GDPR Privacy Policy

Effective Date: 1 January 2026 · Last Updated: 27 February 2026

Note: A German version (Datenschutzerklärung) of this policy is available below. A general privacy policy applicable to all regions is available at /legal/privacy.

1. Data Controller

Data controller within the meaning of the General Data Protection Regulation (GDPR):

Sunny Redhu c/o GAM
Pappelallee 64
10437 Berlin
Germany
Email: contact@sunnyredhu.com

2. Data Collected

2.1 Data You Provide

  • Account data: Name, email address, and profile picture when signing in via Google or Apple.
  • Payment information: Processed securely by Stripe. We do not store card data.
  • Contact information: Information you share with us in support enquiries.

2.2 Automatically Collected Data

  • Usage data: Pages visited, videos watched, course progress.
  • Device information: Browser type, operating system, device identifiers.
  • Location data: Country-level geolocation for regional pricing.

3. Purpose of Data Processing

  • Providing and improving our courses and services
  • Processing payments and sending purchase confirmations
  • Tracking your course progress
  • Sending important updates about your courses
  • Responding to your enquiries
  • Analysing usage patterns to improve our platform
  • Fulfilling legal obligations

4. Legal Basis

Pursuant to Art. 6 GDPR, we process your data on the following basis:

  • Performance of contract (Art. 6(1)(b)): To fulfil the purchase contract
  • Consent (Art. 6(1)(a)): For analytics cookies
  • Legitimate interest (Art. 6(1)(f)): To improve our services
  • Legal obligation (Art. 6(1)(c)): To comply with tax regulations

5. Data Sharing

We only share your data with:

  • Stripe: For secure payment processing
  • Google Cloud Platform: For hosting and storage
  • Google Analytics: Only with your consent
  • Email delivery: Resend, Inc., USA. For transactional emails (order confirmations, course access, consultation bookings). Data processed: email address, name, delivery status.
  • Cal.com: For scheduling consultation call bookings (Global customers only). Cal.com, Inc., USA. Video calls via Cal Video.
  • Cloudflare Trace API: For geolocation (country detection for regional routing). Cloudflare, Inc., USA. The user's IP address is transmitted from the browser to Cloudflare to determine the country code.
  • Google OAuth: For authentication via Google account. Google Ireland Ltd., Ireland. Data processed: name, email address, profile picture.
  • Apple Sign In: For authentication via Apple account. Apple Inc., USA. Data processed: Apple ID, name, email address (optionally via Apple's "Hide My Email" feature).
  • Rate Limiting: Upstash, Inc., USA. For abuse protection and DDoS prevention. Data processed: hashed IP addresses with automatic expiry after a short time (1–60 minutes).

We never sell your personal data to third parties.

6. Data Retention

  • Account data: While your account is active, plus 30 days after deletion request
  • Payment data: 7 years for tax purposes (§ 147 AO)
  • Course progress: During course membership
  • Support communication: 2 years
  • Rate-limit data: Automatic expiry after 1–60 minutes (Upstash Redis)
  • Email delivery logs: According to Resend's retention policy
  • Analytics data: 14 months (Google Analytics 4 standard)
  • Video access logs: 90 days
  • Document review files: 1 year (automatic deletion via GCS lifecycle policy)

7. Your Rights

Under the GDPR, you have the following rights:

  • Access (Art. 15): Request a copy of your data
  • Rectification (Art. 16): Correct inaccurate data
  • Erasure (Art. 17): Delete your data ("right to be forgotten")
  • Restriction (Art. 18): Restrict processing
  • Data portability (Art. 20): Receive your data in a portable format
  • Objection (Art. 21): Object to certain types of processing
  • Withdraw consent (Art. 7(3)): At any time for analytics tracking

To exercise these rights, visit your profile page or contact us at contact@sunnyredhu.com.

8. Cookies

We use cookies for:

  • Essential cookies: Authentication, session management, region preference
  • Payment cookies: Stripe cookies for secure payment processing and fraud prevention (only set during checkout)
  • Analytics cookies: Google Analytics (only with your consent)

You can manage your cookie preferences via our cookie banner or your browser settings.

9. Data Security

We employ industry-standard security measures:

  • HTTPS encryption for all data transmissions
  • Secure cloud infrastructure with Google Cloud Platform
  • Regular security audits and updates
  • Access controls and authentication

10. International Data Transfers

Your data is stored on Google Cloud servers in Europe (Belgium, europe-west1). For data transfers outside the EEA, we ensure appropriate safeguards (Standard Contractual Clauses).

11. Minors

Our services are not directed at children under 16 years of age. We do not knowingly collect personal data from children under 16.

12. Changes to This Policy

We may update this privacy policy from time to time. We will notify you of material changes by email or through our website.

13. Supervisory Authority

You have the right to lodge a complaint with a data protection supervisory authority. The supervisory authority responsible for us is:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
Tel: +49 30 13889-0
Email: mailbox@datenschutz-berlin.de
www.datenschutz-berlin.de

Automated Decision-Making

We do not use automated decision-making or profiling within the meaning of GDPR Art. 22. All material decisions (e.g. course access, payment processing) are made through standardised processes without automated profiling.

14. Contact

If you have questions about this privacy policy, please contact us:

Deutsche Fassung (German Version)

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO):

Sunny Redhu c/o GAM
Pappelallee 64
10437 Berlin
Deutschland
E-Mail: contact@sunnyredhu.com

2. Erhobene Daten

2.1 Von Ihnen bereitgestellte Daten

  • Kontodaten: Name, E-Mail-Adresse und Profilbild bei Anmeldung über Google oder Apple.
  • Zahlungsinformationen: Werden sicher von Stripe verarbeitet. Wir speichern keine Kartendaten.
  • Kontaktinformationen: Informationen, die Sie uns bei Support-Anfragen mitteilen.

2.2 Automatisch erhobene Daten

  • Nutzungsdaten: Besuchte Seiten, angesehene Videos, Kursfortschritt.
  • Geräteinformationen: Browsertyp, Betriebssystem, Gerätekennungen.
  • Standortdaten: Länderbezogene Geolokalisierung für regionale Preise.

3. Zweck der Datenverarbeitung

  • Bereitstellung und Verbesserung unserer Kurse und Dienste
  • Verarbeitung von Zahlungen und Versand von Kaufbestätigungen
  • Verfolgung Ihres Kursfortschritts
  • Versand wichtiger Updates zu Ihren Kursen
  • Beantwortung Ihrer Anfragen
  • Analyse von Nutzungsmustern zur Verbesserung unserer Plattform
  • Erfüllung rechtlicher Verpflichtungen

4. Rechtsgrundlage

Gemäß Art. 6 DSGVO verarbeiten wir Ihre Daten auf folgender Grundlage:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Zur Erfüllung des Kaufvertrags
  • Einwilligung (Art. 6 Abs. 1 lit. a): Für Analyse-Cookies
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Zur Verbesserung unserer Dienste
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Zur Einhaltung von Steuervorschriften

5. Datenweitergabe

Wir teilen Ihre Daten nur mit:

  • Stripe: Für sichere Zahlungsabwicklung
  • Google Cloud Platform: Für Hosting und Speicherung
  • Google Analytics: Nur mit Ihrer Einwilligung
  • E-Mail-Versand: Resend, Inc., USA. Für transaktionale E-Mails (Bestellbestätigungen, Kurszugang, Terminbestätigungen). Verarbeitete Daten: E-Mail-Adresse, Name, Zustellungsstatus.
  • Cal.com: Für Terminbuchung von Beratungsgesprächen (nur Global-Kunden). Cal.com, Inc., USA. Video-Calls über Cal Video.
  • Cloudflare Trace API: Für Geolokalisierung (Ermittlung des Nutzerlands zur regionalen Weiterleitung). Cloudflare, Inc., USA. Die IP-Adresse des Nutzers wird vom Browser an Cloudflare übermittelt, um den Ländercode zu ermitteln.
  • Google OAuth: Für Authentifizierung über Google-Konto. Google Ireland Ltd., Irland. Verarbeitete Daten: Name, E-Mail-Adresse, Profilbild.
  • Apple Sign In: Für Authentifizierung über Apple-Konto. Apple Inc., USA. Verarbeitete Daten: Apple ID, Name, E-Mail-Adresse (optional über Apples „E-Mail-Adresse verbergen“-Funktion).
  • Rate Limiting: Upstash, Inc., USA. Für Missbrauchsschutz und DDoS-Prävention. Verarbeitete Daten: gehashte IP-Adressen mit automatischem Ablauf nach kurzer Zeit (1–60 Minuten).

Wir verkaufen Ihre persönlichen Daten niemals an Dritte.

6. Speicherung der Daten

  • Kontodaten: Während Ihr Konto aktiv ist, plus 30 Tage nach Löschantrag
  • Zahlungsdaten: 7 Jahre für steuerliche Zwecke (§ 147 AO)
  • Kursfortschritt: Während der Kursmitgliedschaft
  • Support-Kommunikation: 2 Jahre
  • Rate-Limit-Daten: Automatischer Ablauf nach 1–60 Minuten (Upstash Redis)
  • E-Mail-Zustellungsprotokolle: Gemäß den Aufbewahrungsrichtlinien von Resend
  • Analysedaten: 14 Monate (Google Analytics 4 Standard)
  • Video-Zugriffsprotokolle: 90 Tage
  • Dokument-Review-Dateien: 1 Jahr (automatische Löschung über GCS-Lebenszyklusrichtlinie)

7. Ihre Rechte

Gemäß DSGVO haben Sie folgende Rechte:

  • Auskunft (Art. 15): Anfordern einer Kopie Ihrer Daten
  • Berichtigung (Art. 16): Korrektur unrichtiger Daten
  • Löschung (Art. 17): Löschung Ihrer Daten ("Recht auf Vergessenwerden")
  • Einschränkung (Art. 18): Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20): Erhalt Ihrer Daten in portablem Format
  • Widerspruch (Art. 21): Widerspruch gegen bestimmte Verarbeitungen
  • Widerruf der Einwilligung (Art. 7 Abs. 3): Jederzeit für Analyse-Tracking

Um diese Rechte auszuüben, besuchen Sie Ihre Profilseite oder kontaktieren Sie uns unter contact@sunnyredhu.com.

8. Cookies

Wir verwenden Cookies für:

  • Essentielle Cookies: Authentifizierung, Sitzungsverwaltung, Regionspräferenz
  • Zahlungs-Cookies: Stripe-Cookies für sichere Zahlungsabwicklung und Betrugsprävention (nur während des Bezahlvorgangs gesetzt)
  • Analyse-Cookies: Google Analytics (nur mit Ihrer Einwilligung)

Sie können Ihre Cookie-Einstellungen über unser Cookie-Banner oder Ihre Browser-Einstellungen verwalten.

9. Datensicherheit

Wir setzen branchenübliche Sicherheitsmaßnahmen ein:

  • HTTPS-Verschlüsselung für alle Datenübertragungen
  • Sichere Cloud-Infrastruktur mit Google Cloud Platform
  • Regelmäßige Sicherheitsprüfungen und Updates
  • Zugriffskontrollen und Authentifizierung

10. Internationale Datenübertragung

Ihre Daten werden auf Google Cloud-Servern in Europa (Belgien, europe-west1) gespeichert. Bei Datenübertragungen außerhalb des EWR stellen wir geeignete Schutzmaßnahmen sicher (Standardvertragsklauseln).

11. Minderjährige

Unsere Dienste richten sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren.

12. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Über wesentliche Änderungen informieren wir Sie per E-Mail oder über unsere Website.

13. Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
Tel: +49 30 13889-0
E-Mail: mailbox@datenschutz-berlin.de
www.datenschutz-berlin.de

Automatisierte Entscheidungsfindung

Wir verwenden keine automatisierte Entscheidungsfindung oder Profiling im Sinne der DSGVO Art. 22. Alle wesentlichen Entscheidungen (z. B. Kurszugang, Zahlungsabwicklung) werden durch standardisierte Prozesse ohne automatisierte Profilerstellung getroffen.

14. Kontakt

Bei Fragen zu dieser Datenschutzerklärung kontaktieren Sie uns bitte: