Datenschutzerklärung

Informationen gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) · Version 1.0 · Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und weiterer nationaler Datenschutzgesetze ist:

Timur Kalender
Einzelunternehmer, handelnd unter der Bezeichnung „BasedPanel"
c/o COCENTER
Koppoldstr. 1
86551 Aichach, Deutschland
E-Mail: contact@basedpanel.de

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich.

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, E-Mail-Adresse, IP-Adresse).

Rechtsgrundlagen der Verarbeitung sind insbesondere:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Art. 6 Abs. 1 lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahmen)
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — z. B. § 147 AO, § 257 HGB)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)

3. Rechte der betroffenen Personen

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO) über die bei uns gespeicherten Daten
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an contact@basedpanel.de. Beschwerde können Sie u. a. bei der für den Verantwortlichen zuständigen Aufsichtsbehörde einlegen.

4. Server-Logs & Hosting (Hetzner)

Die Website und der Dienst werden gehostet bei der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland. Die Verarbeitung erfolgt ausschließlich auf Servern in Deutschland. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO).

Der Provider erhebt automatisch Informationen in sog. Server-Log-Dateien:

• IP-Adresse (anonymisiert bzw. nach max. 30 Tagen gelöscht)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL / HTTP-Status / übertragene Datenmenge
• Referrer-URL
• Browsertyp, Browserversion, Betriebssystem, Sprache

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technisch fehlerfreiem Betrieb, Sicherheit, Angriffsabwehr). Speicherdauer: max. 30 Tage. Diese Daten werden nicht mit anderen Datenquellen zusammengeführt.

5. Cookies & lokale Speicherung

BasedPanel verwendet ausschließlich technisch notwendige Cookies und Speichermechanismen. Ein Cookie-Banner ist daher nach § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich:

• Session-Cookie (Flask-Session) — zur Authentifizierung eingeloggter Nutzer, verschlüsselt und HTTP-only
• CSRF-Token — Schutz vor Cross-Site-Request-Forgery
• localStorage — Benutzereinstellungen (Sprache, Sidebar, Darkmode, ausgewählter Creator-Kontext)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und § 25 Abs. 2 Nr. 2 TTDSG. Session-Cookies werden beim Logout bzw. nach Ablauf der Session-Dauer gelöscht.

6. Registrierung & Nutzerkonto

Bei der Registrierung erheben wir folgende Daten:

• E-Mail-Adresse
• Passwort (gehasht gespeichert, Bcrypt)
• Vor-/Nachname (bzw. Ansprechpartner)
• Agenturname
• WhatsApp- und Telegram-Kontakt (zur Support-Erreichbarkeit)
• Ungefähre Anzahl verwalteter Creator (Selbstangabe)
• Zeitpunkt von Registrierung, Login, letzter Aktivität
• IP-Adresse und User-Agent der Registrierung (Missbrauchsprävention)
• Zustimmung zu AGB und Datenschutz (Zeitstempel und Version)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsprävention). Die Daten werden für die Dauer des Nutzerkontos und anschließend bis zum Ablauf etwaiger gesetzlicher Aufbewahrungsfristen gespeichert (siehe Abschnitt 19).

7. Kontaktaufnahme (E-Mail, WhatsApp, Telegram)

Nehmen Sie per E-Mail, über das Kontaktformular oder über die im Impressum / in der Registrierung angegebenen Messenger (WhatsApp, Telegram) Kontakt mit uns auf, werden die übermittelten Daten (insbesondere Name, Kontaktdaten, Nachrichteninhalt) zum Zweck der Bearbeitung der Anfrage gespeichert.

Hinweis zu WhatsApp und Telegram: Bei diesen Messengern handelt es sich um Drittanbieter (WhatsApp Ireland Ltd. / Telegram FZ-LLC, Dubai), deren Serverstandorte teilweise außerhalb der EU liegen. Mit Ihrer aktiven Kontaktaufnahme über diese Kanäle willigen Sie in diese Datenübermittlung ein (Art. 6 Abs. 1 lit. a, Art. 49 Abs. 1 lit. a DSGVO). Sie können alternativ jederzeit per E-Mail Kontakt aufnehmen.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich), Art. 6 Abs. 1 lit. f DSGVO (Bearbeitung der Anfrage).

8. Nutzung der BasedPanel-Plattform

BasedPanel ist ein Tool zur Verwaltung von Creator-Accounts auf der Drittplattform 4Based. Im Rahmen der Nutzung verarbeiten wir folgende Daten:

• 4Based-Zugangsdaten (Auth-Tokens) — verschlüsselt gespeichert mittels Fernet (AES-128-CBC + HMAC)
• Creator-Profile, Profilbilder, Statistiken
• Chat-Nachrichten (Inhalte sind von 4Based bereitgestellt und zwischengespeichert)
• Abonnent:innen- und Fan-Daten der verwalteten Creator (wie von 4Based bereitgestellt)
• Team-Mitglieder und Rollen Ihrer Agentur (Name, E-Mail, Rolle, Berechtigungen)
• Schichtpläne, Message-Tracking, Umsatz-Snapshots, KPI-Statistiken
• Auto-Post-Warteschlangen, Mass-DM-Kampagnen, Übersetzungs-Historie
• Notifications-Counter, Ungelesen-Zähler, Push-Events aus dem 4Based-Socket

Multi-Tenancy: Jede Agentur sieht ausschließlich ihre eigenen Daten; technische Trennung erfolgt durchgehend per agency_id-Filter.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 28 DSGVO (Auftragsverarbeitung; AVV liegt unter /avv).

9. 4Based-Integration & Echtzeit-Socket

BasedPanel verbindet sich im Auftrag des Kunden mit der REST-API (rest.4based.com) und dem Echtzeit-Socket (socket.4based.com) der 4Based-Plattform, um Chats, Aktivitäten und Umsätze synchron zu halten. Hierbei werden die vom Kunden hinterlegten Creator-Credentials (Auth-Token) an 4Based übermittelt.

4Based ist ein unabhängiger Dritter. Für die Datenverarbeitung auf Seiten von 4Based gilt deren eigene Datenschutzerklärung. Kunden nutzen BasedPanel in eigener Verantwortung und bestätigen, dass sie berechtigt sind, die verwalteten Creator-Accounts über Drittwerkzeuge anzubinden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 28 DSGVO.

10. Zahlungsabwicklung (Stripe)

Für die Abwicklung kostenpflichtiger Abos nutzen wir Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Bei einem Kauf werden Zahlungs- und Abrechnungsdaten (Name, Adresse, E-Mail, Zahlungsmittel) direkt an Stripe übermittelt. Wir selbst erhalten keine vollständigen Kreditkartendaten, sondern nur Abrechnungsstatus und Zahlungs-IDs.

Stripe ist zertifiziert nach PCI-DSS. Übermittlungen in die USA werden durch Stripes EU-Standardvertragsklauseln abgesichert. Datenschutzerklärung: stripe.com/de/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

11. E-Mail-Versand (Resend)

Transaktions-Mails (Willkommensmail, E-Mail-Bestätigung, Passwort-Reset, Einladungen, Rechnungsbenachrichtigungen) werden über den Dienst Resend (Resend, Inc., San Francisco, USA) versendet. Übertragen werden E-Mail-Adresse, Name und Inhalt der Mail.

Der Drittlandtransfer in die USA ist über Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und ergänzende Schutzmaßnahmen (TLS, Auth-DKIM, SPF, DMARC für basedpanel.de) abgesichert. Datenschutzerklärung: resend.com/legal/privacy-policy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO.

12. Übersetzung (DeepL)

Für die In-App-Übersetzungsfunktion nutzen wir die DeepL API der DeepL SE, Maarweg 165, 50825 Köln, Deutschland. Zu übersetzende Texte (Chat-Inhalte, Vorlagen) werden zur Übersetzung an DeepL übermittelt. DeepL versichert vertraglich, Texte aus dem API-Pro-Zugang nicht dauerhaft zu speichern oder für Trainingszwecke zu nutzen.

Datenschutz: deepl.com/de/privacy. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

13. Google Fonts

Unsere Website bindet auf der öffentlichen Startseite und einzelnen Marketing-Seiten Schriftarten von Google Fonts (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) ein. Beim Aufruf wird Ihre IP-Adresse an Google übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (einheitliche Darstellung der Inhalte). Weitere Infos: policies.google.com/privacy.

14. Desktop-App & Geräte-Bindung

BasedPanel wird zusätzlich als Desktop-Anwendung (Electron) für macOS und Windows angeboten. Zur Missbrauchsvermeidung (ein Account = ein Gerät) wird beim ersten Login einer Desktop-App ein pseudonymer Hardware-Identifier (Geräte-Hash) erzeugt und dem Benutzerkonto zugeordnet. Gespeichert werden:

• Hardware-Hash (SHA-256, nicht re-identifizierbar ohne physischen Zugriff auf das Gerät)
• App-Version
• Zeitpunkt Registrierung / letzter Aktivität

Jede Anfrage der Desktop-App ist HMAC-signiert. Der Hardware-Hash selbst enthält keine Klartext-Seriennummern. Auf Wunsch kann die Gerätebindung per Support-Anfrage zurückgesetzt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Lizenzmissbrauch).

15. Administrativer Zugriff / Impersonation

Für Support, Missbrauchsbearbeitung und technische Fehleranalyse betreiben wir ein internes Administrations-Portal (admin.basedpanel.de). Administratoren können im gesetzlich zulässigen und technisch notwendigen Umfang:

• Konten einsehen, sperren, umbenennen, freischalten
• Zur Fehlerbehebung temporär in ein Nutzerkonto wechseln („Impersonation"). Jeder Impersonation-Vorgang ist zeitlich limitiert (Einmal-Token, 60 Sekunden Gültigkeit) und wird revisionssicher im Audit-Log gespeichert (Zeitstempel, Admin-Kennung, Ziel-Konto, Dauer).
• Abrechnungsvorgänge, Rückerstattungen und Lizenzen bearbeiten

Auf Nachfrage erhalten Kunden Auskunft, ob und wann ein Impersonation-Zugriff auf ihr Konto stattgefunden hat. Inhaltliche Aktionen im Kundenkonto werden nur mit ausdrücklicher Absprache bzw. zur Abwehr akuter Störungen durchgeführt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Support), Art. 6 Abs. 1 lit. f DSGVO (Betriebssicherheit).

16. Datensicherung (Backups)

Zur Sicherstellung der Betriebskontinuität fertigen wir täglich automatische Datenbanksicherungen an. Backups werden verschlüsselt auf demselben Rechenzentrumsstandort (Hetzner, Deutschland) gespeichert und nach spätestens 7 Tagen automatisch gelöscht (bzw. 30 Tage für manuelle Pre-Deploy-Snapshots). Ein Wiederherstellungs-Restore umfasst stets die vollständige Multi-Tenant-Datenbank.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Betriebssicherheit, Ausfallschutz).

17. Tracking der Registrierung

Für die technische Fehleranalyse und Conversion-Messung speichern wir zu Registrierungen und Abbrüchen folgende Ereignisse: Formular-Start, abgesendetes Formular, Fehler, erfolgreiche Registrierung. Erfasst werden IP-Adresse, User-Agent und Referrer. Die Daten werden nach 180 Tagen gelöscht und nicht an Dritte übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Produktverbesserung, Missbrauchsvermeidung).

18. Auftragsverarbeiter & Übermittlung in Drittländer

Folgende Dienstleister verarbeiten in unserem Auftrag personenbezogene Daten:

Dienst	Zweck	Sitz	Absicherung
Hetzner Online GmbH	Hosting, Server-Logs, Backups	Deutschland	AVV, EU-DSGVO
Stripe Payments Europe, Ltd.	Zahlungsabwicklung	Irland (Mutterkonzern USA)	AVV, EU-SCC, PCI-DSS
Resend, Inc.	Transaktions-E-Mails	USA	DPA, EU-Standardvertragsklauseln, TLS/DKIM
DeepL SE	Textübersetzung (API Pro)	Deutschland	AVV, EU-DSGVO
Google Ireland Ltd.	Google Fonts (nur Marketing-Seiten)	Irland (Mutterkonzern USA)	EU-SCC, DPF-zertifiziert
4Based	Creator-Plattform-Integration (auf Weisung des Kunden)	Drittland	Nutzung auf eigene Veranlassung des Kunden; Einwilligung gem. Art. 49 Abs. 1 DSGVO

Soweit Daten in ein Drittland übermittelt werden, erfolgt dies auf Grundlage von EU-Standardvertragsklauseln (Art. 46 DSGVO) bzw. einer ausdrücklichen Einwilligung (Art. 49 Abs. 1 lit. a DSGVO). Ein ausführlicher Auftragsverarbeitungsvertrag für Kunden (Art. 28 DSGVO) findet sich unter /avv.

19. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist:

• Nutzerkonto-Daten: für die Dauer des Vertrags; Löschung innerhalb von 30 Tagen nach Kündigung (ausgenommen gesetzliche Aufbewahrungspflichten)
• Rechnungs- und Abrechnungsdaten: 10 Jahre (§ 147 AO)
• Vertragsdaten: 6 Jahre (§ 257 HGB)
• Server-Logs: max. 30 Tage
• Backup-Snapshots: 7 Tage (automatisch), 30 Tage (manuell)
• Registrierungs-Tracking: 180 Tage
• Audit-Log administrative Zugriffe: 3 Jahre

20. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Fassung. Bei wesentlichen Änderungen informieren wir angemeldete Nutzer per E-Mail.

Version 1.0 — Stand: April 2026