Datenschutzerklärung

1. Verantwortlicher

Die Benennung eines Datenschutzbeauftragten ist derzeit nicht gesetzlich vorgeschrieben (Art. 37 DSGVO). Für datenschutzbezogene Anfragen kontaktieren Sie uns unter der oben genannten Adresse.

2. Anwendungsbereich und Betriebsmodi

Diese Datenschutzerklärung gilt für die Popsight-Desktop-App und die Popsight-Website.

BYOK-Modus: Prompts/Anfragen werden direkt vom Endgerät an die gewählten LLM-Anbieter gesendet.

Trial-Proxy-Modus (Invite Code): Anfragen werden zur Bereitstellung des Trial-Zugangs über unsere EU-Server geleitet.

Die Desktop-App kann unseren Update-Server (updates.rankkey.app) kontaktieren, um auf verfügbare Software-Updates zu prüfen. Dabei werden Ihre IP-Adresse und grundlegende Request-Metadaten (App-Version, Betriebssystem) übermittelt. Darüber hinaus werden bei Update-Prüfungen keine personenbezogenen Daten übertragen.

3. Verarbeitete Daten

Website: Übliche Server-Logdaten (z. B. IP-Adresse, Request-Metadaten, Zeitstempel) zur Sicherheit und Betriebsstabilität.

Zahlung/Abrechnung: Checkout- und Abrechnungsdaten über Paddle (z. B. Kunde, Bestellung, Rechnung, USt.-Abwicklung).

Lizenzdaten: Lizenzstatus, Aktivierungsmetadaten und ein pseudonymisierter Geräte-Identifier (SHA-256-Hash aus Betriebssystem, Hostname, Benutzername und Home-Verzeichnispfad) zur Missbrauchs- und Lizenzkontrolle.

Trial-Timeout (7 Tage): Zufällige Installations-ID lokal; gehashte Identifier serverseitig; Trial-Status-Zeitstempel.

Trial-Invite/Proxy: Invite-Code-Nutzung, Token-/Quota-Daten, Machine-Bindings, IP-Adresse, User-Agent und zur Bereitstellung notwendige Request-Metadaten.

Lokale App-Daten: Projekte, Prompts, Run-Ergebnisse und Analysedaten primär lokal auf dem Endgerät.

4. Rechtsgrundlagen (DSGVO)

Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (App-Betrieb, Trial, Lizenz, Updates, Support).

Art. 6 Abs. 1 lit. c DSGVO: Erfüllung rechtlicher Pflichten (z. B. steuer-/handelsrechtliche Aufbewahrung).

Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (IT-Sicherheit, Missbrauchsabwehr, Integrität, Rechtsdurchsetzung und Währungslokalisierung auf Basis des ungefähren geografischen Standorts).

Art. 6 Abs. 1 lit. a DSGVO: Einwilligung, soweit erforderlich (für optionale Verarbeitungen).

5. Empfänger und Auftragsverarbeiter

Paddle.com Market Ltd. agiert als eigenständiger Verantwortlicher (Merchant of Record / Reseller) für Kauftransaktionen. Paddle verarbeitet Ihre Zahlungs-, Abrechnungs- und Rechnungsdaten in eigener Verantwortlichkeit. Details finden Sie in der Paddle-Datenschutzerklärung.

LLM-Anbieter erhalten Inhaltsdaten entweder direkt vom Endgerät (BYOK) oder im Trial-Proxy-Modus über unsere Infrastruktur.

DNS-Dienst (Cloudflare). Zur autoritativen Namensauflösung der Domain popsight.ai nutzen wir den DNS-Dienst der Cloudflare, Inc. (101 Townsend Street, San Francisco, CA 94107, USA) im Modus „DNS only“. Der eigentliche Webseitenabruf (HTTP/HTTPS) erfolgt direkt bei unserem Hoster in Deutschland; nur DNS-Anfragen rekursiver Resolver (in der Regel des Internetanbieters des Besuchers oder öffentlicher Resolver wie 1.1.1.1 oder 8.8.8.8) erreichen die autoritativen Nameserver von Cloudflare. In diesem Modus sieht Cloudflare typischerweise die IP-Adresse des rekursiven Resolvers, nicht die IP des Besuchers. Sofern vom Resolver unterstützt, kann über EDNS Client Subnet (ECS) ein gekürzter Teil der Besucher-IP übermittelt werden, um geografisch passende Antworten zu ermöglichen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse besteht in einer ausfallsicheren, DDoS-resistenten Namensauflösung. Der Cloudflare Customer DPA (Version 6.3 vom 20. Juni 2025) ist als Auftragsverarbeitungsvertrag im Sinne von Art. 28 DSGVO durch Verweis Bestandteil der von uns akzeptierten Self-Serve-Bedingungen und enthält die EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) als Übermittlungsgarantie. Cloudflare, Inc. ist zudem unter dem EU-US Data Privacy Framework zertifiziert (prüfbar unter dataprivacyframework.gov, Teilnehmer-ID 5666).

Unterauftragnehmer im Checkout. Innerhalb des Paddle-Checkouts werden Stripe, Cloudflare und weitere im Paddle-iframe geladene Dienste unter Paddles eigenen Unterauftragsverarbeitungsvereinbarungen geführt. Für die Checkout-bezogene Verarbeitung verbleibt die Kundenbeziehung von Dharma Digital unter eigener Verantwortlichkeit, während Paddle als Merchant of Record Zahlungs- und Steuerdaten eigenständig verantwortet.

6. Drittlandübermittlungen

Unser Webhosting und unsere Kerninfrastruktur befinden sich in Deutschland (Hetzner Online GmbH). Eine Drittlandübermittlung findet für das Hosting nicht statt.

Vereinigtes Königreich: Paddle.com Market Ltd. ist im Vereinigten Königreich ansässig. Die Europäische Kommission hat ihren Angemessenheitsbeschluss für das UK verlängert (Sunset-Datum: 27. Dezember 2031).

Vereinigte Staaten: Cloudflare, Inc. fungiert als unser direkter Auftragsverarbeiter für die autoritative DNS-Auflösung von popsight.ai (siehe Abschnitt 5). Stripe, Inc. und Cloudflare verarbeiten zudem Daten als Unterauftragnehmer von Paddle im Rahmen des Checkouts. Alle drei Anbieter sind unter dem EU-US Data Privacy Framework zertifiziert (Durchführungsbeschluss (EU) 2023/1795 der Kommission vom 10. Juli 2023). Ergänzend gelten die EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) als Rückfallübermittlungsgrundlage über den Cloudflare Customer DPA und über Paddles Unterauftragsverarbeitungskette.

BYOK-Modus: Bei Nutzung eigener API-Schlüssel gehen Ihre Anfragen direkt von Ihrem Gerät an den gewählten LLM-Anbieter. Die anwendbaren Übermittlungsgarantien richten sich nach den Bedingungen und Auftragsverarbeitungsvereinbarungen des jeweiligen Anbieters.

7. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für Vertrag, Sicherheit, rechtliche Pflichten und legitime Interessen erforderlich ist. Konkrete Speicherfristen:

• Server-Logdaten (IP-Adresse, Request-Metadaten): 7 Tage
• Trial-/Token-Daten: 30 Tage nach Trial-Ablauf
• Lizenz-Aktivierungsdaten: Dauer der aktiven Lizenz plus 90 Tage
• Audit-Logs (Aktivierung, Refresh-Ereignisse): 6 Monate
• Steuer-/Buchhaltungsdaten: 10 Jahre (§ 147 AO, § 257 HGB)
• Projekt-/Run-Inhalte: lokal auf dem Endgerät bis zur Löschung durch den Nutzer

8. Betroffenenrechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie Widerruf erteilter Einwilligungen.

Zudem besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde, insbesondere bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).

9. Hinweis zu BYOK vs. Trial-Proxy

BYOK und Trial-Proxy haben unterschiedliche Datenflüsse. Im Trial-Proxy-Modus werden Anfrageinhalte technisch bedingt über unsere Infrastruktur verarbeitet.

Diese Unterscheidung ist für Transparenz und Rechtskonformität wesentlich.

10. Cookies/Tracking auf der Website

Diese Website setzt beim Seitenaufruf keine Cookies und verwendet keine Werbe- oder verhaltensbasierten Tracking-Skripte. Wir setzen Plausible Analytics ein, einen datenschutzfreundlichen, cookielosen Webanalysedienst der Plausible Insights OÜ (Västriku 2, 50403 Tartu, Estland). Das Plausible-Skript wird asynchron von plausible.io geladen. Plausible erhebt ausschließlich aggregierte, nicht personenbezogene Daten: Seiten-URL, HTTP-Referrer, Browsername, Betriebssystem, Gerätetyp und Besucherland. Es werden keine Cookies gesetzt, keine personenbezogenen Daten gespeichert und kein seiten- oder geräteübergreifendes Tracking durchgeführt. Sämtliche Daten werden innerhalb der EU verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Websitenutzung zur Verbesserung unseres Angebots). Ihnen steht ein Widerspruchsrecht nach Art. 21 DSGVO zu. Weitere Informationen finden Sie in der Plausible-Datenschutzerklärung und der Plausible Data Policy.

Preisanzeige und Währungslokalisierung: Die auf der Landingpage angezeigten Preise werden serverseitig während des Build-Prozesses über Paddles Pricing-API abgerufen. Um Preise in Ihrer lokalen Währung anzuzeigen, liest unser Server Ihre IP-Adresse aus der Internetverbindung aus und ermittelt Ihr ungefähres Land anhand einer lokal gespeicherten geografischen Datenbank (IP-Geolokalisierung durch DB-IP). Unsere Anwendung verarbeitet Ihre IP-Adresse nur transient im Arbeitsspeicher und speichert oder protokolliert sie nicht auf Anwendungsebene. Standard-Webserver-Zugriffsprotokolle unseres Hosting-Anbieters (Hetzner) können Ihre IP-Adresse separat für Sicherheits- und Betriebszwecke erfassen (siehe Abschnitt 3). Nur der resultierende Ländercode (z. B. „DE“) wird an Ihren Browser zurückgegeben, um eine Währung (EUR, USD oder GBP) auszuwählen. Sie können die erkannte Währung jederzeit über den Währungsumschalter ändern. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Anzeige von Preisen in Ihrer lokalen Währung). Ihnen steht ein Widerspruchsrecht nach Art. 21 DSGVO zu.

Cookies bei Checkout oder Währungslokalisierung:

Rechtsgrundlage: Diese Cookies werden im Rahmen des Checkout-Prozesses oder auf ausdrückliche Nutzeranforderung („Show in my currency“) gesetzt. Rechtsgrundlage nach § 25 Abs. 2 Nr. 2 TDDDG ist die technische Erforderlichkeit für einen vom Nutzer ausdrücklich gewünschten Dienst. Die datenschutzrechtliche Grundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für den Checkout sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrugserkennung) für Stripes Geräteerkennung.

Lokale Präferenzspeicherung: Wenn Sie manuell eine Währung über den Währungsumschalter auswählen, wird Ihr ausgewählter Währungscode (z. B. „EUR“) im lokalen Speicher Ihres Browsers gespeichert, damit er bei zukünftigen Besuchen erhalten bleibt. Diese Speicherung ist technisch erforderlich nach § 25 Abs. 2 Nr. 2 TDDDG, da sie eine von Ihnen ausdrücklich gewünschte Funktion erfüllt. Es werden keine personenbezogenen Daten gespeichert.

Weitere Verbindungen während des Checkouts: Beim Laden des Paddle-Checkouts können Verbindungen zu js.stripe.com, m.stripe.com, fonts.googleapis.com, global.localizecdn.com und *.paddle.com hergestellt werden. Diese Verbindungen werden von Paddle als Merchant of Record im Rahmen des Checkout-Prozesses initiiert.

Abgesehen von dem oben beschriebenen Plausible-Analytics-Skript setzt Dharma Digital auf dieser Website keine Werbe- oder Tracking-Skripte ein.

11. Verwendung unseres Online-Formulars

Unsere Internetseite nutzt Form.taxi, einen Webdienst der Webseite https://form.taxi (nachfolgend „Form.taxi“). Um Ihnen die Funktionalität des Formulars zur Verfügung zu stellen, senden wir die von Ihnen angegebenen Daten an Form.taxi. Diese Daten werden dort verarbeitet, gespeichert und an uns per E-Mail weitergegeben.

Außerdem werden von Form.taxi unter anderem weitere Daten wie Ihre IP-Adresse, Ihr Typ des Browsers, die Domain der Webseite, das Datum und die Zeit des Zugriffs erhoben, um die gewünschte Funktionalität des Formulars bereitzustellen.

Rechtsgrundlage für die Nutzung von Form.taxi ist Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse). Die Datenverarbeitung und Speicherung erfolgt innerhalb der Europäischen Union.

Weitere Informationen entnehmen Sie der Datenschutzerklärung von Form.taxi: https://form.taxi/de/privacy.