Datenschutzerklärung

Microfol.io

1. Verantwortlicher

Mondi.Consulting

Salvatore Mondi

Augsburgerstraße 68

93051 Regensburg

Deutschland

E-Mail: info [@] microfol [.] io

2. Überblick über die Verarbeitung

Die nachfolgende Übersicht fasst die wichtigsten Datenverarbeitungen zusammen und gibt einen Überblick über die Verarbeitung Ihrer Daten. Detaillierte Informationen zu den einzelnen Verarbeitungen finden Sie in den nachfolgenden Abschnitten.

Arten der verarbeiteten Daten

  • Bestandsdaten (z.B. Namen, Adressen)
  • Kontaktdaten (z.B. E-Mail, Telefonnummern)
  • Inhaltsdaten (z.B. Eingaben in Onlineformularen)
  • Nutzungsdaten (z.B. besuchte Webseiten, Verweildauer)
  • Meta-/Kommunikationsdaten (z.B. IP-Adressen, Zeitangaben)
  • Zugangsdaten (z.B. PIN-Codes für Members-Bereiche)

Kategorien betroffener Personen

  • Websitebesucher
  • Nutzer unserer Services
  • Interessenten und Kunden
  • Mitglieder (Besucher mit Zugang zu Members-Bereichen)

3. Rechtsgrundlagen der Verarbeitung

Im Folgenden erhalten Sie Informationen zu den Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten. Bitte beachten Sie, dass neben den Regelungen der DSGVO nationale Datenschutzbestimmungen in Ihrem bzw. unserem Wohn- oder Sitzland gelten können.

Rechtsgrundlagen im Detail

  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO): Cookies, Newsletter, Marketing
  • Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO): Bereitstellung unserer Leistungen
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO): Steuerrechtliche Aufbewahrung
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO): Analyse, Sicherheit, Direktwerbung

4. Cookies und Tracking (§ 25 TTDSG)

Unsere Website verwendet Cookies und ähnliche Technologien. Dabei unterscheiden wir zwischen technisch notwendigen Cookies und solchen, die eine Einwilligung erfordern.

Cookie-Kategorien

  • Technisch notwendig: Session-Cookies, Login-Status, Members-Zugangs-Token (mf_access_*)
  • Funktional: Spracheinstellungen, Theme-Präferenzen
  • Analytisch: Nutzungsstatistiken (nur mit Einwilligung)
  • Marketing: Derzeit nicht verwendet

Consent-Management (Cookie-Banner)

Ihre Entscheidungen bezüglich Cookies dokumentieren wir in einem Consent-Log mit Zeitstempel und werden für 6 Monate gespeichert. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen auf unserer Website ändern oder widerrufen.

5. Wartelisten-Registrierung

Sie können sich für unsere Warteliste registrieren, um frühzeitig über die Verfügbarkeit unserer Services informiert zu werden.

Verarbeitete Daten

  • E-Mail-Adresse
  • Zeitpunkt der Registrierung
  • IP-Adresse (für Spam-Schutz)
  • Quelle der Anmeldung (Webseite)

Zweck und Rechtsgrundlage

Zweck: Benachrichtigung über Service-Verfügbarkeit und Vertragsanbahnung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/Vertragsanbahnung)

Speicherdauer: Bis zum Launch der Services oder auf Wunsch löschbar

Abmeldung: Jederzeit per E-Mail an info@microfol.io

Spam-Schutz und Datenvalidierung

Zur Verhinderung von Missbrauch setzen wir technische Maßnahmen ein, die verdächtige Anmeldungen automatisch erkennen und blockieren. Dabei werden IP-Adressen und E-Mail-Domains temporär gespeichert.

6. Bereitstellung der Website und Webhosting

Um unsere Website sicher und effizient bereitstellen zu können, nehmen wir die Dienste von Webhosting-Anbietern in Anspruch.

Hosting-Anbieter

Hetzner Online GmbH

Industriestr. 25, 91710 Gunzenhausen, Deutschland

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)

Standort: Deutschland (EU-DSGVO-konform)

Speicherdauer: Server-Logs 30 Tage

Besonderheit: Deployment über Coolify (Self-Hosted)

Verarbeitete Datenarten

  • IP-Adresse (anonymisiert nach 24 Stunden)
  • Zeitstempel des Zugriffs
  • Übertragene Datenmenge
  • Browser-Informationen (User-Agent)
  • Referrer-URL

7. Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Technische Schutzmaßnahmen

  • SSL/TLS-Verschlüsselung der Datenübertragung
  • Verschlüsselte Speicherung sensibler Daten
  • Regelmäßige Sicherheitsupdates
  • Zugriffskontrolle und Authentifizierung
  • Firewall- und DDoS-Schutz

8. Registrierung, Anmeldung und Nutzerkonto

Nutzer können ein Nutzerkonto anlegen. Im Rahmen der Registrierung werden die erforderlichen Pflichtdaten den Nutzern mitgeteilt und zu Zwecken der Bereitstellung des Nutzerkontos auf Grundlage vertraglicher Pflichterfüllung verarbeitet.

Verarbeitete Datenarten

  • Bestandsdaten (z.B. Namen, Adressen)
  • Kontaktdaten (z.B. E-Mail, Telefonnummern)
  • Inhaltsdaten (z.B. Eingaben in Onlineformularen)

Speicherdauer

  • Aktive Accounts: Bis zur Kündigung
  • Gelöschte Accounts: 30 Tage (Wiederherstellungsmöglichkeit)
  • Backup-Daten: 90 Tage
  • Steuerrelevante Daten: 10 Jahre

9. Kontaktaufnahme und Support

Bei der Kontaktaufnahme mit uns (z.B. per E-Mail oder über Kontaktformulare) werden die Angaben der anfragenden Person zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.

Verarbeitete Daten

  • Name und Kontaktdaten
  • Inhalt der Nachricht
  • Zeitstempel der Anfrage
  • IP-Adresse (bei Formular-Nutzung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)

Speicherdauer: 24 Monate oder bis zur vollständigen Bearbeitung

10. Newsletter und E-Mail-Marketing

Wenn Sie sich für unseren Newsletter anmelden, verwenden wir die von Ihnen angegebenen Daten ausschließlich für diesen Zweck oder um Sie über relevante Umstände zu informieren.

Double-Opt-In Verfahren

Die Anmeldung erfolgt über ein Double-Opt-In-Verfahren. Nach der Anmeldung erhalten Sie eine Bestätigungs-E-Mail mit einem Link, den Sie anklicken müssen, um die Anmeldung zu bestätigen.

Ihre Rechte

  • Abmeldung jederzeit über Link in jeder E-Mail möglich
  • Abmeldung per E-Mail an info[@]microfol[.]io
  • Protokollierung der An- und Abmeldung für rechtliche Nachweise

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

E-Mail-Versanddienstleister

Resend Inc.

San Francisco, CA, USA

Zweck: Versand transaktionaler E-Mails (Warteliste-Bestätigungen, Beta-Einladungen, Benachrichtigungen)

Verarbeitete Daten: E-Mail-Adresse, Name (falls vorhanden), Zeitpunkt des Versands

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Drittlandtransfer: USA (Standardvertragsklauseln)

Datenschutz: resend.com/legal/privacy-policy

Newsletter-Integrationen (nutzerkonfiguriert)

Portfolio-Ersteller können eigene Newsletter-Dienste (z.B. Mailchimp, Brevo/Sendinblue, ConvertKit, CleverReach, Mailjet) anbinden. Wenn ein Besucher das Newsletter-Formular eines Portfolios nutzt, wird die E-Mail-Adresse an den vom Portfolio-Ersteller konfigurierten Dienst weitergeleitet. Für die Datenverarbeitung durch diese Drittanbieter ist der jeweilige Portfolio-Ersteller als eigenständiger Verantwortlicher zuständig.

11. KI-Funktionen und API-Keys

Unsere Plattform bietet optionale KI-Funktionen, die über externe APIs bereitgestellt werden. Nutzer können eigene API-Keys für verschiedene KI-Dienste hinterlegen.

Wichtiger Hinweis zu API-Keys

  • • API-Keys werden verschlüsselt gespeichert
  • • API-Keys werden für KI-Funktionen innerhalb Ihres Microfolios entschlüsselt (z. B. beim Erstellen von Inhalten, für die Knowledgebase und wenn Besucher den Smart Chat nutzen)
  • • Alle KI-Anfragen gehen direkt an den jeweiligen Anbieter
  • • Microfol.io selbst greift nicht auf Ihren API-Key zu und nutzt ihn nicht für eigene Zwecke
  • • Wir tracken oder speichern keine KI-Conversations
  • • Die entstehenden Kosten werden direkt über Ihren OpenAI-Account abgerechnet

Unterstützte KI-Anbieter und Drittlandübermittlungen

OpenAI LLC

3180 18th Street, San Francisco, CA 94110, USA

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch API-Key-Hinterlegung)

Drittlandübermittlung: USA, abgesichert durch angemessenheitsbeschluss oder SCC

Google LLC — Gemini (geplant)

1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Status: In Vorbereitung als zukünftiger KI-Anbieter

Anthropic PBC (geplant)

548 Market St, San Francisco, CA 94104, USA

Status: In Vorbereitung

Profiling und automatisierte Entscheidungen

Wir führen kein Profiling gemäß Art. 22 DSGVO durch. KI-Funktionen dienen ausschließlich der Unterstützung bei der Content-Erstellung und treffen keine automatisierten Entscheidungen über Sie.

11a. Members-Zugangssteuerung (Premium-Zugang)

Die Members-Funktion ermöglicht es Portfolio-Erstellern (nachfolgend "Creator"), Inhalte hinter einen zugangsbeschränkten Bereich zu stellen. Zur technischen Umsetzung dieser Zugangskontrolle und zur Bereitstellung von Statistiken für den Creator verarbeiten wir folgende Daten.

Zugangssteuerung — Verarbeitete Daten

  • PIN-Code: Vom Creator festgelegter Zugangscode (4–8 Ziffern), serverseitig gehasht gespeichert
  • Zugangs-Token: Kryptographisch generierter Token zur Sitzungsvalidierung
  • Zugangsprotokoll: Zeitstempel des Zugangs, Microfolio-ID, Zugangstyp (PIN-Eingabe, Einmalzahlung oder Abonnement), Zugangsstatus (aktiv, abgelaufen, gekündigt)

Mitglieder-Daten (bei Zahlung / Registrierung)

Wenn ein Besucher über eine Zahlungsmethode (Stripe) Zugang erwirbt oder sich als Mitglied registriert, werden zusätzlich folgende Daten gespeichert:

  • E-Mail-Adresse: Zur Identifikation und ggf. für Transaktionsbelege
  • Benutzer-ID: Interne Zuordnung (pseudonymisiert, z. B. Supabase User-ID)
  • Zahlungsbetrag: Betrag in Cent pro Transaktion
  • Stripe-Kunden-ID: Zuordnung zum Zahlungsdienstleister
  • Stripe-Abonnement-ID: Bei Abonnement-Modellen zur Verwaltung wiederkehrender Zahlungen
  • Ablaufdatum: Zeitpunkt, an dem der Zugang erlischt (bei zeitlich begrenzten Zugängen)

Beta-Hinweis: In der aktuellen Beta-Phase erfolgt der Zugang ausschließlich per PIN-Code. Es werden keine E-Mail-Adressen, Zahlungsdaten oder Stripe-IDs erhoben. Die oben genannten Daten werden erst nach dem Beta-Start mit aktiver Stripe-Integration verarbeitet.

Members-Dashboard (Creator-Statistiken)

Wir stellen dem Creator ein Dashboard zur Verfügung, das aggregierte und einzelne Mitgliederdaten anzeigt. Folgende Daten sind für den Creator einsehbar:

Aggregierte Statistiken:

  • Gesamtzahl aktiver Mitglieder
  • Anzahl PIN-Zugänge vs. bezahlte Zugänge
  • Gesamtumsatz und Netto-Einnahmen (nach Abzug der Plattformgebühr)
  • Neue Mitglieder pro Zeitraum (Woche, Monat)
  • Kündigungs- und Ablaufrate

Einzelne Mitgliederdaten (nur bei zahlenden Mitgliedern):

  • E-Mail-Adresse
  • Zahlungsmodus (Einmalzahlung oder Abonnement)
  • Zahlungsbetrag und -status
  • Zugangszeitpunkt und Ablaufdatum
  • Aktueller Status (aktiv, abgelaufen, gekündigt)

Nicht einsehbar für den Creator:

  • IP-Adressen der Mitglieder
  • Vollständige Stripe-Kunden- oder Abonnement-IDs
  • Browser- oder Geräte-Informationen
  • Interne Benutzer-IDs

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des Members-Dienstes für den Creator) und Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen – der Creator hat ein berechtigtes Interesse, Einblick in seine Verkaufs- und Zugangsstatistiken zu erhalten).

Cookies und Speicherung

Beta-Phase (aktuell): Der Zugang ist ausschließlich sitzungsbasiert. Es werden keine Cookies gesetzt. Der Zugang verfällt beim Schließen des Browser-Tabs.

Nach Beta: Es wird ein technisch notwendiges Cookie (mf_access_[microfolio-id]) gesetzt, um den Zugang über mehrere Sitzungen hinweg zu ermöglichen. Dieses Cookie ist HttpOnly, Secure, SameSite=Lax und hat eine Laufzeit von 30 Tagen.

Nicht erfasste Daten (bei reinem PIN-Zugang / Beta)

  • Keine IP-Adressen der Mitglieder
  • Keine personenbezogenen Daten (Name, E-Mail) bei reinem PIN-Zugang
  • Keine Browser-Fingerprints

Datenweitergabe und Verantwortlichkeiten

Der Creator ist eigenständiger Verantwortlicher für die Nutzung der ihm im Dashboard bereitgestellten Mitgliederdaten. Microfol.io stellt diese Daten ausschließlich im Rahmen der Vertragserfüllung zur Verfügung. Eine Weitergabe an sonstige Dritte erfolgt nicht, mit Ausnahme der Zahlungsabwicklung über Stripe (siehe Abschnitt 12).

Zweck: Technische Zugangskontrolle, Zahlungsabwicklung und Bereitstellung von Verkaufs-/Zugangsstatistiken für den Creator

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)

Speicherdauer: Zugangsprotokolle: 90 Tage; Mitgliederdaten (bei Zahlung): bis zur Löschung des Accounts oder Ablauf gesetzlicher Aufbewahrungsfristen (Rechnungsdaten: 10 Jahre); PIN-Hashes: bis zur Änderung oder Löschung durch den Creator

Verarbeitung: Ausschließlich auf eigenen Servern (Supabase/EU)

11b. Access – Tickets & Eintrittskarten

Die Access-Funktion ermöglicht es Creators, digitale Tickets und Eintrittskarten über ihr Microfolio zu verkaufen. Zur Abwicklung und Einlösung dieser Tickets verarbeiten wir folgende Daten.

Ticket-Daten — Verarbeitete Daten

  • Ticket-Token: Kryptographisch generierter, eindeutiger Einlösecode (UUID)
  • QR-Code: Enthält die Ticket-URL mit dem Einlöse-Token
  • Kaufdaten: Zeitpunkt, Angebotstyp, Preis, Währung, Zahlungsstatus
  • Einlöseprotokoll: Zeitpunkt der Einlösung, Scanner-PIN (pseudonymisiert), Einlösemethode (QR oder manuell)
  • Stripe-Transaktions-ID: Zuordnung zur Zahlungsabwicklung

Käufer-Daten (bei Kauf)

  • E-Mail-Adresse: Für Kaufbestätigung und Ticket-Zustellung
  • Stripe-Kunden-ID: Zuordnung zum Zahlungsdienstleister
  • Zahlungsbetrag: Betrag der Transaktion

Bei kostenlosen Angeboten (Free Claim) werden keine Zahlungsdaten erhoben. Es wird lediglich der Zeitpunkt des Claims protokolliert.

Scanner-PINs (Personal-Zugang)

  • PIN-Code: 6-stelliger Zahlencode, serverseitig gehasht gespeichert
  • Label: Vom Creator zugeordnete Bezeichnung (z. B. "Einlass-Team")
  • Nutzungsprotokoll: Zeitpunkt der letzten Verwendung

Scanner-PINs ermöglichen dem Personal des Creators den Zugang zum Web-Scanner ohne eigenen Account. Es werden keine personenbezogenen Daten des Personals erhoben.

Access-Dashboard (Creator-Statistiken)

Im Access-Dashboard werden dem Creator folgende aggregierte Statistiken angezeigt:

  • Anzahl Verkäufe und Einlösungen
  • Umsatz (brutto, vor Plattformgebühr)
  • Angebotsliste mit Verkaufsstatus und Kapazität
  • Einzelne Transaktionsdaten: Angebotstyp, Preis, Einlösestatus

Nicht erfasste Daten

  • Keine IP-Adressen der Käufer oder des Scan-Personals
  • Keine Browser-Fingerprints
  • Keine Standortdaten beim Scannen

Zweck: Ticketverkauf, Einlösekontrolle und Bereitstellung von Verkaufsstatistiken für den Creator

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)

Speicherdauer: Transaktionsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht); Einlöseprotokolle: 90 Tage; Scanner-PIN-Hashes: bis zur Löschung durch den Creator

Verarbeitung: Ausschließlich auf eigenen Servern (Supabase/EU)

Beta-Hinweis: Die Access-Funktion befindet sich derzeit im Beta-Stadium. Der Umfang der verarbeiteten Daten kann sich mit der Weiterentwicklung der Funktion ändern.

12. Zahlungsabwicklung

Für die Abwicklung von Zahlungen arbeiten wir mit externen Zahlungsdienstleistern zusammen.

Stripe Inc.

510 Townsend Street, San Francisco, CA 94103, USA

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Verarbeitete Daten: Zahlungsdaten, Transaktionsdetails, E-Mail-Adresse

Members-Transaktionen: Bei Verkäufen über die Members-Funktion wird die Plattformgebühr (10 % + 0,30 €) automatisch über Stripe Connect einbehalten

Zahlungsmethoden: Kreditkarte, PayPal

Speicherdauer: Bis zur vollständigen Abwicklung + gesetzliche Aufbewahrungsfristen

Drittlandtransfer: USA (Standardvertragsklauseln)

Datenschutz: stripe.com/de/privacy

PayPal (Europe) S.à r.l. et Cie, S.C.A.

22-24 Boulevard Royal, L-2449 Luxemburg

Zweck: Zahlungsabwicklung über Stripe Checkout (PayPal als Zahlungsmethode)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenschutz: paypal.com/de/privacy

13. Analyse- und Statistik-Tools

Wir verwenden datenschutzfreundliche Analyse-Tools, um die Nutzung unserer Website zu verstehen und zu verbessern.

Hetzner Analytics (Minimal)

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland

  • Erfassung: Minimale Server-Logs (Zugriffe, Fehler)
  • IP-Adressen werden automatisch anonymisiert nach 24h
  • Keine Tracking-Cookies
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
  • Speicherdauer: 30 Tage (Server-Logs)
  • Standort: Deutschland (DSGVO-konform)

Opt-out: Sie können der Analyse widersprechen, indem Sie in Ihren Browser-Einstellungen JavaScript deaktivieren oder einen Adblocker verwenden.

Nutzungsanalyse öffentlicher Portfolios (First-Party, pseudonym)

Für veröffentlichte Portfolio-Seiten erheben wir anonyme Nutzungsstatistiken, um Portfolio-Inhabern messbare Einblicke in die Wirksamkeit ihres Portfolios zu ermöglichen (z. B. Besucherzahlen, Interaktionsraten).

Erfasste Daten:

  • Besucher-ID (visitor_id): Zufällig generierte UUID, gespeichert im localStorage des Browsers. Dient der Unterscheidung wiederkehrender Besucher ohne Personenbezug.
  • Session-ID (session_id): Zufällig generierte UUID pro Besuchssitzung (30-Minuten-Timeout). Ermöglicht die Zählung von Gesamtbesuchen.
  • Event-Typ: Seitenaufruf (page_view), Sitzungsstart (session_start), Chat gestartet, CTA-Klick, Lead-Aktion
  • Herkunft: Referrer-Domain, UTM-Parameter (Kampagnen-Tracking), Entry-Type (direkt, Suche, Social Media, etc.)
  • Seitenpfad: Welche Portfolio-Seite besucht wurde

Nicht erfasste Daten:

  • Keine IP-Adressen werden gespeichert
  • Keine Cookies — ausschließlich localStorage
  • Keine Fingerprinting-Technologien
  • Keine personenbezogenen Daten (Name, E-Mail, etc.)
  • Keine Weitergabe an Drittanbieter
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
  • Speicherdauer: 90 Tage, danach automatische Löschung
  • Verarbeitung: Ausschließlich auf eigenen Servern (Supabase/EU)
  • Zugang: Nur der jeweilige Portfolio-Inhaber hat Zugriff auf seine Statistiken

14. Einbettung externer Medien-Dienste (Audio & Video)

Unsere Plattform ermöglicht Nutzern, Audio- und Video-Inhalte von externen Diensten in ihre Portfolios einzubetten. Dabei werden Inhalte per iframe-Einbettung (Embed) direkt von den Servern der jeweiligen Anbieter geladen. Bei Aufruf einer Seite mit eingebetteten Medien-Inhalten werden automatisch Daten an den jeweiligen Anbieter übertragen.

Spotify AB

Regeringsgatan 19, 111 53 Stockholm, Schweden

Embed-Domain: open.spotify.com

Datenschutz: spotify.com/de/legal/privacy-policy

SoundCloud Ltd.

Rheinsberger Str. 76/77, 10115 Berlin, Deutschland

Embed-Domain: w.soundcloud.com

Datenschutz: soundcloud.com/pages/privacy

Apple Inc.

One Apple Park Way, Cupertino, CA 95014, USA

Embed-Domain: embed.music.apple.com

Datenschutz: apple.com/de/legal/privacy

Deezer SA

24 Rue de Calais, 75009 Paris, Frankreich

Embed-Domain: widget.deezer.com

Datenschutz: deezer.com/legal/personal-datas

Übertragene Daten

  • IP-Adresse des Besuchers
  • Browser-Typ und -Version, Betriebssystem
  • Referrer-URL (besuchte Seite)
  • Ggf. Cookies und Tracking-Daten des jeweiligen Anbieters

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Darstellung eingebetteter Inhalte zur Portfolio-Präsentation). Die Einbettung erfolgt erst, wenn der Portfolio-Ersteller aktiv einen Link eines Streaming- oder Video-Dienstes hinzufügt. Für YouTube verwenden wir den erweiterten Datenschutzmodus (youtube-nocookie.com), der das Setzen von Cookies bis zur Interaktion mit dem Video einschränkt.

Hinweis: Wir haben keinen Einfluss auf die Datenverarbeitung durch die Streaming- und Video-Anbieter. Für Details verweisen wir auf die jeweiligen Datenschutzerklärungen der Anbieter (siehe Links oben).

15. Einbindung externer Shop-Systeme (Shopify)

Unsere Plattform ermöglicht Nutzern, Produkte aus externen Online-Shops (derzeit Shopify) in ihre Portfolios einzubinden. Dabei werden Produktdaten serverseitig über unseren Proxy-Server abgerufen, sodass keine direkte Verbindung zwischen dem Browser des Besuchers und der Shopify-API hergestellt wird.

Allerdings werden Produktbilder direkt vom Shopify-CDN (cdn.shopify.com) geladen. Dabei wird die IP-Adresse des Besuchers an Shopify übermittelt. Beim Klick auf Produkt-Links wird der Besucher auf die externe Shopify-Shop-Seite weitergeleitet.

Shopify International Ltd.

c/o Intertrust Ireland, 2nd Floor 1-2 Victoria Buildings, Haddington Road, Dublin 4, D04 XN32, Irland

Muttergesellschaft: Shopify Inc., 151 O'Connor Street, Ottawa, Ontario K2P 2L8, Kanada

CDN-Domain: cdn.shopify.com

Datenschutzerklärung: shopify.com/legal/privacy

Übermittelte Daten beim Laden von Produktbildern:

  • IP-Adresse des Besuchers
  • Browser-Typ und -Version (User-Agent)
  • Referrer-URL
  • Datum und Uhrzeit des Zugriffs

Serverseitig abgerufene Daten (kein Besucherkontakt):

  • Produkttitel, Beschreibung und Preis
  • Produkt-Handle und URL
  • Produktbild-URLs
  • Währungsinformationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Darstellung von Produktinformationen im Portfolio des Nutzers).

Drittlandtransfer: Shopify verarbeitet Daten u.a. in Kanada und den USA. Kanada verfügt über einen Angemessenheitsbeschluss der EU-Kommission. Für die USA gelten die Standardvertragsklauseln von Shopify.

Hinweis: Die Produktdaten werden über unseren Server als Proxy abgerufen und zwischengespeichert (5 Minuten Cache). Dies minimiert die direkte Datenübertragung an Shopify. Auf die Datenverarbeitung durch Shopify beim Laden von CDN-Inhalten und beim Besuch der Shop-Seiten haben wir keinen Einfluss.

15a. Partnerprogramme und Affiliate-Tracking

Im Rahmen unserer Partnerprogramme (Empfehlung, Affiliate, Agentur) verarbeiten wir personenbezogene Daten zur Zuordnung, Provisionsberechnung und Qualitätssicherung.

Affiliate-Cookie und Click-Tracking

Wenn ein Besucher über einen Affiliate-Link auf unsere Seite gelangt, wird ein Cookie (mf_aff) gesetzt, um den geworbenen Nutzer dem Affiliate zuzuordnen. Dieses Cookie hat eine Laufzeit von 30 Tagen.

Beim Klick auf einen Affiliate-Link speichern wir:

  • Anonymisierte IP-Adresse (die letzten Stellen werden entfernt)
  • Browser-Typ und Betriebssystem (User-Agent)
  • Zeitpunkt des Klicks
  • Referrer-URL (woher der Besucher kam)
  • Affiliate-Code zur Zuordnung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Affiliate-Partner) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der korrekten Provisionsabrechnung).

Empfehlungsprogramm (Referral)

Beim Empfehlungsprogramm wird der Referral-Code des empfehlenden Nutzers gespeichert, um die Bonus-Credits beider Seiten korrekt zuzuordnen. Es werden keine zusätzlichen Tracking-Mechanismen eingesetzt.

Agentur-Programm – Ownership-Transfer

Beim Ownership-Transfer eines Demo-Microfolios an einen Kunden verarbeiten wir:

  • E-Mail-Adresse des eingeladenen Kunden (für die Einladung)
  • Signierter Einladungstoken (zur Verifizierung)
  • Zeitpunkt der Einladung und Annahme
  • Zuordnung zum Agentur-Partner (für die Provisionsberechnung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des eingeladenen Kunden durch Annahme der Einladung).

Provisionsberechnung und Speicherdauer

Für die Provisionsberechnung speichern wir die Zuordnung zwischen Partner und geworbenem Kunden, Zahlungseingänge und berechnete Provisionsbeträge. Diese Daten werden für die Dauer der Provisionsansprüche (12 Monate bei Affiliate, 24 Monate bei Agentur) zuzüglich steuerrechtlicher Aufbewahrungsfristen (10 Jahre) gespeichert.

Transparenz: Die vollständigen Teilnahmebedingungen der Partnerprogramme finden Sie unter Partnerprogramm-Bedingungen.

16. Minderjährigenschutz

Unser Service richtet sich an Personen ab 16 Jahren. Personen unter 16 Jahren dürfen ohne Einwilligung der Erziehungsberechtigten keine personenbezogenen Daten an uns übermitteln.

Hinweis für Eltern: Falls Sie feststellen, dass Ihr Kind ohne Ihre Einwilligung Daten an uns übermittelt hat, kontaktieren Sie uns bitte umgehend unter info[@]microfol[.]io

17. Auftragsverarbeiter

Wir arbeiten mit verschiedenen Auftragsverarbeitern zusammen, die uns bei der Bereitstellung unserer Services unterstützen.

Hetzner Online GmbH

Industriestr. 25, 91710 Gunzenhausen, Deutschland

Zweck: Server-Hosting und Infrastruktur

Standort: Deutschland (EU-DSGVO-konform)

Supabase Inc.

USA (Firmensitz), EU-Region Frankfurt (Datenverarbeitung)

Zweck: Datenbank und Backend-Services

Standort: EU-Server (Frankfurt, Deutschland)

Coolify (Open Source)

Self-hosted auf Hetzner-Infrastruktur

Zweck: Deployment und Container-Management

Standort: Deutschland (eigene Kontrolle)

Resend Inc.

San Francisco, CA, USA

Zweck: E-Mail-Versand (transaktionale E-Mails)

Standort: USA (Standardvertragsklauseln)

Stripe, Inc.

354 Oyster Point Blvd, South San Francisco, CA 94080, USA

Zweck: Zahlungsabwicklung und Abonnementverwaltung

Standort: USA (Standardvertragsklauseln, DPF-zertifiziert)

PayPal (Europe) S.à r.l. et Cie, S.C.A.

22-24 Boulevard Royal, L-2449 Luxembourg

Zweck: Zahlungsabwicklung (PayPal-Zahlungen)

Standort: EU (Luxemburg, DSGVO-konform)

Upstash, Inc.

USA (Firmensitz), EU-Region (Datenverarbeitung)

Zweck: Rate-Limiting (Schutz vor Missbrauch und automatisierten Anfragen)

Verarbeitete Daten: IP-Adressen und Anfrage-Zähler (temporär, TTL-basiert; automatische Löschung nach Ablauf des Zählers)

Standort: EU-Region (Standardvertragsklauseln)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen — Schutz der Plattform vor Missbrauch)

Datenschutz: upstash.com/trust/privacy.pdf

Alle Auftragsverarbeiter sind vertraglich zur Einhaltung der DSGVO verpflichtet und wurden sorgfältig ausgewählt.

18. Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten.

Berichtigungsrecht (Art. 16 DSGVO)

Sie haben das Recht, unrichtige Daten berichtigen zu lassen.

Löschungsrecht (Art. 17 DSGVO)

Sie haben das Recht auf Löschung Ihrer Daten, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

Einschränkungsrecht (Art. 18 DSGVO)

Sie haben das Recht, die Verarbeitung Ihrer Daten einschränken zu lassen.

Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten Format zu erhalten.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, der Verarbeitung zu widersprechen, sofern diese auf berechtigten Interessen beruht.

Wie können Sie Ihre Rechte ausüben?

Kontaktieren Sie uns per E-Mail unter info[@]microfol[.]io oder nutzen Sie unser Kontaktformular. Wir werden Ihre Anfrage innerhalb von 30 Tagen bearbeiten.

Beschwerde bei Aufsichtsbehörde

Sie haben das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, z.B. beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA).

19. Speicherdauer und Löschung von Daten

Die von uns verarbeiteten Daten werden nach Maßgabe der gesetzlichen Vorgaben gelöscht, sobald deren zur Verarbeitung erlaubten Einwilligungen widerrufen werden oder sonstige Erlaubnisse entfallen.

Speicherfristen im Detail

DatenartSpeicherdauerGrund
Server-Logs30 TageSicherheit, Fehleranalyse
Account-Daten (aktiv)Bis KündigungVertragserfüllung
Account-Daten (gelöscht)30 TageWiederherstellung
Support-Anfragen24 MonateBearbeitung, Nachfragen
Newsletter-DatenBis AbmeldungEinwilligung
Rechnungsdaten10 JahreSteuerrecht (AO)
Consent-Logs6 MonateNachweis Einwilligung
Members-Zugangsprotokolle90 TageZugangskontrolle, Analyse
Members-PIN-HashesBis Änderung/LöschungZugangsprüfung
Members-MitgliederdatenBis Kündigung/LöschungVertragserfüllung, Dashboard
Members-Transaktionsdaten10 JahreSteuerrecht (AO), Rechnungslegung

20. Änderung und Aktualisierung der Datenschutzerklärung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen.

Wir informieren Sie, sobald die Änderungen eine Mitwirkungshandlung Ihrerseits (z.B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erfordern.

Benachrichtigung: Wesentliche Änderungen teilen wir Ihnen per E-Mail mit, falls Sie ein Konto bei uns haben.

Stand: März 2026

Version 2.5 - DSGVO & TTDSG konform