Datenschutzerklärung

Informationen gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) · Version 1.0 · Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und weiterer nationaler Datenschutzgesetze ist:

Timur Kalender
Einzelunternehmer, handelnd unter der Bezeichnung „BasedPanel"
c/o COCENTER
Koppoldstr. 1
86551 Aichach, Deutschland
E-Mail: contact@basedpanel.de

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich.

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, E-Mail-Adresse, IP-Adresse).

Rechtsgrundlagen der Verarbeitung sind insbesondere:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Art. 6 Abs. 1 lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahmen)
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — z. B. § 147 AO, § 257 HGB)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)

3. Rechte der betroffenen Personen

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO) über die bei uns gespeicherten Daten
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an contact@basedpanel.de. Beschwerde können Sie u. a. bei der für den Verantwortlichen zuständigen Aufsichtsbehörde einlegen.

4. Server-Logs & Hosting (Hetzner)

Die Website und der Dienst werden gehostet bei der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland. Die Verarbeitung erfolgt ausschließlich auf Servern in Deutschland. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO).

Der Provider erhebt automatisch Informationen in sog. Server-Log-Dateien:

• IP-Adresse (anonymisiert bzw. nach max. 30 Tagen gelöscht)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL / HTTP-Status / übertragene Datenmenge
• Referrer-URL
• Browsertyp, Browserversion, Betriebssystem, Sprache

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technisch fehlerfreiem Betrieb, Sicherheit, Angriffsabwehr). Speicherdauer: max. 30 Tage. Diese Daten werden nicht mit anderen Datenquellen zusammengeführt.

5. Cookies & lokale Speicherung

BasedPanel verwendet ausschließlich technisch notwendige Cookies und Speichermechanismen. Ein Cookie-Banner ist daher nach § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich:

• Session-Cookie (Flask-Session) — zur Authentifizierung eingeloggter Nutzer, verschlüsselt und HTTP-only
• CSRF-Token — Schutz vor Cross-Site-Request-Forgery
• localStorage — Benutzereinstellungen (Sprache, Sidebar, Darkmode, ausgewählter Creator-Kontext)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und § 25 Abs. 2 Nr. 2 TTDSG. Session-Cookies werden beim Logout bzw. nach Ablauf der Session-Dauer gelöscht.

6. Registrierung & Nutzerkonto

Bei der Registrierung erheben wir folgende Daten:

• E-Mail-Adresse
• Passwort (gehasht gespeichert, Bcrypt)
• Vor-/Nachname (bzw. Ansprechpartner)
• Agenturname
• WhatsApp- und Telegram-Kontakt (zur Support-Erreichbarkeit)
• Ungefähre Anzahl verwalteter Creator (Selbstangabe)
• Zeitpunkt von Registrierung, Login, letzter Aktivität
• IP-Adresse und User-Agent der Registrierung (Missbrauchsprävention)
• Zustimmung zu AGB und Datenschutz (Zeitstempel und Version)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsprävention). Die Daten werden für die Dauer des Nutzerkontos und anschließend bis zum Ablauf etwaiger gesetzlicher Aufbewahrungsfristen gespeichert (siehe Abschnitt 19).

7. Kontaktaufnahme (E-Mail, WhatsApp, Telegram)

Nehmen Sie per E-Mail, über das Kontaktformular oder über die im Impressum / in der Registrierung angegebenen Messenger (WhatsApp, Telegram) Kontakt mit uns auf, werden die übermittelten Daten (insbesondere Name, Kontaktdaten, Nachrichteninhalt) zum Zweck der Bearbeitung der Anfrage gespeichert.

Hinweis zu WhatsApp und Telegram: Bei diesen Messengern handelt es sich um Drittanbieter (WhatsApp Ireland Ltd. / Telegram FZ-LLC, Dubai), deren Serverstandorte teilweise außerhalb der EU liegen. Mit Ihrer aktiven Kontaktaufnahme über diese Kanäle willigen Sie in diese Datenübermittlung ein (Art. 6 Abs. 1 lit. a, Art. 49 Abs. 1 lit. a DSGVO). Sie können alternativ jederzeit per E-Mail Kontakt aufnehmen.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich), Art. 6 Abs. 1 lit. f DSGVO (Bearbeitung der Anfrage).

8. Nutzung der BasedPanel-Plattform

BasedPanel ist ein Tool zur Verwaltung von Creator-Accounts auf der Drittplattform 4Based. Im Rahmen der Nutzung verarbeiten wir folgende Daten:

• 4Based-Zugangsdaten (Auth-Tokens) — verschlüsselt gespeichert mittels Fernet (AES-128-CBC + HMAC)
• Creator-Profile, Profilbilder, Statistiken
• Chat-Nachrichten (Inhalte sind von 4Based bereitgestellt und zwischengespeichert)
• Abonnent:innen- und Fan-Daten der verwalteten Creator (wie von 4Based bereitgestellt)
• Team-Mitglieder und Rollen Ihrer Agentur (Name, E-Mail, Rolle, Berechtigungen)
• Schichtpläne, Message-Tracking, Umsatz-Snapshots, KPI-Statistiken
• Auto-Post-Warteschlangen, Mass-DM-Kampagnen, Übersetzungs-Historie
• Notifications-Counter, Ungelesen-Zähler, Push-Events aus dem 4Based-Socket

Multi-Tenancy: Jede Agentur sieht ausschließlich ihre eigenen Daten; technische Trennung erfolgt durchgehend per agency_id-Filter.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 28 DSGVO (Auftragsverarbeitung; AVV liegt unter /avv).

9. 4Based-Integration & Echtzeit-Socket

BasedPanel verbindet sich im Auftrag des Kunden mit der REST-API (rest.4based.com) und dem Echtzeit-Socket (socket.4based.com) der 4Based-Plattform, um Chats, Aktivitäten und Umsätze synchron zu halten. Hierbei werden die vom Kunden hinterlegten Creator-Credentials (Auth-Token) an 4Based übermittelt.

4Based ist ein unabhängiger Dritter. Für die Datenverarbeitung auf Seiten von 4Based gilt deren eigene Datenschutzerklärung. Kunden nutzen BasedPanel in eigener Verantwortung und bestätigen, dass sie berechtigt sind, die verwalteten Creator-Accounts über Drittwerkzeuge anzubinden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 28 DSGVO.

10. Zahlungsabwicklung (Stripe)

Für die Abwicklung kostenpflichtiger Abos nutzen wir Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Bei einem Kauf werden Zahlungs- und Abrechnungsdaten (Name, Adresse, E-Mail, Zahlungsmittel) direkt an Stripe übermittelt. Wir selbst erhalten keine vollständigen Kreditkartendaten, sondern nur Abrechnungsstatus und Zahlungs-IDs.

Stripe ist zertifiziert nach PCI-DSS. Übermittlungen in die USA werden durch Stripes EU-Standardvertragsklauseln abgesichert. Datenschutzerklärung: stripe.com/de/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

11. E-Mail-Versand (Resend)

Transaktions-Mails (Willkommensmail, E-Mail-Bestätigung, Passwort-Reset, Einladungen, Rechnungsbenachrichtigungen) werden über den Dienst Resend (Resend, Inc., San Francisco, USA) versendet. Übertragen werden E-Mail-Adresse, Name und Inhalt der Mail.

Der Drittlandtransfer in die USA ist über Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und ergänzende Schutzmaßnahmen (TLS, Auth-DKIM, SPF, DMARC für basedpanel.de) abgesichert. Datenschutzerklärung: resend.com/legal/privacy-policy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO.

12. Automatische Übersetzung von Chat-Inhalten

Über BasedPanel lassen sich Chat-Nachrichten automatisch zwischen den Sprachen des Teams und der Fans übersetzen. Hierzu werden die zu übersetzenden Texte (Chat-Inhalte, Quick-Replies) sowie Konfigurations-Parameter (z. B. Persona, verbotene Wörter, Tonalität) an einen externen Übersetzungs-Dienstleister übermittelt, der die maschinelle Übersetzung im Auftrag des Anbieters ausführt. Die Übermittlung erfolgt ausschließlich verschlüsselt (TLS) und nur für den Zeitraum der jeweiligen Übersetzungsanfrage.

Der eingesetzte Dienstleister verarbeitet die übermittelten Texte ausschließlich zur Erbringung der Übersetzungsleistung und verwendet sie vertraglich nicht für eigene Trainings- oder Analysezwecke. Soweit der Dienstleister seinen Sitz außerhalb der EU/des EWR hat, ist die Übermittlung über EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) abgesichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

12a. Admin-Impersonierung (Support-Zugriff)

Zur Bearbeitung von Support-Anfragen und zur Behebung technischer Probleme können autorisierte Mitarbeiter des Anbieters (Super-Admins) sich vorübergehend im Namen eines Kunden-Users in die App einloggen („Impersonate"). Dabei sehen sie dieselben Daten wie der Kunden-User selbst (eigene Agentur, eigene Creator, Chat-Inhalte) — sie sehen nicht Klartext-Passwörter.

Jede Impersonierung wird im internen Audit-Log mit Zeitstempel, ausführendem Admin und Ziel-User protokolliert (Tabelle billing_audit_log mit actor_kind='admin_dashboard'). Die Impersonierungs-Session ist auf 60 Sekunden Token-Gültigkeit begrenzt und endet mit Logout.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Support) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Fehlerbehebung). Kunden können auf Anfrage jederzeit den Audit-Log-Auszug für ihre Agentur erhalten.

13. Schriftarten & Google Ads Conversion-Tracking

Schriftarten: Wir verwenden die Schriftarten „Inter" und „Crimson Pro" — diese sind selbst auf unserem Server gehostet. Es findet KEINE Verbindung zu Google-Servern statt, Ihre IP-Adresse wird beim Laden der Schriftarten nicht an Google übermittelt.

Google Ads & Conversion-Tracking: Auf unseren öffentlich erreichbaren Seiten (Startseite, Blog, Legal-Seiten) ist das Google Ads Conversion-Tracking der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) eingebunden. Damit messen wir, ob Besucher, die über eine unserer Anzeigen gekommen sind, sich anschließend registrieren. Hierzu wird ein Cookie gesetzt (Lebensdauer 30 Tage), und Ihre IP-Adresse sowie ein Klick-Identifier werden an Google übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweiten-Messung und Werbe-Optimierung). Sie können dem Tracking jederzeit widersprechen, indem Sie die personalisierten Werbeeinstellungen in Ihrem Google-Konto deaktivieren oder Browser-Cookies für die Domain googleadservices.com blockieren.

Datenstandort: Irland mit möglicher Weiterleitung in die USA über die Mutterkonzern- Infrastruktur. Übermittlung über EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und das EU-US Data Privacy Framework (DPF) abgesichert. Weitere Informationen: policies.google.com/privacy.

Demo-Buchung (Cal.com): Über den Button „Demo-Call buchen" werden Sie zu einer externen Buchungsseite des Anbieters Cal.com Inc. (USA) weitergeleitet. Auf dieser Seite werden Cookies durch Cal.com gesetzt und Ihre Eingaben (Name, E-Mail, Wunschtermin) verarbeitet. Diese Datenverarbeitung erfolgt auf cal.com unter deren Datenschutzerklärung (cal.com/privacy). Wir haben keinen Einfluss auf die dort gesetzten Cookies. Rechtsgrundlage für die Weiterleitung: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme — Sie initiieren die Buchung selbst).

Einwilligungs-Verwaltung: Beim ersten Besuch unserer Seite erscheint ein Cookie-Banner. Dort können Sie das Google Ads Conversion-Tracking ablehnen — in diesem Fall werden keine Marketing-Cookies gesetzt und Google erhält nur anonymisierte Conversion- Modelling-Signale ohne personenbezogene Daten. Ihre Entscheidung wird in Ihrem Browser (LocalStorage) gespeichert und kann jederzeit zurückgesetzt werden, indem Sie die Browser-Daten für basedpanel.de löschen.

14. Desktop-App & Geräte-Bindung

BasedPanel wird zusätzlich als Desktop-Anwendung (Electron) für macOS und Windows angeboten. Zur Missbrauchsvermeidung (ein Account = ein Gerät) wird beim ersten Login einer Desktop-App ein pseudonymer Hardware-Identifier (Geräte-Hash) erzeugt und dem Benutzerkonto zugeordnet. Gespeichert werden:

• Hardware-Hash (SHA-256, nicht re-identifizierbar ohne physischen Zugriff auf das Gerät)
• App-Version
• Zeitpunkt Registrierung / letzter Aktivität

Jede Anfrage der Desktop-App ist HMAC-signiert. Der Hardware-Hash selbst enthält keine Klartext-Seriennummern. Auf Wunsch kann die Gerätebindung per Support-Anfrage zurückgesetzt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Lizenzmissbrauch).

15. Administrativer Zugriff / Impersonation

Für Support, Missbrauchsbearbeitung und technische Fehleranalyse betreiben wir ein internes Administrations-Portal (admin.basedpanel.de). Administratoren können im gesetzlich zulässigen und technisch notwendigen Umfang:

• Konten einsehen, sperren, umbenennen, freischalten
• Zur Fehlerbehebung temporär in ein Nutzerkonto wechseln („Impersonation"). Jeder Impersonation-Vorgang ist zeitlich limitiert (Einmal-Token, 60 Sekunden Gültigkeit) und wird revisionssicher im Audit-Log gespeichert (Zeitstempel, Admin-Kennung, Ziel-Konto, Dauer).
• Abrechnungsvorgänge, Rückerstattungen und Lizenzen bearbeiten

Auf Nachfrage erhalten Kunden Auskunft, ob und wann ein Impersonation-Zugriff auf ihr Konto stattgefunden hat. Inhaltliche Aktionen im Kundenkonto werden nur mit ausdrücklicher Absprache bzw. zur Abwehr akuter Störungen durchgeführt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Support), Art. 6 Abs. 1 lit. f DSGVO (Betriebssicherheit).

16. Datensicherung (Backups)

Zur Sicherstellung der Betriebskontinuität fertigen wir täglich automatische Datenbanksicherungen an. Backups werden verschlüsselt auf demselben Rechenzentrumsstandort (Hetzner, Deutschland) gespeichert und nach spätestens 7 Tagen automatisch gelöscht (bzw. 30 Tage für manuelle Pre-Deploy-Snapshots). Ein Wiederherstellungs-Restore umfasst stets die vollständige Multi-Tenant-Datenbank.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Betriebssicherheit, Ausfallschutz).

17. Tracking der Registrierung

Für die technische Fehleranalyse und Conversion-Messung speichern wir zu Registrierungen und Abbrüchen folgende Ereignisse: Formular-Start, abgesendetes Formular, Fehler, erfolgreiche Registrierung. Erfasst werden IP-Adresse, User-Agent und Referrer. Die Daten werden nach 180 Tagen gelöscht und nicht an Dritte übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Produktverbesserung, Missbrauchsvermeidung).

18. Auftragsverarbeiter & Übermittlung in Drittländer

Folgende Dienstleister verarbeiten in unserem Auftrag personenbezogene Daten:

Dienst	Zweck	Sitz	Absicherung
Hetzner Online GmbH	Hosting, Server-Logs, Backups	Deutschland	AVV, EU-DSGVO
Stripe Payments Europe, Ltd.	Zahlungsabwicklung	Irland (Mutterkonzern USA)	AVV, EU-SCC, PCI-DSS
Resend, Inc.	Transaktions-E-Mails	USA	DPA, EU-Standardvertragsklauseln, TLS/DKIM
Externer Übersetzungs-Dienstleister	Maschinelle Textübersetzung von Chat-Inhalten	EU bzw. Drittland	AVV bzw. EU-SCC, „no training"-Zusicherung
Google Ireland Ltd.	Google Fonts (selbst-gehostet — keine Datenübermittlung an Google) sowie Google Ads Conversion-Tracking auf Marketing-Seiten	Irland (Mutterkonzern USA)	EU-SCC, DPF-zertifiziert
4Based	Creator-Plattform-Integration (auf Weisung des Kunden)	Drittland	Nutzung auf eigene Veranlassung des Kunden; Einwilligung gem. Art. 49 Abs. 1 DSGVO

Soweit Daten in ein Drittland übermittelt werden, erfolgt dies auf Grundlage von EU-Standardvertragsklauseln (Art. 46 DSGVO) bzw. einer ausdrücklichen Einwilligung (Art. 49 Abs. 1 lit. a DSGVO). Ein ausführlicher Auftragsverarbeitungsvertrag für Kunden (Art. 28 DSGVO) findet sich unter /avv.

19. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist:

• Nutzerkonto-Daten: für die Dauer des Vertrags; Löschung innerhalb von 30 Tagen nach Kündigung (ausgenommen gesetzliche Aufbewahrungspflichten)
• Rechnungs- und Abrechnungsdaten: 10 Jahre (§ 147 AO)
• Vertragsdaten: 6 Jahre (§ 257 HGB)
• Server-Logs: max. 30 Tage
• Backup-Snapshots: 7 Tage (automatisch), 30 Tage (manuell)
• Registrierungs-Tracking: 180 Tage
• Audit-Log administrative Zugriffe: 3 Jahre

20. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Fassung. Bei wesentlichen Änderungen informieren wir angemeldete Nutzer per E-Mail.

Version 1.0 — Stand: April 2026