CreativCubeCreativCube
Rechtliches

Datenschutz­erklärung

Stand: Juni 2026.

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:
CreativCube GbR, Fährmann & Paplinski
Veronikastraße 76, 45131 Essen
E-Mail: hello@creativcube.de

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Kundinnen und Kunden sowie von Interessenten und Mitarbeitenden nur, soweit dies für die Bereitstellung des Portals, die Durchführung der beauftragten Leistungen und zur Erfüllung gesetzlicher Pflichten erforderlich ist. Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. a, b, c und f DSGVO.

Das Portal ist bewusst schlank konzipiert: Es kommen keine Analyse-, Tracking- oder Werbedienste zum Einsatz, und wir setzen ausschließlich technisch notwendige Cookies (siehe Abschnitt 7). Eingebettete Inhalte Dritter (z. B. Vimeo-Videos) binden wir datenschutzfreundlich ein; Details dazu in Abschnitt 8.

3. Hosting & Infrastruktur

3.1 Vercel (Hosting)

Die Anwendung wird bei Vercel gehostet. Die Server Functions unseres Portals laufen ausschließlich in der Region Frankfurt am Main (EU, fra1). Bei jedem Aufruf werden technisch notwendige Server-Logs erzeugt (IP-Adresse, Zeitpunkt, angeforderte URL, User-Agent), um Betrieb und Sicherheit zu gewährleisten (Art. 6 Abs. 1 lit. f DSGVO).

Anbieter: Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA. Wir haben die Ausführung unserer Functions bewusst auf die EU-Region Frankfurt beschränkt. Einzelne Dienste des Anbieters (z. B. globales CDN-Edge-Caching statischer Inhalte, Verwaltungs- und Logging-Systeme) können weiterhin Drittland-Transfers beinhalten; diese erfolgen auf Grundlage von Standardvertragsklauseln und — soweit einschlägig — dem EU-US Data Privacy Framework.

3.2 Supabase (Datenbank, Auth, Storage)

Portaldaten (Kunden, Projekte, Ideen, Dokumente, Nutzerkonten) werden bei Supabase Inc. in einer EU-Region gespeichert. Zugriffe sind durch Row-Level-Security abgesichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. lit. f (berechtigtes Interesse an einem funktionsfähigen Portal).

Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992. Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO liegt vor.

4. Nutzerkonten & Authentifizierung

Für die Nutzung des Portals ist ein Konto erforderlich. Wir verarbeiten hierfür E-Mail-Adresse, Name, Rolle sowie Authentifizierungs-Metadaten (Login-Zeitpunkt, Session-Tokens). Die Authentifizierung erfolgt über Supabase Auth mit Session-Cookies (siehe Abschnitt 7).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Für die Dauer der Geschäftsbeziehung zuzüglich gesetzlicher Aufbewahrungsfristen.

5. Öffentliches Anfrageformular

Auf der Seite /anfrage können Interessenten eine Kontaktanfrage stellen. Wir verarbeiten die angegebenen Pflichtfelder (Name, Firma, E-Mail, Telefon, Nachricht) sowie optionale Angaben (Budget, Wunsch-Leistungen, Startzeitpunkt). Zusätzlich werden technisch begleitende Daten erfasst: UTM-Parameter, Referrer, IP-Adresse (zur Missbrauchsprävention/Rate-Limiting) sowie Zeitstempel.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen) bzw. lit. f DSGVO (Schutz vor automatisierten Einsendungen). Die Daten werden solange gespeichert, wie sie für die Bearbeitung der Anfrage oder zur Anbahnung einer Geschäftsbeziehung erforderlich sind.

6. E-Mail-Versand (Strato SMTP)

Für den Versand transaktionaler E-Mails (z. B. Einladungen, Benachrichtigungen, Lead-Weiterleitungen) nutzen wir den SMTP-Server unseres Hosting-Anbieters Strato. Dabei werden E-Mail-Adresse, Name und Inhalt der jeweiligen E-Mail verarbeitet und über eine TLS-verschlüsselte Verbindung versendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO. Anbieter: STRATO GmbH, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland. Die Verarbeitung erfolgt auf Servern in der EU; ein Drittland-Transfer findet nicht statt.

7. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung (Supabase-Session), zur Merkung einer angezeigten Hinweismeldung sowie ggf. zur Speicherung von UI-Präferenzen (z. B. Sprachauswahl im öffentlichen Formular).

Diese Cookies sind für die Bereitstellung des ausdrücklich gewünschten Dienstes unbedingt erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG) und bedürfen keiner Einwilligung. Wir setzen keine Marketing-, Analyse- oder Tracking-Cookies ein.

Weitere Details finden Sie unter Cookie-Einstellungen.

8. Eingebettete Videos (Vimeo & YouTube)

8.1 Vimeo

An mehreren Stellen binden wir Videos von Vimeo ein: als dekoratives Hintergrundvideo auf der öffentlichen Login- und Empfehlungsseite, zur Vorschau in den internen Video-Galerien sowie — nach aktivem Klick — in Funnel-Inhalten. Beim Aufruf einer Seite mit eingebettetem Vimeo-Player wird eine Verbindung zu Vimeo aufgebaut und dabei u. a. Ihre IP-Adresse übertragen.

Die Player werden im Modus dnt=1 (Do-Not-Track) eingebunden: Vimeo unterdrückt damit das eigene Analyse-Tracking und setzt keine Tracking-Cookies. Das Hintergrundvideo auf öffentlichen Seiten dient ausschließlich der Gestaltung (Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO); die Bereitstellung der Galerie-Videos erfolgt zur Vertragserfüllung (lit. b). Anbieter: Vimeo, Inc., 330 West 34th Street, New York, NY 10001, USA. Übermittlung in Drittländer auf Grundlage von Standardvertragsklauseln.

8.2 YouTube (Zwei-Klick-Lösung)

Im Onboarding-Bereich des Portals kann ein Begrüßungsvideo eingebettet sein. Wir nutzen dafür YouTube im erweiterten Datenschutzmodus (youtube-nocookie.com) in Kombination mit einer Zwei-Klick-Lösung: Solange Sie das Video nicht aktiv starten, wird kein Script und kein Video-Stream von Google/YouTube geladen — lediglich ein statisches Vorschaubild (Thumbnail) wird angezeigt.

Erst wenn Sie das Video aktivieren, wird die Verbindung zu YouTube aufgebaut (Übertragung u. a. von IP-Adresse, Browser-Kennung und Video-URL an Google). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktiven Klick). Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Weitere Informationen: policies.google.com/privacy.

9. Fehlerdiagnose (optional)

Zur Aufrechterhaltung der technischen Qualität kann serverseitige Fehlerdiagnose eingesetzt werden (z. B. Sentry). Dabei werden Fehlermeldungen, Stacktraces und technische Kontextdaten (Browsertyp, ggf. IP-Adresse) an den Anbieter übermittelt. Personenbezogene Inhaltsdaten werden nach Möglichkeit gefiltert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

10. Webhooks & externe Quellen

Leads aus unserer Website (creativcube.de) können über einen Webhook an das Portal übergeben werden. Dabei werden die vom Absender im Webformular eingegebenen Daten verarbeitet (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).

11. Empfänger der Daten

Eine Weitergabe an Dritte erfolgt nur an die in dieser Erklärung genannten Auftragsverarbeiter (Vercel, Supabase, Strato, Vimeo, ggf. Sentry sowie ggf. Anthropic, siehe Abschnitt 16) sowie an gesetzlich berechtigte Stellen. Eine Weitergabe zu Werbezwecken erfolgt nicht.

12. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen (insb. HGB, AO) dies vorschreiben. Danach werden die Daten gelöscht oder gesperrt.

13. Ihre Rechte

Sie haben nach Maßgabe der DSGVO jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung wenden Sie sich bitte an hello@creativcube.de.

14. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist in der Regel die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Erklärung anzupassen, wenn sich rechtliche Rahmenbedingungen, unsere Prozesse oder eingesetzte Dienste ändern. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.

16. KI-gestützte Funktionen (optional)

Im internen Bereich zur Vorbereitung von Animationen können Animations-Beschreibungen mithilfe eines KI-Dienstes verarbeitet werden. Sofern diese Funktion aktiviert ist, werden die von Mitarbeitenden eingegebenen Beschreibungstexte zur Verarbeitung an den Anbieter übermittelt. Anbieter: Anthropic PBC, San Francisco, USA; Übermittlung in Drittländer auf Grundlage von Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Ist die Funktion nicht aktiviert, findet keine solche Übermittlung statt.