Datenschutzerklärung

1. Verantwortlicher

…
E-Mail: …

Verantwortliche Stelle im Sinne der Datenschutzgesetze ist die oben genannte natürliche bzw. juristische Person.

2. Übersicht der Verarbeitungen

Die folgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen:

Arten der verarbeiteten Daten

• Bestandsdaten (z. B. Name, E-Mail-Adresse)
• Nutzungsdaten (z. B. Seitenaufrufe, Verweildauer)
• Inhaltsdaten (z. B. Nutzereingaben in KI-Diensten)
• Zahlungsdaten (verarbeitet durch Stripe, nicht bei uns gespeichert)
• Meta-/Kommunikationsdaten (z. B. IP-Adresse, Browsertyp)
• Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit)

Zwecke der Verarbeitung

• Bereitstellung und Betrieb der SaaS-Plattform
• Registrierung und Authentifizierung von Nutzern
• Durchführung KI-gestützter Markenanalysen
• Zahlungsabwicklung
• Webanalyse und Optimierung des Angebots
• Kommunikation mit Nutzern (transaktionale E-Mails)
• Sicherheitsmaßnahmen und Betrugspravention

3. Rechtsgrundlagen

Nachfolgend teilen wir die Rechtsgrundlagen der Datenschutz-Grundverordnung (DSGVO) mit, auf deren Basis wir personenbezogene Daten verarbeiten:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben (z. B. Analyse-Cookies, Newsletter).
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich (z. B. Registrierung, Zahlungsabwicklung, KI-Dienste).
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich (z. B. Sicherheit der Plattform, Betrugspravention, Optimierung).

4. Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

• Verschlüsselung (TLS/SSL) – Sämtliche Datenübertragungen zwischen Ihrem Browser und unseren Servern erfolgen verschlüsselt.
• Row Level Security (RLS) – Auf Datenbankebene stellen wir sicher, dass Nutzer ausschließlich auf ihre eigenen Daten zugreifen können.
• Datensparsamkeit– Wir erheben nur diejenigen personenbezogenen Daten, die für den jeweiligen Verarbeitungszweck erforderlich sind.
• Zugangskontrollen– Administrativer Zugriff ist auf autorisiertes Personal beschränkt und durch Multi-Faktor-Authentifizierung geschützt.

5. Auftragsverarbeitung und Drittlandtransfer

Auftragsverarbeitungsverträge (AVV)

Wir haben mit allen Dienstleistern, die in unserem Auftrag personenbezogene Daten verarbeiten, Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen. Diese Verträge stellen sicher, dass unsere Auftragsverarbeiter personenbezogene Daten nur nach unserer Weisung verarbeiten, angemessene technische und organisatorische Maßnahmen zum Schutz der Daten treffen und uns bei der Erfüllung von Betroffenenrechten unterstützen.

Datenübermittlung in Drittländer

Einige unserer Dienstleister haben ihren Sitz in den USA oder anderen Ländern außerhalb des Europäischen Wirtschaftsraums (EWR). Die Datenübermittlung in diese Länder erfolgt auf Grundlage folgender Garantien:

• EU-U.S. Data Privacy Framework (DPF) – Für US-Dienstleister, die unter dem Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 zertifiziert sind (z. B. Vercel, Stripe, Google).
• Standardvertragsklauseln (SCC) – Gemäß Art. 46 Abs. 2 lit. c DSGVO als ergänzende Absicherung, sofern ein Dienstleister nicht unter dem DPF zertifiziert ist.

Rechtsgrundlage: Art. 44–49 DSGVO.

6. Hosting und Infrastruktur

Vercel Inc.

Unsere Webanwendung wird auf der Infrastruktur von Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA gehostet. Vercel stellt Hosting-, CDN- und Edge-Funktionen bereit. Beim Zugriff auf unsere Website werden Verbindungsdaten (IP-Adresse, Browsertyp, Zugriffszeit) von Vercel verarbeitet.

Vercel ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Weitere Informationen: vercel.com/legal/privacy-policy

Supabase Inc.

Für Datenbank, Authentifizierung und Dateispeicherung nutzen wir Supabase Inc., 970 Toa Payoh North #07-04, Singapur. Unsere Datenbank befindet sich in der EU-Region eu-central-1 (Frankfurt am Main, Deutschland). Supabase verarbeitet Nutzerdaten (E-Mail, Passwort-Hash, Session-Token) im Rahmen der Authentifizierung und Datenbankoperationen.

Weitere Informationen: supabase.com/privacy

7. Cookies und Einwilligung

Wir setzen Cookies und vergleichbare Technologien ein, um unsere Website zu betreiben und zu optimieren. Technisch notwendige Cookies werden ohne Einwilligung gesetzt. Für alle weiteren Cookies holen wir Ihre Einwilligung über unseren Cookie-Banner ein.

8. Registrierung und Anmeldung

Für die Nutzung unserer Plattform ist eine Registrierung erforderlich. Dabei werden folgende Daten verarbeitet:

• E-Mail-Adresse
• Name (sofern angegeben)
• Passwort-Hash (bei Registrierung mit Passwort; gespeichert bei Supabase Auth)

Anmeldemethoden

• E-Mail-Bestätigungscode – Bei der Registrierung senden wir einen einmaligen Bestätigungscode an Ihre E-Mail-Adresse, um die Inhaberschaft der Adresse zu verifizieren.
• Google OAuth– Anmeldung über Ihr Google-Konto. Wir erhalten Name, E-Mail und Profilbild. Weitere Informationen: policies.google.com/privacy
• Passwort-Anmeldung– Klassische Registrierung mit E-Mail und Passwort.

Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9. Newsletter

Sie können sich im Rahmen des Bestellprozesses optional für unseren Newsletter anmelden. Dabei wird ausschließlich Ihre E-Mail-Adresse verarbeitet.

Double Opt-in

Wir verwenden das sogenannte Double-Opt-in-Verfahren: Nach Ihrer Anmeldung erhalten Sie eine Bestätigungs-Email mit einem Aktivierungslink. Erst nach Klick auf diesen Link werden Sie in den Newsletter-Verteiler aufgenommen. Damit stellen wir sicher, dass die Anmeldung tatsächlich durch den Inhaber der E-Mail-Adresse erfolgt.

Inhalte und Versand

Der Newsletter enthält Branding-Tipps, Produkt-Updates und Informationen rund um Brandblizz. Der Versand erfolgt über den Dienstleister Resend Inc. (siehe Abschnitt „Weitere Drittanbieter“).

Abmeldung

Sie können den Newsletter jederzeit abbestellen. Jede Newsletter-Email enthält einen Abmeldelink. Alternativ können Sie uns per Email an … kontaktieren.

Rechtsgrundlage:Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

10. Zahlungsverfahren

Für die Abwicklung kostenpflichtiger Leistungen nutzen wir den Zahlungsdienstleister Stripe Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA.

Bei einem Kaufvorgang wird Ihre E-Mail-Adresse an Stripe übermittelt. Sämtliche Zahlungsdaten (Kreditkartennummer, Bankverbindung etc.) werden ausschließlich von Stripe verarbeitet und gespeichert – wir haben keinen Zugriff auf diese Daten. Stripe ist als PCI-DSS Level 1 Service Provider zertifiziert.

Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Weitere Informationen: stripe.com/de/privacy

11. KI-gestützte Dienste

Brandblizz nutzt verschiedene KI-Dienste zur Erbringung der Plattform-Leistungen. Dabei können Nutzereingaben (z. B. Markennamen, Beschreibungen, Fragen) an die jeweiligen Anbieter übermittelt werden. Die Daten werden ausschließlich zur Verarbeitung der jeweiligen Anfrage genutzt und nicht dauerhaft bei den Anbietern gespeichert.

Google Gemini

Anbieter: Google LLC, Mountain View, USA. Zweck: Wettbewerbs- und Trendrecherche im Rahmen der Markenanalyse.
policies.google.com/privacy

Anthropic (Claude)

Anbieter: Anthropic PBC, San Francisco, USA. Zweck: Text- und Strategie-Generierung im Rahmen der Markenentwicklung. Nutzereingaben werden als Prompts an die Anthropic-API übermittelt.
anthropic.com/legal/privacy

Ideogram

Anbieter: Ideogram AI, Inc., Toronto, Kanada. Zweck: KI-gestützte Generierung von Logo-Bildern. Markenbezogene Eingaben (z. B. Markenname, Stilvorgaben) werden als Prompts an die Ideogram-API übermittelt.
about.ideogram.ai/legal/privacy

Vectorizer.AI

Anbieter: Vectorizer.AI (Cedar Lake Ventures, Inc.), USA. Zweck: Vektorisierung generierter Logos (Konvertierung von Pixel- in Vektorgrafiken). Es werden keine personenbezogenen Daten an Vectorizer.AI übermittelt – lediglich die generierten Logo-Grafiken.
vectorizer.ai/privacy

Hinweis: Prompts und Eingaben werden zur Verarbeitung an die jeweiligen Anbieter übermittelt, jedoch nicht dauerhaft gespeichert. Wir haben mit den Anbietern Vereinbarungen geschlossen, die sicherstellen, dass Nutzerdaten nicht für das Training von KI-Modellen verwendet werden.

Drittlandübermittlung:Die genannten Anbieter haben ihren Sitz in den USA bzw. Kanada (Ideogram). Die Datenübermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) bzw. – soweit der jeweilige Anbieter zertifiziert ist – des EU-U.S. Data Privacy Framework.

Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung KI-gestützter Dienste).

12. Weitere Drittanbieter

Resend

Anbieter: Resend Inc., San Francisco, USA. Zweck: Versand transaktionaler E-Mails (z. B. Bestätigungscodes, Service-Benachrichtigungen). Dabei wird Ihre E-Mail-Adresse an Resend übermittelt.
resend.com/legal/privacy-policy

13. Webanalyse

Für die Analyse der Nutzung unserer Website setzen wir eine eigene First-Party-Analyselösung ein. Darüber hinaus verwenden wir das Meta Pixel (Facebook Pixel) zur Messung der Effektivität unserer Werbeanzeigen (siehe Abschnitt 13a).

First-Party-Funnel-Messung (serverseitig)

Bei zentralen Schritten unseres Angebots (abgeschlossene Registrierung, Start der Markenerstellung, Start des Kaufprozesses, Kauf) speichern wir serverseitig ein Ereignis mit Zeitstempel, Ereignistyp sowie ggf. pseudonymer Nutzer- und Marken-ID in unserer Datenbank (Supabase, EU-Region Frankfurt). Es werden hierfür keine Cookies gesetzt oder gelesen, keine IP-Adresse und kein User-Agent gespeichert und keine Daten an Dritte übermittelt.

Rechtsgrundlage:Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Auswertung des eigenen Angebots-Funnels); bei Vertragsereignissen (Kauf) zudem Art. 6 Abs. 1 lit. b DSGVO.

Kampagnen-Zuordnung (First-Touch-Attribution)

Gelangen Sie über eine Werbeanzeige oder einen Kampagnen-Link zu uns, legt Ihr Browser die Kampagnen-Parameter aus der Einstiegs-URL (Anzeigen-Hierarchie, UTM-Parameter, Meta-Klick-ID fbclid, Einstiegsseite) im sessionStorage ab – tab-gebunden, endet mit der Browser-Session (siehe Tabelle in Abschnitt 7). Registrieren Sie sich anschließend, ordnen wir diese Herkunfts-Information einmalig Ihrem Nutzerkonto zu, um auszuwerten, welche Kampagnen zu Registrierungen und Käufen führen. Ohne Registrierung verfällt die Information mit dem Schließen des Tabs.

Rechtsgrundlage:Art. 6 Abs. 1 lit. f DSGVO (Werbeerfolgsmessung). Sie können der Verarbeitung jederzeit per E-Mail an … widersprechen.

Anonyme Reichweitenmessung (Paid-Visit-Zähler)

Bei Besuchen, die aus einem Klick auf eine Meta-Werbeanzeige stammen (erkennbar an der Klick-ID fbclid), zählen wir den Besuch serverseitig: Zeitstempel, Seitenpfad und die Information, dass der Besuch aus einer Anzeige stammt (ja/nein).

Nicht erfasst: IP-Adresse (wird nur kurzfristig für Rate-Limiting im Arbeitsspeicher gehalten und nicht persistiert), Session-ID, Nutzer-ID, E-Mail-Adresse oder kombinierbare Identifier.

Widerspruch: Sie können der Verarbeitung jederzeit per E-Mail an … widersprechen.

Rechtsgrundlage:Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an aggregierter Reichweitenmessung).

13a. Meta Pixel / Conversions API

Anbieter:Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland (Datenschutzrichtlinie).

Zweck: Wir setzen das Meta Pixel und die Meta Conversions API (CAPI) ein, um die Effektivität unserer Werbeanzeigen auf Instagram und Facebook zu messen, Zielgruppen zu erstellen und Conversions zu erfassen.

Erfasste Daten und Events

Browser-seitig (Meta Pixel):

• PageView (Seitenaufrufe)
• Lead (Start der Markenerstellung)
• InitiateCheckout (Beginn des Kaufprozesses)
• Purchase (abgeschlossener Kauf)
• CompleteRegistration (Registrierung)

Server-seitig (Conversions API): Dieselben Events werden zusätzlich serverseitig an Meta übermittelt. Dabei werden folgende Daten in gehashter Form gesendet: E-Mail-Adresse, Vorname, Nachname. Ungehasht werden übermittelt: IP-Adresse (anonymisiert), User Agent, Click-ID (fbc) und Browser-ID (fbp). Zur Vermeidung doppelter Zählung wird eine gemeinsame Event-ID (event_id) verwendet.

Server-seitige Übermittlung ohne Einwilligung

Bestimmte Ereignisse werden auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) auch ohne Cookie-Einwilligung server-seitig an Meta übermittelt:

• PageView– ausschließlich bei Besuchen mit einer Meta-Klick-ID (fbclid), also nach Klick auf eine unserer Werbeanzeigen. Dient der Reichweitenmessung für bezahlte Werbung.
• Lead, InitiateCheckout, CompleteRegistration – aktive Nutzerhandlungen (Formularabschluss, Registrierung, Kaufstart). Dient der Conversion-Attribution bezahlter Werbung.

Übermittelt werden dabei: IP-Adresse, User-Agent, ggf. Click-ID (fbc) sowie – bei aktiven Handlungen – gehashte E-Mail, Name und pseudonyme Nutzer-ID. Es werden hierbei keine Cookies gesetzt oder gelesen. Ohne diese Datenübermittlung könnten wir den Erfolg unserer Werbeanzeigen nicht sinnvoll bewerten und keine sinnvollen Budget-Entscheidungen treffen. Sie können dieser Verarbeitung jederzeit widersprechen (siehe „Widerruf“ unten); Organic- und Direct-Traffic (ohne fbclid) wird nicht an Meta übermittelt.

Cookies

• _fbp– Identifiziert den Browser für Werbezuordnung (Speicherdauer: 90 Tage)
• _fbc– Speichert die Click-ID bei Klick auf eine Meta-Werbeanzeige (Speicherdauer: 90 Tage)

Einwilligung: Das Meta Pixel (Browser-Skript) sowie die Cookies _fbp und _fbc werden ausschließlich nach Ihrer ausdrücklichen Einwilligung über den Cookie-Banner geladen bzw. gesetzt. Wir respektieren zudem das Do-Not-Track-Signal Ihres Browsers. Die oben beschriebene server-seitige Übermittlung erfolgt unabhängig vom Cookie-Banner auf Basis berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).

Widerruf: Sie können Ihre Einwilligung jederzeit über den Cookie-Banner (im Footer der Website) widerrufen. Zusätzlich können Sie Ihre Werbeeinstellungen direkt bei Meta anpassen: Meta-Werbeeinstellungen.

Drittlandtransfer: Meta Platforms, Inc. hat seinen Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (DPF), für das Meta zertifiziert ist.

Rechtsgrundlage:Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für das Browser-Pixel und Cookies; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Werbeerfolgsmessung) für die server-seitige Übermittlung bei Paid-Klicks und aktiven Nutzerhandlungen.

14. Betroffenenrechte

Ihnen stehen als betroffene Person nach der DSGVO folgende Rechte zu:

• Auskunftsrecht (Art. 15 DSGVO) – Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO) – Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
• Recht auf Löschung (Art. 17 DSGVO) – Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die gesetzlichen Voraussetzungen erfüllt sind.
• Recht auf Einschränkung (Art. 18 DSGVO) – Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie haben das Recht, die Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO) – Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einzulegen.

Datenexport und Konto-Löschung: Sie können jederzeit den Export Ihrer Daten oder die vollständige Löschung Ihres Kontos verlangen – eine formlose E-Mail an die unten genannte Adresse genügt. Bei Löschung des Kontos werden alle personenbezogenen Daten unwiderruflich entfernt.

Zur Ausübung Ihrer Rechte wenden Sie sich an: …

15. Widerruf der Einwilligung

Sofern die Verarbeitung Ihrer personenbezogenen Daten auf einer Einwilligung beruht (Art. 6 Abs. 1 lit. a DSGVO), haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Den Widerruf können Sie wie folgt ausüben:

• Über den Cookie-Banner, den Sie jederzeit über den entsprechenden Link im Footer erneut aufrufen können.
• Per E-Mail an ….

16. Beschwerderecht

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

Sie können sich an die Datenschutzaufsichtsbehörde Ihres Wohnsitzes wenden. Eine Liste der Aufsichtsbehörden in Deutschland finden Sie unter: bfdi.bund.de

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes sowie der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung gilt ab dem angegebenen Aktualisierungsdatum.

Letzte Aktualisierung: April 2026