Datenschutzerklärung

Gültig ab: 29. Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist Luca Jandke, Predigstuhlweg 3, 84508 Burgkirchen an der Alz, Deutschland, E-Mail: support@commitery.com.

2. Anwendungsbereich und Zweck

Diese Datenschutzerklärung regelt die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung der Plattform commitery.com (die „Plattform“), einschließlich (i) des Besuchs der Website, (ii) der Registrierung und Verwaltung eines Nutzerkontos, (iii) der Definition von Zielen, Commitments, Routinen und Routine-Zyklen, (iv) des Hochladens von Nachweisen und des Erhalts von Entscheidungen („Verdicts“), einschließlich automatisierter Auswertungen, (v) der Zahlungsabwicklung und der Speicherung von Zahlungsmethoden, (vi) Stripe-Connect-Auszahlungen im Rahmen von Commitery Creator, (vii) Referral-Links, Attribution und Auszahlungsvoraussetzungen, (viii) der Authentifizierung über Drittanbieter wie Google, (ix) Länder- und Risikoprüfungen sowie (x) der Nutzung von Analyse- und Marketingtechnologien vorbehaltlich Ihrer Einwilligung.

3. Websitezugriff und Server-Logfiles

Beim Aufruf der Plattform werden personenbezogene Daten automatisiert in Server-Logfiles verarbeitet, insbesondere (i) IP-Adresse, (ii) Datum und Uhrzeit des Zugriffs, (iii) Browsertyp und -version, (iv) Betriebssystem sowie (v) Referrer-URL. Diese Verarbeitung erfolgt ausschließlich zur Gewährleistung der technischen Stabilität, Sicherheit und des ordnungsgemäßen Betriebs der Plattform.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Server-Logdaten werden nach spätestens vierzehn (14) Tagen gelöscht.

4. Nutzerkonten und Registrierung

4.1 Kontoerstellung

Bei der Erstellung eines Nutzerkontos verarbeiten wir personenbezogene Daten, insbesondere (i) E-Mail-Adresse, (ii) Benutzername (sofern angegeben), (iii) gehashtes Passwort, soweit eine E-Mail/Passwort-Authentifizierung genutzt wird, sowie (iv) technische Kontometadaten. Die Verarbeitung ist zur Erfüllung des Nutzungsvertrags erforderlich.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Die Daten werden für die Dauer des Bestehens des Kontos gespeichert und nach Beendigung des Kontos gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

4.2 Login über Drittanbieter (Google Sign-In)

Nutzer können sich über Drittanbieter authentifizieren, insbesondere über Google. Die Authentifizierung erfolgt direkt über den jeweiligen Anbieter. Commitery erhält und speichert kein Passwort des Drittanbieter-Kontos.

Abhängig von den erteilten Berechtigungen können wir (i) E-Mail-Adresse, (ii) anbieterspezifische Nutzer-ID, (iii) Anzeigenamen sowie (iv) Profilbild erhalten. Diese Daten werden ausschließlich zur Kontoerstellung, Authentifizierung und zu Sicherheitszwecken verarbeitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO. Anbieter ist die Google Ireland Limited / Google LLC. Weitere Informationen finden Sie in der Google Datenschutzerklärung.

5. Ziele, Commitments und hochgeladene Inhalte

5.1 Ziel-, Commitment- und Routine-Daten

Wenn Nutzer Commitments oder Routinen erstellen, verarbeitet Commitery Daten im Zusammenhang mit (i) dem definierten Ziel und dessen Beschreibung, (ii) Routine-Texten, Routine-Frequenz, Zyklusstart, Zyklusindex, Zielfristen und Nachweisfristen, (iii) Nachweisanforderungen und Proof-Spezifikationen, (iv) dem gewählten Referee-/Review-Typ, (v) dem bedingten Commitment-Betrag pro Commitment oder Routine-Zyklus, (vi) Status-, Review-, Dispute-, Widerrufs-, Pausen- und Kündigungsinformationen sowie (vii) technischen Protokolldaten, die zur Erstellung, Materialisierung, Bewertung und Verwaltung von Commitments und Routine-Zyklen erforderlich sind. Diese Verarbeitung ist zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO erforderlich. Soweit Daten zur Missbrauchsprävention, Sicherheit, Fehlerbehebung oder Rechtsverteidigung verarbeitet werden, ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO.

5.2 Nachweis-Uploads (Proof)

Zur Überprüfung der Zielerreichung können Nutzer Nachweise in Form von Dateien wie Bildern, Screenshots, Dokumenten oder vergleichbaren Dateien hochladen. Nachweise können je nach Inhalt personenbezogene Daten, Zeitstempel, Standort- oder Metadaten, Kontoinformationen, Gesundheitsbezug oder andere sensible Informationen enthalten. Nutzer werden angewiesen, nur Inhalte hochzuladen, die nach den anwendbaren Nachweisspezifikationen unbedingt erforderlich sind, und nicht benötigte sensible Informationen vor dem Upload zu schwärzen.

Commitery verarbeitet Nachweise ausschließlich zur Vertragserfüllung, zur Durchführung des Review- und Dispute-Prozesses, zur Betrugs- und Missbrauchsprävention, zur Fehlerbehebung und zur Rechtsverteidigung. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO und, soweit einschlägig, Art. 6 Abs. 1 lit. f DSGVO. Commitery kann technisch nicht gewährleisten, dass hochgeladene Dateien keine sensiblen personenbezogenen Daten enthalten. Nutzer bleiben für die von ihnen hochgeladenen Inhalte verantwortlich.

6. Automatisierte Auswertung und KI-Referees

6.1 Automatisierte Entscheidungsfindung

Zielbeschreibung, Nachweisspezifikationen, hochgeladene Nachweise, Metadaten, Dispute-Begründungen und relevante Commitment- oder Routine-Zyklusdaten können für Verdicts und Dispute-Prüfungen automatisiert ausgewertet werden. Zweck ist die Prüfung, ob die eingereichten Nachweise die vorab festgelegten Nachweisspezifikationen erfüllen und ob ein Commitment oder Routine-Zyklus als erfüllt oder nicht erfüllt zu bewerten ist.

6.2 Einsatz von KI-Dienstleistern

Für automatisierte Auswertungen, Nachweisspezifikationen und Streitbeilegung können Daten an Drittanbieter von KI-Diensten, insbesondere OpenAI, L.L.C., übermittelt werden, die als Auftragsverarbeiter im Auftrag von Commitery handeln. Die Verarbeitung erfolgt zweckgebunden für Erstellung von Nachweisanforderungen, Review, Dispute-Prüfung, Missbrauchsprävention und Qualitätssicherung. Soweit Commitery entsprechende vertragliche Einstellungen nutzt, werden Eingaben und Ausgaben nicht zur Schulung oder Verbesserung der Modelle des KI-Dienstleisters verwendet. Weitere Informationen finden Sie in der OpenAI Privacy Policy.

6.3 Automatisierte Entscheidungen nach Art. 22 DSGVO

Automatisierte Auswertungen können automatisierte Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO darstellen, insbesondere wenn ein negativer Verdict zu einer bedingten Belastung führen kann. Diese Verarbeitung ist zur Durchführung des vom Nutzer gewählten Commitment-Vertrags erforderlich, sofern ein automatisiertes Verdict oder eine automatisierte Dispute-Prüfung genutzt wird. Nutzer können Vorschläge negativer Urteile über den von der Plattform bereitgestellten Streitbeilegungsmechanismus während des angezeigten Dispute-Fensters, derzeit 48 Stunden, anfechten und eine erneute Prüfung verlangen. Die automatisierte Dispute-Prüfung kann eine empfohlene Entscheidung, einen Confidence-Wert, eine Begründungszusammenfassung, eine Nachweiszusammenfassung, eine Modellkennung und Risikofaktoren erzeugen. Commitery nutzt diese Aufzeichnungen, um den Dispute zu entscheiden, Missbrauch zu verhindern, Zahlungsrisikoentscheidungen zu dokumentieren und zu entscheiden, ob ein negatives Urteil korrigiert oder aufrechterhalten wird.

7. Cookies und ähnliche Technologien

Wir verwenden Cookies und ähnliche Technologien (z.B. Local Storage), um die Plattform zu betreiben und – sofern Sie einwilligen – Analyse- und Marketingfunktionen zu ermöglichen. Cookies und ähnliche Technologien werden in Kategorien eingeteilt, insbesondere (i) technisch notwendige Technologien für Kernfunktionen und Sicherheit, (ii) Analyse-Technologien zur Auswertung der Nutzung sowie (iii) Marketing-Technologien zur Messung von Werbewirkung.

Weitere Details, einschließlich konkreter Technologien, Zwecke, Speicherdauern sowie Informationen zur Verwaltung Ihrer Einstellungen, finden Sie in unserer Cookie-Richtlinie.

8. Speicherdauer und Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie es für die in dieser Datenschutzerklärung beschriebenen Zwecke erforderlich ist, und anschließend gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Insbesondere werden (i) Kontodaten bis zur Löschung des Kontos oder anderweitigen Beendigung gespeichert, vorbehaltlich zwingender gesetzlicher Aufbewahrungspflichten und der Notwendigkeit, Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen, (ii) Commitment-, Routine-, Zyklus-, Consent-, Checkout-, Widerrufs-, Dispute- und Verdict-Daten so lange gespeichert, wie dies zur Vertragserfüllung, zur Abwicklung laufender oder vergangener Verpflichtungen, zur Nachvollziehbarkeit von Belastungsautorisierungen, zur Missbrauchsprävention und zur Rechtsverteidigung erforderlich ist, (iii) Nachweisdateien und zielbezogene Auswertungsdaten gespeichert, bis ein Verdict ergangen ist und eine etwaige Streit- oder Rückbuchungsfrist abgelaufen ist, und länger aufbewahrt, soweit dies zur Beilegung von Streitigkeiten, Verhinderung von Missbrauch, Bearbeitung von Chargebacks oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, (iv) Referral-, Attribution-, Stripe-Connect- und Auszahlungsdaten so lange gespeichert, wie dies zur Prüfung von Auszahlungsansprüchen, zur Betrugsprävention, zur Abwicklung von Rückforderungen und zur Erfüllung gesetzlicher Pflichten erforderlich ist, (v) Analysedaten entsprechend den in dem jeweiligen Analysedienst konfigurierten Aufbewahrungseinstellungen gespeichert und nur mit Einwilligung verarbeitet, soweit erforderlich, und (vi) Einwilligungsnachweise und Präferenzsignale aufbewahrt, bis sie widerrufen, zurückgesetzt oder vom Nutzer gelöscht werden oder bis die jeweilige Speicherdauer abläuft.

Buchhaltungs-, steuer-, transaktions- und auszahlungsbezogene Daten werden gemäß den anwendbaren gesetzlichen handels- und steuerrechtlichen Aufbewahrungsfristen gespeichert. Soweit Daten zur Erfüllung gesetzlicher Pflichten aufbewahrt werden müssen, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

9. Zahlungen, Stripe Connect und Commitery Creator

Zahlungsmethoden, Setup Intents, Kundendaten, bedingte Belastungen, Rückerstattungen, Chargebacks und Zahlungsstatus werden über Stripe verarbeitet. Commitery erhält keine vollständigen Zahlungsdaten wie Kreditkartennummern. Für Zahlungszwecke können insbesondere Name, E-Mail-Adresse, Rechnungsadresse, Stripe-Kunden-ID, Payment-Method-ID, Setup-Intent-ID, Payment-Intent-ID, Belastungsstatus, Erstattungsstatus und zugehörige Commitment- oder Routine-Zyklus-IDs verarbeitet werden. Die Verarbeitung ist zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO erforderlich; soweit Daten zur Betrugsprävention, Zahlungsrisikoprüfung, Rechtsverteidigung oder Erfüllung gesetzlicher Pflichten verarbeitet werden, beruht sie auf Art. 6 Abs. 1 lit. f oder lit. c DSGVO.

Für Commitery Creator und Referral-Auszahlungen können Nutzer ein Stripe-Connect-Konto einrichten. Dabei können Stripe und Commitery Daten wie E-Mail-Adresse, Name, Land, Auszahlungsstatus, Konto-ID, Onboarding-Status, Anforderungen, Steuer- oder Identitätsprüfungsstatus, Referral-Code, Attribution, Auszahlungsbeträge, Rückforderungen und Sperrgründe verarbeiten. Stripe verarbeitet bestimmte Daten als eigenständiger Verantwortlicher nach seinen eigenen Bedingungen. Weitere Informationen finden Sie in der Stripe Privacy Policy und den anwendbaren Stripe-Connect-Bedingungen.

Referral-Links und Commitery Creator erfordern die Verarbeitung von Referral-Codes, Link-IDs, Kampagneninformationen, Referrer- und referred-user-IDs, Attributionsdaten, Validierungsstatus, Auszahlungsbedingungen, Dispute-, Refund- und Chargeback-Informationen sowie Anti-Abuse-Signalen. Diese Verarbeitung dient der Durchführung des Commitery-Creator-Programms, der Betrugsprävention, der Auszahlungskontrolle und der Rechtsverteidigung.

10. Analyse und Marketing

10.1 Einwilligungsbasierte Aktivierung und Verwaltung von Präferenzen

Analyse- und Marketing-Technologien werden nur aktiviert, wenn Sie über unser Einwilligungsbanner (Cookie-Banner) Ihre Einwilligung erteilen. Ihre Auswahl wird als Präferenzsignal gespeichert und lokal (z.B. in einem Cookie und/oder Local Storage) hinterlegt, damit wir Ihre Einstellung bei zukünftigen Besuchen berücksichtigen können.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen oder ändern, indem Sie Ihre Einstellungen über die auf der Plattform zugänglichen Consent-Einstellungen anpassen (z.B. über einen Link im Footer oder innerhalb der Cookie-Richtlinie). Bis zur Erteilung der Einwilligung bleiben nicht zwingend erforderliche Analyse- und Marketing-Technologien deaktiviert.

Rechtsgrundlage für einwilligungsbasierte Verarbeitung ist Art. 6 Abs. 1 lit. a DSGVO. Soweit technisch notwendige Technologien eingesetzt werden, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. b DSGVO, je nach Anwendbarkeit.

10.2 Google Analytics

Google Analytics wird nur nach ausdrücklicher Einwilligung eingesetzt. Nutzungs- und Interaktionsdaten können zu statistischen Auswertungszwecken verarbeitet werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO. Weitere Informationen finden Sie in der Google Datenschutzerklärung.

10.3 Google Ads

Technologien von Google Ads werden ausschließlich nach ausdrücklicher Marketing-Einwilligung eingesetzt, um Werbewirkung zu messen und Conversions zuzuordnen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO. Weitere Informationen finden Sie in der Google Datenschutzerklärung.

11. Interne Zugriffskontrolle

Der Zugriff auf personenbezogene Daten ist auf autorisierte Personen beschränkt und erfolgt ausschließlich nach dem Need-to-know-Prinzip sowie für klar definierte betriebliche, sicherheitsrelevante und Support-Zwecke.

12. Hosting und Infrastruktur

Die Plattform wird durch Vercel Inc. gehostet und nutzt Supabase Inc. für Datenbank-, Authentifizierungs- und Dateispeicherdienste. Soweit erforderlich, schließen wir mit Dienstleistern Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.

Soweit personenbezogene Daten in Drittländer (einschließlich der Vereinigten Staaten) übermittelt werden, werden geeignete Garantien gemäß Art. 44 ff. DSGVO umgesetzt, insbesondere EU-Standardvertragsklauseln (SCC) der EU-Kommission und – soweit erforderlich – ergänzende Maßnahmen.

Weitere Informationen finden Sie in der Vercel Datenschutzerklärung und der Supabase Datenschutzerklärung.

13. Rechte betroffener Personen

Nutzer haben die Rechte nach Art. 15–21 DSGVO, einschließlich des Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch.

Sie haben außerdem das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, insbesondere beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA): BayLDA.

14. Datensicherheit

Alle Datenübertragungen werden mittels TLS/HTTPS-Verschlüsselung geschützt.

15. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann aktualisiert werden, um rechtliche oder technische Änderungen abzubilden. Die jeweils aktuelle Version ist jederzeit auf der Plattform abrufbar.

Kontobezogene Creator-Attribution

Das bloße Öffnen oder Besuchen eines Creator-Links begründet oder ändert keine kontobezogene Attribution. Sie wird erst gespeichert, wenn ein Nutzer den Checkout für ein zulässiges Commitment über einen gültigen Creator- oder Challenge-Link erfolgreich abschließt. Verarbeitet werden dabei insbesondere die Nutzer-ID des Creators, gegebenenfalls die Referral-Link-ID, die Quelle sowie Zeitpunkt und Ablauf der Attribution.

Die Attribution gilt für zukünftige Commitments grundsätzlich bis zu zwölf Monate lang. Ein späterer erfolgreicher Checkout über einen anderen Creator ersetzt sie mit Wirkung für die Zukunft. Nutzer können die aktive Attribution jederzeit in den Kontoeinstellungen entfernen. Bereits erstellte Commitments und die für sie protokollierte Attribution bleiben aus Abrechnungs-, Betrugs- und Nachweisgründen unverändert.

Gespeicherte Zahlungsmethoden

Wenn Sie im Zahlungsschritt ausdrücklich „Zahlungsmethode speichern“ auswählen, speichert Stripe die Zahlungsmethode als Standard für dieses und zukünftige Commitments. Commitery verarbeitet dabei die Stripe-Kunden- und Zahlungsmethoden-ID, den Einwilligungszeitpunkt, die Version des angezeigten Hinweises sowie begrenzte Anzeigedaten wie Kartenmarke, letzte vier Ziffern und Ablaufdatum. Commitery speichert weder die vollständige Kartennummer noch den Sicherheitscode.