Zum Inhalt springenheadmark

Datenschutzerklärung

Stand: 2. Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist die im Impressum genannte Person. Anfragen zum Datenschutz richten Sie bitte an die dort hinterlegte E-Mail-Adresse.

2. Überblick

headmark ist ein öffentlich zugängliches, redaktionell gepflegtes Verzeichnis. Sie können das Verzeichnis vollständig nutzen, ohne ein Konto anzulegen oder personenbezogene Daten anzugeben. Beim bloßen Aufruf der Seiten verarbeiten wir lediglich technisch notwendige Verbindungsdaten sowie pseudonymisierte, datenschutzfreundliche Reichweitenmessdaten ohne Cookies. Es findet kein Profiling statt. Es werden keine Werbe-Cookies gesetzt. Eine Einwilligung über ein Cookie-Banner ist daher nicht erforderlich.

3. Server-Logs

Beim Aufruf einer Seite werden in serverseitigen Logs übliche Verbindungsdaten verarbeitet: IP-Adresse, Browser- und Betriebssystem-Kennung (User-Agent), angeforderte URL, Referrer, Statuscode, übertragene Datenmenge und Zeitstempel. Diese Daten sind zur Auslieferung der Website, zur Fehlerdiagnose und zur Abwehr von Angriffen erforderlich. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb). Speicherdauer: kurzfristig durch unseren Hosting-Dienstleister (üblicherweise wenige Tage), danach automatische Löschung oder Anonymisierung.

4. Hosting (Vercel)

Die Anwendung wird bei der Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA betrieben. Funktionen werden in der Region Frankfurt (fra1) ausgeführt; statische Inhalte werden über das globale Edge-Netz von Vercel ausgeliefert. Vercel verarbeitet in unserem Auftrag die in Abschnitt 3 genannten Verbindungsdaten als Auftragsverarbeiter (Art. 28 DSGVO). Mit Vercel besteht ein Auftragsverarbeitungsvertrag inklusive der EU-Standardvertragsklauseln (SCCs) zur Absicherung etwaiger Datenflüsse in die USA.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Datenschutzerklärung von Vercel: vercel.com/legal/privacy-policy.

5. Datenbank (Supabase)

Die Inhalte des Verzeichnisses sowie ggf. Anmeldedaten der Redaktion (siehe Abschnitt 10) werden in einer Postgres-Datenbank bei der Supabase, Inc., 970 Toa Payoh North #07-04, Singapur 318992 verarbeitet. Die Datenbank-Instanz für headmark wird in der Region eu-central-1 (Frankfurt) betrieben. Beim öffentlichen Lesen des Verzeichnisses werden keine personenbezogenen Daten von Besucherinnen und Besuchern an Supabase übermittelt, die über die in Abschnitt 3 beschriebenen Verbindungsdaten hinausgehen. Mit Supabase besteht ein Auftragsverarbeitungsvertrag inklusive SCCs.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Bereitstellung des Dienstes). Datenschutzerklärung: supabase.com/privacy.

6. Rate-Limiting (Upstash)

Damit Suchfunktion und Mitwirken-Formular nicht missbräuchlich automatisiert genutzt werden können, verarbeitet die Upstash, Inc., 548 Market St. PMB 78465, San Francisco, CA 94104, USA kurzzeitig die IP-Adresse der Anfragenden in einem In-Memory-Cache. Die für headmark genutzte Instanz wird in der Region Frankfurt (fra1) betrieben, sodass die Verarbeitung innerhalb der EU stattfindet. Die Speicherdauer beträgt für die Suche höchstens eine Minute, für das Mitwirken-Formular höchstens 24 Stunden pro Datensatz; danach erfolgt automatische Löschung. Eine Auswertung über diesen Zweck hinaus findet nicht statt. Mit Upstash besteht ein Auftragsverarbeitungsvertrag inklusive SCCs.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz vor missbräuchlicher Nutzung). Datenschutzerklärung: upstash.com/trust/privacy.pdf.

7. Webanalyse (Vercel Analytics)

Zur Reichweitenmessung setzen wir „Vercel Web Analytics“ der Vercel Inc. ein. Die Lösung arbeitet datenschutzfreundlich und ohne Cookies: Es werden keine Informationen auf Ihrem Endgerät gespeichert oder ausgelesen, weshalb gemäß § 25 TTDSG keine Einwilligung erforderlich ist. Zur Erkennung wiederkehrender Aufrufe wird serverseitig ein täglich rotierender, pseudonymer Hash-Wert aus IP-Adresse und User-Agent gebildet; die ursprüngliche IP-Adresse wird nicht gespeichert. Eine Wiedererkennung ist über den Tag hinaus nicht möglich, eine Zusammenführung mit anderen Datenquellen findet nicht statt. Verarbeitet werden lediglich Kennzahlen wie Seitenaufrufe, Geräteklasse (Browser, Betriebssystem, Endgerätetyp), ungefähre geografische Herkunft (Land, Region, Stadt) und Referrer.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datenschutzfreundlichen Reichweitenmessung). Sie können dieser Verarbeitung jederzeit unter den oben genannten Kontaktdaten widersprechen. Weitere Informationen: vercel.com/docs/analytics/privacy-policy.

8. Performance-Messung (Vercel Speed Insights)

Zusätzlich erheben wir mit „Vercel Speed Insights“ technische Performance-Kennzahlen (z. B. Largest Contentful Paint, Cumulative Layout Shift, First Input Delay), um Ladezeiten zu verbessern. Auch dieses Werkzeug arbeitet ohne Cookies und ohne Speicherung auf Ihrem Endgerät. Die übermittelten Werte sind anonym und beziehen sich ausschließlich auf das Rendering der Seite, nicht auf Ihre Person.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (technische Optimierung des Angebots).

9. Schriftarten

Die verwendeten Schriftarten („Inter Tight“, „Fraunces“) werden direkt von unserem Server ausgeliefert. Es findet keine Verbindung Ihres Browsers zu Google Fonts oder anderen externen Schrift-Servern statt. Es werden in diesem Zusammenhang keine personenbezogenen Daten an Dritte übermittelt.

10. Anmeldung der Redaktion (Magic Link)

Mitglieder der Redaktion melden sich über einen Magic Link an, den der Auth-Dienst von Supabase per E-Mail versendet. Verarbeitet werden dabei E-Mail-Adresse, ein zeitlich begrenztes Anmeldetoken sowie Zeitstempel der An-/Abmeldung. Diese Verarbeitung betrifft ausschließlich Personen, die selbst aktiv ein Login-Verfahren initiieren; Besucherinnen und Besucher des öffentlichen Verzeichnisses sind nicht betroffen. Nach erfolgreicher Anmeldung werden zur Sitzungsverwaltung technisch notwendige Cookies (Supabase-Auth-Token) gesetzt; sie sind nicht zustimmungspflichtig (§ 25 Abs. 2 Nr. 2 TTDSG).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des redaktionellen Zugangs) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherheit des Zugangs). Speicherdauer: bis zum Widerruf bzw. zur Aufhebung der Berechtigung, anschließend Löschung des Kontos.

11. Freiwillige Unterstützung (Stripe)

Zur Annahme freiwilliger Unterstützungsbeiträge (einmalig oder monatlich) verwenden wir Stripe Checkout, eine extern gehostete Bezahlseite (Verantwortliche: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland). Vor dem Klick auf einen Unterstützen-Button werden keine Daten an Stripe übermittelt; insbesondere binden wir keine Stripe-Skripte oder -iFrames in unsere Seite ein. Beim Klick erstellt unser Server eine Bezahl-Sitzung bei Stripe (ohne Übermittlung personenbezogener Daten unsererseits) und leitet Sie auf eine von Stripe betriebene Seite weiter; ab diesem Zeitpunkt verarbeitet Stripe Ihre Eingaben (Name, E-Mail, Zahlungs- und ggf. Adressdaten).

Nach Abschluss der Zahlung erhalten wir von Stripe Webhook-Ereignisse mit Transaktions-Metadaten (Ereignistyp, Sitzungs-ID, Status). Diese werden nicht dauerhaft in unserer Datenbank gespeichert. Auf der Bestätigungsseite rufen wir die Stripe-Sitzung kurzzeitig ab, um die richtige Bestätigungsmeldung anzuzeigen. Bei monatlicher Unterstützung verwenden wir die Stripe-Kunden-ID ausschließlich dafür, Ihnen über das Stripe-Kundenportal die Verwaltung und Kündigung Ihres Beitrags zu ermöglichen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung der Zahlung auf Ihre Initiative). Datenschutzerklärung von Stripe: stripe.com/privacy.

12. Mitwirken-Formular

Auf der Seite Mitwirken können Sie uns über ein Formular Hinweise zukommen lassen (fehlender Verlag, Datenfehler, sonstige Anregungen). Verarbeitet werden dabei: das gewählte Anliegen, die von Ihnen angegebene E-Mail-Adresse, optional ein Name und der Inhalt Ihrer Nachricht. IP-Adresse und User-Agent werden nicht gespeichert.

Die Einsendung wird in unserer Postgres-Datenbank bei Supabase (Frankfurt) abgelegt (vgl. Abschnitt 5) und parallel als E-Mail-Benachrichtigung an unser internes Postfach geschickt. Den Versand übernimmt Resend (siehe nachfolgender Abschnitt). Die in der Benachrichtigung enthaltene Reply-To-Adresse ist Ihre eingegebene E-Mail, damit wir direkt antworten können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung Ihrer Anfrage und an der laufenden redaktionellen Pflege des Verzeichnisses).
Speicherdauer: Bis zur abschließenden Bearbeitung; im Posteingang erledigte oder als Spam markierte Einsendungen werden anschließend nach 90 Tagen gelöscht, sofern sie nicht zur Beweissicherung weiterhin erforderlich sind.
Ein eingebauter, automatisierter Spam-Schutz sowie ein Rate-Limit pro IP via Upstash (siehe Abschnitt 6) verhindern automatisierte Massensendungen.

13. Transaktionale E-Mail (Resend)

Für den Versand der Mitwirken-Benachrichtigung setzen wir Resend ein (Verantwortliche: Resend, Inc., 2261 Market Street #4413, San Francisco, CA 94114, USA). Die für headmark genutzte Sende-Region ist eu-west-1 (Irland), sodass der Nachrichteninhalt zur Auslieferung innerhalb der EU verarbeitet wird. Übermittelt wird ausschließlich der Inhalt der jeweiligen Nachricht inklusive Ihrer als Reply-To gesetzten E-Mail-Adresse. Resend protokolliert Zustellstatus (Akzeptiert, Bounce, Spam-Markierung) standardmäßig 30 Tage. Mit Resend besteht ein Auftragsverarbeitungsvertrag inklusive EU-Standardvertragsklauseln zur Absicherung etwaiger Verwaltungs-Datenflüsse in die USA.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässigem E-Mail-Versand). Datenschutzerklärung von Resend: resend.com/legal/privacy-policy.

14. Postfach-Weiterleitung (ImprovMX)

Mails an support@headmark.de und verlage@headmark.de werden über ImprovMX an unser internes Postfach weitergeleitet (Verantwortliche: ImprovMX Incorporation, 8 The Green STE D, Dover, Delaware 19901, USA). ImprovMX erhält dabei die übliche Nachrichten-Hülle (Absender, Empfänger, Betreff, Inhalt, Header) zur reinen Weiterleitung; eine inhaltliche Auswertung findet nicht statt. Laut Datenschutzerklärung von ImprovMX kann die Verarbeitung sowohl auf Servern innerhalb der EU als auch in den USA stattfinden. Mit ImprovMX besteht ein Auftragsverarbeitungsvertrag inklusive der EU-Standardvertragsklauseln (SCCs) zur Absicherung etwaiger Datenflüsse in die USA. Die Zustellprotokolle bei ImprovMX sind auf den minimalen Detailgrad konfiguriert und umfassen ausschließlich Zeitstempel des Zustellereignisses, Absender- und Ziel-E-Mail-Adresse, Betreff sowie Zustellstatus; Inhalte der weitergeleiteten Mails werden ausdrücklich nicht protokolliert. Die Protokolle werden nach sieben Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb einer redaktionellen Postfachadresse). Datenschutzerklärung von ImprovMX: improvmx.com/privacy.

15. Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein, für die nach § 25 Abs. 2 Nr. 2 TTDSG keine Einwilligung erforderlich ist:

  • NEXT_LOCALE — speichert die gewählte Sprache (sofern relevant).
  • sb-…-auth-token u. a. — Sitzungscookies des Auth-Dienstes, ausschließlich nach erfolgreicher Anmeldung in der Redaktion.

Tracking-, Marketing- oder Drittanbieter-Cookies setzen wir nicht.

16. Datenübermittlung in Drittländer

headmark wählt, wo immer ein Anbieter eine Wahlmöglichkeit bietet, eine Region innerhalb der EU. Konkret werden personenbezogene Daten primär in der EU verarbeitet: Vercel-Funktionen in Frankfurt (fra1), Supabase in eu-central-1, Upstash in fra1, Resend in eu-west-1 (Irland) und Stripe Payments Europe Ltd. in Irland.

Eine Drittlandübermittlung erfolgt nur in folgenden Konstellationen: das globale Edge-Netz von Vercel kann statische Inhalte aus Standorten außerhalb der EU ausliefern; die Verwaltungs- und Support-Infrastruktur unserer US-Anbieter (Vercel, Upstash, Resend) liegt in den USA; bei der Postfach-Weiterleitung über ImprovMX (Sitz in Delaware/USA) kann die Verarbeitung sowohl auf EU- als auch auf US-Servern erfolgen. Soweit dabei personenbezogene Daten in die USA gelangen, beruht dies auf den EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO sowie ergänzenden technischen Maßnahmen (TLS-Verschlüsselung, Pseudonymisierung soweit möglich).

17. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweils oben genannten Zwecke erforderlich ist oder wie es gesetzliche Aufbewahrungsfristen vorschreiben. Anschließend werden die Daten gelöscht oder anonymisiert. Konkrete Fristen sind, soweit relevant, in den vorstehenden Abschnitten angegeben.

18. Ihre Rechte

Sie haben uns gegenüber jederzeit das Recht auf:

  • Auskunft über die Sie betreffenden Daten (Art. 15 DSGVO),
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO),
  • Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO),
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO) sowie
  • Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO gestützt sind (Art. 21 DSGVO).

Anfragen richten Sie bitte formlos an die im Impressum angegebene E-Mail-Adresse. Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird.

19. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für headmark ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach. Sie können sich auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts wenden.

20. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich die zugrunde liegende Verarbeitung ändert (z. B. durch neue Funktionen oder Dienstleister). Die jeweils aktuelle Version ist auf dieser Seite abrufbar; das Datum der letzten Aktualisierung finden Sie oben.