister sind Unternehmen mit Mutterkonzern in den USA (Cloudflare, Google, Stripe). Soweit dabei personenbezogene Daten in die USA übermittelt werden, stützt sich dies auf den Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Data Privacy Framework (DPF) vom 10. Juli 2023; die genannten Anbieter sind unter dem DPF zertifiziert. Soweit ein eingebundener Anbieter nicht DPF-zertifiziert ist (etwa der über Google Cloud genutzte KI-Anbieter Anthropic), erfolgt eine etwaige Übermittlung auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Gegen den DPF-Beschluss ist ein Rechtsmittel anhängig (Rechtssache C-703/25 P); dieses hat keine aufschiebende Wirkung.
Werbe-Zuordnung (gclid) — nur mit deiner Einwilligung
Gelangst du über eine Google-Ads-Anzeige auf die Seite, enthält die URL einen gclid-Parameter („Google Click ID"). Diesen Wert lesen, übertragen und speichern wir ausschließlich, wenn du dafür beim Anlegen deines Zugangs gesondert einwilligst — über einen eigenen, standardmäßig nicht angehakten Haken, getrennt von der Einwilligung zu deinem Anliegen. Ohne diesen Haken verlässt der Parameter deinen Browser nicht — er wird weder an uns übertragen noch gespeichert; dein Browser prüft lediglich lokal, ob ein solcher Parameter vorhanden ist, um dir diese Frage überhaupt anzuzeigen. An deinem Zugang ändert sich dadurch nichts.
Willigst du ein, wird der Wert ausschließlich serverseitig verwendet: Geht dein erstes Anliegen bei uns ein oder kommt es zu einer Zahlung, meldet unser Server dieses Ereignis als Conversion an Google Ads zurück — allein zur Erfolgsmessung unserer Anzeigen, nicht zu Verhaltensprofilen oder Retargeting. Dabei werden keine Cookies gesetzt und kein zusätzliches Skript von Google nachgeladen. Rechtsgrundlage ist deine Einwilligung (§ 165 Abs. 3 TKG 2021 / § 25 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO); in dieser Ebene handelt Google für eigene Zwecke als eigenständig Verantwortlicher.
Der gclid bleibt auf deinem Konto verschlüsselt gespeichert, bis entweder eine Zahlung erfolgt (dann wird er in eine identitätsfreie, von deinem Konto getrennte Warteschlange kopiert und vom Konto entfernt) oder du dein Konto löschen lässt. Jeder Eintrag in der identitätsfreien Warteschlange wird spätestens 90 Tage nach seiner Erfassung automatisch gelöscht — Googles Zurechnungsfenster von rund 90 Tagen ab Klick ist dann in jedem Fall abgelaufen. Du kannst diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (siehe „Deine Rechte"); bereits an Google gemeldete, identitätsfreie Conversion-Ereignisse lassen sich dort nicht rückwirkend löschen.
Aufbewahrung und Löschung
Die Aufbewahrung ist dreigeteilt:
- Zahlungsbelege werden aus steuerlichen Gründen 7 Jahre aufbewahrt (§ 132 BAO) — pseudonym, ohne deinen Namen und ohne Inhalt. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO.
- Der Briefwechsel (dein Text und unsere Antworten) kann nach Abschluss des Falls gelöscht werden; für die Lebens- und Sozialberatung besteht keine gesetzliche Dokumentationspflicht.
- Klarnamen fallen bei uns nicht an; sie liegen allenfalls beim Zahlungsdienstleister.
Server-Protokolle bei Cloudflare werden in der Regel nach höchstens 30 Tagen gelöscht. Du kannst die Löschung deiner Daten jederzeit verlangen; wo keine gesetzliche Aufbewahrungspflicht entgegensteht, löschen wir umgehend.
Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Alle Verbindungen erzwungen über HTTPS/TLS (mind. TLS 1.2), HSTS aktiv
- Beratungsinhalte im Ruhezustand verschlüsselt (AES-256-GCM), getrennt von Zugangsdaten gespeichert
- Passwörter nur als Argon2id-Hash; Zeitstempel nur monatsgenau
- Kein im Klartext lesbarer Verknüpfungsschlüssel zwischen Konto und Inhalt
- X-Content-Type-Options: nosniff sowie eine strenge Content-Security-Policy
- Vorschau-/Vorabversionen zusätzlich durch Cloudflare Access (identitätsbasierte Anmeldung) geschützt
- Alle mit der Verarbeitung befassten Personen sind zur Verschwiegenheit verpflichtet (Datengeheimnis gemäß § 6 DSG)
Deine Rechte
Du hast das Recht auf:
- Auskunft über die zu dir verarbeiteten Daten (Art. 15)
- Berichtigung unrichtiger Daten (Art. 16)
- Löschung (Art. 17)
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit (Art. 20)
- Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21)
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3)
Zur Ausübung genügt eine Nachricht an [email protected]. Weil dein Konto pseudonym ist, kann eine Zuordnung eine Anmeldung im geschützten Zugang voraussetzen.
Beschwerderecht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für den Verantwortlichen ist die österreichische Datenschutzbehörde (Barichgasse 40–42, 1030 Wien, [email protected], dsb.gv.at). Als betroffene Person mit Wohnsitz in Deutschland kannst du dich auch an die für dich zuständige Landesdatenschutzbehörde wenden.
Änderungen dieser Erklärung
Diese Datenschutzerklärung kann angepasst werden, wenn sich der Dienst weiterentwickelt. Die jeweils aktuelle Fassung ist unter dieser Adresse abrufbar.
Stand: Juli 2026. Diese Fassung wird vor der öffentlichen Freischaltung juristisch final geprüft — insbesondere der Wortlaut der Art.-9-Einwilligung, der neuen Werbe-Einwilligung (gclid) und die Zuständigkeit der Aufsichtsbehörde im deutsch-österreichischen Kontext.