Datenschutzerklärung

Stand: Februar 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Fabio Blankenhorn
Heppstraße 17
72760 Reutlingen
E-Mail: info@exposely.de
Telefon: 0172 1359419

2. Überblick der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen:

  • Bestandsdaten (Name, Firma, E-Mail-Adresse)
  • Zahlungsdaten (über den Zahlungsdienstleister Stripe)
  • Nutzungsdaten (aufgerufene Seiten, Zugriffszeiten)
  • Inhaltsdaten (hochgeladene Bilder, generierte Exposés)
  • Meta-/Kommunikationsdaten (IP-Adressen, Geräteinformationen)

3. Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten gegeben.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen.

4. Hosting

Unsere Website wird bei Hetzner Online GmbH gehostet (Industriestr. 25, 91710 Gunzenhausen, Deutschland). Hetzner betreibt Rechenzentren in Deutschland und verarbeitet die Daten somit innerhalb der EU.

Beim Besuch unserer Website werden automatisch Informationen in sogenannten Server-Log-Dateien gespeichert, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit der Serveranfrage
  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer-URL
  • Hostname des zugreifenden Rechners

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und effizienten Betrieb).

5. Authentifizierung und Datenbank (Supabase)

Für die Benutzeranmeldung (Magic-Link-Verfahren per E-Mail), die Datenbankhosting und die Speicherung Ihrer hochgeladenen Bilder nutzen wir Supabase Inc. (970 Toa Payoh North #07-04, Singapore 318992). Supabase betreibt die von uns genutzten Dienste auf Servern in der EU (AWS Frankfurt, eu-central-1).

Folgende Daten werden bei Supabase verarbeitet:

  • E-Mail-Adresse (zur Authentifizierung)
  • Profildaten (Firmenname, Telefonnummer, Logo)
  • Auftrags- und Bilddaten
  • Sitzungsdaten (Auth-Token in Cookies)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen nutzen wir Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland).

Beim Bezahlvorgang werden die von Ihnen eingegebenen Zahlungsdaten (Kreditkartennummer, Ablaufdatum, CVC bzw. IBAN bei SEPA-Lastschrift) direkt an Stripe übermittelt. Wir selbst haben keinen Zugriff auf vollständige Zahlungsdaten. Stripe verarbeitet Ihre Daten in Übereinstimmung mit dem PCI DSS Standard.

Bei Zahlung per SEPA-Lastschrift erteilen Sie Stripe ein SEPA-Lastschriftmandat. Die Mandatsreferenz und Ihre IBAN werden von Stripe gespeichert und verwaltet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenschutzhinweise von Stripe: stripe.com/de/privacy

7. KI-Bildverarbeitung (Google Gemini)

Zur Erstellung virtuell eingerichteter Immobilienfotos nutzen wir die Google Gemini API (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Dabei werden Ihre hochgeladenen Raumfotos an Google-Server übermittelt, um KI-gestützte Bildbearbeitung durchzuführen.

Die übermittelten Bilder werden von Google nicht zu Trainingszwecken verwendet, wenn die Nutzung über die kostenpflichtige API erfolgt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Bildverarbeitung ist Kernbestandteil unseres Dienstes).

Datenschutzhinweise von Google: policies.google.com/privacy

8. Cookies und lokale Speicherung

Unsere Website verwendet Cookies. Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrem Endgerät gespeichert werden.

Technisch notwendige Cookies

Wir setzen technisch notwendige Cookies ein, die für den Betrieb der Website unerlässlich sind:

  • Supabase Auth Cookies — Speichern Ihre Authentifizierungssitzung, damit Sie eingeloggt bleiben. Diese Cookies werden nach dem Abmelden oder nach Ablauf der Sitzung gelöscht.
  • Cookie-Einwilligung — Speichert Ihre Cookie-Präferenzen im lokalen Speicher (localStorage) Ihres Browsers.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb des Dienstes) bzw. § 25 Abs. 2 TDDDG (technisch erforderlich).

Keine Tracking- oder Marketing-Cookies

Wir setzen derzeit keine Analyse-, Tracking- oder Marketing-Cookies ein. Es werden keine Daten an Werbedienstleister oder Social-Media-Plattformen übermittelt. Google Tag Manager ist in unserer Content Security Policy vorbereitet, wird aktuell jedoch nicht eingesetzt. Sollte eine Analyse-Integration aktiviert werden, informieren wir Sie vorab und holen ggf. Ihre Einwilligung ein.

9. E-Mail-Kommunikation

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben einschließlich der von Ihnen angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.

Im Rahmen der Anmeldung senden wir Ihnen transaktionale E-Mails (Magic-Link zur Authentifizierung) sowie Team-Einladungen über den E-Mail-Dienst Resend Inc. (Resend Inc., 2261 Market Street #4059, San Francisco, CA 94114, USA). Resend verarbeitet dabei ausschließlich die E-Mail-Adresse des Empfängers zum Zweck der E-Mail-Zustellung. Die Datenübermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Datenschutzhinweise von Resend: resend.com/legal/privacy-policy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

10. Schriftarten

Diese Website nutzt die Schriftart „Inter“. Die Schriftart wird beim Build-Prozess heruntergeladen und lokal von unserem Server ausgeliefert. Es findet keine Verbindung zu Google-Servern beim Besuch der Website statt.

11. SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

12. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist:

  • Kontodaten — Bis zur Löschung Ihres Accounts.
  • Auftragsdaten & Bilder — 90 Tage nach Auftragsabschluss, danach automatische Löschung.
  • Rechnungsdaten — 10 Jahre gemäß handels- und steuerrechtlichen Aufbewahrungsfristen (§ 257 HGB, § 147 AO).
  • Server-Logs — 30 Tage.

13. Auftragsverarbeitung

Soweit wir zur Erbringung unserer Leistungen Drittanbieter einsetzen, die in unserem Auftrag personenbezogene Daten verarbeiten, haben wir mit diesen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen. Dies betrifft insbesondere:

  • Supabase Inc. (Datenbank, Authentifizierung, Dateispeicherung)
  • Stripe Payments Europe, Ltd. (Zahlungsabwicklung)
  • Resend Inc. (E-Mail-Versand)
  • Google Ireland Limited (KI-Bildverarbeitung via Gemini API)
  • Hetzner Online GmbH (Server-Hosting)

14. Datenübermittlung in Drittländer

Im Rahmen der oben genannten Dienste kann eine Datenübermittlung in die USA stattfinden (Stripe, Google Gemini, Resend). Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (DPF), dem Stripe, Google und Resend beigetreten sind, bzw. auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

15. Team-Funktion

Im Rahmen der Team-Funktion (ab dem Pro-Plan) können Abonnement-Inhaber weitere Nutzer per E-Mail-Einladung zu ihrem Team hinzufügen. Team-Mitglieder erhalten Zugriff auf die im Abonnement erstellten Aufträge und Bilder. Dabei werden folgende Daten innerhalb des Teams sichtbar:

  • Auftrags- und Bilddaten (Status, generierte Bilder, Exposés)
  • E-Mail-Adressen der Team-Mitglieder

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Team-Funktion ist Bestandteil des gewählten Abonnements).

16. Support-System

Über das integrierte Support-System können registrierte Nutzer Support-Tickets erstellen. Dabei werden Betreff, Nachrichtentext und zugehörige Metadaten (Zeitstempel, Ticket-Status) gespeichert. Support-Nachrichten sind nur für den Ersteller und unsere Administratoren einsehbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Support-Anfragen).

17. Ihre Rechte als betroffene Person

Ihnen stehen als betroffene Person folgende Rechte gegenüber uns zu:

  • Auskunftsrecht (Art. 15 DSGVO) — Sie haben das Recht, Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu erhalten.
  • Berichtigungsrecht (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO) — Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO) — Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO) — Sie können die Herausgabe der von Ihnen bereitgestellten Daten in einem maschinenlesbaren Format verlangen.
  • Widerspruchsrecht (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Sie können eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@exposely.de

Zusätzlich können registrierte Nutzer Auskunfts- und Löschanfragen direkt über ihr Kundenkonto auslösen. Wir dokumentieren diese Anfragen zur Nachweisführung und fristgerechten Bearbeitung.

18. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen. Zuständig ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

19. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes sowie der Datenverarbeitung anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.

Impressum