GDPR-fähiges Astrologie-API für EU-Entwickler
Die erste astrologische API mit vollständiger EU-Residenz. Wenn du einen B2C-Produkt für den europäischen Markt entwickelst, stellt sich die Frage der GDPR-Konformität, bevor du auch nur eine Zeile Code schreibst. AstroWay löst das standardmäßig – ohne zusätzliche Kosten oder juristische Verrenkungen.
Warum ist das wichtig?
Abschnitt betitelt „Warum ist das wichtig?“Die meisten astrologischen APIs (DivineAPI, AstrologyAPI, Prokerala) laufen in den USA/Indien. Das bedeutet:
- Deine
birth.date,birth.time,birth.lat,birth.lon(=PII im Sinne der GDPR) werden über die USA/Indien übertragen. - Subprocessor-Offenlegung in deiner Datenschutzerklärung: Du musst deren Jurisdiktion auflisten.
- DPA (Data Processing Agreement) – entweder nicht verfügbar oder nur für Enterprise gegen separaten Vertrag.
- Risiko eines Audits durch eine EU-Datenschutzbehörde: Grenzüberschreitende Datenübertragung ohne SCC = Strafen von über 10 Mio. €.
AstroWay bietet dir mit dem Pro-Tarif ($59/Monat) standardmäßig EU-Residenz: Alle Daten werden in Hetzner Nuremberg verarbeitet, ohne grenzüberschreitende Übertragung.
Technischer Stack
Abschnitt betitelt „Technischer Stack“| Ebene | Standort / Anbieter |
|---|---|
| Compute | Hetzner CPX32, Nürnberg (Deutschland) |
| Datenbank | EU-residente Datenbank auf demselben VPS – Daten verlassen die Infrastruktur in Nürnberg nicht |
| CDN / DNS | Cloudflare mit EU-Regional-Cache-Regeln (Anfragen aus der EU werden von EU-Edges bedient) |
| Transaktions-E-Mails | Brevo (ehemals Sendinblue), EU-basiert, GDPR-konformer SMTP |
| PDF-Speicher | Hetzner Storage Box (Nürnberg) – signierte URLs mit 24h TTL, keine grenzüberschreitende Replikation |
| Analyse | GA4 mit anonymizeIp + keine personenbezogenen Daten in Events (Plausible Self-Hosting in der Roadmap) |
| Logs | strukturiertes JSON, nur IP-Hash (keine Roh-IPs), Aufbewahrung 30 Tage |
GDPR – was wir bieten
Abschnitt betitelt „GDPR – was wir bieten“Standardmäßig (für alle Pro+-Schlüssel)
Abschnitt betitelt „Standardmäßig (für alle Pro+-Schlüssel)“- ✅ Datenfluss ausschließlich innerhalb der EU – Birth-Daten verlassen Nürnberg nie
- ✅ Keine grenzüberschreitende Übertragung personenbezogener Daten – bestätigt durch Infrastruktur-Konfiguration
- ✅ IP-Hashing – In den Logs wird nur der SHA-256-Hash + die ersten 16 Bits gespeichert, um die Anfragehäufigkeit zu begrenzen
- ✅ Log-Aufbewahrung für 30 Tage – Danach werden die Logs automatisch gelöscht
- ⚠️ Anonymisierte Analyse (GA4) – anonymize_ip + keine personenbezogenen Daten in Events. Plausible Self-Hosting (ohne Cookies) ist in der Roadmap. Bis zur Migration empfehlen wir einen eigenen Cookie-Banner auf deinem B2C-Frontend.
- ✅ Recht auf Löschung:
DELETE /v1/me/account(Bearer JWT, Body{"confirmation": "DELETE"}) – Dein Konto und alle damit verbundenen Daten werden sofort aus unserem System gelöscht
Auf Anfrage (Pro+-Abonnenten)
Abschnitt betitelt „Auf Anfrage (Pro+-Abonnenten)“- 📄 DPA (Data Processing Agreement) – Standard-GDPR-Artikel-28-Vorlage, beiderseits unterzeichnet innerhalb von 5 Werktagen. E-Mail an
legal@astroway.info. - 📋 Liste der Sub-Processor – Vollständige Liste (Hetzner, Cloudflare, unser SMTP-Anbieter, Stripe für Stripe-Kunden) mit Compliance-Dokumenten für jeden. Brevo als SMTP-Anbieter ist im DPA-Anhang für unterzeichnete Kunden aufgeführt.
- 🗂️ Einstieg in die DPIA (Data Protection Impact Assessment) – Wenn dein juristisches Team eine DPIA für dein Produkt erstellt, stellen wir dir die technische Referenz von unserer Seite zur Verfügung.
Für Enterprise-Kunden (individueller Tarif)
Abschnitt betitelt „Für Enterprise-Kunden (individueller Tarif)“- 🛡️ SOC 2 Type II – In der Roadmap (Prüfungsunternehmen noch nicht festgelegt, ETA TBD). Falls dies deine Integration blockiert – schreib an legal@astroway.info, wir sind offen für eine separate Audit-Kooperation.
- 🇪🇺 Juristische EU-Entität – Aktuelle Rechtsform: Ukrainischer Einzelunternehmer (Maxim Burkhan). Falls deine Einkaufsabteilung eine EU-GmbH (Deutschland/Estland) verlangt – besprechen wir dies individuell über legal@astroway.info, Prozessdauer 4–8 Wochen.
- 🔐 Dedizierte Infrastruktur auf Wunsch – Separater VPS in Nürnberg, isolierte Datenbank, kein Shared Compute
- 📞 Direkter Sicherheitskanal –
security@astroway.infofür Incident-Response
Vergleich: AstroWay vs. Mitbewerber mit Hosting in den USA
Abschnitt betitelt „Vergleich: AstroWay vs. Mitbewerber mit Hosting in den USA“| Kritisch für EU-Entwickler | AstroWay Pro $59 | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| Compute in der EU | ✅ Hetzner Nürnberg | ❌ USA | ❌ USA | ❌ Indien |
| Standard-DPA verfügbar | ✅ ab Pro+ | ❌ nur Enterprise | ❌ nur Enterprise | ❌ nur Enterprise |
| GDPR-Konformität standardmäßig | ✅ auf Infrastrukturebene | ⚠️ über SCC | ⚠️ über SCC | ⚠️ über SCC |
| Analyse ohne Cookies | ⚠️ GA4 anonymisiert (Plausible in Roadmap) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| Garantie für Datenfluss ausschließlich in der EU | ✅ schriftlich bestätigt | ❌ | ❌ | ❌ |
| Technische Referenz für DPIA | ✅ verfügbar | ❌ | ❌ | ❌ |
| Endpunkt für Löschrecht | ✅ DELETE /v1/me/account | ❌ über Ticket | ❌ über Ticket | ❌ über Ticket |
EU-Residenz, DPA, GDPR auf Infrastrukturebene – alles inklusive im Pro-Tarif für $59/Monat. Kein separater Tarif, keine Anfrage an den Vertrieb, kein individuelles Preismodell.
Das ist eine bewusste Strategie: Hetzner-Hosting kostet uns nichts Zusätzliches (unser VPS läuft ohnehin in Nürnberg), und die DPA ist eine Standardvorlage, die einmalig per E-Mail unterzeichnet wird. Du musst nicht für Privatsphäre zahlen, was eigentlich Standard sein sollte.
Kann ich den Free-Tarif für ein GDPR-sensibles Projekt nutzen?
Abschnitt betitelt „Kann ich den Free-Tarif für ein GDPR-sensibles Projekt nutzen?“Ja – der Free-Tarif nutzt dieselbe Infrastruktur (Hetzner Nürnberg), dieselbe anonymisierte Analyse und dieselbe 30-tägige Log-Aufbewahrung. Die DPA ist im Free-Tarif nicht verfügbar (das ist ein administrativer Overhead, der sich erst ab bezahlten Tarifen lohnt), aber technisch werden die Daten identisch verarbeitet.
Falls dein Anwalt eine unterzeichnete DPA verlangt, bietet auch der Indie-Tarif ($5/Monat) keine DPA. Die günstigste Option mit DPA ist Pro für $59.
Wie sieht es mit dem ECJ-Urteil Schrems II aus? Ist dein Cloudflare-CDN ein US-Unternehmen?
Abschnitt betitelt „Wie sieht es mit dem ECJ-Urteil Schrems II aus? Ist dein Cloudflare-CDN ein US-Unternehmen?“Cloudflare ist ein US-Unternehmen, aber wir nutzen EU-Regional-Cache-Regeln (Anfragen von EU-IPs werden von EU-Edges bedient), und der Origin-Server (wo die Daten tatsächlich verarbeitet werden) ist Hetzner Nürnberg. PII (Birth-Daten) durchläuft die Cloudflare-Edges in derselben Region und wird dort nicht gespeichert – nur transitiv.
Für kritisch sensible Szenarien (medizinische Anwendungen, B2G) kannst du Cloudflare umgehen, indem du die DNS-Routing auf den Origin leitest – schreib an legal@astroway.info.
Wie schnell erhalte ich die DPA nach dem Wechsel zu Pro?
Abschnitt betitelt „Wie schnell erhalte ich die DPA nach dem Wechsel zu Pro?“- Standard-DPA (unsere Vorlage) – sofort, die Datei
astroway-dpa-v1.pdfist im Dashboard nach der ersten Abbuchung verfügbar. - Individuelle Anpassungen durch deinen Anwalt – 3–5 Werktage. Wir diskutieren Standardpunkte von Art. 28 nicht aggressiv.
Muss ich die DPA unterzeichnen, wenn ich ein B2B-Entwickler ohne eigene PII bin?
Abschnitt betitelt „Muss ich die DPA unterzeichnen, wenn ich ein B2B-Entwickler ohne eigene PII bin?“Wenn dein Endprodukt PII verarbeitet (und Birth-Daten sind PII), dann ja – dein Anwalt wird wahrscheinlich eine unterzeichnete DPA mit allen Sub-Processors verlangen. Wir stellen sie standardmäßig bereit. Falls deine Integration intern ist (nur Mitarbeiter), ist die DPA möglicherweise nicht kritisch, aber es ist trotzdem ratsam, sie zu unterzeichnen.
Was macht AstroWay, wenn ich DELETE /v1/me/account ausführe?
Abschnitt betitelt „Was macht AstroWay, wenn ich DELETE /v1/me/account ausführe?“- API-Schlüssel – werden sanft gelöscht (Anti-Abuse-Cooldown)
- Konto-Schlüssel-Verknüpfung – wird aufgehoben; der Schlüssel kann nicht neu zugewiesen werden
- Benutzerprofil – wird als gelöscht markiert mit Zeitstempel
- Nutzungs-Logs – IP-Hash ist keine PII mehr und bleibt für Abrechnungsaudits erhalten
- Bestellhistorie – wird gespeichert (rechtliche Finanzaufbewahrung 7 Jahre gemäß GDPR Art. 17 §3 e)
- Transaktions-E-Mails – werden vom SMTP-Anbieter nach 90 Tagen automatisch gelöscht
Der vollständige Ablauf ist auf Anfrage über legal@astroway.info verfügbar.
Kontakte
Abschnitt betitelt „Kontakte“- Legal/DPA: legal@astroway.info
- Sicherheitsvorfälle: security@astroway.info
- Subprocessor-Liste / DPIA: hello@astroway.info