Datenschutzerklärung
1. Verantwortlicher
Lorenz & Yörüker GbR
Theodor-Heuss-Straße 16
PLZ / Ort: 74081 Heilbronn
Land: Deutschland (Baden-Württemberg)
Vertreten durch: Yannik Lorenz und Ibrahim Yörüker
E-Mail: [email protected]
Telefon: +49 172 9398822
Web: https://www.nextunyte.com
2. Begriffsbestimmungen
Es gelten die Definitionen des Art. 4 DSGVO (z.B. personenbezogene Daten, Verarbeitung, Verantwortlicher, Auftragsverarbeiter, Profiling). Diese Datenschutzerklärung erläutert die konkret in dieser Plattform erfolgenden Verarbeitungsvorgänge.
3. Zweck & Funktionsbeschreibung der Plattform
Registrierungsbasierte Plattform zur Ansicht (und perspektivisch Speicherung) KI-generierter Bilder, Download, Kopie der verwendeten Prompts sowie künftig Kommentierung, Newsletter-Erhalt, Zahlungsfunktionen (Stripe / PayPal), KI-API-Integration (z.B. OpenAI), Analyse (Google Analytics), Consent-Management (Cookiebot) und E-Mail-Marketing (z.B. Klaviyo). Noch nicht aktive Funktionen sind entsprechend gekennzeichnet.
4. Rechtsgrundlagen (Übersicht)
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung – für künftig: Newsletter, Analyse, Marketing-Cookies).
Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Plattformnutzung, Konto, Downloads, Bereitstellung Kernfunktionen).
Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten – Aufbewahrung / Auskunft).
Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen – Sicherheit, Stabilität, Missbrauchsprävention, Optimierung, effiziente Darstellung).
Art. 49 / 46 DSGVO bei ggf. Drittlandübermittlungen (SCC + zusätzliche Maßnahmen) – nur bei Aktivierung externer US-Dienste.
5. Hosting & Infrastruktur (DigitalOcean)
Bereitstellung über DigitalOcean (Region Frankfurt – Compute, ggf. Datenbank, Object Storage „Spaces“, CDN-Auslieferung statischer Assets). DigitalOcean handelt als Auftragsverarbeiter (Art. 28 DSGVO). Ein abgeschlossener Auftragsverarbeitungsvertrag (DPA) und – soweit Konzernzugriffe außerhalb der EU möglich sind – Standardvertragsklauseln (SCC) müssen vorliegen. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Betrieb Plattform) & lit. f (sichere, performante Auslieferung).
6. Server-Logs
Kategorien: (gekürzte) IP-Adresse*, Datum/Uhrzeit, Request-URL/Route, Referrer, User-Agent, HTTP-Statuscode, übertragene Bytes, ggf. Fehler-/Exception-Metadaten. Zweck: Betriebssicherheit, Fehleranalyse, Missbrauchs-/Angriffserkennung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Stabilität & Sicherheit). Speicherdauer: 14 Tage (automatische Rotation & Löschung via Laravel „daily“ Log-Handler – LOG_DAILY_DAYS=14); anlassbezogene Verlängerung nur bei sicherheitsrelevanten Vorfällen. *IP‑Kürzung in Anwendungs‑Logs ist aktiv: IPv4 letztes Oktett = 0; IPv6 wird auf /64 reduziert.
7. Registrierung & Benutzerkonto
Pflichtdaten: E-Mail, Passwort (nur Hash – z.B. bcrypt/argon2). Perspektivisch optionale Profilfelder. Zwecke: Vertragserfüllung, Kontoverwaltung, Sicherheitszwecke (Abuse-Prävention). Rechtsgrundlagen: Art. 6 Abs. 1 lit. b und lit. f. Speicherdauer: Bis Kontolöschung; Backups/Löschkonzepte beachten. Nach Löschung eingeschränkte Weiterverarbeitung nur zur Erfüllung gesetzlicher Ansprüche (Art. 6 Abs. 1 lit. f / c).
8. Galerie-, Prompt- & Inhaltsverarbeitung (aktuelle & geplante Funktionen)
Verarbeitung von Zugriffen (Ansicht/Download), technisch erforderlichen Metadaten (Zeitstempel, interne IDs). Künftig Speicherung von KI-Bildern, Prompts und Kommentare der Nutzer. Nutzer sollen keine personenbezogenen Daten in Prompts oder Uploads einbetten. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Nutzungsfunktion) und lit. f (Moderation, Missbrauchsprävention). Speicherdauer: Funktionsbezogen bis Löschung durch Nutzer / Kontoauflösung; bei Abuse-Fällen Beweisaufbewahrung längstens bis Abschluss des Vorgangs.
9. Transaktionale E-Mails (Onboarding)
Versand von System-/Bestätigungs-E-Mails (z.B. Registrierung) über vorgesehenen Mailserver (geplant: Strato – EU/DE). Verarbeitete Protokolldaten: Empfänger-Adresse, Versand-/Zustellzeitpunkt, technischer Status (gesendet / Fehler / Bounce), interne bzw. Provider-Message-ID. Keine dauerhafte Speicherung des Inhalts/Bodys. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Kontoführung) und Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, Nachweis Versand). Speicherdauer Protokolle: 90 Tage (automatisierte Löschung nach Ablauf); längere Aufbewahrung nur anlassbezogen bei Missbrauchs- oder Sicherheitsuntersuchungen.
10. Newsletter (geplant)
Double-Opt-In: Speicherung Einwilligungstimestamp, IP (verkürzt), Hash/Token als Nachweis. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 7 UWG. Widerruf jederzeit mit Wirkung für die Zukunft. Anbieter (z.B. Klaviyo) wird ergänzt, sobald aktiv. Ohne Einwilligung kein Versand. Tracking/Analyse in E-Mails (Öffnungen/Klicks) nur nach ausdrücklicher Einwilligung (separat dokumentiert).
11. Kontakt / Support (E-Mail)
Kontakt ausschließlich per E-Mail an [email protected]. Verarbeitete Daten: Absender-Adresse, Inhalte Ihrer Nachricht, ggf. angehängte Metadaten (Zeitstempel, Antwortverlauf). Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (anfrage-/vertragsbezogene Kommunikation) und Art. 6 Abs. 1 lit. f DSGVO (effiziente Bearbeitung, Missbrauchs-/Spam-Prävention). Speicherdauer: 12 Monate nach Abschluss der Anfrage (Abschluss = letzte inhaltliche Interaktion + 30 Tage ohne weitere Rückmeldung oder eindeutige Erledigung). Danach Löschung oder Archivierung mit eingeschränktem Zugriff; längere Aufbewahrung nur bei Rechtsverteidigung oder gesetzlichen Aufbewahrungspflichten. Bitte keine sensiblen oder besonderen Kategorien personenbezogener Daten unverschlüsselt versenden.
12. Zahlungsabwicklung (geplant: Stripe / PayPal)
Bei Aktivierung: Weitergabe notwendiger Transaktions-/Zahlungsdaten (Betrag, Token, Transaktions-ID) direkt an Zahlungsdienstleister. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Vertrag) und lit. f (Betrugsprävention). Keine Speicherung vollständiger Zahlungsdaten (z.B. Kartennummern) auf eigener Infrastruktur. Vor Live-Schaltung Ergänzung mit konkreten Dienstleisterangaben & Links zu deren Datenschutzhinweisen erforderlich.
13. KI-Dienste / API-Integrationen (geplant, z.B. OpenAI)
Potenzielle Verarbeitung: Prompt-Text, generierte Ausgaben, technische Metadaten (Request-ID, Latenz). Verpflichtung zur Minimierung: Keine personenbezogenen Daten in Prompts. Drittlandübermittlungen (USA) nur mit SCC + Transfer Impact Assessment + falls nötig zusätzliche Verschlüsselung/Pseudonymisierung. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Funktionsbereitstellung) / lit. f (Optimierung). Optional: Einwilligung (Art. 6 Abs. 1 lit. a) für experimentelle Zusatzfeatures.
14. Eingebundene Schriftarten & UI-CDNs
Sämtliche Schriftarten und Icon‑Sets (z.B. Inter, Archivo Black, Dela Gothic One, Font Awesome) werden vollständig lokal von unserer eigenen Domain ausgeliefert. Es erfolgen keine externen Requests an Google Fonts (fonts.googleapis.com, fonts.gstatic.com), Bunny Fonts, cdnjs oder andere CDNs für Schriften/Icons. Bei künftigen Änderungen wird dieser Abschnitt aktualisiert.
15. Cookies & Lokale Speichertechnologien
Derzeit nur essenzielle / funktionale Elemente identifiziert. Keine Marketing-/Analyse-Cookies aktiv. Bei Einführung von Analyse/Marketing erfolgt vorher Einwilligungsabfrage (Cookiebot). Rechtsgrundlagen: Essenziell gemäß § 25 Abs. 2 TTDSG i.V.m. Art. 6 Abs. 1 lit. b/f DSGVO; übrige künftig Art. 6 Abs. 1 lit. a.
Aktueller Name des technisch erforderlichen Session‑Cookies: nextunyte_session.
| Name | Typ | Zweck | Speicherdauer | Anbieter | Kategorie |
|---|---|---|---|---|---|
| nextunyte_session | HTTP-Cookie | Sitzungsverwaltung (Session-ID) | Sitzungsende | Eigene Domain | Essenziell |
| XSRF-TOKEN | HTTP-Cookie | CSRF-Schutz für Formular-/AJAX-Anfragen | Sitzungsende | Eigene Domain | Essenziell |
| _cf_bm | HTTP-Cookie | Bot-Management, Rate-Limiting (Schutz vor Missbrauch) | 30 Minuten (typisch) | Cloudflare, Inc. | Essenziell |
| remember_web_* | HTTP-Cookie | Angemeldet bleiben (optional, nur bei „Remember me“) | 30 Tage (typisch) | Eigene Domain | Funktional |
Hinweis: Künftige Analyse-/Marketing- oder Payment-bezogene Cookies werden erst nach Einwilligung gesetzt und hier ergänzt.
16. Analyse & Tracking (geplant)
Derzeit keine Aktivierung von Google Analytics o.ä. Vor Einführung: Einwilligung (Art. 6 Abs. 1 lit. a), IP-Anonymisierung, Auftragsverarbeitungsvertrag, Datenaufbewahrung konfigurieren (z.B. 14 Monate). Ohne Einwilligung keine Datenübermittlung. Abschnitt wird dann erweitert.
17. Social Media Links
Nur statische Links (Instagram, TikTok). Keine Plugins oder iFrames, keine Datenübermittlung bis Nutzer auf Link klickt. Nach Wechsel gelten die Datenschutzhinweise der jeweiligen Plattform.
18. Altersbeschränkung / Minderjährige
Die Nutzung der Plattform ist ausschließlich Personen gestattet, die mindestens 16 Jahre alt sind. Nutzer bestätigen bei Registrierung das Erreichen des Mindestalters (Selbsterklärung). Eine weitergehende Altersverifikation erfolgt aufgrund des derzeitigen Risikoprofils (keine spezifisch kindergerichteten oder hochriskanten Inhalte) nicht. Personen unter 16 Jahren dürfen kein Konto anlegen. Sollten uns dennoch Daten Minderjähriger unter 16 Jahren bekannt werden, werden diese nach Kenntniserlangung unverzüglich gelöscht oder die Verarbeitung eingeschränkt. Hinweise hierzu bitte an [email protected].
19. Empfänger / Kategorien von Empfängern
Hosting/Infrastruktur: DigitalOcean. E-Mail: Strato (geplant). Künftig: Zahlungsdienstleister (Stripe/PayPal), Newsletter-Dienst (Klaviyo), Consent-Tool (Cookiebot), Analyse (Google), KI-Anbieter (OpenAI). Interner Zugriff nur durch Rollen mit Need-to-know-Prinzip. Bei Drittlandbezug: SCC & technische Schutzmaßnahmen.
20. Internationale Datentransfers
Primär EU-Standort (Frankfurt). Aktivierung US-basierter Dienste (Analytics, KI, Zahlungsdienstleister) nur mit geeigneten Garantien (SCC, Transfer Impact Assessment, ggf. Pseudonymisierung). Nutzer werden bei Aktivierung aktualisiert informiert.
21. Datensicherheit
TLS-Verschlüsselung (in Transit), Datenbank- und Storage-Verschlüsselung (at rest – DigitalOcean Managed PostgreSQL & Spaces), Passwort-Hashing (aktuelles Verfahren), CSRF-Schutz (XSRF-TOKEN), Rollen-/Rechteprinzip (Need-to-know), Logging sicherheitsrelevanter Ereignisse, System- und Paketupdates in regelmäßigen Intervallen. Backups: DigitalOcean Managed PostgreSQL mit täglichen Backups und Point‑in‑Time‑Recovery (PITR; planabhängig, z. B. 7 Tage) in der Region Frankfurt; optional wöchentliche System-/Snapshot‑Sicherungen (Droplet/Speicher). Zusätzlich geplante tägliche verschlüsselte DB‑Dumps nach DigitalOcean Spaces (fra1) mit 30 Tagen Aufbewahrung (rollierend), um den Wiederherstellungszeitraum zu verlängern. Monatliche Wiederherstellungstests (Stichprobe) zur Integritätsprüfung; RPO ≤ 24h, angestrebtes RTO ≤ 4h. Längere Aufbewahrung nur anlassbezogen (forensische Analyse / Rechtsverteidigung) mit dokumentierter Begründung. Keine Sicherung flüchtiger Caches oder temporärer Dateien.
22. Speicherdauern (Übersicht)
- Kontodaten: Bis Löschung / Vertragsende.
- Server-Logs: 14 Tage (Rotation, danach automatische Löschung).
- Support-/Kontakt-E-Mails: 12 Monate nach Abschluss.
- E-Mail-Protokolle (transaktional): 90 Tage.
- Lokale Präferenzen (darkMode): Bis Nutzer löscht.
- Prompts/Bilder (künftig): Bis Löschung durch Nutzer / Abuse-Fall abgeschlossen.
- Backups: DO Managed PostgreSQL tägliche Backups + PITR (planabhängig, z. B. 7 Tage), verschlüsselt; zusätzliche tägliche verschlüsselte DB‑Dumps nach Spaces (fra1) mit 30 Tagen Aufbewahrung (rollierend, geplant).
Nach Ablauf Löschung oder Anonymisierung; gesetzliche Aufbewahrungsfristen bleiben unberührt.
23. Rechte der betroffenen Personen
Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Widerruf von Einwilligungen (Art. 7 Abs. 3). Geltendmachung formlos an oben angegebene Kontaktadresse. Identitätsprüfung bei sensiblen Anfragen vorbehalten.
24. Widerspruch nach Art. 21 DSGVO
Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung auf Basis berechtigter Interessen widersprechen. Bei Direktwerbung (nach Aktivierung) besteht ein generelles Widerspruchsrecht ohne Angabe von Gründen.
25. Keine automatisierte Entscheidungsfindung
Es findet derzeit keine automatisierte Entscheidungsfindung oder Profiling i.S.v. Art. 22 DSGVO statt. Bei späterer Einführung (z.B. Ranking-/Recommendation-Algorithmen) erfolgt Aktualisierung dieser Erklärung.
26. Pflicht zur Bereitstellung von Daten
Registrierungsdaten sind für die Nutzung der Kernfunktionen erforderlich. Ohne Bereitstellung kein Konto. Newsletter-/Analyse-/Marketing-Einwilligungen sind freiwillig und nicht Voraussetzung der Basisnutzung.
27. Datenschutzbeauftragter
Derzeit nicht erforderlich. Begründung:
- Mitarbeiterzahl: Weniger als 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 BDSG).
- Kerntätigkeit: Keine umfangreiche, regelmäßige und systematische Überwachung von Personen (Art. 37 Abs. 1 lit. b DSGVO).
- Datenkategorien: Keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten nach Art. 10 DSGVO als Kerntätigkeit.
- Geschäftsmäßigkeit: Keine Verarbeitung zu Übermittlungs- oder Marktforschungszwecken.
Eine Neubewertung erfolgt bei Änderungen der Geschäftstätigkeit, Funktionen oder Mitarbeiterzahl. Ansprechpartner für Datenschutzanfragen ist der Verantwortliche (siehe Abschnitt 1).
28. Aufsichtsbehörde & Beschwerderecht
Beschwerde gemäß Art. 77 DSGVO bei jeder zuständigen Datenschutzaufsichtsbehörde möglich – insbesondere am Ort des gewöhnlichen Aufenthalts oder des mutmaßlichen Verstoßes. Zuständige Behörde nach Sitz (Baden‑Württemberg):
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden‑Württemberg (LfDI)
Lautenschlagerstraße 20, 70173 Stuttgart, Deutschland
Tel.: +49 711 615541‑0 · E‑Mail: [email protected]
Web: baden-wuerttemberg.datenschutz.de
29. Änderungen & Versionierung
Anpassungen bei Funktionsausbau, Rechtsänderungen oder geänderten Auftragsverhältnissen. Vorangehende Fassungen werden archiviert. Nutzer werden bei wesentlichen Änderungen informiert (z.B. neue Zwecke / neue Empfänger).