Datenschutzerklärung

01 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Anbieter

ARAYA UG (haftungsbeschränkt) i.G.

Anschrift

Am Eulenstein 6 77704 Oberkirch Deutschland

Geschäftsführer

Maximilian Christian Klattig

E-Mail

[email protected]

Eine dedizierte E-Mail-Adresse für Datenschutzanfragen wird nach Eintragung im Handelsregister eingerichtet. Bis dahin erreichst du uns für alle datenschutzrechtlichen Anliegen unter [email protected].

Ein Datenschutzbeauftragter ist gesetzlich derzeit nicht erforderlich (§ 38 BDSG). Sobald sich dies ändert, wird ein Datenschutzbeauftragter benannt und an dieser Stelle veröffentlicht.

02 Geltungsbereich dieser Erklärung

Diese Erklärung gilt für alle Dienste der ARAYA-Plattform, insbesondere:

• die öffentliche Website unter araya.social (Marketing, Informationsseiten, Warteliste, Kontaktformular, Terminbuchung)
• das Backend-API unter api.araya.social (Nutzerkonten, Profile, Marktplatz-Funktionen, Social-Media-Verknüpfung)
• die ARAYA iOS-App
• die Administrations-Oberfläche unter api.araya.social/admin (zugriffsbeschränkt, ausschließlich interne Nutzung)

Soweit einzelne Funktionen besondere Datenverarbeitungen auslösen, werden diese in den nachfolgenden Sektionen separat beschrieben.

03 Welche Daten wir verarbeiten

Wir verarbeiten personenbezogene Daten nur in dem Umfang, der für den Betrieb der Plattform und die Kommunikation mit dir erforderlich ist. Konkret können je nach Nutzung folgende Datenarten anfallen:

• Server-Log-Daten beim Aufruf der Website oder des API: IP-Adresse (gekürzt oder anonymisiert durch Cloudflare), Zeitpunkt der Anfrage, aufgerufene Ressource, Referrer-URL, User-Agent.
• Bei Nutzung des Kontaktformulars: Name, E-Mail-Adresse, Betreff und Inhalt deiner Nachricht.
• Bei direkter E-Mail-Kontaktaufnahme an [email protected]: die übermittelten Inhalte sowie technische Metadaten deiner E-Mail.
• Bei Eintragung in die Warteliste: E-Mail-Adresse, Name, Rolle (Brand/Creator), bei Brands zusätzlich Firmenname, Website und Mitarbeiter-Größenklasse, bei Creators Nischen und ungefähre Reichweiten-Spanne.
• Bei Registrierung eines Nutzerkontos: E-Mail-Adresse, Passwort (ausschließlich als gesalzener Hash gespeichert, nicht im Klartext), Name, Rolle (Brand/Creator), Zeitstempel.
• Im Profil: optional Anzeigename, Bio, ausgewählte Nischen, Sprachen, Land, Avatar-Bild, Portfolio-Bilder und -Videos.
• Bei Brands zusätzlich: Firmenname, Website, Branche, Logo, Beispielkampagnen.
• Bei Creators zusätzlich: verknüpfte Social-Media-Accounts (Plattform-Benutzername, Plattform-Nutzer-ID, OAuth-Zugriffstoken, Refresh-Token, Token-Ablaufzeit), öffentlich abrufbare Reichweiten- und Engagement-Werte, angebotene Pakete, Preise.
• Bei Marktplatz-Aktivität: Kampagnen, Briefings, Nachrichten zwischen Brand und Creator, Deal-Status, hochgeladener Content, Bewertungen.
• Bei der iOS-App: technische Geräte-Metadaten zur Authentifizierung (anonymes Geräte-Kennzeichen, Push-Notification-Token, App-Version, iOS-Version).

Wir verarbeiten keine besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO (Gesundheitsdaten, politische Meinungen etc.). Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung dir gegenüber, einschließlich Profiling nach Art. 22 DSGVO, findet nicht statt.

04 Zwecke der Verarbeitung

Wir verarbeiten die genannten Daten ausschließlich zu folgenden Zwecken:

• Technische Bereitstellung und Absicherung der Website, des Backends und der iOS-App (Server-Logs, DDoS-Schutz, Bot-Abwehr, Fehlerdiagnose).
• Beantwortung deiner Kontaktanfragen und Abwicklung damit verbundener Kommunikation.
• Verwaltung deines Nutzerkontos einschließlich Registrierung, Login, Passwort-Reset und E-Mail-Verifizierung.
• Darstellung und Pflege deines Profils sowie Vermittlung von Kooperationen zwischen Brands und Creators (Such- und Matching-Funktionen, Messaging, Deal-Abwicklung).
• Verifikation und Anzeige von Reichweite und Engagement der Creator auf Basis der von dir verknüpften Social-Media-Konten.
• Versand transaktionaler E-Mails (Verifizierung, Passwort-Reset, Deal-Benachrichtigungen, Statusmeldungen).
• Erfüllung gesetzlicher Aufbewahrungs- und Dokumentationspflichten (insbesondere handels- und steuerrechtlich) sowie der Melde- und Sorgfaltspflichten nach dem Plattformen-Steuertransparenzgesetz (PStTG).

Eine Weiterverarbeitung für andere Zwecke findet nur statt, wenn die gesetzlichen Voraussetzungen nach Art. 6 Abs. 4 DSGVO vorliegen. Eine Weitergabe deiner Daten an Dritte zu Werbezwecken oder ein Verkauf deiner Daten ist ausgeschlossen.

05 Rechtsgrundlagen

Die Verarbeitung deiner personenbezogenen Daten stützen wir auf folgende Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO:

• lit. a — Einwilligung: Wenn du uns eine Einwilligung erteilt hast, etwa für die Verknüpfung deiner Social-Media-Konten, für die Terminbuchung über Calendly oder für spätere Newsletter.
• lit. b — Vertragserfüllung und vorvertragliche Maßnahmen: Für die Bereitstellung deines Nutzerkontos, des Profils, der Matching-, Messaging- und Deal-Funktionen sowie für die Beantwortung von Anfragen mit Vertragsanbahnungsbezug.
• lit. c — Rechtliche Verpflichtung: Soweit wir zur Speicherung aus gesetzlichen Gründen verpflichtet sind (Handels- und Steuerrecht, PStTG, BDSG).
• lit. f — Berechtigte Interessen: Für den technischen Betrieb, die Absicherung gegen Missbrauch, die Fehleranalyse, die Betrugsprävention sowie für die Beantwortung allgemeiner Anfragen. Unser berechtigtes Interesse liegt in einer stabilen, sicheren, missbrauchsfreien und nutzbaren Plattform.

Erteilte Einwilligungen kannst du jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

06 Nutzerkonto und Profil

Wenn du dich auf ARAYA registrierst, legen wir ein Nutzerkonto auf unseren Servern an. Pflichtangaben sind E-Mail-Adresse, Passwort und Rolle (Brand oder Creator). Dein Passwort speichern wir ausschließlich als kryptografisch gesalzenen Hash (bcrypt) — nicht im Klartext und nicht reversibel.

Für die Authentifizierung nutzen wir signierte JSON Web Tokens (JWT). Diese werden bei erfolgreichem Login ausgestellt, lokal in deinem Gerät gespeichert und bei API-Anfragen mitgesendet. Die Tokens enthalten ausschließlich deine Nutzer-ID, deine Rolle und Ablaufzeitpunkte — keine personenbezogenen Inhalte.

Im Profil kannst du freiwillig zusätzliche Angaben hinterlegen — beispielsweise Anzeigename, Bio, Nischen, Sprachen, Land, ein Profilbild und Portfolio-Inhalte. Diese Angaben sind innerhalb der Plattform für andere registrierte Nutzer sichtbar, soweit dies zur Vermittlungsfunktion (Matching) erforderlich ist. Sensible Daten wie deine E-Mail-Adresse oder Stammdaten werden anderen Nutzern nicht angezeigt.

Hochgeladene Bilder und Videos (Avatar, Portfolio) werden auf unseren Servern abgelegt. Wir reduzieren sie serverseitig auf für die Plattform sinnvolle Auflösungen und löschen sie vollständig, sobald du sie aus deinem Profil entfernst oder dein Konto löschst.

Rechtsgrundlage für die Verarbeitung von Konto- und Profildaten ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen).

07 Verknüpfung deiner Social-Media-Konten (OAuth)

Damit Creators ihre Reichweite und ihr Engagement auf den von ihnen genutzten Plattformen verifizieren und im ARAYA-Profil anzeigen können, bieten wir die Möglichkeit, Instagram-, TikTok- und YouTube-Konten freiwillig zu verknüpfen. Die Verknüpfung erfolgt nach dem branchenüblichen OAuth-2.0-Verfahren ausschließlich auf aktiven Wunsch des Creators.

Der Ablauf ist bei allen Plattformen identisch:

1. Du startest die Verknüpfung in der ARAYA-App oder im Web.
2. Wir leiten dich an die Anmeldeseite der jeweiligen Plattform (Instagram, TikTok oder Google/YouTube) weiter. Deine Zugangsdaten gibst du ausschließlich dort ein — nicht bei ARAYA.
3. Du erteilst auf der Plattform deine Zustimmung zu den von uns angefragten Berechtigungen (sogenannte Scopes — siehe unten je Anbieter).
4. Die Plattform sendet uns einen Autorisierungscode zurück, den wir gegen ein Zugriffs-Token (Access Token) und gegebenenfalls ein Aktualisierungs-Token (Refresh Token) tauschen.
5. Mit diesen Tokens fragen wir periodisch öffentlich sichtbare Profil-, Reichweiten- und Engagement-Metriken ab und speichern diese deinem ARAYA-Profil zugeordnet.
6. Du kannst die Verknüpfung in deinem ARAYA-Profil jederzeit lösen. Wir löschen dann unverzüglich die gespeicherten Tokens. Zusätzlich kannst du den Zugriff jederzeit direkt im Sicherheits-Center der jeweiligen Plattform widerrufen.

Wir fordern grundsätzlich nur die für die Reichweiten-Verifikation minimal notwendigen Berechtigungen an. Wir nutzen die abgerufenen Daten ausschließlich für die Anzeige in deinem ARAYA-Profil und für das interne Matching. Wir verkaufen sie nicht, geben sie nicht an Dritte weiter, nutzen sie nicht zur Profilbildung außerhalb von ARAYA und nutzen sie nicht für Werbung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Verknüpfung) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der Marktplatz-Funktion).

08 Anmeldung mit Google — YouTube-Verknüpfung

Wenn du dein YouTube-Konto mit ARAYA verknüpfst, nutzen wir Google OAuth 2.0. Anbieter ist:

Anbieter

Google Ireland Limited Gordon House, Barrow Street Dublin 4, Irland (für Nutzer im EWR und der Schweiz)

Mutterkonzern

Google LLC 1600 Amphitheatre Parkway Mountain View, CA 94043, USA

Wir fordern bei der Verknüpfung folgende Berechtigungen (Scopes) an:

• https://www.googleapis.com/auth/youtube.readonly — lesender Zugriff auf öffentliche und private Metadaten deines YouTube-Kanals (Kanal-ID, Kanalname, Abonnentenzahl, Anzahl Videos, gesamte Aufrufe).
• https://www.googleapis.com/auth/yt-analytics.readonly — lesender Zugriff auf aggregierte Reichweiten- und Engagement-Kennzahlen deines Kanals (z. B. Aufrufe, Watchtime, Engagement-Quoten — aggregiert, nicht zuschauerbezogen).

Es handelt sich nach der Klassifizierung von Google um sogenannte "sensitive scopes". Wir verwenden diese Zugriffe ausschließlich für den oben beschriebenen Zweck der Reichweiten-Verifikation in deinem ARAYA-Profil. Wir greifen nicht auf Inhalte, private Videos, Kommentare, Mailadressen von Zuschauern oder andere Google-Dienste (Gmail, Drive, Kalender etc.) zu.

Limited Use Disclosure — gemäß Google API Services User Data Policy: Die Verwendung und Übertragung der über Google-APIs empfangenen Informationen durch ARAYA entspricht der Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen. Im Klartext: Wir verwenden Informationen aus den YouTube-APIs ausschließlich, um in deinem ARAYA-Profil deine Kanal-Reichweite und Engagement-Kennzahlen sichtbar zu machen sowie diese Werte intern für das Matching zwischen Creators und Brands einzusetzen. Wir verkaufen diese Informationen nicht. Wir nutzen sie nicht für Werbung — weder eigene noch fremde. Wir geben sie nicht an Dritte weiter, außer dies ist zur Bereitstellung des Dienstes zwingend erforderlich oder gesetzlich vorgeschrieben. Wir lesen oder analysieren diese Informationen nicht durch Menschen, außer mit deiner ausdrücklichen Einwilligung, zur Behebung eines Sicherheitsvorfalls oder soweit gesetzlich erforderlich.

Google verarbeitet im Rahmen der OAuth-Authentifizierung deine Zugangsdaten, dein Einwilligungs-Status sowie Verbindungs-Metadaten (IP-Adresse, Browser-Header) auch in den USA. Die Rechtmäßigkeit der Übermittlung stützt sich auf das EU-US Data Privacy Framework, dem Google beigetreten ist, sowie auf EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Du kannst die Verknüpfung jederzeit beenden:

• in ARAYA über die Profileinstellungen — wir löschen dann unverzüglich die gespeicherten Access- und Refresh-Tokens sowie alle aus den YouTube-APIs abgerufenen Kennzahlen,
• oder direkt bei Google unter "Konto verwalten → Sicherheit → Drittanbieter-Apps mit Kontozugriff" (myaccount.google.com/permissions) — Google widerruft dort sofort die Tokens, ARAYA-seitige Daten lösche bitte zusätzlich in den ARAYA-Profileinstellungen.

Details zur Datenverarbeitung durch Google findest du unter policies.google.com/privacy. Die Google API Services User Data Policy ist unter developers.google.com/terms/api-services-user-data-policy abrufbar.

09 Instagram-Verknüpfung (Meta)

Für die Verknüpfung deines Instagram-Business- oder Creator-Kontos nutzen wir den Instagram Business Login (OAuth 2.0). Anbieter ist:

Anbieter

Meta Platforms Ireland Limited 4 Grand Canal Square Grand Canal Harbour Dublin 2, Irland (für Nutzer im EWR und der Schweiz)

Wir fordern den Scope instagram_business_basic an. Dieser erlaubt uns lesenden Zugriff auf grundlegende öffentliche Profilangaben deines Business- oder Creator-Kontos (Benutzername, Konto-ID, Profilbild-URL, Medienanzahl, Follower-Anzahl) sowie auf eine Liste deiner zuletzt veröffentlichten Medien (Caption, Permalink, Thumbnail).

Wir greifen nicht auf private Direktnachrichten, nicht auf Storys einzelner Zuschauer und nicht auf Konto-Einstellungen zu. Die abgerufenen Daten nutzen wir ausschließlich zur Anzeige deiner Reichweite im ARAYA-Profil und für das interne Matching.

Meta verarbeitet im Rahmen der OAuth-Authentifizierung deine Zugangsdaten sowie Verbindungs-Metadaten innerhalb der EU und gegebenenfalls in den USA. Die Rechtmäßigkeit einer Drittland-Übermittlung stützt sich auf EU-Standardvertragsklauseln und das EU-US Data Privacy Framework.

Die Verknüpfung kannst du jederzeit lösen — in deinem ARAYA-Profil sowie direkt bei Instagram unter "Einstellungen → Apps und Websites".

Details zur Datenverarbeitung durch Meta: privacycenter.instagram.com/policy.

10 TikTok-Verknüpfung

Für die Verknüpfung deines TikTok-Kontos nutzen wir das TikTok Login Kit (OAuth 2.0). Anbieter ist:

Anbieter

TikTok Technology Limited 10 Earlsfort Terrace Dublin 2, D02 T380, Irland (für Nutzer im EWR und der Schweiz)

Wir fordern folgende Scopes an:

• user.info.basic — öffentliche Basis-Profildaten (Anzeigename, Profilbild-URL, eindeutige Konto-ID).
• user.info.profile — erweiterte öffentliche Profildaten (Bio, Verifizierungs-Status, ggf. Region).
• user.info.stats — aggregierte öffentliche Reichweiten- und Engagement-Werte (Follower-Anzahl, Anzahl Likes, Anzahl Videos).

Wir greifen nicht auf private Direktnachrichten, einzelne Video-Aufrufe zuschauerbezogen oder Konto-Einstellungen zu. Die abgerufenen Daten nutzen wir ausschließlich zur Anzeige deiner Reichweite im ARAYA-Profil und für das interne Matching.

TikTok verarbeitet im Rahmen der OAuth-Authentifizierung deine Zugangsdaten sowie Verbindungs-Metadaten in der EU und gegebenenfalls außerhalb der EU. Die Rechtmäßigkeit einer Drittland-Übermittlung stützt sich auf EU-Standardvertragsklauseln.

Die Verknüpfung kannst du jederzeit lösen — in deinem ARAYA-Profil sowie direkt bei TikTok unter "Einstellungen → Sicherheit → Apps verwalten".

Details zur Datenverarbeitung durch TikTok: tiktok.com/legal/page/eea/privacy-policy.

11 E-Mail-Versand (transaktional und Kontakt)

Für den Versand transaktionaler E-Mails (E-Mail-Verifizierung, Passwort-Reset, Deal-Benachrichtigungen, Statusmeldungen, Operator-Notifications) nutzen wir den Mailserver unseres Hosters Hetzner Online GmbH (siehe Sektion Hosting). Versendet wird unter der Absenderdomain araya.social.

Verarbeitet werden hierbei deine E-Mail-Adresse, der Mailinhalt, technische Zustellmetadaten (Message-ID, Zeitstempel, Zustellstatus) und gegebenenfalls Bounce- und Beschwerde-Informationen. Die Daten werden im Rahmen der branchenüblichen Mail-Protokolle (SPF, DKIM, DMARC) signiert und ausschließlich auf in Deutschland betriebenen Hetzner-Mailservern verarbeitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale Mails sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler Zustellung und Spam-Schutz) für die Verarbeitung technischer Mailmetadaten.

12 ARAYA iOS-App

Die ARAYA iOS-App ist ein zusätzlicher Client für unsere Plattform. Sie spricht über HTTPS dasselbe Backend (api.araya.social) an, das auch der Web-Client nutzt.

Beim Betrieb der iOS-App werden zusätzlich folgende technische Daten verarbeitet:

• anonymes Authentifizierungs-Token (JWT), lokal im sicheren Schlüsselbund (Keychain) deines Geräts gespeichert,
• optionales Push-Notification-Token von Apple (APNs), sofern du Benachrichtigungen erlaubst — ausschließlich für die Zustellung von App-Benachrichtigungen zu deinem Konto,
• technische Geräte- und App-Metadaten zur Fehlerdiagnose (App-Version, iOS-Version, Gerätemodell).

Die App nutzt keine Analyse-SDKs (kein Firebase Analytics, kein Mixpanel, kein Adjust, kein Branch). Tracking-Cookies sind in der App nicht eingesetzt.

Der Vertrieb der App erfolgt über den Apple App Store (Apple Distribution International Limited, Irland). Im Rahmen des App-Store-Bezugs verarbeitet Apple eigenverantwortlich Daten — dafür gelten die Datenschutzbestimmungen von Apple.

Rechtsgrundlage für die appbezogene Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und für die Fehlerdiagnose Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen App).

13 Hosting und Auftragsverarbeitung

Unsere Plattform wird in einer Kombination aus europäischem Backend-Hosting und einem global verteilten Content-Delivery-Network betrieben:

Backend-Hosting

Hetzner Online GmbH Industriestr. 25 91710 Gunzenhausen Deutschland

CDN, DNS, DDoS-Schutz

Cloudflare, Inc. 101 Townsend St. San Francisco, CA 94107, USA (Cloudflare Germany GmbH, Köln, für EWR-Vertragsabschlüsse)

Das Backend (api.araya.social) sowie der zugehörige Datenbank-Server und die Mail-Infrastruktur werden auf in Deutschland betriebenen Servern der Hetzner Online GmbH gehostet. Hetzner ist nach ISO 27001 zertifiziert und ist deutscher Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag ist abgeschlossen.

Cloudflare setzen wir als Reverse-Proxy, DDoS-Schutz, Web Application Firewall, DNS-Anbieter und CDN für statische Inhalte ein. Cloudflare verarbeitet hierfür Server-Log-Daten (einschließlich IP-Adressen) sowie technische Verbindungsdaten. Die Verarbeitung erfolgt auf Basis unseres berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO am stabilen und sicheren Betrieb der Plattform.

Cloudflare ist ein US-Anbieter. Eine Übermittlung personenbezogener Daten in die USA findet statt. Die Rechtmäßigkeit der Übermittlung stützt sich auf das EU-US Data Privacy Framework (Cloudflare ist zertifiziert) sowie ergänzend auf EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) in Verbindung mit Cloudflares Data Processing Addendum. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist abgeschlossen.

Weitere Informationen: hetzner.com/legal/privacy-policy · cloudflare.com/privacypolicy.

14 Kontaktformular

Für das Kontaktformular auf /kontakt nutzen wir den technischen Verarbeitungsdienst Web3Forms:

Anbieter

Dacgy Studio LLP Sitz in Indien

Wenn du das Kontaktformular ausfüllst, werden deine Eingaben (Name, E-Mail-Adresse, Betreff, Nachricht) über die Server von Web3Forms an unsere E-Mail-Adresse [email protected] weitergeleitet. Web3Forms speichert die übermittelten Inhalte gemäß der eigenen Datenschutzerklärung zur Sicherstellung der Dienstbarkeit (Spam-Filter, Zustellprotokolle).

Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines funktionierenden Kontaktkanals). Eine Übermittlung in ein Drittland (Indien) findet statt. Die Rechtmäßigkeit stützt sich auf die Standardvertragsklauseln in Verbindung mit der Datenschutzerklärung von Web3Forms.

Details zur Datenverarbeitung durch Web3Forms findest du unter web3forms.com/privacy.

Alternativ kannst du uns jederzeit direkt per E-Mail an [email protected] kontaktieren, ohne dass das Kontaktformular und damit Web3Forms genutzt werden.

15 Terminbuchung — Calendly (USA)

Auf der Seite /brand-launch bieten wir dir die optionale Möglichkeit, einen Termin mit unserem Team über Calendly zu vereinbaren ("Termin buchen"-Button). Anbieter ist:

Anbieter

Calendly LLC 271 17th St NW Atlanta, GA 30363 USA

Calendly wird erst geladen, wenn du den Button "Termin buchen" aktiv anklickst. Vor diesem Klick werden keinerlei Daten an Calendly übertragen — keine Cookies, keine Tracking-Pixel, kein Skript-Load. Mit dem Klick öffnet sich das Buchungs-Widget und Calendly verarbeitet zur Bereitstellung des Buchungsdienstes deine Eingaben (Name, E-Mail-Adresse, gewählter Termin) sowie technisch notwendige Verbindungsdaten (IP-Adresse, Browser-Header).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Anklicken des Buttons) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen zur Terminanbahnung).

Calendly verarbeitet die Daten in den USA. Calendly hat mit uns die Standardvertragsklauseln der EU-Kommission (SCC) abgeschlossen und ist nach dem EU-US Data Privacy Framework zertifiziert. Wir weisen ausdrücklich darauf hin, dass nach der EuGH-Rechtsprechung (Schrems II, C-311/18) US-Behörden auf Daten zugreifen können, ohne dass dagegen wirksame Rechtsmittel zur Verfügung stehen müssen.

Wenn du keine Übermittlung an Calendly wünschst, nutze stattdessen unser Brand-Anfrage-Formular auf /brand-launch oder schreibe uns direkt an [email protected] — in beiden Fällen findet keine Drittland-Übermittlung an Calendly statt.

Details zur Datenverarbeitung durch Calendly findest du unter calendly.com/privacy.

16 Zahlungsabwicklung (geplant)

Mit dem produktiven Start der Marktplatz-Zahlungsabwicklung werden wir einen externen Zahlungsdienstleister einsetzen, voraussichtlich Stripe Payments Europe Ltd. (Dublin, Irland) in Verbindung mit Stripe Connect. Im Rahmen der Zahlungsabwicklung werden personenbezogene Daten (Name, Anschrift, Bank- und Zahlungsdaten, Steueridentifikatoren, Transaktionsdaten) durch den Zahlungsdienstleister verarbeitet.

Sobald die Zahlungsabwicklung aktiviert wird, ergänzen wir diese Datenschutzerklärung um die endgültigen Verarbeiter-Angaben, die Rechtsgrundlagen, die Speicherdauer und die Hinweise zu einem etwaigen Drittlandtransfer. Bis dahin findet keine Zahlungsabwicklung über ARAYA statt.

17 Cookies und Tracking

Diese Plattform setzt derzeit keine Cookies, die eine Einwilligung nach § 25 Abs. 1 TTDSG erfordern würden. Insbesondere nutzen wir:

• keine Analyse-Dienste wie Google Analytics, Plausible oder ähnliche,
• keine Werbe- oder Tracking-Pixel von Drittanbietern (Meta, LinkedIn, TikTok),
• keine Marketing-Cookies für Retargeting.

Eingesetzt werden ausschließlich technisch notwendige Identifikatoren: das JWT-Authentifizierungstoken (lokal auf deinem Gerät gespeichert; im Web als HttpOnly-Cookie bzw. in localStorage, in der iOS-App im Keychain) und kurzlebige Sicherheitstoken (z. B. CSRF-Schutz, OAuth-State). Diese sind nach § 25 Abs. 2 Nr. 2 TTDSG einwilligungsfrei, weil sie für die Bereitstellung des von dir ausdrücklich gewünschten Dienstes (Login, Profil-Verwaltung, Sicherheit) unbedingt erforderlich sind.

Durch den Einsatz von Cloudflare können zusätzliche technisch notwendige Cookies zur Bot-Erkennung und Sicherheit gesetzt werden. Sollten wir in Zukunft Analyse- oder Marketing-Dienste einsetzen, werden wir zuvor einen Cookie-Banner mit echter Wahl einblenden und diese Erklärung entsprechend aktualisieren.

18 Speicherdauer

Wir speichern deine personenbezogenen Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Server-Log-Daten bei Cloudflare und Hetzner: typischerweise 7 bis 30 Tage, dann automatisch gelöscht oder aggregiert.
• Kontaktanfragen: bis zur vollständigen Bearbeitung und anschließend für die Dauer einer möglichen Rückfrage, längstens sechs Monate nach letzter Kommunikation — sofern keine gesetzliche Aufbewahrungspflicht besteht.
• Nutzerkonto und Profildaten: für die Dauer der Nutzung; nach Kontolöschung werden Profil- und Mediendaten unverzüglich gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Hochgeladene Medien (Avatar, Portfolio): bis du sie aus deinem Profil entfernst oder dein Konto löschst.
• OAuth-Tokens (Instagram, TikTok, Google/YouTube): bis zum Trennen der Verknüpfung in ARAYA oder bis zum Widerruf bei der jeweiligen Plattform; danach unverzügliche Löschung.
• Aus Social-Plattformen abgerufene Reichweiten- und Engagement-Werte: nur in der jeweils aktuellen Version; ältere Snapshots werden überschrieben oder anonym aggregiert.
• Nachrichten zwischen Brand und Creator: für die Dauer der Geschäftsbeziehung sowie zur Beweissicherung im Streitfall, längstens drei Jahre nach Abschluss eines Deals.
• Vertrags- und Rechnungsdaten: gemäß handels- und steuerrechtlicher Aufbewahrungsfristen (§ 257 HGB, § 147 AO) in der Regel 6 bzw. 10 Jahre.

Sobald die jeweilige Aufbewahrungsfrist abgelaufen ist, werden die Daten routinemäßig gelöscht oder gesperrt. Du kannst die Löschung deines Kontos und der zugehörigen Daten jederzeit über deine Profileinstellungen oder per Nachricht an [email protected] verlangen.

19 Deine Rechte

Du hast uns gegenüber jederzeit folgende Rechte bezüglich deiner personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO) — welche Daten wir über dich verarbeiten.
• Recht auf Berichtigung (Art. 16 DSGVO) — falls Daten unrichtig oder unvollständig sind.
• Recht auf Löschung (Art. 17 DSGVO) — soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Bereitstellung in einem strukturierten, gängigen Format.
• Recht auf Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO).
• Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zur Ausübung dieser Rechte genügt eine formlose Nachricht an [email protected]. Eine Bearbeitungsgebühr entsteht nicht. Für Auskunfts- und Löschanfragen, die deinen Account betreffen, kannst du zusätzlich die in deinem Profil hinterlegten Selbstbedienungs-Funktionen nutzen.

20 Beschwerderecht bei der Aufsichtsbehörde

Du hast nach Art. 77 DSGVO das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren. Zuständig für uns ist:

Aufsichtsbehörde

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Lautenschlagerstraße 20 70173 Stuttgart Deutschland

Web

www.baden-wuerttemberg.datenschutz.de

Du kannst dich alternativ auch an die Aufsichtsbehörde deines Wohnsitzes oder Arbeitsplatzes wenden.

21 SSL/TLS-Verschlüsselung

Diese Plattform nutzt eine SSL/TLS-Verschlüsselung aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte. Eine verschlüsselte Verbindung erkennst du daran, dass die Adresszeile des Browsers mit „https://" beginnt und am Schloss-Symbol in der Browserzeile. Die TLS-Zertifikate werden automatisch durch Cloudflare bereitgestellt und erneuert. Die iOS-App spricht das Backend ausschließlich über HTTPS an (App Transport Security erzwungen).

Solange die SSL/TLS-Verschlüsselung aktiviert ist, können die Daten, die du an uns übermittelst, nicht von Dritten mitgelesen werden.

22 Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen — zum Beispiel bei der Einführung neuer Dienste, neuer Social-Media-Verknüpfungen oder der Aktivierung der Zahlungsabwicklung. Für deinen erneuten Besuch gilt dann die neue Datenschutzerklärung.

Wesentliche Änderungen werden wir auf dieser Seite mit dem Stand-Datum kenntlich machen. Die jeweils aktuelle Fassung ist unter /datenschutz abrufbar.