← createstudio

Datenschutzerklärung

Stand: Juni 2026 · Gemäß DSGVO (EU) 2016/679

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
Pascal van Tai Röhl, handelnd unter der Geschäftsbezeichnung „createstudio“,
Hohe Liedt 41f, 22417 Hamburg, Deutschland
E-Mail: info@createstudio.me

2. Erhobene Daten und Zwecke

2.1 Nutzerkonto & Authentifizierung

Bei der Registrierung und Nutzung des Dienstes verarbeiten wir: Benutzername, E-Mail-Adresse, verschlüsseltes Passwort (bcrypt), Rolle und Tenant-Zuordnung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 CRM-Daten (Kontakte, Projekte, Rechnungen)

Die von dir im System erfassten Kontakt-, Projekt- und Rechnungsdaten werden ausschließlich für die Erbringung des Dienstes gespeichert und verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.3 Log-Daten

Für Sicherheits- und Betriebszwecke speichern wir Server-Logs (IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Status). Speicherdauer: 30 Tage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

2.4 Cookies & Einwilligungen

Technisch notwendige Session-Cookies werden ohne Einwilligung gesetzt (§ 25 Abs. 2 Nr. 2 TDDDG). Optionale Cookies (Statistik, Marketing) werden nur nach ausdrücklicher Einwilligung aktiviert.
Rechtsgrundlage: § 25 TDDDG, Art. 6 Abs. 1 lit. a DSGVO.

3. Auftragsverarbeiter (Subverarbeiter)

AnbieterZweckSitz / DPA
Amazon Web Services (AWS)Hosting, Datenbank (RDS), Dateispeicher (S3)EU / DPA aktiv
StripeZahlungsabwicklungUSA (SCCs) / DPA aktiv

4. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald sie für den Zweck ihrer Erhebung nicht mehr erforderlich sind, spätestens 30 Tage nach Vertragsende. Gesetzliche Aufbewahrungspflichten (z.B. Rechnungen: 10 Jahre gemäß § 147 AO) bleiben unberührt.

5. Betroffenenrechte

Du hast das Recht auf:

  • Auskunft (Art. 15 DSGVO) über deine gespeicherten Daten
  • Berichtigung (Art. 16 DSGVO) unrichtiger Daten
  • Löschung (Art. 17 DSGVO) — Anfrage an info@createstudio.me
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Beschwerde bei der zuständigen Aufsichtsbehörde: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), datenschutz-hamburg.de

6. Datensicherheit

Die Übertragung erfolgt ausschließlich über TLS-verschlüsselte Verbindungen (HTTPS). Datenbanken und Dateispeicher sind durch AWS-Sicherheitsmaßnahmen (VPC, IAM, Encryption at Rest) geschützt. Passwörter werden mit bcrypt gehasht und nie im Klartext gespeichert. Sensible Integrations- und Zugriffstokens werden serverseitig verschlüsselt gespeichert, sobald der Produktionsschlüssel konfiguriert ist, und in Oberflächen nur maskiert angezeigt.

7. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen des Dienstes oder der Rechtslage anzupassen. Die aktuelle Version ist stets unter /datenschutz abrufbar.