Datenschutz.

Informationen nach Art. 13 und 14 DSGVO. Stand: 22.06.2026.

1. Verantwortlicher

Frank van der Sande
Winkelsweg 97
40764 Langenfeld (Rheinland)
E-Mail: support@adstrix.de

2. Worüber dieser Dienst läuft

adstrix ist eine KI-gestützte Werbe-Engine im geschlossenen Pilot-Betrieb. Zugang ausschließlich über persönliche Einladung (kein Self-Signup). Die App nutzt Google Gemini für Analyse und Bildgenerierung und Supabase EU für Authentifizierung und Datenspeicherung.

3. Welche Daten wir verarbeiten

E-Mail-Adresse
Login + Account-Identifikation
Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Pilot-Nutzung)
Passwort (Hash)
Authentifizierung
Art. 6 Abs. 1 lit. b DSGVO
Hochgeladene Logos & Referenzbilder
Ad-Generierung
Art. 6 Abs. 1 lit. b DSGVO
Eingegebene URLs & Briefings
Analyse + Strategie
Art. 6 Abs. 1 lit. b DSGVO
Generierte Ads (Bilder + Texte)
Bereitstellung in deiner Ad-Library
Art. 6 Abs. 1 lit. b DSGVO
Server-Logs (IP, Zeitstempel, User-Agent)
Betrieb, Sicherheit, Rate-Limit-Schutz
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Audit-Log (Login, Generierung, Admin-Aktionen)
Sicherheit + Nachvollziehbarkeit
Art. 6 Abs. 1 lit. f DSGVO

4. Auftragsverarbeiter & Empfänger

Folgende Anbieter verarbeiten Daten in unserem Auftrag (Auftragsverarbeitungsverträge nach Art. 28 DSGVO sind abgeschlossen oder über die jeweiligen Standardklauseln geregelt):

Supabase (Auth + Datenbank + Storage)
Frankfurt, Deutschland (eu-central-1)
Pro-Plan inkl. EU-Hosting, AVV via Supabase DPA
Vercel Inc. (Hosting + Edge-Netzwerk)
USA, mit EU-Regionen aktiv
AVV via Vercel DPA + SCCs
Google LLC (Gemini API für Text- & Bildgenerierung)
USA
DPF-Zertifizierung + SCCs (Fallback) — siehe Abschnitt 5
Replicate Inc. (Gesichter-Tausch auf Anzeigen mit Personen-Referenzen)
USA
SCCs (Replicate DPA) — nur bei expliziter Nutzung der „Echte Gesichter einbauen“-Funktion mit hochgeladenen Personen-Fotos und dokumentierter Einwilligung

5. Übermittlung in Drittländer (USA)

Die Analyse- und Bildgenerierungs-Aufrufe gehen an Google Gemini in den USA. Grundlage ist der EU-US Data Privacy Framework (DPF) nach Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 (Google LLC ist DPF-zertifiziert), ergänzt durch Standard Contractual Clauses (SCCs) als Fallback.

Eine interne Transfer Impact Assessment (TIA) nach EDPB Recommendations 01/2020 wurde durchgeführt und dokumentiert Risikobewertung, technische und organisatorische Maßnahmen sowie das Vorgehen bei einer möglichen Schrems-III-Entscheidung. Auf Anfrage geben wir gerne Einblick.

Hinweis: US-Überwachungsgesetze (FISA 702, EO 12333) können theoretisch Zugriff auf übermittelte Daten ermöglichen. Übermittelt werden ausschließlich die für die Generierung notwendigen Inhalte (URL/Brief, Logo, Referenzbilder, Note). Eingaben sollten keine besonders sensiblen personenbezogenen Daten enthalten.

6. Speicherdauer

Account-Daten (E-Mail, Passwort-Hash)
Bis Account-Löschung
Hochgeladene Logos & Briefings
Bis manuelle Löschung durch dich
Generierte Ads (Library)
Bis manuelle Löschung durch dich
Server-Logs
Maximal 30 Tage rollierend
Audit-Log
12 Monate (Sicherheits-Nachweispflicht)

7. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft über deine bei uns gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Die für dich zuständige Aufsichtsbehörde richtet sich nach deinem Wohnsitz. Eine Übersicht aller deutschen Landesdatenschutzbehörden findest du auf bfdi.bund.de.

8. Cookies & Local Storage

Wir setzen ausschließlich technisch notwendige Cookies und Local-Storage-Einträge, die für den Betrieb der App erforderlich sind (Login-Session, Theme-Präferenz, AI-Disclosure-Bestätigung). Eine Einwilligung nach § 25 Abs. 2 Nr. 2 TDDDG ist hierfür nicht erforderlich. Es findet kein Tracking, keine Werbe-Analytik und keine Drittanbieter-Einbindung zu Marketing-Zwecken statt.

9. KI-generierte Inhalte (EU AI Act Art. 50)

Alle von adstrix generierten Bilder werden sichtbar mit dem Wortmark AI · adstrix markiert und enthalten maschinenlesbare EXIF-Metadaten zur KI-Generierung. Damit wird die Pflicht aus Art. 50 Abs. 2 EU AI Act (anwendbar ab 02.08.2026) erfüllt. Beim Schalten in Werbeplattformen (z. B. Meta Ads Manager) musst du das jeweilige AI-Disclosure-Feld der Plattform zusätzlich setzen — diese Verantwortung liegt bei dir als Werbetreibender.

10. Kontakt für Datenschutz-Anfragen

Anfragen zu deinen Rechten richtest du bitte an support@adstrix.de. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).

Stand: 04.07.2026