# GDPR-fähiges Astrologie-API für EU-Entwickler

**Die erste astrologische API mit vollständiger EU-Residenz.** Wenn du einen B2C-Produkt für den europäischen Markt entwickelst, stellt sich die Frage der GDPR-Konformität, bevor du auch nur eine Zeile Code schreibst. AstroWay löst das standardmäßig – ohne zusätzliche Kosten oder juristische Verrenkungen.

<GetApiKeyBlock variant="compact" />

## Warum ist das wichtig?

Die meisten astrologischen APIs (DivineAPI, AstrologyAPI, Prokerala) **laufen in den USA/Indien**. Das bedeutet:

- Deine `birth.date`, `birth.time`, `birth.lat`, `birth.lon` (=PII im Sinne der GDPR) werden über die USA/Indien übertragen.
- Subprocessor-Offenlegung in deiner Datenschutzerklärung: Du musst deren Jurisdiktion auflisten.
- DPA (Data Processing Agreement) – entweder nicht verfügbar oder nur für Enterprise gegen separaten Vertrag.
- **Risiko eines Audits durch eine EU-Datenschutzbehörde**: Grenzüberschreitende Datenübertragung ohne SCC = Strafen von über 10 Mio. €.

AstroWay bietet dir mit dem Pro-Tarif ($59/Monat) **standardmäßig EU-Residenz**: Alle Daten werden in Hetzner Nuremberg verarbeitet, ohne grenzüberschreitende Übertragung.

## Technischer Stack

| Ebene | Standort / Anbieter |
|---|---|
| **Compute** | Hetzner CPX32, Nürnberg (Deutschland) |
| **Datenbank** | EU-residente Datenbank auf demselben VPS – **Daten verlassen die Infrastruktur in Nürnberg nicht** |
| **CDN / DNS** | Cloudflare mit EU-Regional-Cache-Regeln (Anfragen aus der EU werden von EU-Edges bedient) |
| **Transaktions-E-Mails** | Brevo (ehemals Sendinblue), EU-basiert, GDPR-konformer SMTP |
| **PDF-Speicher** | Hetzner Storage Box (Nürnberg) – signierte URLs mit 24h TTL, keine grenzüberschreitende Replikation |
| **Analyse** | GA4 mit anonymizeIp + keine personenbezogenen Daten in Events (Plausible Self-Hosting in der Roadmap) |
| **Logs** | strukturiertes JSON, nur IP-Hash (keine Roh-IPs), Aufbewahrung 30 Tage |

## GDPR – was wir bieten

### Standardmäßig (für alle Pro+-Schlüssel)

- ✅ **Datenfluss ausschließlich innerhalb der EU** – Birth-Daten verlassen Nürnberg nie
- ✅ **Keine grenzüberschreitende Übertragung personenbezogener Daten** – bestätigt durch Infrastruktur-Konfiguration
- ✅ **IP-Hashing** – In den Logs wird nur der SHA-256-Hash + die ersten 16 Bits gespeichert, um die Anfragehäufigkeit zu begrenzen
- ✅ **Log-Aufbewahrung für 30 Tage** – Danach werden die Logs automatisch gelöscht
- ⚠️ **Anonymisierte Analyse (GA4)** – anonymize_ip + keine personenbezogenen Daten in Events. Plausible Self-Hosting (ohne Cookies) ist in der Roadmap. Bis zur Migration empfehlen wir einen eigenen Cookie-Banner auf deinem B2C-Frontend.
- ✅ **Recht auf Löschung**: `DELETE /v1/me/account` (Bearer JWT, Body `{"confirmation": "DELETE"}`) – Dein Konto und alle damit verbundenen Daten werden sofort aus unserem System gelöscht

### Auf Anfrage (Pro+-Abonnenten)

- 📄 **DPA (Data Processing Agreement)** – Standard-GDPR-Artikel-28-Vorlage, beiderseits unterzeichnet innerhalb von 5 Werktagen. E-Mail an `legal@astroway.info`.
- 📋 **Liste der Sub-Processor** – Vollständige Liste (Hetzner, Cloudflare, unser SMTP-Anbieter, Stripe für Stripe-Kunden) mit Compliance-Dokumenten für jeden. Brevo als SMTP-Anbieter ist im DPA-Anhang für unterzeichnete Kunden aufgeführt.
- 🗂️ **Einstieg in die DPIA (Data Protection Impact Assessment)** – Wenn dein juristisches Team eine DPIA für dein Produkt erstellt, stellen wir dir die technische Referenz von unserer Seite zur Verfügung.

<Aside type="tip">
**Die DPA ist nicht an den Enterprise-Tarif gebunden.** Im Gegensatz zu Mitbewerbern, bei denen DPA = Anfrage an den Vertrieb → 2 Wochen Verhandlungen → individuelles Preismodell bedeutet, wird sie bei uns standardmäßig im Pro-Tarif für $59/Monat angeboten und ist sofort per E-Mail verfügbar.
</Aside>

### Für Enterprise-Kunden (individueller Tarif)

- 🛡️ **SOC 2 Type II** – In der Roadmap (Prüfungsunternehmen noch nicht festgelegt, ETA TBD). Falls dies deine Integration blockiert – schreib an [legal@astroway.info](mailto:legal@astroway.info), wir sind offen für eine separate Audit-Kooperation.
- 🇪🇺 **Juristische EU-Entität** – Aktuelle Rechtsform: Ukrainischer Einzelunternehmer (Maxim Burkhan). Falls deine Einkaufsabteilung eine EU-GmbH (Deutschland/Estland) verlangt – besprechen wir dies individuell über [legal@astroway.info](mailto:legal@astroway.info), Prozessdauer 4–8 Wochen.
- 🔐 **Dedizierte Infrastruktur auf Wunsch** – Separater VPS in Nürnberg, isolierte Datenbank, kein Shared Compute
- 📞 **Direkter Sicherheitskanal** – `security@astroway.info` für Incident-Response

## Vergleich: AstroWay vs. Mitbewerber mit Hosting in den USA

| Kritisch für EU-Entwickler | AstroWay Pro $59 | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| Compute in der EU | ✅ Hetzner Nürnberg | ❌ USA | ❌ USA | ❌ Indien |
| Standard-DPA verfügbar | ✅ ab Pro+ | ❌ nur Enterprise | ❌ nur Enterprise | ❌ nur Enterprise |
| GDPR-Konformität standardmäßig | ✅ auf Infrastrukturebene | ⚠️ über SCC | ⚠️ über SCC | ⚠️ über SCC |
| Analyse ohne Cookies | ⚠️ GA4 anonymisiert (Plausible in Roadmap) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| Garantie für Datenfluss ausschließlich in der EU | ✅ schriftlich bestätigt | ❌ | ❌ | ❌ |
| Technische Referenz für DPIA | ✅ verfügbar | ❌ | ❌ | ❌ |
| Endpunkt für Löschrecht | ✅ `DELETE /v1/me/account` | ❌ über Ticket | ❌ über Ticket | ❌ über Ticket |

## Preis

EU-Residenz, DPA, GDPR auf Infrastrukturebene – **alles inklusive im Pro-Tarif für $59/Monat**. Kein separater Tarif, keine Anfrage an den Vertrieb, kein individuelles Preismodell.

Das ist eine bewusste Strategie: Hetzner-Hosting kostet uns nichts Zusätzliches (unser VPS läuft ohnehin in Nürnberg), und die DPA ist eine Standardvorlage, die einmalig per E-Mail unterzeichnet wird. Du musst nicht für Privatsphäre zahlen, was eigentlich Standard sein sollte.

<CtaBlock
  title="EU-Residenz, DPA, GDPR – alles inklusive"
  subtitle="Standard-Pro-Tarif. Keine Verhandlungen, kein Custom Pricing, DPA innerhalb von 5 Werktagen."
  ctaText="Pro aktivieren"
  ctaPriceTag="$59/Monat"
  href="/pricing/#pro"
/>

## FAQ

### Kann ich den Free-Tarif für ein GDPR-sensibles Projekt nutzen?

Ja – der Free-Tarif nutzt dieselbe Infrastruktur (Hetzner Nürnberg), dieselbe anonymisierte Analyse und dieselbe 30-tägige Log-Aufbewahrung. **Die DPA ist im Free-Tarif nicht verfügbar** (das ist ein administrativer Overhead, der sich erst ab bezahlten Tarifen lohnt), aber technisch werden die Daten identisch verarbeitet.

Falls dein Anwalt eine unterzeichnete DPA verlangt, bietet auch der Indie-Tarif ($5/Monat) keine DPA. Die günstigste Option mit DPA ist **Pro für $59**.

### Wie sieht es mit dem ECJ-Urteil Schrems II aus? Ist dein Cloudflare-CDN ein US-Unternehmen?

Cloudflare ist ein US-Unternehmen, aber wir nutzen **EU-Regional-Cache-Regeln** (Anfragen von EU-IPs werden von EU-Edges bedient), und der **Origin-Server** (wo die Daten tatsächlich verarbeitet werden) ist Hetzner Nürnberg. PII (Birth-Daten) durchläuft die Cloudflare-Edges in derselben Region und wird dort nicht gespeichert – nur transitiv.

Für kritisch sensible Szenarien (medizinische Anwendungen, B2G) kannst du **Cloudflare umgehen**, indem du die DNS-Routing auf den Origin leitest – schreib an `legal@astroway.info`.

### Wie schnell erhalte ich die DPA nach dem Wechsel zu Pro?

- **Standard-DPA** (unsere Vorlage) – sofort, die Datei `astroway-dpa-v1.pdf` ist im Dashboard nach der ersten Abbuchung verfügbar.
- **Individuelle Anpassungen** durch deinen Anwalt – 3–5 Werktage. Wir diskutieren Standardpunkte von Art. 28 nicht aggressiv.

### Muss ich die DPA unterzeichnen, wenn ich ein B2B-Entwickler ohne eigene PII bin?

Wenn dein Endprodukt PII verarbeitet (und Birth-Daten sind PII), dann ja – dein Anwalt wird wahrscheinlich eine unterzeichnete DPA mit allen Sub-Processors verlangen. Wir stellen sie standardmäßig bereit. Falls deine Integration intern ist (nur Mitarbeiter), ist die DPA möglicherweise nicht kritisch, aber es ist trotzdem ratsam, sie zu unterzeichnen.

### Was macht AstroWay, wenn ich `DELETE /v1/me/account` ausführe?

- API-Schlüssel – werden sanft gelöscht (Anti-Abuse-Cooldown)
- Konto-Schlüssel-Verknüpfung – wird aufgehoben; der Schlüssel kann nicht neu zugewiesen werden
- Benutzerprofil – wird als gelöscht markiert mit Zeitstempel
- Nutzungs-Logs – IP-Hash ist keine PII mehr und bleibt für Abrechnungsaudits erhalten
- Bestellhistorie – wird gespeichert (rechtliche Finanzaufbewahrung 7 Jahre gemäß GDPR Art. 17 §3 e)
- Transaktions-E-Mails – werden vom SMTP-Anbieter nach 90 Tagen automatisch gelöscht

Der vollständige Ablauf ist auf Anfrage über [legal@astroway.info](mailto:legal@astroway.info) verfügbar.

## Kontakte

- **Legal/DPA**: [legal@astroway.info](mailto:legal@astroway.info)
- **Sicherheitsvorfälle**: [security@astroway.info](mailto:security@astroway.info)
- **Subprocessor-Liste / DPIA**: [hello@astroway.info](mailto:hello@astroway.info)

<CtaBlock
  title="Bereit zum Einstieg?"
  subtitle="Pro $59/Monat – EU-Residenz, DPA, GDPR-Konformität standardmäßig."
  ctaText="Pro aktivieren"
  ctaPriceTag="$59/Monat"
  href="/pricing/#pro"
/>
