Skip to content
ClipReachClipReach
Sign In

Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher (Art. 13 Abs. 1 lit. a DSGVO)

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

LMB Marketing UG (haftungsbeschränkt)
handelnd unter dem Namen ClipReach
Olsdorf 26, 53347 Alfter, Deutschland
Vertreten durch: Miro Baumgart
E-Mail: [email protected]

2. Datenschutzbeauftragter (Art. 13 Abs. 1 lit. b DSGVO)

Für unser Unternehmen besteht nach § 38 BDSG derzeit keine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten (weniger als 20 Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind). Für datenschutzrechtliche Anfragen wenden Sie sich bitte an:

[email protected]

3. Kategorien personenbezogener Daten

Wir verarbeiten folgende Kategorien personenbezogener Daten:

Kontodaten

  • Name und E-Mail-Adresse (über OAuth-Login via Clerk)
  • Profilbild (sofern vom OAuth-Anbieter übermittelt)
  • Mit dem Konto verknüpfte Google- oder Discord-Kontoinformationen

Social-Media-Daten

  • Nutzernamen auf Plattformen (TikTok, Instagram, YouTube etc.)
  • Öffentlich einsehbare Followerzahlen und Reichweite
  • Eingereichte Video-URLs und zugehörige öffentliche Metriken

Zahlungs- und Finanzdaten

  • Bankverbindung / Auszahlungsdetails (verarbeitet durch Stripe/PayPal — werden nicht auf unseren Servern gespeichert)
  • Auszahlungshistorie und Guthabenstände
  • Steuerlich relevante Informationen (z. B. Steuernummer, Land)

Nutzungsdaten

  • IP-Adresse und ungefährer Standort
  • Browser-Typ und -Version, Geräteinformationen
  • Zugriffszeitpunkte und aufgerufene Seiten (Server-Logs)

View-Verifizierungsdaten

  • Öffentlich abrufbare Aufrufzahlen und Engagement-Metriken auf sozialen Plattformen (erhoben über automatisiertes Web-Scraping via Bright Data)
  • Zeitstempel der Verifizierungsabfragen

Steuerliche Identifikationsdaten

  • Steueridentifikationsnummer (TIN / Steuer-ID), steuerlicher Wohnsitz, Geburtsdatum (erhoben für DAC7/PStTG-Meldepflicht und Quellensteuereinbehalt nach § 50a EStG)
  • Freistellungsbescheinigungen nach § 50a EStG (sofern von Creator mit Sitz außerhalb Deutschlands vorgelegt)

4. Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

Registrierung & Authentifizierung (Clerk)

Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung. Die Verarbeitung ist zur Kontoerstellung und Bereitstellung der Plattform notwendig.

Kampagnenverwaltung und Creator-Teilnahme

Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung. Verarbeitung zur Durchführung und Abrechnung von Creator-Kampagnen.

Zahlungsabwicklung und Creator-Auszahlungen (Stripe/PayPal)

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung nach HGB, AO, Geldwäschegesetz).

View-Verifizierung und Betrugsprävention (Bright Data)

Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse. ClipReach setzt automatisiertes Web-Scraping öffentlich zugänglicher Social-Media-Daten (Aufrufzahlen, Engagement-Metriken) ein, um die Kampagnenleistung zu verifizieren, eine korrekte Vergütungsberechnung sicherzustellen und Abrechnungsbetrug zu verhindern. Es werden ausschließlich aggregierte Metriken (Aufrufzahlen) von öffentlichen Seiten erhoben — keine Daten einzelner Zuschauer werden verarbeitet. Eine Interessenabwägung gemäß EDPB-Leitlinien 1/2024 wurde durchgeführt. Da die View-Verifizierung für den Plattformbetrieb essenziell ist, kann ein Widerspruch nach Art. 21 DSGVO die Nutzung des Dienstes beeinträchtigen (vgl. Abschnitt 8). Da nur öffentlich zugängliche Metriken erhoben werden, überwiegt unser berechtigtes Interesse. Es handelt sich um eine Erhebung von Daten aus einer anderen Quelle als der betroffenen Person im Sinne von Art. 14 DSGVO.

Fehlerüberwachung und IT-Betrieb (Sentry)

Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse an der Sicherstellung eines stabilen und sicheren Plattformbetriebs.

Website-Hosting und CDN (Vercel)

Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse an der technischen Bereitstellung der Website.

Aufbewahrung von Buchführungsunterlagen

Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung nach §§ 147 AO, 257 HGB.

Steueridentifikation und Quellensteuereinbehalt (§ 50a EStG)

Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung. Verarbeitung von Angaben zum steuerlichen Wohnsitz sowie Berechnung und Einbehalt von Quellensteuer nach § 50a EStG für Creator mit Sitz außerhalb Deutschlands.

Freistellungsbescheinigungen nach § 50a EStG

Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung. Verarbeitung von Freistellungsbescheinigungen, die von Creator außerhalb Deutschlands zum Nachweis der Befreiung vom Quellensteuereinbehalt vorgelegt werden.

Analyse-Cookies (sofern eingesetzt)

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung. Wir setzen derzeit keine Analyse- oder Marketing-Cookies ein. Sollte sich dies ändern, werden wir zuvor Ihre Einwilligung einholen.

5. Empfänger und Auftragsverarbeiter (Art. 13 Abs. 1 lit. e DSGVO)

Wir setzen folgende Dienstleister (Auftragsverarbeiter gemäß Art. 28 DSGVO) ein:

Clerk, Inc. — Authentifizierung

Zweck: Nutzerregistrierung, Login (Google OAuth, Discord OAuth), Sitzungsverwaltung.
Übertragene Daten: Name, E-Mail, OAuth-Token, Geräteinformationen.
Sitz: USA — San Francisco, CA.
Übertragungsgrundlage: EU-US Data Privacy Framework (DPF), Art. 45 DSGVO.

Supabase, Inc. — Datenbank und Backend-Infrastruktur

Zweck: Speicherung von Kontodaten, Kampagnendaten, Einreichungen, Auszahlungshistorie.
Übertragene Daten: Alle auf der Plattform gespeicherten personenbezogenen Daten.
Sitz: USA — San Francisco, CA (Datenbankserver in der EU — Frankfurt, AWS eu-central-1).
Übertragungsgrundlage: EU-US Data Privacy Framework (DPF) oder Standardvertragsklauseln (SCC), Art. 46 DSGVO.

Bright Data Ltd. — View-Verifizierung

Zweck: Abruf öffentlicher Metriken (Aufrufzahlen, Engagement) von sozialen Plattformen zur Verifizierung von Creator-Einreichungen und zur Betrugsprävention.
Übertragene Daten: Öffentliche Social-Media-URLs und Metriken (keine direkten Identifikatoren).
Sitz: Israel.
Übertragungsgrundlage: EU-Angemessenheitsbeschluss für Israel, Art. 45 DSGVO.

Stripe Payments Europe, Limited — Zahlungsabwicklung und Creator-Auszahlungen

Zweck: Abwicklung von Zahlungen (Brands) und Auszahlungen an Creator. Identitäts- und KYC-Prüfung gemäß Geldwäschegesetz.
Übertragene Daten: Name, Bankverbindung, Auszahlungsdetails, steuerliche Informationen.
Sitz: Dublin, Irland (EU). Für Unterverarbeitung durch Stripe, Inc. (USA):
Übertragungsgrundlage (USA): EU-US Data Privacy Framework (DPF), Art. 45 DSGVO.

PayPal (Europe) S.à r.l. et Cie, S.C.A. — Zahlungsabwicklung

Zweck: Alternative Zahlungsabwicklung und Creator-Auszahlungen.
Übertragene Daten: Name, Bankverbindung, Auszahlungsdetails.
Sitz: Luxemburg (EU). Für konzerninterne Datenübermittlungen:
Übertragungsgrundlage: Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules — BCR), Art. 47 DSGVO.

Vercel, Inc. — Website-Hosting und CDN

Zweck: Bereitstellung und Auslieferung der Webanwendung; Verarbeitung von HTTP-Anfragen.
Übertragene Daten: IP-Adresse, HTTP-Header, aufgerufene URLs (Server-Logs).
Sitz: USA — San Francisco, CA.
Übertragungsgrundlage: EU-US Data Privacy Framework (DPF), Art. 45 DSGVO.

Sentry (Functional Software, Inc.) — Fehlerüberwachung

Zweck: Automatisiertes Erfassen von Anwendungsfehlern und Abstürzen zur Sicherstellung der Plattformstabilität.
Übertragene Daten: Stack Traces, Fehlermeldungen, IP-Adresse, Geräteinformationen (keine Zahlungs- oder Passwortdaten).
Sitz: USA — San Francisco, CA.
Übertragungsgrundlage: EU-US Data Privacy Framework (DPF), Art. 45 DSGVO.

Resend (Plus Five Five, Inc.) — Transaktionale E-Mails

Zweck: Versand von Benachrichtigungen, Systemhinweisen und transaktionalen E-Mails.
Übertragene Daten: E-Mail-Adressen, E-Mail-Inhalte (Benachrichtigungstext).
Sitz: USA — San Francisco, CA.
Übertragungsgrundlage: EU-US Data Privacy Framework (DPF), Art. 45 DSGVO.

Bundeszentralamt für Steuern (BZSt) — DAC7 / PStTG-Meldung

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung nach dem Plattformen-Steuertransparenzgesetz (PStTG), das die EU-Richtlinie 2021/514 (DAC7) in deutsches Recht umsetzt.

ClipReach ist als digitale Plattform gesetzlich verpflichtet, bestimmte Creator-Daten jährlich bis zum 31. Januar für das vorausgegangene Kalenderjahr an das Bundeszentralamt für Steuern (BZSt) zu melden. Gemeldet werden: Name, Anschrift, Geburtsdatum, Steueridentifikationsnummer (TIN), Gesamtvergütung, Anzahl der Transaktionen sowie einbehaltene Gebühren. Das BZSt kann diese Informationen im Wege des automatischen Informationsaustauschs an Steuerbehörden anderer EU-Mitgliedstaaten übermitteln.

Darüber hinaus können wir Daten an Steuerbehörden, Gerichte oder Strafverfolgungsbehörden übermitteln, soweit wir hierzu gesetzlich verpflichtet sind (Art. 6 Abs. 1 lit. c DSGVO).

6. Internationale Datenübermittlungen (Art. 44–49 DSGVO)

Einige unserer Dienstleister haben ihren Sitz außerhalb der EU/des EWR. Wir stellen sicher, dass für alle Drittlandübermittlungen ein angemessenes Schutzniveau besteht:

DienstleisterLandÜbertragungsgrundlage
ClerkUSAEU-US Data Privacy Framework (Art. 45)
SupabaseUSADPF / SCC (Art. 45 / Art. 46)
VercelUSAEU-US Data Privacy Framework (Art. 45)
SentryUSAEU-US Data Privacy Framework (Art. 45)
Bright DataIsraelEU-Angemessenheitsbeschluss (Art. 45)
Stripe, Inc.USAEU-US Data Privacy Framework (Art. 45)
PayPalkonzerninternBinding Corporate Rules (Art. 47)
ResendUSAEU-US Data Privacy Framework (Art. 45)

Kopien der Standardvertragsklauseln können auf Anfrage bei [email protected] angefordert werden.

7. Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO)

Wir speichern personenbezogene Daten nur so lange, wie dies für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Kontodaten: Für die Dauer des aktiven Kontos; nach Kontolöschung noch 30 Tage (Wiederherstellungsfrist), danach unwiderrufliche Löschung.
  • Zahlungsbelege und Buchungsunterlagen: 8 Jahre nach Entstehung (§ 147 Abs. 1 Nr. 4 AO, § 257 Abs. 1 Nr. 4 HGB — Aufbewahrungsfrist seit 1. Januar 2025 auf 8 Jahre reduziert).
  • Jahresabschlüsse und Handelsbücher: 10 Jahre (§ 147 Abs. 1 Nr. 1 AO).
  • Geschäftsbriefe und Vertragsdokumentation: 6 Jahre (§ 147 Abs. 1 Nr. 2, 3 AO) bzw. 3 Jahre nach Vertragsende (§ 195 BGB), soweit steuerrechtliche Anforderungen nicht längere Fristen bedingen.
  • Server-Logs (IP-Adresse): 30 Tage, danach automatische Löschung.
  • Einwilligungsnachweise: 3 Jahre ab Erteilung der Einwilligung (§ 195 BGB).
  • Vertragsdaten: 3 Jahre nach Vertragsende (§ 195 BGB), bei steuerlicher Relevanz länger gemäß AO/HGB.
  • Steuermeldedaten (DAC7 / PStTG): 10 Jahre (§ 147 Abs. 1 Nr. 1 AO — als Bestandteil der jährlichen Steuerunterlagen).
  • Quellensteuerbelege (§ 50a EStG): 8 Jahre (§ 147 Abs. 1 Nr. 4 AO).
  • Freistellungsbescheinigungen: Dauer der Gültigkeit der Bescheinigung zuzüglich 8 Jahre (§ 147 Abs. 1 Nr. 4 AO).

8. Ihre Rechte als betroffene Person (Art. 15–21 DSGVO)

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten Daten, deren Herkunft, Empfänger und Verarbeitungszweck verlangen.
  • Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen, solange die Rechtmäßigkeit der Verarbeitung geprüft wird.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
  • Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) jederzeit widersprechen. Wir verarbeiten Ihre Daten dann nicht mehr, sofern keine zwingenden schutzwürdigen Gründe vorliegen. Bitte beachten Sie: Da die View-Verifizierung durch automatisiertes Web-Scraping öffentlicher Plattformdaten für den Betrieb des Dienstes essenziell ist, kann ein Widerspruch gegen diese Verarbeitung die Nutzbarkeit der Plattform wesentlich einschränken oder eine weitere Teilnahme an Kampagnen ausschließen.
  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: [email protected]

9. Beschwerderecht bei der Aufsichtsbehörde (Art. 13 Abs. 2 lit. d DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Zuständige Aufsichtsbehörde ist die für den Sitz unseres Unternehmens zuständige Landesbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestr. 2-4, 40213 Düsseldorf
E-Mail: [email protected]
Web: www.ldi.nrw.de

Eine Liste aller deutschen Aufsichtsbehörden finden Sie auf der Website der Datenschutzkonferenz (DSK) unter datenschutzkonferenz-online.de.

10. Cookies (§ 25 TDDDG)

Unsere Plattform verwendet Cookies und ähnliche Technologien. Nach § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ist für technisch notwendige Cookies keine Einwilligung erforderlich.

Technisch notwendige Cookies (keine Einwilligung erforderlich)

  • Clerk Auth-Session-Cookie: Speichert die Anmeldesitzung. Sitzungsdauer; technisch zwingend erforderlich.
  • CSRF-Token: Schutz gegen Cross-Site-Request-Forgery. Sitzungsdauer; technisch zwingend erforderlich.
  • Supabase-Sitzungs-Cookie: Authentifizierung gegenüber dem Backend. Sitzungsdauer; technisch zwingend erforderlich.

Analyse- und Marketing-Cookies (Einwilligung nach § 25 Abs. 1 TDDDG)

Wir setzen derzeit keine Analyse- oder Marketing-Cookies ein. Sollten wir zukünftig solche Cookies einsetzen, werden wir zuvor Ihre ausdrückliche Einwilligung über ein Cookie-Consent-Banner einholen.

11. Automatisierte Entscheidungsfindung (Art. 13 Abs. 2 lit. f, Art. 22 DSGVO)

Wir setzen automatisierte Verarbeitungsprozesse ein, die für Sie rechtliche oder ähnlich bedeutsame Auswirkungen haben können:

  • View-Verifizierung: Die Auszahlung von Vergütungen an Creator erfolgt auf Basis automatisiert ermittelter Aufrufzahlen. Eingereichte Videos werden durch Bright Data verifiziert; die berechnete Vergütung ergibt sich direkt aus dem Ergebnis dieser automatisierten Prüfung.
  • Automatisierte Betrugserkennung: Zur Prävention von Abrechnungsbetrug (z. B. künstlich generierte Views) setzen wir automatisierte Prüfroutinen ein, die Einreichungen sperren oder zur manuellen Überprüfung markieren können.

Sie haben das Recht, eine manuelle Überprüfung automatisierter Entscheidungen zu verlangen. Wenden Sie sich dazu an [email protected].

12. Pflicht zur Bereitstellung von Daten (Art. 13 Abs. 2 lit. e DSGVO)

Die Angabe von Kontodaten (Name, E-Mail) ist Voraussetzung für die Nutzung der Plattform. Ohne diese Daten kann kein Nutzerkonto angelegt werden. Die Angabe von Bankverbindungs- und Auszahlungsdaten ist erforderlich, um Creator-Vergütungen auszahlen zu können; ohne diese Angaben ist eine Auszahlung nicht möglich. Alle weiteren Daten (z. B. Social-Media-Nutzernamen) sind für die Teilnahme an Kampagnen notwendig, aber nicht für die bloße Kontoerstellung.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, um sie an geänderte Rechtslagen, technische Weiterentwicklungen oder neue Verarbeitungstätigkeiten anzupassen. Bei wesentlichen Änderungen werden wir Sie per E-Mail oder über eine gut sichtbare Hinweismeldung auf der Plattform informieren. Das Datum der letzten Aktualisierung ist stets am Anfang dieser Erklärung angegeben.

14. Kontakt

Für alle datenschutzrechtlichen Anfragen und zur Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte an:

LMB Marketing UG (haftungsbeschränkt)
handelnd unter dem Namen ClipReach
Olsdorf 26, 53347 Alfter, Deutschland
E-Mail: [email protected]

Wir bemühen uns, Ihre Anfrage innerhalb von 30 Tagen zu beantworten (Art. 12 Abs. 3 DSGVO).