Pilotbetrieb: Bitte keine persönlichen Daten angeben. Externe Suche, Biometrie und Provider-Integrationen sind aktiv. Bitte keine echten sensiblen, intimen oder minderjährigenbezogenen Inhalte hochladen.
yourefuture

Datenschutz

Datenschutzerklärung

Demo-/Pilotmodus-Hinweis: Diese Datenschutzerklärung gilt für die Demo- und Pilotphase von yourefuture. Es finden keine offene Personensuche, keine biometrische Gesichtserkennung und keine vollständige Internetsuche statt.

Datenschutzerklärung

Stand: Mai 2026

Version: 1.1

Verantwortlicher: yourefuture UG (haftungsbeschränkt) i.G., Berlin

> ⚠️ Demo-/Pilotmodus aktiv (DEMOMODE=true, PILOTMODE=true): Diese Datenschutzerklärung gilt für die Demo- und Pilotphase von yourefuture. Es finden keine offene Personensuche, keine biometrische Gesichtserkennung und keine vollständige Internetsuche statt. Es werden keine echten sensiblen Dateien dauerhaft gespeichert.

---

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

yourefuture UG (haftungsbeschränkt) i.G.

Schönwalder Str. 22

13347 Berlin

Deutschland

E-Mail: kontakt@yourefuture.eu

Webseite: https://yourefuture.de

2. Datenschutzbeauftragte

Die Datenschutzbeauftragte des Verantwortlichen ist erreichbar unter:

E-Mail: datenschutz@yourefuture.eu

Postanschrift: yourefuture UG (haftungsbeschränkt) i.G., z. Hd. Datenschutzbeauftragte, Schönwalder Str. 22, 13347 Berlin

---

3. Art der verarbeiteten Daten

Im Rahmen der Nutzung von yourefuture werden folgende personenbezogene Daten verarbeitet:

| Datenkategorie | Beschreibung | Sensibilität |

|---|---|---|

| Fallakten | Fall-ID, Status, Risikoeinstufung, Erstellungsdatum | Mittel |

| URLs | Eingereichte Quell-URLs als Beweismittel | Hoch |

| Hashes | Clientseitig erzeugte SHA-256-Hashes (keine Rohdateien) | Mittel |

| Dateimetadaten | Dateityp, Dateigröße, Zeitstempel | Mittel |

| Consent-Daten | Einwilligungsstatus, Zeitstempel, Version | Mittel |

| IP-Hashes | Gehashte IP-Adressen (keine Klartext-IP-Speicherung) | Mittel |

| Audit-Logs | Zeitstempel, Akteur, Aktionsart (ohne sensible Inhalte) | Niedrig |

| Nutzerkontodaten | E-Mail (optional), Anzeigename, Rolle | Mittel |

| Kontaktdaten | Nur falls freiwillig angegeben (z. B. für Statusupdates) | Mittel |

| Sensible Daten (Art. 9) | Daten zur sexuellen Intimität, Gesundheitsdaten | Sehr hoch |

---

4. Rechtsgrundlagen der Verarbeitung

4.1 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Die Verarbeitung personenbezogener Daten zum Zweck des Fallmanagements, der Beweissicherung und der Takedown-Unterstützung erfolgt auf Grundlage Ihrer ausdrücklichen, informierten und freiwilligen Einwilligung.

Die Einwilligung umfasst fünf granulare Stufen (siehe Einwilligungserklärung):

  1. Grundverarbeitung personenbezogener Daten
  2. Verarbeitung sensibler Daten (Art. 9 DSGVO)
  3. Weitergabe an Partnerorganisationen
  4. Speicherdauer und Aufbewahrung
  5. Kenntnisnahme der Analysebeschränkungen

    6. Jede Einwilligung kann jederzeit widerrufen werden (siehe Abschnitt 11).

    4.2 Verarbeitung besonderer Kategorien (Art. 9 Abs. 2 lit. a DSGVO)

    Die Verarbeitung besonderer Kategorien personenbezogener Daten (Daten zur sexuellen Intimität, Gesundheitsdaten) erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Sie werden vor Erteilung über den Charakter dieser Daten und die Folgen umfassend informiert.

    4.3 Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

    Folgende Verarbeitungen stützen sich auf das berechtigte Interesse des Verantwortlichen:

    • Sicherstellung der Betriebssicherheit und Missbrauchsschutz (IP-Hashes, Rate-Limiting)
    • Führung von Audit-Logs zur Nachvollziehbarkeit und Sicherheit
    • Erkennung und Abwehr von Angriffen auf die Plattform

    Das berechtigte Interesse überwiegt die Interessen der betroffenen Person, da ausschließlich gehashte und minimierte Daten verarbeitet werden.

    ---

    5. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

    Im Rahmen von yourefuture können besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verarbeitet werden:

    • Daten zur sexuellen Intimität: Bei Fällen bildbasierter digitaler Gewalt, Deepfake-Missbrauchs und NCII-Fällen
    • Gesundheitsdaten: Soweit mit den psychischen oder physischen Folgen digitaler Gewalt verbunden

    Die Verarbeitung erfolgt ausschließlich auf Grundlage des Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Es gelten erhöhte Schutzmaßnahmen (siehe Abschnitt 17).

    ---

    6. Zweck der Verarbeitung

    Die Verarbeitung personenbezogener Daten dient ausschließlich folgenden Zwecken:

    1. Fallmanagement: Erfassung, Verwaltung und Nachverfolgung von Fällen bildbasierter digitaler Gewalt
    2. Beweissicherung: Dokumentation von URLs, Hashes und Metadaten als Beweismittel
    3. Risiko-Triage: Demo-basierte Risikoeinstufung (grün/gelb/rot) zur Priorisierung
    4. Takedown-Vorbereitung: Erstellung von Vorlagen und Checklisten für Löschanfragen
    5. Partnerfreigabe: Kontrollierte Weitergabe an aktiv freigegebene Partnerorganisationen
    6. Sicherheit und Missbrauchsschutz: Audit-Logging, Rate-Limiting, Angriffsabwehr
    7. Demo- und Pilotbetrieb: Nachweis der Funktionalität mit synthetischen Daten

      8. Eine Zweckänderung findet nicht statt. Eine Verarbeitung zu Werbezwecken, Profiling oder automatisierter Entscheidungsfindung erfolgt nicht.

      ---

      7. Speicherdauer und Aufbewahrungsfristen

      7.1 Demo-Modus

      • Synthetische Demofälle: Unbegrenzt (keine echten personenbezogenen Daten)
      • Rohmedien: Werden nicht dauerhaft gespeichert (ALLOWREALFILE_STORAGE=false)

      7.2 Pilot-Modus

      • Falldaten: Automatische Löschung 90 Tage nach Fallabschluss
      • Verlängerung nur durch aktive Handlung des Nutzers
      • Sofortige Löschung auf Anfrage jederzeit möglich

      7.3 Speicherfristen pro Datenkategorie

      | Datenkategorie | Aufbewahrungsdauer | Löschverfahren |

      |---|---|---|

      | Fallmetadaten und Beweise | 90 Tage nach Fallabschluss | Automatische Löschung |

      | URLs und Hashes | 90 Tage nach Fallabschluss | Automatische Löschung |

      | Consent-Nachweise | 3 Jahre nach letzter Verarbeitung | Automatische Löschung |

      | Audit-Logs (ohne sensible Inhalte) | 6 Monate | Automatische Löschung |

      | Nutzerkontodaten | Bis zur Kontolöschung | Auf Anfrage oder bei Inaktivität |

      | IP-Hashes | 7 Tage | Automatische Löschung |

      | Session-Daten | Bis zum Sitzungsende | Automatische Löschung |

      ---

      8. Empfänger und Drittlandtransfer

      8.1 Keine unbegrenzte Weitergabe

      Personenbezogene Daten werden nicht ohne Ihre ausdrückliche Freigabe an Dritte weitergegeben.

      8.2 Partnerorganisationen

      • Partner (NGOs, Kanzleien, Behörden) erhalten nur aktiv freigegebene Fallzusammenfassungen
      • Sponsoren erhalten ausschließlich anonymisierte, aggregierte Statistiken – keinen Zugang zu Falldaten
      • Die Freigabe erfolgt scope-basiert: Zusammenfassung, Beweismetadaten oder Takedown-Paket

      8.3 Technische Dienstleister (Auftragsverarbeiter)

      | Dienstleister | Zweck | Standort | Grundlage |

      |---|---|---|---|

      | IONOS SE | Hosting, Server-Infrastruktur | Deutschland (EU) | AVV gem. Art. 28 DSGVO |

      Alle Auftragsverarbeiter sind vertraglich gem. Art. 28 DSGVO gebunden.

      8.4 Kein Drittlandtransfer

      Ihre Daten werden ausschließlich auf Servern innerhalb der Europäischen Union verarbeitet und gespeichert (IONOS, Deutschland). Ein Transfer in Drittländer (außerhalb EU/EWR) findet nicht statt.

      8.5 Gesetzliche Pflichten

      Eine Weitergabe an Ermittlungsbehörden erfolgt nur bei gesetzlicher Verpflichtung (z. B. richterliche Anordnung).

      ---

      9. SSL/TLS-Verschlüsselung

      Die Übertragung aller Daten erfolgt verschlüsselt über HTTPS/TLS. Die Zertifikate werden über Let's Encrypt bereitgestellt und automatisch über den Caddy-Reverse-Proxy verwaltet.

      • Durchgängige HTTPS-Verschlüsselung (TLS 1.2+)
      • HSTS-Header (HTTP Strict Transport Security)
      • Sichere Cookie-Einstellungen (Secure, HttpOnly, SameSite=Strict)

      ---

      10. Betroffenenrechte

      Sie haben gegenüber dem Verantwortlichen folgende Rechte gemäß DSGVO:

      10.1 Auskunftsrecht (Art. 15 DSGVO)

      Sie haben das Recht, unentgeltlich Auskunft über die zu Ihrer Person verarbeiteten Daten zu verlangen. Dies umfasst die Verarbeitungszwecke, Datenkategorien, Empfänger, Speicherdauer und Herkunft der Daten.

      10.2 Berichtigungsrecht (Art. 16 DSGVO)

      Sie haben das Recht, die unverzügliche Berichtigung unrichtiger personenbezogener Daten zu verlangen sowie die Vervollständigung unvollständiger Daten.

      10.3 Löschrecht (Art. 17 DSGVO)

      Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen. Die Löschung erfolgt in der Regel innerhalb von 72 Stunden, spätestens innerhalb von 30 Tagen.

      In yourefuture kann jeder Fall direkt über die Plattform gelöscht werden (Einstellungen → Fall löschen).

      10.4 Einschränkung der Verarbeitung (Art. 18 DSGVO)

      Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, z. B. wenn die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig ist.

      10.5 Datenübertragbarkeit (Art. 20 DSGVO)

      Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON) zu erhalten und diese an einen anderen Verantwortlichen zu übermitteln.

      10.6 Widerspruchsrecht (Art. 21 DSGVO)

      Sie haben das Recht, gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, soweit diese auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt. Der Verantwortliche verarbeitet die Daten dann nicht mehr, es sei denn, es liegen zwingende schutzwürdige Gründe vor.

      10.7 Recht auf Widerruf (Art. 7 Abs. 3 DSGVO)

      Sie haben das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

      Ausübung der Rechte

      Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

      E-Mail: datenschutz@yourefuture.eu

      Post: yourefuture UG (haftungsbeschränkt) i.G., Schönwalder Str. 22, 13347 Berlin

      Wir antworten innerhalb von einem Monat nach Eingang Ihrer Anfrage (Art. 12 Abs. 3 DSGVO).

      ---

      11. Widerrufsrecht für Einwilligungen

      Jede erteilte Einwilligung kann jederzeit, formlos und ohne Angabe von Gründen widerrufen werden.

      Widerruf per E-Mail: datenschutz@yourefuture.eu (Betreff: „Widerruf Einwilligung")

      Widerruf per Post: yourefuture UG (haftungsbeschränkt) i.G., Schönwalder Str. 22, 13347 Berlin

      Widerruf über die Plattform: Einstellungen → Einwilligungen → Widerruf

      Der Widerruf gilt nur für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung (Art. 7 Abs. 3 Satz 2 DSGVO).

      ---

      12. Beschwerderecht bei Aufsichtsbehörde

      Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO).

      Zuständige Aufsichtsbehörde:

      Berliner Beauftragte für Datenschutz und Informationsfreiheit

      Alt-Moabit 59–61

      10555 Berlin

      Telefon: +49 30 13889-0

      E-Mail: mailbox@datenschutz-berlin.de

      Webseite: https://www.datenschutz-berlin.de

      ---

      13. Cookies und Tracking

      13.1 Keine Tracking-Cookies

      yourefuture verwendet keine Tracking-Cookies. Es findet keine Nutzerverfolgung über Werbenetzwerke oder Analyse-Dienste statt. Es wird kein Google Analytics, kein Meta Pixel und kein vergleichbarer Dienst eingesetzt.

      13.2 Technisch notwendige Cookies

      Es werden ausschließlich technisch notwendige Cookies verwendet:

      | Cookie | Zweck | Dauer | Drittanbieter |

      |---|---|---|---|

      | Session-Cookie | Sitzungsauthentifizierung | Sitzungsende | Nein |

      | CSRF-Token | Schutz vor Cross-Site-Request-Forgery | Sitzungsende | Nein |

      | NEXT_LOCALE | Sprachpräferenz (i18n) | 1 Jahr | Nein |

      13.3 Keine Drittanbieter-Cookies

      Es werden keine Drittanbieter-Cookies gesetzt. Die detaillierte Cookie-Richtlinie finden Sie unter /cookies.

      ---

      14. Minderjährigenschutz

      yourefuture hat besondere Schutzmaßnahmen für Minderjährige implementiert:

      • Nutzung ab 16 Jahren – unter 16 nur mit Zustimmung der Sorgeberechtigten
      • Keine Upload-Aufforderung bei Minderjährigenfällen
      • Keine Speicherung expliziter Inhalte Minderjähriger (ALLOWMINORRELATED_UPLOADS=false)
      • Keine Analyse oder Provider-Ausführung bei Minderjährigenfällen
      • Sicherheitsroute: Automatische Weiterleitung in den Sicherheitsfluss
      • Verweis auf spezialisierte Meldestellen (z. B. Nummer gegen Kummer: 116 111)

      ---

      15. Partnerfreigabe-Mechanismus

      Die Weitergabe von Falldaten an Partnerorganisationen erfolgt ausschließlich über einen mehrstufigen Freigabemechanismus:

      1. Aktive Freigabe: Sie müssen die Freigabe explizit und aktiv pro Partner erteilen
      2. Scope-basiert: Nur der freigegebene Umfang wird übermittelt (Zusammenfassung, Beweismetadaten oder Takedown-Paket)
      3. Kein Rohmedien-Zugang: Rohdateien bleiben auch für Partner gesperrt
      4. Jederzeit widerruflich: Freigaben können sofort widerrufen werden
      5. Audit-protokolliert: Jede Freigabe und jeder Zugriff wird im Audit-Log dokumentiert

        6. ---

        16. Automatisierte Entscheidungsfindung

        yourefuture setzt keine automatisierte Entscheidungsfindung gemäß Art. 22 DSGVO ein.

        Die Demo-Risikoampel (grün/gelb/rot) ist eine unterstützende Visualisierung und keine verbindliche automatisierte Entscheidung. Sie:

        • basiert auf eingereichten Metadaten und simulierten Signalen
        • ersetzt keine professionelle Beurteilung
        • hat keine rechtlichen Folgen für Sie
        • dient ausschließlich der Orientierung und Priorisierung

        Es werden keine Entscheidungen getroffen, die ausschließlich auf automatisierter Verarbeitung beruhen und Ihnen gegenüber rechtliche Wirkung entfalten.

        ---

        17. Technische und Organisatorische Maßnahmen (TOMs)

        Gemäß Art. 32 DSGVO hat der Verantwortliche folgende Maßnahmen implementiert:

        17.1 Technische Maßnahmen

        • Durchgängige HTTPS/TLS-Verschlüsselung (Let's Encrypt via Caddy, TLS 1.2+)
        • Verschlüsselung at-rest für sensible Daten
        • Sichere Cookie-Einstellungen (Secure, HttpOnly, SameSite=Strict)
        • Content Security Policy (CSP)
        • Rate-Limiting zum Schutz vor Missbrauch und Brute-Force
        • Upload-Beschränkungen (Dateityp-Whitelist, Dateigröße)
        • Clientseitige Hash-Erzeugung (SHA-256) – keine serverseitige Dateispeicherung
        • CORS-Einschränkung auf eigene Domains
        • Security-Header (X-Frame-Options, X-Content-Type-Options, Referrer-Policy)
        • Fehlerseiten ohne Stacktraces oder interne Informationen
        • Keine sensiblen Inhalte in Logs
        • Keine Secrets im Frontend-Code oder Repository

        17.2 Organisatorische Maßnahmen

        • Rollen- und rechtegesteuerter Zugang (RBAC)
        • Bearer-Token-Authentifizierung für Admin-Bereiche
        • Vollständiges Audit-Logging aller sicherheitsrelevanten Aktionen
        • Safety-Flags als technische Enforcierung (ALLOWEXTERNALSEARCH=false etc.)
        • Regelmäßige Abhängigkeitsprüfung (Dependabot, npm audit)
        • Backup-Strategie mit verschlüsselten Backups
        • Dokumentierte Löschprozesse
        • Need-to-know-Prinzip für Datenzugriff
        • Vier-Augen-Prinzip bei Konfigurationsänderungen

        ---

        18. Änderungen der Datenschutzerklärung

        Der Verantwortliche behält sich vor, diese Datenschutzerklärung bei sachlichem Anlass zu ändern (z. B. bei Gesetzesänderungen, neuen Verarbeitungszwecken oder technischen Änderungen).

        • Die jeweils aktuelle Version ist auf der Plattform unter /privacy abrufbar.
        • Bei wesentlichen Änderungen werden Nutzer mindestens 30 Tage vor Inkrafttreten per E-Mail oder Plattform-Hinweis informiert.
        • Eine fortgesetzte Nutzung nach Inkrafttreten gilt nicht automatisch als Zustimmung zu neuen Verarbeitungszwecken – hierfür ist eine erneute Einwilligung erforderlich.

        ---

        19. Demo-/Pilotmodus-Hinweis

        Diese Instanz von yourefuture befindet sich im Demo-/Pilotbetrieb. Dies bedeutet insbesondere:

        | Flag | Wert | Bedeutung |

        |---|---|---|

        | DEMO_MODE | true | Demo-Modus aktiv |

        | PILOT_MODE | true | Pilot-Modus aktiv |

        | ALLOWEXTERNALSEARCH | false | Keine echten externen Suchläufe |

        | ENABLEBIOMETRICMATCHING | false | Keine biometrische Gesichtserkennung |

        | ENABLEPROVIDERINTEGRATIONS | false | Keine Provider-Integrationen |

        | ALLOWREALFILE_STORAGE | false | Keine dauerhafte Dateispeicherung |

        | ALLOWMINORRELATED_UPLOADS | false | Keine Minderjährigen-Uploads |

        Die Plattform leistet keine Rechtsberatung, keine vollständige Opferhilfe, kann nicht das gesamte Internet durchsuchen und kann Deepfakes nicht sicher oder zu 100 % erkennen.

        ---

        Verantwortlicher: yourefuture UG (haftungsbeschränkt) i.G., Schönwalder Str. 22, 13347 Berlin

        Datenschutzbeauftragte: datenschutz@yourefuture.eu

        Aufsichtsbehörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit

NutzungsbedingungenCookie-RichtlinieImpressum
yourefuture