Datenschutzerklärung

Stand: 30. Mai 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf littesse ist:

Bliss Tech GmbH
Isabellastr. 29
80798 München
Deutschland
E-Mail: hello@littesse.com

2. Serverlogs

Beim Aufruf werden IP-Adresse, Zeitpunkt, URL, Referrer und User-Agent verarbeitet (Art. 6 Abs. 1 lit. f DSGVO, Betrieb und Sicherheit). Wir verarbeiten diese Daten nur, solange dies für den Betriebs- und Sicherheitszweck erforderlich ist.

3. Konto und Uploads

Für die Nutzung registrierst Du Dich mit E-Mail und Passwort. Die Nutzung von littesse setzt voraus, dass Du mindestens 16 Jahre alt bist (Art. 8 Abs. 1 DSGVO). Hochgeladene Leselisten und Regalfotos werden verarbeitet, um ein Leseprofil zu erstellen; Regalfotos übermitteln wir dafür an OpenAI (siehe Abschnitt 6) zur Texterkennung. Die erkannten Buchdaten reichern wir über die öffentliche Buchdatenbank Open Library (Internet Archive, USA) an. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Uploads und abgeleitete Leseprofile speichern wir, solange Dein Konto besteht. Nach Schließung Deines Kontos werden diese Daten aus unseren produktiven Systemen entfernt, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. In rotierenden Backups und technischen Caches können einzelne Daten noch verbleiben, bis sie im Zuge der regulären Rotation überschrieben werden. Zum Nachweis Deiner Einwilligungen protokollieren wir die jeweilige Version der Einwilligungstexte und einen Zeitstempel (Art. 7 Abs. 1 DSGVO).

4. Profilbildung und besondere Datenkategorien

Aus Deinen Lese- und Bewertungsdaten leiten wir automatisiert ein Leseprofil ab (z. B. bevorzugte Genres, Lieblingsautor:innen). Aus der Auswahl Deiner Bücher können sich dabei Hinweise auf besondere Datenkategorien im Sinne von Art. 9 DSGVO ergeben (etwa Weltanschauung, politische Meinung, Gesundheit oder sexuelle Orientierung). Wir berechnen und speichern solche Kategorien nicht gezielt als Merkmale, sie können sich aber aus Deinen Buchtiteln mittelbar ableiten lassen.

Wir verarbeiten Deine Leseliste deshalb erst, nachdem Du beim Upload ausdrücklich eingewilligt hast. Die Einwilligung umfasst auch die Verarbeitung möglicher besonderer Datenkategorien im Rahmen der Profilbildung und stützt sich auf Art. 9 Abs. 2 lit. a DSGVO in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. Ohne diese Einwilligung können wir Dir keinen Leseprofil-Dienst anbieten. Du kannst die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Du Dich an hello@littesse.com wendest oder Dein Konto schließt; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung i. S. v. Art. 22 DSGVO findet dabei nicht statt. Zur Zusammenfassung Deines Leseprofils sowie zur Erstellung personalisierter Buchempfehlungen setzen wir ein großes Sprachmodell (Large Language Model) von OpenAI ein (siehe Abschnitt 6). Dabei werden Deine Buchtitel, Autor:innen, Genres und Bewertungen an OpenAI übermittelt, um daraus eine textliche Profilzusammenfassung und thematische Empfehlungsgruppen zu erzeugen. Ein Training von Modellen mit Deinen Daten findet nach Zusicherung des Anbieters nicht statt. Ergebnis der Verarbeitung sind personalisierte Empfehlungen, keine Entscheidungen mit rechtlicher Wirkung.

5. Cookies und Reichweitenmessung

Technisch notwendige Cookies (Login, Sicherheit) setzen wir auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG. Für die Produktanalyse mit PostHog (EU-Infrastruktur) holen wir Deine Einwilligung ein (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO). Widerruf jederzeit über die Cookie-Einstellungen im Footer.

Im Einzelnen setzen wir folgende Cookies ein:

  • littesse-consent – speichert Deine Cookie-Einwilligung. Erstanbieter, Laufzeit bis zu 180 Tage. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG.
  • Sitzungs- und Authentifizierungs-Cookies – halten Dich nach dem Login eingeloggt und schützen vor Cross-Site-Request-Forgery. Erstanbieter, Laufzeit Sitzung bzw. wenige Tage. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG.
  • PostHog-Analyse (ph_*) – nur nach Einwilligung. Erstanbieter auf EU-Infrastruktur (eu.i.posthog.com), Laufzeit bis zu 12 Monate. Rechtsgrundlage: § 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO.

6. Empfänger und Drittlandübermittlung

Wir setzen folgende Dienstleister ein. AWS, Brevo, OpenAI und PostHog verarbeiten personenbezogene Daten in unserem Auftrag auf Grundlage von Verträgen nach Art. 28 DSGVO. Die Abfrage der öffentlichen Buchdatenbank Open Library erfolgt serverseitig aus unserer EU-Infrastruktur heraus; dabei werden ausschließlich bibliografische Kennungen (ISBN, Titel, Autor:in) ohne Nutzerbezug übermittelt – näheres dazu unten.

  • AWS (Amazon Web Services EMEA SARL, Luxemburg) – Hosting, Datenbank und Speicherung in der EU-Region (Frankfurt/Irland).
  • OpenAI (OpenAI OpCo, LLC, USA) – automatisierte Texterkennung auf hochgeladenen Regalfotos sowie LLM-gestützte Erstellung Deiner Leseprofil-Zusammenfassung und Deiner personalisierten Empfehlungen auf Basis Deiner Buchtitel, Autor:innen, Genres und Bewertungen. Rechtsgrundlage für die Übermittlung in die USA: EU-Standardvertrags­klauseln sowie EU-U.S. Data Privacy Framework (OpenAI ist nach dem DPF zertifiziert). Die übermittelten API-Daten werden nach Zusicherung des Anbieters nicht für Trainingszwecke verwendet.
  • Open Library (Internet Archive, USA) – Anreicherung von Buchmetadaten und Covern. Die Abfrage erfolgt ausschließlich serverseitig aus unserer EU-Infrastruktur; Dein Endgerät kommuniziert nicht direkt mit Open Library. Übermittelt werden ausschließlich bibliografische Kennungen (ISBN, Titel, Autor:in). Nutzer- oder Profildaten, IP-Adressen oder sonstige Identifikatoren werden nicht übermittelt. Da sich die Abfragen nicht einer identifizierbaren Person zuordnen lassen, gehen wir davon aus, dass insoweit keine personenbezogenen Daten im Sinne der DSGVO verarbeitet werden. Soweit im Einzelfall doch ein Personenbezug besteht, stützt sich die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an funktionsfähigen Buchmetadaten und Covern).
  • PostHog (PostHog Inc., USA; genutzt wird die EU-Instanz eu.i.posthog.com) – Produktanalyse auf EU-Infrastruktur, nur bei Einwilligung.
  • Brevo (Brevo SAS, Paris, Frankreich) – Versand transaktionaler E-Mails (z. B. Bestätigungs- und Benachrichtigungsmails) innerhalb der EU.

7. Weitergabe an Buchhandlungen

Wenn Du littesse im Rahmen einer teilnehmenden Buchhandlung nutzt (z. B. nach Scan eines QR-Codes im Laden), können Teile Deines Leseprofils an die betreffende Buchhandlung weitergegeben werden: aggregierte Profil-Merkmale (z. B. bevorzugte Genres, Archetyp) sowie – soweit für Beratung und Kuration erforderlich – Deine Buchliste einschließlich Bewertungen und Lese-Status. Ob und in welchem Umfang eine solche Weitergabe erfolgt, hängt vom jeweiligen Angebot der Buchhandlung ab. Dein Klarname sowie Deine E-Mail-Adresse werden gegenüber der Buchhandlung nicht offengelegt; im Dashboard der Buchhandlung erscheinst Du nur unter einer pseudonymen Reader-Kennung. Kontaktdaten erhält die Buchhandlung ausschließlich, wenn Du Dich ausdrücklich dafür entscheidest.

Wir übermitteln Deine Daten an die Buchhandlung ausschließlich auf Grundlage Deiner ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO sowie für mögliche besondere Datenkategorien Art. 9 Abs. 2 lit. a DSGVO, vgl. Abschnitt 4). Für diesen Weitergabeschritt ist littesse Verantwortlicher.

Nach der Weitergabe verwendet die Buchhandlung die Daten in eigener Verantwortung für ihre Zwecke (Beratung, Kuration, Sortimentsentscheidungen) und ist insoweit selbst Verantwortliche im Sinne der DSGVO. Eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO begründen wir mit den Buchhandlungen derzeit nicht. Deine Betroffenenrechte (Abschnitt 9) kannst Du uns gegenüber für die von uns verantwortete Verarbeitung jederzeit geltend machen; für die weitere Nutzung Deiner Daten in den Räumlichkeiten oder Systemen der Buchhandlung wende Dich bitte direkt an die jeweilige Buchhandlung.

Du kannst Deine Einwilligung zur Weitergabe jederzeit mit Wirkung für die Zukunft widerrufen, indem Du Dich an hello@littesse.com wendest oder Dein Konto schließt. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt; bereits an eine Buchhandlung übermittelte Daten verbleiben in deren Verantwortung.

8. Datensicherheit

Die Übertragung zwischen Deinem Endgerät und littesse erfolgt ausschließlich verschlüsselt über TLS. Daten in unseren AWS-Speichern sind at rest verschlüsselt. Zugriff auf personenbezogene Daten ist auf die für den Betrieb notwendigen Personen und Systemkonten beschränkt.

9. Deine Rechte

Du hast das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15–21 DSGVO) sowie auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Für uns zuständig ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach. Eine erteilte Einwilligung kannst Du jederzeit widerrufen. Kontakt: hello@littesse.com.