Datenschutzerklärung

Datenschutzerklärung (DACH)

Stand: 8. November 2025
Geltungsbereich: Diese Erklärung gilt für Nutzer in Deutschland, Österreich und der Schweiz ("DACH") im Zusammenhang mit der Website und SaaS‑Plattform Adlarion.

1. Verantwortlicher

Luca Bonura Onlinehandel (Einzelunternehmen)
Inhaber: Luca Bonura
Große Bleiche 5, 65719 Hofheim am Taunus, Deutschland
E‑Mail: info@adlarion.com · Tel.: +49 176 81255742

Rollenhinweis: Für Daten, die wir im Auftrag unserer Geschäftskunden innerhalb der Adlarion‑Plattform verarbeiten (z. B. Kampagnen‑/Performance‑Daten), sind wir Auftragsverarbeiter; es gilt unser Auftragsverarbeitungsvertrag (AVV/DPA) (abrufbar unter https://adlarion.com/legal/dpa). Diese Datenschutzerklärung beschreibt unsere Verarbeitung als Verantwortlicher (z. B. Website‑Besuch, Kontoerstellung, Abrechnung, Support, Marketingkommunikation).

2. Begriffe & Rechtsgrundlagen (Kurzüberblick)

  • DSGVO (EU), TTDSG (DE), revDSG (CH), DSG (AT/Umsetzung der EU‑Vorgaben).

  • Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO: Vertragserfüllung (lit. b), Rechtspflicht (lit. c), berechtigtes Interesse (lit. f), Einwilligung (lit. a).

  • Cookies/Endgerätezugriff: § 25 TTDSG (DE) / ePrivacy‑Grundsätze (AT/CH) – Einwilligung für nicht erforderliche Cookies/Techniken.

3. Datenkategorien

Je nach Interaktion verarbeiten wir u. a. folgende Daten:

  • Konto‑/Profildaten: Name, Unternehmensname, E‑Mail, (gehashte) Passwörter, Rollen/Rechte, Einstellungen.

  • Kontakt‑/Anfragedaten: E‑Mail, Telefonnummer, Nachrichtentexte, Metadaten (Zeit, IP).

  • Abo‑/Abrechnungsdaten: Rechnungsadresse, USt‑ID, Tarif, Transaktions‑Metadaten (keine vollständigen Kartennummern).

  • Nutzungs‑/Gerätedaten: IP‑Adresse, Geräte‑/Browser‑Kennungen, Betriebssystem, Referrer, besuchte Seiten, Zeitstempel, Logfiles.

  • Online‑Kennungen/Cookies: Cookie‑IDs, Analytik‑ und Werbe‑IDs (vgl. Cookies unten).

  • Support/Kommunikation: Tickets, E‑Mails, Chat‑/Interaktionsprotokolle, zugehörige Metadaten.

Wir verarbeiten keine besonderen Kategorien personenbezogener Daten wissentlich. Bitte übermitteln Sie solche Daten nur, wenn es erforderlich ist und rechtlich zulässig erfolgt.

4. Zwecke und Rechtsgrundlagen

  • Bereitstellung von Website & Dienst (Art. 6 Abs. 1 lit. b): Konto anlegen und verwalten, Authentifizierung, Funktionsbereitstellung, Abrechnung, Kundensupport.

  • Betrieb, Sicherheit & Betrugsprävention (Art. 6 Abs. 1 lit. f): Verfügbarkeit, Fehlersuche, Missbrauchs‑/Betrugserkennung, Protokollierung, Zugriffsschutz.

  • Analytik & Performance (Art. 6 Abs. 1 lit. a): nur mit Einwilligung (z. B. Google Analytics).

  • Werbe‑/Mess‑Tags (Art. 6 Abs. 1 lit. a): nur mit Einwilligung (z. B. Google Ads, Meta Pixel, Taboola) zur Kampagnenmessung und – falls aktiv – Optimierung.

  • Marketingkommunikation (Art. 6 Abs. 1 lit. a bzw. lit. f im B2B‑Kontext gem. nationalem Recht): Newsletter/Updates (jederzeit widerrufbar).

  • Rechtspflichten (Art. 6 Abs. 1 lit. c): Steuer/Handel, Buchführung, Auskunft an Behörden, Durchsetzung von Ansprüchen.

Wo wir berechtigte Interessen nutzen, nehmen wir eine Interessenabwägung (LIA) vor und implementieren Schutzmaßnahmen (z. B. Pseudonymisierung, Zugriffsbeschränkungen). Eine Kurzbeschreibung der LIA stellen wir auf Anfrage zur Verfügung. B. Pseudonymisierung, Zugriffsbeschränkungen).

5. Herkunft der Daten

  • Direkt von Ihnen: Website‑Besuch, Registrierung, Bestellung/Abonnement, Supportanfragen.

  • Automatisiert: über Cookies, Pixel und ähnliche Technologien (siehe unten).

  • Von Auftragsverarbeitern: z. B. Zahlungs‑, E‑Mail‑ und Hosting‑Dienstleister (zur Zustellung/Abrechnung/Fehleranalyse).

6. Empfänger & Auftragsverarbeiter

Wir geben Daten nur im erforderlichen Umfang weiter und schließen Auftragsverarbeitungsverträge (Art. 28 DSGVO):

  • Hosting & Infrastruktur: Bubble (App‑Hosting), Framer (Website‑Hosting), jeweils inkl. Cloud/CDN‑Ressourcen in der EU/EEA und ggf. dem UK (sofern verfügbar).

  • E‑Mail/Kommunikation: SendGrid (transaktionale E‑Mails), Twilio (Kommunikation/SMS, soweit eingesetzt), Mailchimp (Newsletter/Marketing – geplant), Instantly (B2B‑Outreach).

  • Analytik & Tags: Google Analytics, Google Ads, Meta Pixel, Taboola (Einwilligung erforderlich); Google Tag Manager als Tag‑Loader (setzt selbst keine Cookies).

  • Zahlungen: Stripe (s. Abschnitt Zahlungen).

  • Sonstiges: Sicherheits‑/Monitoring‑, Logging‑ bzw. vergleichbare Tools (sofern eingesetzt).

Eine stets aktuelle Liste unserer Sub‑Auftragsverarbeiter finden Sie hier: https://adlarion.com/legal/subprocessors.

7. Zahlungen (Stripe)

Zahlungen/Abonnements werden über Stripe abgewickelt. Wir erhalten nur die hierfür erforderlichen Transaktions‑Metadaten (z. B. Transaktions‑ID, Status); vollständige Kartendaten speichern wir nicht.
Zahlarten über Stripe (je nach Land/Verfügbarkeit): Karten, PayPal, Klarna, SEPA‑Lastschrift.
Weitere Informationen: https://stripe.com/privacy.

8. Cookies, ähnliche Technologien & Einwilligung (TTDSG/ePrivacy)

Wir nutzen Cookies und ähnliche Technologien:

  • Technisch notwendige Cookies (keine Einwilligung): zur Grundfunktionalität (z. B. Sitzungs‑/Authentifizierungs‑Cookies von Bubble/Framer), Sicherheit und Zahlungsabwicklung (z. B. Stripe‑Sicherheitscookies __stripe_mid, __stripe_sid).
    Rechtsgrundlagen: Vertragserfüllung (Login/Checkout) und berechtigtes Interesse an Sicherheit/Betrugsprävention (Art. 6 Abs. 1 lit. f).

  • Analytik‑/Performance‑Cookies (Einwilligung erforderlich): Google Analytics zur Nutzungsanalyse und Qualitätsverbesserung.

  • Werbe‑/Mess‑Tags (Einwilligung erforderlich): Google Ads, Meta Pixel, Taboola zur Kampagnenmessung und – falls aktiviert – Optimierung.

  • Google Tag Manager (GTM): dient als Loader für die vorgenannten Tags; GTM setzt selbst regelmäßig keine Cookies.

Wir holen Ihre Einwilligung für nicht erforderliche Cookies über unser Cookie‑Banner ein. Das Banner bietet gleichwertigAlle akzeptieren“, „Alle ablehnen“ sowie eine granulare Auswahl (z. B. notwendig, Analytik, Werbung). Sie können Ihre Auswahl jederzeit über Cookie‑Einstellungen (https://adlarion.com/cookie-settings) ändern.
Einzelheiten (Cookie‑Namen, Anbieter, Zwecke, Laufzeiten) finden Sie in unserer Cookie‑Richtlinie (DE): https://adlarion.com/legal/cookies-de

Kurzüberblick notwendige Cookies:
session (Bubble): hält Login‑Sitzungen aufrecht (Session)
framer_session (Framer): Seitennavigation/Grundfunktionen (Session)
__stripe_mid (Stripe): Betrugsprävention/Payments (12 Monate)
__stripe_sid (Stripe): Betrugsprävention/Payments (30 Minuten) Sie können Ihre Auswahl jederzeit über Cookie‑Einstellungen (https://adlarion.com/cookie-settings) ändern.
Einzelheiten (Cookie‑Namen, Anbieter, Zwecke, Laufzeiten) finden Sie in unserer Cookie‑Richtlinie (DE): https://adlarion.com/legal/cookies-de.

9. Konten‑Verknüpfungen & API‑Zugriffe (Meta/Google)

Wir bieten Integrationen zu Meta (Facebook/Instagram) und Google (Ads/Analytics/Tag Manager). Zur Verbindung erfolgt eine Anmeldung über ein OAuth‑Verfahren beim jeweiligen Anbieter. Wir erhalten Zugriffstoken (ggf. Refresh‑Token), keine Passwörter.

Verarbeitete Datenkategorien (abhängig von Ihren gewählten Scopes): Werbekonto‑IDs, Kampagnen/Anzeigen‑Metadaten, Performance‑Metriken (Impressions, Klicks, Conversions), Pixel‑/Tag‑Ereignisse, Zielgruppen‑/Attributionsdaten, abrechnungs‑/kontobezogene Informationen in dem Umfang, den Sie freigeben.

Zwecke/Rechtsgrundlagen: Plattformfunktionen (Kampagnenmanagement, Reporting, Automatisierung) Art. 6 Abs. 1 lit. b DSGVO; Betrieb/Sicherheit/Fehleranalyse Art. 6 Abs. 1 lit. f DSGVO.
Empfänger/Kategorien: Meta Platforms Ireland Ltd., Google Ireland Ltd. (und verbundene Gesellschaften). Drittlandübermittlungen (z. B. USA) auf Basis von Standardvertragsklauseln (SCC) zzgl. ggf. UK‑Addendum/IDTA bzw. – soweit einschlägig – EU‑/UK‑DPF/Data Bridge und Swiss‑U.S. DPF.
Widerruf & Entzug: Sie können Zugriffe jederzeit in Ihren Meta Business‑Integrationen bzw. Google‑Kontoeinstellungen widerrufen; zusätzlich können Sie Integrationen in Adlarion trennen.
Speicherdauer: Tokens werden verschlüsselt gespeichert und bei Widerruf, Account‑Löschung oder längerer Inaktivität (i. d. R. 24 Monate) gelöscht; abgerufene Metrik‑/Logdaten bewahren wir nur so lange auf, wie es für Reporting/Abrechnung/Fehleranalyse erforderlich ist (siehe Aufbewahrung).
Gemeinsame Verantwortlichkeit (Meta): Für bestimmte Ereignisdaten (z. B. Website‑Event‑Daten) kann eine gemeinsame Verantwortlichkeit mit Meta i. S. v. Art. 26 DSGVO bestehen; es gelten die Regelungen des Joint Controller Addendum (JCA) von Meta (wesentliche Inhalte abrufbar bei Meta).

Medienbibliothek & Nutzerinhalte (Uploads)

Wir stellen eine Medienbibliothek bereit, in der Sie kreative Assets (z. B. Bilder, Videos, Logos) hochladen und verwalten können. Wir verarbeiten dabei u. a. Datei‑Metadaten (Dateiname, Größe, Typ, Abmessungen), ggf. EXIF/IPTC‑Daten, von Ihnen vergebene Tags/Ordner, Freigabestatus, Versionen sowie von uns erzeugte Derivate (z. B. Thumbnails, Renditions, generierte Anzeigen). Zur Sicherstellung der Dienstintegrität führen wir Malware‑Scans und eine grundlegende Inhaltsvalidierung durch; wesentliche Benutzeraktionen (z. B. Freigaben) können mit Zeitstempel und Benutzer‑ID protokolliert werden.

Zwecke/Rechtsgrundlagen: Kernfunktionen (Speichern, Organisieren, Freigaben, Creative‑Generierung) — Art. 6 Abs. 1 lit. b DSGVO; Sicherheit/Verfügbarkeit/Missbrauchsprävention — Art. 6 Abs. 1 lit. f; rechtliche Pflichten (z. B. Notice‑and‑Takedown) — Art. 6 Abs. 1 lit. c.

Empfänger/Kategorien: Hosting/CDN sowie Bildverarbeitungs‑/Rendering‑Dienstleister als Auftragsverarbeiter (Sub‑Prozessoren‑Liste: https://adlarion.com/legal/subprocessors). Drittlandübermittlungen (z. B. USA) auf Basis von SCC (ggf. mit UK‑Addendum/IDTA) und – soweit einschlägig – EU‑/UK‑/Swiss‑US DPF.

Aufbewahrung: Assets bleiben gespeichert, solange Ihr Konto aktiv ist bzw. bis Sie sie löschen; Restkopien können für kurze Zeit in Backups/Logs fortbestehen. Erzeugte Derivate werden gelöscht bzw. neu erzeugt, wenn Sie die Quelle entfernen.

Ihre Verantwortung: Laden Sie personenbezogene Daten Dritter (z. B. Fotos von Mitarbeitenden/Kunden) nur mit rechtlicher Grundlage und erforderlichen Informationen/Einwilligungen hoch. Keine besonderen Kategorien ohne strikte Erforderlichkeit und Rechtmäßigkeit; keine Daten von Minderjährigen ohne geeignete Grundlage. Der Zugriff ist auf autorisierte Nutzer in Ihrem Konto beschränkt; das Teilen/Veröffentlichen steuern Sie.

KI/Training: Wir nutzen Ihre Uploads nicht zum Training allgemeiner KI‑Modelle. Änderungen erfolgen nur mit vorheriger Einwilligung und aktualisierter Datenschutzerklärung.

10. Internationale Datentransfers

Wir verarbeiten Daten primär in der EU/EEA und – soweit erforderlich – im VK (UK). Übermittlungen in Drittländer (z. B. USA), etwa beim Einsatz von Bubble, Framer, SendGrid/Twilio, Mailchimp, Stripe, Google, Meta, Taboola, erfolgen auf Grundlage geeigneter Garantien, insbesondere Standardvertragsklauseln (SCC) (ggf. mit UK‑Addendum/IDTA) und – soweit einschlägig – Zertifizierungen nach dem EU‑U.S. Data Privacy Framework (DPF), der UK‑US Data Bridge sowie dem Swiss‑U.S. Data Privacy Framework (Swiss‑U.S. DPF).
Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU (solange fortbestehend); Datenübermittlungen in das UK sind daher zulässig.

11. Speicherdauer (Retention)

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Pflichten dies verlangen:

  • Account‑/Profildaten: Dauer des Kontos; Löschung bei Kontoschließung (vorbehaltlich gesetzlicher Aufbewahrung).

  • Abrechnungs‑/Transaktionsdaten: gemäß handels‑/steuerrechtlichen Vorgaben (in DE i. d. R. 10 Jahre).

  • Support & Kommunikation: i. d. R. 12 Monate, länger falls zur Vorgangsklärung oder aus Rechtsgründen erforderlich.

  • Marketingkontakte: bis zum Widerruf bzw. nach 24 Monaten Inaktivität.

  • Logs/Sicherheits‑Telemetry: ca. 12 Monate (kürzer/länger, soweit erforderlich).

  • Analytik‑/Werbe‑IDs: gemäß Tool‑Einstellungen und Ihrer Einwilligung (typisch 12–26 Monate).

Kurzüberblick (Tabelle):

Kategorie Regelaufbewahrung Account-/Profildaten Lebenszyklus des Kontos; Löschung bei Schließung Abrechnungs-/Transaktionsdaten 10 Jahre (DE) Support/Kommunikation ~12 Monate Marketingkontakte Opt‑out oder 24 Monate Inaktivität Logs/Security ~12 Monate Analytics/Ads‑IDs 12–26 Monate (toolabhängig)

Nach Wegfall der Zwecke löschen oder anonymisieren wir Daten, sofern keine gesetzlichen Pflichten entgegenstehen.

12. Rechte der Betroffenen

Sie haben – im Rahmen der gesetzlichen Voraussetzungen – folgende Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch (gegen Verarbeitungen auf Grundlage berechtigter Interessen) sowie Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.
Anfragen bitte an info@adlarion.com. Zur Verifikation Ihrer Identität können wir Nachweise anfordern.

Wenn Ihre Daten im Rahmen der Adlarion‑Plattform im Auftrag eines Geschäftskunden verarbeitet werden, wenden Sie sich bitte direkt an diesen Verantwortlichen; wir unterstützen als Auftragsverarbeiter bei der Bearbeitung Ihrer Anfrage.

13. Direktmarketing (DE/AT/CH)

Wir versenden elektronische Direktwerbung nur im Einklang mit dem geltenden Recht. In Deutschland gilt § 7 UWG (Einwilligung; Soft‑Opt‑In nach § 7 Abs. 3 UWG für Bestandskunden) – wir nutzen Double‑Opt‑In und dokumentieren Einwilligungen. Im B2B‑Kontext stützen wir uns (wo zulässig) auf berechtigte Interessen mit klarem Opt‑Out in jeder Nachricht. Für Österreich und die Schweiz werden vergleichbare Anforderungen beachtet (insb. klare Information und einfache Abmeldung). Jede Nachricht enthält einen Abmeldelink; Sie können den Erhalt jederzeit abwählen.

14. Automatisierte Entscheidungen & Profiling

Wir treffen keine Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und Ihnen gegenüber rechtliche oder ähnlich erhebliche Wirkungen entfalten.
Profiling nutzen wir ggf. in engen Grenzen zu Analytik/Messzwecken (auf Basis Ihrer Einwilligung). Sie haben das Recht, Profiling für Direktwerbung zu widersprechen und – wo einschlägig – eine menschliche Überprüfung zu verlangen.

15. Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen ein (z. B. Verschlüsselung in Transit/Ruhe, Rollen‑/Rechtekonzepte, Least‑Privilege, Protokollierung, Backups, Härtung, regelmäßige Updates). Kein Verfahren bietet 100 %ige Sicherheit; wir verbessern unsere Schutzmaßnahmen fortlaufend.

16. Meldung von Datenschutzverletzungen

Wir unterhalten Verfahren zur Erkennung, Untersuchung und Meldung von Datenschutzverletzungen. Bei voraussichtlichem Risiko für Rechte/Freiheiten betroffener Personen melden wir unverzüglich und i. d. R. innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde. Bei hohem Risiko informieren wir zusätzlich die betroffenen Personen unverzüglich.

17. Beschwerderecht

Sie können sich bei jeder Datenschutz‑Aufsichtsbehörde beschweren. Für unseren Sitz ist zuständig:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Postfach 3163, 65021 Wiesbaden, www.datenschutz.hessen.de.
Für Österreich: Österreichische Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien, www.dsb.gv.at, dsb@dsb.gv.at, Tel. +43 1 52 152-0.
Für die Schweiz: Eidgenössischer Datenschutz‑ und Öffentlichkeitsbeauftragter (EDÖB), www.edoeb.admin.ch.

18. Kinder

Unsere Dienste richten sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine Daten von Kindern in diesem Alter. Wenn Sie annehmen, dass ein Kind uns Daten bereitgestellt hat, kontaktieren Sie uns bitte – wir löschen diese Daten.

19. Datenschutzbeauftragter (DSB)

Ein betrieblicher Datenschutzbeauftragter ist derzeit nicht benannt, da die gesetzlichen Voraussetzungen hierfür aktuell nicht vorliegen. Hinweis: In Deutschland ist ein DSB i. d. R. zu benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Wir überprüfen dies regelmäßig.

20. Änderungen

Wir können diese Datenschutzerklärung anpassen, um Änderungen unserer Verarbeitung oder der Rechtslage abzubilden. Das Datum oben weist auf die aktuelle Fassung hin. Bei wesentlichen Änderungen informieren wir angemessen.