Scaleproof← Zur Startseite

Datenschutzerklärung

Mit dieser Datenschutzerklärung informieren wir dich über die Verarbeitung personenbezogener Daten bei der Nutzung unserer Website und der Web-Anwendung Scaleproof (zusammen „Dienst"). Soweit wir personenbezogene Daten im Auftrag unserer Kunden verarbeiten (Auftragsverarbeitung), gilt ergänzend der Auftragsverarbeitungsvertrag (AVV).

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
Andrew Mann · Scaleproof
Geesthachter Straße 6, 23556 Lübeck, Deutschland
E-Mail: info@scaleproof.de

Eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht für uns derzeit nicht. Für alle Fragen zum Datenschutz erreichst du uns unter der oben genannten Adresse.

2. Hosting und Infrastruktur

Website & Anwendung (Vercel): Unser Dienst wird bei der Vercel Inc. (USA) gehostet und über deren globales Edge-/CDN- Netz ausgeliefert; dabei kann eine Verarbeitung in den USA erfolgen. Vercel ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert; ergänzend besteht ein Auftragsverarbeitungsvertrag mit Standardvertragsklauseln.

Datenbank, Authentifizierung & Speicher (Supabase): Unsere Datenbank, die Nutzerverwaltung und der Datei-Objektspeicher werden von der Supabase Inc. betrieben; die Daten liegen in der EU (Region Frankfurt). Es besteht ein Auftragsverarbeitungsvertrag; etwaige Zugriffe aus den USA sind durch Standardvertragsklauseln abgesichert.

Datei-Objektspeicher (Cloudflare R2): Analyse-Frames, Screenshots und Logos werden bei der Cloudflare, Inc. in einem auf die EU beschränkten Speicher („EU jurisdiction") abgelegt. Zugriff erfolgt ausschließlich über kurzlebige signierte Links.

Verarbeitungs-Server (Worker): Die rechenintensive Video- und KI-Verarbeitung läuft auf einem Server der IONOS SE in Deutschland.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erbringung des Dienstes) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb).

3. Server-Logs

Beim Aufruf des Dienstes werden technisch notwendige Daten (IP-Adresse, Zeitpunkt, aufgerufene Seite, User-Agent) in Server-Logs verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb und der Abwehr von Missbrauch). Die Logs werden nach kurzer Zeit automatisch gelöscht.

4. Kundenkonto und Anmeldung

Für die Nutzung der Anwendung legst du ein Konto an. Wir verarbeiten dabei deine E-Mail-Adresse sowie optionale Profilangaben (Name, Firma, Land) und deine Benachrichtigungs-Einstellungen. Die Anmeldung ist per Magic-Link (E-Mail), per Passwort oder per Google-Login möglich.

Google-Login (OAuth): Wenn du dich für die Anmeldung mit Google entscheidest, erhalten wir von Google deine E-Mail-Adresse und deinen Namen zur Erstellung bzw. Verknüpfung deines Kontos. Anbieter ist die Google Ireland Limited bzw. Google LLC (USA); Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert. Die Anmeldung mit Google ist freiwillig und kann jederzeit in den Kontoeinstellungen getrennt werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Begründung und Durchführung des Nutzungsverhältnisses). Die Kontodaten werden bis zur Löschung deines Kontos gespeichert.

5. Verbundene Plattformen (Shopify, TikTok)

Kern unseres Dienstes ist die Analyse deiner eigenen Shop- und Werbedaten. Dazu kannst du deinen Shopify-Shop und dein TikTok-Ads-Konto verbinden (OAuth). Wir rufen dann in deinem Auftrag Daten ab:

  • Shopify: Bestell- und Produktdaten zur Profit-Berechnung. Wir rufen dabei bewusst keine personenbezogenen Endkundendaten ab (keine Kundennamen, ‑E-Mails, ‑Adressen oder ‑Telefonnummern) — verarbeitet werden nur Bestellnummern, Beträge, Ländercodes, Statusangaben und Artikel-/Produktdaten.
  • TikTok Marketing API: aggregierte Kampagnen-, Ad- und Kennzahlendaten (Spend, Impressionen, Klicks, Conversions). Diese enthalten keine personenbezogenen Daten von Endnutzern.
  • TikTok-Kommentare (optional): Für die Kommentar-Analyse rufen wir öffentliche Kommentartexte ab. Wir speichern dabei keine Autorendaten; @-Erwähnungen werden vor der Verarbeitung entfernt, ausgewertet wird nur anonymisierter Text.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erbringung der von dir beauftragten Analyse). Soweit es sich bei den über die Plattformen verarbeiteten Daten um personenbezogene Daten handelt, für die du der Verantwortliche bist, handeln wir als dein Auftragsverarbeiter (siehe AVV). Anbieter sind die Shopify International Ltd. (Irland/USA) und die TikTok Technology Limited (Irland; Konzern ByteDance); Drittlandübermittlungen sind über Standardvertragsklauseln abgesichert (siehe Ziff. 11).

6. KI-gestützte Analyse (Anthropic / Claude)

Zur Analyse deiner Werbevideos, Kommentare und Strategie nutzen wir die KI-Modelle (Claude) der Anthropic PBC (USA). Übermittelt werden je nach Funktion: einzelne Videobilder und Transkripte deiner eigenen Anzeigen, aggregierte Kennzahlen, Produktangaben, anonymisierte Kommentartexte sowie deine Brand-/Strategieangaben und Chat-Eingaben. Eine Übermittlung personenbezogener Endkundendaten findet hierbei nicht statt.

Anthropic verarbeitet die Daten als Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrags mit Standardvertragsklauseln. Eingaben und Ausgaben über die API werden vertraglich nicht zum Training der Modelle verwendet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erbringung des von dir beauftragten Dienstes).

7. Zahlungsabwicklung (Stripe)

Für kostenpflichtige Abonnements nutzen wir die Stripe Payments Europe Ltd. bzw. Stripe, Inc. (USA). Bei einem Abschluss verarbeitet Stripe die für die Zahlung erforderlichen Daten (z. B. Name, Rechnungsadresse, Zahlungsmittel); vollständige Zahlungsdaten werden direkt bei Stripe erhoben und von uns nicht im Klartext gespeichert. Wir erhalten lediglich den Abo-Status und die Kundenkennung. Stripe, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Abonnementvertrags) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung steuer- und handelsrechtlicher Aufbewahrungspflichten).

8. Server-seitiges Conversion-Tracking (derzeit inaktiv)

Der Dienst enthält eine Funktion, mit der Conversion-Ereignisse deines Shops server-seitig an die TikTok Events API übermittelt werden können (z. B. zur Messung von Käufen). Dabei würden — nur bei vorliegender Einwilligung der jeweiligen Endkunden — pseudonymisierte (per SHA-256 gehashte) Kontaktmerkmale, IP-Adresse und eine TikTok-Klick-ID an TikTok übermittelt. Eine Übermittlung erfolgt insbesondere an Empfänger außerhalb der EU.

Diese Funktion ist derzeit deaktiviert und wird erst nach Abschluss der datenschutzrechtlichen Prüfung (insbesondere zur Drittlandübermittlung) und nur mit ausdrücklicher Aktivierung durch die jeweilige Marke freigeschaltet. Bis dahin werden keine derartigen Daten an TikTok übermittelt. Diese Erklärung wird vor einer Aktivierung entsprechend ergänzt.

9. Fehlerdiagnose (Sentry)

Zur Erkennung technischer Fehler nutzen wir Sentry (Functional Software, Inc.) mit Datenhaltung in der EU. Dabei können technische Angaben zum Fehlerzeitpunkt (Browser, Seite, Fehlermeldung) verarbeitet werden; die Erfassung personenbezogener Daten ist deaktiviert (sendDefaultPii: false). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem fehlerfreien Betrieb).

10. Cookies

Der Dienst verwendet ausschließlich technisch notwendige Cookies (z. B. für die Anmeldung/Sitzung und den Zugangsschutz der Beta). Es werden keine Tracking- oder Marketing-Cookies gesetzt; ein Cookie-Banner ist daher nicht erforderlich. Rechtsgrundlage für die technisch notwendigen Cookies ist § 25 Abs. 2 Nr. 2 TDDDG sowie Art. 6 Abs. 1 lit. f DSGVO.

11. Early-Access-Liste (Warteliste)

Wenn du dich für die Early-Access-Liste einträgst, speichern wir deine E-Mail-Adresse, um dich über den Zugang zu Scaleproof zu informieren. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung). Deine E-Mail-Adresse wird nicht an Dritte für deren Werbung weitergegeben. Du kannst die Einwilligung jederzeit widerrufen — eine formlose E-Mail an info@scaleproof.de genügt; wir löschen deinen Eintrag dann umgehend.

12. Empfänger / Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister ein, die uns bei der Erbringung des Dienstes als Auftragsverarbeiter unterstützen. Eine stets aktuelle Liste dieser Unterauftragsverarbeiter findest du als Anlage zum AVV. Zum Zeitpunkt dieser Erklärung sind dies insbesondere:

  • Supabase Inc. — Datenbank, Authentifizierung, Speicher (EU)
  • Vercel Inc. — Hosting (USA, DPF)
  • Cloudflare, Inc. — Datei-Objektspeicher (EU-Jurisdiktion)
  • IONOS SE — Verarbeitungs-Server (Deutschland)
  • Anthropic PBC — KI-Analyse (USA, SCC)
  • Stripe, Inc. / Stripe Payments Europe Ltd. — Zahlungen (USA, DPF)
  • Google Ireland Ltd. / Google LLC — Anmeldung per Google (USA, DPF)
  • Functional Software, Inc. (Sentry) — Fehlerdiagnose (EU)
  • Resend, Inc. — Transaktions-E-Mail-Versand (USA; derzeit inaktiv)
  • Shopify International Ltd. / TikTok Technology Ltd. — verbundene Plattformen als Datenquelle (nur auf deine Veranlassung)

13. Übermittlung in Drittländer

Soweit Daten an Empfänger außerhalb der EU/des EWR übermittelt werden, stellen wir ein angemessenes Datenschutzniveau sicher:

  • Bei Anbietern, die unter dem EU-US Data Privacy Framework zertifiziert sind (u. a. Vercel, Stripe, Google), erfolgt die Übermittlung auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO).
  • Bei den übrigen Anbietern (u. a. Anthropic und Resend sowie ggf. US-Zugriffe bei Supabase und Shopify) erfolgt die Übermittlung auf Grundlage der Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) nebst ergänzenden Schutzmaßnahmen.
  • Eine Übermittlung an TikTok im Rahmen des server-seitigen Conversion-Trackings (Ziff. 8) findet derzeit nicht statt und wird erst nach gesonderter Prüfung und ausdrücklicher Information aktiviert.

14. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist: Kontodaten bis zur Löschung des Kontos; verbundene Shop-/Ad-Daten bis zur Löschung der betreffenden Marke oder Trennung der Verbindung; Rechnungs- und Vertragsdaten im Rahmen der gesetzlichen Aufbewahrungsfristen (i. d. R. bis zu 10 Jahre). Bei einer Löschung deiner Marke werden die zugehörigen Daten einschließlich der Zugangs-Token unwiederbringlich entfernt.

15. Keine automatisierte Entscheidung im Einzelfall

Eine automatisierte Entscheidung einschließlich Profiling mit rechtlicher Wirkung gegenüber dir im Sinne des Art. 22 DSGVO findet nicht statt. Unsere KI-Analysen bewerten Werbeinhalte und Kennzahlen — sie treffen keine rechtlich erheblichen Entscheidungen über Personen.

16. Deine Rechte

Du hast nach der DSGVO insbesondere das Recht auf:

  • Auskunft über die zu dir gespeicherten Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung (Art. 17) und Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch gegen eine auf Art. 6 Abs. 1 lit. f gestützte Verarbeitung (Art. 21)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77)

Wende dich dafür an info@scaleproof.de. Für uns zuständige Aufsichtsbehörde ist das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Du kannst dich aber auch an die Aufsichtsbehörde deines üblichen Aufenthaltsorts wenden.

17. Pflicht zur Bereitstellung

Die Bereitstellung der für das Konto und die beauftragten Analysen erforderlichen Daten ist für die Nutzung des Dienstes notwendig. Ohne diese Daten können wir den Dienst nicht erbringen.

18. Stand und Änderungen

Stand: Juni 2026. Wir passen diese Datenschutzerklärung an, wenn sich die Verarbeitung oder die Rechtslage ändert (z. B. bei Aktivierung des server-seitigen Trackings oder Hinzunahme weiterer Auftragsverarbeiter).