1. Einleitung
Diese Datenschutzerklärung beschreibt, wie die Machete Marketing Germany GmbH, tätig unter der Marke Scalable („Unternehmen", „wir", „uns" oder „unser"), Ihre personenbezogenen Daten erhebt, verwendet, speichert und weitergibt, wenn Sie unsere Website unter https://scalable.so und die zugehörigen Dienste (die „Dienste") nutzen.
Wir verpflichten uns, Ihre personenbezogenen Daten im Einklang mit der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO") und dem geltenden deutschen Datenschutzrecht zu schützen, einschließlich des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG).
2. Verantwortlicher
Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten ist:
| Feld | Angabe |
|---|---|
| Unternehmen | Machete Marketing Germany GmbH |
| Anschrift | Kirchstraße 31, 77815 Bühl, Deutschland |
| Registergericht | Amtsgericht Mannheim, HRB 733742 |
| Geschäftsführer | Jacob Jan Michalik |
| Kontakt | legal@scalable.so |
3. Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten bestellt. Wir sind hierzu nach § 38 BDSG nicht verpflichtet, da wir in der Regel nicht mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen und keiner der zusätzlichen Tatbestände des § 38 Abs. 1 Satz 2 BDSG auf uns zutrifft. Wir bleiben vollumfänglich an die DSGVO gebunden. Für alle datenschutzrechtlichen Anliegen erreichen Sie uns unter legal@scalable.so.
4. Welche Daten wir erheben
4.1. Daten, die Sie bereitstellen
Wenn Sie sich registrieren, ein Abonnement abschließen oder die Dienste nutzen, erheben wir:
- Kontodaten: E-Mail-Adresse, Vorname, Nachname, Passwort (gehasht, verwaltet durch unseren Authentifizierungsanbieter).
- Profildaten: Avatar/Profilbild, Empfehlungscode.
- Geschäftsdaten: Firmenname, Geschäftsart, Unternehmensgröße, Ihre Rolle und Funktionsbezeichnung.
- Onboarding-Daten: Primäres Ziel, wie Sie auf Scalable aufmerksam geworden sind.
- Produktdaten: Produkttitel, ASINs, Produktbeschreibungen, von Ihnen hochgeladene Bilder, von Ihnen zur Analyse bereitgestellte Kundenbewertungen.
- Zahlungsdaten: Abrechnungsinformationen werden von Stripe erhoben und verarbeitet. Wir speichern Ihre Stripe-Kundennummer und Abonnementdetails, jedoch keine Kreditkartennummern oder Bankverbindungen.
- Kommunikation: Nachrichten, die Sie über unser Kontaktformular oder an unsere Support-E-Mail-Adresse senden.
4.2. Automatisch erhobene Daten
Wenn Sie die Dienste nutzen, erheben wir automatisch:
- Nutzungsdaten: Besuchte Seiten, genutzte Funktionen, angeforderte Bildgenerierungen, Interaktionen mit dem KI-Agenten.
- Gerätedaten: IP-Adresse, Browsertyp und -version, Betriebssystem, Gerätetyp, Bildschirmauflösung.
- Verweisdaten: Die URL, über die Sie auf unsere Website gelangt sind.
- Cookie-Daten: Einzelheiten zu Cookies finden Sie in Abschnitt 8.
4.3. Durch die Dienste erzeugte Daten
- KI-generierte Inhalte: Bilder, Textvorschläge und analytische Erkenntnisse, die durch die Dienste auf Grundlage Ihrer Eingaben erstellt werden.
- Qualitätsbewertungen: Interne Qualitäts- und Vertrauensbewertungen zur Spam-Prävention und zur Wahrung der Kontointegrität.
- Arena-Interaktionsdaten: In Arena-Vergleichen abgegebene Abstimmungsentscheidungen, verknüpft mit Ihrer Kontokennung und den zugehörigen Produkt-/Bild-IDs sowie Zeitstempeln.
5. Wie wir Ihre Daten verwenden
Wir verwenden Ihre personenbezogenen Daten zu folgenden Zwecken:
| Zweck | Verwendete Daten | Rechtsgrundlage |
|---|---|---|
| Bereitstellung der Dienste (Kontoverwaltung, KI-Generierung, Analyse) | Konto-, Profil-, Produkt-, Geschäftsdaten | Vertragserfüllung — Art. 6 Abs. 1 lit. b DSGVO |
| Durchführung von Arena-Präferenzvergleichen und Verbesserung der Ranking-Qualität | Arena-Abstimmungen, Kontokennung, zugehörige Produkt-/Bild-IDs, Zeitstempel | Vertragserfüllung — Art. 6 Abs. 1 lit. b DSGVO |
| Zahlungsabwicklung und Abonnementverwaltung | Zahlungsdaten, Abonnementdetails | Vertragserfüllung — Art. 6 Abs. 1 lit. b DSGVO |
| Spam- und Bot-Prävention bei der Registrierung | E-Mail, IP, Qualitätsbewertungen | Berechtigtes Interesse — Art. 6 Abs. 1 lit. f DSGVO |
| Versand transaktionaler E-Mails (Kontobestätigungen, Abonnement-Updates) | E-Mail, Vorname, Abonnementdaten | Vertragserfüllung — Art. 6 Abs. 1 lit. b DSGVO |
| Versand von Produkt-Update- und Marketing-E-Mails | E-Mail, Vorname | Einwilligung — Art. 6 Abs. 1 lit. a DSGVO |
| Analyse und Verbesserung der Dienste | Nutzungsdaten, Gerätedaten, anonymisierte Interaktionen | Berechtigtes Interesse — Art. 6 Abs. 1 lit. f DSGVO |
| Conversion-Tracking und Werbeoptimierung | Gehashte Nutzerkennungen, Kaufereignisse | Einwilligung — Art. 6 Abs. 1 lit. a DSGVO |
| Fehlerüberwachung und Fehlerbehebung | Gerätedaten, IP, Fehlerprotokolle | Berechtigtes Interesse — Art. 6 Abs. 1 lit. f DSGVO |
| Erfüllung gesetzlicher Pflichten (Steuern, Buchhaltung) | Zahlungs- und Abonnementunterlagen | Rechtliche Verpflichtung — Art. 6 Abs. 1 lit. c DSGVO |
6. Verarbeitung durch KI
6.1. Wenn Sie unsere KI-gestützten Funktionen nutzen (Bildgenerierung, Bewertungsanalyse, KI-Agenten-Chat), werden Ihre Eingaben — einschließlich Produkttitel, Beschreibungen, Bilder, Kundenbewertungen und Prompts — zur Verarbeitung an dritte KI-Dienstleister übermittelt.
6.2. KI-Dienstleister. Wir verarbeiten KI-Anfragen über direkte First-Party-Schnittstellen (APIs) und, sofern der Anbieter dies anbietet, über datenschutzfreundlichere höhere Tarifstufen. Die von uns eingesetzten, namentlich genannten Anbieter von Sprach- und Bildmodellen sind:
| Anbieter | Dienst | Übermittelte Daten |
|---|---|---|
| Google (Gemini) | Bildgenerierung, Textanalyse, KI-Chat-Agent | Produktdaten, Bewertungstexte, Bilder, Prompts, Chatnachrichten |
| OpenAI | Textanalyse, KI-Chat-Agent, Bildgenerierung | Produktdaten, Bewertungstexte, Bilder, Prompts, Chatnachrichten |
| Anthropic | Textanalyse, KI-Chat-Agent | Produktdaten, Bewertungstexte, Prompts, Chatnachrichten |
6.3. Spezialisierte Bild-Subauftragsverarbeiter. Zusätzlich zu den vorstehenden Modellanbietern setzen wir spezialisierte Subauftragsverarbeiter für Bildgenerierung und Bildbearbeitung ein, um Bearbeitungs-, Hochskalierungs- und verwandte Bildfunktionen bereitzustellen. Wir geben diese hier kategorisch an, wie es Art. 13 Abs. 1 lit. e DSGVO erlaubt ("Empfänger oder Kategorien von Empfängern"). Die vollständige Liste der namentlich genannten Subauftragsverarbeiter stellen wir Geschäfts- und Enterprise-Kunden auf Anfrage zur Verfügung; die konkreten Subauftragsverarbeiter benennen wir zudem jeder betroffenen Person, die einen Auskunftsantrag nach Art. 15 DSGVO an legal@scalable.so richtet.
6.4. Kein Modelltraining. Wir verwenden Ihre Daten nicht, um KI-Modelle zu trainieren oder zu optimieren (Fine-Tuning). Ihre Inhalte werden ausschließlich zur Erzeugung der angeforderten Ausgabe verarbeitet und von den KI-Anbietern nur so lange gespeichert, wie es zur Bereitstellung dieser Ausgabe erforderlich ist und wie es unsere Verträge mit diesen Anbietern regeln. Wo Anbieter Modi ohne oder mit begrenzter Speicherung anbieten, nutzen wir diese. Einzelne Anbieter können verpflichtet sein, begrenzte Protokolle vorübergehend zur Erfüllung eigener gesetzlicher Pflichten aufzubewahren.
6.5. KI-generierte Ausgaben können in Ihrem Konto gespeichert werden, damit Sie weiterhin darauf zugreifen und sie nutzen können.
6.6. KI-Transparenz (KI-Verordnung der EU). Soweit nach Artikel 50 der Verordnung (EU) 2024/1689 (KI-Verordnung) erforderlich, können KI-generierte Ausgaben als künstlich erzeugt gekennzeichnet werden.
7. Dritte Dienstleister (Auftragsverarbeiter)
Wir geben personenbezogene Daten an die folgenden Dienstleister weiter, die diese in unserem Auftrag auf Grundlage von Auftragsverarbeitungsverträgen verarbeiten. Der Übermittlungsmechanismus für Anbieter außerhalb der EU/des EWR ist in Abschnitt 9 dargestellt.
| Anbieter | Zweck | Geteilte Daten | Standort | Übermittlungsmechanismus |
|---|---|---|---|---|
| Supabase | Datenbank-Hosting, Authentifizierung, Dateispeicher | Alle Konto- und Produktdaten, hochgeladene Bilder | EU (Frankfurt) | EU-Hosting (keine Drittlandübermittlung) |
| Stripe | Zahlungsabwicklung | E-Mail, Abrechnungsdaten, Abonnementdaten | USA | EU-US Data Privacy Framework |
| Vercel | Anwendungs-Hosting | IP-Adresse, Anfragedaten | USA / globales CDN | EU-US Data Privacy Framework |
| Mixpanel | Produktanalyse | Nutzer-ID, Nutzungsereignisse, Gerätedaten, IP | EU (EU-Datenresidenz) | EU-Datenresidenz |
| Loops | E-Mail-Marketing und transaktionale E-Mails | E-Mail, Name, Abonnementstatus, Geschäftsdaten | USA | Standardvertragsklauseln |
| Meta | Conversion-Tracking | Gehashte Nutzer-ID, Kaufereignisse (keine Klardaten) | USA | EU-US Data Privacy Framework |
| Werbung und Conversion-Tracking | Gehashte Nutzer-ID, Conversion-Ereignisse | USA | EU-US Data Privacy Framework | |
| Google Ads | Werbung und Conversion-Tracking | Gehashte Nutzer-ID, Conversion-Ereignisse | USA | EU-US Data Privacy Framework |
| Sentry | Fehlerüberwachung | IP-Adresse, Gerätedaten, Fehlerprotokolle (Text und Medien maskiert) | USA | Standardvertragsklauseln |
| Google (Gemini) | KI-Sprach- und Bildverarbeitung | Produktdaten, Bewertungstexte, Bilder, Prompts, Chatnachrichten | EU / USA | EU-US Data Privacy Framework |
| Google Workspace | Interner Betrieb (E-Mail, Dokumente, Zusammenarbeit) | Beiläufige Kontaktdaten in Support- und Geschäftskommunikation | EU / USA | EU-US Data Privacy Framework |
| OpenAI | KI-Sprach- und Bildverarbeitung | Produktdaten, Bewertungstexte, Bilder, Prompts, Chatnachrichten | USA | Standardvertragsklauseln + Transfer-Folgenabschätzung |
| Anthropic | KI-Sprachverarbeitung | Produktdaten, Bewertungstexte, Prompts, Chatnachrichten | USA | Standardvertragsklauseln + Transfer-Folgenabschätzung |
| Spezialisierte Bild-Subauftragsverarbeiter | KI-Bildgenerierung, -bearbeitung, -hochskalierung | Bilder, Prompts, Bildparameter | Außerhalb EU/EWR | Standardvertragsklauseln + Transfer-Folgenabschätzung |
| Slack | Interne Teamkommunikation | Begrenzte intern referenzierte Konto- und Supportdaten | USA | EU-US Data Privacy Framework |
Darüber hinaus setzen wir Instantly ausschließlich für ausgehende Akquise-E-Mails ein. Dabei werden lediglich Kontaktdaten von Interessenten verarbeitet, nicht jedoch personenbezogene Daten unserer Kunden oder registrierten Kontoinhaber; die Verarbeitung erfolgt auf Grundlage von Standardvertragsklauseln.
Die vollständige Liste der namentlich genannten Auftragsverarbeiter, einschließlich der oben genannten spezialisierten Bild-Subauftragsverarbeiter, stellen wir Geschäfts- und Enterprise-Kunden auf Anfrage sowie jeder betroffenen Person auf Auskunftsantrag nach Art. 15 DSGVO zur Verfügung.
Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte.
8. Cookies und Tracking-Technologien
Die Speicherung von Informationen auf Ihrem Endgerät bzw. der Zugriff auf bereits gespeicherte Informationen richtet sich nach § 25 TDDDG. Nicht notwendige Speicher- und Zugriffsvorgänge (Analyse, Werbung) erfordern Ihre vorherige Einwilligung; unbedingt erforderliche Funktionen sind nach § 25 Abs. 2 TDDDG einwilligungsfrei.
8.1. Arten von Cookies
| Cookie/Technologie | Zweck | Art | Dauer |
|---|---|---|---|
| Supabase Auth | Sitzungsverwaltung und Authentifizierung | Notwendig | Sitzung |
| Mixpanel Anonymous ID | Analyse-Tracking über Sitzungen hinweg | Analyse | Persistent |
| Meta Pixel | Conversion-Tracking und Werbeoptimierung | Marketing | Persistent |
| LinkedIn Insight Tag | Conversion-Tracking und Werbeoptimierung | Marketing | Persistent |
| Sentry | Fehler-Tracking und Leistungsüberwachung | Funktional | Sitzung |
| Vercel Web Analytics | Aggregierte Seitenaufruf- und Traffic-Analyse | Analyse | Cookielos |
| Vercel Speed Insights | Core Web Vitals und Leistungsüberwachung | Funktional | Cookielos |
8.2. Notwendige Cookies
Notwendige Cookies sind für das Funktionieren der Dienste erforderlich und nach § 25 Abs. 2 TDDDG einwilligungsfrei. Hierzu zählen Authentifizierungs- und Sitzungscookies sowie die Speicherung Ihrer Cookie-Einwilligungsentscheidung.
8.3. Analyse- und Marketing-Cookies
Analyse-Technologien (Mixpanel) und Marketing-Technologien (Meta Pixel, LinkedIn Insight Tag) speichern Informationen auf Ihrem Endgerät oder greifen auf solche zu. Sie werden erst nach und auf Grundlage Ihrer vorherigen Einwilligung gemäß § 25 TDDDG und Art. 6 Abs. 1 lit. a DSGVO gesetzt, die Sie gleichrangig erteilen oder ablehnen und jederzeit über unsere Cookie-Einstellungen widerrufen können. Vor Ihrer Einwilligung wird nichts Nicht-Notwendiges geladen.
Vercel Web Analytics und Vercel Speed Insights sind cookielos: Sie speichern nichts auf Ihrem Endgerät und greifen nicht darauf zu und erheben ausschließlich aggregierte, nicht identifizierende Seitenleistungs- und Traffic-Daten. Sie erfordern daher keine Einwilligung nach § 25 TDDDG; Speed Insights wird auf Grundlage unseres berechtigten Interesses an der Zuverlässigkeit der Dienste verarbeitet (Art. 6 Abs. 1 lit. f DSGVO).
8.4. Verwaltung von Cookies
Sie können Ihre Cookie-Einstellungen jederzeit über unsere Cookie-Einstellungen verwalten; der Widerruf der Einwilligung ist so einfach wie deren Erteilung. Sie können Cookies auch über Ihre Browser-Einstellungen verwalten. Bitte beachten Sie, dass das Deaktivieren notwendiger Cookies dazu führen kann, dass die Dienste nicht ordnungsgemäß funktionieren.
9. Internationale Datenübermittlungen
Einige unserer Dienstleister befinden sich außerhalb des Europäischen Wirtschaftsraums (EWR), vorwiegend in den Vereinigten Staaten. Soweit personenbezogene Daten außerhalb des EWR übermittelt werden, stellen wir geeignete Garantien nach Kapitel V der DSGVO sicher:
- EU-US Data Privacy Framework (DPF): Für Anbieter, die unter dem EU-US Data Privacy Framework zertifiziert sind — darunter Google, Stripe, Vercel, Meta, LinkedIn und Slack — erfolgt die Übermittlung auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission vom 10. Juli 2023. Als Vorsichtsmaßnahme unterhalten wir mit diesen Anbietern zusätzlich EU-Standardvertragsklauseln als ergänzende Garantie.
- Standardvertragsklauseln (SCCs): Für Anbieter, die nicht unter dem DPF zertifiziert sind — darunter OpenAI, Anthropic, Loops, Sentry, unsere spezialisierten Bild-Subauftragsverarbeiter und Instantly — erfolgt die Übermittlung auf Grundlage der EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission). Für OpenAI, Anthropic und die spezialisierten Bild-Subauftragsverarbeiter haben wir zusätzlich eine Transfer-Folgenabschätzung durchgeführt und wenden gegebenenfalls ergänzende Maßnahmen an.
- EU-Datenresidenz: Sofern verfügbar, nutzen wir eine Datenverarbeitung innerhalb der EU (zum Beispiel Mixpanel EU-Datenresidenz und Supabase EU-Hosting), sodass für innerhalb der Region verbleibende Daten keine Drittlandübermittlung stattfindet.
Eine Kopie der einschlägigen Garantien können Sie unter legal@scalable.so anfordern.
10. Speicherdauer
Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die in dieser Datenschutzerklärung dargelegten Zwecke erforderlich ist:
| Datenkategorie | Speicherdauer |
|---|---|
| Konto- und Profildaten | Bis zur Kontolöschung |
| Rechnungen und Buchungsbelege | 8 Jahre (§ 257 HGB, § 147 AO, § 14b UStG, in der seit dem 1. Januar 2025 geltenden Fassung) |
| Handelsbücher und Jahresabschlüsse | 10 Jahre (§ 257 HGB, § 147 AO, § 14b UStG) |
| KI-generierte Inhalte | Bis zur Kontolöschung oder manuellen Löschung durch Sie |
| Analysedaten | 24 Monate ab Erhebung |
| Fehlerprotokolle | 90 Tage |
| Marketing-Einwilligungsnachweise | Bis zum Widerruf der Einwilligung zuzüglich 3 Jahre zum Nachweis der Einwilligung |
Gesetzliche Aufbewahrungsfristen können sich verlängern, solange steuerliche Festsetzungsfristen offen bleiben. Nach Ablauf der jeweiligen Aufbewahrungsfrist werden die Daten gelöscht oder anonymisiert (Art. 5 Abs. 1 lit. e DSGVO).
11. Ihre Rechte nach der DSGVO
Nach der DSGVO stehen Ihnen hinsichtlich Ihrer personenbezogenen Daten die folgenden Rechte zu:
| Recht | Beschreibung |
|---|---|
| Auskunft (Art. 15) | Eine Kopie der über Sie gespeicherten personenbezogenen Daten anfordern, einschließlich der konkreten Empfänger Ihrer Daten. |
| Berichtigung (Art. 16) | Berichtigung unrichtiger oder unvollständiger Daten verlangen. |
| Löschung (Art. 17) | Löschung Ihrer personenbezogenen Daten verlangen („Recht auf Vergessenwerden"). |
| Einschränkung (Art. 18) | Unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer Daten verlangen. |
| Datenübertragbarkeit (Art. 20) | Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten. |
| Widerspruch (Art. 21) | Der auf berechtigtem Interesse beruhenden Verarbeitung widersprechen. |
| Widerruf der Einwilligung (Art. 7 Abs. 3) | Eine einwilligungsbasierte Verarbeitung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird. |
Zur Ausübung dieser Rechte kontaktieren Sie uns unter legal@scalable.so. Wir antworten innerhalb eines Monats.
Ihnen steht außerdem das Recht zu, sich bei einer Aufsichtsbehörde zu beschweren. Die für unser Unternehmen zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Lautenschlagerstraße 20, 70173 Stuttgart, Deutschland https://www.baden-wuerttemberg.datenschutz.de
12. Kontolöschung
12.1. Sie können Ihr Konto über die Kontoeinstellungen in den Diensten löschen. Bei der Löschung gilt:
- Ihr Nutzerprofil, Ihre Credits und Rollenzuweisungen werden dauerhaft gelöscht.
- Ihnen gehörende Produkte und zugehörige Verarbeitungsaufträge werden gelöscht.
- Ihr Kontaktdatensatz wird aus unserer E-Mail-Marketing-Plattform (Loops) entfernt.
- Rechnungen, Buchungsbelege und zugehörige Finanzunterlagen werden gesetzlich vorgeschrieben aufbewahrt (siehe Abschnitt 10).
12.2. Die Kontolöschung ist unwiderruflich. Wir empfehlen, alle Inhalte, die Sie behalten möchten, vor der Beantragung der Löschung herunterzuladen.
13. Datensicherheit
Wir treffen geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten (Art. 32 DSGVO), darunter:
- Verschlüsselung der Daten bei der Übertragung (TLS/SSL).
- Row-Level Security (RLS) auf Datenbanktabellen zur Sicherstellung der Datentrennung zwischen Nutzern.
- Sichere Authentifizierung mit gehashten Passwörtern und Magic-Link-Anmeldung.
- Zugriffskontrollen, die den Zugriff von Mitarbeitenden auf personenbezogene Daten beschränken.
- Sentry-Session-Replays, die standardmäßig mit Text- und Medienmaskierung konfiguriert sind.
- Regelmäßige Sicherheitsüberprüfungen.
Keine Methode der Übertragung über das Internet ist zu 100 % sicher. Obwohl wir uns bemühen, Ihre personenbezogenen Daten zu schützen, können wir keine absolute Sicherheit gewährleisten.
14. Datenschutz von Kindern
Die Dienste richten sich an geschäftliche und erwachsene Nutzer und nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass wir Daten eines Kindes unter 16 Jahren erhoben haben, werden wir unverzüglich Maßnahmen zu deren Löschung ergreifen. Wenn Sie der Ansicht sind, dass uns ein Kind personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte unter legal@scalable.so.
15. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder über die Dienste mindestens 30 Tage vor Inkrafttreten der Änderungen.
Die jeweils aktuelle Fassung dieser Datenschutzerklärung ist stets unter https://scalable.so/legal/privacy abrufbar. Bei Fragen zu dieser Datenschutzerklärung erreichen Sie uns unter legal@scalable.so.