diff --git a/apps/web/src/routes/datenschutz/+page.svelte b/apps/web/src/routes/datenschutz/+page.svelte
new file mode 100644
index 0000000..41697bf
--- /dev/null
+++ b/apps/web/src/routes/datenschutz/+page.svelte
@@ -0,0 +1,254 @@
+<script lang="ts">
+	// Datenschutzerklärung — Entwurf nach Vorlage V2 (2026-05-19).
+	// **Vorstand-Freigabe nötig** vor Live-Verlinkung.
+	// Vorlage: mana/docs/templates/DATENSCHUTZ_TEMPLATE.md
+</script>
+
+<svelte:head>
+	<title>Datenschutzerklärung — Wordeck</title>
+</svelte:head>
+
+<article class="prose prose-neutral mx-auto max-w-3xl py-8 text-[hsl(var(--color-foreground))]">
+	<h1 class="text-3xl font-semibold">Datenschutzerklärung</h1>
+	<p class="text-sm text-[hsl(var(--color-muted-foreground))]">
+		Stand: 2026-05-19 — <strong>Entwurf, Vorstand-Freigabe ausstehend.</strong>
+	</p>
+
+	<h2 class="mt-8 text-xl font-semibold">1. Verantwortlicher</h2>
+	<p>
+		<strong>mana e.V.</strong> (Schweizer Verein in Gründung)<br />
+		Postanschrift: bis zur Vereins-Gründung c/o Gründungs-Vorstand (Adresse auf Anfrage)<br />
+		Kontakt: <a href="mailto:kontakt@memoro.ai">kontakt@memoro.ai</a>
+		(Übergangs-Adresse bis <code>datenschutz@mana-ev.ch</code> aktiv ist)
+	</p>
+	<p>
+		<strong>Datenschutzbeauftragte:r:</strong> derzeit nicht benannt.
+	</p>
+	<p>
+		<strong>Vertreter in der EU (Art. 27 DSGVO):</strong> derzeit nicht benannt; siehe
+		<a href="https://git.mana.how/mana/mana/src/branch/main/docs/COMPLIANCE.md">
+			COMPLIANCE.md §1
+		</a>.
+	</p>
+	<p><strong>Zuständige Aufsichtsbehörden:</strong></p>
+	<ul class="list-disc pl-6">
+		<li>FADP: EDÖB (Schweiz) — <a href="https://www.edoeb.admin.ch">edoeb.admin.ch</a>.</li>
+		<li>DSGVO (EU): Aufsichtsbehörde Ihres Wohnsitz-Mitgliedstaates. In Deutschland: Landes-DSB oder BfDI.</li>
+	</ul>
+
+	<h2 class="mt-6 text-xl font-semibold">2. Welche Daten wir verarbeiten — Zwecke und Rechtsgrundlagen</h2>
+
+	<p>
+		Wordeck ist <strong>text-only</strong> (kein Bild, kein Audio,
+		keine Image-Occlusion). Karten-Inhalte bleiben Text.
+	</p>
+
+	<div class="overflow-x-auto">
+		<table class="w-full text-sm">
+			<thead>
+				<tr>
+					<th class="text-left">Datenkategorie</th>
+					<th class="text-left">Zweck</th>
+					<th class="text-left">Rechtsgrundlage</th>
+				</tr>
+			</thead>
+			<tbody>
+				<tr>
+					<td>Konto-Daten (User-UUID, E-Mail, Tier-Stufe, Anzeigename)</td>
+					<td>Authentifizierung und Konto-Verwaltung</td>
+					<td>Art. 6 Abs. 1 lit. b DSGVO</td>
+				</tr>
+				<tr>
+					<td>Decks (Name, Beschreibung, Tags, Sichtbarkeit)</td>
+					<td>Speichern und Organisieren eigener Lerndecks</td>
+					<td>Art. 6 Abs. 1 lit. b DSGVO</td>
+				</tr>
+				<tr>
+					<td>Karten (Vorder-/Rückseite, Cloze, Type-In, Multiple-Choice — alles Text)</td>
+					<td>Karten-Inhalt für Spaced Repetition</td>
+					<td>Art. 6 Abs. 1 lit. b DSGVO</td>
+				</tr>
+				<tr>
+					<td>Reviews + Study-Sessions (FSRS-Parameter, Wiederholungs-Historie)</td>
+					<td>Spaced-Repetition-Algorithmus (FSRS)</td>
+					<td>Art. 6 Abs. 1 lit. b DSGVO</td>
+				</tr>
+				<tr>
+					<td>Tags (vom User definierte Karten-Kategorien)</td>
+					<td>Organisation innerhalb von Decks</td>
+					<td>Art. 6 Abs. 1 lit. b DSGVO</td>
+				</tr>
+				<tr>
+					<td>Import-Jobs (Anki-Import: Datei-Name, Status, Karten-Anzahl)</td>
+					<td>Bulk-Import bestehender Anki-Decks</td>
+					<td>Art. 6 Abs. 1 lit. b DSGVO</td>
+				</tr>
+				<tr>
+					<td>Marketplace-Veröffentlichungen (Deck-Metadaten, Autor-Pseudonym)</td>
+					<td>Veröffentlichen eigener Decks im Marketplace (Opt-in)</td>
+					<td>Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Sie wählen aktiv „Veröffentlichen")</td>
+				</tr>
+				<tr>
+					<td>Marketplace-Diskussionen + Pull Requests (Kommentare, Vorschläge)</td>
+					<td>Community-Pflege veröffentlichter Decks</td>
+					<td>Art. 6 Abs. 1 lit. b DSGVO (öffentlich sichtbare Beiträge)</td>
+				</tr>
+				<tr>
+					<td>Marketplace-Engagement (Reaktionen, Bookmarks, Moderations-Reports)</td>
+					<td>Sichtbarkeit + Moderation veröffentlichter Decks</td>
+					<td>Art. 6 Abs. 1 lit. b DSGVO</td>
+				</tr>
+				<tr>
+					<td>Marketplace-Credits (Punkte für veröffentlichte Decks)</td>
+					<td>Belohnungs-System für Deck-Autor:innen</td>
+					<td>Art. 6 Abs. 1 lit. b DSGVO</td>
+				</tr>
+				<tr>
+					<td>Sicherheits- und Audit-Logs (IP-Adresse, User-Agent, Zeitstempel)</td>
+					<td>IT-Sicherheit, Missbrauchs-Erkennung, Rate-Limit</td>
+					<td>Art. 6 Abs. 1 lit. f DSGVO</td>
+				</tr>
+			</tbody>
+		</table>
+	</div>
+
+	<p class="mt-4 text-sm">
+		Eine vollständige Verarbeitungs-Liste findet sich im
+		<a href="https://git.mana.how/mana/mana/src/branch/main/docs/VVT.md">
+			Verarbeitungsverzeichnis (VVT.md)
+		</a>, Wordeck-Sektion wird vor Live-Cut ergänzt.
+	</p>
+
+	<h2 class="mt-6 text-xl font-semibold">3. Keine KI-Verarbeitung an externe Provider</h2>
+	<p>
+		Wordeck verarbeitet keine Karten-Inhalte an externe KI-Services.
+		Die FSRS-Berechnung (Spaced Repetition) läuft ausschließlich auf
+		Vereins-Infrastruktur.
+	</p>
+	<p class="text-sm text-[hsl(var(--color-muted-foreground))]">
+		<strong>Historische Klarstellung:</strong> Vor dem Cards→Wordeck-
+		Rebrand 2026-05-17 hatte die Vorgänger-App image-occlusion und
+		audio-Karten. Diese sind vollständig entfernt (text-only-
+		Architektur). Falls Sie ein Konto aus der alten Cards-Phase haben
+		und nicht-text-Karten dort gespeichert hatten: diese werden mit dem
+		Cutover gelöscht.
+	</p>
+
+	<h2 class="mt-6 text-xl font-semibold">4. Marketplace-Sichtbarkeit</h2>
+	<p>
+		Wenn Sie ein Deck im Marketplace veröffentlichen, werden folgende
+		Inhalte <strong>öffentlich</strong> sichtbar:
+	</p>
+	<ul class="list-disc pl-6">
+		<li>Deck-Name + Beschreibung + Tags</li>
+		<li>Alle enthaltenen Karten (Vorder-/Rückseite)</li>
+		<li>Ihr gewählter Autor-Anzeigename (Pseudonym möglich)</li>
+		<li>Diskussions-Beiträge mit Ihrem Anzeigenamen</li>
+	</ul>
+	<p>
+		<strong>Rechtsgrundlage:</strong> Art. 6 Abs. 1 lit. a DSGVO
+		(Einwilligung — Sie wählen aktiv „Veröffentlichen").
+		<strong>Widerruf:</strong> Sie können ein Deck jederzeit wieder
+		zurückziehen; bereits getätigte Reaktionen anderer User bleiben
+		anonymisiert erhalten.
+	</p>
+	<p>
+		<strong>E-Mail-Adresse bleibt privat:</strong> Im Marketplace
+		erscheint nur der Anzeigename, nie die E-Mail oder User-UUID.
+	</p>
+
+	<h2 class="mt-6 text-xl font-semibold">5. Speicherdauer</h2>
+	<p>
+		Konto-Daten werden gespeichert, solange Konto besteht. Bei Konto-
+		Löschung über die DSGVO-Auskunft werden alle privaten Daten
+		(Decks, Karten, Reviews, Study-Sessions, Tags) innerhalb von 30
+		Tagen unwiderruflich entfernt; Sicherheits-Logs nach maximal 90
+		Tagen.
+	</p>
+	<p>
+		<strong>Marketplace-Inhalte (nach Konto-Löschung):</strong>
+		Veröffentlichte Decks und Diskussions-Beiträge bleiben grundsätzlich
+		zugänglich (öffentlicher Inhalt), werden aber auf einen anonymisierten
+		Autor-Stub umgehängt. Wer auch dort eine Hard-Delete will, kann das
+		im Löschungs-Antrag explizit verlangen — dann werden auch die
+		Marketplace-Beiträge entfernt.
+	</p>
+
+	<h2 class="mt-6 text-xl font-semibold">6. Empfänger und Auftragsverarbeiter</h2>
+	<ul class="list-disc pl-6">
+		<li>
+			<strong>mana e.V. — interne Vereins-Dienste</strong> auf Vereins-
+			Server (Standort Deutschland) — Authentifizierung
+			(<code>mana-auth</code>), Datenbank (PostgreSQL, DB
+			<code>wordeck</code>). Kein Drittland.
+		</li>
+		<li>
+			<strong>Cloudflare, Inc.</strong> (USA) — TLS-Termination + DNS
+			für <code>wordeck.com</code>. DPA via Cloudflare-Account
+			akzeptiert. Cloudflare ist im EU-US Data Privacy Framework
+			gelistet (Art. 45 DSGVO).
+		</li>
+	</ul>
+	<p class="text-sm">
+		Den Status der Auftragsverarbeitungs-Verträge findet sich in unserer
+		<a href="https://git.mana.how/mana/mana/src/branch/main/docs/COMPLIANCE.md#1-to-do--dsgvo-und-vereins-belange">
+			DPA-Tabelle
+		</a>.
+	</p>
+
+	<h2 class="mt-6 text-xl font-semibold">7. Konten-Föderation und App-übergreifende Anmeldung</h2>
+	<p>
+		Ihr Vereins-Konto funktioniert über alle mana-Apps hinweg via 1st-
+		Party-Cookie auf <code>.mana.how</code> (technisch notwendig nach
+		§ 25 Abs. 2 Nr. 2 TTDSG). Wordeck läuft sowohl unter
+		<code>wordeck.com</code> als auch unter <code>cards.mana.how</code>
+		— der SSO-Cookie ist auf <code>.mana.how</code> gesetzt, daher
+		funktioniert die App-übergreifende Anmeldung nur unter dem
+		<code>cards.mana.how</code>-Hostnamen automatisch; auf
+		<code>wordeck.com</code> ist ein expliziter Login nötig.
+	</p>
+	<p>
+		Wenn Sie aktiv Daten zwischen mana-Apps teilen (z.B. ein Zitat aus
+		Zitare als Karte importieren), wird der Vorgang im Föderations-
+		Audit-Log dokumentiert (Datum, beteiligte Apps, Daten-Typ, kein
+		Inhalt).
+	</p>
+	<p>
+		Lokal speichert die App im Browser-localStorage technisch notwendige
+		Daten (Auth-Token, Spracheinstellung, sql-wasm-Cache für Offline-
+		Study). Wir nutzen keine Tracking-Cookies.
+	</p>
+
+	<h2 class="mt-6 text-xl font-semibold">8. Ihre Rechte</h2>
+	<ul class="list-disc pl-6">
+		<li>Auskunft (Art. 15 DSGVO) — JSON-Export aller privaten Daten.</li>
+		<li>Löschung (Art. 17 DSGVO) — Hard-Delete inkl. Marketplace-Beiträge auf Wunsch.</li>
+		<li>Berichtigung (Art. 16 DSGVO).</li>
+		<li>Einschränkung (Art. 18 DSGVO).</li>
+		<li>Datenübertragbarkeit (Art. 20 DSGVO) — JSON-Export Anki-kompatibel.</li>
+		<li>Widerspruch (Art. 21 DSGVO).</li>
+		<li>Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) — auch für Marketplace-Veröffentlichung.</li>
+		<li>Beschwerde bei einer der in §1 genannten Aufsichtsbehörden (Art. 77 DSGVO).</li>
+	</ul>
+	<p>
+		DSGVO-Anfragen über <a href="https://admin.mana.how">admin.mana.how</a>
+		oder per E-Mail an die in §1 genannte Adresse.
+	</p>
+
+	<h2 class="mt-6 text-xl font-semibold">9. Automatisierte Entscheidungsfindung</h2>
+	<p>
+		Findet <strong>nicht</strong> statt. Die FSRS-Berechnung legt nur die
+		Reihenfolge der zu wiederholenden Karten fest — keine rechtliche oder
+		ähnlich erhebliche Wirkung i.S.v. Art. 22 DSGVO.
+	</p>
+
+	<hr class="my-8" />
+	<p class="text-xs text-[hsl(var(--color-muted-foreground))]">
+		Diese Erklärung ist ein Code-Entwurf. Die finale Fassung wird vom
+		Vorstand nach Prüfung durch eine Datenschutz-Beauftragten-Stelle
+		veröffentlicht. Vorlage V2:
+		<a href="https://git.mana.how/mana/mana/src/branch/main/docs/templates/DATENSCHUTZ_TEMPLATE.md">
+			DATENSCHUTZ_TEMPLATE.md
+		</a>.
+	</p>
+</article>

Datenkategorie	Zweck	Rechtsgrundlage
Konto-Daten (User-UUID, E-Mail, Tier-Stufe, Anzeigename)	Authentifizierung und Konto-Verwaltung	Art. 6 Abs. 1 lit. b DSGVO
Decks (Name, Beschreibung, Tags, Sichtbarkeit)	Speichern und Organisieren eigener Lerndecks	Art. 6 Abs. 1 lit. b DSGVO
Karten (Vorder-/Rückseite, Cloze, Type-In, Multiple-Choice — alles Text)	Karten-Inhalt für Spaced Repetition	Art. 6 Abs. 1 lit. b DSGVO
Reviews + Study-Sessions (FSRS-Parameter, Wiederholungs-Historie)	Spaced-Repetition-Algorithmus (FSRS)	Art. 6 Abs. 1 lit. b DSGVO
Tags (vom User definierte Karten-Kategorien)	Organisation innerhalb von Decks	Art. 6 Abs. 1 lit. b DSGVO
Import-Jobs (Anki-Import: Datei-Name, Status, Karten-Anzahl)	Bulk-Import bestehender Anki-Decks	Art. 6 Abs. 1 lit. b DSGVO
Marketplace-Veröffentlichungen (Deck-Metadaten, Autor-Pseudonym)	Veröffentlichen eigener Decks im Marketplace (Opt-in)	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Sie wählen aktiv „Veröffentlichen")
Marketplace-Diskussionen + Pull Requests (Kommentare, Vorschläge)	Community-Pflege veröffentlichter Decks	Art. 6 Abs. 1 lit. b DSGVO (öffentlich sichtbare Beiträge)
Marketplace-Engagement (Reaktionen, Bookmarks, Moderations-Reports)	Sichtbarkeit + Moderation veröffentlichter Decks	Art. 6 Abs. 1 lit. b DSGVO
Marketplace-Credits (Punkte für veröffentlichte Decks)	Belohnungs-System für Deck-Autor:innen	Art. 6 Abs. 1 lit. b DSGVO
Sicherheits- und Audit-Logs (IP-Adresse, User-Agent, Zeitstempel)	IT-Sicherheit, Missbrauchs-Erkennung, Rate-Limit	Art. 6 Abs. 1 lit. f DSGVO