Datenschutzerklärung

Stand: Februar 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Philipp Schmid
WebGantic
[TODO: Straße und Hausnummer]
[TODO: PLZ Ort]
Deutschland
E-Mail: info@webgantic.com

2. Überblick der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die folgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen:

  • Bestandsdaten: Name, E-Mail-Adresse, Kontodaten
  • Inhaltsdaten: Erstellte Websites, hochgeladene Dateien, Chat-Eingaben
  • Nutzungsdaten: Aufgerufene Seiten, Zugriffszeiten, Funktionsnutzung
  • Meta-/Kommunikationsdaten: IP-Adressen, Browsertyp, Betriebssystem
  • Zahlungsdaten: Zahlungsmethode, Transaktionshistorie (über Stripe)
  • GitHub-Daten: GitHub-Benutzername, Repository-Informationen (bei GitHub-Anbindung)
  • Spracheingaben: Audio-Aufnahmen zur KI-gestützten Website-Erstellung (werden nicht dauerhaft gespeichert)

3. Rechtsgrundlagen

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für die Anbindung von Drittdiensten wie GitHub OAuth oder Google-Anmeldung, sofern Sie diese aktiv nutzen.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Für die Bereitstellung der Plattform, Kontoverwaltung, Hosting Ihrer Websites und Zahlungsabwicklung.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Für die Aufbewahrung von Rechnungsdaten gemäß steuer- und handelsrechtlichen Vorschriften.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Für die Verbesserung der Plattform, Sicherheitsmaßnahmen, Betrugsprävention und anonymisierte Webanalyse.

4. Erhobene Daten

Wir verarbeiten folgende personenbezogene Daten:

  • Kontodaten: E-Mail-Adresse bei der Registrierung. Passwörter werden gehasht gespeichert und sind für uns nicht einsehbar.
  • Profildaten: Optionale Angaben wie Name, Telefonnummer und Firmenname in den Kontoeinstellungen.
  • Nutzungsdaten: IP-Adresse, Browsertyp, Betriebssystem, Zugriffszeiten und aufgerufene Seiten.
  • Inhaltsdaten: Von Ihnen erstellte Websites, hochgeladene Dateien, Texteingaben im KI-Chat und Sprachaufnahmen.
  • Domain-Daten: Von Ihnen hinzugefügte Domains und deren DNS-Konfiguration.
  • GitHub-Daten: Bei Anbindung Ihres GitHub-Kontos: GitHub-Benutzername, Benutzer-ID, Profilbild-URL und Repository-Informationen. Der OAuth-Token wird verschlüsselt gespeichert.
  • Zahlungsdaten: Werden direkt von unserem Zahlungsdienstleister Stripe verarbeitet. Wir speichern lediglich eine Referenz-ID und den Abonnementstatus.

5. Hosting und Infrastruktur

Hetzner Online GmbH: Unsere Server befinden sich bei Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Hetzner verarbeitet Daten in unserem Auftrag ausschließlich in deutschen Rechenzentren innerhalb der Europäischen Union. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Cloudflare, Inc.: Wir nutzen Cloudflare für DNS-Verwaltung und DDoS-Schutz. Cloudflare kann dabei technische Zugriffsdaten (IP-Adresse, aufgerufene URL) verarbeiten. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Verfügbarkeit unseres Dienstes).

Container-Isolation: Kunden-Websites werden in isolierten Docker-Containern mit eingeschränkten Berechtigungen betrieben (Read-Only-Dateisystem, eingeschränkte Linux-Capabilities, PID-Limits), um eine strikte Datentrennung zwischen Kunden sicherzustellen.

6. Authentifizierung

Supabase Auth: Für die Benutzerauthentifizierung nutzen wir Supabase (selbst gehostet auf unseren eigenen Servern in Deutschland). Es werden E-Mail-Adresse und gehashtes Passwort gespeichert. Die Daten verlassen nicht unsere eigene Infrastruktur.

Google-Anmeldung: Optional können Sie sich über Ihr Google-Konto anmelden. Dabei werden von Google Ihre E-Mail-Adresse, Ihr Name und Ihr Profilbild an uns übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Googles Datenschutzerklärung: https://policies.google.com/privacy

GitHub OAuth: Optional können Sie Ihr GitHub-Konto verbinden, um Repositories zu importieren. Dabei werden GitHub-Benutzername, Benutzer-ID und Profilbild übermittelt. Der OAuth-Token wird mit AES-256-GCM verschlüsselt gespeichert und nur zum Zugriff auf Ihre Repositories verwendet. Sie können die Verbindung jederzeit in den Einstellungen trennen, wodurch der Token unwiderruflich gelöscht wird. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

7. Cookies und Speichertechnologien

Wir verwenden ausschließlich technisch notwendige Cookies und Speichertechnologien, die für den Betrieb der Plattform unbedingt erforderlich sind. Diese dienen der Authentifizierung und Sitzungsverwaltung und können nicht deaktiviert werden.

Im Einzelnen verwenden wir:

  • Supabase-Auth-Cookies: Für die Aufrechterhaltung Ihrer Anmeldesitzung (sb-access-token, sb-refresh-token). Ablauf: bei Sitzungsende bzw. nach Refresh-Token-Ablauf.
  • Sprachpräferenz: Speicherung Ihrer gewählten Sprache im Local Storage. Ablauf: dauerhaft bis zur manuellen Löschung.

Wir verwenden keine Tracking-Cookies, Werbe-Cookies oder Cookies von Drittanbietern zu Marketingzwecken. Ein Cookie-Banner ist daher nicht erforderlich.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit § 25 Abs. 2 TDDDG (technisch notwendige Cookies).

8. KI-Verarbeitung

Anthropic (Claude): Für die KI-gestützte Website-Erstellung nutzen wir Dienste der Anthropic, PBC (548 Market St, San Francisco, CA 94104, USA). Dabei werden Ihre Texteingaben und ggf. transkribierte Sprachaufnahmen an die Anthropic-API übermittelt, um Antworten und Website-Code zu generieren.

Verarbeitete Daten: Textnachrichten im Chat-Editor, Spracheingaben (nach Transkription), bestehender Website-Code als Kontext.

Kein KI-Training: Ihre Eingaben werden von Anthropic nicht zum Training der KI-Modelle verwendet. Anthropic speichert API-Anfragen für maximal 30 Tage zu Sicherheits- und Missbrauchspräventionszwecken.

Spracheingabe: Audio-Aufnahmen werden clientseitig im Browser aufgenommen und über die Web Speech API oder Whisper API transkribiert. Die Audio-Dateien werden nach der Transkription nicht dauerhaft gespeichert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für den Drittlandtransfer gelten Standardvertragsklauseln (siehe Abschnitt 11).

9. Zahlungsabwicklung

Die Zahlungsabwicklung erfolgt über Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA) bzw. Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland).

Bei der Zahlungsabwicklung werden folgende Daten an Stripe übermittelt: E-Mail-Adresse, Zahlungsinformationen (Kreditkartennummer, Bankverbindung), Rechnungsadresse und Transaktionsbetrag. Stripe verarbeitet diese Daten eigenverantwortlich als eigener Verantwortlicher.

Wir selbst speichern keine vollständigen Zahlungsdaten. Wir erhalten von Stripe lediglich eine Kunden-ID, den Abonnementstatus und die letzten vier Ziffern Ihrer Karte.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutzerklärung von Stripe: https://stripe.com/de/privacy

10. Webanalyse

Wir verwenden Umami, eine datenschutzfreundliche, selbst gehostete Webanalyse-Lösung. Umami erhebt ausschließlich anonymisierte Nutzungsdaten und setzt keine Cookies. Es werden keine personenbezogenen Daten gespeichert und kein Tracking über verschiedene Websites hinweg durchgeführt.

Die erhobenen Daten (Seitenaufrufe, Referrer, Browser, Betriebssystem, Gerätetyp, Land) werden auf unseren eigenen Servern in Deutschland gespeichert und nicht an Dritte weitergegeben. IP-Adressen werden nicht gespeichert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unserer Plattform). Da keine personenbezogenen Daten verarbeitet werden, ist keine Einwilligung erforderlich.

11. Drittlandtransfer

Einige unserer Dienstleister haben ihren Sitz in den USA, einem Land ohne angemessenes Datenschutzniveau im Sinne der DSGVO. Wir stellen den Schutz Ihrer Daten durch folgende Maßnahmen sicher:

  • Anthropic (Claude API): Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Die Datenverarbeitung beschränkt sich auf die Bearbeitung von API-Anfragen.
  • Stripe: Stripe Payments Europe, Ltd. (Irland) als europäische Gesellschaft. Für US-Datenübertragungen ist Stripe unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
  • Cloudflare: Zertifiziert unter dem EU-US Data Privacy Framework (DPF). Zusätzlich gelten Standardvertragsklauseln.
  • Google (bei Google-Anmeldung): Zertifiziert unter dem EU-US Data Privacy Framework (DPF).
  • GitHub (bei GitHub-Anbindung): Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

12. Speicherdauer

Wir speichern Ihre Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

  • Kontodaten: Bis zur Löschung Ihres Kontos, zuzüglich einer 30-tägigen Nachfrist für den Datenexport.
  • Website-Daten: Bis zur Löschung der jeweiligen Website durch den Kunden oder bis 30 Tage nach Vertragsende.
  • Server-Logs: 30 Tage, danach automatische Löschung.
  • Rechnungsdaten: 10 Jahre gemäß den steuer- und handelsrechtlichen Aufbewahrungspflichten (§ 147 AO, § 257 HGB).
  • GitHub-Token: Bis zur Trennung der GitHub-Verbindung durch den Kunden.
  • Webanalyse-Daten: Anonymisierte Umami-Daten werden unbefristet gespeichert, da sie keine personenbezogenen Daten enthalten.

13. Auftragsverarbeitung

Wir setzen folgende Auftragsverarbeiter ein, mit denen jeweils Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen wurden:

  • Hetzner Online GmbH (Gunzenhausen, Deutschland) — Server-Hosting und Infrastruktur. Standort: Deutschland.
  • Cloudflare, Inc. (San Francisco, USA) — DNS-Verwaltung und DDoS-Schutz. Datenverarbeitung innerhalb des Cloudflare-Netzwerks, europäische Rechenzentren bevorzugt.
  • Anthropic, PBC (San Francisco, USA) — KI-gestützte Content-Generierung. API-only, keine dauerhafte Datenspeicherung.
  • Stripe, Inc. / Stripe Payments Europe, Ltd. (USA / Irland) — Zahlungsabwicklung. Eigenverantwortlicher Verantwortlicher für Zahlungsdaten.

14. Ihre Rechte

Ihnen stehen folgende Rechte nach der DSGVO zu:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Basis von Art. 6 Abs. 1 lit. f DSGVO jederzeit widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter info@webgantic.com. Wir werden Ihre Anfrage unverzüglich, spätestens innerhalb eines Monats, bearbeiten.

15. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen:

  • Verschlüsselte Datenübertragung über TLS/SSL (HTTPS)
  • Verschlüsselte Speicherung sensibler Daten (AES-256-GCM) für Umgebungsvariablen und OAuth-Tokens
  • Gehashte Passwörter (bcrypt)
  • Container-Isolation mit eingeschränkten Berechtigungen (Read-Only-Dateisystem, keine Root-Rechte, PID-Limits)
  • Netzwerksegmentierung durch separate Docker-Netzwerke
  • Regelmäßige Sicherheitsupdates und Monitoring
  • Zugriffskontrolle und Authentifizierung für alle Verwaltungsschnittstellen

16. Beschwerderecht

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Die für uns zuständige Aufsichtsbehörde ist:

[TODO: Zuständige Landesdatenschutzbehörde je nach Bundesland, z.B.:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
https://www.baden-wuerttemberg.datenschutz.de]

Sie können sich auch an die Datenschutzbehörde Ihres gewöhnlichen Aufenthaltsortes wenden.