From d04cd896d8a89db27e65c6a23739fca002a69d15 Mon Sep 17 00:00:00 2001
From: Lars Weiser <lars@blackbrowedlabs.com>
Date: Tue, 28 Apr 2026 16:06:53 +0200
Subject: [PATCH 1/4] docs(baseline): Datenschutz raw-event clause amendment (G
 B.3.1)
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Lands the legal-text amendment required before the Phase B.3
Datenschutz pages ship. No code, no config — text-only edits to
BASELINE_COPY.md §9.4 (DE) and §10.4 (EN).

Origin: pre-Phase-B.3 hand-verification of Cloudflare facts (run
2026-04-28) found that Cloudflare does not publish a numerical
hour-level retention figure for Web Analytics raw events. The
Web Analytics overview only commits to edge pre-processing; the
"4 hours" figure circulating in adjacent Cloudflare writing is
for edge access logs, a different product surface. Filling
{{ cwa_retention_raw_hours }} with any specific Y therefore
makes a commitment Cloudflare has not made publicly.

Path α (decided 2026-04-28): drop the Y-hour claim, preserve
the disclosure that raw events are pre-processed at the
Cloudflare edge, plus a negative commitment that no persistent
storage of raw events takes place under our control. Per
project rule §11.4 the amendment text was drafted by an isolated
reviewer cycle (sub-agent, 2026-04-28); the orchestrator session
committed verbatim.

§9.4 / §10.4 — replaced one semicolon-bridged retention sentence
with two period-separated sentences. Aggregated-data retention
clause unchanged (still placeholder-driven, value 6 to land via
data file). Verified-date clause unchanged. Surrounding paragraph
(beacon host, cookie-free, fingerprint-free, aggregate-metrics
list, identification statement, legal basis) unchanged.

The {{ cwa_retention_raw_hours }} placeholder is no longer
referenced anywhere in BASELINE_COPY and will not appear in the
src/data/cloudflare-facts.json data file shipped with B.3.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
---
 docs/BASELINE_COPY.md | 4 ++--
 1 file changed, 2 insertions(+), 2 deletions(-)

diff --git a/docs/BASELINE_COPY.md b/docs/BASELINE_COPY.md
index b9235a5..d0e25c5 100644
--- a/docs/BASELINE_COPY.md
+++ b/docs/BASELINE_COPY.md
@@ -269,7 +269,7 @@ Weitere Informationen zum Datenschutz bei Cloudflare: https://www.cloudflare.com
 
 4. Cloudflare-Dienste: Web Analytics und Turnstile
 
-Zur Reichweitenmessung wird Cloudflare Web Analytics eingesetzt. Hierzu wird beim Aufruf der Website ein Skript (Beacon) vom Cloudflare-Host static.cloudflareinsights.com nachgeladen. Dieser Dienst arbeitet cookiefrei und ohne Fingerprinting. Es werden ausschließlich aggregierte Nutzungsstatistiken erhoben (Seitenaufrufe, Referrer, ungefähre geografische Herkunft auf Länderebene). Eine Identifizierung einzelner Besucher ist weder vorgesehen noch möglich. Aggregierte Auswertungsdaten werden für {{ cwa_retention_aggregates_months }} Monate gespeichert; einzelne Rohereignisse werden innerhalb von {{ cwa_retention_raw_hours }} Stunden aggregiert und anschließend gelöscht. Diese Angaben werden regelmäßig anhand der öffentlichen Dokumentation von Cloudflare geprüft (zuletzt geprüft am {{ cloudflare_facts_verified_date }}).
+Zur Reichweitenmessung wird Cloudflare Web Analytics eingesetzt. Hierzu wird beim Aufruf der Website ein Skript (Beacon) vom Cloudflare-Host static.cloudflareinsights.com nachgeladen. Dieser Dienst arbeitet cookiefrei und ohne Fingerprinting. Es werden ausschließlich aggregierte Nutzungsstatistiken erhoben (Seitenaufrufe, Referrer, ungefähre geografische Herkunft auf Länderebene). Eine Identifizierung einzelner Besucher ist weder vorgesehen noch möglich. Aggregierte Auswertungsdaten werden für {{ cwa_retention_aggregates_months }} Monate gespeichert. Einzelne Rohereignisse werden bereits an der Cloudflare-Edge vorverarbeitet; eine dauerhafte Speicherung roher Einzelereignisse durch uns findet nicht statt. Diese Angaben werden regelmäßig anhand der öffentlichen Dokumentation von Cloudflare geprüft (zuletzt geprüft am {{ cloudflare_facts_verified_date }}).
 
 Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datenschutzfreundlichen Reichweitenmessung).
 
@@ -376,7 +376,7 @@ Cloudflare's privacy policy: https://www.cloudflare.com/privacypolicy/
 
 4. Cloudflare Services: Web Analytics and Turnstile
 
-Cloudflare Web Analytics is used to measure site usage. To do this, a script (beacon) is loaded from the Cloudflare host static.cloudflareinsights.com when a page is opened. This service operates without cookies and without fingerprinting. Only aggregate usage statistics are collected (page views, referrer, approximate country-level geolocation). Identification of individual visitors is neither intended nor possible. Aggregated analytics data is retained for {{ cwa_retention_aggregates_months }} months; individual raw events are aggregated and then deleted within {{ cwa_retention_raw_hours }} hours. These figures are verified periodically against Cloudflare's public documentation (last verified on {{ cloudflare_facts_verified_date }}).
+Cloudflare Web Analytics is used to measure site usage. To do this, a script (beacon) is loaded from the Cloudflare host static.cloudflareinsights.com when a page is opened. This service operates without cookies and without fingerprinting. Only aggregate usage statistics are collected (page views, referrer, approximate country-level geolocation). Identification of individual visitors is neither intended nor possible. Aggregated analytics data is retained for {{ cwa_retention_aggregates_months }} months. Individual raw events are pre-processed at Cloudflare's edge; no persistent storage of raw individual events takes place under our control. These figures are verified periodically against Cloudflare's public documentation (last verified on {{ cloudflare_facts_verified_date }}).
 
 Legal basis: Art. 6 (1) (f) GDPR (legitimate interest in privacy-friendly analytics).
 

From 66dc0140f2a3ce830f9ffd95ac1c825805e4e438 Mon Sep 17 00:00:00 2001
From: Lars Weiser <lars@blackbrowedlabs.com>
Date: Tue, 28 Apr 2026 16:34:38 +0200
Subject: [PATCH 2/4] feat(b3): cloudflare-facts data file + 90-day build-guard
 (G B.3.2.a)
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Adds src/data/cloudflare-facts.json with hand-verified initial values
from the 2026-04-28 verification cycle (DPF Active per
participant/5666; CWA aggregated retention 6 months per Web Analytics
FAQ; raw-event retention placeholder removed by G B.3.1 amendment).

scripts/check-cloudflare-facts-freshness.mjs runs ahead of astro build
in the build script chain. Fails the build if verifiedDate is older
than 90 days — manual-era 'no silent failures' mechanism per backlog
item #8. Tighter than the post-verifier 120-day threshold because
manual processes need stronger forcing functions than automated ones.

Phase D Cloudflare-fact-verifier (backlog #8) will overwrite the JSON
file via automated workflow; the consumer pattern lands here so D is
purely 'automate the data source' work.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
---
 package.json                                 |  2 +-
 scripts/check-cloudflare-facts-freshness.mjs | 62 ++++++++++++++++++++
 src/data/cloudflare-facts.json               | 13 ++++
 3 files changed, 76 insertions(+), 1 deletion(-)
 create mode 100755 scripts/check-cloudflare-facts-freshness.mjs
 create mode 100644 src/data/cloudflare-facts.json

diff --git a/package.json b/package.json
index 3b7f3a1..2d74fc0 100644
--- a/package.json
+++ b/package.json
@@ -7,7 +7,7 @@
   "scripts": {
     "dev": "astro dev",
     "start": "astro dev",
-    "build": "node scripts/build-headers.mjs && astro build && node scripts/extract-tokens.mjs",
+    "build": "node scripts/check-cloudflare-facts-freshness.mjs && node scripts/build-headers.mjs && astro build && node scripts/extract-tokens.mjs",
     "preview": "astro preview",
     "astro": "astro",
     "check": "astro check"
diff --git a/scripts/check-cloudflare-facts-freshness.mjs b/scripts/check-cloudflare-facts-freshness.mjs
new file mode 100755
index 0000000..dc7121d
--- /dev/null
+++ b/scripts/check-cloudflare-facts-freshness.mjs
@@ -0,0 +1,62 @@
+#!/usr/bin/env node
+/**
+ * Build-time freshness guard for src/data/cloudflare-facts.json.
+ *
+ * Manual-era "no silent failures" mechanism per backlog item #8.
+ * Fails the build if `verifiedDate` is older than MAX_AGE_DAYS, forcing
+ * either a fresh hand-verification or the Phase D automated verifier
+ * before another deploy can ship.
+ *
+ * MAX_AGE_DAYS=90 matches the future verifier's verification cadence.
+ * Tighter than the post-verifier 120-day threshold (which factors in a
+ * grace window on top of the cadence) — manual processes need stronger
+ * forcing functions than automated ones.
+ *
+ * Exit codes:
+ *   0 — verifiedDate is at most MAX_AGE_DAYS old.
+ *   1 — verifiedDate is missing, malformed, or older than MAX_AGE_DAYS.
+ */
+
+import { readFile } from 'node:fs/promises';
+import { resolve } from 'node:path';
+
+const MAX_AGE_DAYS = 90;
+const DATA_PATH = resolve('src/data/cloudflare-facts.json');
+
+function fail(message) {
+  process.stderr.write(`[cloudflare-facts] ${message}\n`);
+  process.exit(1);
+}
+
+const raw = await readFile(DATA_PATH, 'utf8').catch((err) =>
+  fail(`cannot read ${DATA_PATH}: ${err.message}`),
+);
+
+let data;
+try {
+  data = JSON.parse(raw);
+} catch (err) {
+  fail(`invalid JSON in ${DATA_PATH}: ${err.message}`);
+}
+
+const verifiedDate = data?.verifiedDate;
+if (typeof verifiedDate !== 'string' || !/^\d{4}-\d{2}-\d{2}$/.test(verifiedDate)) {
+  fail(`verifiedDate missing or not ISO YYYY-MM-DD: ${JSON.stringify(verifiedDate)}`);
+}
+
+const verifiedMs = Date.parse(`${verifiedDate}T00:00:00Z`);
+if (Number.isNaN(verifiedMs)) {
+  fail(`verifiedDate not a parseable date: ${verifiedDate}`);
+}
+
+const ageDays = Math.floor((Date.now() - verifiedMs) / (24 * 60 * 60 * 1000));
+if (ageDays > MAX_AGE_DAYS) {
+  fail(
+    `verifiedDate ${verifiedDate} is ${ageDays} days old (max ${MAX_AGE_DAYS}). ` +
+    `Re-verify Cloudflare facts at ${data.dpf?.sourceUrl ?? '<dpf source>'} ` +
+    `and ${data.cwa?.sourceUrl ?? '<cwa source>'}, then update src/data/cloudflare-facts.json. ` +
+    `Or land Phase D Cloudflare-fact-verifier (backlog #8).`,
+  );
+}
+
+process.stdout.write(`[cloudflare-facts] verifiedDate ${verifiedDate} OK (${ageDays} days old)\n`);
diff --git a/src/data/cloudflare-facts.json b/src/data/cloudflare-facts.json
new file mode 100644
index 0000000..63dad94
--- /dev/null
+++ b/src/data/cloudflare-facts.json
@@ -0,0 +1,13 @@
+{
+  "verifiedDate": "2026-04-28",
+  "dpf": {
+    "status": "active",
+    "sourceUrl": "https://www.dataprivacyframework.gov/participant/5666",
+    "originalCertificationDate": "2016-11-09",
+    "nextCertificationDue": "2026-09-23"
+  },
+  "cwa": {
+    "retentionAggregatesMonths": 6,
+    "sourceUrl": "https://developers.cloudflare.com/web-analytics/faq/"
+  }
+}

From 108a5eabeb7a2e1bce72191391cf35543ed993a5 Mon Sep 17 00:00:00 2001
From: Lars Weiser <lars@blackbrowedlabs.com>
Date: Tue, 28 Apr 2026 16:52:47 +0200
Subject: [PATCH 3/4] feat(privacy): Datenschutz + Privacy pages (G B.3.2.b)
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

DE /datenschutz (legally authoritative) + EN /en/privacy (courtesy
translation). Copy held inline (per OQ-1) and verbatim from
docs/BASELINE_COPY.md §9 / §10 — eleven numbered sections each, with
a two-column TOC desktop / single-column mobile per design bundle
(07-datenschutz.html). Stand / Last updated hardcoded as 'April 2026'
per plan §4.B.3 / D22 (bumped only on substantive changes).

Two build-time substitutions per page from src/data/cloudflare-facts.json
via src/lib/cloudflare-facts.ts: the aggregated-data retention figure
({{ cwa_retention_aggregates_months }} → 6) and the verified-date
({{ cloudflare_facts_verified_date }} → '28. April 2026' / 'April 28, 2026'
formatted via Intl.DateTimeFormat per page locale).

SiteFooter gains the Datenschutz / Privacy entry between Impressum and
GitHub. footer.privacy i18n keys, counterpart map (/datenschutz ↔
/en/privacy), and hreflang were already provisioned in earlier phases.

Text-color verification (G0 item 2.3): bundle's datenschutz.css uses
standard tokens (--color-text, --color-heading, --color-text-muted,
--color-link). Volcanic Stone is AAA on every surface per brief §4.8.
Implementation matches.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
---
 src/components/SiteFooter.astro |   7 +-
 src/lib/cloudflare-facts.ts     |  39 +++
 src/pages/datenschutz.astro     | 521 +++++++++++++++++++++++++++++++
 src/pages/en/privacy.astro      | 526 ++++++++++++++++++++++++++++++++
 4 files changed, 1090 insertions(+), 3 deletions(-)
 create mode 100644 src/lib/cloudflare-facts.ts
 create mode 100644 src/pages/datenschutz.astro
 create mode 100644 src/pages/en/privacy.astro

diff --git a/src/components/SiteFooter.astro b/src/components/SiteFooter.astro
index 6c41a2b..1496a7e 100644
--- a/src/components/SiteFooter.astro
+++ b/src/components/SiteFooter.astro
@@ -2,9 +2,8 @@
 /**
  * Site footer — small brand mark, tiny nav, copyright.
  *
- * Nav lists locale-aware About, Contact, Impressum, and an external
- * GitHub link. Products and Datenschutz entries arrive with their
- * respective Pass 2 phases.
+ * Nav lists locale-aware About, Contact, Impressum, Datenschutz, and an
+ * external GitHub link. Products entry arrives with Phase C.
  */
 
 import BrandLogo from './BrandLogo.astro';
@@ -18,6 +17,7 @@ const t = getUiStrings(locale).footer;
 const aboutHref = locale === 'de' ? '/ueber' : '/en/about';
 const contactHref = locale === 'de' ? '/kontakt' : '/en/contact';
 const legalHref = locale === 'de' ? '/impressum' : '/en/legal';
+const privacyHref = locale === 'de' ? '/datenschutz' : '/en/privacy';
 ---
 
 <footer class="site-footer">
@@ -31,6 +31,7 @@ const legalHref = locale === 'de' ? '/impressum' : '/en/legal';
         <li><a href={aboutHref}>{t.about}</a></li>
         <li><a href={contactHref}>{t.contact}</a></li>
         <li><a href={legalHref}>{t.legal}</a></li>
+        <li><a href={privacyHref}>{t.privacy}</a></li>
         <li>
           <a
             href="https://github.com/blackbrowed-labs"
diff --git a/src/lib/cloudflare-facts.ts b/src/lib/cloudflare-facts.ts
new file mode 100644
index 0000000..625b2e5
--- /dev/null
+++ b/src/lib/cloudflare-facts.ts
@@ -0,0 +1,39 @@
+/**
+ * Read-only access to src/data/cloudflare-facts.json.
+ *
+ * Astro imports JSON statically at build time — the verifier in Phase
+ * D writes the same shape, so this typed view stays valid across the
+ * manual-data → automated-data transition.
+ */
+
+import facts from '../data/cloudflare-facts.json';
+
+export interface CloudflareFacts {
+  readonly verifiedDate: string;
+  readonly dpf: {
+    readonly status: 'active' | 'pending' | 'withdrawn' | 'inactive';
+    readonly sourceUrl: string;
+    readonly originalCertificationDate: string;
+    readonly nextCertificationDue: string;
+  };
+  readonly cwa: {
+    readonly retentionAggregatesMonths: number;
+    readonly sourceUrl: string;
+  };
+}
+
+export const cloudflareFacts: CloudflareFacts = facts as CloudflareFacts;
+
+/**
+ * Format an ISO 8601 date (YYYY-MM-DD) as a long-form locale-specific
+ * string for legal-prose rendering. German uses "28. April 2026"; English
+ * uses "April 28, 2026". Run at build time only.
+ */
+export function formatVerifiedDate(isoDate: string, locale: 'de' | 'en'): string {
+  const [year, month, day] = isoDate.split('-').map(Number);
+  return new Intl.DateTimeFormat(locale === 'de' ? 'de-DE' : 'en-US', {
+    year: 'numeric',
+    month: 'long',
+    day: 'numeric',
+  }).format(new Date(Date.UTC(year, month - 1, day)));
+}
diff --git a/src/pages/datenschutz.astro b/src/pages/datenschutz.astro
new file mode 100644
index 0000000..5f12566
--- /dev/null
+++ b/src/pages/datenschutz.astro
@@ -0,0 +1,521 @@
+---
+/**
+ * Datenschutzerklärung (DE — legally authoritative).
+ * Matches design/handoff-bundle/design/pages/07-datenschutz.html (DE artboard).
+ * Long reading page with two-column TOC (single column on mobile),
+ * 11 numbered sections, and an address block in §1 + §5 + §10.
+ * Copy held inline (per OQ-1: legal pages stay as .astro, not in the
+ * editorial collection) and verbatim from docs/BASELINE_COPY.md §9
+ * with two build-time substitutions from src/data/cloudflare-facts.json.
+ */
+
+import BaseLayout from '../layouts/BaseLayout.astro';
+import { cloudflareFacts, formatVerifiedDate } from '../lib/cloudflare-facts';
+
+const title = 'Datenschutzerklärung';
+const description =
+  'Datenschutzerklärung von Blackbrowed Labs. Hosting Cloudflare, E-Mail IONOS, cookielose Cloudflare Web Analytics, Cloudflare Turnstile am Kontaktformular.';
+const standDate = 'April 2026';
+const cwaMonths = cloudflareFacts.cwa.retentionAggregatesMonths;
+const verifiedHuman = formatVerifiedDate(cloudflareFacts.verifiedDate, 'de');
+
+const tocItems = [
+  { num: '1', label: 'Verantwortlicher' },
+  { num: '2', label: 'Allgemeine Hinweise' },
+  { num: '3', label: 'Hosting und Server-Logs' },
+  { num: '4', label: 'Cloudflare-Dienste: Web Analytics und Turnstile' },
+  { num: '5', label: 'E-Mail-Kommunikation' },
+  { num: '6', label: 'Keine Weitergabe an Dritte' },
+  { num: '7', label: 'Keine Cookies oder vergleichbaren Speichertechnologien außerhalb technischer Notwendigkeit' },
+  { num: '8', label: 'Keine Social-Media-Plugins oder externen Einbettungen' },
+  { num: '9', label: 'Ihre Rechte' },
+  { num: '10', label: 'Beschwerderecht bei der Aufsichtsbehörde' },
+  { num: '11', label: 'Änderungen dieser Datenschutzerklärung' },
+];
+---
+
+<BaseLayout title={`${title} — Blackbrowed Labs`} description={description}>
+  <nav class="breadcrumb" aria-label="Breadcrumb">
+    <div class="breadcrumb__inner">
+      <a href="/">Blackbrowed Labs</a>
+      <span class="breadcrumb__sep" aria-hidden="true">/</span>
+      <span class="breadcrumb__current" aria-current="page">{title}</span>
+    </div>
+  </nav>
+
+  <article class="datenschutz">
+    <div class="datenschutz__container">
+      <div class="datenschutz__content">
+        <h1>{title}</h1>
+        <p class="datenschutz__stand">Stand: {standDate}</p>
+
+        <nav class="datenschutz__toc" aria-label="Inhaltsverzeichnis">
+          <p class="datenschutz__toc-label">Inhalt</p>
+          <ol class="datenschutz__toc-list">
+            {tocItems.map((item) => (
+              <li>
+                <a href={`#abschnitt-${item.num}`}>
+                  <span class="datenschutz__toc-num">{item.num}.</span>
+                  <span>{item.label}</span>
+                </a>
+              </li>
+            ))}
+          </ol>
+        </nav>
+
+        <section class="datenschutz__section" id="abschnitt-1">
+          <h3>
+            <span class="datenschutz__num">1.</span>
+            <span class="datenschutz__h-text">Verantwortlicher</span>
+          </h3>
+          <p class="datenschutz__p">
+            Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer
+            nationaler Datenschutzgesetze ist:
+          </p>
+          <address class="datenschutz__address">
+            Lars Weiser<br />
+            Blackbrowed Labs<br />
+            Schröders Stieg 8a<br />
+            21465 Reinbek<br />
+            Deutschland
+            <br /><br />
+            E-Mail: <a href="mailto:lars@blackbrowedlabs.com">lars@blackbrowedlabs.com</a>
+          </address>
+        </section>
+
+        <section class="datenschutz__section" id="abschnitt-2">
+          <h3>
+            <span class="datenschutz__num">2.</span>
+            <span class="datenschutz__h-text">Allgemeine Hinweise</span>
+          </h3>
+          <p class="datenschutz__p">
+            Diese Website verarbeitet personenbezogene Daten ausschließlich in dem Umfang, der zum
+            technischen Betrieb der Seite und zur Bearbeitung von Anfragen über das Kontaktformular
+            notwendig ist; die Nutzung der Website ist im Übrigen ohne Angabe personenbezogener
+            Daten möglich. Es werden keine Benutzerkonten geführt, keine Newsletter versendet und
+            keine Tracking-Cookies gesetzt.
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="abschnitt-3">
+          <h3>
+            <span class="datenschutz__num">3.</span>
+            <span class="datenschutz__h-text">Hosting und Server-Logs</span>
+          </h3>
+          <p class="datenschutz__p">
+            Diese Website wird auf der Infrastruktur von Cloudflare, Inc. gehostet (101 Townsend
+            St, San Francisco, CA 94107, USA). Cloudflare verarbeitet beim Aufruf der Website
+            technisch notwendige Daten, insbesondere:
+          </p>
+          <ul class="datenschutz__list">
+            <li>IP-Adresse</li>
+            <li>Datum und Uhrzeit des Zugriffs</li>
+            <li>aufgerufene Seite</li>
+            <li>Browsertyp und -version</li>
+            <li>Betriebssystem</li>
+            <li>Referrer-URL</li>
+          </ul>
+          <p class="datenschutz__p">
+            Diese Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes
+            Interesse am sicheren und stabilen Betrieb der Website) und ist für die Auslieferung
+            der Website technisch erforderlich. Cloudflare speichert diese Daten in Form von
+            Server-Logs. Die Speicherdauer wird auf ein technisch notwendiges Minimum begrenzt.
+          </p>
+          <p class="datenschutz__p">
+            Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert, sodass für
+            Datenübermittlungen in die USA ein angemessenes Datenschutzniveau nach Art. 45 DSGVO
+            sichergestellt ist. Diese Zertifizierung wird regelmäßig anhand der offiziellen
+            Teilnehmerliste des EU-US Data Privacy Frameworks geprüft (zuletzt geprüft am {verifiedHuman}).
+            Zusätzlich besteht zwischen dem Verantwortlichen und Cloudflare ein
+            Auftragsverarbeitungsvertrag (Data Processing Addendum) nach Art. 28 DSGVO.
+          </p>
+          <p class="datenschutz__p">
+            Weitere Informationen zum Datenschutz bei Cloudflare:{' '}
+            <a href="https://www.cloudflare.com/privacypolicy/">https://www.cloudflare.com/privacypolicy/</a>
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="abschnitt-4">
+          <h3>
+            <span class="datenschutz__num">4.</span>
+            <span class="datenschutz__h-text">Cloudflare-Dienste: Web Analytics und Turnstile</span>
+          </h3>
+          <p class="datenschutz__p">
+            Zur Reichweitenmessung wird Cloudflare Web Analytics eingesetzt. Hierzu wird beim
+            Aufruf der Website ein Skript (Beacon) vom Cloudflare-Host
+            static.cloudflareinsights.com nachgeladen. Dieser Dienst arbeitet cookiefrei und ohne
+            Fingerprinting. Es werden ausschließlich aggregierte Nutzungsstatistiken erhoben
+            (Seitenaufrufe, Referrer, ungefähre geografische Herkunft auf Länderebene). Eine
+            Identifizierung einzelner Besucher ist weder vorgesehen noch möglich. Aggregierte
+            Auswertungsdaten werden für {cwaMonths} Monate gespeichert. Einzelne Rohereignisse
+            werden bereits an der Cloudflare-Edge vorverarbeitet; eine dauerhafte Speicherung
+            roher Einzelereignisse durch uns findet nicht statt. Diese Angaben werden regelmäßig
+            anhand der öffentlichen Dokumentation von Cloudflare geprüft (zuletzt geprüft am {verifiedHuman}).
+          </p>
+          <p class="datenschutz__p">
+            Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer
+            datenschutzfreundlichen Reichweitenmessung).
+          </p>
+          <p class="datenschutz__p">
+            Zur Erkennung und Abwehr automatisierter Anfragen am Kontaktformular wird Cloudflare
+            Turnstile eingesetzt — ein Dienst des in Abschnitt 3 genannten Auftragsverarbeiters
+            Cloudflare. Turnstile verarbeitet hierzu nach Angaben des Anbieters die IP-Adresse,
+            einen TLS-Fingerabdruck, den User-Agent-Header sowie Sitekey und zugehörige
+            Origin-Angabe; die Funktion „Pre-Clearance" ist deaktiviert, sodass Turnstile keine
+            Cookies und keine Einträge im Web Storage anlegt.
+          </p>
+          <p class="datenschutz__p">
+            Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz des
+            Kontaktformulars vor automatisiertem Missbrauch).
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="abschnitt-5">
+          <h3>
+            <span class="datenschutz__num">5.</span>
+            <span class="datenschutz__h-text">E-Mail-Kommunikation</span>
+          </h3>
+          <p class="datenschutz__p">
+            Wenn Sie mich per E-Mail kontaktieren (z. B. über die auf der Kontaktseite angegebene
+            Adresse), wird Ihre Nachricht zur Bearbeitung gespeichert. Das zugehörige
+            E-Mail-Postfach wird bei der IONOS SE (Elgendorfer Straße 57, 56410 Montabaur,
+            Deutschland) betrieben. Zwischen dem Verantwortlichen und IONOS besteht ein
+            Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
+          </p>
+          <p class="datenschutz__p">
+            Nachrichten an Adressen unter der Domain blackbrowedlabs.de werden über Cloudflare
+            Email Routing entgegengenommen und an das oben genannte IONOS-Postfach weitergeleitet.
+            Es wird keine E-Mail-Adresse unter blackbrowedlabs.de aktiv veröffentlicht; die
+            Catch-all-Weiterleitung dient als Auffangfunktion für versehentlich an diese Domain
+            gerichtete Nachrichten. Über denselben Routing-Pfad werden Benachrichtigungen aus dem
+            Kontaktformular von noreply@blackbrowedlabs.de an das IONOS-Postfach
+            lars@blackbrowedlabs.com versandt. Die in Abschnitt 3 beschriebenen Maßnahmen für
+            Datenübermittlungen in die USA (EU-US Data Privacy Framework nach Art. 45 DSGVO sowie
+            Auftragsverarbeitungsvertrag nach Art. 28 DSGVO) gelten entsprechend für die ein- und
+            ausgehende E-Mail-Verarbeitung über Cloudflare Email Routing.
+          </p>
+          <p class="datenschutz__p">
+            Beim Absenden des Kontaktformulars werden die eingegebenen Angaben (Name,
+            E-Mail-Adresse, Nachricht) zunächst von einem Cloudflare Worker entgegengenommen und
+            anschließend über den in Absatz 2 beschriebenen Routing-Pfad an das IONOS-Postfach
+            lars@blackbrowedlabs.com zugestellt; eine darüber hinausgehende Speicherung dieser
+            Inhalte erfolgt nicht. Die in Abschnitt 3 beschriebenen Schutzmaßnahmen für Cloudflare
+            (Art. 45 DSGVO, Art. 28 DSGVO) gelten entsprechend; zusätzlich wird der in Abschnitt 4
+            beschriebene Bot-Schutz Cloudflare Turnstile eingesetzt. Die unmittelbar am Formular
+            ausgewiesenen Pflichtangaben gemäß Art. 13 DSGVO finden sich auf der Kontaktseite
+            (/kontakt).
+          </p>
+          <p class="datenschutz__p">
+            Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche
+            Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung
+            Ihrer Anfrage). E-Mails ohne geschäftlichen oder steuerlichen Bezug werden nach
+            abgeschlossener Bearbeitung gelöscht. Soweit E-Mails als Handels- und Geschäftsbriefe
+            einzuordnen sind, werden sie nach § 147 Abs. 1 Nr. 2 und 3 AO sechs Jahre aufbewahrt;
+            soweit sie Buchungsbelege darstellen, beträgt die Aufbewahrungsfrist nach § 147 Abs. 1
+            Nr. 4 AO zehn Jahre.
+          </p>
+          <p class="datenschutz__p">
+            Weitere Informationen zum Datenschutz bei IONOS:{' '}
+            <a href="https://www.ionos.de/terms-gtc/terms-privacy">https://www.ionos.de/terms-gtc/terms-privacy</a>
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="abschnitt-6">
+          <h3>
+            <span class="datenschutz__num">6.</span>
+            <span class="datenschutz__h-text">Keine Weitergabe an Dritte</span>
+          </h3>
+          <p class="datenschutz__p">
+            Eine Weitergabe Ihrer personenbezogenen Daten an Dritte findet — über die oben
+            genannten Auftragsverarbeiter (Cloudflare, IONOS) hinaus — nicht statt.
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="abschnitt-7">
+          <h3>
+            <span class="datenschutz__num">7.</span>
+            <span class="datenschutz__h-text">Keine Cookies oder vergleichbaren Speichertechnologien außerhalb technischer Notwendigkeit</span>
+          </h3>
+          <p class="datenschutz__p">
+            Diese Website setzt keine Cookies oder vergleichbaren Speichertechnologien (z. B. Web
+            Storage) zu Analyse-, Marketing- oder Tracking-Zwecken. Sollten technisch notwendige
+            Cookies (z. B. durch den Schutzmechanismus von Cloudflare) zum Einsatz kommen, erfolgt
+            dies auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG. Auf derselben Grundlage wird zur
+            Speicherung Ihrer Designeinstellung (Hell, Dunkel, System) ein Eintrag im Web Storage
+            Ihres Browsers (Schlüssel: bbl-theme) angelegt. Dieser Eintrag wird ausschließlich
+            gesetzt, wenn Sie die Designauswahl aktiv ändern; er enthält keine personenbezogenen
+            Daten und wird nicht zur Wiedererkennung über Websites hinweg verwendet.
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="abschnitt-8">
+          <h3>
+            <span class="datenschutz__num">8.</span>
+            <span class="datenschutz__h-text">Keine Social-Media-Plugins oder externen Einbettungen</span>
+          </h3>
+          <p class="datenschutz__p">
+            Mit Ausnahme des in Abschnitt 4 beschriebenen Cloudflare-Web-Analytics-Beacons
+            (geladen von static.cloudflareinsights.com) sowie des dort beschriebenen
+            Cloudflare-Turnstile-Widgets (geladen von challenges.cloudflare.com) bindet diese
+            Website keine Inhalte von Drittanbietern ein (keine YouTube-Videos, keine
+            Twitter-/X-Einbettungen, keine Google Fonts, keine weiteren externen Skripte). Alle
+            übrigen Ressourcen werden vom eigenen Server ausgeliefert.
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="abschnitt-9">
+          <h3>
+            <span class="datenschutz__num">9.</span>
+            <span class="datenschutz__h-text">Ihre Rechte</span>
+          </h3>
+          <p class="datenschutz__p">
+            Sie haben nach der DSGVO folgende Rechte:
+          </p>
+          <ul class="datenschutz__list">
+            <li>Recht auf Auskunft (Art. 15 DSGVO)</li>
+            <li>Recht auf Berichtigung (Art. 16 DSGVO)</li>
+            <li>Recht auf Löschung (Art. 17 DSGVO)</li>
+            <li>Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)</li>
+            <li>Recht auf Datenübertragbarkeit (Art. 20 DSGVO)</li>
+            <li>Widerspruchsrecht (Art. 21 DSGVO)</li>
+          </ul>
+          <p class="datenschutz__p">
+            Zur Ausübung dieser Rechte genügt eine formlose E-Mail an{' '}
+            <a href="mailto:lars@blackbrowedlabs.com">lars@blackbrowedlabs.com</a>.
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="abschnitt-10">
+          <h3>
+            <span class="datenschutz__num">10.</span>
+            <span class="datenschutz__h-text">Beschwerderecht bei der Aufsichtsbehörde</span>
+          </h3>
+          <p class="datenschutz__p">
+            Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für
+            den Verantwortlichen zuständig ist:
+          </p>
+          <address class="datenschutz__address">
+            Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)<br />
+            Holstenstraße 98<br />
+            24103 Kiel<br />
+            Telefon: +49 431 988-1200<br />
+            E-Mail: <a href="mailto:mail@datenschutzzentrum.de">mail@datenschutzzentrum.de</a><br />
+            Web: <a href="https://www.datenschutzzentrum.de">https://www.datenschutzzentrum.de</a>
+          </address>
+        </section>
+
+        <section class="datenschutz__section" id="abschnitt-11">
+          <h3>
+            <span class="datenschutz__num">11.</span>
+            <span class="datenschutz__h-text">Änderungen dieser Datenschutzerklärung</span>
+          </h3>
+          <p class="datenschutz__p">
+            Diese Datenschutzerklärung wird angepasst, wenn sich die tatsächliche
+            Datenverarbeitung auf der Website ändert (z. B. durch Einführung eines
+            Kontaktformulars oder zusätzlicher Dienste). Die jeweils aktuelle Version ist unter
+            blackbrowedlabs.com/datenschutz abrufbar.
+          </p>
+        </section>
+      </div>
+    </div>
+  </article>
+</BaseLayout>
+
+<style>
+  .breadcrumb {
+    border-bottom: 1px solid var(--color-border);
+    background: var(--color-bg);
+  }
+  .breadcrumb__inner {
+    max-width: var(--max-width-site);
+    margin: 0 auto;
+    padding: 1.5rem 3rem;
+    display: flex;
+    align-items: center;
+    gap: 0.75rem;
+    font-size: var(--text-caption);
+    letter-spacing: 0.06em;
+    color: var(--color-text-muted);
+  }
+  .breadcrumb a {
+    color: var(--color-text-muted);
+    font-weight: var(--font-weight-medium);
+    border-bottom: 1px solid transparent;
+  }
+  .breadcrumb a:hover {
+    color: var(--color-link-hover);
+    border-bottom-color: currentColor;
+  }
+  .breadcrumb__sep {
+    color: var(--color-border);
+  }
+  .breadcrumb__current {
+    color: var(--color-text);
+    font-weight: var(--font-weight-medium);
+  }
+
+  .datenschutz {
+    background: var(--color-bg);
+  }
+  .datenschutz__container {
+    max-width: var(--max-width-site);
+    margin: 0 auto;
+    padding: 8rem 3rem 6rem;
+  }
+  .datenschutz__content {
+    max-width: 68ch;
+  }
+
+  .datenschutz__stand {
+    font-size: var(--text-small);
+    line-height: var(--leading-small);
+    color: var(--color-text-muted);
+    margin: 0 0 2rem;
+    letter-spacing: 0.04em;
+    font-variant-numeric: tabular-nums;
+  }
+
+  .datenschutz__toc {
+    margin: 0 0 3rem;
+    padding: 1.5rem 0;
+    border-top: 1px solid var(--color-border);
+    border-bottom: 1px solid var(--color-border);
+  }
+  .datenschutz__toc-label {
+    font-size: var(--text-caption);
+    line-height: 1;
+    letter-spacing: 0.14em;
+    text-transform: uppercase;
+    color: var(--color-text-muted);
+    margin: 0 0 1rem;
+    font-weight: var(--font-weight-medium);
+  }
+  .datenschutz__toc-list {
+    list-style: none;
+    margin: 0;
+    padding: 0;
+    display: grid;
+    grid-template-columns: 1fr 1fr;
+    column-gap: 3rem;
+    row-gap: 0.5rem;
+  }
+  .datenschutz__toc-list li {
+    font-size: var(--text-small);
+    line-height: 1.5;
+  }
+  .datenschutz__toc-list a {
+    color: var(--color-text);
+    display: grid;
+    grid-template-columns: 2.25em 1fr;
+    gap: 0.5rem;
+    align-items: baseline;
+    padding: 2px 0;
+    border-bottom: 1px solid transparent;
+  }
+  .datenschutz__toc-list a:hover {
+    color: var(--color-link);
+  }
+  .datenschutz__toc-list a:hover .datenschutz__toc-num {
+    color: var(--color-link);
+  }
+  .datenschutz__toc-num {
+    color: var(--color-text-muted);
+    font-variant-numeric: tabular-nums;
+    letter-spacing: 0;
+  }
+
+  .datenschutz__section {
+    margin-top: 2.5rem;
+    scroll-margin-top: 5rem;
+  }
+  .datenschutz__section:first-of-type {
+    margin-top: 0;
+  }
+
+  .datenschutz__content h3 {
+    display: grid;
+    grid-template-columns: 2.5em 1fr;
+    align-items: baseline;
+    gap: 0.5rem;
+    margin: 0 0 1rem;
+  }
+  .datenschutz__num {
+    font-weight: var(--font-weight-light);
+    color: var(--color-text-muted);
+    font-variant-numeric: tabular-nums;
+    letter-spacing: 0;
+  }
+  .datenschutz__h-text {
+    text-wrap: balance;
+  }
+
+  .datenschutz__p {
+    max-width: 64ch;
+    margin: 0 0 0.75rem;
+  }
+  .datenschutz__p:last-child {
+    margin-bottom: 0;
+  }
+
+  .datenschutz__address {
+    font-size: inherit;
+    line-height: 1.55;
+    color: var(--color-text);
+    margin: 0 0 1rem;
+    font-style: normal;
+    padding: 0.75rem 0 0.75rem 1rem;
+    border-left: 2px solid var(--color-border);
+    max-width: 56ch;
+  }
+
+  .datenschutz__list {
+    max-width: 60ch;
+    padding-left: 1.25rem;
+    margin: 0 0 1rem;
+  }
+  .datenschutz__list li {
+    margin: 0 0 0.25rem;
+    padding-left: 0.25rem;
+  }
+  .datenschutz__list li::marker {
+    color: var(--color-text-muted);
+  }
+
+  @media (max-width: 767px) {
+    .breadcrumb__inner {
+      padding: 0.875rem 1.25rem;
+    }
+    .datenschutz__container {
+      padding: 2.5rem 1.5rem 4rem;
+    }
+    .datenschutz__content h1 {
+      font-size: 2.25rem;
+      line-height: 1.1;
+      letter-spacing: -0.015em;
+      margin-bottom: 1rem;
+    }
+    .datenschutz__toc {
+      margin-bottom: 2rem;
+      padding: 1.25rem 0;
+    }
+    .datenschutz__toc-list {
+      grid-template-columns: 1fr;
+      row-gap: 0.5rem;
+    }
+    .datenschutz__section {
+      margin-top: 2rem;
+    }
+    .datenschutz__content h3 {
+      font-size: 1.125rem;
+      grid-template-columns: 2em 1fr;
+    }
+    .datenschutz__address {
+      padding: 0.625rem 0 0.625rem 0.875rem;
+    }
+    .datenschutz__p,
+    .datenschutz__address,
+    .datenschutz__list {
+      max-width: none;
+    }
+  }
+</style>
diff --git a/src/pages/en/privacy.astro b/src/pages/en/privacy.astro
new file mode 100644
index 0000000..c2e17c6
--- /dev/null
+++ b/src/pages/en/privacy.astro
@@ -0,0 +1,526 @@
+---
+/**
+ * Privacy Policy (EN — courtesy translation).
+ * Matches design/handoff-bundle/design/pages/07-datenschutz.html (EN artboard).
+ * Long reading page with two-column TOC (single column on mobile),
+ * 11 numbered sections, and an address block in §1 + §5 + §10.
+ * Copy held inline (per OQ-1: legal pages stay as .astro, not in the
+ * editorial collection) and verbatim from docs/BASELINE_COPY.md §10
+ * with two build-time substitutions from src/data/cloudflare-facts.json.
+ * Section anchor IDs use #section-N (EN) vs #abschnitt-N (DE); the lang
+ * switcher links page-to-page, not to cross-language anchors.
+ * The German Datenschutzerklärung at /datenschutz is legally authoritative.
+ */
+
+import BaseLayout from '../../layouts/BaseLayout.astro';
+import { cloudflareFacts, formatVerifiedDate } from '../../lib/cloudflare-facts';
+
+const title = 'Privacy Policy';
+const description =
+  'Privacy policy for Blackbrowed Labs. Hosting Cloudflare, email IONOS, cookieless Cloudflare Web Analytics, Cloudflare Turnstile on the contact form.';
+const lastUpdated = 'April 2026';
+const cwaMonths = cloudflareFacts.cwa.retentionAggregatesMonths;
+const verifiedHuman = formatVerifiedDate(cloudflareFacts.verifiedDate, 'en');
+
+const tocItems = [
+  { num: '1',  label: 'Controller' },
+  { num: '2',  label: 'General' },
+  { num: '3',  label: 'Hosting and Server Logs' },
+  { num: '4',  label: 'Cloudflare Services: Web Analytics and Turnstile' },
+  { num: '5',  label: 'Email Communication' },
+  { num: '6',  label: 'No Disclosure to Third Parties' },
+  { num: '7',  label: 'No Non-Essential Cookies or Comparable Storage Technologies' },
+  { num: '8',  label: 'No Social Media Plugins or External Embeds' },
+  { num: '9',  label: 'Your Rights' },
+  { num: '10', label: 'Right to Lodge a Complaint' },
+  { num: '11', label: 'Changes to this Privacy Policy' },
+];
+---
+
+<BaseLayout title={`${title} — Blackbrowed Labs`} description={description}>
+  <nav class="breadcrumb" aria-label="Breadcrumb">
+    <div class="breadcrumb__inner">
+      <a href="/en">Blackbrowed Labs</a>
+      <span class="breadcrumb__sep" aria-hidden="true">/</span>
+      <span class="breadcrumb__current" aria-current="page">{title}</span>
+    </div>
+  </nav>
+
+  <article class="datenschutz">
+    <div class="datenschutz__container">
+      <div class="datenschutz__content">
+        <h1>{title}</h1>
+        <p class="datenschutz__courtesy">This is a courtesy translation. The German version is legally authoritative.</p>
+        <p class="datenschutz__stand">Last updated: {lastUpdated}</p>
+
+        <nav class="datenschutz__toc" aria-label="Table of contents">
+          <p class="datenschutz__toc-label">Contents</p>
+          <ol class="datenschutz__toc-list">
+            {tocItems.map((item) => (
+              <li>
+                <a href={`#section-${item.num}`}>
+                  <span class="datenschutz__toc-num">{item.num}.</span>
+                  <span>{item.label}</span>
+                </a>
+              </li>
+            ))}
+          </ol>
+        </nav>
+
+        <section class="datenschutz__section" id="section-1">
+          <h3>
+            <span class="datenschutz__num">1.</span>
+            <span class="datenschutz__h-text">Controller</span>
+          </h3>
+          <p class="datenschutz__p">
+            The controller under the General Data Protection Regulation (GDPR) and other national
+            data protection laws is:
+          </p>
+          <address class="datenschutz__address">
+            Lars Weiser<br />
+            Blackbrowed Labs<br />
+            Schröders Stieg 8a<br />
+            21465 Reinbek<br />
+            Germany
+            <br /><br />
+            Email: <a href="mailto:lars@blackbrowedlabs.com">lars@blackbrowedlabs.com</a>
+          </address>
+        </section>
+
+        <section class="datenschutz__section" id="section-2">
+          <h3>
+            <span class="datenschutz__num">2.</span>
+            <span class="datenschutz__h-text">General</span>
+          </h3>
+          <p class="datenschutz__p">
+            This website processes personal data only to the extent necessary to operate the site
+            and to respond to inquiries submitted through the contact form; otherwise, the site can
+            be used without providing personal data. There are no user accounts, no newsletters,
+            and no tracking cookies.
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="section-3">
+          <h3>
+            <span class="datenschutz__num">3.</span>
+            <span class="datenschutz__h-text">Hosting and Server Logs</span>
+          </h3>
+          <p class="datenschutz__p">
+            This website is hosted on Cloudflare, Inc.'s infrastructure (101 Townsend St, San
+            Francisco, CA 94107, USA). When you access the site, Cloudflare processes technically
+            necessary data, including:
+          </p>
+          <ul class="datenschutz__list">
+            <li>IP address</li>
+            <li>Date and time of access</li>
+            <li>Page requested</li>
+            <li>Browser type and version</li>
+            <li>Operating system</li>
+            <li>Referrer URL</li>
+          </ul>
+          <p class="datenschutz__p">
+            This processing is based on Art. 6 (1) (f) GDPR (legitimate interest in secure and
+            stable operation of the site) and is technically required for delivering the website.
+            Cloudflare stores this data in server logs. Retention is limited to what is technically
+            necessary.
+          </p>
+          <p class="datenschutz__p">
+            Cloudflare is certified under the EU-US Data Privacy Framework, ensuring an adequate
+            level of data protection for transfers to the United States per Art. 45 GDPR. This
+            certification is verified periodically against the official EU-US Data Privacy
+            Framework participant list (last verified on {verifiedHuman}). A Data Processing
+            Addendum under Art. 28 GDPR is in place between the controller and Cloudflare.
+          </p>
+          <p class="datenschutz__p">
+            Cloudflare's privacy policy:{' '}
+            <a href="https://www.cloudflare.com/privacypolicy/">https://www.cloudflare.com/privacypolicy/</a>
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="section-4">
+          <h3>
+            <span class="datenschutz__num">4.</span>
+            <span class="datenschutz__h-text">Cloudflare Services: Web Analytics and Turnstile</span>
+          </h3>
+          <p class="datenschutz__p">
+            Cloudflare Web Analytics is used to measure site usage. To do this, a script (beacon)
+            is loaded from the Cloudflare host static.cloudflareinsights.com when a page is
+            opened. This service operates without cookies and without fingerprinting. Only
+            aggregate usage statistics are collected (page views, referrer, approximate
+            country-level geolocation). Identification of individual visitors is neither intended
+            nor possible. Aggregated analytics data is retained for {cwaMonths} months. Individual
+            raw events are pre-processed at Cloudflare's edge; no persistent storage of raw
+            individual events takes place under our control. These figures are verified periodically
+            against Cloudflare's public documentation (last verified on {verifiedHuman}).
+          </p>
+          <p class="datenschutz__p">
+            Legal basis: Art. 6 (1) (f) GDPR (legitimate interest in privacy-friendly analytics).
+          </p>
+          <p class="datenschutz__p">
+            Cloudflare Turnstile is used to detect and block automated requests to the contact
+            form — a service from the processor Cloudflare already named in Section 3. According
+            to the provider, Turnstile processes the IP address, a TLS fingerprint, the
+            User-Agent header, and the site key with its associated origin; the "Pre-Clearance"
+            feature is disabled, so Turnstile sets no cookies and writes no entries to Web Storage.
+          </p>
+          <p class="datenschutz__p">
+            Legal basis: Art. 6 (1) (f) GDPR (legitimate interest in protecting the contact form
+            against automated abuse).
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="section-5">
+          <h3>
+            <span class="datenschutz__num">5.</span>
+            <span class="datenschutz__h-text">Email Communication</span>
+          </h3>
+          <p class="datenschutz__p">
+            If you contact me by email (e.g. using the address on the contact page), your message
+            is stored for processing. The mailbox is operated by IONOS SE (Elgendorfer Straße 57,
+            56410 Montabaur, Germany). A Data Processing Addendum under Art. 28 GDPR is in place
+            between the controller and IONOS.
+          </p>
+          <p class="datenschutz__p">
+            Messages to addresses on the domain blackbrowedlabs.de are received via Cloudflare
+            Email Routing and forwarded to the IONOS mailbox named above. No email address on
+            blackbrowedlabs.de is publicly advertised; the catch-all forwarding serves as a
+            fallback for messages mistakenly sent to this domain. Notifications from the contact
+            form are sent via the same routing path from noreply@blackbrowedlabs.de to the IONOS
+            mailbox lars@blackbrowedlabs.com. The measures described in Section 3 for data
+            transfers to the United States (EU-US Data Privacy Framework per Art. 45 GDPR; Data
+            Processing Addendum per Art. 28 GDPR) apply accordingly to inbound and outbound email
+            processing via Cloudflare Email Routing.
+          </p>
+          <p class="datenschutz__p">
+            When the contact form is submitted, the inputs (name, email address, message) are
+            first received by a Cloudflare Worker and then delivered via the routing path described
+            in paragraph 2 to the IONOS mailbox lars@blackbrowedlabs.com; no further storage of
+            these contents takes place. The protective measures described in Section 3 for
+            Cloudflare (Art. 45 GDPR, Art. 28 GDPR) apply accordingly; bot protection by
+            Cloudflare Turnstile, as described in Section 4, is additionally applied. The Art. 13
+            GDPR information required at the point of collection is shown directly on the contact
+            page (/en/contact).
+          </p>
+          <p class="datenschutz__p">
+            Legal basis: Art. 6 (1) (b) GDPR (pre-contractual measures) or Art. 6 (1) (f) GDPR
+            (legitimate interest in responding to your inquiry). Emails without a business or
+            tax-relevant context are deleted once processing is complete. Where emails qualify as
+            commercial and business correspondence (Handels- und Geschäftsbriefe), they are
+            retained for six years pursuant to § 147 Abs. 1 Nr. 2 und 3 AO; where they constitute
+            accounting records (Buchungsbelege), the retention period is ten years pursuant to
+            § 147 Abs. 1 Nr. 4 AO.
+          </p>
+          <p class="datenschutz__p">
+            IONOS privacy information:{' '}
+            <a href="https://www.ionos.com/terms-gtc/terms-privacy">https://www.ionos.com/terms-gtc/terms-privacy</a>
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="section-6">
+          <h3>
+            <span class="datenschutz__num">6.</span>
+            <span class="datenschutz__h-text">No Disclosure to Third Parties</span>
+          </h3>
+          <p class="datenschutz__p">
+            Your personal data is not disclosed to third parties beyond the processors listed above
+            (Cloudflare, IONOS).
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="section-7">
+          <h3>
+            <span class="datenschutz__num">7.</span>
+            <span class="datenschutz__h-text">No Non-Essential Cookies or Comparable Storage Technologies</span>
+          </h3>
+          <p class="datenschutz__p">
+            This website does not set cookies or comparable storage technologies (e.g. Web
+            Storage) for analytics, marketing, or tracking. Technically necessary cookies (e.g.
+            from Cloudflare's security layer) are set on the basis of § 25 (2) no. 2 TDDDG. On
+            the same basis, an entry is written to your browser's Web Storage (key: bbl-theme) to
+            remember your theme preference (Light, Dark, System). This entry is only set when you
+            actively change the theme selection; it contains no personal data and is not used for
+            cross-site recognition.
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="section-8">
+          <h3>
+            <span class="datenschutz__num">8.</span>
+            <span class="datenschutz__h-text">No Social Media Plugins or External Embeds</span>
+          </h3>
+          <p class="datenschutz__p">
+            Apart from the Cloudflare Web Analytics beacon described in Section 4 (loaded from
+            static.cloudflareinsights.com) and the Cloudflare Turnstile widget described there
+            (loaded from challenges.cloudflare.com), this website embeds no third-party content
+            (no YouTube videos, no Twitter/X embeds, no Google Fonts, no other external scripts).
+            All other resources are served from the site's own origin.
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="section-9">
+          <h3>
+            <span class="datenschutz__num">9.</span>
+            <span class="datenschutz__h-text">Your Rights</span>
+          </h3>
+          <p class="datenschutz__p">
+            Under GDPR, you have the following rights:
+          </p>
+          <ul class="datenschutz__list">
+            <li>Right of access (Art. 15 GDPR)</li>
+            <li>Right to rectification (Art. 16 GDPR)</li>
+            <li>Right to erasure (Art. 17 GDPR)</li>
+            <li>Right to restriction of processing (Art. 18 GDPR)</li>
+            <li>Right to data portability (Art. 20 GDPR)</li>
+            <li>Right to object (Art. 21 GDPR)</li>
+          </ul>
+          <p class="datenschutz__p">
+            To exercise these rights, an informal email to{' '}
+            <a href="mailto:lars@blackbrowedlabs.com">lars@blackbrowedlabs.com</a> is sufficient.
+          </p>
+        </section>
+
+        <section class="datenschutz__section" id="section-10">
+          <h3>
+            <span class="datenschutz__num">10.</span>
+            <span class="datenschutz__h-text">Right to Lodge a Complaint</span>
+          </h3>
+          <p class="datenschutz__p">
+            You have the right to lodge a complaint with a data protection supervisory authority.
+            The authority responsible for the controller is:
+          </p>
+          <address class="datenschutz__address">
+            Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)<br />
+            Holstenstraße 98<br />
+            24103 Kiel<br />
+            Germany<br />
+            Phone: +49 431 988-1200<br />
+            Email: <a href="mailto:mail@datenschutzzentrum.de">mail@datenschutzzentrum.de</a><br />
+            Web: <a href="https://www.datenschutzzentrum.de">https://www.datenschutzzentrum.de</a>
+          </address>
+        </section>
+
+        <section class="datenschutz__section" id="section-11">
+          <h3>
+            <span class="datenschutz__num">11.</span>
+            <span class="datenschutz__h-text">Changes to this Privacy Policy</span>
+          </h3>
+          <p class="datenschutz__p">
+            This privacy policy will be updated if the actual data processing on the site changes
+            (e.g. if a contact form or additional services are introduced). The current version is
+            available at blackbrowedlabs.com/en/privacy.
+          </p>
+        </section>
+      </div>
+    </div>
+  </article>
+</BaseLayout>
+
+<style>
+  .breadcrumb {
+    border-bottom: 1px solid var(--color-border);
+    background: var(--color-bg);
+  }
+  .breadcrumb__inner {
+    max-width: var(--max-width-site);
+    margin: 0 auto;
+    padding: 1.5rem 3rem;
+    display: flex;
+    align-items: center;
+    gap: 0.75rem;
+    font-size: var(--text-caption);
+    letter-spacing: 0.06em;
+    color: var(--color-text-muted);
+  }
+  .breadcrumb a {
+    color: var(--color-text-muted);
+    font-weight: var(--font-weight-medium);
+    border-bottom: 1px solid transparent;
+  }
+  .breadcrumb a:hover {
+    color: var(--color-link-hover);
+    border-bottom-color: currentColor;
+  }
+  .breadcrumb__sep {
+    color: var(--color-border);
+  }
+  .breadcrumb__current {
+    color: var(--color-text);
+    font-weight: var(--font-weight-medium);
+  }
+
+  .datenschutz {
+    background: var(--color-bg);
+  }
+  .datenschutz__container {
+    max-width: var(--max-width-site);
+    margin: 0 auto;
+    padding: 8rem 3rem 6rem;
+  }
+  .datenschutz__content {
+    max-width: 68ch;
+  }
+
+  .datenschutz__courtesy {
+    font-size: var(--text-small);
+    line-height: var(--leading-small);
+    color: var(--color-text-muted);
+    margin: 0 0 1.75rem;
+    padding: 0.75rem 0 0;
+    border-top: 1px solid var(--color-border);
+    max-width: 52ch;
+    font-style: italic;
+  }
+
+  .datenschutz__stand {
+    font-size: var(--text-small);
+    line-height: var(--leading-small);
+    color: var(--color-text-muted);
+    margin: 0 0 2rem;
+    letter-spacing: 0.04em;
+    font-variant-numeric: tabular-nums;
+  }
+
+  .datenschutz__toc {
+    margin: 0 0 3rem;
+    padding: 1.5rem 0;
+    border-top: 1px solid var(--color-border);
+    border-bottom: 1px solid var(--color-border);
+  }
+  .datenschutz__toc-label {
+    font-size: var(--text-caption);
+    line-height: 1;
+    letter-spacing: 0.14em;
+    text-transform: uppercase;
+    color: var(--color-text-muted);
+    margin: 0 0 1rem;
+    font-weight: var(--font-weight-medium);
+  }
+  .datenschutz__toc-list {
+    list-style: none;
+    margin: 0;
+    padding: 0;
+    display: grid;
+    grid-template-columns: 1fr 1fr;
+    column-gap: 3rem;
+    row-gap: 0.5rem;
+  }
+  .datenschutz__toc-list li {
+    font-size: var(--text-small);
+    line-height: 1.5;
+  }
+  .datenschutz__toc-list a {
+    color: var(--color-text);
+    display: grid;
+    grid-template-columns: 2.25em 1fr;
+    gap: 0.5rem;
+    align-items: baseline;
+    padding: 2px 0;
+    border-bottom: 1px solid transparent;
+  }
+  .datenschutz__toc-list a:hover {
+    color: var(--color-link);
+  }
+  .datenschutz__toc-list a:hover .datenschutz__toc-num {
+    color: var(--color-link);
+  }
+  .datenschutz__toc-num {
+    color: var(--color-text-muted);
+    font-variant-numeric: tabular-nums;
+    letter-spacing: 0;
+  }
+
+  .datenschutz__section {
+    margin-top: 2.5rem;
+    scroll-margin-top: 5rem;
+  }
+  .datenschutz__section:first-of-type {
+    margin-top: 0;
+  }
+
+  .datenschutz__content h3 {
+    display: grid;
+    grid-template-columns: 2.5em 1fr;
+    align-items: baseline;
+    gap: 0.5rem;
+    margin: 0 0 1rem;
+  }
+  .datenschutz__num {
+    font-weight: var(--font-weight-light);
+    color: var(--color-text-muted);
+    font-variant-numeric: tabular-nums;
+    letter-spacing: 0;
+  }
+  .datenschutz__h-text {
+    text-wrap: balance;
+  }
+
+  .datenschutz__p {
+    max-width: 64ch;
+    margin: 0 0 0.75rem;
+  }
+  .datenschutz__p:last-child {
+    margin-bottom: 0;
+  }
+
+  .datenschutz__address {
+    font-size: inherit;
+    line-height: 1.55;
+    color: var(--color-text);
+    margin: 0 0 1rem;
+    font-style: normal;
+    padding: 0.75rem 0 0.75rem 1rem;
+    border-left: 2px solid var(--color-border);
+    max-width: 56ch;
+  }
+
+  .datenschutz__list {
+    max-width: 60ch;
+    padding-left: 1.25rem;
+    margin: 0 0 1rem;
+  }
+  .datenschutz__list li {
+    margin: 0 0 0.25rem;
+    padding-left: 0.25rem;
+  }
+  .datenschutz__list li::marker {
+    color: var(--color-text-muted);
+  }
+
+  @media (max-width: 767px) {
+    .breadcrumb__inner {
+      padding: 0.875rem 1.25rem;
+    }
+    .datenschutz__container {
+      padding: 2.5rem 1.5rem 4rem;
+    }
+    .datenschutz__content h1 {
+      font-size: 2.25rem;
+      line-height: 1.1;
+      letter-spacing: -0.015em;
+      margin-bottom: 1rem;
+    }
+    .datenschutz__toc {
+      margin-bottom: 2rem;
+      padding: 1.25rem 0;
+    }
+    .datenschutz__toc-list {
+      grid-template-columns: 1fr;
+      row-gap: 0.5rem;
+    }
+    .datenschutz__section {
+      margin-top: 2rem;
+    }
+    .datenschutz__content h3 {
+      font-size: 1.125rem;
+      grid-template-columns: 2em 1fr;
+    }
+    .datenschutz__address {
+      padding: 0.625rem 0 0.625rem 0.875rem;
+    }
+    .datenschutz__p,
+    .datenschutz__address,
+    .datenschutz__list {
+      max-width: none;
+    }
+  }
+</style>

From 4a1772fbfb9a0d51ce68052a02358bb9768c725c Mon Sep 17 00:00:00 2001
From: Lars Weiser <lars@blackbrowedlabs.com>
Date: Tue, 28 Apr 2026 17:09:42 +0200
Subject: [PATCH 4/4] fix(privacy): docstring + word-break + mobile reset (G
 B.3.2.b minors)
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Three minors flagged by the G B.3.2.b code-quality review (none
critical; gate already approved):

1. Both pages' top-of-file docstring claimed an <address> block in §5.
   §5's IONOS address is rendered as prose, not as an <address>.
   Correct claim: §1 + §10. One-line edit per page.

2. Add word-break: break-word to .datenschutz__p a /
   .datenschutz__address a in both pages, mirroring the design bundle
   CSS at design/handoff-bundle/design/styles/datenschutz.css:146-150.
   Three long URLs in §3 + §10 (Cloudflare privacy, IONOS terms, ULD
   web) can approach the viewport edge at 360px without overflow
   protection.

3. Add .datenschutz__courtesy { max-width: none } to en/privacy.astro's
   mobile media query, matching the en/legal.astro precedent. No
   visual impact at 360px (52ch already exceeds the viewport) — pure
   pattern parity.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
---
 src/pages/datenschutz.astro |  7 ++++++-
 src/pages/en/privacy.astro  | 10 +++++++++-
 2 files changed, 15 insertions(+), 2 deletions(-)

diff --git a/src/pages/datenschutz.astro b/src/pages/datenschutz.astro
index 5f12566..7fc3b72 100644
--- a/src/pages/datenschutz.astro
+++ b/src/pages/datenschutz.astro
@@ -3,7 +3,7 @@
  * Datenschutzerklärung (DE — legally authoritative).
  * Matches design/handoff-bundle/design/pages/07-datenschutz.html (DE artboard).
  * Long reading page with two-column TOC (single column on mobile),
- * 11 numbered sections, and an address block in §1 + §5 + §10.
+ * 11 numbered sections, and an address block in §1 + §10.
  * Copy held inline (per OQ-1: legal pages stay as .astro, not in the
  * editorial collection) and verbatim from docs/BASELINE_COPY.md §9
  * with two build-time substitutions from src/data/cloudflare-facts.json.
@@ -468,6 +468,11 @@ const tocItems = [
     max-width: 56ch;
   }
 
+  .datenschutz__p a,
+  .datenschutz__address a {
+    word-break: break-word;
+  }
+
   .datenschutz__list {
     max-width: 60ch;
     padding-left: 1.25rem;
diff --git a/src/pages/en/privacy.astro b/src/pages/en/privacy.astro
index c2e17c6..12f2dca 100644
--- a/src/pages/en/privacy.astro
+++ b/src/pages/en/privacy.astro
@@ -3,7 +3,7 @@
  * Privacy Policy (EN — courtesy translation).
  * Matches design/handoff-bundle/design/pages/07-datenschutz.html (EN artboard).
  * Long reading page with two-column TOC (single column on mobile),
- * 11 numbered sections, and an address block in §1 + §5 + §10.
+ * 11 numbered sections, and an address block in §1 + §10.
  * Copy held inline (per OQ-1: legal pages stay as .astro, not in the
  * editorial collection) and verbatim from docs/BASELINE_COPY.md §10
  * with two build-time substitutions from src/data/cloudflare-facts.json.
@@ -473,6 +473,11 @@ const tocItems = [
     max-width: 56ch;
   }
 
+  .datenschutz__p a,
+  .datenschutz__address a {
+    word-break: break-word;
+  }
+
   .datenschutz__list {
     max-width: 60ch;
     padding-left: 1.25rem;
@@ -517,6 +522,9 @@ const tocItems = [
     .datenschutz__address {
       padding: 0.625rem 0 0.625rem 0.875rem;
     }
+    .datenschutz__courtesy {
+      max-width: none;
+    }
     .datenschutz__p,
     .datenschutz__address,
     .datenschutz__list {