Zum Inhalt springen
Rechtliches

Datenschutz­erklärung

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen.

2. Verantwortliche Stelle

Cross Studio
Lukas Werz
Am Riembach 21
31171 Nordstemmen
E-Mail: hallo@cross-studio.de

3. Datenerfassung auf dieser Website

Server-Logfiles

Der Provider dieser Website erhebt und speichert automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch übermittelt. Dies sind: Browsertyp und -version, verwendetes Betriebssystem, Referrer-URL, Hostname, Uhrzeit der Anfrage und IP-Adresse. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Formular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).

Kunden-Portal

Für die Projektabwicklung stellen wir Ihnen ein passwortgeschütztes Portal bereit. Die dort eingegebenen Daten (Fragebogen-Antworten, Feedback, hochgeladene Dateien) werden ausschließlich zur Erbringung unserer Dienstleistung verwendet und nach Projektabschluss auf Wunsch gelöscht.

4. E-Mail-Kommunikation

Wir betreiben einen eigenen Mailserver (Mailcow) auf unserem VPS bei der netcup GmbH (Karlsruhe, Deutschland). Sämtliche projektbezogene E-Mail-Kommunikation (Versand und Empfang) wird ausschließlich über diesen Server abgewickelt. Es findet keine Auftragsverarbeitung durch externe E-Mail-Provider statt.

E-Mail-Inhalte, Absender- und Empfängerdaten sowie Anhänge verbleiben auf unserem Server in Deutschland. Eine Weitergabe an Dritte erfolgt nicht, sofern dies nicht zur Durchführung des Vertrags erforderlich ist oder gesetzliche Pflichten bestehen.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen, selbst kontrollierten E-Mail-Infrastruktur).

5. Web-Analyse mit Plausible

Wir nutzen Plausible Analytics zur Reichweitenmessung dieser Website. Plausible wird auf unserem eigenen Server bei netcup GmbH (Karlsruhe, Deutschland) betrieben (Self-Hosted, Subdomain analytics.cross-studio.de). Es findet keine Datenübermittlung an Dritte oder in Drittländer statt.

Plausible erhebt ausschließlich aggregierte, anonyme Nutzungsdaten: besuchte Seiten, Besucherzahl, ungefähre geografische Region (auf Land-Ebene), Browser- und Geräte-Typ, Verweildauer, Verweis-URL. Es werden keine Cookies gesetzt, keine IP-Adressen gespeichert und keine geräteübergreifenden Profile erstellt.

Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TTDSG. Das Tracking-Skript wird ausschließlich nach Ihrer aktiven Zustimmung über das Cookie-Banner geladen („Alle akzeptieren"). Bei Auswahl „Nur notwendige" findet keine Reichweitenmessung statt.

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den localStorage-Eintrag cs-cookie-consent in Ihrem Browser löschen oder uns formlos eine Mail an hallo@cross-studio.de schreiben.

6. Einsatz von KI-Technologie

Wir nutzen das KI-System Claude der Anthropic PBC (548 Market Street, PMB 90375, San Francisco, CA 94104, USA) zur Unterstützung bei der Erstellung von Website-Entwürfen, Textvorschlägen und Designvarianten.

An Anthropic übermittelt werden projektbezogene Informationen aus Ihrem Briefing: Branche, Stilwünsche, Tonalitäts-Vorgaben, Firmenname und Firmenbeschreibung sowie ggf. Standortangaben. Diese Angaben können personenbeziehbar im Sinne von Art. 4 Nr. 1 DSGVO sein, wenn sie sich auf Sie als natürliche Person oder auf Ihr Unternehmen zurückführen lassen.

Was wir nicht an Anthropic übermitteln: Ihre persönlichen Kontaktdaten (E-Mail-Adresse, Telefonnummer, Postanschrift) und Authentifizierungs-Daten aus dem Kundenportal. Diese verbleiben in unserer Datenbank.

Anthropic hat seinen Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage der von der EU-Kommission beschlossenen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), die ein angemessenes Datenschutzniveau gewährleisten sollen.

Gemäß der Enterprise- bzw. API-Nutzungsbedingungen von Anthropic werden über die API übermittelte Daten nicht zum Training der KI-Modelle verwendet.

7. Projekt-Repositories (GitHub)

Für die Versionsverwaltung von Projekt-Code und Designentwürfen nutzen wir den Dienst GitHub der GitHub Inc. (88 Colin P. Kelly Jr. Street, San Francisco, CA 94107, USA), einer Tochtergesellschaft der Microsoft Corporation.

Jedes Kundenprojekt wird in einem privaten Repository gespeichert. Dort liegen ausschließlich Quellcode, Designdateien und projektbezogene Konfiguration. Personenbezogene Kundendaten werden nicht im Klartext in den Repositories abgelegt.

Der Zugriff auf die Repositories ist strikt beschränkt auf uns als Betreiber sowie den internen Automations-Account „Cross Studio Bot", der für technische Commits im Rahmen des KI-gestützten Workflows verwendet wird.

Da GitHub Inc. seinen Sitz in den USA hat, findet eine Datenübermittlung in ein Drittland statt. Diese erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

8. Owner-Benachrichtigungen via Telegram

Für interne Owner-Benachrichtigungen zum Projekt-Lifecycle (z. B. „Brief bereit zur Freigabe", „Stage-1 fertig", „Lighthouse-Score liegt vor") nutzen wir den Messaging- Dienst Telegram (Telegram FZ-LLC, Business Bay, Dubai, UAE). Die Nachrichten gehen ausschließlich an den persönlichen Telegram-Account des Inhabers; der Auftraggeber selbst kommuniziert nicht via Telegram mit uns.

An Telegram übermittelt werden:

  • Projekt-Nummer (z. B. CS-2026-XXXX)
  • Vorname und ggf. Firmenname des Auftraggebers
  • Status-Snippets („Brief bereit", „Stage-1 fertig" o. ä.)
  • Auszüge aus generierten Texten (z. B. erste 200 Zeichen eines Outreach-Briefes zur Inhouse-Freigabe)

Telegram hat seinen Sitz außerhalb der EU. Die Datenübermittlung erfolgt auf Grundlage von Art. 49 Abs. 1 lit. b DSGVO (Erforderlichkeit für die Vertragsdurchführung — der Inhaber muss zeitnah Freigaben erteilen können). Die Speicherdauer richtet sich nach den Telegram-Server-Vorgaben; die Owner-Chat-Historie wird regelmäßig lokal bereinigt.

Wenn Sie der Übermittlung an Telegram widersprechen möchten, kann Cross Studio Pipeline-Freigaben nur per E-Mail erteilen — das verlängert die typische Reaktionszeit um 12 bis 24 Stunden. Eine entsprechende Notiz an hallo@cross-studio.de genügt.

9. Ihre Rechte

Sie haben jederzeit folgende Rechte nach DSGVO:

  • Art. 15 — Auskunft über die zu Ihrer Person gespeicherten Daten
  • Art. 16 — Berichtigung unrichtiger Daten
  • Art. 17 — Löschung („Recht auf Vergessenwerden")
  • Art. 18 — Einschränkung der Verarbeitung
  • Art. 20 — Datenübertragbarkeit (Export in maschinenlesbarem Format)
  • Art. 21 — Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen
  • Art. 77 — Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (für Niedersachsen: LfD Niedersachsen)

Self-Service für Auftraggeber. Aktive Kunden mit einem Cross-Studio-Projekt können ihre Rechte nach Art. 17 (Löschung) und Art. 20 (Datenexport) bequem über das Projekt-Portal ausüben:

  • Datenexport (Art. 20): ZIP-Archiv mit allen zum Projekt gespeicherten Daten (Fragebogen, Moodboard, Briefing, Drafts, Nachrichten, Assets, Rechnungen, Aktivitätsprotokoll) im JSON-Format. Endpoint: GET /api/client/<token>/export-data — direkter Download aus dem Portal-Bereich.
  • Löschung (Art. 17): 14-tägige Recovery-Frist als Schutz vor versehentlichem Antrag. Innerhalb dieser Frist kann der Antrag per Email-Link widerrufen werden; danach erfolgt der harte Cascade-Delete (alle Projektdaten, Uploads, GitHub-Repository wird archiviert). Endpoint: POST /api/client/<token>/account/request-deletion.

Steuerliche Aufbewahrung: Rechnungen und Buchhaltungsdaten unterliegen der gesetzlichen 10-jährigen Aufbewahrungsfrist (§ 147 AO). Diese Daten werden bei einer Lösch-Anfrage nicht vollständig entfernt, sondern hinsichtlich personenbezogener Bestandteile anonymisiert (Name, Adresse, E-Mail ersetzt durch Platzhalter „[DSGVO-gelöscht]").

Für sonstige Auskünfte, Berichtigungen oder formlose Anträge erreichen Sie uns unter hallo@cross-studio.de. Wir antworten typisch innerhalb von 7 Tagen, gesetzliche Höchstfrist 30 Tage (Art. 12 Abs. 3 DSGVO).

10. Hosting

Diese Website wird bei netcup GmbH (Karlsruhe, Deutschland) gehostet. Die Server befinden sich in Deutschland. Details zum Datenschutz bei netcup finden Sie unter: netcup Datenschutzerklärung .

11. SSL-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und am Schloss-Symbol in Ihrer Browserzeile.

12. Speicherdauer und Aufbewahrungsfristen

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO — Speicherbegrenzung). Konkret gelten folgende Fristen:

  • Kontaktanfragen ohne Vertragsschluss: 6 Monate ab letztem Kontakt, danach automatische Löschung.
  • Aktive Projekte: für die gesamte Projektlaufzeit + 90 Tage Nachlaufzeit (für Bugfixes und Übergabe-Anfragen).
  • Aktivitätsprotokoll (activity_log): 12 Monate ab Eintrag im Live-System; danach Verschiebung in ein Archiv-System mit weiteren 24 Monaten Aufbewahrung (insgesamt max. 36 Monate). Diese Daten werden nicht regelmäßig ausgewertet, sondern dienen Audit- und Sicherheitszwecken.
  • E-Mails (Versand- und Empfangsverlauf, ohne Rechnungsbezug): 36 Monate. E-Mails mit Bezug zu Rechnungen unterliegen der 10-jährigen Aufbewahrungsfrist nach § 147 AO.
  • Rechnungen, Gutschriften und Buchhaltungsbelege: 10 Jahre (§ 147 AO, § 14b UStG). Bei Lösch-Anfragen werden personenbezogene Bestandteile (Name, Adresse) anonymisiert.
  • Backup-Snapshots: rollend max. 30 Tage. Nach Lösch-Anfrage werden die Daten spätestens mit dem letzten Backup-Rollover auch aus den Snapshots entfernt.

Die technische Umsetzung der automatischen Löschung erfolgt über tägliche Cron-Jobs (scripts/log-retention.js, scripts/dsgvo-purge.js).

13. Auftragsverarbeitung (DSGVO Art. 28)

Bei der Erstellung einer Kunden-Website verarbeiten wir personenbezogene Daten Dritter (z. B. Daten von Website-Besuchern, Newsletter-Abonnenten, Kontaktformular-Einsendungen, Mitarbeiter-Fotos), die der Auftraggeber uns zur Verarbeitung anvertraut. In diesen Fällen ist Cross Studio Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

Mit der Onboarding-E-Mail erhält jeder Auftraggeber automatisch einen ausgefertigten Auftragsverarbeitungsvertrag (AV-Vertrag) als PDF-Anlage. Der Vertrag regelt:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Betroffenenkreise und Datenkategorien
  • Technisch-organisatorische Maßnahmen (TOM) zum Schutz der Daten
  • Unter-Auftragsverarbeiter (Anthropic, GitHub, netcup/Mailcow) inkl. Drittland-Übermittlung
  • Rechte des Auftraggebers (Auskunft, Weisung, Audit, Kündigung)

Mit Vertragsabschluss zum jeweiligen Webdesign-Projekt gilt der AV-Vertrag als verbindlich angenommen.