Datenschutzerklärung

1. Verantwortlicher

Bitte diesen Abschnitt vor dem Go-live ersetzen:

[Name der juristischen Person]

[Straße, Postleitzahl, Ort, Land]

[E-Mail-Adresse für Datenschutzanfragen]

2. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten nur, soweit dies erforderlich ist, um die Website zu betreiben, einen sicheren Account-Zugang bereitzustellen, Anfragen zu beantworten und das Produkt vor Missbrauch zu schützen.

Je nach Verarbeitung stützen wir uns auf Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung für account- und vertragsbezogene Funktionen erforderlich ist, auf Art. 6 Abs. 1 lit. f DSGVO für Sicherheit, Missbrauchsprävention und technischen Betrieb sowie auf Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Aufbewahrungspflichten gelten.

3. Zugriffsdaten beim Website-Besuch

• Beim Besuch der Website können technische Request-Daten verarbeitet werden, insbesondere IP-Adresse, Browser- und Geräteinformationen, Zeitstempel, Referrer und angeforderte Ressourcen.
• Wir verwenden diese Daten, um die Website sicher auszuliefern, technische Probleme zu analysieren und die Integrität unserer Systeme sicherzustellen.
• Die Speicherdauer richtet sich nach betrieblicher Erforderlichkeit und Sicherheitsanforderungen.

4. Auftragsverarbeiter und Drittanbieter

Die folgenden Drittanbieter verarbeiten personenbezogene Daten in unserem Auftrag oder im Zusammenhang mit unseren Diensten.

4.1 Kinde — Authentifizierung und Nutzerverwaltung

Für Registrierung, Anmeldung, Sitzungsverwaltung, Nutzeradministration und damit zusammenhängende Sicherheitsfunktionen nutzen wir Kinde Pty Ltd, Level 4, 60 Martin Place, Sydney NSW 2000, Australien. Kinde betreibt regionale Infrastruktur; für unseren Einsatz werden Kundendaten in der Europäischen Union verarbeitet.

Nach dem Data Processing Addendum von Kinde handeln wir als Verantwortlicher für die personenbezogenen Daten unserer Endnutzer und Kinde als Auftragsverarbeiter. Begrenzte Account Information kann Kinde insoweit als eigenständiger Verantwortlicher verarbeiten, wie dies für den Betrieb des Dienstes und die Vertragsbeziehung mit uns erforderlich ist.

• Datenkategorien: E-Mail-Adresse, Name, Profilbild-URL, Authentifizierungskennungen, Sitzungsdaten, technische Metadaten wie IP-Adresse, Browser- und Geräteinformationen sowie gegebenenfalls Rollen- und Berechtigungszuweisungen.
• Zwecke: Account-Erstellung, Anmeldung, Verifikation, Sitzungsverwaltung, Missbrauchsprävention und Nutzerverwaltung.
• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO für account- und vertragsbezogene Funktionen sowie ergänzend Art. 6 Abs. 1 lit. f DSGVO, soweit Sicherheits- und Missbrauchspräventionsmaßnahmen erforderlich sind.

4.1.2 Transfermechanismen

Kinde hat den Hauptsitz in Australien und bietet Data Residency in regionalen Zonen an. Für EU-Kunden werden Authentifizierungsdaten in EU-Regionen gehostet. Sofern Kinde oder seine Subauftragsverarbeiter Daten außerhalb des EWR verarbeiten, sieht das Kinde-DPA Standard Contractual Clauses als Transfermechanismus vor.

• Primäre Maßnahme: EU-Data-Residency für Endnutzer-Authentifizierungsdaten.
• Fallback-Mechanismus: Standard Contractual Clauses gemäß Kinde-DPA.
• Aktuelle Subprozessoren und deren Processing Locations veröffentlicht Kinde auf seinen Trust- und Subprozessor-Seiten.

4.2 Convex — Backend-Infrastruktur und Datenbank

Wir nutzen Convex, Inc., San Francisco, CA, USA, als Backend-Infrastrukturanbieter. Convex betreibt unsere Anwendungsdatenbank, führt serverlose Funktionen aus und stellt Dateispeicher bereit. Convex handelt in diesem Zusammenhang als Auftragsverarbeiter nach Art. 28 DSGVO.

• Datenkategorien: mit der Authentifizierung verknüpfte Nutzerprofildaten (User-IDs, Anzeigenamen, E-Mail-Adressen), von Nutzern erstellte oder hochgeladene Anwendungsinhalte (Dokumente, Medienreferenzen, Projektmetadaten, Bildmetadaten einschließlich EXIF/XMP/IPTC), Organisations- und Membership-Daten sowie technische Metadaten (Zeitstempel, Funktionsausführungsprotokolle).
• Zwecke: dauerhafte Speicherung von Anwendungsdaten, Ausführung serverseitiger Geschäftslogik, Echtzeit-Datensynchronisation zwischen Clients und Dateispeicherung.
• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO für die Vertragserfüllung und Art. 6 Abs. 1 lit. f DSGVO für Systemintegrität und Sicherheit.

4.2.2 Transfermechanismen

Convex sitzt in den Vereinigten Staaten. Anwendungsdaten werden in der US-Infrastruktur von Convex gehostet. Eine Übermittlung personenbezogener Daten in die USA kann nicht ausgeschlossen werden.

Convex stellt ein Master Subscription Agreement mit Datenschutzbestimmungen bereit. Die anwendbaren Transfermechanismen ergeben sich aus dem Vertrag zwischen uns und Convex.

4.3 Cloudflare — Hosting, CDN und Objektspeicher

Wir nutzen Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA, für Website-Hosting (Cloudflare Pages), serverloses Computing (Cloudflare Workers), Content Delivery (CDN) und Objektspeicher (Cloudflare R2). Cloudflare handelt für diese Dienste als Auftragsverarbeiter.

• Datenkategorien: IP-Adressen und technische Request-Metadaten (Browser, Gerät, Zeitstempel, Referrer), die bei der Inhaltsauslieferung verarbeitet werden, sowie von Nutzern hochgeladene Mediendateien in R2 (die eingebettete Bildmetadaten wie EXIF-Daten einschließlich GPS-Koordinaten enthalten können).
• Zwecke: sichere Auslieferung und Hosting der Website, Edge Computing für Bildverarbeitung und dauerhafte Speicherung von nutzergenerierten Medien.
• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO für die Diensterbringung und Art. 6 Abs. 1 lit. f DSGVO für Sicherheit, Performanceoptimierung und DDoS-Schutz.

4.3.2 Transfermechanismen

Cloudflare betreibt ein globales Netzwerk. Inhalte werden vom nächstgelegenen Edge-Standort ausgeliefert. Cloudflare ist unter dem EU–U.S. Data Privacy Framework selbstzertifiziert und bietet ein Data Processing Addendum mit Standard Contractual Clauses an.

R2-Objektspeicher kann für bestimmte Regionen konfiguriert werden. Der anwendbare Speicherort hängt von unserer Konfiguration ab.

4.4 Stripe — Zahlungsabwicklung

Wir nutzen Stripe, Inc., 354 Oyster Point Boulevard, South San Francisco, CA 94080, USA, und die EU-Gesellschaft Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland, für die Zahlungsabwicklung. Je nach Verarbeitungstätigkeit handelt Stripe als Auftragsverarbeiter in unserem Auftrag oder als eigenständiger Verantwortlicher für eigene Betrugserkennung, regulatorische Compliance und Finanzberichtspflichten.

Zahlungskartendaten werden direkt von Stripe über Stripe Elements erfasst. Kartennummern werden zu keinem Zeitpunkt über unsere Server übertragen oder dort gespeichert. Stripe ist ein zertifizierter PCI-DSS-Level-1-Dienstleister.

• Datenkategorien: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsmitteldetails (direkt von Stripe verarbeitet), Transaktionsbeträge, Währung, Transaktionskennungen sowie Gerätedaten und IP-Adresse zur Betrugserkennung.
• Zwecke: Abwicklung von Zahlungen für Abonnements oder Käufe, Rechnungserstellung, Betrugserkennung und -prävention sowie regulatorische Compliance (Geldwäscheprävention, Sanktionsprüfung).
• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO für die zur Vertragserfüllung erforderliche Zahlungsabwicklung, Art. 6 Abs. 1 lit. c DSGVO für die gesetzlichen Pflichten von Stripe als Zahlungsdienstleister und Art. 6 Abs. 1 lit. f DSGVO für die Betrugsprävention.

4.4.2 Transfermechanismen

Stripe Payments Europe, Ltd. verarbeitet EU-Zahlungsdaten nach Möglichkeit innerhalb des EWR. Für Übermittlungen an Stripe, Inc. in den USA stützt sich Stripe auf das EU–U.S. Data Privacy Framework und Standard Contractual Clauses.

4.5 Google Gemini — KI-gestützte Text- und Bildanalyse

Wir nutzen die Google-Gemini-API von Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, für automatisierte Text- und Bildanalyse innerhalb unserer Anwendung. Dies umfasst Inhaltsbeschreibung, Kategorisierung und Qualitätsbewertung von nutzergenerierten Medien.

Google handelt als Auftragsverarbeiter für über die Gemini-API übermittelte Daten, sofern die kostenpflichtigen Nutzungsbedingungen gelten. Unter den API-Bedingungen für kostenpflichtige Dienste werden Prompts und Antworten von Google nicht zum Trainieren oder Verbessern seiner Modelle verwendet.

• Datenkategorien: zur Analyse übermittelte Textinhalte und Bilddaten, zugehörige Metadaten und API-Request-Daten (IP-Adresse, Authentifizierungstokens).
• Zwecke: automatisierte Inhaltsanalyse, Bildbeschreibung, Kategorisierung und Generierung von Textvorschlägen auf Basis von Nutzerinhalten.
• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO für die Bereitstellung KI-gestützter Funktionen als Bestandteil des Dienstes und Art. 6 Abs. 1 lit. f DSGVO für Inhaltsqualität und Relevanzbewertung.

4.5.2 Transfermechanismen

Google LLC sitzt in den Vereinigten Staaten. An die Gemini-API übermittelte Daten werden in der Infrastruktur von Google verarbeitet, die auch US-Standorte umfassen kann. Google ist unter dem EU–U.S. Data Privacy Framework selbstzertifiziert und bietet ein Data Processing Addendum mit Standard Contractual Clauses an.

4.6 Social-Media-Integrationen — Veröffentlichung auf Social-Media-Plattformen

Unsere Anwendung ermöglicht es Nutzern, ihre Konten auf Social-Media-Plattformen (darunter Facebook, Instagram, Threads, Pinterest, Bluesky und ggf. weitere) zu verknüpfen, um Inhalte zu veröffentlichen und zu verwalten. Wenn ein Nutzer eine Plattform verbindet, greift unsere Anwendung im Auftrag des Nutzers über OAuth-Tokens auf die Plattform-APIs zu.

Die Social-Media-Plattformen selbst handeln als eigenständige Verantwortliche für die auf ihren Plattformen verarbeiteten Daten. Wir handeln als Verantwortlicher für die in unseren Systemen gespeicherten OAuth-Tokens und damit verbundenen Verbindungsdaten. OAuth-Tokens werden verschlüsselt gespeichert.

• Datenkategorien: OAuth-Access-Tokens und Refresh-Tokens (verschlüsselt gespeichert), Plattform-Nutzerkennungen, Seiten- oder Profilkennungen, plattformspezifische Inhaltskennungen und von Plattform-APIs zurückgegebene Inhaltsmetadaten.
• Zwecke: Authentifizierung bei Social-Media-Plattformen im Auftrag des Nutzers, Veröffentlichung von Inhalten auf verbundenen Plattformen, Abruf von Post-Performance-Daten und Verwaltung von Plattformverbindungen.
• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO für die Bereitstellung der Social-Media-Publishing-Funktionalität als Bestandteil des Dienstes.

4.6.2 Token-Lifecycle und Trennung

OAuth-Tokens werden nur so lange gespeichert, wie eine Plattformverbindung aktiv ist. Wenn ein Nutzer eine Social-Media-Plattform trennt, werden die zugehörigen Tokens und Verbindungsdaten aus unseren Systemen gelöscht. Token-Aktualisierungszyklen folgen den Ablaufrichtlinien der jeweiligen Plattform.

5. Drittlandtransfer

Mehrere der oben genannten Dienste haben ihren Sitz in den Vereinigten Staaten oder betreiben eine globale Infrastruktur. Soweit personenbezogene Daten in ein Drittland übermittelt werden, stützt sich die Übermittlung auf die in den jeweiligen Dienstabschnitten oben beschriebenen Mechanismen (EU–U.S. Data Privacy Framework, Standard Contractual Clauses oder sonstige anwendbare Garantien).

6. Speicherdauer

• Accountbezogene Daten werden so lange gespeichert, wie ein Account besteht und wie dies für Vertragserfüllung, Sicherheit und berechtigte Aufbewahrungspflichten erforderlich ist.
• Wird ein Account gelöscht, werden Daten entsprechend anwendbarer Aufbewahrungspflichten und technischer Löschroutinen gelöscht oder in der Verarbeitung eingeschränkt.
• Log- und Sicherheitsdaten können für kürzere operative Zeiträume gespeichert werden, soweit dies zur Missbrauchserkennung oder Incident-Aufklärung erforderlich ist.

7. Empfänger

Personenbezogene Daten werden nur offengelegt, soweit dies für die Leistungserbringung, die Erfüllung rechtlicher Pflichten oder einen sicheren technischen Betrieb erforderlich ist. Folgende Empfänger verarbeiten personenbezogene Daten im Zusammenhang mit unseren Diensten:

• Kinde für authentifizierung und nutzerverwaltung.
• Convex für backend-infrastruktur und datenbank.
• Cloudflare für hosting, cdn und objektspeicher.
• Stripe für zahlungsabwicklung.
• Google Gemini für ki-gestützte text- und bildanalyse.
• Social-Media-Integrationen für veröffentlichung auf social-media-plattformen.

8. Rechte betroffener Personen

• Auskunft nach Art. 15 DSGVO.
• Berichtigung nach Art. 16 DSGVO.
• Löschung nach Art. 17 DSGVO.
• Einschränkung der Verarbeitung nach Art. 18 DSGVO.
• Datenübertragbarkeit nach Art. 20 DSGVO.
• Widerspruch nach Art. 21 DSGVO.
• Beschwerde bei einer Aufsichtsbehörde.

9. Sicherheit

Wir treffen dem Risiko angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung sowie vor unbefugter Offenlegung oder unbefugtem Zugriff zu schützen.

10. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung aktualisieren, wenn sich unsere Dienste, Auftragsverarbeiter oder rechtlichen Anforderungen ändern. Maßgeblich ist jeweils die auf dieser Seite veröffentlichte Fassung.