Datenschutzerklärung

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

AW Projects UG (haftungsbeschränkt)
Flößergasse 8, 81369 München, Deutschland
Geschäftsführer: Andreas Weinzierl
Email: datenschutz@storym.io

Wir verarbeiten personenbezogene Daten ausschließlich, wenn dies für die folgenden Zwecke notwendig ist:

a) Registrierung & Account-Verwaltung. Wir speichern Email-Adresse, Anzeigename, Rolle (Storyteller / Brand), bei Storytellern: Bio, Standort, optional verbundene Social-Media-Profile; bei Brands: Firmenname, Industry, Ansprechperson und Position. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Anbahnung).

b) Authentifizierung. Wir speichern einen sicher gehashten Session-Token in einem httpOnly-Cookie sowie ein gehashtes Passwort (bcrypt). Bei künftiger Email-Verifikation werden zusätzlich einmalige Bestätigungs-Tokens gespeichert (max. 24 h gültig, nach Einlösung gelöscht). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

c) Plattform-Verifikation. Storyteller können freiwillig Public-Profile-Daten von Drittplattformen (Instagram, YouTube, TikTok, Substack) verknüpfen, um ihre Reichweite und Content-Aktivität nachzuweisen. Wir lesen ausschließlich öffentlich verfügbare Metadaten (Follower-Zahlen, Posting-Frequenz, Engagement-Statistik der letzten 12 Beiträge). Es werden keine privaten Inhalte oder Direktnachrichten gelesen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

d) Buchungs- & Vertragsabwicklung. Bei tatsächlichen Buchungen zwischen Storytellern und Brands speichern wir Vertragsdaten (Tier, Preis, Zeitraum, Status, Asset-Lieferungen, Freigabe-Historie) sowie ggf. Rechnungs- und Steuerinformationen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie steuer- und handelsrechtliche Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 257 HGB, § 147 AO).

e) Email-Kommunikation. Transaktionale Mails (Account-Bestätigung, Passwort-Reset, Buchungs-Benachrichtigungen, Freigabe-Anfragen). Versand erfolgt über Auftragsverarbeiter (siehe unten). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

f) Server-Logs. Beim Aufruf der Plattform übermittelt dein Browser technische Daten (IP-Adresse, User-Agent, Zeitstempel, Referrer). Diese werden durch Cloudflare als Auftragsverarbeiter für maximal 30 Tage zur Abwehr von Angriffen und zur Sicherstellung des Betriebs gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).

Wir setzen folgende technische Dienstleister als Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein:

• Cloudflare, Inc. (USA) — Hosting der Web-Worker, CDN, Datenbank (D1), Datei-Speicher (R2). Datenverarbeitung in EU-Rechenzentren (West Europe, Madrid). EU-US-Datenübermittlung über Standardvertragsklauseln nach Art. 46 DSGVO.
• Resend, Inc. (USA) — Versand transaktionaler Emails. Datenübermittlung über Standardvertragsklauseln. Nur zu diesem Zweck erforderliche Daten (Empfänger-Email, Inhalt) werden übermittelt.
• Stripe Payments Europe Ltd (Irland) — wird ab Aktivierung des Zahlungsmoduls für die Abwicklung von Buchungen, Treuhand und Auszahlungen eingesetzt. Bis dahin nicht aktiv.

Wir setzen ausschließlich technisch notwendige Cookies ein, die für den Betrieb der Plattform erforderlich sind:

• better-auth.session_token — Session-Cookie zur Authentifizierung. Gültigkeit: 7 Tage. httpOnly, Secure, SameSite=Lax.

Diese Cookies fallen unter § 25 Abs. 2 Nr. 2 TTDSG (Einwilligungsfreiheit für technisch erforderliche Cookies). Eine Cookie-Banner-Einwilligung ist nicht notwendig.

Wir setzen keine Analyse-, Tracking- oder Marketing-Cookies ein. Sollte sich dies in Zukunft ändern, werden wir eine entsprechende Einwilligungslösung implementieren.

Account-Daten werden gelöscht, sobald du deinen Account schließt — vorbehaltlich gesetzlicher Aufbewahrungsfristen für Buchungs- und Steuerdaten (regelmäßig 10 Jahre nach § 147 AO).

Server-Logs werden nach 30 Tagen automatisch gelöscht. Session-Tokens nach Logout oder spätestens nach 7 Tagen.

Nach DSGVO stehen dir folgende Rechte zu:

• Auskunft über die zu deiner Person gespeicherten Daten (Art. 15)
• Berichtigung unrichtiger Daten (Art. 16)
• Löschung deiner Daten (Art. 17), soweit keine Aufbewahrungspflicht entgegensteht
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch gegen Verarbeitungen auf Grundlage eines berechtigten Interesses (Art. 21)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3)

Zur Geltendmachung genügt eine formlose Email an datenschutz@storym.io.

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für AW Projects UG zuständig ist:

Bayerisches Landesamt für Datenschutzaufsicht
Promenade 18, 91522 Ansbach
www.lda.bayern.de

Wir verwenden TLS-Verschlüsselung (HTTPS) für die gesamte Kommunikation. Passwörter werden ausschließlich gehasht (bcrypt) gespeichert. Dateien (Brand-Assets) werden in einem privaten Cloudflare-R2-Bucket gespeichert und nur über signierte URLs ausgeliefert.

Diese Datenschutzerklärung ist gültig ab dem 11. Mai 2026 und wird bei Bedarf aktualisiert.

Hinweis: Diese Erklärung wurde mit größter Sorgfalt erstellt, ersetzt jedoch keine individuelle Rechtsberatung. Vor Beginn des Echtbetriebs mit Zahlungsabwicklung empfiehlt sich eine Prüfung durch einen Fachanwalt für IT-Recht.