AlmaA is operated by Agape Benjamin, a sole trader (Einzelunternehmen) with registered legal correspondence address in Hamburg, Germany. We collect only what we need to run the service. We do not sell, rent, or share your data with third parties for commercial purposes. No advertising profiles. No data brokers. This policy tells you exactly what we collect, on which legal basis, who sees it, how long we keep it, every right you have worldwide, and what every regulation we reference actually means.
Agape Benjamin, operating as AlmaA (Einzelunternehmen)
c/o IP-Management #10131, Ludwig-Erhard-Straße 18, 20459 Hamburg, Germany
E-mail: legal@thealmaa.com
For all data protection requests write to legal@thealmaa.com with subject "Data Rights Request." We respond within 30 days (GDPR Art. 12). For complex requests we may extend by 60 days with notice. No separate Data Protection Officer (DPO) is required at this scale; all data protection matters are handled directly by Agape Benjamin.
Because AlmaA is accessible worldwide and sells to international customers, multiple data protection laws apply simultaneously depending on where you are located. Here is what each one means and what it requires of us:
The GDPR is the EU's data protection law (Regulation 2016/679, in force since 25 May 2018). It is the world's strictest data protection standard and applies to any business — regardless of where it is located — that processes the personal data of people in the EU. Because AlmaA is registered in Germany (an EU member state), GDPR applies as our primary law. Key GDPR principles we follow: lawfulness (every piece of data processing must have a legal basis); purpose limitation (data collected for one purpose cannot be used for another); data minimisation (collect only what is necessary); accuracy (keep data correct); storage limitation (keep data only as long as needed); integrity and confidentiality (protect data with appropriate security); and accountability (we can demonstrate compliance). GDPR gives you eight fundamental rights explained in Section 7.
Germany's Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), updated in 2024 as the TDDDG, implements the EU ePrivacy Directive in Germany. It specifically governs cookies and local storage — requiring prior consent for any non-essential storage on a user's device. This is stricter than GDPR alone and is why our cookie banner appears before any analytics load.
After Brexit, the UK retained GDPR as "UK GDPR" through the Data Protection Act 2018. It is substantively identical to EU GDPR. UK residents have the same rights as EU residents. The supervisory authority is the Information Commissioner's Office (ICO, ico.org.uk). The UK Consumer Contracts (Information, Cancellation and Additional Charges) Regulations 2013 also apply to purchases made by UK consumers.
Switzerland's revised Data Protection Act (nDSG/revDSG) came into force 1 September 2023. It modernises Swiss data protection to a standard comparable to GDPR. Swiss residents have equivalent rights to EU residents under our policy. The supervisory authority is the Federal Data Protection and Information Commissioner (FDPIC, edoeb.admin.ch).
Israel's Privacy Protection Law and the Privacy Protection Regulations (Data Security) 5777–2017 apply to processing of Israeli residents' personal data. We apply GDPR-equivalent standards as the baseline. Israeli residents may exercise their data rights by writing to legal@thealmaa.com. The supervisory authority is the Privacy Protection Authority (PPA, gov.il/en/departments/the_privacy_protection_authority).
The California Consumer Privacy Act (CCPA), as amended by the California Privacy Rights Act (CPRA), applies to businesses that collect personal data from California residents. AlmaA does not meet the CCPA's mandatory applicability thresholds (annual gross revenue over $25M, or data on over 100,000 consumers, or over 50% of revenue from selling data), but we voluntarily comply with CCPA rights as a matter of good practice. We do not sell personal information. See Section 11 for specific CCPA rights.
Brazil's General Data Protection Law (Law 13,709/2018) applies to processing of Brazilian residents' data regardless of where the processor is located. It is structurally similar to GDPR with equivalent rights to access, correction, deletion, portability, and objection. As a sole trader operating below the threshold requiring appointment of a formal Data Protection Officer (Encarregado) under LGPD Art. 41, Agape Benjamin (legal@thealmaa.com) acts as the contact for all LGPD requests. Complaints may be directed to the Autoridade Nacional de Proteção de Dados (ANPD, gov.br/anpd).
Canada's PIPEDA applies to private sector organisations that collect, use, or disclose personal information in the course of commercial activity. It requires: a designated privacy officer (Agape Benjamin, legal@thealmaa.com); collection limited to what is necessary; meaningful consent; secure storage; and the ability for individuals to access and correct their data. For complaints that cannot be resolved internally, Canadian residents may contact the Office of the Privacy Commissioner of Canada (priv.gc.ca).
Australia's Privacy Act 1988 and its thirteen Australian Privacy Principles (APPs) apply to organisations that collect personal information from Australians, including overseas organisations with an Australian link or that target the Australian market. We apply GDPR-equivalent standards as the baseline for Australian residents. The APP principles require: open and transparent management of personal information; anonymity where practicable; limited collection; notification at the time of collection; use and disclosure only for the primary purpose; and secure storage. Complaints may be directed to the Office of the Australian Information Commissioner (OAIC, oaic.gov.au).
The United Arab Emirates Personal Data Protection Law (PDPL), Federal Decree-Law No. 45 of 2021 (in effect September 2023), applies to processing of UAE residents' personal data by entities outside the UAE that offer goods or services to UAE residents. Key requirements we satisfy: lawful processing basis; purpose limitation; data minimisation; security; and individual rights to access, correction, and deletion. We apply GDPR-equivalent standards for UAE residents. Data transfers from the UAE are governed by our Standard Contractual Clauses. For PDPL requests, contact legal@thealmaa.com.
Applying GDPR standards as a global baseline is entirely legal. It is not possible to "over-comply" with data protection law. GDPR is widely recognised as the world's most comprehensive data protection standard. By applying it globally, we ensure that every user — regardless of country — receives the highest level of protection. Many countries (Israel, UK, Canada, Australia, Switzerland) have been granted "adequacy decisions" or equivalence recognition by the EU precisely because their laws are compatible with GDPR. For countries that have not yet enacted comprehensive data protection law, applying GDPR standards gives those users meaningful rights. This approach is used by many international businesses, recommended by the EDPB (European Data Protection Board), and is explicitly better than applying the minimum required in each jurisdiction.
Our hosting provider Vercel Inc. (340 Pine Street Suite 701, San Francisco, CA 94104, USA) automatically processes technical data when you access thealmaa.com: anonymised IP address (truncated to /24 level), browser type and version, operating system, referring URL, date and time of request, HTTP status code, and data volume. Legal basis: Art. 6(1)(f) GDPR — legitimate interest in operating a secure, functioning website. Is providing this data mandatory? Yes — your browser sends this automatically with every request; without it the page cannot be served. Data transfer to USA: Standard Contractual Clauses (SCCs, Art. 46(2)(c) GDPR) via Vercel's DPA. Retention: 30 days, then automatically deleted.
When you contact us via any form or email: name, email address, and message content. Transmitted to our Google Apps Script email engine and stored in a private Google Sheet. Legal basis: Art. 6(1)(b) GDPR (pre-contractual measures or contract performance) or Art. 6(1)(f) (legitimate interest in responding to enquiries). Is providing this data mandatory? Providing name and email is required to receive a response; the message content is required to action your enquiry. Without this data we cannot respond. Retention: 3 years from last contact.
All payments are processed exclusively by Stripe, Inc. (354 Oyster Point Blvd, South San Francisco, CA 94080, USA). AlmaA does not store, access, or process any payment card data. After a completed transaction we receive: name, email address, amount paid, currency, product purchased, and Stripe session ID. Legal basis: Art. 6(1)(b) GDPR — necessary for performance of the purchase contract. Is providing this data mandatory? Yes — without your name and email the order cannot be confirmed or fulfilled. Data transfer: SCCs and Stripe DPA. Stripe's privacy policy: stripe.com/privacy. Retention: 10 years under § 257 HGB and § 147 AO (German statutory commercial and tax retention obligation — this cannot be shortened).
If you join the Ambassador Program: name, email address, unique referral code, commission balance, transaction history, withdrawal requests, and ambassador level. Stored in Supabase (EU — Frankfurt, AWS eu-central-1). Legal basis: Art. 6(1)(b) GDPR — contract performance. Is providing this data mandatory? Yes — without name and email the ambassador account cannot be created or operated. Retention: Until account deletion + 3 years (transaction records) + 10 years where tax/commercial law requires.
If you subscribe: email address and, if provided, first name. We use double opt-in — you must click a confirmation link before being added. Required under § 7 Abs. 2 Nr. 3 UWG (German anti-spam law) and GDPR. Legal basis: Art. 6(1)(a) GDPR — freely given consent. Is providing this data mandatory? No — subscribing is entirely voluntary. Withdrawal: Unsubscribe at any time via the link in every email or by writing to hello@thealmaa.com. Retention: Until unsubscribe + 30 days. Consent record (timestamp + confirmation) retained 3 years as proof of compliance.
Only loaded after you actively click "Accept All" on the cookie banner. Provider: Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Ireland). Collects: anonymised usage data, page views, session duration, approximate geographic region (country level), device type, referral source. IP anonymisation enabled — your full IP is never stored. Legal basis: Art. 6(1)(a) GDPR — consent. Is providing this data mandatory? No — declining analytics has no effect on your ability to use the site. Withdrawal: Click "Essential Only" in cookie settings at any time. Retention: 14 months. Data transfer: SCCs for any US processing by Google LLC.
Only loaded after consent. Provides aggregate, anonymised traffic statistics. No cookies set. No individual user is identifiable. Legal basis: Art. 6(1)(a) — consent. Not mandatory; declining has no effect on site use.
When you select a language in the translate widget, a googtrans session cookie is set. This responds to your explicit action and is classified as functional. Legal basis: TTDSG § 25 Abs. 2 Nr. 2 — technically necessary in response to a service explicitly requested by you. No consent required for this specific cookie as it is set only when you actively choose a language.
Name, email, session type, preferred date/time, session goals. Processed via Google Apps Script booking engine and Google Calendar. Legal basis: Art. 6(1)(b) — contract performance. Mandatory? Name and email are required to confirm and communicate about the booking. Retention: 3 years from session date.
Name, chosen theme, and letter text. Published with your explicit consent. Legal basis: Art. 6(1)(a) — consent; Art. 6(1)(b) — contract performance. Retention: Published letters retained indefinitely (as part of the AlmaA publication, with your consent); unpublished/declined letters deleted after 12 months.
| Recipient | Role | Service | Location | Safeguard | Privacy Policy |
|---|---|---|---|---|---|
| Vercel Inc. | Processor | Web hosting, serverless functions | USA + global CDN | SCCs + DPA | vercel.com/legal/privacy-policy |
| Stripe, Inc. | Processor | Payment processing | USA | SCCs + DPA | stripe.com/privacy |
| Google Ireland Ltd / LLC | Processor | Analytics (consent), Translate, Apps Script email, Calendar booking | EEA / USA | SCCs + DPA | policies.google.com/privacy |
| Supabase Inc. | Processor | Database — ambassador accounts, orders | EU — Frankfurt (AWS eu-central-1) | DPA | supabase.com/privacy |
| PayPal (Europe) Sarl et Cie SCA | Processor (where used) | Alternative payment processing | Luxembourg / USA | SCCs + DPA | paypal.com/privacy |
We do not sell, rent, broker, or share personal data with any third party for their own commercial or marketing purposes. We do not use data for automated profiling with legal or significant effects (GDPR Art. 22).
Where data is transferred to countries outside the European Economic Area (EEA), we use one or more of the following GDPR Art. 46 safeguards: (1) Standard Contractual Clauses (SCCs, Commission Implementing Decision 2021/914); (2) the EU–U.S. Data Privacy Framework certification where applicable; or (3) an EU adequacy decision. All processors have signed Data Processing Agreements (DPAs). You may request copies of applicable safeguards by writing to legal@thealmaa.com.
| Data Category | Retention Period | Legal Basis for Retention |
|---|---|---|
| Server / access logs | 30 days | Legitimate interest (security) |
| Contact form data | 3 years from last contact | Legitimate interest |
| Order and invoice data | 10 years | § 257 HGB / § 147 AO — statutory obligation |
| Ambassador account data | Until deletion request + 3 years (transaction records) | Contract performance |
| Newsletter subscriptions | Until unsubscribe + 30 days | Consent |
| Consent records (newsletter/cookies) | 3 years from date of consent | Legal obligation (proof of compliance) |
| Booking data | 3 years from session date | Contract performance / legitimate interest |
| Google Analytics data | 14 months | Consent |
| Letters to Life — published | Indefinite | Consent + contract |
| Letters to Life — unpublished | 12 months | Legitimate interest |
Under GDPR and equivalent laws, you have the following rights. To exercise any of them, write to legal@thealmaa.com with subject "Data Rights Request — [right you are exercising]." We respond within 30 days at no charge.
You have the right to complain to a supervisory authority if you believe we have processed your data unlawfully. You may contact the authority in your country of habitual residence, place of work, or where the alleged infringement occurred.
| Jurisdiction | Authority | Website |
|---|---|---|
| Germany (AlmaA's primary authority) | Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach | lda.bayern.de |
| EU/EEA (your country) | Your national data protection authority | edpb.europa.eu/about-edpb/about-edpb/members_en |
| United Kingdom | Information Commissioner's Office (ICO) | ico.org.uk |
| Switzerland | Federal Data Protection and Information Commissioner (FDPIC) | edoeb.admin.ch |
| Israel | Privacy Protection Authority (PPA) | gov.il/en/departments/the_privacy_protection_authority |
| Canada | Office of the Privacy Commissioner of Canada | priv.gc.ca |
| Australia | Office of the Australian Information Commissioner (OAIC) | oaic.gov.au |
| UAE | UAE Data Office | uaedataoffice.gov.ae |
| Brazil | Autoridade Nacional de Proteção de Dados (ANPD) | gov.br/anpd |
| California, USA | California Privacy Protection Agency (CPPA) | cppa.ca.gov |
AlmaA implements the following technical and organisational measures under GDPR Art. 32 to protect personal data against accidental loss, destruction, alteration, or unauthorised disclosure and access. These measures are reviewed and updated continuously.
For full details see the Cookie Policy. In summary: essential storage (consent record, music position, language preference) requires no consent; analytics cookies require your prior active consent under TTDSG § 25 / TDDDG.
If you are a California resident, the CCPA as amended by CPRA provides the following additional rights:
To exercise CCPA rights: email legal@thealmaa.com, subject "CCPA Request." We respond within 45 days.
AlmaA complies with the Australian Privacy Principles (APPs) under the Privacy Act 1988 (Cth) as applicable to overseas organisations collecting data from Australians. Key commitments: we notify you of collection at the time it occurs (via this policy); we collect only what is reasonably necessary; we do not use or disclose personal information for a secondary purpose without consent; we take reasonable steps to keep your information secure; you may access and correct your information; and we do not adopt government-related identifiers as your identifier. Complaints: first contact legal@thealmaa.com. If unresolved, escalate to the OAIC (oaic.gov.au).
For residents of the United Arab Emirates, we comply with the UAE Personal Data Protection Law (Federal Decree-Law No. 45 of 2021) to the extent applicable to our activities. We process UAE residents' data on the basis of: performance of a contract (purchases, bookings); legitimate interest (site operation); or consent (analytics, newsletter). You have the right to access, correct, delete, and object to processing of your personal data. Requests: legal@thealmaa.com. We do not transfer personal data of UAE residents to countries without adequate protections unless SCCs or equivalent safeguards are in place.
For residents of Israel, we comply with the Privacy Protection Law 5741–1981 and the Privacy Protection Regulations (Data Security) 5777–2017. You have the right to access personal data held about you and to request correction of inaccurate data. Requests: legal@thealmaa.com. The supervisory authority is the Privacy Protection Authority (PPA).
AlmaA does not knowingly collect personal data from persons under 16 years of age. The platform is not directed at children. If you are under 16, do not use the platform or submit any personal data. If we discover that data of a person under 16 has been collected without appropriate consent, we will delete it promptly. Contact legal@thealmaa.com if you believe a minor has submitted data.
AlmaA may update this Privacy Policy at any time. The current version is always published at this URL with the "Last updated" date shown at the top. AlmaA does not undertake to notify you individually of changes. The updated "Last updated" date is your signal that something has changed. It is your responsibility to review this policy periodically.
Where a change materially affects how your personal data is processed, we will update the policy date and — where technically feasible — display a notice on the website. However, we do not guarantee individual email notification. If you have serious concerns about a change, you are encouraged to contact us at legal@thealmaa.com before continued use.
Continued use of thealmaa.com after any update constitutes your acceptance of the revised Privacy Policy.
AlmaA wird betrieben von Agape Benjamin, Einzelunternehmen mit Geschäftskorrespondenzadresse in Hamburg, Deutschland. Wir erheben nur die Daten, die für den Betrieb des Dienstes unbedingt erforderlich sind. Wir verkaufen, vermieten oder vermitteln Ihre Daten nicht an Dritte zu kommerziellen Zwecken. Keine Werbeprofilerstellung. Keine Datenvermittler. Diese Erklärung erläutert genau, was wir erheben, auf welcher Rechtsgrundlage, wer Zugriff hat, wie lange wir die Daten aufbewahren, alle Ihre Rechte weltweit und was jedes Gesetz, auf das wir uns beziehen, tatsächlich bedeutet.
Agape Benjamin, tätig als AlmaA (Einzelunternehmen)
c/o IP-Management #10131, Ludwig-Erhard-Straße 18, 20459 Hamburg, Deutschland
E-Mail: legal@thealmaa.com
Für alle Datenschutzanfragen schreiben Sie an legal@thealmaa.com mit dem Betreff „Datenschutzanfrage." Wir antworten innerhalb von 30 Tagen (Art. 12 DSGVO). Kein gesonderter Datenschutzbeauftragter (DSB) ist bei diesem Betriebsumfang erforderlich; alle Datenschutzangelegenheiten werden direkt von Agape Benjamin bearbeitet.
Da AlmaA weltweit zugänglich ist und an internationale Kunden verkauft, gelten je nach Standort des Nutzers gleichzeitig mehrere Datenschutzgesetze. Nachfolgend werden diese Gesetze und ihre Anforderungen erläutert:
Die DSGVO (Verordnung 2016/679, in Kraft seit 25. Mai 2018) ist das Datenschutzgesetz der EU und gilt weltweit als strengster Standard. Sie gilt für jedes Unternehmen — unabhängig von seinem Sitz — das personenbezogene Daten von Personen in der EU verarbeitet. Da AlmaA in Deutschland ansässig ist, ist die DSGVO unser primäres Gesetz. Wesentliche DSGVO-Grundsätze: Rechtmäßigkeit (jede Datenverarbeitung braucht eine Rechtsgrundlage); Zweckbindung (für einen Zweck erhobene Daten dürfen nicht für andere Zwecke verwendet werden); Datensparsamkeit (nur das Notwendige erheben); Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit; und Rechenschaftspflicht. Die DSGVO gewährt Ihnen acht Grundrechte — siehe Abschnitt 7.
Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), 2024 als TDDDG aktualisiert, setzt die EU-ePrivacy-Richtlinie in Deutschland um. Es regelt Cookies und lokalen Speicher und verlangt eine vorherige Einwilligung für alle nicht-essentiellen Speicherungen. Dies ist strenger als die DSGVO allein und der Grund, warum unser Cookie-Banner erscheint, bevor Analytics geladen werden.
Nach dem Brexit hat das UK die DSGVO als „UK-DSGVO" durch den Data Protection Act 2018 beibehalten. Sie ist inhaltlich identisch mit der EU-DSGVO. Nutzer aus dem UK haben dieselben Rechte wie EU-Nutzer. Zuständige Behörde: Information Commissioner's Office (ICO, ico.org.uk). Zusätzlich gelten die UK Consumer Contracts Regulations 2013 für Käufe britischer Verbraucher.
Das revidierte Schweizer Datenschutzgesetz (revDSG/nDSG, in Kraft seit 1. September 2023) modernisiert den Schweizer Datenschutz auf ein mit der DSGVO vergleichbares Niveau. Schweizer Nutzer haben gleichwertige Rechte. Zuständige Behörde: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB, edoeb.admin.ch).
Das israelische Datenschutzgesetz und die Datensicherheitsverordnungen 5777–2017 gelten für die Verarbeitung personenbezogener Daten israelischer Nutzer. Wir wenden DSGVO-Äquivalenzstandards als Mindestmaßstab an. Zuständige Behörde: Privacy Protection Authority (PPA, gov.il).
Der California Consumer Privacy Act (CCPA) gilt für Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens erheben. AlmaA erfüllt die obligatorischen Anwendungsschwellen nicht (Jahresumsatz über $25 Mio., Daten von über 100.000 Verbrauchern oder über 50 % Umsatz aus Datenverkauf), erfüllt aber freiwillig die CCPA-Rechte. Wir verkaufen keine personenbezogenen Daten. Siehe Abschnitt 11.
Das brasilianische Datenschutzgesetz (Lei 13.709/2018) gilt für die Verarbeitung von Daten brasilianischer Nutzer unabhängig vom Standort des Verarbeiters. Als Einzelunternehmen unterhalb der Schwelle, die die Ernennung eines Datenschutzbeauftragten (Encarregado) nach LGPD Art. 41 erfordert, ist Agape Benjamin (legal@thealmaa.com) Ansprechpartner für alle LGPD-Anfragen. Zuständige Behörde: ANPD (gov.br/anpd).
Kanadas PIPEDA gilt für Organisationen, die im Rahmen gewerblicher Tätigkeit personenbezogene Daten erheben, nutzen oder offenbaren. Es verlangt einen benannten Datenschutzbeauftragten (Agape Benjamin, legal@thealmaa.com), auf das Notwendige begrenzte Erhebung, sinnvolle Einwilligung und sicheren Speicher. Beschwerden, die intern nicht gelöst werden können: Office of the Privacy Commissioner of Canada (priv.gc.ca).
Australiens Privacy Act 1988 und seine dreizehn Australian Privacy Principles (APPs) gelten für Organisationen, die Daten von Australiern erheben. Die APPs verlangen: transparentes Datenschutzmanagement; Datenminimierung; Benachrichtigung bei Erhebung; Nutzung nur für den ursprünglichen Zweck; sicheren Speicher; sowie Zugangs- und Korrekturrechte. Beschwerden: zunächst legal@thealmaa.com, dann OAIC (oaic.gov.au).
Das Datenschutzgesetz der Vereinigten Arabischen Emirate (PDPL, Bundesgesetz Nr. 45 von 2021, in Kraft seit September 2023) gilt für die Verarbeitung von Daten ansässiger Personen in den VAE durch Stellen außerhalb der VAE, die Waren oder Dienstleistungen für VAE-Einwohner anbieten. Wesentliche Anforderungen: Rechtmäßige Verarbeitungsgrundlage; Zweckbindung; Datensparsamkeit; Sicherheit; individuelle Rechte auf Zugang, Berichtigung und Löschung. Anfragen: legal@thealmaa.com.
Die Anwendung von DSGVO-Standards als globalen Mindeststandard ist vollkommen rechtlich zulässig. Eine „Übererfüllung" des Datenschutzes ist nicht möglich. Die DSGVO gilt weltweit als umfassendster Datenschutzstandard. Viele Länder (Israel, UK, Kanada, Australien, Schweiz) haben von der EU eine „Angemessenheitsentscheidung" erhalten, weil ihre Gesetze mit der DSGVO vereinbar sind. Für Länder ohne umfassendes Datenschutzrecht gewährt die Anwendung des DSGVO-Standards denjenigen Nutzern sinnvolle Rechte. Dieser Ansatz wird vom Europäischen Datenschutzausschuss (EDPB) empfohlen und ist explizit besser als die bloße Einhaltung des jeweiligen nationalen Minimums.
Unser Hosting-Anbieter Vercel Inc. (USA) verarbeitet bei jedem Seitenabruf automatisch: anonymisierte IP-Adresse (auf /24-Ebene gekürzt), Browsertyp und -version, Betriebssystem, Referrer-URL, Datum/Uhrzeit, HTTP-Statuscode, Datenvolumen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am sicheren Betrieb. Pflicht zur Angabe? Ja — Ihr Browser sendet diese Daten automatisch mit jeder Anfrage; ohne sie kann die Seite nicht ausgeliefert werden. USA-Transfer: SCC nach Art. 46 Abs. 2 lit. c DSGVO via Vercel-AVV. Aufbewahrung: 30 Tage, dann automatisch gelöscht.
Bei Kontaktaufnahme: Name, E-Mail-Adresse, Nachrichteninhalt. Übermittlung an unser Google-Apps-Script-E-Mail-System und Speicherung in einem privaten Google Sheet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen oder Vertragserfüllung) oder lit. f (berechtigtes Interesse). Pflicht zur Angabe? Name und E-Mail sind für eine Antwort erforderlich; ohne diese Daten können wir nicht antworten. Aufbewahrung: 3 Jahre ab letztem Kontakt.
Zahlungsabwicklung ausschließlich durch Stripe, Inc. (USA). AlmaA speichert keine Zahlungskartendaten. Nach einer abgeschlossenen Transaktion erhalten wir: Name, E-Mail-Adresse, Betrag, Währung, gekauftes Produkt, Stripe-Session-ID. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung. Pflicht zur Angabe? Ja — ohne Name und E-Mail kann die Bestellung nicht bestätigt oder erfüllt werden. Datentransfer: SCC + Stripe-AVV. Aufbewahrung: 10 Jahre gemäß § 257 HGB / § 147 AO (gesetzliche Aufbewahrungspflicht — nicht verkürzbar).
Bei Beitritt zum Ambassador Program: Name, E-Mail-Adresse, Empfehlungscode, Provisionsguthaben, Transaktionshistorie, Abhebungsanträge, Botschafterstufe. Gespeichert in Supabase (EU — Frankfurt, AWS eu-central-1). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Pflicht zur Angabe? Ja — ohne Name und E-Mail kann kein Konto erstellt werden. Aufbewahrung: Bis zur Löschanfrage + 3 Jahre (Transaktionsdaten) + 10 Jahre wo steuer-/handelsrechtlich vorgeschrieben.
Bei Anmeldung: E-Mail-Adresse und ggf. Vorname. Wir verwenden Double-Opt-In — Sie müssen einen Bestätigungslink anklicken, bevor Sie aufgenommen werden. Gesetzlich vorgeschrieben nach § 7 Abs. 2 Nr. 3 UWG und DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO — freiwillig erteilte Einwilligung. Pflicht zur Angabe? Nein — die Anmeldung ist vollständig freiwillig. Widerruf: Jederzeit über den Abmelde-Link in jeder E-Mail oder schriftlich an hello@thealmaa.com. Aufbewahrung: Bis zur Abmeldung + 30 Tage; Einwilligungsnachweis 3 Jahre.
Nur geladen nach aktivem Klick auf „Alle akzeptieren". Anbieter: Google Ireland Limited (Dublin). Erhebt: anonymisierte Nutzungsdaten, Seitenaufrufe, Sitzungsdauer, ungefähre geographische Region (Länderebene), Gerätetyp, Herkunftsquelle. IP-Anonymisierung aktiviert — Ihre vollständige IP-Adresse wird niemals gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO — Einwilligung. Pflicht zur Angabe? Nein — Ablehnung von Analytics hat keine Auswirkung auf die Nutzbarkeit der Website. Widerruf: „Nur Essentielle" in den Cookie-Einstellungen. Aufbewahrung: 14 Monate. USA-Transfer: SCC.
Nur nach Einwilligung. Liefert aggregierte, anonymisierte Verkehrsstatistiken. Setzt keine Cookies. Keine individuelle Nutzeridentifizierung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a — Einwilligung. Nicht verpflichtend; Ablehnung hat keine Auswirkung auf die Website-Nutzung.
Wenn Sie im Übersetzungs-Widget eine Sprache auswählen, wird ein googtrans-Sitzungs-Cookie gesetzt. Dies reagiert auf Ihre ausdrückliche Handlung und gilt als funktional. Rechtsgrundlage: TTDSG § 25 Abs. 2 Nr. 2 — technisch notwendig als Reaktion auf einen ausdrücklich angeforderten Dienst. Keine Einwilligung für diesen Cookie erforderlich.
Name, E-Mail, Sitzungstyp, bevorzugter Termin, Sitzungsziele. Verarbeitet über Google-Apps-Script-Buchungsengine und Google Kalender. Rechtsgrundlage: Art. 6 Abs. 1 lit. b — Vertragserfüllung. Pflicht zur Angabe? Name und E-Mail sind zur Buchungsbestätigung und Kommunikation erforderlich. Aufbewahrung: 3 Jahre ab Sitzungsdatum.
Name, gewähltes Thema, Brieftext. Veröffentlichung nur mit ausdrücklicher Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a — Einwilligung; lit. b — Vertragserfüllung. Aufbewahrung: Veröffentlichte Briefe unbegrenzt (mit Einwilligung); unveröffentlichte/abgelehnte Briefe nach 12 Monaten gelöscht.
| Empfänger | Rolle | Dienstleistung | Standort | Schutzmaßnahme | Datenschutzerklärung |
|---|---|---|---|---|---|
| Vercel Inc. | Auftragsverarbeiter | Hosting, Serverfunktionen | USA + globales CDN | SCC + AVV | vercel.com/legal/privacy-policy |
| Stripe, Inc. | Auftragsverarbeiter | Zahlungsabwicklung | USA | SCC + AVV | stripe.com/privacy |
| Google Ireland Ltd / LLC | Auftragsverarbeiter | Analyse (Einwilligung), Übersetzen, Apps-Script-E-Mail, Kalender | EWR / USA | SCC + AVV | policies.google.com/privacy |
| Supabase Inc. | Auftragsverarbeiter | Datenbank — Ambassador-Konten, Bestellungen | EU — Frankfurt (AWS eu-central-1) | AVV | supabase.com/privacy |
| PayPal (Europe) Sarl et Cie SCA | Auftragsverarbeiter (bei Nutzung) | Alternative Zahlungsabwicklung | Luxemburg / USA | SCC + AVV | paypal.com/privacy |
Wir verkaufen, vermieten, vermitteln oder teilen personenbezogene Daten nicht mit Dritten für deren eigene kommerzielle oder Marketingzwecke. Wir verwenden keine automatisierte Entscheidungsfindung mit rechtlichen oder erheblichen Auswirkungen (Art. 22 DSGVO).
Für Transfers in Länder außerhalb des EWR verwenden wir: (1) Standardvertragsklauseln (SCC, Durchführungsbeschluss 2021/914); (2) das EU-US Data Privacy Framework wo anwendbar; oder (3) einen EU-Angemessenheitsbeschluss. Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV). Kopien der anwendbaren Schutzmaßnahmen können unter legal@thealmaa.com angefordert werden.
| Datenkategorie | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Server-/Zugriffslogs | 30 Tage | Berechtigtes Interesse (Sicherheit) |
| Kontaktformulardaten | 3 Jahre ab letztem Kontakt | Berechtigtes Interesse |
| Bestell- und Rechnungsdaten | 10 Jahre | § 257 HGB / § 147 AO — gesetzliche Pflicht |
| Ambassador-Kontodaten | Bis zur Löschanfrage + 3 Jahre (Transaktionen) | Vertragserfüllung |
| Newsletter-Anmeldungen | Bis zur Abmeldung + 30 Tage | Einwilligung |
| Einwilligungsnachweise | 3 Jahre ab Einwilligung | Rechtliche Verpflichtung (Compliance-Nachweis) |
| Buchungsdaten | 3 Jahre ab Sitzungsdatum | Vertragserfüllung / berechtigtes Interesse |
| Google-Analytics-Daten | 14 Monate | Einwilligung |
| Letters to Life — veröffentlicht | Unbegrenzt | Einwilligung + Vertrag |
| Letters to Life — unveröffentlicht | 12 Monate | Berechtigtes Interesse |
Gemäß DSGVO und gleichwertigen Gesetzen stehen Ihnen folgende Rechte zu. Zur Ausübung schreiben Sie an legal@thealmaa.com mit dem Betreff „Datenschutzanfrage — [auszuübendes Recht]." Wir antworten innerhalb von 30 Tagen kostenlos.
Sie können sich bei der zuständigen Datenschutzbehörde beschweren, wenn Sie der Ansicht sind, dass wir Ihre Daten rechtswidrig verarbeiten.
| Zuständigkeit | Behörde | Website |
|---|---|---|
| Deutschland (zuständig für AlmaA — Sitz Hamburg) | Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Ludwig-Erhard-Str. 22, 20459 Hamburg | datenschutz.hamburg.de |
| EU/EWR (Ihr Land) | Nationale Datenschutzbehörde Ihres Landes | edpb.europa.eu/about-edpb/members_en |
| Vereinigtes Königreich | Information Commissioner's Office (ICO) | ico.org.uk |
| Schweiz | Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) | edoeb.admin.ch |
| Israel | Privacy Protection Authority (PPA) | gov.il |
| Kanada | Office of the Privacy Commissioner of Canada | priv.gc.ca |
| Australien | Office of the Australian Information Commissioner (OAIC) | oaic.gov.au |
| VAE | UAE Data Office | uaedataoffice.gov.ae |
| Brasilien | Autoridade Nacional de Proteção de Dados (ANPD) | gov.br/anpd |
| Kalifornien, USA | California Privacy Protection Agency (CPPA) | cppa.ca.gov |
AlmaA trifft die folgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zum Schutz personenbezogener Daten vor Verlust, Vernichtung, Veränderung oder unberechtigtem Zugriff:
Vollständige Details in der Cookie-Richtlinie. Zusammenfassung: Essentieller Speicher (Einwilligungsnachweis, Musikposition, Spracheinstellung) erfordert keine Einwilligung; Analyse-Cookies erfordern Ihre vorherige aktive Einwilligung gemäß TTDSG § 25 / TDDDG.
Wenn Sie in Kalifornien ansässig sind, bietet der CCPA in der Fassung des CPRA folgende zusätzliche Rechte:
Für CCPA-Anfragen: legal@thealmaa.com, Betreff „CCPA-Anfrage." Wir antworten innerhalb von 45 Tagen.
AlmaA erfüllt die Australian Privacy Principles (APPs) nach dem Privacy Act 1988 (Cth) soweit anwendbar. Wesentliche Zusagen: Wir benachrichtigen Sie bei der Erhebung (über diese Richtlinie); wir erheben nur das vernünftigerweise Notwendige; wir verwenden oder offenbaren personenbezogene Daten nicht für einen Sekundärzweck ohne Einwilligung; wir treffen angemessene Sicherheitsmaßnahmen; Sie können auf Ihre Daten zugreifen und sie korrigieren. Beschwerden: zunächst legal@thealmaa.com, dann OAIC (oaic.gov.au).
Für Nutzer aus den Vereinigten Arabischen Emiraten erfüllen wir das VAE-Datenschutzgesetz (Bundesgesetz Nr. 45 von 2021) soweit auf unsere Tätigkeiten anwendbar. Verarbeitungsgrundlagen: Vertragserfüllung (Käufe, Buchungen); berechtigtes Interesse (Website-Betrieb); Einwilligung (Analytics, Newsletter). Sie haben das Recht auf Zugang, Berichtigung, Löschung und Widerspruch. Anfragen: legal@thealmaa.com. Wir übermitteln personenbezogene Daten von VAE-Nutzern nicht in Länder ohne angemessenen Schutz, es sei denn, SCC oder gleichwertige Schutzmaßnahmen sind vorhanden.
Für israelische Nutzer erfüllen wir das israelische Datenschutzgesetz 5741–1981 und die Datensicherheitsverordnungen 5777–2017. Sie haben das Recht, auf über Sie gespeicherte personenbezogene Daten zuzugreifen und unrichtige Daten berichtigen zu lassen. Anfragen: legal@thealmaa.com. Zuständige Behörde: Privacy Protection Authority (PPA, gov.il).
AlmaA erhebt wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Das Angebot richtet sich nicht an Kinder. Falls bekannt wird, dass Daten eines Minderjährigen ohne angemessene Einwilligung erhoben wurden, werden diese unverzüglich gelöscht. Mitteilung an legal@thealmaa.com, falls Sie der Ansicht sind, dass ein Minderjähriger Daten übermittelt hat.
Wesentliche Änderungen, die sich auf die Verarbeitung Ihrer Daten auswirken, werden registrierten Nutzern mindestens 14 Tage vor Inkrafttreten per E-Mail mitgeteilt. Die aktuelle Version mit ihrem Gültigkeitsdatum ist stets unter dieser URL verfügbar. Die weitere Nutzung nach Inkrafttreten von Änderungen gilt als Zustimmung.