Datenschutzerklärung
Informationspflichten gem. Art. 13 / 14 DSGVO und § 25 TDDDG · Stand: 20. Juni 2026
1. Verantwortlicher
2. Überblick
YouNew ist eine kontolose, sitzungsbasierte Web-App. Es gibt keine Nutzerkonten, keine persistenten Profile und keine Gesichtsbilddatenbank. Das Selfie existiert ausschließlich im flüchtigen Arbeitsspeicher während der laufenden Serveranfrage und wird danach verworfen.
| Datenkategorie | Was passiert damit |
|---|---|
| Selfie / Gesichtsbild | Nur im Arbeitsspeicher – verworfen nach Anfrage. Keine Datenbank. |
| Zahlungsdaten | Direkt von Stripe verarbeitet. Wir erhalten keine Karten-/Kontodaten. |
| Sitzungs-ID | Opakes UUID im HTTP-only-Cookie – kein PII. |
| Nutzungsstatistiken | Anonyme Trichterereignisse ohne persistenten Identifikator. |
3. Biometrische Daten / Selfie (Art. 9 DSGVO)
Was wird verarbeitet?
Das von Ihnen hochgeladene Gesichtsbild (Selfie) für die KI-gestützte Farb- und Gesichtsanalyse sowie – nach erfolgter Zahlung – für die Erstellung des »The New You«-Bilds.
Wie wird es verarbeitet?
Das Bild wird ausschließlich im flüchtigen Arbeitsspeicher der Serverinstanz verarbeitet. Es wird weder in einer Datenbank noch in einem Cloud-Speicher abgelegt, nicht geloggt und nicht an Dritte weitergegeben – außer als verschlüsselte API-Anfrage an OpenAI im Rahmen der Verarbeitungsbeauftragung (s. Abschnitt 7).
Rechtsgrundlage
Art. 9 Abs. 2 lit. a DSGVO – ausdrückliche Einwilligung, die vor jeder Verarbeitung eingeholt wird. Die Einwilligung ist freiwillig; ohne sie kann die App-Funktion nicht genutzt werden. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (s. Abschnitt 12). Da das Bild nicht dauerhaft gespeichert wird, hat ein Widerruf nach Abschluss der Sitzung keine praktische Auswirkung mehr auf die bereits abgeschlossene Verarbeitung.
Speicherdauer
Nur während der laufenden Serveranfrage (Sekunden). Danach automatisch verworfen.
4. Sitzungs-Cookie (gt_session)
Wir setzen ein einziges HTTP-only-Cookie namens gt_session mit einer zufällig erzeugten, opaken UUID. Das Cookie enthält keinen Namen, keine E-Mail-Adresse und kein Gerätekennzeichen. Es dient ausschließlich der technischen Sitzungsverwaltung (z. B. Speichern des Bezahlstatus).
| Name | gt_session |
| Inhalt | Opake UUID (kein PII) |
| Lebensdauer | Session (wird beim Schließen des Browsers gelöscht) |
| Flags | HttpOnly, SameSite=Lax, Secure |
| Rechtsgrundlage | § 25 Abs. 2 Nr. 2 TDDDG – technisch notwendig, kein Einwilligungserfordernis |
5. Server-Protokolldateien (Hosting: Vercel)
Beim Aufruf unserer Seiten protokolliert unser Hosting-Anbieter Vercel automatisch: IP-Adresse, Datum und Uhrzeit, angeforderter URL-Pfad, HTTP-Statuscode, Browser-Typ (User-Agent) und Referrer-URL. Diese Daten werden nicht mit anderen Datenquellen zusammengeführt.
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (Sicherheit, Fehlerdiagnose) |
| Speicherdauer | Ca. 30 Tage (Vercel-Richtlinie) |
| Drittland | Vercel Inc., San Francisco, USA – Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) |
6. Zahlungsabwicklung (Stripe)
Bei Kauf des »The New You«-Pakets werden Sie zu Stripe Checkout weitergeleitet. Stripe verarbeitet Ihre Zahlungsdaten unmittelbar. Wir erhalten von Stripe ausschließlich eine Transaktionsreferenz und den Zahlungsstatus – keine Karten- oder Kontodaten.
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Kaufvertrag über digitale Inhalte) |
| Drittland | Stripe Inc., San Francisco, USA – EU-US Data Privacy Framework (DPF) und Standardvertragsklauseln |
| Datenschutz Stripe | stripe.com/de/privacy |
7. Drittanbieter und Drittlandübermittlungen
Folgende Dienstleister verarbeiten Daten in unserem Auftrag oder als eigenständig Verantwortliche. Alle Übermittlungen in Drittländer sind durch geeignete Garantien abgesichert (Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO und / oder EU-US Data Privacy Framework):
| Anbieter | Sitz | Zweck | Datenschutzinfo |
|---|---|---|---|
| OpenAI Inc. | USA | KI-Analyse und Bildgenerierung (Auftragsverarbeiter) | openai.com/policies/privacy |
| Stripe Inc. | USA | Zahlungsabwicklung | stripe.com/de/privacy |
| Vercel Inc. | USA | Hosting und Infrastruktur | vercel.com/legal/privacy-policy |
| PostHog Inc. | USA (EU-Server) | Anonyme Nutzungsanalyse (s. Abschnitt 8) | posthog.com/privacy |
8. Funnel-Analyse (PostHog)
Wir nutzen PostHog (EU-Instanz eu.i.posthog.com) zur anonymen Messung unseres Nutzungstrichters. PostHog empfängt Trichterereignisse wie „Analyse abgeschlossen" oder „Paywall aufgerufen", die keinerlei personenbezogene Inhalte enthalten. Daneben übermittelt Ihr Browser die IP-Adresse und technische Metadaten (Browser-Typ, Bildschirmauflösung).
PostHog wird bei uns ausdrücklich ohne persistenten Identifikator betrieben (persistence: "memory" – kein Cookie, kein localStorage). Sitzungsaufzeichnungen sind deaktiviert. Wir erheben über PostHog keine Namen, E-Mail-Adressen oder sonstige direkt personenbeziehbare Merkmale.
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (anonyme Qualitätsmessung und Fehlerdiagnose) |
| Widerspruch | Jederzeit durch Blockierung der Netzwerkanfrage via Browser-Erweiterung (z. B. uBlock Origin) |
| Serverstandort | EU (Frankfurt) – kein aktiver Drittlandtransfer der Ereignisdaten |
9. Missbrauchsschutz / Rate-Limiting
Um den kostenlosen Analyseendpunkt vor automatisiertem Missbrauch zu schützen, werden IP-Adresse und Sitzungs-ID als Schlüssel in einem Anfragen-Limiter verwendet. Diese Schlüssel werden ausschließlich für diesen Zweck ausgewertet und nicht mit anderen Datenbeständen zusammengeführt.
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (Dienstschutz, faire Nutzung) |
| Speicherdauer | Maximal 24 Stunden (gleitendes Zeitfenster) |
10. E-Mail-Adresse bei Widerruf
Wenn Sie von Ihrem Widerrufsrecht Gebrauch machen, benötigen wir Ihre E-Mail-Adresse, um die gesetzlich vorgeschriebene Widerrufsbestätigung (§ 355 Abs. 1 S. 3 BGB) zu versenden. Die E-Mail-Adresse wird ausschließlich für diesen Zweck verwendet.
| Rechtsgrundlage | Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung |
| Speicherdauer | Bis zur Verjährung von Ansprüchen aus dem Widerruf (in der Regel 3 Jahre) |
11. Einwilligungs-Protokoll
Um die erteilten Einwilligungen nachweisen zu können (Art. 7 Abs. 1 DSGVO), speichern wir pro Sitzung:
- Opake Sitzungs-ID (UUID – kein Name, keine E-Mail, kein Bild)
- Zeitstempel der Einwilligung (ISO 8601)
- Version des Einwilligungstexts
- Stripe-Transaktionsreferenz (nach erfolgtem Kauf)
| Rechtsgrundlage | Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 7 Abs. 1 DSGVO (Nachweispflicht) |
| Speicherdauer | Bis zur Verjährung etwaiger Ansprüche (in der Regel 3 Jahre ab Ende des Vertragsjahres) |
12. Ihre Rechte als betroffene Person
Sie haben folgende Rechte gegenüber uns:
- Auskunft (Art. 15 DSGVO) – welche Daten wir über Sie gespeichert haben.
- Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten.
- Löschung (Art. 17 DSGVO) – Da YouNew kontolos betrieben wird und nach Sitzungsende kein personenbezogener Identifikator mehr vorhanden ist, kann ein Löschersuchen technisch nicht mehr auf bereits verworfene Daten angewendet werden. Daten, die noch in unserem Einwilligungs-Protokoll vorliegen, löschen wir auf Anfrage, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
- Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Datenübertragbarkeit (Art. 20 DSGVO) – für auf Einwilligung oder Vertrag gestützte Verarbeitungen.
- Widerspruch (Art. 21 DSGVO) – gegen auf berechtigtem Interesse beruhende Verarbeitungen (Abschnitte 5, 8, 9).
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – Die Einwilligung in die Verarbeitung biometrischer Daten kann jederzeit widerrufen werden. Da das Selfie nicht dauerhaft gespeichert wird, betrifft ein Widerruf nur künftige Nutzungen.
Anfragen richten Sie bitte an: leon.dedolf.fotografie@gmail.com
13. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für den Freistaat Sachsen zuständig ist:
Sächsischer Datenschutz- und Transparenzbeauftragter
Devrientstraße 5
01067 Dresden
E-Mail: saechsdsb@slt.sachsen.de
Website: www.saechsdsb.de
14. Aktualität dieser Erklärung
Stand: 20. Juni 2026 (Version 2026-06-20-v1). Diese Erklärung wird bei wesentlichen Änderungen der Verarbeitungstätigkeiten oder der Rechtslage aktualisiert. Die jeweils aktuelle Fassung ist unter /datenschutz abrufbar.