Datenschutzerklärung

Stand: 15.08.2025

Wir freuen uns über dein Interesse an emborado. Der Schutz deiner personenbezogenen Daten ist uns wichtig. Im Folgenden informieren wir dich gemäß Art. 13 Datenschutz-Grundverordnung (DS-GVO) über die Verarbeitung deiner Daten.

I. Informationen über die Verarbeitung gemäß Art. 13 DS-GVO

1. Verantwortlicher und Datenschutzbeauftragter

Verantwortlich für diese Website ist:

  • emborado eGbR
  • Mendelstraße 11 c/o Gründergarage
  • 48151 Münster, Deutschland
  • E-Mail: info@emborado.de

Einen Datenschutzbeauftragten haben wir derzeit nicht benannt, da dies für unsere Organisation aktuell nicht erforderlich ist.

2. Daten für Bereitstellung, Funktionalität und Systemverwaltung

a) Welche Daten werden für welchen Zweck verarbeitet?

Kategorien (u. a.):

  • Datum/Uhrzeit des Zugriffs, Request-/Response-ID
  • IP-Adresse (IPv4/IPv6), ggf. Hostname
  • aufgerufene URL/Anfragepfad, HTTP-Methode, Statuscode, übertragene Datenmenge
  • Browsertyp/-version, Betriebssystem, ggf. Spracheinstellung (User-Agent), ggf. Referrer-URL
  • technische Ereignis-/Fehlerprotokolle der Anwendung
  • sicherheitsrelevante Ereignisse/Regeltreffer unserer Web Application Firewall (WAF), sofern aktiviert

Zwecke:

  • Auslieferung und Darstellung der Website/Plattform
  • Stabilität/Performance, Fehlererkennung und -behebung (Monitoring/Debugging)
  • IT-Sicherheit: Erkennung, Abwehr und Nachverfolgung von Angriffen (inkl. DDoS-Schutz)
  • Systemadministration sowie Missbrauchs-/Betrugsprävention

b) Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DS-GVO (Vertrag/Anbahnung), soweit für registrierungspflichtige Funktionen erforderlich (z. B. Login, Kontonutzung)
  • Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse) für Betrieb, Sicherheit, Fehleranalyse, Stabilität und Missbrauchsabwehr

c) Empfänger/Kategorien von Empfängern

  • Hosting & Infrastruktur (Auftragsverarbeiter): Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg (u. a. S3/CloudFront, CloudWatch für Logs/Monitoring; AWS WAF für Sicherheitsfunktionen, sofern aktiviert)
  • Interne Empfänger: ausschließlich Administratoren/DevOps mit rollenbasiertem Zugriff („need-to-know“)
  • Weitere Offenlegungen: nur bei gesetzlicher Verpflichtung (z. B. an Strafverfolgungsbehörden im Angriffsfall)

d) Speicherdauer

  • Web-/Anwendungslogs: in der Regel bis zu 24 Stunden direkt administrativ zugänglich
  • Backups/indirekte Sicherungen: spätestens nach vier Wochen endgültig gelöscht
  • WAF-/Sicherheitsereignisse: nur solange erforderlich zur Erkennung/Abwehr/forensischen Bewertung; danach Löschung oder Anonymisierung

e) Quelle der Daten / Pflicht zur Bereitstellung

  • Die Daten fallen automatisch beim Aufruf unserer Website/Plattform an (HTTP/HTTPS-Anfragen deiner Endeinrichtung)
  • Ohne Verarbeitung der genannten Verbindungsdaten ist die Bereitstellung der Website technisch nicht möglich

f) Drittländer/Übermittlungen

Die Verarbeitung erfolgt in EU-/EWR-Regionen unseres Infrastruktur-Anbieters.

g) Automatisierte Entscheidungen

Es findet keine ausschließlich automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung statt (Art. 22 DS-GVO).

3. Zahlungen

a) Zweck und Datenkategorien

Wenn du ein Abonnement abschließt, wickeln wir Zahlungen über Stripe ab. Je nach Zahlverfahren werden u. a. verarbeitet:

  • Identifikations-/Kontaktdaten: Name, E-Mail-Adresse, Rechnungsanschrift, Land
  • Vertrags-/Transaktionsdaten: Paket, Laufzeit, Beträge, Währung, Zeitpunkte, Status, Rechnungs-/Belegnummern, Kundennummer/Stripe-Kunden-ID
  • Zahlungsdaten: Zahlungsmittel-Typ, Maskierung (z. B. letzte 4 Ziffern), Token/Transaktions-IDs; wir speichern keine vollständigen Kartendaten
  • Technische/Fraud-Daten (bei Stripe): IP-Adresse, Geräte-/Browser-Informationen, ggf. Fingerprint-/Telemetriedaten

b) Verantwortliche/Rollen & Empfänger

  • Zahlungsdienstleister: Stripe Payments Europe, Limited (SPEL) & Stripe Technology Europe, Limited (STEL), 1 Grand Canal Street Lower, Dublin, Irland
  • Auftragsverarbeitung gem. Art. 28 DS-GVO; Stripe agiert für bestimmte Zwecke (u. a. gesetzliche Zahlungsdienste-Pflichten, KYC/Betrugsprävention) als eigener Verantwortlicher

c) Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DS-GVO (Vertrag/Anbahnung)
  • Art. 6 Abs. 1 lit. c DS-GVO (rechtliche Verpflichtung) für steuer-/handelsrechtliche Aufbewahrung
  • Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse) für Betrugsprävention/Missbrauchsvermeidung

d) Speicherdauer

  • Vertrags-/Transaktions-/Abrechnungsdaten: nach gesetzlichen Vorgaben regelmäßig bis zu 10 Jahren
  • Stripe speichert Daten nach eigenen Fristen; Details: stripe.com/de/privacy

e) Drittländer/Übermittlungen

Stripe kann Daten in Drittländer (u. a. USA) übermitteln und stützt sich nach eigener Auskunft auf EU-Standardvertragsklauseln (Art. 46 DS-GVO) und zusätzliche Schutzmaßnahmen.

f) Pflicht zur Bereitstellung

Für ein kostenpflichtiges Abonnement ist die Bereitstellung der genannten Daten erforderlich; ohne diese ist ein Vertragsschluss nicht möglich.

g) Automatisierte Entscheidungen

Wir treffen keine ausschließlich automatisierten Entscheidungen. Stripe kann zur Betrugsprävention automatisierte Bewertungsverfahren einsetzen (siehe Stripes Datenschutzinformationen).

4. Registrierung und Konto

a) Datenkategorien

  • E-Mail-Adresse, Anzeigename, Konto-/Kunden-IDs, Zeitstempel (Registrierung, letzte Anmeldung), Statusinformationen (z. B. Verifizierung)

b) Zwecke

  • Einrichtung/Verwaltung deines Kontos, Authentifizierung, Vertragsdurchführung, Sicherheit und Kommunikation zu kontobezogenen Vorgängen

c) Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DS-GVO (Vertrag/Anbahnung)
  • Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse) für IT-Sicherheit/Missbrauchsvermeidung

d) Empfänger

  • Interne Empfänger (rollenbasiert); externe Empfänger nur soweit erforderlich (z. B. Hosting-/E-Mail-/Identitätsdienste als Auftragsverarbeiter)

e) Speicherdauer

  • Bis zur Kontolöschung; danach verbleiben Daten nur in Logs/Backups für die unter Ziff. 2 d genannten Fristen bzw. soweit gesetzliche Pflichten bestehen

f) Pflicht zur Bereitstellung

Ohne die genannten Daten ist eine Registrierung und Nutzung registrierungspflichtiger Funktionen nicht möglich.

5. Inhaltsverwaltung

a) Datenkategorien

  • Von dir hochgeladene Dateien (Dateiname, Inhalte/Formate), generierte Vorschaubilder/Thumbnails
  • ausgelesene technische Metadaten (z. B. Stichzahl, Farben, Größe)
  • manuell vergebene Angaben (Tags, Notizen)
  • KI-generierte Beschreibungen/Tags/Ähnlichkeitsinformationen
  • Nutzungsereignisse (z. B. Favorit, zuletzt verwendet)

b) Zwecke

  • Bereitstellung der Verwaltungs-, Such- und Organisationsfunktionen inkl. Vorschau-Anzeige

c) Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DS-GVO (Vertrag/Anbahnung)
  • Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse) für Stabilität, Missbrauchsabwehr und Qualitätssicherung

d) Empfänger

  • Interne Empfänger (rollenbasiert); externe Empfänger nur als Auftragsverarbeiter (Hosting/Storage)

e) Speicherdauer

  • Bis zur Löschung durch dich oder Kontolöschung; abgeleitete Metadaten (inkl. Vorschaubilder, KI-Beschreibungen) werden zusammen mit den zugehörigen Dateien gelöscht

f) Pflicht zur Bereitstellung

Die Bereitstellung von Inhalten ist freiwillig; ohne Inhalte stehen entsprechende Funktionen nicht zur Verfügung.

6. Cookies

Wir verwenden Cookies, um den Betrieb unserer Website zu gewährleisten, die Nutzung zu analysieren und unser Angebot zu verbessern. Technisch notwendige Cookies setzen wir auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO ein. Nicht notwendige Cookies verwenden wir nur mit deiner Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO).

7. Betroffenenrechte

Du hast gemäß DS-GVO folgende Rechte:

  • a. Auskunft (Art. 15)
  • b. Berichtigung (Art. 16)
  • c. Löschung (Art. 17)
  • d. Einschränkung (Art. 18)
  • e. Datenübertragbarkeit (Art. 20)
  • f. Widerspruch gegen Verarbeitungen nach Art. 6 Abs. 1 lit. f (siehe Abschnitt II)
  • g. Beschwerde bei einer Aufsichtsbehörde. Zuständig für uns ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, E-Mail: poststelle@ldi.nrw.de, Website: www.ldi.nrw.de.

II. Recht auf Widerspruch (Art. 21 Abs. 1 DS-GVO)

Du kannst jederzeit aus Gründen, die sich aus deiner besonderen Situation ergeben, der Verarbeitung personenbezogener Daten widersprechen, die auf Art. 6 Abs. 1 lit. f DS-GVO beruht. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

III. Kontakt & Aufsichtsbehörde

Kontakt für Datenschutzanfragen

Aufsichtsbehörde

Hinweis: Diese Datenschutzerklärung wird regelmäßig überprüft und bei Bedarf aktualisiert.