Datenschutzerklärung

Diese Erklärung informiert dich darüber, welche personenbezogenen Daten wir verarbeiten, wenn du https://buust.de besuchst, ein Konto bei Buust anlegst oder unsere Dienste nutzt. Wir verarbeiten nur, was wir brauchen — und nur so lange, wie wir es brauchen.

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:
Buust, Inhaber: Felix Dennis Wittmann
c/o STARTPLATZ, Im Mediapark 5
50670 Köln
Deutschland
E-Mail: info@buust.de

Anfragen zum Datenschutz bitte an info@buust.de richten. Eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht für uns derzeit nicht.

2. Begriffe und Grundsätze

„Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen — z. B. dein Name, deine E-Mail-Adresse oder deine IP-Adresse. Wir verarbeiten diese Daten ausschließlich auf Grundlage der DSGVO und des Bundesdatenschutzgesetzes (BDSG). Wir verkaufen keine Daten, wir tauschen keine Daten und wir nutzen keine Daten für werbliche Profilbildung Dritter.

3. Aufruf der Website (Server-Logs)

Beim bloßen Besuch unserer Website werden automatisch Daten erfasst, die dein Browser übermittelt: IP-Adresse, Datum und Uhrzeit der Anfrage, aufgerufene URL, Referrer, Browser-Typ und Sprache. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) zur Sicherstellung von Betrieb, Stabilität und Sicherheit. IP-Adressen werden gekürzt bzw. nach maximal 30 Tagen gelöscht, sofern nicht ein konkreter Sicherheitsvorfall eine längere Aufbewahrung erfordert.

4. Hosting und technische Dienstleister

Wir betreiben Buust nicht selbst auf einem eigenen Server unter dem Schreibtisch, sondern setzen auf etablierte europäische und transatlantische Infrastruktur. Alle Auftragsverarbeiter sind vertraglich nach Art. 28 DSGVO gebunden; bei Übermittlungen in Drittstaaten greifen Standardvertragsklauseln (SCC) und ergänzende Garantien.

• Vercel Inc. (USA) — Hosting der Web-Anwendung. Datenverarbeitung in der Region Frankfurt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.
• Neon Inc. (USA) — verwaltete PostgreSQL-Datenbank, Region EU.
• Upstash Inc. (USA) — Redis-Cache, Workflow-Engine und QStash-Scheduler, jeweils mit Endpunkten in der EU.
• Cloudflare, Inc. (USA) — CDN, DDoS-Schutz und Bot-Schutz via Turnstile. Turnstile arbeitet cookielos und erzeugt keine Profilbildung; Details siehe Abschnitt 11.
• Eigene Render-Worker auf Hetzner-Servern in Deutschland — sie erhalten ausschließlich anonymisierte Render-Spezifikationen, keine Zugangsdaten.

5. Konto, Anmeldung und Login

Wenn du ein Konto anlegst, verarbeiten wir die zur Authentifizierung notwendigen Daten: E-Mail-Adresse, optional Name, sowie — bei Passwort-Login — einen mit bcrypt/scrypt gehashten Passwortwert. Wir bieten zusätzlich Magic-Link-Login (Versand eines Einmal-Links per E-Mail) und ggf. OAuth-Login über Drittanbieter (z. B. Google) an, sofern dies aktiviert ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -durchführung).

Bei Passwortänderungen werden alte Sitzungen automatisch invalidiert. Bei mehrfach fehlgeschlagenen Anmeldeversuchen greift ein Rate-Limit (Schutz vor Brute-Force, Art. 6 Abs. 1 lit. f DSGVO).

6. Marketplace-Verbindungen (eBay, Shopify, Amazon)

Damit Buust dir aus deinen Listings Videos erzeugen und auf Wunsch in die Listings zurückspielen kann, verbindest du dein Marketplace-Konto per OAuth. Wir speichern dabei:

• OAuth-Access- und Refresh-Token — verschlüsselt mit einem pro Organisation per HKDF abgeleiteten Schlüssel,
• deine Händler-ID bzw. Shop-Domain,
• von dir importierte Listing-Daten (Titel, Beschreibung, Bilder, Aspekte).

Wir greifen ausschließlich auf die Scopes zu, die für die jeweilige Funktion nötig sind (Listings lesen, Videos hochladen, Bestellungen lesen — je nach Marketplace). Du kannst eine Verbindung jederzeit im Dashboard trennen; die zugehörigen Tokens werden dann sofort entwertet und nach maximal 30 Tagen hart aus unserer Datenbank gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7. Social-Verbindungen (YouTube, Instagram, TikTok, Facebook, Pinterest, LinkedIn, X, Threads)

Analog zu Marketplaces speichern wir bei Social-Verbindungen nur die OAuth-Tokens (verschlüsselt) und Plattform-IDs. Inhalte, die wir veröffentlichen, kommen ausschließlich aus den von dir erstellten Render-Aufträgen — wir erzeugen oder posten nichts ohne deinen ausdrücklichen Auftrag. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

8. Rendering und Video-Erzeugung

Wenn du einen Render-Auftrag startest, übermitteln wir an unseren Render-Worker eine immutable JSON-Spezifikation des Videos (Texte, Bild-URLs, Template, Musik-Wahl) — jedoch keine Login-Daten und keine Tokens. Der Worker erzeugt das MP4, lädt es in unseren Speicher und meldet den Abschluss zurück. Das erzeugte Video wird deinem Konto zugeordnet und steht dir bis zur Kontolöschung zur Verfügung.

9. Zahlungen (Stripe und Shopify Billing)

Zahlungen laufen über Stripe Payments Europe Ltd. (Irland) bzw. bei Nutzung des Shopify-App-Channels über Shopify International Ltd. (Irland). Wir erhalten von Stripe nur eine Kunden-ID, den Zahlungsstatus und Rechnungsdaten — keine vollständigen Zahlungsmittel-Daten (Kartennummer o. ä.). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Steuer- und handelsrechtliche Aufbewahrungspflichten (6/10 Jahre, §§ 257 HGB, 147 AO) bleiben unberührt.

10. E-Mail-Versand

Wir versenden transaktionale Mails (Login-Links, Render-Bestätigungen, Account-Hinweise, Rechnungen) und produktbezogene Lifecycle-Mails (Hilfe-Mails, wenn eine Funktion ungenutzt ist) sowie — auf Wunsch — Newsletter über Resend, Inc. (USA, mit EU-Region). Transaktionale Mails: Art. 6 Abs. 1 lit. b DSGVO. Lifecycle/Marketing an Bestandskunden: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 7 Abs. 3 UWG (Soft-Opt-In) oder Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Du findest in jeder Marketing-Mail einen One-Click-Abmeldelink.

11. Demo-Funktion auf der Startseite

Wenn du auf buust.de die kostenlose Demo-Funktion nutzt, verarbeiten wir folgende Daten ausschließlich für die Bereitstellung deines Demo-Videos:

• Deine E-Mail-Adresse — damit wir dir den Video-Link zustellen können.
• Die von dir eingegebene Listing-URL (eBay oder Shopify).
• Einen einseitig gehashten Wert deiner IP-Adresse (kein Klartext-Logging) zum Schutz vor Missbrauch.
• Browser-Kennung (User-Agent) und Referrer — zur Spam-Forensik.

Diese Daten werden nach 30 Tagen automatisch gelöscht; das gerenderte Video wird im selben Zug aus unserem Speicher entfernt. Legst du im Anschluss an die Demo ein Konto an, wird dein bisheriger Demo-Eintrag deinem neuen Konto zugeordnet und bleibt erhalten, solange das Konto existiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme auf dein Ersuchen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsabwehr).

Zum Schutz vor automatisierten Anfragen setzen wir Cloudflare Turnstile ein — ein cookieloses Bot-Schutz-Verfahren, das keine personenbezogenen Daten zur Profilbildung verarbeitet.

12. Cookies, Local Storage und ähnliche Technologien

Wir setzen ausschließlich technisch notwendige Cookies bzw. Local-Storage-Einträge, insbesondere zur Aufrechterhaltung deiner Sitzung nach dem Login sowie zum CSRF-Schutz. Wir setzen keine Cookies zu Tracking-, Werbe- oder Reichweitenanalyse-Zwecken. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderliche Speicherung) und Art. 6 Abs. 1 lit. f DSGVO. Ein Cookie-Banner ist deshalb nicht erforderlich.

13. Empfänger der Daten

Empfänger sind die in Abschnitt 4, 9 und 10 genannten Auftragsverarbeiter sowie — auf deine Veranlassung — die von dir verbundenen Marketplace- und Social-Plattformen. Eine Weitergabe an sonstige Dritte erfolgt nur, wenn dies gesetzlich vorgeschrieben ist (z. B. Auskunft an Strafverfolgungsbehörden) oder du ausdrücklich eingewilligt hast.

14. Drittstaatentransfer

Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA. Soweit dabei personenbezogene Daten in ein Drittland übermittelt werden, geschieht dies auf Grundlage des EU-US Data Privacy Framework (sofern der Empfänger zertifiziert ist), ergänzend auf Grundlage der Standardvertragsklauseln (SCC, Durchführungsbeschluss (EU) 2021/914) und nach Maßgabe zusätzlicher technischer Schutzmaßnahmen (Verschlüsselung im Transit und at-rest, pseudonymisierter Verarbeitungsumfang).

15. Speicherdauer

• Kontostammdaten: bis zur Kontolöschung.
• OAuth-Tokens nach Verbindungstrennung: maximal 30 Tage (Soft-Delete + Purge).
• Render-Jobs und erzeugte Videos: bis zur Kontolöschung oder bis du sie löschst.
• Demo-Einträge ohne nachfolgendes Konto: 30 Tage.
• Server-Logs: bis zu 30 Tage.
• Rechnungs- und Buchhaltungsdaten: 6 bzw. 10 Jahre (gesetzliche Pflicht).
• Webhook-/Audit-Logs: bis zu 12 Monate (Forensik, Betrugsabwehr).

16. Datensicherheit

Alle Übertragungen erfolgen TLS-verschlüsselt. Sensible Geheimnisse (Marketplace- und Social-OAuth-Tokens) werden in der Datenbank at-rest mit einem pro Organisation per HKDF abgeleiteten Schlüssel verschlüsselt; ein einzelnes Datenbank-Leak gibt also keine nutzbaren Tokens preis. Worker-Aufrufe zwischen Web-App und Render-Worker laufen über zwei unabhängige Geheimnisse (Bearer-Auth + HMAC-signiertes Dispatch-Token), damit eine Komponente allein nicht ausreicht, um Aufträge oder Rückrufe zu fälschen.

17. Deine Rechte als betroffene Person

Dir stehen die folgenden Rechte zu:

• Auskunft über deine bei uns gespeicherten Daten (Art. 15 DSGVO),
• Berichtigung unrichtiger Daten (Art. 16 DSGVO),
• Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO),
• Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Datenübertragbarkeit in einem strukturierten, gängigen Format (Art. 20 DSGVO),
• Widerspruch gegen Verarbeitungen, die auf berechtigtem Interesse beruhen (Art. 21 DSGVO),
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Schreib uns dafür einfach an info@buust.de. Für die Kontolöschung gibt es zusätzlich einen Self-Service im Dashboard.

18. Beschwerderecht

Du hast jederzeit das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner Daten zu beschweren — insbesondere bei der für deinen Aufenthaltsort zuständigen Landesdatenschutzbehörde oder bei der für unseren Sitz zuständigen Behörde.

19. Automatisierte Entscheidungen, Profiling

Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO (insbesondere Profiling) findet bei Buust nicht statt.

20. Änderungen dieser Erklärung

Wir passen diese Erklärung an, wenn wir neue Funktionen einführen oder sich gesetzliche Anforderungen ändern. Die jeweils aktuelle Fassung findest du immer hier unter buust.de/legal/privacy.

Stand: Juni 2026