Datenschutzerklärung

§ 1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

JCJT Creator Technologies Limited
Nikolaou Nikolaidi, 34
8010 Paphos, Zypern
E-Mail: info@creatorclass.de

Die zuständige Datenschutzaufsichtsbehörde für unsere Gesellschaft mit Sitz in Zypern ist die Office of the Commissioner for Personal Data Protection (ODPC), Nikosia, Zypern. Deutsche Nutzerinnen und Nutzer können sich zudem an die für ihren Wohnsitz zuständige Landesbehörde oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wenden.

§ 2 Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen App sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt auf Grundlage der DSGVO sowie der ergänzend anwendbaren deutschen und zypriotischen Datenschutzvorschriften.

Wir verarbeiten Ihre Daten ausschließlich für die in dieser Erklärung genannten Zwecke und speichern sie nicht länger als für den jeweiligen Zweck notwendig.

§ 3 Erhobene Daten und Verarbeitungszwecke

3.1 Registrierung und Account

Bei der Registrierung erheben wir Ihre E-Mail-Adresse und ein von Ihnen gewähltes Passwort (gespeichert als nicht-umkehrbarer Hash). Diese Daten sind zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) erforderlich und werden für die Dauer Ihres Accounts gespeichert.

3.2 Profildaten

Im Rahmen des Onboardings und Ihrer Profileinstellungen können Sie folgende Daten angeben: Anzeigename, Profilbild (Avatar), Kurzbiografie, Instagram-Handle, TikTok-Handle sowie Creator-Profildaten (Zielgruppe, Content-Schwerpunkte, eigene Produkte, Kooperationspräferenzen). Diese Daten werden zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) verarbeitet und solange gespeichert, wie Ihr Account aktiv ist.

3.3 Öffentliche Social-Media-Metriken

Wenn Sie Ihren Instagram- oder TikTok-Handle hinterlegen und der Erhebung Ihrer öffentlichen Profilmetriken zustimmen, rufen wir in regelmäßigen Abständen öffentlich zugängliche Kennzahlen Ihres Profils ab (z. B. Follower-Anzahl, Beitragsanzahl, Engagement-Rate). Die Daten dienen der Berechnung Ihrer Leaderboard-Position und der Bereitstellung personalisierter KI-Analysen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Ihre Einwilligung ist freiwillig und kann jederzeit in den Einstellungen (Datenschutz) mit Wirkung für die Zukunft widerrufen werden. Nach Widerruf werden erhobene Metriken gelöscht.

3.3a TikTok Login Kit & Display API

Wenn Sie über die Profileinstellungen den Button „Mit TikTok-Account verbinden" nutzen, leiten wir Sie zu TikTok weiter, um eine Einwilligung in den Datenzugriff zu erteilen (OAuth-Flow). Nach erfolgreicher Verbindung verarbeiten wir folgende Daten direkt über die offizielle TikTok Login Kit & Display API:

  • Profilstammdaten: Open ID (interne TikTok-User-ID), Anzeigename, Profilbild-URL, Bio-Beschreibung, Profil-Deeplink.
  • Profilmetriken: Follower-/Following-Anzahl, Likes-Summe, Anzahl Videos.
  • Videodaten: Video-ID, Titel/Beschreibung, Cover-Bild, Dauer, Veröffentlichungszeitpunkt, Aufrufe, Likes, Kommentare, Shares — jeweils für Ihre eigenen Videos.
  • OAuth-Tokens: Access- und Refresh-Token zur Aufrechterhaltung der Verbindung. Tokens werden AES-256-GCM-verschlüsselt in unserer Datenbank gespeichert; keine andere Userin und kein anderer User hat Zugriff auf diese Tokens (technische Absicherung via Row-Level-Security und Spalten-Berechtigungen).

Rechtsgrundlage:Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim Klick auf „Mit TikTok verbinden" sowie auf dem TikTok-Einwilligungsbildschirm) i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für die Bereitstellung der Analytics- Funktionen).

Empfänger & Drittland-Hinweis: Anbieter der TikTok-API ist TikTok Information Technologies UK Limited (EU-Niederlassung der ByteDance-Gruppe). Eine Übermittlung in die USA oder nach China kann technisch nicht ausgeschlossen werden; TikTok stützt internationale Datenübermittlungen auf Standardvertragsklauseln der EU-Kommission. Weitere Informationen in der TikTok-Datenschutzrichtlinie (EWR).

Widerruf: Sie können die Verbindung jederzeit in den Profileinstellungen über den Button „Verbindung trennen" beenden. Wir rufen daraufhin die TikTok-Revoke-API auf, markieren die Verbindung lokal als widerrufen und holen keine weiteren Daten ab. Der Widerruf wirkt nur für die Zukunft. Bereits erhobene Metriken können Sie über die Account-Löschung in den Einstellungen vollständig entfernen lassen.

3.3b TikTok-Retention-Screenshots & KI-Auswertung

Da die offizielle TikTok-API für organische Inhalte keine Watch-Time-/Retention-Kurven bereitstellt, bieten wir eine optionale Funktion an: Sie können in den Profileinstellungen einen Screenshot der Retention-Kurve aus TikTok Studio hochladen. Wir werten diesen Screenshot per KI aus und erzeugen eine strukturierte Kurve (Sekunde → Anteil verbliebener Zuschauer).

  • Speicherort des Screenshots: Der hochgeladene Screenshot wird in einem privaten Storage-Bucket bei Supabaseabgelegt (Region eu-central-1). Der Zugriff ist via Row-Level-Security & Bucket-Policy ausschließlich auf Ihren Account beschränkt. Andere Userinnen und User können die Datei technisch nicht abrufen.
  • Auftragsverarbeiter (KI): Zur Auswertung der Kurve wird der Screenshot an OpenAI Ireland Limited (Modell „gpt-4o", Vision) übergeben. Der Aufruf erfolgt im Rahmen unseres Auftragsverarbeitungsvertrags mit OpenAI; OpenAI verwendet die übermittelten Inhalte vertraglich nicht zu Trainings­zwecken und löscht sie nach maximal 30 Tagen aus dem Abuse-Monitoring. Der Aufruf erfolgt serverseitig aus unserer EU-Infrastruktur heraus; eine Übermittlung in die USA findet im Rahmen der OpenAI-API technisch statt und wird über EU-Standardvertragsklauseln abgesichert (Adäquanz­beschluss EU-USA Data Privacy Framework).
  • Was übermittelt wird: ausschließlich das Screenshot-Bild plus ein generischer Auswertungs-Prompt. Es werden keine personenbezogenen Metadaten (E-Mail, Klarname, TikTok-Username, IP) mitgesendet.
  • Speicherdauer: Der Original-Screenshot bleibt gespeichert, bis Sie ihn in den Profileinstellungen löschen. Die ausgewertete Kurve (Zahlenreihe) bleibt gespeichert, bis Sie den zugehörigen Upload löschen oder Ihren Account löschen.

Rechtsgrundlage:Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung durch das Hochladen des Screenshots) i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der bestellten Analytics-Funktion).

Widerruf: Sie können die Funktion jederzeit ungenutzt lassen, einzelne Uploads in den Profileinstellungen löschen oder Ihren Account vollständig löschen. Eine nachträgliche Rückholung bereits von OpenAI verarbeiteter Bilder ist im Rahmen der Auftragsverarbeitung über das oben beschriebene 30-Tage-Fenster automatisch sichergestellt.

3.4 Zahlungsdaten

Zahlungen werden über unseren Dienstleister Stripe Inc. (USA) abgewickelt. Wir selbst speichern keine vollständigen Zahlungskartendaten. Wir speichern lediglich die Stripe-Kunden-ID sowie Informationen über Ihr Abonnement (Status, Ablaufdatum). Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

3.5 Nutzungsdaten (App-Aktivität)

Wir verarbeiten Daten über Ihre App-Nutzung, darunter Kursfortschritt, Challenge-Teilnahme, Leaderboard-Einträge, KI-Credits-Nutzung, KI-Chat-Sessions und Video-Analysen. Diese Daten dienen ausschließlich der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und werden für die Dauer des Vertragsverhältnisses gespeichert.

3.6 KI-Interaktionen

Inhalte, die Sie im KI-Assistent eingeben (Chat-Nachrichten, hochgeladene Videos zur Analyse), werden zur Verarbeitung an unseren KI-Dienstleister (USA) übermittelt. Diese Übermittlung ist zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Chat-Verläufe werden in Ihrer App gespeichert und können von Ihnen jederzeit gelöscht werden.

3.7 Analytics (PostHog)

Wir nutzen PostHog zur Analyse des Nutzungsverhaltens in der App, um die App weiterzuentwickeln. PostHog wird erst nach Ihrer ausdrücklichen Einwilligung aktiviert. Es werden ausschließlich anonymisierte Nutzungsereignisse erfasst (kein Session Recording, keine automatische Erfassung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Cookie-Banner). Ihre Einwilligung kann jederzeit widerrufen werden, indem Sie den Cookie-Banner erneut aufrufen oder Analytics in den Browser-Einstellungen deaktivieren.

3.8 Marketing-Tracking (Meta Pixel)

Auf unserer öffentlichen Landingpage sowie auf unseren Kauf- und Bestellbestätigungsseiten (/buy/..., /buy/success) setzen wir den Meta-Pixel (Pixel-ID 990582460565906) der Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland („Meta") ein. Anbieter der zugrundeliegenden Technologie ist Meta Platforms, Inc., 1 Hacker Way, Menlo Park, CA 94025, USA.

Der Meta-Pixel verarbeitet folgende Daten: IP-Adresse, User-Agent, aufgerufene URL, Pixel-Cookies (insbesondere _fbp) sowie ereignisbezogene Werte (PageView, InitiateCheckout, Purchase mit Bestellwert, Währung und Produkt-ID). Zweck ist die Reichweitenmessung von Werbeanzeigen, das Conversion-Tracking sowie die Bildung von Custom Audiences und Lookalike Audiences in Meta Ads.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG (Einwilligung). Der Pixel wird ausschließlich nach Ihrer aktiven Einwilligung über den Cookie-Banner geladen. Ihre Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden — entweder über den Link „Cookie-Einstellungen ändern" am Ende dieser Seite oder durch Löschen des Browser-Speichers.

Gemeinsame Verantwortlichkeit (Joint Controllership): Für die Erhebung und Übermittlung der Pixel-Daten sind wir gemeinsam mit Meta verantwortlich (EuGH, Urt. v. 5.6.2018, C-210/16 sowie C-40/17 „Fashion ID"). Die Aufgabenverteilung ist in einer Vereinbarung nach Art. 26 DSGVO mit Meta geregelt, abrufbar unter facebook.com/legal/controller_addendum. Die anschließende Weiterverarbeitung der Daten durch Meta für eigene Zwecke liegt außerhalb unseres Verantwortungsbereichs.

Drittland-Übermittlung USA: Daten werden an Meta Platforms, Inc. in den USA übermittelt. Meta ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert; ergänzend gelten Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO. Trotz dieser Garantien lässt sich ein Zugriff US-amerikanischer Behörden auf Ihre Daten nicht vollständig ausschließen.

Speicherdauer: Pixel-Cookies (_fbp) werden für ca. 90 Tage im Browser gespeichert. Ereignisdaten verbleiben bei Meta gemäß deren Datenrichtlinie (facebook.com/about/privacy).

3.9 Push-Benachrichtigungen

Wenn Sie Push-Benachrichtigungen aktivieren, speichern wir Ihr Gerätestoken. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können Push-Benachrichtigungen jederzeit in Ihren Geräteeinstellungen deaktivieren.

3.10 Bot-Schutz (Cloudflare Turnstile)

Auf dem Login- und Registrierungsformular setzen wir Cloudflare Turnstile ein, um automatisierte Angriffe zu verhindern. Dabei werden technische Signale (Browser-Fingerprint, IP-Adresse) an Cloudflare Inc. (USA) übermittelt. Die Verarbeitung basiert auf unserem berechtigten Interesse an der Sicherheit unserer Plattform (Art. 6 Abs. 1 lit. f DSGVO).

3.11 E-Mail-Kommunikation

Transaktionale E-Mails (z. B. Passwort-Reset, Willkommens-E-Mail) werden über unsere Infrastruktur versandt. Marketing-E-Mails erhalten Sie nur, wenn Sie dem ausdrücklich zugestimmt haben. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (transaktional) bzw. Art. 6 Abs. 1 lit. a DSGVO (Marketing, widerruflich in den Einstellungen).

3.12 Lead-Magnete & Freebies (Double-Opt-In)

Auf öffentlichen Landing-Pages unter /freebie/[name] können Sie kostenfreie Materialien (z. B. PDFs, Checklisten) anfordern. Dazu erheben wir folgende Daten:

  • Ihre E-Mail-Adresse (zur Auslieferung des angeforderten Materials)
  • Optional Ihren Vornamen (für die Anrede in der E-Mail)
  • Den Zeitpunkt, die IP-Adresse und den User-Agent bei Anforderung sowie bei Bestätigung des Double-Opt-In
  • Den wortgleichen Einwilligungstext, der Ihnen zum Anforderungs-Zeitpunkt angezeigt wurde

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Wir verwenden ein Double-Opt-In-Verfahren: Sie erhalten zunächst eine Bestätigungs-E-Mail mit einem einmaligen, zeitlich befristeten (24 h) Token. Erst nach Klick auf den Bestätigungs-Link versenden wir das angeforderte Material und betrachten die Einwilligung als nachgewiesen (Art. 7 DSGVO Nachweispflicht).

Speicherdauer: Nicht bestätigte Anforderungen werden spätestens nach 30 Tagen automatisch gelöscht. Nach einer Abmeldung („Unsubscribe") werden Ihre Daten innerhalb von 7 Tagen vollständig gelöscht.

Widerruf: Jede Bestätigungs- und Auslieferungs-Mail enthält einen Abmelde-Link. Sie können Ihre Einwilligung außerdem jederzeit per E-Mail an info@creatorclass.de widerrufen und die Löschung Ihrer Daten verlangen.

Übermittlung an Dritte: Die E-Mail wird über unseren Auftragsverarbeiter Resend Inc. (USA, SCCs) versandt. Das angeforderte PDF wird in einem privaten Speicherort bei Supabase Inc. (USA, SCCs) abgelegt; Sie erhalten in der Auslieferungs-Mail einen 7 Tage gültigen, nur für Sie erzeugten Download-Link. Der Bot-Schutz auf der Anforderungs-Seite läuft über Cloudflare Turnstile (siehe § 3.10).

§ 4 Auftragsverarbeiter und Drittanbieter

Wir setzen die folgenden Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit allen Auftragsverarbeitern bestehen entsprechende Vereinbarungen zur Auftragsverarbeitung (AVV).

Dienstleister mit Sitz in der EU / im EWR

AnbieterZweckLand
Bunny.netVideo-Hosting (Kurse)Slowenien (EU)
Meta Platforms Ireland Ltd.Marketing-Tracking (Meta Pixel, nur mit Einwilligung)Irland (EU)

Dienstleister in Drittländern (USA)

Die folgenden Anbieter haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO sowie ggf. des EU-US Data Privacy Framework (DPF):

AnbieterZweckGrundlage
Supabase Inc.Datenbank, Authentifizierung, HostingSCCs
Stripe Inc.ZahlungsabwicklungSCCs, DPF
Vercel Inc.App-Hosting, CDNSCCs
Google LLCKI-Verarbeitung (KI-Assistent)SCCs, DPF
Cloudflare Inc.Bot-Schutz (Turnstile)SCCs, DPF
Upstash Inc.Rate-Limiting (Redis Cache)SCCs
Resend Inc.E-Mail-VersandSCCs
PostHog Inc.Nutzungsanalyse (nur mit Einwilligung)SCCs, Einwilligung
Meta Platforms, Inc.Marketing-Tracking (Meta Pixel, nur mit Einwilligung)SCCs, DPF, Einwilligung

§ 5 Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen:

  • Account-Daten: bis zur Löschung des Accounts durch Sie oder durch uns
  • Zahlungsdaten / Rechnungen: 10 Jahre (gesetzliche Aufbewahrungspflicht)
  • KI-Chat-Verläufe: bis zur manuellen Löschung durch Sie oder bis zur Account-Löschung
  • Social-Media-Metriken: bis zum Widerruf der Einwilligung oder Account-Löschung
  • Analytics-Daten (PostHog): gemäß PostHog-Konfiguration (Standard: 1 Jahr)
  • Marketing-Cookies (Meta Pixel _fbp): ca. 90 Tage im Browser
  • Push-Notification-Token: bis zur Deaktivierung oder Account-Löschung
  • Lead-Magnet-Anforderungen (nicht bestätigt): max. 30 Tage
  • Lead-Magnet-Anforderungen nach Abmeldung: max. 7 Tage Karenz, dann harte Löschung

§ 6 Cookies und lokaler Speicher

Die App nutzt folgende Technologien zur Datenspeicherung im Browser:

Notwendig (ohne Einwilligung)

  • Supabase-Session-Token: Authentifizierung (localStorage)
  • App-Cache: Offline-Fähigkeit und Performance (localStorage)
  • Cookie-Consent-Einstellung: Speicherung Ihrer Cookie-Entscheidung (localStorage)

Analytics (nur mit Einwilligung)

  • PostHog-Tracking: Nutzungsereignisse zur App-Verbesserung

Marketing (nur mit Einwilligung)

  • Meta Pixel (_fbp): Reichweitenmessung und Conversion-Tracking für Meta Ads (Facebook / Instagram). Lädt erst nach Ihrer Einwilligung.

Ihre Cookie-Einwilligung können Sie jederzeit widerrufen oder anpassen — entweder über den nachfolgenden Button oder indem Sie den localStorage Ihres Browsers löschen.

§ 7 Ihre Rechte

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Sie können jederzeit Auskunft über die von uns gespeicherten Daten verlangen.
  • Berichtigung (Art. 16 DSGVO): Sie können die Korrektur unrichtiger Daten verlangen.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Account-Löschung ist direkt in der App möglich (Einstellungen → Account).
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO): Bei Verarbeitungen auf Grundlage berechtigter Interessen können Sie jederzeit Widerspruch einlegen.
  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Einstellungen → Datenschutz).

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@creatorclass.de

Sie haben außerdem das Recht, sich bei der Aufsichtsbehörde zu beschweren. Die zuständige Behörde für unsere Gesellschaft ist die zypriotische ODPC. Als Nutzer mit Wohnsitz in Deutschland können Sie sich auch an die zuständige deutsche Landesbehörde oder den BfDI wenden.

§ 8 Sicherheit

Wir treffen technische und organisatorische Maßnahmen, um Ihre Daten gegen Verlust, Zerstörung, Verfälschung und unbefugten Zugriff zu schützen. Die Übertragung zwischen Ihrem Gerät und unseren Servern erfolgt ausschließlich verschlüsselt (TLS/HTTPS). Alle in der Datenbank gespeicherten Daten sind durch Row Level Security (RLS) geschützt — jeder Nutzer kann ausschließlich auf seine eigenen Daten zugreifen.

§ 9 Minderjährige

Unsere App richtet sich ausschließlich an Personen ab 18 Jahren. Wir erheben wissentlich keine Daten von Minderjährigen. Sollten wir feststellen, dass eine minderjährige Person Daten bereitgestellt hat, werden diese unverzüglich gelöscht.

§ 10 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Anforderungen oder unsere Datenverarbeitungspraktiken ändern. Die aktuelle Version ist stets unter app.creatorclass.de/legal/privacy abrufbar. Bei wesentlichen Änderungen werden wir Sie per E-Mail informieren.

Stand: Mai 2026