Datenschutzerklärung

Stand: April 2026 (DSB-Hinweis + Replicate-Drittlandtransfer + GA4-Hinweis)

1. Verantwortlicher

Harald Schwankl

Blumenthalstraße 50

94127 Neuburg am Inn

E-Mail: info@colorcanvas.eu

Impressum: https://www.schwankl.info/impressum

Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist nicht bestellt. Als Einzelunternehmer beschäftige ich weniger als 20 Personen ständig mit automatisierter Datenverarbeitung, sodass keine Bestellpflicht nach § 38 Abs. 1 BDSG besteht. Meine Kerntätigkeit umfasst auch keine Verarbeitungsvorgänge, die nach Art. 37 Abs. 1 DSGVO eine Bestellung zwingend erfordern (keine umfangreiche systematische Überwachung, keine Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO).

Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an den oben genannten Verantwortlichen unter info@colorcanvas.eu.

2. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z.B. Namen, Adressen)
  • Inhaltsdaten (z.B. hochgeladene Bilder, generierte Vorlagen)
  • Kontaktdaten (z.B. E-Mail-Adressen)
  • Meta-/Kommunikationsdaten (z.B. IP-Adressen, Zugriffszeiten)
  • Nutzungsdaten (z.B. besuchte Seiten, Nutzungsverhalten)
  • Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit, Kundenkategorie)
  • Zahlungsdaten (z.B. Bankverbindung, Zahlungshistorie)

Kategorien betroffener Personen

  • Kunden / Interessenten
  • Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten)

Zwecke der Verarbeitung

  • Bereitstellung unseres Onlineangebots und Nutzerfreundlichkeit
  • Erbringung vertraglicher Leistungen und Kundenservice
  • Kontaktanfragen und Kommunikation
  • Sicherheitsmaßnahmen
  • Reichweitenmessung und Marketing
  • Verwaltung und Beantwortung von Anfragen

3. Maßgebliche Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) - Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben.
  • Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) - Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO) - Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) - Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.

4. Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen:

  • SSL/TLS-Verschlüsselung aller Datenübertragungen
  • Verschlüsselte Speicherung sensibler Daten (AES-256)
  • Regelmäßige Sicherheitsaudits und Updates
  • Zugriffskontrolle und Authentifizierung
  • Datenspeicherung in EU-Rechenzentren (Frankfurt)

5. Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger Daten zu verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen ("Recht auf Vergessenwerden").
  • Recht auf Einschränkung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, der Verarbeitung zu widersprechen.
  • Recht auf Widerruf (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen.
  • Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren.

Zur Ausübung Ihrer Rechte können Sie sich jederzeit an uns wenden: info@colorcanvas.eu

6. Aufbewahrungsfristen

Wir sind gesetzlich verpflichtet, bestimmte Daten auch nach Beendigung Ihres Vertrages aufzubewahren:

DatenkategorieAufbewahrungsfristRechtsgrundlage
Rechnungen / E-Rechnungen10 Jahre (EU-Storage Frankfurt)§ 147 AO, § 257 HGB
Zahlungsbelege10 Jahre§ 147 AO
Geschäftskorrespondenz6 Jahre§ 257 HGB
Steuerrelevante Unterlagen10 Jahre§ 147 AO
Consent-Logs3 JahreDSGVO Nachweis (Art. 7 Abs. 1)
Marketing-Opt-In-Audit (marketing_opt_in_at/_out_at)3 Jahre nach WiderspruchDSGVO Art. 7 Abs. 1 + Art. 21

Pseudonymisierung bei Kontolöschung

Bei Löschung Ihres Kontos werden personenbezogene Daten in aufbewahrungspflichtigen Dokumenten pseudonymisiert:

  • Name und E-Mail werden durch eine anonyme Kennung ersetzt
  • Die Zuordnung zu Ihrer Person ist dann nicht mehr möglich
  • Die pseudonymisierten Daten werden nach Ablauf der gesetzlichen Fristen automatisch gelöscht

Rechtsgrundlage: DSGVO Art. 17 Abs. 3 lit. b (Erfüllung rechtlicher Verpflichtungen)

7. Einsatz von Cookies

Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Wir setzen folgende Arten von Cookies ein:

Notwendige Cookies

Diese Cookies sind für den Betrieb der Website erforderlich (z.B. Session-Cookies, Authentifizierung). Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Analyse-Cookies

Diese Cookies helfen uns, die Nutzung der Website zu verstehen und zu verbessern. Sie werden erst gesetzt, nachdem Sie ausdrücklich eingewilligt haben. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TTDSG).

Aktuell eingesetzte Analyse-Tools: Derzeit werden keine externen Analyse-Dienste (z. B. Google Analytics) geladen. Sollten wir künftig solche Dienste einsetzen, aktualisieren wir diese Datenschutzerklärung vorab und holen Ihre Einwilligung über den Cookie-Banner ein.

Sie können Ihre Cookie-Einstellungen jederzeit anpassen:

  • Cookie-Einstellungen im Footer: Klicken Sie auf "Cookie-Einstellungen" im Seitenfuß, um Ihre Präferenzen zu ändern oder Ihre Einwilligung zu widerrufen.
  • Browser-Einstellungen: Sie können Cookies auch direkt in Ihren Browser-Einstellungen verwalten oder löschen.
  • Cookie-Banner: Beim ersten Besuch erscheint ein Banner, über den Sie Ihre Einstellungen vornehmen können.

8. Bereitstellung des Onlineangebots und Webhosting

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur Verfügung stellen zu können.

Verarbeitete Datenarten

  • Nutzungsdaten (besuchte Seiten, Zugriffszeit)
  • Meta-/Kommunikationsdaten (IP-Adresse, Browsertyp, Betriebssystem)

Hosting-Dienste

IONOS SE: Frontend- und Backend-Hosting auf eigenem VPS (Rechenzentrum: Karlsruhe, Deutschland)
Supabase: Datenbank, Authentifizierung und Object Storage (Rechenzentrum: Frankfurt, Deutschland)

Anbieter: IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland
Datenschutzerklärung:https://www.ionos.de/terms-gtc/terms-privacy/

Sämtliche Daten werden ausschließlich in Rechenzentren innerhalb der Europäischen Union verarbeitet. Eine Datenübermittlung in Drittländer findet im Rahmen des Hostings nicht statt.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

9. Registrierung, Anmeldung und Nutzerkonto

Nutzer können ein Nutzerkonto anlegen. Im Rahmen der Registrierung werden die erforderlichen Pflichtangaben mitgeteilt und auf Grundlage der Vertragserfüllung verarbeitet.

Verarbeitete Daten

  • E-Mail-Adresse
  • Name (optional)
  • Passwort (verschlüsselt gespeichert)
  • Profilbild (optional)

Anmeldung über Drittanbieter (OAuth)

Sie können sich auch über Google oder GitHub anmelden. Dabei werden je nach Anbieter folgende Daten übermittelt: E-Mail-Adresse, Name, Profilbild.

Löschung

Die Daten werden nach Kündigung oder Löschung des Kontos gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

10. Cloud-Dienste (SaaS)

Wir bieten Softwarefunktionen über das Internet an (Software-as-a-Service). Dabei werden folgende Daten verarbeitet:

  • Hochgeladene Bilder zur Verarbeitung
  • Generierte Malen-nach-Zahlen-Vorlagen
  • Nutzungsstatistiken (Anzahl Generierungen)
  • Einstellungen und Präferenzen

Speicherung der Bilder

Hochgeladene Bilder und generierte Vorlagen werden in verschlüsselten Cloud-Speichern (Supabase Storage, Frankfurt) gespeichert und können vom Nutzer jederzeit gelöscht werden.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

11. Einsatz von Künstlicher Intelligenz (KI)

Hinweis gemäß EU AI Act (Verordnung (EU) 2024/1689): Wir setzen KI-Systeme ein, die als "Systeme mit geringem Risiko" klassifiziert sind und lediglich Transparenzpflichten unterliegen. Diese Systeme fallen nicht unter die verbotenen KI-Praktiken (Art. 5) oder Hochrisiko-Kategorien (Art. 6).

Wir nutzen Künstliche Intelligenz (KI) zur Verbesserung unserer Dienste. Diese Verarbeitung erfolgt unter Beachtung der DSGVO und der EU-KI-Verordnung (AI Act).

11.1 Eingesetzte KI-Systeme

a) Vision AI (Bildanalyse)

  • Anbieter: Scaleway (Iliad Group), Paris, Frankreich (EU)
  • Modell: Pixtral Vision AI
  • Zweck: Automatische Bildklassifikation (Foto/Cartoon), Empfehlung optimaler Verarbeitungsparameter
  • Verarbeitete Daten: Hochgeladene Bilder (temporär, max. 60 Sekunden in Bearbeitung)
  • Datenstandort: Frankreich (EU)

b) Chatbot-Assistent

  • Anbieter: Scaleway (Iliad Group), Paris, Frankreich (EU)
  • Modell: Pixtral Large Language Model
  • Zweck: Beantwortung von Nutzeranfragen, Hilfestellung bei der Nutzung der Plattform
  • Verarbeitete Daten: Chat-Nachrichten, aktuelle Seitenansicht
  • Datenstandort: Frankreich (EU)
  • Kennzeichnung: KI-generierte Antworten sind als solche gekennzeichnet

c) Bildgenerierung (optional)

  • Anbieter: Qolaba Inc.
  • Zweck: Generierung von Ausgangsbildern aus Textbeschreibungen
  • Verarbeitete Daten: Text-Prompts (keine personenbezogenen Daten)
  • Datenstandort: USA. Der Datentransfer erfolgt auf Basis der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 DSGVO.
  • Hinweis: Generierte Bilder sind synthetisch und enthalten keine realen Personen

d) Bildverbesserung / Hochskalierung (optional, kostenpflichtig)

  • Anbieter: Replicate, Inc., 1209 Orange Street, Wilmington, DE 19801, USA
  • Zweck: Hochskalierung und Gesichtsverbesserung von hochgeladenen Bildern mittels Real-ESRGAN-Modell („Enhance"-Feature)
  • Verarbeitete Daten: Das vom Nutzer hochgeladene Bild wird zur Verarbeitung an Replicate übermittelt. Das Ergebnis wird zurückgegeben und anschließend bei Replicate gelöscht.
  • Datenstandort: USA. Der Datentransfer erfolgt auf Basis der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 DSGVO.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — das Feature ist nur auf ausdrückliche Nutzer-Anforderung aktiv).
  • Hinweis: Bilder mit erkennbaren Personen werden auf Nutzer-Wunsch verarbeitet. Ohne Aufruf des Enhance-Features werden keine Bilddaten an Replicate übermittelt.

e) Analytics-KI (interne Admin-Empfehlungen, keine User-Daten)

  • Anbieter: Scaleway (Iliad Group), Paris, Frankreich (EU)
  • Modell: llama-3.1-8b-instruct
  • Zweck: Automatische Generierung von Verbesserungsvorschlägen aus aggregierten Webseiten-Statistiken (Bounce-Rate, Channel-Mix, Performance-Metriken) zur internen Plattform-Optimierung.
  • Verarbeitete Daten: ausschließlich aggregierte, anonymisierte Statistiken — keine personenbezogenen Daten, keine User-IDs, keine IP-Adressen, keine Sessions. Übermittelt werden nur Zählwerte und Prozentsätze (z.B. „Bounce-Rate 65%, Top-Channel: Organic Search 40%").
  • Datenstandort: Frankreich (EU)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Plattform-Optimierung). Eingriff in Nutzerrechte: keiner, da keine personenbezogenen Daten übermittelt.
  • Sichtbarkeit: nur im internen Admin-Bereich, nicht für Nutzer sichtbar.

11.2 Rechtsgrundlagen für KI-Verarbeitung

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Bildanalyse ist Teil der vertraglichen Dienstleistung zur Erstellung von Malen-nach-Zahlen-Vorlagen.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Der Chatbot-Assistent dient der Verbesserung der Nutzerfreundlichkeit und des Kundenservice.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für optionale KI-Funktionen wie Bildgenerierung holen wir Ihre ausdrückliche Einwilligung ein.

11.3 Keine automatisierte Einzelentscheidung

Wir treffen keine rechtlich oder ähnlich erheblich beeinträchtigenden Entscheidungen ausschließlich auf Basis automatisierter Verarbeitung einschließlich Profiling (Art. 22 DSGVO). Die KI-Systeme unterstützen lediglich bei der Bildverarbeitung und liefern Empfehlungen, die vom Nutzer angenommen oder abgelehnt werden können.

11.4 Datenverwendung für KI-Training

Wir verwenden Ihre Daten NICHT für das Training von KI-Modellen. Ihre hochgeladenen Bilder werden ausschließlich für die Erbringung der beauftragten Dienstleistung verwendet und anschließend gemäß unseren Aufbewahrungsfristen gelöscht. Die eingesetzten KI-Modelle sind vortrainiert und werden nicht mit Nutzerdaten weiterentwickelt.

11.5 Ihre Rechte bei KI-Verarbeitung

  • Opt-Out: Sie können die KI-gestützte Bildanalyse deaktivieren und Parameter manuell einstellen.
  • Auskunftsrecht: Sie können Auskunft über die KI-Verarbeitung Ihrer Daten verlangen.
  • Widerspruchsrecht: Sie können der KI-Verarbeitung widersprechen (Art. 21 DSGVO).
  • Menschliche Überprüfung: Bei Fragen zu KI-generierten Ergebnissen können Sie eine menschliche Überprüfung anfordern.

11.6 Auftragsverarbeiter für KI-Dienste

Mit allen KI-Anbietern haben wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen. Die Anbieter sind verpflichtet, Ihre Daten nur im Rahmen unserer Weisungen zu verarbeiten und angemessene Sicherheitsmaßnahmen zu ergreifen.

Details finden Sie in unserem Auftragsverarbeitungsvertrag.

12. Zwei-Faktor-Authentifizierung (2FA)

Sie koennen Ihr Konto optional mit einer Authenticator-App (TOTP — Time-based One-Time Password nach RFC 6238) zusaetzlich absichern. Die Aktivierung ist freiwillig und jederzeit wieder aufhebbar unter Konto → Sicherheit.

12.1 Welche Daten wir verarbeiten

  • Faktor-ID + Geheim-Schluessel (gespeichert bei Supabase, Frankfurt/EU): Identifiziert die Verbindung zwischen Ihrem Konto und Ihrer Authenticator-App. Notwendig, damit der bei Login eingegebene 6-stellige Code geprueft werden kann.
  • 10 Backup-Codes (bei uns als Bcrypt-Hash in der profiles-Tabelle gespeichert): Im Klartext werden sie nur einmalig bei der Erzeugung an Sie ausgeliefert. Wir koennen sie nicht zurueckrechnen.
  • Audit-Log-Eintraege (Aktivierung, Deaktivierung, Backup-Code-Verwendung, fehlgeschlagene Versuche): Verbleiben mit IP-Adresse + Zeitstempel 90 Tage in unserer audit_logs-Tabelle (DSGVO Art. 32 — Stand der Technik / Betrugs-Praevention).

Was wir nicht speichern: den 6-stelligen Authenticator-Code (er existiert nur 30 Sekunden in Ihrer App und wird im Server-Log nicht aufbewahrt) sowie das Geraet, auf dem die App laeuft.

12.2 Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Konto-Sicherheit) sowie Art. 32 DSGVO (Stand der Technik bei der Verarbeitung). Die zusaetzliche Authentifizierungs-Schicht schuetzt Sie und uns vor Konto-Uebernahmen durch geleakte oder wiederverwendete Passwoerter.

12.3 Speicherdauer

  • Aktive 2FA-Faktoren: solange das Konto besteht oder Sie 2FA selbst deaktivieren.
  • Backup-Code-Hashes: bis zur naechsten Neuerzeugung oder Deaktivierung.
  • Audit-Log: 90 Tage rollend; danach Anonymisierung.

12.4 Ihre Rechte

Sie koennen 2FA jederzeit unter Konto → Sicherheit → 2FA deaktivieren abschalten (erfordert einen aktuellen TOTP-Code als Bestaetigung). Bei Verlust des Authenticator-Geraetes UND aller Backup-Codes nehmen Sie Kontakt mit unserem Support auf (info@colorcanvas.eu); zur Identifikation kann ein Identitaetsnachweis erforderlich sein.

11a. Stock-Image-Suche

Wenn Sie unsere Stock-Bilder-Suche nutzen, leiten wir Ihre Suchanfrage ueber unseren Server an folgende Anbieter weiter:

  • Pixabay GmbH, Hannelore-Kohl-Allee 1, 53113 Bonn, Deutschland (EU)
  • Pexels GmbH, Helene-Lange-Strasse 13, 14469 Potsdam, Deutschland (EU)
  • Unsplash Inc., 400-1080 Beaver Hall Hill, Montreal H2Z 1S8, Kanada (Drittland)

Es werden ausschliesslich Ihre Suchbegriffe weitergegeben, keine personenbezogenen Daten von Ihnen — insbesondere nicht Ihre IP-Adresse, da der Aufruf serverseitig erfolgt.

Bei Auswahl eines Bildes laden wir es einmalig vom jeweiligen Anbieter und speichern es auf unserem EU-Server (Frankfurt). Spaetere Anzeigen des Bildes erfolgen ausschliesslich von unserem Server.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfuellung — Sie waehlen das Bild aus und beauftragen die PBN-Generierung).

Drittland-Transfer (Unsplash, Kanada)

Bei Suchanfragen an Unsplash erfolgt eine Datenuebermittlung in ein Drittland (Kanada). Da Kanada nach Adequacy-Beschluss der EU-Kommission ein "angemessenes Datenschutz-Niveau" hat, ist die Uebermittlung gemaess Art. 45 DSGVO zulaessig. Zusaetzlich nutzen wir EU-Standard-Vertragsklauseln (SCC) gemaess Art. 46 DSGVO als Backup-Garantie.

Click-Wrap-Beweis-Kette

Bei der Auswahl eines Stock-Bildes erfassen wir mit Ihrer ausdruecklichen Zustimmung folgende Daten in einer manipulationssicheren Audit-Kette (Hash-Chain):

  • URL der angezeigten Lizenz-Seite
  • SHA-256-Hash des angezeigten Lizenz-Volltextes (zum Zeitpunkt der Anzeige)
  • Versions-Identifier des Lizenz-Stands
  • Zeitstempel der Zustimmung
  • Ihre IP-Adresse + User-Agent
  • Welche Warnhinweise (Personen/Markenlogos) angezeigt wurden

Die Speicherung erfolgt in einer append-only Tabelle mit kryptografischer Hash-Verkettung. Aenderungen sind nicht moeglich; Manipulationsversuche werden durch ein automatisches Audit-Skript erkannt. Speicherdauer: bis zur Konto-Loeschung + nachfolgend gemaess Aufbewahrungsfristen (3 Jahre Verjaehrung gemaess § 195 BGB). Rechtsgrundlage: Art. 6 Abs. 1 lit. b) und f) DSGVO.

Detaillierte technische Informationen finden Sie in unserer Transparenz-Seite sowie in den AGB §§ 22-23.

12. Zahlungsverfahren

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe.

Stripe Payments

Anbieter: Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA
Datenschutzerklärung:https://stripe.com/de/privacy

Stripe verarbeitet Zahlungsdaten direkt. Wir speichern keine vollständigen Kreditkartendaten, sondern nur einen Referenz-Token und Transaktionsdetails.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

12a. Token-Transaktionen

(1) Wir speichern alle Token-Käufe und -Verbräuche in einem unveränderlichen Buchhaltungs-Ledger. Dies ist nach § 257 HGB für 10 Jahre vorgeschrieben.

(2) Zweckbindung: Abrechnung, Steuerprüfung durch Finanzamt, interne Revision, Betrugsprävention und Abuse-Analyse.

(3) Datenübermittlung an Drittländer: Für die Zahlungsabwicklung nutzen wir Stripe, Inc. (USA). Der Datentransfer erfolgt auf Basis der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

(4) Betroffenenrechte: Auskunfts-, Berichtigungs- und Widerspruchs- recht können per E-Mail an info@colorcanvas.eu geltend gemacht werden. Bei Token-Transaktionen ist eine Löschung vor Ablauf der HGB-Aufbewahrungspflicht nicht möglich; Daten werden anonymisiert (user_id → NULL) bei Kontolöschung, bleiben aber als Zeile erhalten.

Rechtsgrundlage: Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO, § 257 HGB), Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

13. Kontaktaufnahme

Bei der Kontaktaufnahme (z.B. per E-Mail oder Kontaktformular) werden die Angaben des Nutzers zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen verarbeitet.

Verarbeitete Daten

  • Kontaktdaten (E-Mail, Name)
  • Inhaltsdaten (Nachrichtentext)
  • Nutzungsdaten (Zeitpunkt der Anfrage)

Rechtsgrundlage: Vertragserfüllung, berechtigte Interessen (Art. 6 Abs. 1 lit. b, f DSGVO).

14. Newsletter und E-Mail-Kommunikation

Wir versenden Newsletter und E-Mails mit werblichen Informationen nur mit Einwilligung der Empfänger oder einer gesetzlichen Erlaubnis.

E-Mail-Versand über eigene Infrastruktur

Der Versand sämtlicher E-Mails (Transaktionsmails wie Registrierungsbestätigungen, Rechnungen sowie Newsletter) erfolgt über unsere eigene SMTP-Infrastruktur, betrieben auf Servern der IONOS SE in Deutschland.

SMTP-Anbieter: IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland
Datenschutzerklärung:https://www.ionos.de/terms-gtc/terms-privacy/
Versand-Adressen: noreply@colorcanvas.eu (Transaktion), info@colorcanvas.eu (Newsletter, Support)

Es findet keine Übermittlung Ihrer E-Mail-Adresse oder anderer Daten an externe E-Mail-Dienstleister (z.B. Mailjet, Sendgrid, Mailchimp) statt. Alle Versanddaten bleiben in unserer eigenen Datenbank in der EU gespeichert.

Double-Opt-In-Verfahren

Für die Anmeldung zum Newsletter nutzen wir das Double-Opt-In-Verfahren: Nach Ihrer Anmeldung erhalten Sie eine Bestätigungs-E-Mail. Erst nach Klick auf den Bestätigungslink wird Ihre E-Mail-Adresse in den Verteiler aufgenommen. Wir protokollieren Anmeldung, Bestätigung und Abmeldung mit anonymisierter IP-Adresse und Zeitstempel zur Nachweispflicht.

Abmeldung

Sie können den Newsletter jederzeit abbestellen. Jede Newsletter-E-Mail enthält einen Abmeldelink sowie einen RFC-8058-konformen List-Unsubscribe-Header (One-Click-Unsubscribe in modernen Mail-Clients).

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); für Transaktionsmails Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

14.1 Onboarding-E-Mails (Welcome-Drip)

Wenn Sie bei der Registrierung die optionale Checkbox "Ich möchte 3 kurze Onboarding-Tipps per E-Mail erhalten" aktivieren, senden wir Ihnen drei kurze Onboarding-Mails an den Tagen 0, 2 und 7 nach Ihrer Anmeldung. Inhalt: Hinweise zur optimalen Foto-Auswahl, Tipps für die erste Mal-nach-Zahlen-Vorlage, Hinweise auf Token-Pakete.

Rechtsgrundlage Tag 0 (Konto-Bestätigung mit 20 Start-Tokens): Vertragsanbahnung gemäß Art. 6 Abs. 1 lit. b DSGVO. Diese Mail wird unabhängig von der Checkbox versendet, da sie der Konto-Aktivierung dient.

Rechtsgrundlage Tag 2 + Tag 7 (werbliche Onboarding-Tipps): Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Checkbox bei der Registrierung ist nicht vorausgewählt — Sie müssen sie aktiv anhaken. Dadurch erfüllen wir die Anforderung der aktiven Einwilligung (DSGVO Art. 7 Abs. 1).

Widerruf: Sie können die Einwilligung jederzeit widerrufen — entweder per Klick auf "Abmelden" in jeder Drip-Mail oder in Ihrem Profil unter Einstellungen → E-Mail-Präferenzen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Audit-Trail: Wir speichern den Konsens-Zeitpunkt (marketing_opt_in_at) und ggf. den Widerrufs-Zeitpunkt (marketing_opt_out_at) als Nachweis gemäß DSGVO Art. 7 Abs. 1. Diese Felder sind in Ihrem DSGVO-Datenexport (Art. 15) enthalten.

Speicherdauer: Die Drip-Versand-Flags werden gelöscht, sobald Sie Ihr Konto löschen (DSGVO Art. 17 Recht auf Vergessenwerden).

15. Webanalyse und Optimierung

Zur Analyse und Optimierung unseres Onlineangebots können wir Webanalysedienste einsetzen. Dies erfolgt nur mit Ihrer Einwilligung.

Erfasste Daten

  • Besuchte Seiten und Verweildauer
  • Referrer (verweisende Seite)
  • Geräte- und Browserinformationen
  • Ungefährer Standort (auf Basis der IP-Adresse)

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

16. Social Media Präsenzen

Wir unterhalten Onlinepräsenzen auf den folgenden sozialen Netzwerken, um mit dort aktiven Nutzern zu kommunizieren und über unsere Leistungen zu informieren:

  • Instagram (Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland)
  • Pinterest (Pinterest Europe Ltd., Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Irland)
  • Facebook (Meta Platforms Ireland Ltd.)

Verarbeitete Daten: Wenn Sie unsere Social-Media-Profile besuchen, können die jeweiligen Plattformbetreiber Ihre Nutzungsdaten erheben (z.B. aufgerufene Inhalte, Interaktionen, IP-Adresse, Geräte-Informationen). Die Datenverarbeitung erfolgt auch in den USA. Grundlage sind die EU-Standardvertragsklauseln der jeweiligen Anbieter.

Gemeinsame Verantwortlichkeit: Für Facebook/Instagram besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO für die Verarbeitung von Insights-Daten (Seitenstatistiken). Details: Meta Page Controller Addendum.

Kein Tracking auf unserer Website: Wir setzen KEINE Social-Media-Tracking-Pixel (Meta Pixel, Pinterest Tag) und KEINE Social-Media-Plugins/Share-Buttons auf unserer Website ein. Ein Besuch unserer Website überträgt keine Daten an soziale Netzwerke.

Rechtsgrundlage: Berechtigtes Interesse an Öffentlichkeitsarbeit und Kommunikation (Art. 6 Abs. 1 lit. f DSGVO).

Datenschutzhinweise der Anbieter:

Widerspruch: Sie können Ihre Werbe- und Datenschutzeinstellungen direkt in den jeweiligen Netzwerken anpassen.

17. Self-hosted Analytics (DSGVO-konform)

Wir betreiben ein eigenes, selbst gehostetes Analytics-System auf Servern in Frankfurt am Main (Supabase, EU). Es ersetzt klassische Tracker wie Google Analytics oder Matomo und ist datensparsamer.

Was gespeichert wird:

  • Seitenaufrufe: Pfad, Referrer, Browser-Familie, Geräte-Typ (Desktop/Mobile/Tablet), Betriebssystem-Familie, ISO-Länder-Code aus Accept-Language-Header.
  • Klick-Ereignisse: Pfad, Element-Tag (z.B. button, a), die ersten 50 Zeichen sichtbarer Beschriftung, Klick-Position (für Heatmap-Analyse).
  • Exit-Pages: Die letzte Seite einer Session wird markiert (Sie verlassen die Website).
  • Web Vitals: Performance-Messwerte (LCP, FID, CLS, INP) zur Optimierung.

Was NICHT gespeichert wird:

  • Keine IP-Adressen (Backend speichert sie nicht).
  • Keine Cookies, kein localStorage-Tracking.
  • Keine User-IDs, keine E-Mails, keine Namen.
  • Keine Form-Inhalte: Klicks auf <input>, <textarea>, <form> werden serverseitig automatisch verworfen.

Pseudonymisierung: Statt eines persistenten Trackers nutzen wir einen Session-Hash, der täglich rotiert. Er wird aus User-Agent, Sprache und Tagesdatum per SHA-256 berechnet. Eine Verknüpfung über mehrere Tage ist technisch nicht möglich.

Aufbewahrungsdauer: Rohdaten 90 Tage, dann automatische Löschung. Aggregierte Statistiken (anonyme Tagessummen) bis zu 12 Monate.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenanalyse und Produktverbesserung). Aufgrund der vollständigen Pseudonymisierung, des Verzichts auf Cookies und der EU-internen Speicherung sehen wir keine entgegenstehenden überwiegenden Interessen.

Widerspruch (Opt-Out): Sie können das Tracking jederzeit ausschalten — entweder per Browser-Einstellung „Do Not Track" (Header DNT: 1, wird vollumfänglich respektiert) oder direkt hier auf dieser Seite. Zusätzlich werden interne Routen (/admin, /login) generell nicht getrackt.

Analytics für meinen Browser deaktivieren

Wenn aktiv, werden in diesem Browser keine Seitenaufrufe, Klicks oder Exit-Events mehr an unser Self-hosted-Analytics gesendet. Speicherung erfolgt lokal (kein Cookie, nur localStorage).

Deaktiviert

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen.

Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail benachrichtigt.