1. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf TextSculpt ist:
Julius Breit
Gronauer Straße 25
60385 Frankfurt am Main
Deutschland
E-Mail: me@juliusbreit.com
Einen Datenschutzbeauftragten habe ich gesetzlich nicht zu bestellen.
2. Allgemeine Hinweise zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO), zur Erfüllung eines Vertrags, dessen Vertragspartei der Nutzer ist (Art. 6 Abs. 1 lit. b DSGVO), oder soweit ein berechtigtes Interesse besteht und keine überwiegenden Interessen des Nutzers entgegenstehen (Art. 6 Abs. 1 lit. f DSGVO).
3. Beim Aufruf der Website (Server-Logs)
Die Webseiten textsculpt.app und textsculpt.vercel.app werden bei der Vercel Inc. (USA) gehostet. Bei jedem Aufruf werden technisch notwendige Informationen automatisch protokolliert:
- IP-Adresse (gekürzt / pseudonymisiert)
- Datum und Uhrzeit des Zugriffs
- aufgerufene Seite / Ressource
- HTTP-Statuscode
- übertragene Datenmenge
- User-Agent (Browser- und Betriebssystem-Kennung)
- Referrer (verweisende Seite)
Zweck: Sicherstellung eines reibungslosen Betriebs, Schutz vor Missbrauch (z. B. DDoS-Abwehr), Fehleranalyse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: typischerweise bis zu 30 Tage in den Vercel-Logs.
Drittlandtransfer: Vercel Inc. ist nach dem EU-US Data Privacy Framework zertifiziert. Zusätzlich gelten EU-Standardvertragsklauseln.
4. Anmeldung per Magic Link (Supabase Auth)
Für den Zugang zu Pro-Funktionen und zu gespeicherten Dokumenten verwenden wir eine passwortlose Anmeldung („Magic Link"). Sie geben Ihre E-Mail-Adresse an, wir senden Ihnen einen Anmelde-Link, mit dem Sie eingeloggt werden.
Verarbeitete Daten: E-Mail-Adresse, Zeitstempel der Anmeldung, Auth-Session-Token.
Zweck: Identifikation und Sitzungsverwaltung; Schutz vor Missbrauch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherheit).
Speicherdauer: Anmeldedaten und Sessions bleiben gespeichert, solange Ihr Konto besteht. Nach Kontolöschung werden sie innerhalb von 30 Tagen entfernt; ausgenommen sind Daten, die wir aus Buchhaltungs- oder Steuergründen länger aufbewahren müssen.
Auftragsverarbeiter: Supabase Inc. (siehe Abschnitt 12). Auch die Zustellung der Magic-Link-E-Mails erfolgt über die E-Mail-Infrastruktur von Supabase.
5. Bezahlfunktion (Stripe)
Bei Abschluss des Pro-Abonnements (8 €/Monat) werden Sie für den Bezahlvorgang an die Stripe-Plattform weitergeleitet. Stripe verarbeitet die Zahlung in eigener Verantwortung als selbstständig Verantwortlicher; gleichzeitig handelt Stripe für uns als Auftragsverarbeiter, soweit es um die Vertragsdaten geht.
Verarbeitete Daten: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsmittel-Daten (von Stripe direkt erfasst, nicht bei uns gespeichert), Transaktionshistorie, Abo-Status.
Zweck: Abwicklung des Zahlungsverkehrs, Vertragsabwicklung, Buchhaltung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung, insbesondere § 147 AO, § 257 HGB).
Speicherdauer: Vertrags- und Abrechnungsdaten werden für die Dauer des Vertrags und anschließend für die Dauer der gesetzlichen Aufbewahrungspflichten (regelmäßig 10 Jahre) aufbewahrt.
Vertragspartner: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.
Drittlandtransfer: Stripe nutzt Unterauftragsverarbeiter in den USA (Stripe, Inc.). Stripe, Inc. ist nach dem EU-US Data Privacy Framework zertifiziert; zusätzlich gelten EU-Standardvertragsklauseln. Stripes Datenschutzerklärung: stripe.com/de/privacy.
6. Texttransformation mit KI (Anthropic Claude)
Dies ist die zentrale Funktion von TextSculpt. Wenn Sie einen Text bearbeiten oder eine Transformation auslösen (Tab, Drag, Flip, Ebenen-Wechsel, Generierung), wird der ausgewählte Text gemeinsam mit dem unmittelbar umliegenden Kontext über die Server-API an einen KI-Dienstleister gesendet, dort verarbeitet und die Antwort an Ihren Browser zurückgegeben.
Dienstleister: Anthropic, PBC, 548 Market Street PMB 90375, San Francisco, CA 94104, USA.
Verarbeitete Daten:
- Der von Ihnen ausgewählte Text
- Bis zu wenige Sätze umgebender Kontext, soweit für eine kohärente Transformation nötig
- Optional: Sie-spezifische Einstellungen wie der gewählte „primäre Empfänger" (Adressat) und Stil-Präferenzen
- Technische Metadaten (Modell-Name, Token-Anzahl, Zeitstempel)
Was wird NICHT übermittelt: Ihre Identität (Name, E-Mail), Ihre IP-Adresse direkt durch uns als Inhalt der Anfrage, oder Inhalte aus anderen Dokumenten als dem aktuell bearbeiteten.
Zweck: Erbringung der vertraglich geschuldeten Texttransformation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandtransfer: Anthropic, PBC ist nach dem EU-US Data Privacy Framework zertifiziert; zusätzlich gilt mit Anthropic ein Datenverarbeitungsvertrag mit den Standardvertragsklauseln der EU-Kommission.
Wichtig — kein Training: Wir nutzen die kommerzielle API-Schnittstelle von Anthropic. Inhalte, die wir über diese API senden, werden von Anthropic gemäß deren Commercial Terms nicht zum Training oder zur Verbesserung der KI-Modelle verwendet.
Speicherdauer bei Anthropic: Anthropic speichert API-Eingaben und -Antworten standardmäßig bis zu 30 Tage zur Missbrauchserkennung und Sicherheit, danach werden sie gelöscht. Im Falle eines konkreten Verdachts auf Verstöße gegen die Nutzungsbedingungen können Daten länger aufbewahrt werden.
Hinweis nach EU AI Act (Art. 50): TextSculpt nutzt ein KI-System zur Texterzeugung und -bearbeitung. Sie interagieren bewusst mit einer KI. Jede Ausgabe ist ein Vorschlag, den Sie durch eine ausdrückliche Geste (Tab) übernehmen oder durch eine andere Geste (Esc) verwerfen — die redaktionelle Kontrolle und Verantwortung für jeden veröffentlichten Text liegt bei Ihnen.
7. Gespeicherte Dokumente (Supabase Datenbank)
Wenn Sie angemeldet sind, können Sie Ihre Dokumente in Ihrem Konto speichern, damit Sie später daran weiterarbeiten können.
Verarbeitete Daten: Dokument-Titel und -Inhalt, Zeitstempel der Erstellung und Änderung, Ihre Benutzer-Kennung.
Zweck: Bereitstellung der Speicherfunktion.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherort: Supabase-Datenbank, gehostet in der Region Central EU (Frankfurt am Main). Es liegt kein Drittlandtransfer für die gespeicherten Dokumente vor.
Speicherdauer: Dokumente bleiben gespeichert, solange Ihr Konto besteht. Sie können einzelne Dokumente oder Ihr gesamtes Konto jederzeit löschen. Nach Kontolöschung werden alle Dokumente innerhalb von 30 Tagen unwiderruflich entfernt.
8. Warteliste
Auf der Marketing-Seite besteht die Möglichkeit, sich für eine Warteliste oder einen Newsletter einzutragen.
Verarbeitete Daten: E-Mail-Adresse, Zeitstempel der Eintragung.
Zweck: Information über den Produkt-Start oder neue Funktionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — eine formlose E-Mail an me@juliusbreit.com genügt.
Speicherdauer: Bis zum Widerruf, längstens 24 Monate nach Eintragung.
9. Fehleranalyse (Sentry)
Wir nutzen Sentry zur Erkennung technischer Fehler in der Anwendung.
Dienstleister: Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA.
Verarbeitete Daten: Fehler-Stacktraces (technische Aufrufketten beim Auftreten eines Fehlers), Browser- und Gerätekategorien, Zeitstempel sowie ausgewählte technische Performance-Metriken (Trace-Sample-Rate 20 %). Wir setzen Sentry mit der Option sendDefaultPii: false ein; IP-Adressen werden nicht übermittelt, und es findet kein Session Replay statt — Eingaben oder Bildschirminhalte werden nicht aufgezeichnet.
Zweck: Identifikation und Behebung technischer Fehler.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionierenden und sicheren Dienst). Da keine personenbeziehbaren Daten an Sentry übertragen werden und keine Cookies oder vergleichbaren Tracking-Mechanismen zum Einsatz kommen, ist nach unserer Bewertung keine Einwilligung nach § 25 TDDDG erforderlich.
Drittlandtransfer: Sentry ist nach dem EU-US Data Privacy Framework zertifiziert; zusätzlich gelten EU-Standardvertragsklauseln.
Speicherdauer: Standardmäßig 30 bzw. 90 Tage je nach Datenkategorie.
10. Reichweitenmessung (Vercel Analytics, Vercel Speed Insights)
Wir nutzen die in unsere Hosting-Plattform Vercel integrierten Analyse-Dienste, um zu verstehen, wie die Seite genutzt wird und wie schnell sie für unsere Nutzer lädt.
Vercel Analytics: Erfasst aggregierte Seitenaufrufe, Herkunftsland (auf Landesebene), Browser- und Gerätekategorien. Es werden keine Cookies gesetzt, keine eindeutigen Nutzer-Identifikatoren erzeugt und keine personenbezogenen Daten an Vercel übermittelt. Aus der IP-Adresse wird über eine kryptografische Hash-Funktion ein tageweise rotierender, anonymer Besucher-Hash erzeugt, der nicht zu einer Person zurückgeführt werden kann.
Vercel Speed Insights: Erfasst anonymisierte Lade- und Render-Zeiten (Core Web Vitals), um Performance-Engpässe zu finden. Es werden ebenfalls keine Cookies gesetzt und keine personenbezogenen Identifikatoren erzeugt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer bedarfsgerechten Gestaltung der Seite).
Drittlandtransfer: siehe Abschnitt 3 (Vercel).
11. Cookies und lokale Speicherung
Wir setzen ausschließlich technisch notwendige Cookies und nutzen den lokalen Browser-Speicher für die Aufrechterhaltung Ihrer Sitzung und für UI-Einstellungen:
- Auth-Cookies (Supabase): notwendig für Ihre Anmeldung. Lebensdauer: Sitzungsdauer bzw. bis zur Abmeldung.
- Lokale Speicherung von Dokument-Entwürfen: Bevor Sie sich anmelden, können Texte zwischengespeichert werden, damit sie nicht verloren gehen. Diese Daten verlassen Ihr Gerät nicht.
- Stripe-Checkout: Im externen Checkout-Fenster von Stripe werden eigene Cookies gesetzt — Informationen dazu finden Sie in der Datenschutzerklärung von Stripe.
Eine ausführliche Einordnung nach § 25 TDDDG: TextSculpt setzt ausschließlich technisch notwendige Cookies und nutzt den lokalen Browser-Speicher nur für Ihre eigenen Einstellungen und Inhalte. Es findet keine Reichweitenmessung mit Cookies und keine Drittanbieter-Werbung statt. Eine Einwilligung ist daher nicht erforderlich.
12. Auftragsverarbeiter im Überblick
| Anbieter | Sitz / Hosting | Zweck | Drittland |
|---|---|---|---|
| Vercel Inc. | USA | Hosting der Website und API | Ja — DPF + SCC |
| Supabase Inc. | Unternehmenssitz USA, Hosting Central EU (Frankfurt) | Authentifizierung, Datenbank, E-Mail-Versand für Magic Links | Nein für Inhalte (EU-Hosting); SCC mit Supabase |
| Anthropic, PBC | USA | KI-Textverarbeitung | Ja — DPF + SCC, kein Training |
| Stripe Payments Europe Ltd. | Irland, Sub-Verarbeiter in USA | Zahlungsabwicklung | Ja (Sub-Auftrag) — DPF + SCC |
| Functional Software, Inc. (Sentry) | USA | Fehleranalyse | Ja — DPF + SCC |
| Vercel Inc. (Analytics + Speed Insights) | USA | Anonyme Reichweitenmessung und Performance-Messung | siehe oben |
Mit allen genannten Anbietern besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Die jeweiligen Vereinbarungen können auf Anfrage eingesehen werden.
13. Ihre Rechte als Betroffene
Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO): Sie können erfahren, welche Daten wir über Sie verarbeiten.
- Berichtigung (Art. 16 DSGVO): Sie können verlangen, dass falsche Daten korrigiert werden.
- Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten.
- Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO gestützt ist.
- Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit für die Zukunft widerrufen.
- Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO): Für uns zuständig ist Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden, datenschutz.hessen.de.
Für alle Anliegen erreichen Sie uns formlos unter me@juliusbreit.com.
14. Datensicherheit
Die Übertragung Ihrer Daten erfolgt grundsätzlich verschlüsselt (TLS 1.2/1.3). Zugriff auf Ihre Daten haben nur Personen, die diesen für den Betrieb des Dienstes benötigen. Backups werden verschlüsselt gespeichert. Wir aktualisieren unsere Sicherheitsmaßnahmen regelmäßig dem Stand der Technik entsprechend.
15. Aktualität und Änderungen
Diese Datenschutzerklärung gilt ab Mai 2026. Durch Weiterentwicklung des Angebots oder geänderte gesetzliche Anforderungen kann eine Anpassung erforderlich werden. Die jeweils aktuelle Fassung ist unter textsculpt.app/datenschutz abrufbar.
Stand: Mai 2026