Heldenflug

Datenschutz

Stand: 29.05.2026

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf https://heldenflug.de ist:

Tiamat UG (haftungsbeschränkt)
An der Strusbek 12
22926 Ahrensburg
Deutschland
E-Mail: {{KONTAKT_EMAIL}}

Vertreten durch den Geschäftsführer Ansgar Holtmann.

2. Ein Wort vorab

Wir bauen mit Heldenflug ein Produkt, in dem ihr uns persönliche Daten anvertraut — euren Namen, den eures Kindes, manchmal ein Foto. Wir nehmen das ernst und behandeln diese Daten so sparsam wie möglich. Diese Erklärung beschreibt im Detail, was wir tun und warum.

3. Welche Daten wir verarbeiten

3.1 Zugriffsdaten beim Aufruf der Website

Wenn ihr unsere Website aufruft, übermittelt euer Browser automatisch technische Daten an unseren Server, die wir in Logdateien speichern:

  • IP-Adresse (gekürzt, anonymisiert)
  • Datum und Uhrzeit der Anfrage
  • Aufgerufene Seite/Datei
  • Übertragene Datenmenge
  • Browser-Typ und Sprache, Betriebssystem
  • Referrer-URL (woher ihr kommt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — sicherer Betrieb).
Speicherdauer: 7 Tage, danach automatische Löschung. Bei Angriffsverdacht bis zur Aufklärung.

3.2 Konto-Daten (wenn ihr ein Eltern-Konto erstellt)

  • E-Mail-Adresse
  • Anzeigename (frei wählbar, z. B. Vorname)
  • Verschlüsselt gespeichertes Passwort (Bcrypt-Hash)
  • Datum der Registrierung und letzten Anmeldung
  • E-Mail-Verifizierungs-Status

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Solange das Konto besteht. Bei Löschung des Kontos: sofortige Löschung der Konto-Daten, mit Ausnahme der gesetzlich aufzubewahrenden Bestelldaten (s. u.).

3.3 Daten aus dem Konzept-Chat (Bestellung eines Buches)

  • Eure Eingaben zu Kind und Geschichte: Name, Alter, Lieblingsthemen, Charakter, Lieblingstier, Geschichte, an die das Buch erinnern soll
  • Optional: ein Foto eures Kindes (siehe Abschnitt 3.4 — gesonderter Schutz)
  • Generierte Konzept-Variante (Titel, Outline, Cover-Idee)
  • Eure Anpassungswünsche / Revisions-Eingaben

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Solange Konzept-Chat aktiv ist, bis spätestens 30 Tage nach Abschluss der Bestellung (= PDF-Auslieferung + abgeschlossene Revisions-Phase). Danach automatische Löschung der Roh-Eingaben. Die Bestelldaten (Buchtitel, Preis, Rechnungsdaten) bleiben gemäß § 257 HGB und § 147 AO 10 Jahre archiviert.

3.4 Foto eures Kindes — besondere Sorgfalt

Falls ihr optional ein Foto eures Kindes hochladet:

  • Verarbeitung ausschließlich zur Generierung der Illustrationen
  • Speicherung ausschließlich auf Servern in der Europäischen Union ({{HOSTING_ORT}})
  • Automatische Löschung 30 Tage nach Auslieferung des fertigen Buches — keine Aufbewahrung als Trainingsdaten, keine Weitergabe an Dritte für Modell-Training
  • Wir geben das Foto an den KI-Bildgenerator-Anbieter (siehe Abschnitt 5.3) ausschließlich für die Erstellung der Buch-Illustrationen weiter, vertraglich abgesichert über Auftragsverarbeitungsverträge nach Art. 28 DSGVO und EU-Standardvertragsklauseln, falls der Anbieter außerhalb der EU sitzt

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (eure ausdrückliche Einwilligung beim Upload) + Art. 9 Abs. 2 lit. a DSGVO (Einwilligung zur Verarbeitung biometrisch-naher Daten von Minderjährigen).

Einwilligung für euer Kind: Die Einwilligung für die Verarbeitung des Fotos eures Kindes gebt ihr als Erziehungsberechtigte. Mit dem Upload bestätigt ihr, dass ihr berechtigt seid, das Foto hochzuladen und in unsere Verarbeitung einzubringen.

Eure Rechte: Ihr könnt das Foto jederzeit aus eurem Konto löschen lassen. Wenn ihr die Löschung verlangt, ist die Generierung des betroffenen Buches nicht mehr möglich — der Auftrag wird storniert, bereits gezahlte Beträge erstattet.

3.5 Zahlungsdaten

Die Zahlungsabwicklung läuft über Stripe (siehe Abschnitt 5.1). Wir verarbeiten und speichern selbst keine Kreditkartendaten. Wir speichern lediglich:

  • Stripe-Transaktions-ID
  • Rechnungsdaten (Name, Adresse, Betrag, MwSt., Datum) für die Buchhaltung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrung gemäß HGB/AO).
Speicherdauer: 10 Jahre gemäß § 257 HGB.

3.6 Kommunikations-Daten (E-Mails an unseren Support)

  • Eure E-Mail-Adresse
  • Inhalt der Nachricht
  • Datum und Uhrzeit

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Bearbeitung der Anfrage).
Speicherdauer: Bis die Anfrage abgeschlossen ist, maximal 12 Monate.

4. KI-gestützte Verarbeitung — Transparenz nach EU-AI-Act

Heldenflug nutzt KI-Modelle (Large Language Models und Bildgeneratoren), um aus euren Eingaben Buchinhalte und Illustrationen zu erzeugen. Wir machen das transparent:

  • Was die KI macht: Sie schlägt euch ein Konzept vor (Titel, Outline, Cover-Idee), schreibt den Geschichten-Text und generiert die Illustrationen.
  • Was die KI NICHT macht: Sie lernt nicht weiter aus euren Daten oder dem Foto eures Kindes — wir haben das in unseren Verträgen mit den KI-Anbietern (siehe Abschnitt 5) ausgeschlossen.
  • Eure Kontrolle: Ihr seht und genehmigt das Konzept vor der Buchproduktion. Ihr habt 3 Revisionen inklusive, danach 5 € pro Revision.
  • Kennzeichnung: Die generierten Inhalte sind nicht spezifisch im Buch als „KI-generiert" gekennzeichnet — das wäre für ein Kinderbuch sinnentstellend. Die Tatsache der KI-Erstellung kommunizieren wir transparent auf der Website (Hero, FAQ) und hier in der Datenschutzerklärung.

5. Auftragsverarbeiter (Dritte, die in eurem Auftrag Daten verarbeiten)

Wir setzen folgende Dienstleister ein. Für jeden besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Bei Dienstleistern außerhalb der EU/des EWR verwenden wir EU-Standardvertragsklauseln (Art. 46 DSGVO) als Übermittlungsgrundlage.

5.1 Stripe — Zahlungsabwicklung

  • Anbieter: Stripe Payments Europe, Limited (Irland) / Stripe, Inc. (USA)
  • Daten: Zahlungsdaten, Transaktions-ID, Rechnungsdaten
  • Sitz: Irland (EU), Datenübermittlung an Stripe USA mit EU-SCC + zusätzliche Schutzmaßnahmen
  • Datenschutz: https://stripe.com/de/privacy

5.2 Anthropic — KI-Sprachmodell für Konzept und Geschichten-Text

  • Anbieter: Anthropic PBC, San Francisco, USA
  • Daten: Eure Texteingaben im Konzept-Chat
  • Sitz: USA, mit EU-SCC; Verarbeitung erfolgt mit „no training on data"-Klausel
  • Datenschutz: https://www.anthropic.com/legal/privacy

5.3 KI-Bildgenerator-Anbieter — für Illustrationen und Cover

  • Anbieter: WaveSpeed AI (USA) / Black Forest Labs GmbH (Deutschland, FLUX-Modelle)
  • Daten: Geschichten-Text-Auszüge als Bild-Prompts, optional Foto eures Kindes
  • Sitz: USA / Deutschland; bei US-Anbieter mit EU-SCC und „no training"-Klausel
  • Datenschutz Black Forest Labs (FLUX): https://blackforestlabs.ai/privacy/
  • Datenschutz WaveSpeed: https://wavespeed.ai/privacy

5.4 Resend — Versand transaktionaler E-Mails (Verifizierung, Passwort-Reset, Bestellbestätigung)

5.5 Signalyr — Marketing-Analytics (Reichweiten-/Conversion-Messung)

  • Anbieter: Tiamat UG (haftungsbeschränkt), An der Strusbek 12, 22926 Ahrensburg
  • Daten: pseudonymisierte Nutzungsdaten (Seitenaufrufe, Klick-Events), keine Cookies, keine IP-Speicherung im Klartext
  • Sitz: Deutschland (Hetzner-Rechenzentrum)
  • Hinweis: Signalyr ist unser eigenes Produkt; die Daten verbleiben in der Tiamat-Infrastruktur und werden nicht an Dritte weitergegeben.

5.6 Hosting

  • Anbieter: {{HOSTING_PROVIDER}}, {{HOSTING_ORT}}
  • Daten: alle Server-Logs, alle bei uns gespeicherten Daten
  • Sitz: EU (Deutschland)
  • Auftragsverarbeitungsvertrag liegt vor.

6. Cookies und vergleichbare Technologien

Wir verwenden:

  • Funktionale Cookies / Local Storage zur Speicherung eurer Login-Session (Cookie-Name heldenflug_customer), zur Sprachwahl (de/en) und zur Aufrechterhaltung des Konzept-Chats.
  • Keine Tracking-Cookies, keine Drittanbieter-Cookies, keine Werbe-Pixel.
  • Signalyr arbeitet cookieless (keine Cookies, keine Browser-Fingerprinting-Techniken).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — funktionaler Betrieb) bzw. § 25 Abs. 2 TDDDG (technisch unbedingt erforderlich). Ein Consent-Banner ist daher nicht erforderlich.

7. Eure Rechte als Betroffene

Ihr habt jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO) — was wir über euch gespeichert haben
  • Berichtigung (Art. 16 DSGVO) — falsche Daten korrigieren
  • Löschung (Art. 17 DSGVO) — eure Daten löschen lassen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — eure Daten in einem maschinenlesbaren Format zu erhalten
  • Widerspruch (Art. 21 DSGVO) — gegen die Verarbeitung auf Basis berechtigter Interessen
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) — z. B. für die Foto-Verarbeitung
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — zuständig ist für Tiamat das ULD Schleswig-Holstein, Holstenstraße 98, 24103 Kiel (https://www.datenschutzzentrum.de)

Wendet euch für eure Rechte an: {{KONTAKT_EMAIL}}. Wir antworten innerhalb von 30 Tagen.

8. Datensicherheit

Wir setzen TLS-Verschlüsselung (HTTPS) für alle Verbindungen ein. Passwörter werden mit Bcrypt-Hash gespeichert (irreversibel). Server-Zugriffe sind durch SSH-Key-Authentifizierung und Firewall geschützt. Wir verwenden Content-Security-Policy-Header und weitere Härtungs-Maßnahmen.

9. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Erklärung, wenn sich unsere Verarbeitungspraxis ändert (z. B. neue Auftragsverarbeiter, neue Produktfunktionen). Über wesentliche Änderungen informieren wir euch per E-Mail an die im Konto hinterlegte Adresse.

Stand dieser Erklärung: 29.05.2026