Stand: März 2026
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Loris Jaro Galler
c/o IP-Management #5476
Ludwig-Erhard-Str. 18
20459 Hamburg
Deutschland
E-Mail: lorisgaller.business@gmail.com
twohrs ist ein zeitbegrenztes soziales Netzwerk. Im Folgenden informieren wir dich über die Art, den Umfang und den Zweck der Erhebung und Verwendung deiner personenbezogenen Daten.
Die Verarbeitung deiner Daten erfolgt auf Basis folgender Rechtsgrundlagen:
Du kannst dich bei twohrs auf zwei Wegen registrieren: per E-Mail und Passwort oder per Google-Anmeldung (OAuth).
Bei der Registrierung per E-Mail und Passwort erheben wir:
Bei der Registrierung per Google OAuth erhalten wir von Google:
Du wirst anschließend aufgefordert, einen Benutzernamen zu wählen. Ein Passwort wird bei der Google-Anmeldung nicht bei uns gespeichert.
Nach der Registrierung kannst du in den Einstellungen optional eine E-Mail-Adresse hinzufügen oder ändern, um die Passwort-Zurücksetzung zu ermöglichen. Die neue Adresse wird per Bestätigungsmail verifiziert. Bis zur Bestätigung wird sie als ausstehend gespeichert.
Zusätzlich kannst du optional angeben:
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Wenn du twohrs nutzt, verarbeiten wir folgende Inhalte, die du erstellst:
Wichtig: Alle nutzergenerierten Inhalte (Posts, Kommentare, Upvotes, Erwähnungen, Hashtag-Zuordnungen) werden täglich automatisch gelöscht. Dies ist ein Kernkonzept von twohrs.
Wem du folgst und welche Hashtags du abonniert hast, wird dauerhaft gespeichert, um dir personalisierte Feeds anzeigen zu können. Du kannst Follows und Hashtag-Abonnements jederzeit aufheben.
Täglich werden die Top-Nutzer in einem Leaderboard archiviert. Der beste Post des Tages wird in der „Hall of Fame“ dauerhaft gespeichert, einschließlich der Top-3-Kommentare (Benutzername und Kommentartext). Dies dient dem Kernkonzept des Wettbewerbs.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Bei Löschung deines Accounts werden auch deine Leaderboard- und Hall of Fame-Einträge entfernt.
Bei der Nutzung von twohrs werden automatisch folgende technische Daten verarbeitet:
Diese Daten werden von unseren Hosting- und Authentifizierungsdiensten (siehe Abschnitt 6) verarbeitet und dienen der Sicherheit sowie der Bereitstellung des Dienstes.
Hochgeladene Bilder (Posts und Avatare) werden in unserem Cloud-Speicher abgelegt. Wir entfernen automatisch EXIF-Metadaten (z. B. GPS-Standort, Kamerainformationen) aus hochgeladenen Bildern, bevor sie gespeichert werden. Post-Bilder werden täglich gelöscht. Avatare werden bei Entfernung oder Account-Löschung gelöscht.
Wird ein Account aufgrund wiederholter Verstöße gegen die Nutzungsbedingungen dauerhaft gesperrt und gelöscht, speichern wir einen kryptografischen Hash (SHA-256) deiner E-Mail-Adresse. Dieser Hash dient ausschließlich dazu, eine erneute Registrierung mit derselben E-Mail-Adresse zu verhindern. Aus dem Hash kann die ursprüngliche E-Mail-Adresse nicht wiederhergestellt werden.
Rechtsgrundlage: Berechtigtes Interesse an der Sicherheit der Plattform und dem Schutz der Nutzergemeinschaft (Art. 6 Abs. 1 lit. f DSGVO).
twohrs verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung. Wir verwenden keine Analyse-, Tracking- oder Werbe-Cookies.
| Cookie | Zweck | Dauer | Notwendig |
|---|---|---|---|
| sb-*-auth-token | Authentifizierungs-Session (Access- und Refresh-Token) | Access Token: 1 Stunde, Refresh Token: 1 Woche | Ja |
| sb-*-auth-token-code-verifier | PKCE-Verifizierung bei der Anmeldung | Bis zum Abschluss der Anmeldung | Ja |
Da wir ausschließlich technisch notwendige Cookies verwenden, ist gemäß § 25 Abs. 2 TDDDG keine gesonderte Einwilligung erforderlich. Wir informieren dich hiermit über deren Einsatz.
Für den Betrieb von twohrs setzen wir folgende Dienstleister ein, mit denen jeweils Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen wurden:
Anbieter: Supabase Inc., San Francisco, USA
Zweck: Datenbank (PostgreSQL), Benutzer-Authentifizierung, Dateispeicher für Bilder
Verarbeitete Daten: Authentifizierungsdaten (E-Mail-Adresse, Passwort bzw. OAuth-Verbindung), Profildaten, Posts, Kommentare, Upvotes, Follows, hochgeladene Bilder, IP-Adresse, User-Agent (in Audit-Logs)
Serverstandort: EU (Irland / AWS eu-west-1)
Datenübermittlung in Drittländer: Supabase ist ein US-Unternehmen. Die Datenübermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Ein Transfer Impact Assessment (TIA) liegt vor.
Datenschutz: supabase.com/privacy
Anbieter: Vercel Inc., San Francisco, USA
Zweck: Hosting der Website, Bereitstellung von Server-Funktionen, CDN
Verarbeitete Daten: IP-Adresse, Browser-Informationen, Zugriffsdaten
Datenübermittlung in Drittländer: Vercel ist unter dem EU-US Data Privacy Framework (DPF) gemäß Art. 45 DSGVO zertifiziert. Zusätzlich gelten EU-Standardvertragsklauseln (SCCs) als ergänzende Schutzmaßnahme.
Datenschutz: vercel.com/legal/privacy-policy
Anbieter: Cloudflare Inc., San Francisco, USA
Zweck: CAPTCHA-Schutz bei Registrierung, Anmeldung, Passwort-Zurücksetzung und Passwortänderung zum Schutz vor automatisierten Angriffen
Verarbeitete Daten: IP-Adresse, Browser-Fingerprint, Verhaltensdaten
Datenübermittlung in Drittländer: Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert.
Rechtsgrundlage: Berechtigtes Interesse an der Sicherheit des Dienstes (Art. 6 Abs. 1 lit. f DSGVO).
Datenschutz: cloudflare.com/privacypolicy
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, USA)
Zweck: Registrierung und Anmeldung über dein Google-Konto (Single Sign-On)
Verarbeitete Daten: E-Mail-Adresse, Name, Profilbild (aus deinem Google-Konto), OAuth-Token
Datenübermittlung in Drittländer: Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich gelten EU-Standardvertragsklauseln (SCCs).
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — die Google-Anmeldung erfolgt nur auf deine ausdrückliche Initiative.
Hinweis: Die Google-Anmeldung ist optional. Du kannst dich auch per E-Mail und Passwort registrieren, ohne dass Daten an Google übermittelt werden.
Datenschutz: policies.google.com/privacy
Anbieter: Vercel Inc., San Francisco, USA
Zweck: Messung der Website-Performance (Core Web Vitals: Ladezeit, Interaktivität, visuelle Stabilität)
Verarbeitete Daten: Anonyme Performance-Metriken (keine Cookies, kein Tracking einzelner Nutzer, keine personenbezogenen Daten)
Rechtsgrundlage: Berechtigtes Interesse an der Optimierung der Website-Performance (Art. 6 Abs. 1 lit. f DSGVO).
Datenschutz: vercel.com/legal/privacy-policy
| Datenart | Speicherdauer |
|---|---|
| Posts, Kommentare, Upvotes, Erwähnungen, Hashtag-Zuordnungen | Täglich automatisch gelöscht (gegen Mitternacht) |
| Post-Bilder | Täglich automatisch gelöscht |
| Profildaten und Auth-Daten (E-Mail, Username, Bio, Avatar) | Bis zur Account-Löschung |
| Follow-Beziehungen, Hashtag-Abonnements | Bis zur Aufhebung oder Account-Löschung |
| Leaderboard-Einträge | Bis zur Account-Löschung |
| Hall of Fame (Top-Post des Tages) | Bis zur Account-Löschung |
| Authentifizierungs-Audit-Logs (IP, User-Agent) | Gemäß Supabase-Aufbewahrungsrichtlinie |
| Gesperrte Accounts (kryptografischer Hash der E-Mail-Adresse) | Dauerhaft (zur Verhinderung erneuter Registrierung) |
Du hast gemäß DSGVO folgende Rechte bezüglich deiner personenbezogenen Daten:
Du hast das Recht, Auskunft über deine bei uns gespeicherten personenbezogenen Daten zu erhalten. Über die Funktion „Meine Daten herunterladen“ in den Einstellungen kannst du jederzeit einen vollständigen Datenexport im JSON-Format herunterladen.
Du kannst deine Profildaten (Anzeigename, Bio, Avatar) jederzeit in den Einstellungen ändern.
Du kannst deinen Account jederzeit vollständig löschen — auch außerhalb der Öffnungszeiten. Die Löschung umfasst:
Die Löschung erfolgt unmittelbar und ist unwiderruflich. Du findest die Löschfunktion in den Einstellungen unter „Account löschen“.
Ausnahme: Wurde dein Account aufgrund wiederholter Verstöße gesperrt, bleibt ein kryptografischer Hash deiner E-Mail-Adresse gespeichert, um eine erneute Registrierung zu verhindern (siehe Abschnitt 4.7).
Du kannst die Einschränkung der Verarbeitung deiner Daten verlangen. Kontaktiere uns hierzu per E-Mail.
Über die Funktion „Meine Daten herunterladen“ in den Einstellungen erhältst du deine Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON).
Sofern die Verarbeitung deiner Daten auf einem berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) beruht, hast du das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, Widerspruch einzulegen. Kontaktiere uns hierzu per E-Mail.
Soweit du eine Einwilligung zur Datenverarbeitung erteilt hast, kannst du diese jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren. Die zuständige Aufsichtsbehörde richtet sich nach deinem Wohnort. Eine Liste der Aufsichtsbehörden findest du unter: bfdi.bund.de
Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten zu schützen:
twohrs richtet sich an Personen ab 16 Jahren. Die Nutzung durch Personen unter 16 Jahren ist nur mit Einwilligung eines Erziehungsberechtigten gestattet (Art. 8 DSGVO i. V. m. § 2 BDSG). Bei der Registrierung bestätigst du, dass du mindestens 16 Jahre alt bist oder die Einwilligung deiner Erziehungsberechtigten hast.
Wenn du einen Link in deinem Post teilst, ruft unser Server die Metadaten (Titel, Beschreibung, Vorschaubild) der verlinkten Website ab. Dies geschieht serverseitig — deine IP-Adresse wird dabei nicht an die verlinkte Website übermittelt. Die Vorschaubilder werden jedoch vom Browser der Betrachter direkt vom externen Server geladen, wobei deren IP-Adresse an den externen Server übermittelt werden kann.
Wir senden ausschließlich transaktionale E-Mails an deine hinterlegte E-Mail-Adresse:
Wir versenden keine Werbe-E-Mails oder Newsletter. Die E-Mails werden über die Infrastruktur unseres Authentifizierungsdienstleisters (Supabase) versendet.
twohrs nutzt eine automatisierte Bildanalyse zur Erkennung von nicht jugendfreien Inhalten (NSFW-Erkennung). Diese Analyse erfolgt serverseitig beim Hochladen von Bildern. Falls ein Bild als nicht regelkonform eingestuft wird, wird es automatisch abgelehnt. Du hast das Recht, die Entscheidung durch uns überprüfen zu lassen — kontaktiere uns hierzu per E-Mail.
Darüber hinaus findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt.
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, z. B. bei Änderungen unseres Dienstes oder gesetzlicher Vorgaben. Die aktuelle Version findest du stets auf dieser Seite.
Bei Fragen zum Datenschutz oder zur Ausübung deiner Rechte erreichst du uns unter:
E-Mail: lorisgaller.business@gmail.com