Datenschutzerklärung

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: für optionale Cookies (Präferenzen, Statistik, Marketing) sowie für KI-Nutzung mit Kampagnenkontext (OpenAI).
• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: zur Erbringung unserer Plattformleistungen (Kampagnenverwaltung, Asset-Prüfung, Chat, Outreach, Zahlungen).
• Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: für steuer- und handelsrechtliche Aufbewahrungspflichten (§147 AO — 10 Jahre) sowie §14b UStG für Rechnungsdaten.
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: für Anwendungs-Hosting, Sicherheit, Missbrauchsprävention und das operative Aktivitätsprotokoll (90 Tage).

Wir setzen folgende Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein:

• Auth0 (Okta) — Authentifizierung
• Twilio SendGrid — transaktionale E-Mails
• OpenAI — KI-Textgenerierung (einwilligungsbasiert)
• Cloudflare R2 — Asset- und Export-Speicherung (EU-Region bevorzugt)
• Vercel — Anwendungs-Hosting sowie cookielose, aggregierte Reichweiten- und Nutzungsstatistik (Vercel Web Analytics; nur bei Einwilligung in die Kategorie „Statistik")
• Stripe — Zahlungsabwicklung (geplant ab Q3 2026)

Vollständige Liste: Subprozessoren

• Account-Daten: bis zur Löschung des Kontos durch Sie (Art. 17 DSGVO) — siehe §6. Nach einer Löschanfrage besteht eine 14-tägige Bedenkzeit nach E-Mail-Bestätigung, in der Sie die Löschung widerrufen können.
• Einwilligungshistorie (ConsentRecord): bis zur Kontolöschung. IP-Adressen werden mit einem quartalsweise rotierten Pepper HMAC-gehasht; nach der Rotation sind kontextübergreifende Korrelationen technisch ausgeschlossen.
• Operatives Aktivitätsprotokoll (ActivityLog): 90 Tage, anschließend automatische Löschung durch einen Cron-Job.
• Auditrelevantes Aktivitätsprotokoll (ActivityLogAudit): 10 Jahre gemäß §147 AO — jedoch ausschließlich mit HMAC-pseudonymisierter Nutzer-ID (keine Klartext-Kennung); siehe §7.
• Rechnungs- und Zahlungsdaten: 10 Jahre (§14b UStG, §147 AO) — relevant ab Phase 40 (Stripe-Integration).
• Datenexport-Archive (R2): Download-Link 24 Stunden gültig. Die Archivdatei selbst wird bis zu 30 Tage durch eine Lifecycle-Regel automatisch gelöscht.

Als betroffene Person haben Sie nach DSGVO folgende Rechte:

• Art. 15 DSGVO — Auskunft und Datenkopie (als ZIP-Archiv abrufbar)
• Art. 16 DSGVO — Berichtigung unrichtiger Daten
• Art. 17 DSGVO — Löschung (mit 14-tägiger Bedenkzeit nach E-Mail-Bestätigung)
• Art. 18 DSGVO — Einschränkung der Verarbeitung
• Art. 20 DSGVO — Datenübertragbarkeit (JSON-Export)
• Art. 21 DSGVO — Widerspruch gegen die Verarbeitung
• Art. 22 DSGVO — Recht, keiner automatisierten Entscheidung im Einzelfall unterworfen zu werden
• Art. 77 DSGVO — Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde

Rechte jetzt ausüben: /settings/privacy

Als technisch-organisatorische Maßnahme nach Art. 32 DSGVO verwenden wir HMAC-SHA256-Pseudonymisierung für auditrelevante Aktivitätsprotokolleinträge. Konkret: Bei Schreiboperationen in rechts- und finanzrelevanten Routen wird die Nutzer-ID mit einem serverseitigen, ausschließlich auf Kompromittierung rotierten Pepper (ACTIVITY_LOG_USER_PEPPER) HMAC-gehasht, bevor sie in die Auditing-Tabelle geschrieben wird. Eine Re-Identifikation ist ohne Zugriff auf den Pepper technisch ausgeschlossen.

Ihre IP-Adresse im ConsentRecord wird mit einem separaten, quartalsweise rotierten Pepper (CONSENT_IP_PEPPER) HMAC-gehasht. Nach der Rotation ist der vorherige Hash nicht mehr umkehrbar oder quartalsübergreifend korrelierbar — dies entspricht dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO).

Einige unserer Auftragsverarbeiter (Auth0, Twilio SendGrid, OpenAI, Vercel) verarbeiten Daten in den USA. Die Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln (SCC, Durchführungsbeschluss 2021/914) und — soweit anwendbar — des EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023). Cloudflare R2 speichert Asset- und Export-Daten vorzugsweise in einer EU-Region (Frankfurt).

— ENTWURF — rechtliche Prüfung ausstehend

Darüber hinaus übermitteln wir Daten an folgende Empfänger in Drittländern:

• TikTok Inc. (ByteDance) — Veröffentlichung von Creator-Videos und Captions sowie Abruf von Insights. Übermittelt werden Videoinhalte, Captions, OAuth-Tokens und Publikumsdemografie in die USA und nach China. Die Übermittlung stützt sich auf die EU-Standardvertragsklauseln (SCC). Die Übermittlung nach China unterliegt erhöhter Prüfung und bedarf einer gesonderten rechtlichen Bewertung (Entwurf, ausstehend).
• YouTube / Google LLC — Veröffentlichung von Videos und Metadaten (Titel, Beschreibungen, Tags) sowie Kanal- und Publikums-Insights. Übermittelt werden Videoinhalte, Metadaten, OAuth-Tokens und Publikumsdemografie in die USA auf Basis der EU-Standardvertragsklauseln (SCC) bzw. des Google-Auftragsverarbeitungsvertrags (Google DPA).
• Expo / EAS — Zustellung mobiler Push-Benachrichtigungen über die Expo-Push-Infrastruktur (USA) und anschließend über Apple (APNs) bzw. Google (FCM). Übermittelt werden der Geräte-Push-Token sowie Titel und Text der Benachrichtigung auf Basis der EU-Standardvertragsklauseln (SCC).
• Sentry — Fehlerüberwachung, ausschließlich aktiv, sofern ein SENTRY_DSN konfiguriert ist. Übermittelt werden Nutzer-ID, Organisations-ID, Request-Pfad und Ausnahmedetails. Die Verarbeitung erfolgt in den USA, sofern keine EU-DSN konfiguriert ist, auf Basis der EU-Standardvertragsklauseln (SCC). Entwurf, ausstehend.

Vollständige Liste: Subprozessoren

Wir verwenden technisch notwendige Cookies für Sitzung, Authentifizierung und Sicherheit (Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO sowie §25 Abs. 2 Nr. 2 TDDDG). Optionale Cookies der Kategorien „Präferenzen", „Statistik" und „Marketing" werden ausschließlich mit Ihrer Einwilligung nach §25 Abs. 1 TDDDG gesetzt. Ihre Einwilligung wird in einem ConsentRecord mit Zeitstempel und pseudonymisierter IP protokolliert.

Sie können Ihre Einwilligung jederzeit ändern:

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Bei Bezahlung per SEPA-Lastschrift werden IBAN, Mandatsreferenz und Kontoinhaber erhoben und an Stripe übertragen. Bei Kartenzahlung werden Kartendaten ausschließlich über die von Stripe bereitgestellte, tokenisierte Eingabemaske übermittelt; Collavo speichert selbst keine vollständigen Kartendaten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags) sowie Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 147 AO (gesetzliche Aufbewahrungspflicht der Rechnungs- und Zahlungsbelege für 10 Jahre). Die Daten werden an Stripe als Auftragsverarbeiter im Sinne von Art. 28 DSGVO übermittelt; ein Drittlandtransfer findet nicht statt (Stripe Payments Europe Ltd. verarbeitet in der EU).

Nähere Informationen zum Subprozessor finden Sie in der Vollständige Liste: Subprozessoren.

Sofern Sie eine Umsatzsteuer-Identifikationsnummer (USt-IdNr.) hinterlegen, wird diese über den offiziellen VIES-Dienst der Europäischen Kommission (ec.europa.eu/taxation_customs/vies) geprüft, um die korrekte umsatzsteuerliche Behandlung (z. B. § 13b UStG Reverse-Charge im EU-B2B-Verkehr) sicherzustellen. Übertragen werden ausschließlich Länderkürzel und Nummer der USt-IdNr. Das Ergebnis (Name und Anschrift des validierten Unternehmens) wird für 7 Tage zwischengespeichert, um wiederholte Anfragen zu vermeiden.

Ein Drittlandtransfer findet nicht statt; VIES ist eine Einrichtung der EU-Kommission. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit §§ 13b, 14 UStG (Einhaltung gesetzlicher Umsatzsteuer-Pflichten). Eine Re-Validierung erfolgt automatisch nach Ablauf der 7-Tage-Frist oder bei Änderung der USt-IdNr.; eine manuelle Re-Validierung ist über die Einstellungen Ihrer Organisation möglich.

Gemäß § 147 Abgabenordnung (AO) sowie § 14b Umsatzsteuergesetz (UStG) bewahren wir ausgestellte Rechnungen als PDF-Dokumente für 10 Jahre auf. Jede Rechnung erhält bei der Finalisierung einen kryptografischen Fingerabdruck (SHA-256), der in unserer Datenbank gespeichert und bei jedem Lesezugriff erneut verifiziert wird. So stellen wir die Unveränderbarkeit der Rechnungsbelege auch ohne spezielle WORM-Speichersysteme sicher.

Korrekturen an einer bereits versiegelten Rechnung erfolgen ausschließlich über Stornorechnungen (negative Beträge mit neuer, fortlaufender Rechnungsnummer) und ggf. eine Ersatzrechnung mit weiterer fortlaufender Nummer — eine nachträgliche Mutation des Originaldokuments ist technisch und rechtlich ausgeschlossen. Rechtsgrundlage für die Speicherung über die 10-Jahres-Frist ist Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 147 AO und § 14b UStG.

§14.1 Verantwortlicher und Auftragsverarbeitung

Collavo GmbH ist gemeinsam mit Stripe Payments Europe Ltd. (Irland) Verantwortlicher für die KYC-Identitätsprüfung von Creator-Konten gemäß Art. 26 DSGVO. Stripe übernimmt die Identitätsprüfung (Personalausweis-OCR, Adressabgleich, Sanktionslistenabgleich) und die laufende Capability-Verwaltung; Collavo speichert lediglich den synchronisierten Status (currentlyDue, payouts_enabled) zur Auszahlungssteuerung.

§14.2 Verarbeitete Datenkategorien (KYC, IBAN, Steuer-ID)

KYC-Dokumente: Personalausweis/Reisepass, Steuer-Identifikationsnummer, Adressnachweis. Bankverbindung: IBAN, BIC, Kontoinhaber. Geschäftsangaben: Berufsbezeichnung, Webseite, MCC-Code. Sowie der von Stripe synchronisierte Stripe-Account-Status (currentlyDue, payouts_enabled).

§14.3 Rechtsgrundlage (Art. 6(1)(b) DSGVO — Vertragserfüllung)

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Auszahlung der Plattformerlöse), Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 8a GwG (gesetzliche Pflicht zur Identitätsprüfung) sowie Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 147 AO (gesetzliche Aufbewahrungspflicht für Transaktionsdaten — 10 Jahre).

§14.4 Empfänger und Drittlandtransfer (Stripe Payments Europe)

Stripe Payments Europe Ltd., Irland — verarbeitet sämtliche KYC-Daten als gemeinsam Verantwortlicher (Art. 26 DSGVO). Da Stripe Payments Europe Ltd. die in der EU niedergelassene Stripe-Tochter ist, findet kein Drittlandtransfer statt.

§14.5 Speicherdauer und Aufbewahrungspflichten (§ 147 AO 10 Jahre)

KYC-Dokumente bei Stripe: nach Stripe-Aufbewahrungsrichtlinie (i.d.R. 5 Jahre nach Kontoauflösung). Lokaler Mirror bei Collavo: bis zur Account-Löschung; danach anonymisiert. Die Datenstruktur (ohne PII) wird gemäß Art. 17 Abs. 3 lit. b DSGVO i.V.m. § 147 AO 10 Jahre aufbewahrt. Transaction- und Escrow-Datensätze: 10 Jahre nach § 147 AO.

§14.6 Betroffenenrechte (Art. 15-22 DSGVO; Connect-Löschung mit Anonymisierung)

Bei Geltendmachung des Rechts auf Löschung gemäß Art. 17 DSGVO wird Ihr Stripe-Connect-Konto vollständig bei Stripe gelöscht (accounts.del). Der lokale Mirror in der Collavo-Datenbank wird anonymisiert: legalName wird auf 'GELÖSCHT' gesetzt, weitere Felder werden auf NULL gesetzt; die Datenstruktur und der Primärschlüssel bleiben für die Verlinkung der Transaktionsdaten erhalten. § 147 AO Aufbewahrungspflicht für Transaktionsdaten ist eine gesetzliche Ausnahme nach Art. 17 Abs. 3 lit. b DSGVO. Ein Pre-Deletion-Guard verhindert die Löschung, solange Auszahlungen geplant oder ausstehend sind.

§14.7 SEPA-8-Wochen-Hold und Beschwerderecht

Auszahlungen werden gemäß SEPA-Direct-Debit-Core-Scheme erst nach Ablauf der 8-Wochen-Rückbuchungsfrist freigegeben. Während dieses Zeitraums bleiben die mit dem Hold verlinkten Daten erhalten; gespeicherte Datenkategorien entsprechen § 14.5. Beschwerden zur Verarbeitung können bei der zuständigen Aufsichtsbehörde eingereicht werden (siehe § 9 Beschwerderecht).

Wir überarbeiten diese Datenschutzerklärung, wenn sich unsere Verarbeitungstätigkeiten, Auftragsverarbeiter oder Rechtsgrundlagen ändern. Jede Version wird in unserer LegalDocumentVersion-Tabelle mit Inkrafttretensdatum und Inhaltshash versioniert. Bei materiellen Änderungen der Cookie-Kategorien wird Ihre Einwilligung automatisch neu abgefragt (separat versioniert über den consent-policy-Hash).