Datenschutzerklärung
Diese Datenschutzerklärung erklärt, welche personenbezogenen Daten wir bei der Nutzung von Hlin (hlin.io) verarbeiten, zu welchem Zweck und auf welcher Rechtsgrundlage. Hlin ist eine Plattform, auf der du Gedenkseiten für verstorbene Menschen und Tiere anlegen, gemeinsam mit anderen gestalten und teilen kannst.
Ein Sonderfall steht im Mittelpunkt von Hlin: die Daten verstorbener Personen. Für sie gilt die DSGVO nicht (siehe Abschnitt 13). Für dich als lebende Person — als Kontoinhaberin, Beitragende oder Besucherin — gilt sie dagegen vollständig.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Plattform ist:
Sören Schönnagel
Palisadenstraße 47
10243 Berlin, Deutschland
E-Mail: hi@hlin.io
Einen Datenschutzbeauftragten haben wir nicht bestellt, da hierzu keine gesetzliche Pflicht besteht (§ 38 BDSG). Bei allen Fragen zum Datenschutz und zur Ausübung deiner Rechte wende dich bitte direkt an die oben genannte Adresse.
2. Grundlegendes
2.1 Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen — zum Beispiel Name, E-Mail-Adresse oder hochgeladene Fotos, auf denen lebende Personen zu erkennen sind.
2.2 Rechtsgrundlagen
Je nach Verarbeitung stützen wir uns auf eine der folgenden Rechtsgrundlagen der DSGVO:
- Art. 6 Abs. 1 lit. a (Einwilligung) — z. B. Newsletter-Anmeldung
- Art. 6 Abs. 1 lit. b (Vertrag) — Bereitstellung deines Kontos und der Plattformfunktionen
- Art. 6 Abs. 1 lit. f (berechtigtes Interesse) — z. B. sicherer Betrieb, Fehleranalyse, reichweitenarme Analyse. Das jeweilige berechtigte Interesse benennen wir bei der einzelnen Verarbeitung.
3. Hosting und Infrastruktur
3.1 Webhosting und Server-Logfiles (Vercel)
Unsere Website und Anwendung werden bei Vercel gehostet:
Anbieter: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA
Beim Aufruf der Seite werden technisch notwendige Zugriffsdaten in Server-Logfiles verarbeitet:
- IP-Adresse
- Datum und Uhrzeit des Zugriffs
- aufgerufene Seite / übertragene Datenmenge
- Browser- und Gerätetyp
- Referrer-URL
Zweck: technisch fehlerfreie Bereitstellung, Sicherheit und Stabilität der Plattform.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren, störungsfreien Betrieb).
Drittlandübermittlung: Vercel verarbeitet Daten unter anderem in den USA. Vercel ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend sind Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart.
Datenschutzerklärung: https://vercel.com/legal/privacy-policy
3.2 Datenbank, Konten und Datei-Speicher (Supabase)
Konten, Inhalte und hochgeladene Dateien speichern wir bei Supabase. Supabase betreibt für uns die Datenbank, die Anmeldung (Authentifizierung) und den Datei-Speicher (z. B. Profilbilder, Titelbilder, Fotos in Gedenkseiten).
Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992
Speicherort: Unsere Produktionsdaten werden ausschließlich in einem Rechenzentrum in Frankfurt am Main (Deutschland, Region eu-central-1) gespeichert und verarbeitet.
Verarbeitete Daten: Konto- und Profildaten, von dir erstellte Inhalte sowie hochgeladene Dateien (siehe Abschnitte 4 und 5).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsverhältnisses), ergänzend Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb).
Datenschutzerklärung: https://supabase.com/privacy
4. Dein Nutzerkonto
Um Gedenkseiten anzulegen oder mitzugestalten, legst du ein Konto an.
4.1 Anmeldung per Anmeldelink
Die Anmeldung erfolgt passwortlos: Du gibst deine E-Mail-Adresse ein und erhältst einen einmaligen Anmeldelink. Verarbeitet werden deine E-Mail-Adresse und ein technischer Sitzungs-Token.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
4.2 Anmeldung über Drittanbieter (Google, Apple, Microsoft)
Alternativ kannst du dich über einen dieser Anbieter anmelden. Dabei erhalten wir von dort die zur Kontoerstellung nötigen Daten (in der Regel Name, E-Mail-Adresse und ggf. Profilbild). Mit der Wahl dieses Anmeldewegs werden Daten an den jeweiligen Anbieter übertragen; dieser kann Daten auch in den USA verarbeiten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie deine Auswahl des Anmeldewegs.
4.3 Profildaten
In deinem Konto verarbeiten wir Name, E-Mail-Adresse, optionales Profilbild sowie deine Einstellungen (z. B. Benachrichtigungs- und Darstellungspräferenzen). Profilbilder, die du über einen Drittanbieter anmeldest, können von dessen Servern (z. B. Google) geladen werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
5. Inhalte, die du auf Hlin erstellst
Als angemeldete Person kannst du Inhalte erstellen. Diese werden bei Supabase (Abschnitt 3.2) gespeichert.
- Gedenkseiten — Angaben zur verstorbenen Person oder zum Tier (Name, Daten, Texte, Bilder). Daten verstorbener Personen behandeln wir gesondert (Abschnitt 13), Fotos gesondert (Abschnitt 14).
- Kondolenzbuch — Beiträge mit Text und optional Bildern.
- Erinnerungen — Foto-Galerien mit Begleittexten.
- Worte und Reaktionen — Beiträge im Feed und Reaktionen darauf.
- Benachrichtigungen — wir verarbeiten, wer welche Aktion ausgelöst hat (z. B. eine Reaktion oder einen Beitrag), um dich darüber zu informieren.
Für Inhalte über andere lebende Personen (z. B. Fotos, auf denen Angehörige erkennbar sind, oder Namen von Dritten) bist du selbst mitverantwortlich. Lade solche Inhalte nur hoch, wenn du dazu berechtigt bist (siehe Abschnitt 14).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für deine eigenen Daten; für Inhalte über Dritte Art. 6 Abs. 1 lit. f DSGVO (gemeinschaftliches Gedenken) bzw. deine Verantwortung als einstellende Person.
Sichtbarkeit: Du legst je Gedenkseite fest, ob sie öffentlich (für jeden auffindbar) oder privat (nur für eingeladene Personen) ist.
6. Einladungen und Zugriffsanfragen
6.1 Einladungen
Wenn du jemanden zu einer Gedenkseite einlädst, gibst du dessen E-Mail-Adresse an und optional eine persönliche Nachricht sowie das Verhältnis zur verstorbenen Person. Wir speichern diese Angaben und senden eine Einladungs-E-Mail (siehe Abschnitt 7).
Wird so eine Person eingeladen, die noch kein Konto hat, verarbeiten wir ihre Daten, ohne sie selbst erhoben zu haben. Wir informieren die eingeladene Person mit der Einladungs-E-Mail über die Verarbeitung (Art. 14 DSGVO). Sie kann der Verarbeitung jederzeit widersprechen und die Löschung verlangen (hi@hlin.io).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an gemeinschaftlichem Gedenken und Zusammenarbeit).
6.2 Zugriffsanfragen
Bei privaten Gedenkseiten kannst du Zugriff anfragen. Dabei verarbeiten wir deinen Namen, deine E-Mail-Adresse und eine optionale Nachricht und leiten sie an die verwaltende Person weiter.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Steuerung des Zugriffs).
7. E-Mail-Versand (Resend)
Transaktions-E-Mails (Anmeldelinks, Einladungen, Zugriffsanfragen, Newsletter-Bestätigung) versenden wir über einen Dienstleister:
Anbieter: Resend (Plus Five Five, Inc.), 2261 Market Street #5039, San Francisco, CA 94114, USA
Dabei werden die für den Versand nötigen Daten verarbeitet (Empfänger-E-Mail, Name, Inhalt der jeweiligen Nachricht).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (bzw. lit. a bei der Newsletter-Bestätigung).
Drittlandübermittlung: Resend verarbeitet Daten in den USA; abgesichert über Standardvertragsklauseln gemäß Art. 46 DSGVO.
Hinweis zu Schriftarten in E-Mails: Einige unserer E-Mail-Vorlagen laden eine Schriftart von Google Fonts nach. Beim Öffnen einer solchen E-Mail kann deine IP-Adresse an Google übertragen werden.
Datenschutzerklärung: https://resend.com/legal/privacy-policy
8. Newsletter (Double-Opt-In)
Wenn du dich für unseren Newsletter anmeldest, verarbeiten wir deine E-Mail-Adresse und optional deinen Namen. Wir nutzen das Double-Opt-In-Verfahren: Nach der Anmeldung erhältst du eine E-Mail mit Bestätigungslink. Erst nach dessen Klick wird deine Anmeldung wirksam.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Widerruf: Du kannst deine Einwilligung jederzeit widerrufen — über den Abmeldelink in jeder Newsletter-E-Mail oder per Nachricht an hi@hlin.io. Nach dem Widerruf löschen wir deine Anmeldedaten.
9. Personensuche
Über die Suchfunktion kannst du nach bestehenden Gedenk- und Traueranzeigen im Web suchen. Deine Suchanfrage wird hierzu an einen externen Such-Dienst übermittelt:
Anbieter: Serper (serper.dev) — nutzt die Google-Suche (Google LLC, USA)
Übermittelt wird der von dir eingegebene Suchbegriff. Wir setzen keine personenbezogene Profilbildung ein; gib in der Suche möglichst keine sensiblen Angaben ein.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Suchfunktion).
Drittlandübermittlung: Die Anfrage wird in den USA verarbeitet.
10. Analyse und Reichweitenmessung
Unsere Analyse-Werkzeuge arbeiten ohne Cookies und ohne Zugriff auf in deinem Gerät gespeicherte Informationen, die über das technisch Notwendige hinausgehen. Ein Einwilligungsbanner nach § 25 TDDDG ist hierfür nicht erforderlich.
10.1 Vercel Web Analytics
Erfasst aggregierte, anonymisierte Nutzungsdaten (z. B. Seitenaufrufe, Herkunft). Es werden keine Cookies gesetzt und keine IP-Adressen gespeichert.
Anbieter: Vercel Inc. (USA). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse und Verbesserung des Angebots).
10.2 PostHog
Für die Produktanalyse setzen wir PostHog cookieless ein.
Anbieter: PostHog, Inc. (USA). Speicherort: PostHog Cloud EU — die Daten werden ausschließlich auf Servern in der EU (Frankfurt am Main) verarbeitet.
Erfasst werden u. a. Seitenaufrufe und Interaktionen, Geräteinformationen (Browser, Bildschirmgröße) und ein ungefährer Standort auf Länderebene. Bei angemeldeten Nutzern kann die Auswertung mit der Konto-Kennung verknüpft werden. Es werden keine Cookies auf deinem Gerät gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Produkts).
Datenschutzerklärung: https://posthog.com/privacy
10.3 Google Search Console
Zur Optimierung in Suchergebnissen nutzen wir die Google Search Console. Sie verarbeitet keine personenbezogenen Daten unserer Besucher, sondern wertet ausschließlich aggregierte Daten zur Suchmaschinen-Leistung aus.
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
11. Fehler- und Stabilitätsanalyse (Sentry)
Damit wir Fehler erkennen und beheben können, setzen wir Sentry ein — ausschließlich zur anonymen Fehlerberichterstattung.
Anbieter: Functional Software, Inc. (Sentry), 45 Fremont Street, San Francisco, CA 94105, USA. Speicherort: Wir nutzen die europäische Sentry-Instanz; die Daten werden auf Servern in Deutschland verarbeitet.
Verarbeitete Daten: technische Fehler- und Absturzberichte (z. B. Fehlermeldung, Browsertyp, betroffene Seite). Wir übermitteln dabei keine personenbezogenen Daten an Sentry — insbesondere keine IP-Adresse und keine E-Mail-Adresse. Wir setzen kein Session Replay ein; deine Sitzungen werden nicht aufgezeichnet.
Zweck: Stabilität, Sicherheit und Fehlerbehebung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Dienst).
Datenschutzerklärung: https://sentry.io/privacy/
12. Cookies und lokale Speicherung
Wir setzen ausschließlich technisch notwendige Cookies und vergleichbare Speichertechniken ein:
- Anmelde-/Sitzungs-Cookies — halten dich angemeldet und sichern die Authentifizierung (über Supabase). Ohne sie funktioniert der Login nicht.
- Lokale Speicherung (localStorage) — z. B. deine gewählte Darstellung (hell/dunkel) und ein temporärer Weiterleitungspfad nach dem Login.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO bzw. § 25 Abs. 2 TDDDG (technisch erforderlich, daher einwilligungsfrei).
Unsere Analyse-Werkzeuge (Abschnitt 10) arbeiten ohne Cookies. Du kannst Cookies in deinen Browser-Einstellungen blockieren oder löschen; in diesem Fall ist die Plattform ggf. nicht voll nutzbar.
13. Daten verstorbener Personen
Hlin dient dem Gedenken an Verstorbene. Nach Erwägungsgrund 27 der DSGVO gilt die DSGVO nicht für die Daten verstorbener Personen. Die Angaben, die du über eine verstorbene Person oder ein verstorbenes Tier einträgst (Name, Lebensdaten, Texte, Fotos), unterliegen daher nicht den Betroffenenrechten der DSGVO.
Sie sind aber nicht schutzlos. Es gelten insbesondere:
- das postmortale Persönlichkeitsrecht (Art. 1 Abs. 1 GG), das vor Entstellung und Herabwürdigung schützt,
- das Recht am eigenen Bild nach § 22 KUG (siehe Abschnitt 14),
- der Schutz vor Verunglimpfung des Andenkens Verstorbener (§ 189 StGB).
Nahe Angehörige können sich an uns wenden, wenn Inhalte über eine verstorbene Person diese Rechte verletzen. Wir prüfen solche Hinweise und entfernen rechtsverletzende Inhalte (hi@hlin.io).
14. Fotos und Bildrechte
Wenn du Fotos hochlädst, auf denen Personen erkennbar sind, ist deren Recht am eigenen Bild zu beachten (§ 22 KUG). Das gilt auch für verstorbene Personen — bis zum Ablauf von 10 Jahren nach dem Tod ist hierfür grundsätzlich die Einwilligung der Angehörigen erforderlich.
Du bist dafür verantwortlich, nur Fotos zu veröffentlichen, zu denen du berechtigt bist. Lade keine Bilder hoch, an denen Rechte Dritter entgegenstehen.
Bei Rechtsverletzungen entfernen wir betroffene Fotos auf Hinweis (hi@hlin.io).
15. Empfänger und Übermittlung in Drittländer
Wir geben deine Daten nur an die zur Erbringung des Dienstes eingesetzten Auftragsverarbeiter weiter. Diese verarbeiten Daten ausschließlich nach unserer Weisung auf Grundlage von Verträgen nach Art. 28 DSGVO.
Innerhalb der EU / des EWR verarbeitet:
- Supabase — Datenbank, Konten, Datei-Speicher (Frankfurt, Deutschland)
- PostHog — Produktanalyse (EU, Frankfurt)
- Sentry — Fehleranalyse (Deutschland)
In Drittländern (insb. USA) verarbeitet:
- Vercel — Hosting und Web Analytics (EU-US Data Privacy Framework + Standardvertragsklauseln)
- Resend — E-Mail-Versand (Standardvertragsklauseln)
- Serper / Google — Personensuche (nur die Suchanfrage)
- Google, Apple, Microsoft — bei Nutzung der jeweiligen Anmeldung sowie beim Laden von Schriftarten in E-Mails (Google)
Für Übermittlungen in die USA bestehen geeignete Garantien gemäß Art. 46 DSGVO (Standardvertragsklauseln) bzw. Zertifizierungen unter dem EU-US Data Privacy Framework.
16. Speicherdauer und Löschung
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:
- Konto- und Inhaltsdaten: bis zur Löschung deines Kontos. Du kannst dein Konto jederzeit löschen; dabei werden deine zugehörigen Daten und Dateien entfernt.
- Newsletter-Daten: bis zum Widerruf der Einwilligung.
- Einladungen / Zugriffsanfragen: bis zur Erledigung (Annahme, Ablehnung, Ablauf).
- Server-Logfiles, Fehler- und Analysedaten: für einen kurzen, zur Sicherheits- und Fehleranalyse erforderlichen Zeitraum.
Gesetzliche Aufbewahrungspflichten bleiben unberührt. Zu den Besonderheiten von Verstorbenendaten siehe Abschnitt 13.
17. Deine Rechte
Als betroffene Person hast du nach der DSGVO folgende Rechte:
- Auskunft (Art. 15) — welche Daten wir über dich verarbeiten
- Berichtigung (Art. 16) — Korrektur unrichtiger Daten
- Löschung (Art. 17) — Löschung deiner Daten
- Einschränkung (Art. 18) — Einschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20) — Herausgabe deiner Daten in einem gängigen Format
- Widerspruch (Art. 21) — Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen
- Widerruf (Art. 7 Abs. 3) — Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
Zur Ausübung genügt eine Nachricht an hi@hlin.io.
Wenn du das Gefühl hast, dass mit deinen Daten etwas nicht stimmt, melde dich gern zuerst bei uns — meist lässt sich das schnell und unkompliziert klären.
Beschwerderecht: Unabhängig davon steht dir jederzeit das Recht zu, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59–61, 10555 Berlin
https://www.datenschutz-berlin.de
18. Datensicherheit
Wir treffen geeignete technische und organisatorische Maßnahmen nach dem Stand der Technik, um deine Daten zu schützen (Art. 32 DSGVO). Dazu gehören unter anderem eine durchgehend verschlüsselte Übertragung (TLS/SSL), Zugriffskontrollen, die sicherstellen, dass private Inhalte nur berechtigten Personen zugänglich sind, sowie eine in der EU bzw. in Deutschland betriebene Infrastruktur. Wir überprüfen und verbessern diese Maßnahmen fortlaufend.
19. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Verarbeitung ändert (z. B. neue Funktionen oder Dienstleister). Die jeweils aktuelle Fassung findest du stets auf dieser Seite.
Stand: 23. Juni 2026