Datenschutzerklärung

Diese Datenschutzerklärung klärt Dich über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten durch E.A.S.Y. auf — einschließlich der Website easylisting.io, der Webanwendung app.easylisting.io und der App easylisting.

1. Verantwortlicher

2. Allgemeine Hinweise

Wir nehmen den Schutz Deiner persönlichen Daten sehr ernst. Wir behandeln Deine personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften (DSGVO, BDSG) sowie dieser Datenschutzerklärung.

3. Erhebung und Speicherung beim Besuch der Website

Beim Aufrufen unserer Website werden durch den auf Deinem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sog. Logfile gespeichert:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Website, von der aus der Zugriff erfolgt (Referrer-URL)
• Verwendeter Browser und ggf. das Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler Auslieferung und Sicherheit).

4. Kontaktformular & Demo-Buchung

Wenn Du uns über das Demo-Formular kontaktierst, werden Deine Angaben (Name, E-Mail, Firma, Nachricht) zwecks Bearbeitung der Anfrage gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Daten werden nach Abschluss der Anfrage gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

5. Cookies & Consent Mode

Diese Website nutzt zwei Kategorien von Cookies:

• Technisch notwendige Cookies (immer aktiv) - Sprach-Auswahl, Theme-Modus, Cart-State, Cookie-Entscheidung selbst. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Funktionsfähigkeit).
• Statistik / Analyse-Cookies (nur mit Einwilligung) - Google Analytics 4 zur anonymisierten Reichweitenmessung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner).

Wir setzen Google Consent Mode v2 ein: Solange keine Einwilligung vorliegt, werden keine Analytics-Daten gesendet. Erst nach explizitem Klick auf „Alle akzeptieren" werden Daten an Google Analytics übermittelt. Deine Entscheidung wird in Deinem Browser (localStorage) gespeichert.

Du kannst Deine Einwilligung jederzeit über Cookie-Einstellungen ändern oder widerrufen.

6. Externe Dienste

• Google Analytics 4 (nur mit Einwilligung) - Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Wir nutzen die Property G-FMPLT1X28L mit aktivierter IP-Anonymisierung. Übertragung an Google-Server in den USA erfolgt über EU-Standardvertragsklauseln. Datenschutz: policies.google.com/privacy.
• Google Ads & Google Ads API (im Kunden-Bereich, freiwillige Verbindung) - Anbieter: Google Ireland Ltd. Wenn Du Dein Google-Ads-Konto in der Kundenanwendung verbindest, übermitteln wir Dein OAuth-Refresh-Token an Google zur Authentifizierung und greifen lesend und (je nach gewähltem Tier) schreibend auf Deine Kampagnen-, Keyword- und Performance-Daten zu. Die Daten werden ausschließlich zur Optimierung Deines eigenen Werbekontos verarbeitet, niemals an Dritte weitergegeben und niemals zwischen verschiedenen E.A.S.Y.-Kunden vermischt. Refresh-Tokens werden Ende-zu-Ende-verschlüsselt in unserer Datenbank gespeichert. Du kannst die Verbindung jederzeit über den Connection-Hub trennen, dabei wird Dein Token sofort bei Google revoked. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim OAuth-Connect). Google-Ads-API-Nutzungsbedingungen: developers.google.com/google-ads/api/docs/usage. Die Nutzung der über die Google-Ads-API erhaltenen Daten durch easy.ads erfolgt im Einklang mit der Google API Services User Data Policy, einschließlich der „Limited Use Requirements".
• Google Merchant Center & Content API for Shopping (im Kunden-Bereich, freiwillige Verbindung) - Anbieter: Google Ireland Ltd. Wir lesen ausschließlich Deinen Produkt-Feed (Titel, Preis, Verfügbarkeit, Bild, Marke, GTIN, Zielland, Sprache) sowie den Produkt-Status (Genehmigungen, Warnungen, Ablehnungen). Wir nehmen keinerlei Schreib-Änderungen am Merchant Center vor. Die gelesenen Daten werden ausschließlich verwendet, um in den Audit-Berichten Werbe-Spend auf ausverkauften oder abgelehnten Artikeln zu erkennen und zu reduzieren. Aufbewahrung: einmal täglicher Sync, lokal in Deinem Tenant in Frankfurt. Bei Trennung werden die Daten innerhalb von 30 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. a DSGVO. Google API Services User Data Policy (Limited Use) gilt analog wie beim Ads-API-Block oben.
• Google Fonts - Schriftarten werden über Google-Server geladen. Anbieter: Google Ireland Ltd.
• Stripe - Zahlungsabwicklung. Anbieter: Stripe Payments Europe Ltd. Datenschutz: stripe.com/de/privacy.
• Resend - Versand transaktionaler E-Mails. Anbieter: Resend Inc., USA. Standardvertragsklauseln + DPA.
• Hetzner - Hosting in Falkenstein/Nürnberg (DE). Anbieter: Hetzner Online GmbH. Datenschutz: hetzner.com/legal/privacy-policy.
• TikTok / TikTok for Business / TikTok Shop (im Kunden-Bereich über die App easylisting, freiwillige Verbindung) — Anbieter: TikTok Technology Ltd. (EU/EWR) bzw. TikTok Inc. (USA). Wenn Du Deinen TikTok-Shop-Kanal in der App easylisting oder unter app.easylisting.io verbindest, übermitteln wir Authentifizierungsdaten (OAuth-Token) an TikTok, um Deine Listing-Daten (Produkttitel, Beschreibungen, Bilder, Preise, Bestände) lesen und optimierte Versionen zurückschreiben zu können. Die Daten werden ausschließlich zur Optimierung Deines eigenen TikTok-Shops verarbeitet, nie zwischen E.A.S.Y.-Kunden geteilt. OAuth-Tokens werden Ende-zu-Ende-verschlüsselt gespeichert und können jederzeit über den Connection-Hub getrennt werden (Token wird sofort bei TikTok revoked). Bei Datenübertragungen in die USA gelten EU-Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim OAuth-Connect). Datenschutz TikTok: tiktok.com/legal/privacy-policy.

7. Daten in der Kunden-Anwendung (app.easylisting.io)

Sobald Du ein Konto auf app.easylisting.io anlegst, verarbeiten wir zusätzlich folgende Daten:

7.1 Account-Daten

• E-Mail-Adresse, Anzeige-Name, verschlüsseltes Passwort-Hash (bcrypt)
• Firmen-Stammdaten für die Rechnungsstellung (Firma, Anschrift, USt-IdNr.)
• Login-Historie (Zeitpunkt, IP, User-Agent — 90 Tage Speicherung)
• Aktives Paket, Add-Ons, Wallet-Stände

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.2 Shop- und Listing-Daten

Wenn Du einen Connector verbindest (Shopify, eBay, Etsy, WooCommerce, JTL, Plenty, XML/CSV-Feed) lesen wir Deine Produkt-Daten in unsere Datenbank:

• Titel, Beschreibung, Bilder, Preis, Bestand, Attribute, Kategorien, GTIN/EAN
• Verkaufsdaten (Bestellungen pro Artikel, Zeitraum — sofern der Connector das liefert)
• Connector-Zugangsdaten (verschlüsselt gespeichert, ausschließlich für den Sync verwendet)

Diese Daten werden ausschließlich zur Optimierung Deines eigenen Shops verarbeitet. Aggregierte, anonymisierte Branchen-Statistiken (z.B. „Top-Performer in Outdoor verwenden im Schnitt 6 Bilder pro Listing") fließen in unsere Engine ein — niemals werden einzelne Produkt-Texte, Bilder oder Preise zwischen E.A.S.Y.-Kunden geteilt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7.3 Branch-Check (kostenlose Markt-Analyse auf der Startseite)

Wenn Du den Branch-Check auf easylisting.io nutzt, verarbeiten wir die von Dir eingegebene URL Deines Shops oder Listings sowie das Ergebnis der Analyse. Falls Du Deine E-Mail-Adresse zusätzlich einträgst, speichern wir diese, um Dir individuelles Feedback zu schicken. Die Verarbeitung der E-Mail erfolgt nur auf Basis Deiner ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Widerruf jederzeit per Mail an easy@easylisting.io.

8. KI-Verarbeitung (LLM, Bild- und Video-Generierung)

Für die Optimierung Deiner Listings und easy.ads-Assets nutzen wir externe KI-Anbieter:

• Anthropic (Claude — Text-Modelle): Anbieter Anthropic PBC, San Francisco, USA. Wir senden Deine Listing-Texte, Performance-Daten und Branchen-Kontext an die Anthropic-API, um Optimierungs-Vorschläge zu generieren. Vertraglich gesicherte Auftragsverarbeitung (DPA) inkl. Standardvertragsklauseln. Anthropic speichert API-Anfragen nicht zu Trainings-Zwecken (Zero-Retention-Modus für Business-Kunden). Datenschutz: anthropic.com/legal/privacy.
• Black Forest Labs (FLUX — Bild-Generierung): Anbieter Black Forest Labs GmbH, Freiburg (DE). EU-Hosting verfügbar, vertraglich abgesichert. Eingabe-Prompts und generierte Bilder werden nicht zu Trainings-Zwecken weiterverwendet.
• Runway (Gen-4 — Video-Generierung) bzw. Google Veo: Anbieter Runway AI Inc. (USA) bzw. Google LLC (USA). Vertragliche Auftragsverarbeitung, US-Transfer auf Basis EU-Standardvertragsklauseln.
• ElevenLabs (Voice-Over für Videos): Anbieter ElevenLabs Inc., USA. DPA + SCC vorhanden.

Die Auswahl des konkreten KI-Anbieters hängt vom gewählten Asset-Typ und Paket ab. Du kannst in den Konto-Einstellungen einsehen, welcher Anbieter pro Asset zum Einsatz kam (Spalte „Modell" in der Asset-Bibliothek).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für die Übermittlung in Drittländer Art. 46 Abs. 2 lit. c DSGVO (Standardvertragsklauseln).

9. Auftragsverarbeitung & Subprozessoren

Sofern Du easy.ads oder easy.listing geschäftlich nutzt, gilt zwischen Dir und uns ein Auftragsverarbeitungsvertrag (AVV). Folgende Subprozessoren setzen wir ein:

• Hetzner Online GmbH (Hosting, DE) — Falkenstein / Nürnberg
• Anthropic PBC (KI-Text-Modelle) — USA, SCC + Zero-Retention
• Black Forest Labs GmbH (KI-Bild-Generierung) — DE
• Runway AI Inc. / Google LLC (KI-Video-Generierung) — USA, SCC
• ElevenLabs Inc. (Voice-Over) — USA, SCC
• Stripe Payments Europe Ltd. (Zahlungsabwicklung) — IE
• Resend Inc. (transaktionale E-Mails) — USA, SCC
• Google Ireland Ltd. (Ads-API + Merchant-Center-API + Analytics — nur bei aktivierter Verbindung / Einwilligung) — IE
• TikTok Technology Ltd. / TikTok Inc. (TikTok-Shop-API — nur bei aktivierter Verbindung) — IE/USA, SCC

Den vollständigen AVV inkl. aktueller Subprozessor-Liste stellen wir auf Anfrage zur Verfügung: easy@easylisting.io.

10. Speicherdauer

• Server-Logfiles: 14 Tage
• Demo-/Kontaktanfragen: nach Abschluss gelöscht, sofern keine gesetzliche Aufbewahrungspflicht greift
• Account-Daten: für die Dauer des Vertrags + 10 Jahre (HGB §257) für rechnungsrelevante Daten
• Listing- und Performance-Daten: während aktiver Verbindung; bei Trennung des Connectors innerhalb von 30 Tagen gelöscht (Hard-Delete inkl. Backups innerhalb von 90 Tagen)
• KI-generierte Assets: in Deiner Bibliothek dauerhaft, ungenutzt > 60 Tage automatischer Cleanup (siehe Konto-Einstellungen)
• Branch-Check-URLs: 12 Monate für statistische Auswertung, dann anonymisiert
• Branch-Check-Emails (mit Einwilligung): bis zum Widerruf, max. 24 Monate

11. Sicherheits-Maßnahmen

• TLS-Verschlüsselung (HTTPS) für alle Web-Übertragungen
• OAuth-Refresh-Tokens und Connector-Credentials werden mit AES-256-GCM in der Datenbank verschlüsselt; Master-Key liegt außerhalb der Datenbank
• Passwörter werden ausschließlich als bcrypt-Hash gespeichert, nie im Klartext
• Tägliche verschlüsselte Backups, 30 Tage Aufbewahrung
• Multi-Tenant-Isolation: jeder Mandant hat eine eigene Tenant-ID, alle Datenbank-Queries sind tenant-gefiltert
• Audit-Log aller Schreib-Zugriffe der KI (Tabelle ads_apply_jobs) — pro Aktion Zeitpunkt, Auslöser, Ergebnis

12. Deine Rechte

Du hast jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) gegen die Verarbeitung Deiner Daten. Erteilte Einwilligungen kannst Du jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Wende Dich dafür an easy@easylisting.io — wir antworten innerhalb von 14 Tagen.

13. Datenlöschung & Konto-Beendigung

Du kannst Dein E.A.S.Y.-Konto jederzeit selbst beenden:

• Connectoren trennen: app.easylisting.io/connections/ — beendet sofort den lesenden Zugriff auf Deinen Shop
• Google-Verbindung trennen: gleiche Stelle, widerruft den OAuth-Token bei Google
• Komplette Kontolöschung: E-Mail an easy@easylisting.io mit Betreff „Kontolöschung"

Nach einer Kontolöschung werden alle personenbezogenen Daten innerhalb von 7 Tagen aus den aktiven Systemen entfernt. Rechnungsrelevante Daten verbleiben für die gesetzliche Aufbewahrungsfrist (10 Jahre, HGB) in einem separaten, zugriffsbeschränkten Archiv.

14. Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, Dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren — zuständig für uns ist der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Häßlerstraße 8, 99096 Erfurt, www.tlfdi.de.

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Eine wesentliche Änderung wird Dir per E-Mail an Deine im Konto hinterlegte Adresse mindestens 30 Tage vor Wirksamwerden angekündigt. Die jeweils aktuelle Version findest Du immer hier.

Stand: 26. Mai 2026 · Version 2.1