KI-gestützte SaaS-Plattform für Text-, Bild- und Audio-Generierung

Wichtiger Hinweis: Bitte lesen Sie diese Datenschutzerklärung sorgfältig durch. Hier erfahren Sie, welche personenbezogenen Daten wir erheben, wie wir diese verarbeiten und zu welchen Zwecken. Außerdem informieren wir Sie über Ihre Rechte gemäß der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG), dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) sowie weiteren anwendbaren Datenschutzvorschriften.

Inhaltsverzeichnis:

1. Geltungsbereich

Diese Erklärung gilt für alle digitalen Angebote von Fynspark (Website, Plattform, App, API und zugehörige Subdomains), die von der Typzee UG (haftungsbeschränkt) betrieben werden. Sie regelt die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch uns sowie die Verarbeitung durch von uns eingesetzte Drittanbieter-Dienste.

Anwendbare Rechtsgrundlagen und Vorschriften: Wir beachten insbesondere folgende Gesetze und Verordnungen: - Datenschutz-Grundverordnung (DSGVO) – Verordnung (EU) 2016/679

- Bundesdatenschutzgesetz (BDSG) – in der jeweils geltenden Fassung

- Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) – seit 14.05.2024 in Kraft (ersetzte das frühere TTDSG)[1][2]

- Digitale-Dienste-Gesetz (DDG) – seit 14.05.2024 (Umsetzung des EU Digital Services Act in Deutschland)[3]

- Verordnung (EU) 2024/1689 (EU KI-VO / AI Act) – Europäische KI-Verordnung (stufenweise anwendbar ab 2024)

- Digital Services Act (DSA) – Verordnung (EU) 2022/2065 (gilt seit 17.02.2024)

Verantwortlich im Sinne der DSGVO:

Typzee UG (haftungsbeschränkt)

Paul-Bertz-Straße 8, 09120 Chemnitz, Deutschland

Registergericht: Amtsgericht Chemnitz, HRB 37269

Geschäftsführer: Eric Fröhlich

Allgemeine E-Mail: support@fynspark.com

Kontakt für Datenschutz: datenschutz@typzee.com

Wir haben derzeit keinen gesetzlichen Datenschutzbeauftragten bestellt, da die Voraussetzungen des Art. 37 DSGVO i.V.m. § 38 BDSG nicht erfüllt sind (insbesondere beschäftigen wir in der Regel weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten (zudem verarbeiten wir keine umfangreichen sensiblen Daten als Kerntätigkeit).

Für sämtliche Datenschutz-Anliegen können Sie sich jedoch an uns direkt wenden: E-Mail: datenschutz@typzee.com

Post: Typzee UG, Paul-Bertz-Straße 8, 09120 Chemnitz, Deutschland

Hinweis: Wir protokollieren und speichern Anfragen an die oben genannte Datenschutz-Kontaktadresse, um deren Bearbeitung und fristgerechte Beantwortung nachweisen zu können. Diese Korrespondenz wird vertraulich behandelt.

Sollten Sie der Ansicht sein, dass die Verarbeitung Ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt, können Sie sich jederzeit an eine Datenschutz-Aufsichtsbehörde wenden. Zuständig für uns ist primär:

Devrientstraße 1 (Kulturpalast), 01067 Dresden, Deutschland

Telefon: +49 351 85471-101

E-Mail: saechsdsb@slt.sachsen.de

Website: www.saechsdsb.de

Sie können Ihre Beschwerde aber auch an jede andere Datenschutzbehörde innerhalb der EU richten (Art. 77 DSGVO). Die Aufsichtsbehörde wird Sie dann über den Fortgang Ihrer Beschwerde informieren.

Die in dieser Datenschutzerklärung verwendeten Begriffe entsprechen – soweit hier nicht anders definiert – den Definitionen der DSGVO (siehe Art. 4 DSGVO). Das bedeutet insbesondere: - Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. - Verarbeitung: jeder Vorgang im Zusammenhang mit personenbezogenen Daten (z.B. Erheben, Erfassen, Speichern, Verwenden, Übermitteln, Löschen) – unabhängig davon, ob dies automatisiert (durch IT-Systeme) oder manuell erfolgt. - Verantwortlicher: die natürliche oder juristische Person, Behörde oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet. - Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (z.B. unser Cloud-Hosting-Provider). - Einwilligung: jede freiwillige, informierte und unmissverständlich abgegebene Willensbekundung der betroffenen Person für den bestimmten Fall, mit der sie zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. - Drittland: ein Staat außerhalb des Europäischen Wirtschaftsraums (EWR), also außerhalb der EU sowie Island, Liechtenstein, Norwegen.

Je nach Funktion, Dienst und Interaktion erheben wir unterschiedliche Arten personenbezogener Daten:

6.1 Identifikations- und Kontaktdaten: Vorname, Nachname, E-Mail-Adresse, postalische Anschrift (sofern angegeben), Telefonnummer sowie Unternehmensangaben (bei Geschäftskunden).

6.2 Account-Daten: Benutzername, Passwort (gesichert als Salted Hash, z.B. via bcrypt/Argon2), Profilbild (freiwillig), Account-Einstellungen, zugewiesene Rollen oder Abonnementstatus, ggf. Zwei-Faktor-Authentifizierungs-Secrets (verschlüsselt hinterlegt, falls 2FA aktiviert ist).

6.3 Zahlungs- und Abrechnungsdaten: Rechnungsadresse, Steuer-ID/USt-ID (falls angegeben), Zahlungsstatus und Transaktionsreferenzen. (Hinweis: Vollständige Zahlungsinformationen wie Kreditkartennummern speichern wir nicht selbst – diese werden direkt vom Zahlungsdienstleister (z.B. Stripe) verarbeitet und sicher gespeichert. Stripe ist ein zertifizierter PCI-Service Provider Level 1 und übernimmt die Aufgaben der Kartendatensicherheit[5].)

6.4 Kommunikationsdaten: Inhalte der Kommunikation mit uns, z.B. E-Mails, Support-Tickets, Chat-Verläufe (Support-Chat) und Eingaben über Kontaktformulare.

6.5 Nutzungs- und Telemetriedaten: Technische Nutzungsdaten wie IP-Adresse (nach Möglichkeit anonymisiert oder pseudonymisiert), Gerätetyp, Betriebssystem, Browser-Typ/-Version, Bildschirmauflösung, Spracheinstellung, Zeitzone. Außerdem Sitzungsinformationen (Dauer, Zeitpunkt), besuchte Seiten und Navigationspfade, Klicks und Scroll-Verhalten, Mausbewegungen (bei Einsatz von UX-Analyse/Heatmap-Tools), sowie Fehlerlogs und Crash-Berichte.

6.6 KI-Inhalte und nutzergenerierte Daten: Von Nutzern eingegebene Texte (Prompts) für KI-Features (Chat etc.), hochgeladene Bilder zur Bildanalyse oder -generierung, Audioaufnahmen für Text-to-Speech-Funktionen, übermittelte Code-Snippets oder sonstige Dateien, sowie die von der KI generierten Ausgaben (Texte, Bilder, Audiodateien). Auch Metadaten der hochgeladenen Dateien können erfasst werden (z.B. Dateiname, Dateigröße).

6.7 Tracker und Cookies: Daten, die mittels Cookies oder ähnlicher Technologien erfasst werden, einschließlich Session-Cookies (temporär für die Dauer der Sitzung), persistenter Cookies, Third-Party-Cookies sowie lokaler Speicherobjekte im Browser (LocalStorage/SessionStorage).

6.8 Social-Login-Daten: Bei Nutzung von “Login mit …”-Funktionen (z.B. Google, Facebook) erhalten wir von dem jeweiligen Anbieter bestimmte Profildaten wie E-Mail-Adresse, Name, Profilbild, die zugehörige Nutzer-ID beim Anbieter sowie ein Zugriffs-Token. Gegebenenfalls werden – je nach Berechtigung – auch ausgewählte Profildetails wie Freundeslisten oder Einstellungen übertragen (siehe Abschnitt 16).

6.9 Besondere Kategorien (sensible Daten): Wir verarbeiten grundsätzlich keine personenbezogenen Daten besonderer Kategorien (wie Gesundheitsdaten, religiöse oder politische Überzeugungen, genetische/biometrische Daten etc.) im Rahmen unserer Dienste. Falls Nutzer solche Informationen freiwillig in Eingabefeldern (z.B. KI-Prompts) übermitteln, gelten besondere Schutzregeln gemäß Art. 9 DSGVO – insbesondere ist hierfür eine ausdrückliche Einwilligung erforderlich[6] (siehe Abschnitt 25 dieser Erklärung).

6.10 Sonstige Daten: Weitere Daten, die im Einzelfall anfallen können, z.B. Standortdaten (wenn vom Nutzer freigegeben, etwa über Browser- oder Geräteeinstellungen), eindeutige Geräte-IDs oder Gerätekennungen, sowie Push-Token für mobile Benachrichtigungen. Hinweis: Wenn im Rahmen von Registrierung oder Nutzung bestimmte Angaben als pflichtig markiert sind, sind diese für den Vertragsschluss bzw. die Dienstbereitstellung erforderlich. Ohne die Angabe dieser Pflichtdaten ist die Nutzung des entsprechenden Dienstes nicht möglich.

Wir verarbeiten personenbezogene Daten im Wesentlichen elektronisch, mithilfe von IT-Systemen und Cloud-Diensten. Der Zugriff auf Daten ist intern rollenbasiert geregelt (Role-Based Access Control); jede Person sieht nur die Daten, die sie zur Aufgabenerfüllung benötigt (Need-to-know-Prinzip). Wo immer möglich, werden Daten pseudonymisiert oder anonymisiert, sodass ein direkter Personenbezug minimiert wird. Außerdem protokollieren wir relevante Zugriffe auf personenbezogene Daten, um im Bedarfsfall Nachweise führen zu können und die Sicherheit zu erhöhen.

7.2 Interne Beteiligte Innerhalb unseres Unternehmens erhalten nur diejenigen Mitarbeiter Zugriff auf personenbezogene Daten, die diesen für ihre jeweiligen Aufgaben benötigen. Dies umfasst insbesondere Mitarbeiter in den Bereichen Produktentwicklung, Kundensupport, Marketing/Vertrieb, Buchhaltung und IT-Administration – jeweils im erforderlichen Mindestumfang und unter Wahrung der Vertraulichkeit.

7.3 Externe Dienstleister (Auftragsverarbeiter) Für bestimmte technische oder organisatorische Prozesse bedienen wir uns externer Dienstleister. Eine detaillierte Liste der von uns eingesetzten externen Dienste und Empfänger finden Sie in Abschnitt 10. Mit allen aufgeführten externen Partnern bestehen schriftliche Auftragsverarbeitungsverträge nach Art. 28 DSGVO oder gleichwertige Vereinbarungen, die den Schutz Ihrer Daten gewährleisten. Darin verpflichten sich die Dienstleister, die Daten ausschließlich nach unseren Weisungen und im Rahmen der EU-Datenschutzstandards zu verarbeiten.

7.4 Ort der Verarbeitung Wir verarbeiten Daten überwiegend auf Servern in Deutschland bzw. in Rechenzentren innerhalb der Europäischen Union (z.B. Irland). Einige der in Abschnitt 10 genannten Dienstleister haben ihren Sitz oder Serverstandorte jedoch auch in Drittländern (insbesondere den USA, teils UK). In solchen Fällen stellen wir durch geeignete Garantien ein angemessenes Datenschutzniveau sicher. Dies geschieht etwa durch den Abschluss von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO und – soweit zutreffend – durch die Teilnahme der Dienstleister am EU–US Data Privacy Framework (DPF)[7]. Konkrete Datenübermittlungen und Schutzmechanismen sind für jeden Dienst in Abschnitt 10 angegeben. Wenn Sie Fragen hierzu haben oder Kopien der Schutzgarantien wünschen, können Sie uns gerne kontaktieren (siehe Abschnitt 21).

8. Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten zu unterschiedlichen Zwecken. Im Folgenden eine Übersicht der Verarbeitungszwecke mit Beispieldaten, Rechtsgrundlagen und Speicherdauer:

8.1 Kontoerstellung und Nutzerverwaltung: Zweck: Erstellung und Verwaltung von Nutzerkonten, Identifikation des Nutzers, Zugriffssteuerung und Durchführung des Nutzungsvertrags (inkl. etwaiger Test- oder Vorvertragsmaßnahmen). Daten: Stammdaten wie Name, E-Mail-Adresse, Login-Daten (Passwort-Hash), Profileinstellungen, Zahlungsstatus. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Bereitstellung des Accounts; Einwilligung (Art. 6 Abs. 1 lit. a) falls freiwillige Zusatzangaben gemacht werden. Speicherdauer: Solange das Nutzerkonto aktiv ist, plus ggf. darüber hinaus entsprechend gesetzlicher Aufbewahrungsfristen (z.B. 10 Jahre für abrechnungsrelevante Daten). Empfänger: Hosting-Provider (z.B. STRATO), CRM-System (z.B. HubSpot), Zahlungsdienstleister (z.B. Stripe).

8.2 Bereitstellung und Betrieb der Plattform: Zweck: Sicherer Betrieb der Plattform und der Webseite, Gewährleistung von Stabilität und Performance, Bereitstellung aller Funktionen und Aktualisierungen. Daten: Nutzungs- und Protokolldaten (siehe 6.5), technische Cookies (Session-ID), Geräteinformationen. Rechtsgrundlage: Vertragserfüllung (Nutzung des Dienstes, Art. 6 Abs. 1 lit. b DSGVO) und berechtigtes Interesse (Gewährleistung der IT-Sicherheit und Funktionsfähigkeit, Art. 6 Abs. 1 lit. f DSGVO). Speicherdauer: Protokolldaten werden in der Regel für 30 Tage aufbewahrt (sofern nicht aus Sicherheitsgründen länger erforderlich – siehe 8.7).

8.3 KI-Funktionen (Texterzeugung, Bildgenerierung, Audio): Zweck: Bereitstellung der KI-basierten Funktionen zur Text-, Bild- und Audioerstellung bzw. -analyse für den Nutzer. Die vom Nutzer eingegebenen Daten werden an KI-Modelle übermittelt und die generierten Inhalte zurückgespielt. Daten: Siehe Abschnitt 11.1 (Prompts, hochgeladene Inhalte, generierte KI-Antworten und zugehörige Metadaten). Rechtsgrundlage: Je nach Ausgestaltung entweder Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO), insbesondere wenn die KI-Nutzung nicht zwingend für den Dienst erforderlich ist, oder Vertragserfüllung (Art. 6 Abs. 1 lit. b) sofern die KI-Funktion integraler Bestandteil der angeforderten Dienstleistung ist. Speicherdauer: Siehe Abschnitt 11.5 (i.d.R. kurze Speicherfristen, z.B. bis 30 Tage, sofern nicht im Einzelfall länger erforderlich). Besonderheiten: Details zum Ablauf der KI-Verarbeitung, zu eingesetzten Anbietern und zu Schutzmaßnahmen finden Sie in Abschnitt 11 dieser Erklärung.

8.4 Abrechnung und Zahlungen: Zweck: Rechnungsstellung bei kostenpflichtigen Leistungen, Zahlungsabwicklung (z.B. Abbuchung von Kreditkarte), Verbuchung von Zahlungen, ggf. Erkennung und Prävention von Zahlungsbetrug. Daten: Rechnungsanschrift, Bestelldetails (gebuchte Leistungen, Betrag), Zahlungsreferenzen, Zahlungsstatus. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Zahlungsdurchführung; zudem rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) nach Handels- und Steuerrecht (Aufbewahrung von Rechnungsdaten). Speicherdauer: Abrechnungsunterlagen werden für 10 Jahre aufbewahrt (steuer- und handelsrechtliche Pflichten gemäß § 147 AO, § 257 HGB). Empfänger: Zahlungsdienstleister (z.B. Stripe), Steuerberater/Wirtschaftsprüfer, ggf. Inkassounternehmen bei Forderungsausfällen.

8.5 Support und Kommunikation: Zweck: Bearbeitung von Kundenanfragen und Support-Tickets, Beantwortung von Fragen zu unseren Leistungen oder zum Vertrag, technische Unterstützung. Daten: Kontaktangaben (z.B. E-Mail-Adresse) und Kommunikationsinhalte, sowie relevante Vertrags-/Accountinformationen, falls zur Beantwortung nötig. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), soweit die Anfrage den Vertrag betrifft; ansonsten berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der effizienten Bearbeitung von Anfragen. Speicherdauer: Kommunikationsdaten zum Support werden nach Abschluss der Anfrage gelöscht bzw. archiviert. Einfache Anfragen ohne weitere Relevanz löschen wir in der Regel kurzfristig, während bei relevanter Korrespondenz eine Aufbewahrung bis zu 3 Jahre erfolgen kann (Nachweiszwecke bei etwaigen Rechtsansprüchen).

8.6 Marketing (Newsletter und Direktwerbung): Zweck: Versand von Newslettern oder E-Mails mit Informationen zu Produktneuigkeiten, Angeboten und Werbeaktionen, sofern der Nutzer dem zugestimmt hat. Gelegentlich auch personalisierte Inhalte oder Umfragen zur Kundenzufriedenheit. Daten: E-Mail-Adresse, Name (für die persönliche Ansprache), ggf. Angaben zu Präferenzen oder Interessengebieten, sowie Nutzungsdaten hinsichtlich der versendeten E-Mails (Öffnungs- und Klickraten). Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – der Newsletter-/Marketingversand erfolgt nur nach vorheriger ausdrücklicher Anmeldung (Double-Opt-In). Speicherdauer: Bis zum Widerruf der Einwilligung (Abmeldung vom Newsletter). Nach Abmeldung speichern wir die notwendigen Mindestdaten (E-Mail, Opt-Out-Vermerk) noch für einen begrenzten Zeitraum, um den Widerruf zu respektieren und den ursprünglichen Einwilligungsnachweis zu dokumentieren (gesetzliche Verjährungsfristen, i.d.R. 3 bis 6 Jahre). Opt-Out: In jeder Marketing-E-Mail befindet sich ein Abmeldelink. Alternativ können Sie den Newsletter-Versand auch jederzeit in den Account-Einstellungen deaktivieren oder uns kontaktieren.

8.7 Sicherheit, Missbrauchsprävention und Audit-Logs: Zweck: Erkennung, Analyse und Verhinderung von unbefugten Zugriffen, Angriffen (z.B. DDoS), Betrug oder Missbrauch unserer Dienste; Sicherstellung der Integrität und Verfügbarkeit unserer Systeme. Zudem führen wir Protokolle (Logs) zu Sicherheits- und Nachweiszwecken (z.B. Nachvollziehbarkeit von wichtigen Änderungen). Daten: Technische Protokolldaten (inkl. IP-Adressen, Gerätedaten), Nutzungsverhalten, Fehlermeldungen, Zugriffszeiten, ungewöhnliche Aktivitäten. Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Aufrechterhaltung der Sicherheit und Integrität der Plattform sowie am Schutz vor Betrug. (Wir führen vor dem Einsatz solcher Maßnahmen eine Interessenabwägung durch, um sicherzustellen, dass keine überwiegenden Interessen der Nutzer dem entgegenstehen.) Speicherdauer: Sicherheitsrelevante Logs werden i.d.R. 30 Tage aufbewahrt und bei Normalbetrieb automatisiert gelöscht. Im Falle von festgestellten Sicherheitsvorfällen behalten wir uns eine längere Aufbewahrung bis zur endgültigen Klärung vor.

8.8 Analyse und Verbesserung der Nutzung (Produktoptimierung, UX): Zweck: Analyse des Nutzungsverhaltens, um unsere Plattform und Angebote zu verbessern. Dazu können A/B-Tests, Usability-Analysen, Heatmaps oder ähnliches gehören, die Aufschluss darüber geben, wie Nutzer mit der Anwendung interagieren. Daten: Nutzungs- und Interaktionsdaten (z.B. Klickpfade, Verweildauer, Mausbewegungen bei Heatmap-Tools, ausgefüllte oder abgebrochene Formulare). Diese Daten werden – soweit möglich – anonymisiert oder pseudonymisiert ausgewertet. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – wir führen solche Analysen nur durch, wenn Sie im Rahmen des Cookie-/Consent-Banners zugestimmt haben. Speicherdauer: Je nach Tool und Konfiguration zwischen ca. 6 und 14 Monaten. (Beispiel: Google Analytics 4 löscht Nutzer- und Ereignisdaten standardmäßig nach 14 Monaten; andere Tools siehe Abschnitt 13.)

8.9 Rechtsdurchsetzung und behördliche Anfragen: Zweck: Erfüllung rechtlicher Verpflichtungen, Durchsetzung unserer Rechte oder Abwehr von Ansprüchen, z.B. im Rahmen von Gerichtsverfahren oder behördlichen Auskunftsersuchen. Daten: alle Daten, die für den jeweiligen Zweck erforderlich sind (z.B. Vertragsdaten bei Rechtsstreitigkeiten, Bestandsdaten auf behördliche Anfrage). Rechtsgrundlage: Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), sofern wir gesetzlich zur Herausgabe oder Verarbeitung verpflichtet sind (etwa auf behördliche Anordnung); ansonsten unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Geltendmachung oder Verteidigung von Rechtsansprüchen. Speicherdauer: Entsprechend der Erforderlichkeit. Daten, die in diesem Kontext verarbeitet werden, bewahren wir mindestens bis zum Abschluss des jeweiligen Verfahrens auf; bei behördlichen Anfragen gemäß den gesetzlichen Vorgaben.

Wir stützen die Verarbeitung Ihrer personenbezogenen Daten auf die im Folgenden genannten Rechtsgrundlagen der DSGVO: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Wenn Sie uns eine freiwillige Einwilligung erteilt haben, Ihre Daten für bestimmte Zwecke zu verarbeiten (z.B. Versand von Newslettern, Einsatz von Analyse-Cookies). In diesem Fall können Sie die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (siehe Abschnitt 23).

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Wenn die Verarbeitung zur Erfüllung eines Vertrags mit Ihnen oder zur Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage hin erforderlich ist. Das ist z.B. bei der Bereitstellung unseres Dienstes der Fall, sobald Sie sich registrieren oder eine Bestellung tätigen.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Wenn wir einer gesetzlichen Pflicht unterliegen, die eine Datenverarbeitung erfordert. Beispiele: Aufbewahrung steuerrelevanter Unterlagen, Auskunftserteilung an Strafverfolgungsbehörden auf gesetzliche Anfrage. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Wenn wir ein berechtigtes Interesse an der Verarbeitung haben, das Ihre Grundrechte und Interessen nicht überwiegt. Typische Fälle sind IT-Sicherheit, Missbrauchsprävention, Verbesserung unseres Angebots oder Direktwerbung gegenüber Bestandskunden. Vor der Verarbeitung auf Basis berechtigter Interessen führen wir eine sorgfältige Interessenabwägung durch und dokumentieren diese intern. Falls Sie Widerspruch einlegen (siehe Art. 21 DSGVO), prüfen wir Ihren individuellen Fall und werden die Verarbeitung entweder einstellen oder unsere zwingenden schutzwürdigen Gründe darlegen.

(Stand: November 2025 – mit allen genannten externen Stellen bestehen entsprechende Datenschutzvereinbarungen.) Nachfolgend informieren wir über die Empfänger bzw. Dienstleister, die im Rahmen unserer Leistungserbringung personenbezogene Daten erhalten oder in unserem Auftrag verarbeiten.

Google Analytics 4 – Anbieter: Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland); Daten: Website-Analytics (Seitenaufrufe, Klickpfade, Sitzungsdauer, technische Gerätedaten, IP-Anonymisierung aktiviert, grobe Standortdaten); Ort: Irland (EU) und USA (Google ist zertifiziert nach dem EU–US Data Privacy Framework[7]); Datenschutzerklärung.

HubSpot Analytics – Anbieter: HubSpot, Inc. (25 First Street, Cambridge, MA 02141, USA) über deutsche Tochtergesellschaft; Daten: Website-Tracking (Besuche, Klickverhalten, ggf. E-Mail und Name falls aus Formular bekannt, Formulareingaben, Sitzungsverlauf); Ort: USA und EU (HubSpot ist unter dem EU–US DPF zertifiziert); Datenschutzerklärung.

Contentsquare – Anbieter: Contentsquare SAS (7 rue de Madrid, 75008 Paris, Frankreich) / Contentsquare Ltd (London, UK); Daten: anonymisierte Interaktionsdaten (Mausbewegungen, Klicks, Scroll-Verhalten; ggf. Session Replay ohne Personenbezug); Ort: Vereinigtes Königreich und EU (UK ist per Angemessenheitsbeschluss der EU als sicher eingestuft); Datenschutzerklärung.

Hotjar – Anbieter: Hotjar Ltd (Dragonara Business Centre, 5th Floor, Dragonara Road, St Julian’s STJ 3141, Malta); Daten: Nutzungsverhalten und Feedback (Klicks, Scroll-Tiefe, Formular-Auswertungen, Heatmaps, evtl. Session-Aufzeichnungen); Ort: Malta (EU); Datenschutzerklärung.

Google reCAPTCHA – Anbieter: Google Ireland Limited (Dublin, Irland); Daten: Nutzungs- und Gerätedaten (z.B. Mausbewegungen, Eingaben, IP-Adresse) zur automatisierten Erkennung von Bots; Ort: Irland/EU und USA (Google DPF-zertifiziert); Datenschutzerklärung. Sentry (Error Monitoring) – Anbieter: Functional Software, Inc. (45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA); Daten: Fehler-Logs unserer Anwendungen (Fehlermeldungen, Code-Ausschnitte/Stack-Traces, Zeitstempel) sowie Geräte- und Browserinformationen zum Fehlerzeitpunkt (inkl. IP-Adresse); Ort: USA (Übermittlung gemäß EU-Standardvertragsklauseln); Datenschutzerklärung.

Usercentrics (Consent-Management) – Anbieter: Usercentrics GmbH (Sendlinger Str. 7, 80331 München, Deutschland); Daten: Zustimmungs- bzw. Ablehnungsinformationen zu Cookies/Tracking (Zeitpunkt der Einwilligung, gewählte Einstellungen, ein pseudonymer Identifikator, Gerätedaten, gekürzte IP-Adresse); Ort: Deutschland/EU; Datenschutzerklärung.

OpenAI (Modelle GPT-4, DALL·E) – Anbieter: OpenAI, L.L.C. (3180 18th Street, San Francisco, CA 94110, USA); Daten: vom Nutzer eingegebene Inhalte (Texte, Bilder) sowie die durch die KI generierten Antworten (Texte/Bilder) und zugehörige Nutzungsdaten (z.B. Token-Anzahl, Zeitstempel); Ort: USA (Datenübermittlung gemäß EU-Standardvertragsklauseln, da OpenAI kein EU-Unternehmen ist)[9][10]; Datenschutzerklärung.

Anthropic (Claude) – Anbieter: Anthropic PBC (548 Market St, PMB 90375, San Francisco, CA 94104, USA); Daten: eingegebene Texte/Anweisungen und empfangene KI-Antworten (Textinhalte von Konversationen) sowie Nutzungsmetadaten; Ort: USA (Übermittlung auf Grundlage von Standardvertragsklauseln); Datenschutzerklärung.

Google Gemini (KI-Dienst von Google) – Anbieter: Google Ireland Limited (Dublin, Irland); Daten: Nutzereingaben (Texte, Bilder) und die generierten Inhalte, plus Nutzungsmetadaten; Ort: Irland/EU und USA (Google ist DPF-zertifiziert); Datenschutzerklärung.

Stability AI (Stable Diffusion) – Anbieter: Stability AI Ltd. (47 Marylebone Lane, London W1U 2NT, UK); Daten: Nutzereingaben (Bildbeschreibungen, Prompts), hochgeladene Bilder und generierte Ausgabebilder sowie Nutzungsmetadaten; Ort: Vereinigtes Königreich und USA (für die USA werden EU-Standardvertragsklauseln verwendet; das UK verfügt über einen Angemessenheitsbeschluss der EU); Datenschutzerklärung.

ElevenLabs (Sprachsynthese) – Anbieter: ElevenLabs, Inc. (540 Howard Street, Suite 303, San Francisco, CA 94105, USA); Daten: vom Nutzer eingegebene Texte (die vertont werden sollen), Auswahl der gewünschten Stimme/Stil, die generierten Audiodateien sowie Nutzungsmetadaten; Ort: USA (Übermittlung gem. Standardvertragsklauseln); Datenschutzerklärung.

HubSpot (CRM & E-Mail-Versand) – Anbieter: HubSpot, Inc. (Cambridge, MA, USA) über HubSpot Germany GmbH; Daten: Kundendaten in unserer CRM-Datenbank (Kontaktinformationen, Unternehmenszugehörigkeit, Kommunikationshistorie) sowie E-Mail-Newsletter-Verteiler und Interaktionsdaten (Öffnungen, Klicks); Ort: USA und EU (HubSpot ist DPF-zertifiziert); Datenschutzerklärung.

Stripe – Anbieter: Stripe, Inc. (South San Francisco, CA, USA) / Stripe Payments Europe Ltd. (Dublin, Irland); Daten: Zahlungsdetails (Rechnungsadresse, gewählte Zahlungsmethode, Transaktionskennungen). Hinweis: Kartenzahlungsdaten werden direkt von Stripe erhoben und verarbeitet; Stripe ist PCI DSS Level 1-zertifiziert und bietet höchste Sicherheit für Zahlungsdaten[5]. Ort: Irland/EU und USA (Stripe ist dem EU–US DPF beigetreten); Datenschutzerklärung.

Intercom (Live-Chat-Support) – Anbieter: Intercom R&D Unlimited Company (Dublin, Irland) / Intercom, Inc. (San Francisco, CA, USA); Daten: von Nutzern im Chat getätigte Angaben (Name, E-Mail, Support-Anliegen) sowie Nutzungsdaten, die für kontextbezogenen Support genutzt werden (z.B. zuletzt besuchte Seite innerhalb unserer App), zusätzlich technische Daten (IP-Adresse, Browser); Ort: Irland/EU und USA (Intercom ist nach dem EU–US DPF zertifiziert[11]); Datenschutzerklärung.

ClickUp (Projektmanagement-Tool) – Anbieter: Mango Technologies, Inc. (d/b/a ClickUp, San Diego, CA, USA); Daten: interne Projektdaten und Aufgaben unseres Teams, die jedoch ggf. indirekt personenbezogene Informationen enthalten können (z.B. Namen von Ansprechpartnern in Aufgaben, Dateien mit Kundendaten); Ort: USA (Hosting über AWS, abgesichert durch Standardvertragsklauseln); Datenschutzerklärung.

Google Ads (Werbung & Conversion-Tracking) – Anbieter: Google Ireland Limited (Dublin, Irland); Daten: pseudonyme Werbe-IDs, Cookie-Daten und Ereignisse (z.B. ob ein Nutzer unsere Seite besucht oder einen Kauf abgeschlossen hat), die eine Erfolgsmessung von Werbekampagnen und personalisierte Anzeigen ermöglichen; Ort: Irland/EU und USA (Google DPF-zertifiziert); Datenschutzerklärung.

Meta-Pixel (Facebook/Instagram) – Anbieter: Meta Platforms Ireland Ltd. (Dublin, Irland); Daten: pseudonyme Nutzungsprofile für Werbezwecke (z.B. Information, dass ein bestimmter Nutzer eine bestimmte Seite oder Aktion ausgeführt hat), Cookie- und Gerätedaten; Ort: Irland/EU und USA (Meta ist DPF-zertifiziert); Datenschutzerklärung.

Hinweis: Fynspark nutzt externe KI-Plattformen (siehe Abschnitt 10.5) zur Bereitstellung von Text-, Bild- und Audio-Generierungsfunktionen. Nachfolgend erläutern wir, welche Daten in diesem Zusammenhang verarbeitet werden und welche Schutzmaßnahmen gelten.

Bei Nutzung der KI-Funktionen werden folgende Datenkategorien verarbeitet: - Nutzereingaben: Alle vom Nutzer an die KI gesendeten Inhalte, z.B. Texteingaben (Prompts, Chat-Nachrichten), hochgeladene Bilder oder Audiodateien. - KI-Ausgaben: Die von den KI-Modellen generierten Antworten bzw. Dateien (z.B. der vom KI-Modell erstellte Text, das generierte Bild oder die erzeugte Sprachausgabe). - Metadaten & Logs: Technische Metadaten zu jeder KI-Anfrage, etwa Zeitpunkt der Anfrage, verwendetes Modell, Dauer der Generierung, Anzahl verarbeiteter Token und ggf. pseudonymisierte Nutzer-IDs. Ihre IP-Adresse wird beim Aufruf der KI-API an den KI-Anbieter übertragen (sofern dies technisch erforderlich ist). - Fehlerprotokolle: Falls ein Fehler auftritt (z.B. Zeitüberschreitung oder Modellfehler), wird ein anonymisiertes Fehlerlog erzeugt, das keine Klartext-Inhalte der Eingabe enthält, aber zur Problemanalyse dienen kann.

Die Datenverarbeitung im Rahmen der KI-Funktionen erfolgt zu folgenden Zwecken: - Inhaltserzeugung: Verarbeitung Ihrer Eingaben durch das KI-Modell, um die gewünschten Inhalte (Text, Bild, Audio) zu generieren und an Sie zurückzugeben. - Semantische Analyse: In einigen Fällen analysieren wir Eingaben automatisiert, um z.B. beleidigende oder verbotene Inhalte zu erkennen (Content-Moderation), bevor sie ans KI-Modell gesendet werden. Dies dient dem Schutz vor Missbrauch. - Qualitätsverbesserung: Wir können aggregierte Nutzungsdaten aus KI-Anfragen auswerten (ohne Personenbezug), um die Qualität unserer Dienste zu verbessern – etwa um häufig auftretende Fehlermeldungen zu beheben oder unsere Prompt-Vorlagen zu optimieren. Eine personenbezogene Auswertung der inhaltlichen Eingaben findet nicht statt. - Missbrauchs-Erkennung: Die KI-Dienste können eingesetzt werden, um Spam oder automatisierte Missbrauchsversuche abzuwehren (z.B. automatische Filter gegen beleidigende oder sich wiederholende Anfragen).

Die Nutzung der KI-Funktionen stützt sich je nach Kontext auf unterschiedliche Rechtsgrundlagen: - Wenn die KI-Funktion optional ist und nicht zwingend zur Vertragserfüllung benötigt wird (z.B. ein freiwilliges Beta-Feature), verarbeiten wir Ihre Eingaben nur mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung holen wir z.B. dadurch ein, dass Sie die Nutzung der KI-Funktion aktiv anfragen bzw. starten. - Soweit die KI-Funktion integraler Bestandteil unseres vertraglichen Angebots ist (d.h. Sie haben den Dienst gerade wegen dieser KI-Funktion gebucht), erfolgt die Verarbeitung zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Beispiel: Wenn Sie unseren Service zur Bildgenerierung abonnieren, ist die Verarbeitung Ihrer Bildbeschreibung durch die KI zur Vertragserfüllung erforderlich. - In einigen Fällen stützen wir uns auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – etwa um die IT-Sicherheit zu gewährleisten oder Missbrauch zu verhindern (siehe oben "Missbrauchs-Erkennung"). Auch hierbei achten wir darauf, dass keine überwiegenden Interessen Ihrerseits entgegenstehen (Interessenabwägung erfolgt im Vorfeld).

Wir haben diverse technische und organisatorische Maßnahmen implementiert, um Ihre personenbezogenen Daten bei der KI-Nutzung zu schützen: - Datenminimierung: Es werden nur die für die KI-Funktion notwendigen Daten an die KI-Anbieter übermittelt. Wo immer möglich, verwenden wir pseudonyme Identifikatoren statt Klarnamen. - Vertraulichkeit: Unsere Verbindung zu den KI-Diensten ist transportverschlüsselt (TLS 1.3). Sämtliche gespeicherten Daten unterliegen ebenfalls hohen Sicherheitsstandards (z.B. Verschlüsselung der Datenbanken mit AES-256). - Zugriffskontrolle: Intern haben nur besonders befugte Mitarbeiter Zugriff auf die KI-Logs oder Inhalte – und auch nur, soweit es für Supportfälle oder die Abwicklung erforderlich ist. Alle Mitarbeiter sind auf Vertraulichkeit verpflichtet. - Vertragsbindung der Anbieter: Mit sämtlichen KI-Drittanbietern bestehen Datenschutzvereinbarungen, die den Schutz der personenbezogenen Daten sicherstellen (einschließlich EU-Standardvertragsklauseln für Anbieter außerhalb des EWR). Die Anbieter dürfen die übermittelten Daten ausschließlich zur Erbringung der KI-Leistung für uns nutzen. - Automatische Löschung: Personenbezogene Inhalte der KI-Anfragen werden nur kurzfristig gespeichert. In der Regel löschen wir oder die Anbieter diese Daten nach ca. 30 Tagen (siehe unten), sofern keine Notwendigkeit für eine längere Speicherung besteht. - Überwachung & Audits: Wir überprüfen regelmäßig die Einhaltung der Datenschutzstandards bei den KI-Diensten und beobachten aktuelle Entwicklungen (z.B. neue regulatorische Vorgaben durch den AI Act – siehe Abschnitt 29).

Die bei der KI-Verarbeitung anfallenden personenbezogenen Daten werden nicht dauerhaft gespeichert: - Inhaltsdaten (Prompts & Outputs): Ihre konkreten Eingaben und die darauf generierten Antworten speichern wir höchstens temporär, um sie Ihnen anzuzeigen und ggf. im Verlaufsprotokoll Ihres Accounts bereitzustellen. Standardmäßig werden diese Interaktionsdaten nach spätestens 30 Tagen automatisch gelöscht. Hinweis: Einige KI-Anbieter speichern die Interaktionen für eigene Zwecke (z.B. zur Missbrauchserkennung) ggf. etwas länger, jedoch haben wir dies vertraglich eingeschränkt. - Metadaten & Logs: Technische Metadaten zu KI-Abfragen (ohne Inhaltsdetails) können wir bis zu 30 Tage zur internen Auswertung (z.B. Fehleranalyse) aufbewahren. Sofern ein Support-Fall vorliegt oder rechtliche Anforderungen bestehen, behalten wir uns vor, einzelne Protokolle bis zur Klärung des Falls länger vorzuhalten. Danach werden auch diese Logs gelöscht oder anonymisiert.

Sie können eine erteilte Einwilligung zur KI-Datenverarbeitung jederzeit mit Wirkung für die Zukunft widerrufen. In den Account-Einstellungen: In Ihrem Benutzerkonto finden Sie unter Datenschutz & KI eine Option, die KI-Funktionen zu deaktivieren bzw. Ihre Einwilligung zurückzuziehen. Per Kontaktaufnahme: Alternativ können Sie uns formlos per E-Mail an datenschutz@typzee.com mitteilen, dass Sie die KI-Nutzung für Ihre Daten widerrufen möchten. Nach einem Widerruf werden wir Ihre zukünftigen Eingaben nicht mehr an die KI-Dienste weiterleiten. Bitte beachten Sie jedoch, dass bereits erfolgte Verarbeitungen durch die KI (bis zum Zeitpunkt des Widerrufs) technisch nicht rückgängig gemacht werden können. Bereits generierte Inhalte und zugehörige Logs bleiben bis zur routinemäßigen Löschung (siehe oben, max. 30 Tage) in unseren Systemen bzw. bei den KI-Anbietern vorhanden. Selbstverständlich werden wir solche Daten aber nicht weiterverarbeiten und auf Wunsch vollständig löschen, sofern dies innerhalb unseres Einflussbereichs liegt.

Bitte übermitteln Sie keine vertraulichen oder sensiblen personenbezogenen Daten im Rahmen der KI-Funktionen. Insbesondere Daten der besonderen Kategorien (z.B. Gesundheitsdaten, religiöse Überzeugungen, politische Meinungen, biometrische Identifikatoren etc.) sollten nicht in Prompts oder Dateiuploads eingegeben werden. Sollte ein Nutzer dennoch derartige Informationen eingeben, werten wir dies als freiwillige Offenlegung. Wir werden bemüht sein, solche sensiblen Daten auf Anforderung aus unseren Systemen zu entfernen (Löschung bzw. Anonymisierung), können jedoch nicht garantieren, dass eine bereits an den KI-Anbieter übermittelte Information umgehend dort gelöscht wird. Nutzen Sie die KI-Funktionen daher mit Bedacht und verzichten Sie lieber auf die Eingabe persönlicher Daten, soweit möglich.

Unsere Website verwendet Cookies und ähnliche Technologien. Details dazu finden Sie in dieser Cookie-Richtlinie (gemäß § 25 TDDDG).

Wir unterscheiden die folgenden Kategorien von Cookies/Trackern: - Notwendige Cookies: Diese sind für den Betrieb unserer Website und Dienste technisch erforderlich (z.B. für den Login oder Warenkorb). Ohne diese Cookies würde die Website nicht korrekt funktionieren. - Funktionale Cookies: Diese verbessern die Nutzererfahrung, indem sie z.B. Ihre Präferenzen speichern (Sprache, Login-Status) oder erweiterte Funktionen ermöglichen. Sie sind optional, erhöhen jedoch den Nutzungskomfort. - Statistik/Analyse-Cookies: Diese Cookies helfen uns zu verstehen, wie Besucher unsere Website nutzen (z.B. welche Seiten beliebt sind, wie lange verweilt wird)[12]. Wir nutzen sie zur Verbesserung unseres Angebots. Solche Cookies werden nur mit Ihrer Einwilligung gesetzt. - Marketing-/Werbe-Cookies: Werden für Werbezwecke eingesetzt, insbesondere um Ihnen relevante, personalisierte Anzeigen anzuzeigen oder den Erfolg von Werbekampagnen zu messen. Diese Cookies stammen teils von Drittanbietern (z.B. Werbenetzwerken). Eine Verwendung erfolgt nur nach Ihrer Einwilligung.

Beim ersten Besuch unserer Seite (und ggf. in regelmäßigen Abständen danach) fragen wir Sie über ein Consent-Banner (bereitgestellt von Usercentrics) nach Ihren Präferenzen. Sie können dort einzelnen Kategorien zustimmen oder sie ablehnen. Ihre Auswahl wird in unserem Consent-Management-System protokolliert (mit Zeitstempel, anonymisierter IP etc.) und als Cookie auf Ihrem Gerät gespeichert, sodass das Banner nicht bei jedem Besuch erneut erscheint. Sie haben jederzeit die Möglichkeit, Ihre Cookie-Einstellungen anzupassen. Verwenden Sie dafür den Link "Cookie-Einstellungen", der im Footer unserer Website verfügbar ist. Darüber können Sie Ihre einmal erteilten Einwilligungen einsehen und widerrufen oder nachträglich erteilen.

Cookies haben unterschiedliche Lebensdauern. Einige werden nach Schließen Ihres Browsers gelöscht (Session-Cookies), andere bleiben für eine definierte Zeit auf Ihrem Gerät (Persistente Cookies). Nachfolgend einige typische Speicherdauern: - Sitzungs-Cookies: gültig nur für die aktuelle Browser-Sitzung (werden beim Schließen des Browsers gelöscht). - Google Analytics (ga, _ga): ca. 14 Monate. - HubSpot Tracking-Cookies (__hstc, __hssc etc.): ca. 13 Monate. - Contentsquare Analytics-Cookies: ca. 12 Monate. - Hotjar-Cookies (_hj): ca. 6 bis 12 Monate (je nach Einstellung). - Marketing-Cookies (Google Ads, Meta Pixel): variabel, ca. 30 bis 90 Tage sind üblich (oder bis Sie diese löschen). - Consent-Cookie (z.B. von Usercentrics zur Speicherung Ihrer Einstellungen): 12 Monate. (Hinweis: Die konkreten Laufzeiten können sich ändern; maßgeblich sind die jeweils aktuellen Angaben in unserem Cookie-Banner bzw. in den Privacy Policies der Drittanbieter.)

Sie können der Verwendung von nicht notwendigen Cookies jederzeit widersprechen bzw. Ihre Einwilligung widerrufen: - Über unseren Cookie-Manager: Wie oben beschrieben, lässt sich über den "Cookie-Einstellungen"-Link Ihre Auswahl anpassen. Dort können Sie Kategorien deaktivieren oder aktivieren. - Über Browsereinstellungen: Sie können in Ihrem Browser alle oder einzelne Cookies löschen und die Annahme von Cookies unterbinden. Details finden Sie in der Hilfe Ihres Browsers. Beachten Sie aber, dass essenzielle Funktionen unserer Website ohne notwendige Cookies eventuell nicht verfügbar sind. - Werbe-Opt-Outs: Für personalisierte Online-Werbung bieten Brancheninitiativen zentrale Opt-Out-Seiten an. Sie können z.B. die Google-Werbeeinstellungen nutzen (adssettings.google.com), die Opt-Out-Seite der Digital Advertising Alliance (optout.aboutads.info) oder die Werbepräferenz-Seite von Facebook (facebook.com/adpreferences). Diese ermöglichen es Ihnen, interessenbasierte Werbung generell oder von einzelnen Anbietern zu deaktivieren.

Ein "Cookie" ist eine kleine Textdatei, die Ihr Browser auf Ihrem Endgerät speichert. Wir verwenden Cookies ausschließlich für die oben genannten Zwecke. Daneben können wir auch den Local Storage oder Session Storage Ihres Browsers nutzen, um bestimmte Daten lokal zu hinterlegen (funktioniert ähnlich wie ein Cookie). Wir betreiben kein aktives Fingerprinting, d.h. wir versuchen nicht, Sie ohne Cookies über eine Kombination technischer Merkmale wiederzuerkennen. Falls wir künftig Fingerprinting-Techniken einsetzen müssten, würden wir Sie transparent informieren und – falls erforderlich – zuvor um Ihre Einwilligung bitten.

Wir nutzen folgende externe Dienste zu Analyse-, Statistik- und Marketingzwecken – selbstverständlich nur mit Ihrer vorherigen Einwilligung (Opt-In über das Cookie-Banner):

HubSpot Analytics: Dient der Verknüpfung von Website-Analysen mit unserem CRM-System. Daten: Nutzungsverhalten auf unserer Website, verknüpft mit bekannten Kontaktdaten (falls vorhanden, z.B. wenn Sie ein Formular ausfüllen). Speicherdauer: ca. 13 Monate. Rechtsgrundlage: Einwilligung (für das Website-Tracking) bzw. Vertrag (für CRM-Funktionen bei Kunden, z.B. zur Kommunikation). (Anbieter: HubSpot, siehe Details in Abschnitt 10.2)

Google Analytics 4: Dient der Web-Analyse (Analyse von Seitenaufrufen, Nutzerverhalten). Daten: pseudonymisierte Nutzungsprofile, gekürzte IP-Adresse. Speicherdauer: 14 Monate. Rechtsgrundlage: Einwilligung. (Anbieter: Google, siehe Abschnitt 10.2) Contentsquare: Dient der UX-Analyse via Heatmaps und Session-Replays (anonymisiert). Daten: Interaktionsdaten ohne Personenbezug (Mausbewegungen, Klicks, Scroll-Verhalten). Speicherdauer: 12 Monate. Rechtsgrundlage: Einwilligung. (Anbieter: Contentsquare, siehe Abschnitt

10.2) Hotjar: Dient der detaillierten Analyse von Formulareingaben, Klicks und Nutzerverhalten (Heatmaps). Daten: Nutzungsdaten, teilweise gerätebezogen (Browser, Betriebssystem). Speicherdauer: 6–12 Monate (je nach Konfiguration). Rechtsgrundlage: Einwilligung. (Anbieter: Hotjar, siehe Abschnitt 10.2) Google Ads (Conversion & Remarketing): Dient dazu, Besucher unserer Seite über Google-Werbenetzwerke erneut anzusprechen und den Erfolg von Anzeigen zu messen. Daten: Google-Werbe-Cookie-ID, besuchte Seiten, Conversion-Ereignisse (z.B. abgeschlossene Käufe). Speicherdauer: typ. 30–90 Tage. Rechtsgrundlage: Einwilligung (Marketing-Cookies). (Anbieter: Google, siehe Abschnitt 10.10) Meta-Pixel: Dient ähnlichen Zwecken für Facebook/Instagram-Werbung (Remarketing & Conversion-Tracking). Daten: Facebook-spezifische Kennungen, Ereignisdaten (z.B. ob ein Kauf abgeschlossen wurde). Speicherdauer: ca. 30–90 Tage. Rechtsgrundlage: Einwilligung. (Anbieter: Meta, siehe Abschnitt 10.10) Weitere Einzelheiten zu diesen Diensten – einschließlich der Anbieterinformationen und Datenübermittlungen – finden Sie in Abschnitt 10 ("Empfänger/Drittanbieter"). 14. Schutz vor Spam, Bots und Missbrauch Zur Absicherung unserer Online-Formulare und -Dienste gegen Spam und automatisierte Angriffe setzen wir insbesondere Google reCAPTCHA ein (siehe auch Abschnitt 10.3). Dieser Dienst analysiert Benutzerinteraktionen (z.B. Mausbewegungen, Tastatureingaben) und verschiedene technische Merkmale, um festzustellen, ob es sich um einen menschlichen Nutzer oder um einen Bot handelt. Dabei können u.a. Ihre IP-Adresse und andere erforderliche Daten an Google in den USA übertragen werden. Rechtsgrundlage: unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) am Schutz vor Missbrauch und Spam auf unserer Website. Ohne diese Maßnahmen könnten wir unsere Formulare nicht sicher betreiben. Sie können die Ausführung von reCAPTCHA durch entsprechende Browser-Plugins oder Einstellungen unterbinden. Beachten Sie aber, dass dann bestimmte Funktionen (z.B. das Absenden von Formularen) nicht mehr verfügbar sind, da wir uns ohne diese Schutzmaßnahme vorbehalten müssen, verdächtigen Datenverkehr zu blockieren. 15. Externe Inhalte und integrierte Dienste Wir binden bisweilen Inhalte von Drittanbietern in unsere Website ein, um die Nutzererfahrung zu verbessern. Dies kann dazu führen, dass beim Aufruf unserer Seiten gewisse Daten (insbesondere Ihre IP-Adresse) an die Server dieser Drittanbieter übertragen werden – ähnlich wie bei einem externen Link. Beispiele: - Google Fonts: Wir nutzen Schriftarten von Google, um eine ansprechende Darstellung zu gewährleisten. Dabei wird Ihre IP-Adresse und Browser-Information an Google übermittelt, wenn die Schriftart von Google-Servern geladen wird. Ort: EU/USA (Google ist DPF-zertifiziert). Rechtsgrundlage: Berechtigtes Interesse an einer konsistenten, attraktiven Darstellung (Art. 6 Abs. 1 lit. f DSGVO). (Hinweis: Wo möglich, halten wir Schriftarten lokal vor, um eine Übermittlung an Google zu vermeiden.) - Social-Media-Plugins / Videos: Wenn wir z.B. YouTube-Videos, Kartenmaterial (Google Maps) oder Social-Media-Feeds einbinden, werden beim Laden dieser Inhalte möglicherweise Cookies der jeweiligen Anbieter gesetzt oder Nutzerstatistiken erhoben. Solche Einbindungen erfolgen nur auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), sofern sie nicht rein technisch notwendig sind. Wir informieren Sie in solchen Fällen separat (z.B. durch einen Hinweis im Cookie-Banner) und holen Ihre Zustimmung ein. Bitte beachten Sie die jeweiligen Datenschutzbestimmungen der Drittanbieter, wenn Sie externe Inhalte nutzen. Soweit möglich, setzen wir datenschutzfreundliche Voreinstellungen ein (z.B. den „erweiterten Datenschutzmodus“ bei YouTube-Videos, der Tracking reduziert). 16. Social-Login (Anmeldung mit Drittanbietern) Sie haben die Möglichkeit, sich auf unserer Plattform über Accounts bei Drittanbietern anzumelden (sog. Social Login). Wir bieten derzeit Login via Google, Facebook/Meta, LinkedIn, X (ehemals Twitter), Instagram und TikTok an. Wenn Sie diese Option nutzen, werden Sie zunächst auf die Plattform des jeweiligen Anbieters geleitet (wo Sie sich mit Ihren Zugangsdaten einloggen müssen). Dort können Sie uns die im jeweiligen Login-Dialog genannten Daten freigeben. Typischerweise erhalten wir von dem Drittanbieter folgende Informationen: - Ihren Namen (wie in Ihrem Drittanbieter-Profil hinterlegt) - Ihre E-Mail-Adresse - Ihr Profilbild (Avatar) - eine eindeutige Nutzer-ID beim jeweiligen Anbieter - ggf. weitere Profildaten, für die Sie eine Berechtigung erteilt haben (z.B. Freundesliste) Wir verwenden diese Daten ausschließlich zur Vereinfachung der Registrierung bzw. Anmeldung auf unserer Plattform. Ihr bei uns angelegtes Nutzerkonto wird mit der jeweiligen Social-Login-ID verknüpft, sodass Sie sich künftig per Klick anmelden können. Wir erhalten keine Zugangsdaten (Passwörter) zu Ihren Drittanbieter-Accounts. Bitte beachten Sie: Sobald Sie auf "Login mit [Anbieter]" klicken, wird eine Verbindung zu den Servern des gewählten Anbieters hergestellt. Dabei können Cookies des Anbieters gesetzt und Daten an diesen übertragen werden. Auf diese Datenerhebung haben wir keinen Einfluss. Informationen zur Datenverarbeitung durch die jeweiligen Anbieter entnehmen Sie bitte deren Datenschutzerklärungen: - Google: Datenschutzerklärung – Anbieter: Google Ireland Ltd., Dublin, Irland (DPF-zertifiziert) - Facebook/Meta: Datenschutzerklärung – Anbieter: Meta Platforms Ireland Ltd., Dublin, Irland (DPF-zertifiziert) - LinkedIn: Datenschutzerklärung – Anbieter: LinkedIn Ireland Unlimited, Dublin, Irland (DPF-zertifiziert) - X (Twitter): Datenschutzerklärung – Anbieter: Twitter International Unlimited, Dublin, Irland - Instagram: Datenschutzerklärung – Anbieter: Meta Platforms Ireland Ltd., Dublin, Irland (DPF-zertifiziert) - TikTok: Datenschutzerklärung – Anbieter: TikTok Technology Ltd., Dublin, Irland / TikTok Inc., USA / TikTok Pte. Ltd., Singapur Rechtsgrundlage: Die Nutzung des Social-Logins erfolgt freiwillig und mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Soweit der Social-Login zur Vertragserfüllung beiträgt (d.h. um Ihnen den Login zu ermöglichen), kann zusätzlich Art. 6 Abs. 1 lit. b DSGVO einschlägig sein. 17. Registrierung und Login direkt bei uns Neben Social-Logins können Sie auch ein Konto direkt bei Fynspark erstellen. Hierfür erfassen wir mindestens eine E-Mail-Adresse und ein von Ihnen gewähltes Passwort. Das Passwort wird verschlüsselt (als Hash mit Salt, z.B. bcrypt/Argon2) in unserer Datenbank gespeichert – niemand (auch kein Administrator) kann es im Klartext einsehen. Wenn Sie Ihr Passwort vergessen, können Sie über die "Passwort vergessen?"-Funktion einen Link zum Zurücksetzen anfordern. Wir versenden dann eine E-Mail mit einem temporären Reset-Link oder Code. Dieser ist aus Sicherheitsgründen zeitlich begrenzt gültig (typisch 60 Minuten). Zwei-Faktor-Authentifizierung (2FA): Wir bieten an, Ihr Konto zusätzlich abzusichern. Bei Aktivierung der 2FA (z.B. via Authenticator-App) wird ein einmaliger Sicherheitsschlüssel (2FA-Secret) generiert. Dieses Secret speichern wir verschlüsselt. Bei jedem Login prüfen wir dann neben Ihrem Passwort auch den von Ihnen generierten 6-stelligen Code. Wir empfehlen allen Nutzern, die 2FA zu aktivieren. Rechtsgrundlage: Die Verarbeitung dieser Registrierungs- und Login-Daten erfolgt zur Durchführung des Nutzervertrags (Art. 6 Abs. 1 lit. b DSGVO). Sicherheitsmaßnahmen wie 2FA erfolgen zudem auf Basis unseres berechtigten Interesses, Ihre Konten bestmöglich zu schützen (Art. 6 Abs. 1 lit. f DSGVO). 18. Kontaktformulare und Newsletter Kontaktformulare: Wenn Sie über ein Formular auf der Website oder per E-Mail mit uns Kontakt aufnehmen, verarbeiten wir Ihre Angaben zur Bearbeitung der Anfrage. Typischerweise erfassen wir Ihren Namen, Ihre E-Mail-Adresse sowie den Inhalt der Nachricht. Zusätzlich werden technisch Ihre IP-Adresse und der Zeitpunkt der Übermittlung protokolliert (als Schutz vor Missbrauch). Wir verwenden diese Daten ausschließlich, um Ihr Anliegen zu beantworten und eventuell gewünschte Maßnahmen durchzuführen. Rechtsgrundlage: Je nach Inhalt der Anfrage Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen/Vertragserfüllung) oder lit. f (berechtigtes Interesse an der Bearbeitung von allgemeinen Anfragen). Newsletter: Wenn Sie sich zu unserem E-Mail-Newsletter anmelden, nutzen wir Ihre E-Mail-Adresse, um Ihnen regelmäßige Informationen zu unseren Produkten, Angeboten oder Neuigkeiten zuzusenden. Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Sie erhalten nach der Registrierung eine E-Mail, in der Sie über einen Klick die Inhaberschaft der E-Mail-Adresse bestätigen. Erst danach wird Ihre Adresse aktiv in den Verteiler aufgenommen. Wir protokollieren den Anmelde- und Bestätigungszeitpunkt sowie die bei der Anmeldung verwendete IP-Adresse (gekürzt), um Ihre Einwilligung nachweisen zu können[12]. Sie können den Newsletter jederzeit über den Abmeldelink am Ende jeder E-Mail oder durch entsprechende Einstellung in Ihrem Konto kündigen. Nach einer Abmeldung erhalten Sie keine Newsletter mehr von uns. Rechtsgrundlage: Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). 19. Zahlungsabwicklung Zahlungen im Rahmen unserer kostenpflichtigen Angebote werden über externe Zahlungsdienstleister abgewickelt – primär Stripe (siehe Abschnitt 10.7). Wenn Sie eine Zahlung durchführen, werden die dafür notwendigen Daten (z.B. Kartennummer, Gültigkeit, CVC bei Kreditkarte, oder andere Zahlungsdetails) direkt vom Zahlungsdienstleister erhoben und verarbeitet. Wir selbst speichern keine vollständigen Zahlungs-Kartendaten auf unseren Servern. Stripe ist nach strengem PCI-DSS-Standard zertifiziert[5], wodurch ein hoher Schutz Ihrer Zahlungsinformationen gewährleistet ist. Die Kommunikation mit Stripe erfolgt verschlüsselt. Stripe übermittelt uns anschließend lediglich Informationen wie einen Zahlungstoken, den Zahlungsstatus (erfolgreich/fehlgeschlagen) und – falls zutreffend – pseudonymisierte Karteninformationen (Kartentyp, verkürzte Kartennummer), damit wir die Zahlung Ihrem Account zuordnen können. Wir führen zudem eine ordnungsgemäße Buchhaltung: Für jede Zahlung wird eine Rechnung mit Ihren angegebenen Rechnungsdaten erstellt, die Sie in Ihrem Konto einsehen und herunterladen können. Diese Rechnungsdaten werden gemäß den gesetzlichen Vorgaben aufbewahrt (siehe Abschnitt 20). Rechtsgrundlage: Zahlungsabwicklungs-Daten verarbeiten wir zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Speicherung von Transaktionsbelegen erfolgt zudem aufgrund rechtlicher Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 147 AO, § 257 HGB). 20. Speicherdauer und Löschung Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Anschließend werden die Daten gelöscht oder anonymisiert. Einige Beispiele für Aufbewahrungsfristen: - Account-Daten: Grundlegende Kontoinformationen (Name, E-Mail, Einstellungen) bewahren wir für die Dauer des aktiven Nutzungsverhältnisses auf. Nach Löschung Ihres Kontos werden diese Daten zunächst gesperrt und spätestens nach Ablauf etwaiger Nachweisfristen vollständig gelöscht. - Vertrags- und Abrechnungsdaten: Angaben auf Rechnungen und Zahlungsbelegen speichern wir 10 Jahre ab Ende des Kalenderjahres, in dem sie entstanden sind (gesetzliche Aufbewahrungspflichten nach Steuer- und Handelsrecht). - Support-Anfragen: Kommunikation mit Ihnen (E-Mails, Chats) halten wir in der Regel so lange vor, bis Ihr Anliegen abschließend geklärt ist, und darüber hinaus höchstens 3 Jahre (für den Fall von Anschlussfragen oder Rechtsstreitigkeiten). - KI-Verarbeitungsdaten: Personenbezogene Inhalte von KI-Anfragen löschen wir i.d.R. binnen 30 Tagen (siehe Abschnitt 11.5). - Analytics-Daten: Daten aus Web-Analyse-Tools und ähnlichen Diensten werden anonymisiert oder nach ca. 12–14 Monaten gelöscht (je nach Tool-Einstellung, siehe Abschnitt 13). - Einwilligungsprotokolle: Nach Widerruf oder Wegfall des Nutzungszwecks bewahren wir Nachweise Ihrer erteilten Einwilligungen (z.B. für Newsletter oder Cookies) für einige Zeit auf – typischerweise mindestens 5 Jahre, um unsere Rechenschaftspflicht zu erfüllen[12]. In bestimmten Fällen kann eine längere Speicherung erfolgen, wenn hierfür rechtliche Gründe bestehen (z.B. laufende behördliche Verfahren oder Rechtsstreitigkeiten) oder Sie uns eine entsprechende Einwilligung erteilt haben. 21. Internationale Datenübermittlungen Eine Übermittlung personenbezogener Daten in sogenannte Drittländer (Staaten außerhalb des Europäischen Wirtschaftsraums – EWR) findet nur statt, wenn bestimmte Voraussetzungen erfüllt sind, um ein dem EU-Datenschutzniveau entsprechendes Schutzniveau zu gewährleisten. Konkret achten wir auf folgende Mechanismen: - Angemessenheitsbeschluss: Für einige Länder hat die EU-Kommission ein angemessenes Datenschutzniveau festgestellt. Z.B. können Daten in die Schweiz oder nach Japan ähnlich wie innerhalb der EU übertragen werden. Seit Juli 2023 gilt auch für die USA wieder ein Angemessenheitsbeschluss im Rahmen des EU–US Data Privacy Framework (DPF)[7]. Soweit unsere US-Partnerunternehmen dort zertifiziert sind, stützen wir Datentransfers auf diesen Beschluss. - Standardvertragsklauseln (SCCs): Mit Empfängern in Ländern ohne Angemessenheitsbeschluss (insbesondere USA, sofern kein DPF-Zertifikat vorliegt, sowie z.B. Indien) schließen wir die aktuellen EU-Standarddatenschutzklauseln gemäß Art. 46 DSGVO ab. Diese Vertragsklauseln verpflichten den Empfänger zur Einhaltung des EU-Datenschutzniveaus. Gegebenenfalls ergänzen wir sie durch zusätzliche Maßnahmen (z.B. Verschlüsselung, pseudonymisierte Datensätze), falls das erforderlich ist[9][10]. - Weitere Garantien: In Einzelfällen können wir uns auf Ausnahmeregelungen der DSGVO stützen (Art. 49), etwa wenn Sie ausdrücklich in eine bestimmte Übermittlung eingewilligt haben oder die Übermittlung zur Vertragserfüllung nötig ist. Auskunft: Auf Anfrage stellen wir Ihnen gerne weitere Informationen zu den konkret getroffenen Maßnahmen und Garantien bei Drittland-Übermittlungen bereit (z.B. Kopie der wesentlichen Vertragsklauseln). Melden Sie sich dafür bitte unter datenschutz@typzee.com. 22. Ihre Rechte als betroffene Person Als von der Datenverarbeitung betroffene Person stehen Ihnen nach der DSGVO eine Reihe von Rechten zu, die Sie uns gegenüber geltend machen können. Im Einzelnen sind dies: Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, können Sie Auskunft über diese Daten sowie weitere Informationen (Verarbeitungszwecke, Kategorien, Empfänger, Speicherdauer etc.) erhalten. Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger, bei uns gespeicherter personenbezogener Daten verlangen. Recht auf Löschung (Art. 17 DSGVO): Sie sind berechtigt, die Löschung Ihrer personenbezogenen Daten zu verlangen ("Recht auf Vergessenwerden"), sofern die gesetzlichen Voraussetzungen erfüllt sind. Dies ist z.B. der Fall, wenn die Daten für die Zwecke nicht mehr notwendig sind, Sie eine erteilte Einwilligung widerrufen und es an einer anderweitigen Rechtsgrundlage fehlt, oder die Verarbeitung unrechtmäßig erfolgte. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Umständen können Sie verlangen, dass wir die Verarbeitung Ihrer Daten nur noch eingeschränkt betreiben (z.B. wenn Sie die Richtigkeit der Daten bestreiten, für die Prüfdauer). Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem gängigen, maschinenlesbaren Format zu erhalten. Außerdem können Sie verlangen, dass wir diese Daten – soweit technisch machbar – einem anderen Verantwortlichen übermitteln. Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer personenbezogenen Daten, die wir auf Grundlage eines berechtigten Interesses durchführen, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Wenn Sie von diesem Recht Gebrauch machen, prüfen wir die Lage und werden entweder die Verarbeitung einstellen oder unsere zwingenden schutzwürdigen Gründe darlegen. Gegen Direktwerbung können Sie jederzeit ohne Angabe von Gründen Widerspruch einlegen; wir werden Ihre Daten dann nicht mehr zu diesem Zweck verarbeiten. Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Wenn Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt. Recht auf Beschwerde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem EU-Mitgliedstaat Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für uns zuständig ist in der Regel der Sächsische Datenschutzbeauftragte (siehe Abschnitt 4 oben), den Sie jederzeit kontaktieren können. Sie können Ihre oben genannten Rechte jederzeit formlos per E-Mail an uns richten: datenschutz@typzee.com. Alternativ können Sie uns postalisch kontaktieren (Adresse siehe Abschnitt 36, Impressum). 22.1 Verfahren zur Identitätsprüfung Bitte haben Sie Verständnis dafür, dass wir bei bestimmten Anfragen (insbesondere Auskunft, Löschung) einen Nachweis Ihrer Identität verlangen müssen, um unberechtigte Auskünfte an Dritte zu verhindern. Hierfür kann es erforderlich sein, dass Sie uns z.B. eine Ausweiskopie oder ähnliche Identifizierungsinformationen übermitteln. Wir werden diese Nachweise ausschließlich zum Abgleich der Berechtigung nutzen und anschließend löschen. Selbstverständlich verlangen wir nur das Mindestmaß an Informationen – Sie können z.B. auf einer Ausweiskopie alle Angaben schwärzen bis auf Name und Adresse. 22.2 Bearbeitungsfristen Wir bemühen uns, allen Anfragen zügig nachzukommen. Spätestens innerhalb eines Monats nach Eingang Ihrer Anfrage erhalten Sie von uns eine Antwort[12]. In Ausnahmefällen kann diese Frist um weitere zwei Monate verlängert werden, etwa aufgrund der Komplexität oder Anzahl der Anfragen – in diesem Fall informieren wir Sie innerhalb der ersten Monatsfrist über die Verzögerung und deren Gründe. Wir bestätigen den Eingang Ihrer Anfrage in der Regel binnen weniger Tage (spätestens innerhalb einer Woche), damit Sie sicher sein können, dass Ihre Nachricht bei uns angekommen ist. 23. Widerspruch und Widerruf; Werbe-Opt-Out Newsletter/Marketing-Mails: Wenn Sie von uns keinen Newsletter oder keine Werbung mehr erhalten möchten, können Sie dem jederzeit widersprechen bzw. eine erteilte Einwilligung widerrufen. Nutzen Sie dafür den Abmeldelink in einer unserer E-Mails oder ändern Sie die entsprechende Einstellung in Ihrem Nutzerkonto (siehe auch Abschnitt 18). Selbstverständlich können Sie uns auch eine formlose Nachricht an support@fynspark.com senden. Ein Widerruf gilt ab dem Zeitpunkt Ihres Eingangs bei uns. Personalisierte Online-Werbung: Wie in Abschnitt 12.4 beschrieben, können Sie interessenbasierte Online-Werbung durch Dritte deaktivieren. Insbesondere haben Sie folgende Möglichkeiten: - Anpassung der Google-Werbeeinstellungen: adssettings.google.com - Branchenweite Opt-Out-Seite der Digital Advertising Alliance: optout.aboutads.info - Einstellungen für personalisierte Werbung auf Facebook/Instagram: facebook.com/adpreferences Wenn wir Ihre Daten auf Basis eines berechtigten Interesses verarbeiten, können Sie dieser Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen (siehe Art. 21 DSGVO und Erläuterung in Abschnitt 22). Richten Sie einen solchen begründeten Widerspruch bitte an datenschutz@typzee.com. Wir werden die Lage dann prüfen und entweder die Datenverarbeitung einstellen oder Ihnen unsere zwingenden schutzwürdigen Gründe mitteilen, weshalb wir die Verarbeitung fortführen dürfen. Hinweis: Einmal erteilte Einwilligungen können Sie ebenfalls jederzeit mit Wirkung für die Zukunft widerrufen (siehe Abschnitt 22). Der Widerruf lässt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung unberührt. 24. Automatisierte Entscheidungsfindung und Profiling Im Zusammenhang mit unseren Diensten kommt es zu teilweise automatisierten Verarbeitungen, z.B. durch unsere KI-Funktionen (die automatisch Texte oder Inhalte generieren) oder durch Algorithmen, die Nutzungsdaten auswerten, um personalisierte Empfehlungen zu geben. Diese Vorgänge können als Profiling bzw. automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO angesehen werden. Wichtig: Es werden keine Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Auswirkung ausschließlich automatisiert getroffen. Mit anderen Worten: Keine KI-Entscheidung entfaltet für Sie unmittelbar rechtliche Konsequenzen oder beeinträchtigt Sie in ähnlicher Weise erheblich. Beispiele: Unsere KI kann zwar Vorschläge oder Inhalte generieren, doch Sie als Nutzer entscheiden, ob und wie Sie diese verwenden. Ebenso können automatisierte Bewertungen stattfinden (z.B. Risikoprüfungen bei verdächtigen Login-Versuchen), aber kritische Entscheidungen (wie die Sperrung eines Kontos) werden stets von einem menschlichen Mitarbeiter überprüft. Ihre Rechte: Sie haben das Recht, Auskunft darüber zu verlangen, ob eine automatisierte Entscheidungsfindung einschließlich Profiling in Ihrem Fall stattfindet und – falls ja – aussagekräftige Informationen über die involvierte Logik zu erhalten. Falls wir ein solches Verfahren einsetzen, können Sie zudem verlangen, dass eine tatsächliche Person die automatisierte Entscheidung überprüft (Art. 22 Abs. 3 DSGVO). Sie können auch jederzeit Ihre Sichtweise darlegen oder der Entscheidung widersprechen. Aktuell ist ein derartiger Fall bei uns jedoch nicht gegeben: Es findet keine vollautomatisierte Ablehnung oder Zusage gegenüber Ihnen statt, ohne dass ein Mensch zumindest kontrollierend eingebunden ist. 25. Verarbeitung besonderer personenbezogener Daten Daten über ethnische Herkunft, Gesundheit, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit oder Sexualleben (sog. besondere Kategorien i.S.d. Art. 9 DSGVO) verarbeiten wir weder als Kerntätigkeit noch in großem Umfang. Wir bitten Sie ausdrücklich, uns solche sensiblen Informationen nicht bereitzustellen, sofern nicht unbedingt erforderlich. Sollten Sie uns dennoch freiwillig solche Informationen mitteilen (z.B. durch Freitexteingaben in einer Anfrage oder einem Prompt), werden wir diese nur verarbeiten, wenn eine der Ausnahmen des Art. 9 Abs. 2 DSGVO greift. In der Regel käme hier nur Ihre ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) in Betracht. Wir behalten uns vor, in solchen Fällen eine gesonderte Zustimmung von Ihnen einzuholen. Bitte beachten Sie: Wenn Sie sensible Angaben unaufgefordert machen, geschieht dies auf eigene Verantwortung. Wir werden zwar vertraulich damit umgehen und – falls möglich – eine Löschung anbieten (siehe Abschnitte 6.9 und 11.7), doch können wir nicht immer verhindern, dass solche Angaben eventuell in unseren automatisierten Systemen kurzzeitig auftauchen. 26. Sicherheit: Technische und organisatorische Maßnahmen Wir nehmen den Schutz Ihrer Daten sehr ernst und haben umfangreiche technische und organisatorische Maßnahmen (TOMs) implementiert, um ein angemessenes Sicherheitsniveau zu gewährleisten (Art. 32 DSGVO). 26.1 Technische Schutzmaßnahmen Verschlüsselung während der Übertragung: Sämtliche Kommunikation zwischen Ihrem Browser bzw. Ihrer App und unseren Servern erfolgt TLS-verschlüsselt (aktuelles Protokoll TLS 1.3, Fallback TLS 1.2). Dadurch sind Ihre Daten auf dem Weg durchs Internet vor Mitlesen oder Manipulation geschützt. Verschlüsselung der Datenspeicherung: Alle sensiblen Daten werden auch im Ruhezustand verschlüsselt gespeichert, insbesondere Datenbank-Backups und Datenträger in unseren Servern (mindestens AES-256). Zugriffskontrollen: Unsere internen Systeme sind durch mehrstufige Authentifizierungen geschützt. Wir nutzen ein rollenbasiertes Berechtigungskonzept (RBAC); jeder Mitarbeiter hat nur Zugriff auf die Daten, die er für seine Aufgabe benötigt ("Least Privilege"). Administrationszugriffe erfordern starke Passwörter und teils Multi-Faktor-Authentifizierung. Logging & Monitoring: Wichtige Zugriffe und Änderungen an systemrelevanten Daten werden protokolliert. Wir setzen automatische Überwachungsmechanismen ein (z.B. ein Intrusion-Detection-System), die verdächtige Aktivitäten erkennen. Netzwerk- und Anwendungsschutz: Unsere Server sind durch Firewalls abgesichert. Wir nutzen u.a. die Web Application Firewall von Cloudflare, um Angriffe (z.B. SQL-Injection, XSS) zu blockieren. Zudem haben wir einen leistungsfähigen DDoS-Schutz implementiert (Cloudflare Enterprise), um auch massenhafte Attacken abwehren zu können. Systemtrennung: Wir betreiben Entwicklungs-, Test- und Produktionsumgebungen getrennt voneinander, sodass Testdaten keine Rückschlüsse auf echte Daten zulassen und Fehler in der Entwicklung keine Produktivdaten gefährden. 26.2 Organisatorische Schutzmaßnahmen Sicherheitskonzept & Prozesse: Wir verfügen über ein aktuelles IT-Sicherheits- und Datenschutzkonzept. Regelmäßige Penetrationstests und Schwachstellen-Scans werden durchgeführt, um unsere Systeme auf potenzielle Lücken zu überprüfen. Für den Ernstfall existiert ein Incident-Response-Plan, der regelt, wie bei Sicherheitsvorfällen vorzugehen ist. Datenschutz durch Voreinstellung: Beim Entwickeln neuer Features achten wir frühzeitig auf Datenschutz (Privacy by Design & Default). Es gilt das Prinzip der Datenminimierung und Pseudonymisierung: Es werden nur die nötigsten personenbezogenen Daten erhoben und wo möglich durch Pseudonyme/IDs ersetzt. Backups & Recovery: Wir fertigen regelmäßige verschlüsselte Backups aller wichtigen Daten an. Diese werden auf Integrität geprüft und es finden Tests statt, um die erfolgreiche Wiederherstellung zu verifizieren. So stellen wir sicher, dass im Falle eines technischen Problems kein dauerhafter Datenverlust eintritt. Mitarbeiterschulung & -verpflichtung: Alle Mitarbeiter werden beim Onboarding und danach laufend in Datenschutz- und IT-Sicherheitsfragen geschult. Sie sind vertraglich zur Vertraulichkeit verpflichtet und müssen unsere internen Datenschutz-Richtlinien einhalten. Kontrolle & Anpassung: Unsere getroffenen Maßnahmen werden regelmäßig auf Wirksamkeit überprüft und bei Bedarf an neue Risiken, gesetzliche Anforderungen oder den Stand der Technik angepasst. Interne Audits helfen uns, Schwachstellen frühzeitig zu erkennen und zu beheben. 27. Meldung von Datenschutzverletzungen Trotz aller Vorsichtsmaßnahmen kann nie vollständig ausgeschlossen werden, dass es zu einer Datenschutzverletzung (Datenpanne) kommt. Unter einer solchen versteht die DSGVO z.B. den Verlust, Diebstahl oder unbefugten Zugriff auf personenbezogene Daten. Wir haben für solche Fälle einen definierten Ablauf: Interne Meldung: Mitarbeiter sind verpflichtet, Vorfälle unverzüglich intern zu melden. Jeder Vorfall wird dokumentiert und eingehend geprüft. Benachrichtigung der Aufsichtsbehörde: Sollte sich herausstellen, dass ein Datenschutzvorfall vorliegt, der ein Risiko für die Rechte und Freiheiten der Betroffenen darstellt, melden wir dies unverzüglich – spätestens innerhalb von 72 Stunden nach Bekanntwerden – der zuständigen Datenschutz-Aufsichtsbehörde[12] (Art. 33 DSGVO). Die Meldung enthält die in Art. 33 DSGVO geforderten Informationen (Beschreibung des Vorfalls, Anzahl der Betroffenen, Kategorien betroffener Daten, ergriffene Maßnahmen etc.). Von einer Meldung kann ausnahmsweise abgesehen werden, wenn das Risiko für die Betroffenen als gering einzuschätzen ist. Benachrichtigung der betroffenen Personen: Besteht durch eine Datenpanne ein hohes Risiko für Ihre persönlichen Rechte und Freiheiten, werden wir Sie unverzüglich über den Vorfall informieren (Art. 34 DSGVO). Diese Benachrichtigung erfolgt unter Angabe der Art des Vorfalls, der wahrscheinlichen Folgen und der von uns ergriffenen oder vorgeschlagenen Gegenmaßnahmen (z.B. Empfehlung, Passwörter zu ändern). Gegenmaßnahmen & Dokumentation: Wir ergreifen sofort angemessene Maßnahmen, um den Vorfall einzudämmen und weitere Risiken zu minimieren (z.B. Sperrung betroffener Zugänge, Wiederherstellung von Backups, Sicherheitsupdates). Alle Datenschutzvorfälle – egal wie klein – werden in einem internen Register dokumentiert, inklusive Ursachenanalyse, betroffener Daten, Folgen und aller ergriffenen Gegenmaßnahmen. 28. Datenschutz-Folgenabschätzung (DSFA) Für bestimmte Datenverarbeitungen, die ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben können, führen wir gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) durch. Dies betrifft insbesondere neue Technologien oder Verarbeitungsvorgänge in sensiblen Bereichen (z.B. Nutzung von KI-Systemen in Kundenprozessen, umfangreiches Profiling, automatisierte Entscheidungsfindung). Eine DSFA umfasst: - eine systematische Beschreibung des geplanten Verarbeitungsvorgangs und der verfolgten Zwecke, - eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zu diesen Zwecken, - eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen (unter Berücksichtigung von Eintrittswahrscheinlichkeit und Schwere möglicher Folgen), - sowie die geplanten Abhilfemaßnahmen, mit denen wir die Risiken eindämmen und den Schutz der Daten sicherstellen (z.B. technische Schutzmaßnahmen, organisatorische Vorkehrungen). Sofern eine DSFA ergibt, dass trotz der Maßnahmen ein hohes Restrisiko bestehen würde, konsultieren wir vor Beginn der Verarbeitung die zuständige Aufsichtsbehörde (Art. 36 DSGVO). Bislang war eine solche Konsultation nicht erforderlich, da wir die Risiken im Rahmen unserer Projekte durch geeignete Maßnahmen ausreichend reduzieren konnten. 29. Digital Services Act (DSA) und EU AI Act Wir richten uns nach den einschlägigen Bestimmungen des Digital Services Act (DSA) sowie bereiten uns auf die Anforderungen der EU-KI-Verordnung (AI Act) vor. Digital Services Act (DSA): Als Online-Plattform erfüllen wir die Transparenz- und Sorgfaltspflichten gemäß dem DSA (in Deutschland umgesetzt durch das Digitale-Dienste-Gesetz, DDG). Insbesondere haben wir ein Verfahren implementiert, um rechtswidrige Inhalte auf unserer Plattform zu melden und bei berechtigter Meldung zügig zu entfernen oder zu sperren. Die Bundesnetzagentur fungiert in Deutschland als zuständige Behörde für das DDG. Wir veröffentlichen darüber hinaus Berichte über unsere Moderationspraktiken, soweit dies gesetzlich verlangt ist, und halten ein Verzeichnis sogenannter Trusted Flaggers vor. EU AI Act: Die europäische KI-Verordnung (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten und wird in den kommenden Jahren stufenweise anwendbar. Wir beobachten die Rechtsentwicklung genau und ergreifen bereits frühzeitig Maßnahmen, um konform zu sein: - Transparenz: Wenn Nutzer mit einer KI interagieren oder KI-generierte Inhalte angezeigt bekommen, machen wir dies deutlich kenntlich (z.B. Kennzeichnung von KI-Antworten als solche). - Kontrollmöglichkeiten: Nutzer behalten jederzeit die Kontrolle über eingegebene Daten und generierte Inhalte. Wir bieten z.B. die Möglichkeit, KI-Funktionen abzuschalten bzw. Ausgaben zu löschen (siehe Abschnitt 11.6). - Nachvollziehbarkeit: Wir protokollieren KI-Interaktionen und -Ausgaben soweit möglich, um bei Bedarf die Funktionsweise analysieren zu können. Entscheidungen, die im Zusammenhang mit unseren KI-Funktionen getroffen werden, halten wir fest. - Risikomanagement: Wir überprüfen unsere KI-Systeme regelmäßig auf mögliche Risiken (z.B. Verzerrungen oder Diskriminierungsgefahren in den Modellergebnissen) und implementieren Maßnahmen, um diese Risiken zu minimieren. Wir achten auf faire und nicht-diskriminierende Resultate. - Compliance unserer KI-Anbieter: Wir stellen vertraglich sicher, dass alle von uns genutzten KI-Dienste die Vorgaben des DSA, der DSGVO und des AI Act einhalten. Sollte ein Anbieter die Anforderungen nicht mehr erfüllen, werden wir den Dienst nicht weiter einsetzen. - Kennzeichnung & Nutzungseinschränkungen: KI-generierte Inhalte werden bei uns als solche gekennzeichnet. Wir setzen keine KI für verbotene Praktiken ein – insbesondere betreiben wir kein Social Scoring (Bewertung von Personen anhand ihres Verhaltens für allgemeine Zwecke) und verwenden keine manipulativen Techniken, die auf unterschwelligen oder ausnutzenden KI-Mechanismen beruhen. Wir werden diese Maßnahmen fortlaufend anpassen, sobald weitere konkrete Anforderungen aus dem DSA oder AI Act anwendbar werden. 30. Datenschutz bei mobilen Apps Wenn Sie unsere Dienste über eine mobile App nutzen, gelten alle oben genannten Grundsätze entsprechend. Zusätzlich können in der App-Nutzung weitere Daten anfallen, die bei der Nutzung der Website nicht ins Spiel kommen: - eine eindeutige Geräte-ID (z.B. eine UUID oder gerätespezifische Kennung), - Informationen über das Gerät (Gerätetyp, Betriebssystem und -version, Modell), - die installierte App-Version, - ggf. der Mobilfunkanbieter (zur Netzwerkanbindung), - falls Sie Push-Benachrichtigungen erlauben, ein anonymer Push-Token, um Ihr Gerät adressieren zu können, - falls Sie Standortzugriff erlauben, Ihr Standort (z.B. GPS-Koordinaten). Diese Daten verwenden wir, um App-spezifische Funktionen bereitzustellen (z.B. standortbezogene Services, falls vorhanden) und die App-Qualität zu verbessern (z.B. Fehlerberichte, Kompatibilität mit verschiedenen Geräten). Für Standortdaten holt Ihr mobiles Betriebssystem eine ausdrückliche Berechtigung von Ihnen ein. Sie können den Zugriff auf Standort oder andere Gerätesensoren jederzeit in den Einstellungen Ihres Geräts deaktivieren. Unsere App wird auch ohne diese Berechtigungen funktionieren, allerdings eventuell mit eingeschränktem Funktionsumfang. Speicherdauer: Gerätedaten (wie Gerätetyp, Push-Token) speichern wir grundsätzlich nur, solange Ihr Account aktiv ist oder bis Sie die App deinstallieren. Diagnosedaten/Logs aus der App (die evtl. Geräte-IDs enthalten können) werden typischerweise nach 30 Tagen gelöscht. 31. Systemprotokolle und Wartung Unsere Server und Anwendungen erzeugen Protokolldateien (Logs), die zum Betrieb, zur Fehleranalyse und zur Sicherheit benötigt werden. Diese Logs können z.B. die Zugriffe auf die Website, Seitenabrufe, Systemmeldungen oder Fehlermeldungen enthalten. Dabei werden in der Regel IP-Adressen, Zeitstempel und angefragte Ressourcen protokolliert. Fehler-Monitoring (Sentry): Wie in Abschnitt 10.3 erwähnt, nutzen wir den Dienst Sentry, um technische Fehler in unseren Anwendungen zu erfassen. In einem Fehlerlog können z.B. der Gerätetyp, die Browserversion, Ausschnitte aus dem Programmcode und die IP-Adresse zum Fehlerzeitpunkt enthalten sein. Solche Fehlerlogs dienen ausschließlich der schnellen Fehlerbehebung und werden nach ca. 30 bis 90 Tagen automatisch gelöscht. Server- und Zugriffslogs: Unsere Webserver und Infrastruktur-Dienste speichern Zugriffsprotokolle (wer hat wann welche Seite aufgerufen, mit welcher IP-Adresse und welchem User-Agent etc.). Diese Daten nutzen wir für die Sicherstellung des Betriebs und die Abwehr von Angriffen. Unauffällige Logs werden nach ca. 30 Tagen gelöscht. Bei sicherheitsrelevanten Ereignissen (z.B. mehrfachen fehlgeschlagenen Login-Versuchen) können einzelne Logeinträge länger aufbewahrt werden, bis der Vorfall geklärt ist. 32. Übermittlung an Behörden In bestimmten Fällen sind wir gesetzlich verpflichtet, personenbezogene Daten an staatliche Stellen weiterzugeben. Dies kann z.B. bei Vorlage eines gültigen Gerichtsbeschlusses oder einer vollstreckbaren behördlichen Anordnung der Fall sein (etwa im Rahmen von Strafverfolgungsmaßnahmen). Wir prüfen jede Herausgabe-Anordnung sorgfältig auf ihre Rechtmäßigkeit. Ohne eine entsprechende Rechtsgrundlage werden wir keine Daten an Dritte oder Behörden herausgeben. Soweit es uns gesetzlich erlaubt ist, werden wir betroffene Nutzer über behördliche Anfragen informieren. In einigen Fällen kann jedoch eine gesetzliche Geheimhaltungspflicht bestehen, die uns untersagt, eine solche Anfrage öffentlich zu machen. 33. Regionale Hinweise (EU und Schweiz) Diese Datenschutzerklärung ist in erster Linie auf die Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) ausgerichtet und gilt für alle Nutzer innerhalb der Europäischen Union bzw. des EWR. Für EU-Bürger gelten die oben beschriebenen Rechte und Fristen entsprechend. Schweiz: Wir erfüllen selbstverständlich auch die Vorgaben des neuen Schweizer Datenschutzgesetzes (nDSG). Schweizer Nutzer haben im Wesentlichen vergleichbare Rechte wie oben dargestellt. Anstelle einer EU-Aufsichtsbehörde können Sie sich bei Anliegen auch an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wenden. Beachten Sie, dass die Europäische Kommission die Schweiz als Land mit angemessenem Datenschutzniveau anerkannt hat. Datentransfers zwischen der EU und der Schweiz sind daher zulässig, ohne dass es weiterer spezieller Genehmigungen bedarf. Unsere beschriebenen Datenschutzgrundsätze gelten unabhängig vom Wohnsitz unserer Nutzer. 34. Minderjährige Unsere Plattform richtet sich nicht an Kinder unter 16 Jahren. Gemäß Art. 8 DSGVO ist die Einwilligung von Kindern unter 16 Jahren nur wirksam, wenn die Erziehungsberechtigten zugestimmt haben[13]. Wir verlangen daher, dass Nutzer mindestens 16 Jahre alt sind oder – falls jünger – die Einwilligung eines Erziehungsberechtigten vorliegt. Wir erheben nicht wissentlich Daten von Personen unter 16 Jahren ohne entsprechende Zustimmung. Sollte uns zur Kenntnis gelangen, dass wir unbeabsichtigt personenbezogene Daten eines Kindes unter 16 Jahren verarbeiten, werden wir diese Daten umgehend löschen bzw. die Verarbeitung einstellen. 35. Änderungen dieser Datenschutzerklärung Wir behalten uns vor, diese Datenschutzerklärung jederzeit zu ändern. Wesentliche Änderungen (z.B. neuer Einsatz von KI-Anbietern, Transfers in Drittländer) werden wir angemeldeten Nutzern über geeignete Kommunikationswege ankündigen (etwa per E-Mail). Die jeweils aktuelle Fassung ist an dem oben angegebenen Datum erkennbar. Frühere Versionen dieser Erklärung halten wir in unserem Archiv bereit. Auf Anfrage stellen wir Ihnen gerne eine Kopie früherer Fassungen zur Verfügung. Versionshistorie: - Version 2.1 – 29.11.2025: Erweiterung um neue Dienste (Intercom, ClickUp, Onepage.io) und vollständige Anbieterinformationen; detaillierte Beschreibung der KI-Nutzung und Anpassung an TDDDG/DSA. - Version 2.0 – 28.11.2025: Vollständige Überarbeitung und Erweiterung (insbesondere Integration von Anthropic Claude als KI-Dienst). 36. Kontakt und Impressum Verantwortlicher Diensteanbieter: Typzee UG (haftungsbeschränkt), Paul-Bertz-Straße 8, 09120 Chemnitz, Deutschland. Registergericht: Amtsgericht Chemnitz, HRB 37269. Geschäftsführer: Eric Fröhlich. Für Rückfragen oder Anliegen erreichen Sie uns unter: E-Mail: support@fynspark.com Datenschutz: datenschutz@typzee.com Weitere Informationen (z.B. Umsatzsteuer-ID) finden Sie in unserem Impressum auf der Website. [1] [2] [3] DDG and TDDDG here! What changes the laws bring for website operators - Ailance https://2b-advice.com/en/2024/05/22/ddg-and-tdddg-because-what-changes-the-laws-bring-for-website-operators/ [4] Der betriebliche Datenschutzbeauftragte - IHK Ostbrandenburg http://www.ihk.de/ostbrandenburg/zielgruppeneinstieg-gruender/datenschutz/der-betriebliche-datenschutzbeauftragte-1957840 [5] How to store customers' card information - Stripe https://stripe.com/resources/more/how-to-store-customer-card-information-a-quick-guide-to-staying-compliant [6] Art. 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten https://dsgvo-gesetz.de/art-9-dsgvo/ [7] Adequacy decision for safe EU-US data flows - European Commission https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721 [8] theNET | Pursuing privacy-first security - Cloudflare https://www.cloudflare.com/the-net/pursuing-privacy-first-security/privacy-led-security/ [9] [10] OpenAI, Microsoft & EU-US Data Privacy Framework – Data protection https://shop.hassenpflug.online/en/blogs/news/openai-microsoft-das-eu-us-data-privacy-framework-datenschutzrechtliche-risiken-und-entwicklungen-im-lichte-aktueller-rechtsprechung?srsltid=AfmBOoqu12B_KEslpgz3uUK352o_u3UR4BaystAV9DZfCTgPSoF9NnZK [11] How Intercom complies with GDPR https://www.intercom.com/help/en/articles/1385437-how-intercom-complies-with-gdpr [12] Art. 12 DSGVO – Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person https://dsgvo-gesetz.de/art-12-dsgvo/ [13] Anforderungen an die Einwilligung von Kindern nach der DSGVO https://www.dr-datenschutz.de/anforderungen-an-die-einwilligung-von-kindern-nach-der-dsgvo/