Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Marvin Wetterau
Boyneburgufer 8
99089 Erfurt
Deutschland
E-Mail: support@instant-reels.app

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO) oder weil die Verarbeitung zur Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO), zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) oder zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) erforderlich ist.

3. Hosting und Bereitstellung der Website

Frontend: Unser Frontend wird von Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Beim Aufruf der Seite werden technisch notwendige Verbindungsdaten (IP-Adresse, User-Agent, Zeitstempel, angefragte URL) verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und performanten Bereitstellung).

Backend: Unsere API-Server sowie die Datenbank werden bei Railway Corp. (548 Market St, PMB 87879, San Francisco, CA 94104, USA) betrieben. Der Datenbank-Standort ist innerhalb der EU (Region Frankfurt/EU-West).

Mit beiden Anbietern wurden Auftragsverarbeitungsverträge (Art. 28 DSGVO) geschlossen. Die Datenübertragung in die USA erfolgt auf Basis der Standardvertragsklauseln der EU-Kommission sowie ggf. gestützt auf das EU-US Data Privacy Framework.

4. Nutzerkonto und Registrierung

Für die Nutzung von InstantReels ist eine Registrierung erforderlich. Wir erheben dabei:

• E-Mail-Adresse
• Passwort (als HMAC-SHA256-Hash gespeichert, nie im Klartext)
• Browser-Fingerprint zur Missbrauchs­prävention
• IP-Adresse bei Registrierung
• Zeitstempel von Registrierung und letztem Login

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Zur Verhinderung von Mehrfachanmeldungen und Trial-Missbrauch wird ein Browser-Fingerprint sowie die Registrierungs-IP gespeichert (Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an Betrugsprävention).

5. E-Mail-Verifizierung und Kommunikation

Nach der Registrierung senden wir einen 6-stelligen Verifizierungscode an die angegebene E-Mail-Adresse. Ohne erfolgreiche Verifizierung kann der Dienst nicht genutzt werden. Zusätzlich versenden wir:

• Willkommens-E-Mail nach erfolgreicher Verifizierung
• Abo-Bestätigungen bzw. -Kündigungen
• Passwort-Zurücksetzen-E-Mails auf Anfrage
• Wöchentlichen Performance-Report (nur bei bezahlten Abos, jederzeit deaktivierbar)
• Support-Antworten auf Anfragen

Der E-Mail-Versand erfolgt über Resend, Inc. (2261 Market Street #5039, San Francisco, CA 94114, USA). Server-Region ist Irland (eu-west-1). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nutzerkommunikation).

6. Login mit Google (OAuth)

Optional können Sie sich über ein Google-Konto anmelden („Sign in with Google“). Dabei übermittelt Google uns Ihre E-Mail-Adresse, Ihren Namen und eine eindeutige Google-Nutzer-ID. Weitere Daten werden nicht übertragen.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO durch Auswahl der Login-Option. Details in Googles Datenschutzerklärung: https://policies.google.com/privacy.

7. Zahlungsabwicklung (Stripe)

Die Zahlungsabwicklung erfolgt ausschließlich über Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Bei Abschluss eines kostenpflichtigen Abos werden folgende Daten an Stripe übermittelt:

• E-Mail-Adresse
• Name (falls bei Stripe angegeben)
• Zahlungsinformationen (Kreditkarte, SEPA, Apple Pay, Google Pay)
• Rechnungsadresse (optional)
• Eine eindeutige User-ID zur Zuordnung des Abos

Wir selbst erhalten und speichern keine vollständigen Kreditkartendaten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Stripes Datenschutzerklärung: https://stripe.com/de/privacy.

8. KI-gestützte Video-Generierung (OpenAI)

Zur Generierung von Videoskripten, Bildern und Transkripten nutzen wir Dienste der OpenAI, L.L.C. (3180 18th Street, San Francisco, CA 94110, USA). Dabei werden folgende Daten übermittelt:

• Die vom Nutzer konfigurierten Serien-Themen, Stile und Voice-Einstellungen
• Generierte Zwischenergebnisse (Skripte, Szenen-Prompts, Audio für Whisper-Alignment)
• Keine personenbezogenen Daten des Nutzerkontos wie Name oder E-Mail

OpenAI verarbeitet die Daten nach eigenen Angaben nicht zu Trainingszwecken, wenn die API genutzt wird (Stand 2026). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutzerklärung: https://openai.com/de-DE/policies/privacy-policy.

9. Social-Media-Uploads (optional)

Nutzer können optional Accounts bei TikTok, Instagram und YouTube verbinden, um generierte Videos direkt hochzuladen. Erst nach expliziter Verbindung werden Zugriffstoken (OAuth 2.0) an uns übermittelt. Diese Token werden AES-verschlüsselt in unserer Datenbank gespeichert.

• TikTok: TikTok Technology Limited, 10 Earlsfort Terrace, Dublin 2, Irland. Datenschutzerklärung: tiktok.com/legal/privacy-policy-eea
• Instagram / Meta: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland. Datenschutzerklärung: privacycenter.instagram.com/policy
• YouTube: Google Ireland Limited (Anschrift wie oben). Datenschutzerklärung: policies.google.com/privacy

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch explizite Account-Verbindung) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Verbindung kann jederzeit unter „Social Accounts“ widerrufen und die gespeicherten Token gelöscht werden.

10. Performance-Messung (Vercel Speed Insights)

Auf unserer Website setzen wir Vercel Speed Insights ein, um Ladezeiten und technische Performance-Metriken (Core Web Vitals) zu messen. Erfasst werden anonymisierte Metriken wie LCP, FID, CLS sowie User-Agent-Informationen. Es werden keine personenbezogenen Profile erstellt und keine Cross-Site-Tracking-Cookies gesetzt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technischer Qualität).

11. Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Cookies ein, insbesondere:

• session_id – HMAC-signierter Session-Cookie nach Login (HttpOnly, Secure, SameSite=None)
• OAuth-State-Cookies – kurzlebige Cookies für OAuth-Flows (Google, TikTok, YouTube, Instagram)
• Referral-Cookie – bei Nutzung eines Affiliate-Links, 30 Tage Laufzeit
• LocalStorage – Sprach-Einstellung (DE/EN) und Referral-Code

Diese Cookies und Speicherformen sind für die Funktion der Seite zwingend erforderlich und fallen unter § 25 Abs. 2 Nr. 2 TTDSG (keine Einwilligungspflicht). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

12. Affiliate-Programm

Wir betreiben ein Affiliate-Programm mit einer 30-%-Lifetime-Provision. Bei Zustimmung durch Klick auf einen Affiliate-Link („?ref=xxx“) wird der Referral-Code für 30 Tage in einem Cookie gespeichert. Bei einer Registrierung innerhalb dieses Zeitraums wird der werbende Nutzer als Affiliate hinterlegt, um bei zukünftigen Zahlungen Provision zuordnen zu können. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

13. Server-Logs

Bei jedem Zugriff auf unseren Server werden anonymisierte Log-Daten gespeichert (IP-Adresse, Zeitpunkt, HTTP-Methode, Pfad, Antwort-Status, User-Agent). Diese Logs dienen der Sicherstellung des stabilen Betriebs, der Fehlersuche und der Abwehr von Angriffen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die Logs werden nach spätestens 30 Tagen gelöscht, sofern nicht ein konkreter Sicherheitsvorfall eine längere Aufbewahrung erfordert.

14. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder eine gesetzliche Aufbewahrungspflicht besteht (z. B. 10 Jahre für Rechnungen gemäß § 147 AO). Nutzerkonten werden nach Account-Löschung inklusive aller zugehörigen Serien, Jobs und Uploads vollständig gelöscht (Cascade-Delete). Stripe-Zahlungsbelege werden für die steuerlich vorgeschriebene Aufbewahrungsfrist beibehalten.

15. Ihre Rechte als betroffene Person

Sie haben gegenüber uns jederzeit folgende Rechte:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch (Art. 21 DSGVO)
• Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
• Recht auf Beschwerde bei einer Aufsichtsbehörde – in Thüringen beim Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an support@instant-reels.app.

16. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre Daten vor Verlust, Missbrauch und unberechtigtem Zugriff zu schützen. Die Übertragung aller Daten erfolgt ausschließlich TLS-verschlüsselt (HTTPS). Zugriffstoken für Social-Media-Plattformen werden AES-verschlüsselt gespeichert. Passwörter werden ausschließlich als HMAC-SHA256-Hash abgelegt.

17. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO, die rechtliche Wirkung entfaltet oder Sie in vergleichbarer Weise beeinträchtigt, findet nicht statt.

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um aktuellen rechtlichen Anforderungen zu entsprechen oder Änderungen unserer Leistungen umzusetzen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar.