Zum Inhalt springen
HyBrayn SkillsClaude Cowork Marktplatz

Rechtliches

Datenschutzerklärung

Wie wir Daten verarbeiten und wer beteiligt ist.

Datenschutzerklärung — Skill-Marketplace

Stand: 2026-05-26 (vorläufig, finales Datum bei Live-Schaltung setzen)

DRAFT — Anwaltsprüfung vor Live-Schaltung erforderlich.

Rechtsrahmen-Annahme dieses Drafts (vom Anwalt zu bestätigen):

  • GDPR (Verordnung (EU) 2016/679) gilt EU-weit einheitlich.
  • Niederlassung des Verantwortlichen: Bulgarien (Varna) → bulgarisches Закон за защита на личните данни (KZLD) als nationales Ausführungsgesetz, federführende Aufsichtsbehörde ist die bulgarische Komisia za zashtita na lichnite danni (KZLD-Kommission, kzld.bg).
  • DE-Nutzer haben gemäß Art. 77 DSGVO zusätzlich die Wahl, sich bei ihrer Landes-Datenschutzbehörde zu beschweren (in der Praxis kümmern sich BfDI / Landes-DSBs um die Beschwerde und tauschen sich mit BG-KZLD aus).
  • Drittlandstransfers in die USA (Cloudflare, Supabase, Google, Lemon Squeezy): DPF-Adäquanzbeschluss + SCC als Fallback. Post-Stripe-Akquise: LS-DPF-Status pre-Launch verifizieren.

1. Verantwortliche Stelle

Verantwortlich im Sinne der DSGVO und des KZLD ist:

HyBrayn Ltd. ("ХайБрейн" ООД) Vladislav Varnenchik Bvld. 112, 5. Stock 9000 Varna, Bulgarien EIK 208576740

E-Mail: [email protected] Telefon: +359 887322525

Weitere Angaben zum Anbieter siehe Impressum.

2. Datenschutzbeauftragter

Nach Art. 37 DSGVO i. V. m. Art. 51 KZLD besteht für HyBrayn Ltd. (Mitarbeiterzahl < 20, keine umfangreiche systematische Überwachung) keine Pflicht zur Bestellung eines Datenschutzbeauftragten. Eine freiwillige Bestellung erfolgt derzeit nicht.

Anfragen zu Datenschutzthemen richten Sie bitte an [email protected].

3. Allgemeines zur Datenverarbeitung

3.1 Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer auf Grundlage folgender Vorschriften:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — bei optionalen Cookies, UTM-Tracking, Newsletter
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) — bei Kauf eines Skills, Bereitstellung des Downloads
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) — Aufbewahrung von Buchungsbelegen nach bulgarischem Buchhaltungsgesetz (Закон за счетоводството) bzw. bei Verkauf in DE nach §147 AO
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — Spam-Schutz, Sicherheitslogs, Webhosting-Logs

3.2 Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es zur Erreichung des Verarbeitungszwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Buchungsbelege (Rechnungen, Lizenzschlüssel, Zahlungsnachweise): 10 Jahre gemäß Art. 38 Abs. 1 des bulgarischen Buchhaltungsgesetzes. Für Vorgänge mit deutschem Steuerbezug zusätzlich 8 Jahre §147 Abs. 3 AO (i. d. F. BEG IV vom 01.01.2025) — die längere Frist greift.
  • Lead-Daten ohne Kauf: 12 Monate ab letztem Kontakt, danach Anonymisierung oder Löschung
  • Cookie-Consent: bis zu 12 Monate ab Zustimmung
  • Webhook-Rohdaten (Lemon Squeezy raw_webhook): 90 Tage, danach automatische PII-Anonymisierung (siehe Abschnitt 5.6)

4. Datenverarbeitung auf der Website

4.1 Hosting durch Cloudflare Pages

Diese Website wird gehostet bei:

Cloudflare, Inc. 101 Townsend Street San Francisco, CA 94107, USA

Verarbeitete Daten: IP-Adresse (in unserer Konfiguration vor der Weiterleitung an unseren Server entfernt), Browser- und Geräteinformationen, Datum/Uhrzeit der Anfrage, übermittelte URL, Statuscode.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Website).

Drittlandtransfer: Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert (Adäquanzbeschluss gemäß Art. 45 DSGVO). Zusätzlich bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO als Fallback.

Cloudflare Privacy Notice: https://www.cloudflare.com/privacypolicy/ Auftragsverarbeitungsvertrag (AVV) abgeschlossen: ja.

4.2 Spam-Schutz durch Cloudflare Turnstile

Zur Abwehr von Bots in Formularen setzen wir Cloudflare Turnstile ein. Das Skript wird erst beim Aufruf eines konkreten Formulars geladen (lazy-per-form), nicht site-weit.

Verarbeitete Daten: IP-Adresse, Browser-Fingerprint, Mausbewegungen, Cookie-Identifier (cf_chl_*).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Spam-Schutz, geringe Eingriffsintensität durch lazy-load). Für die §25 TDDDG-konforme Bewertung argumentieren wir „strictly necessary für den Formular-Submit" gemäß §25 Abs. 2 Nr. 2 TDDDG.

Drittlandtransfer: siehe Abschnitt 4.1.

4.3 UTM-Attribution

Bei Aufruf der Website mit UTM-Parametern (z. B. von Social-Media-Posts) speichern wir diese in einem First-Party-Cookie (hy_utm, Laufzeit 30 Tage), um spätere Käufe der ursprünglichen Marketingmaßnahme zuordnen zu können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner). Das Cookie wird erst nach Einwilligung gesetzt.

5. Datenverarbeitung beim Kauf eines Skills

5.1 Zahlungsabwicklung durch Lemon Squeezy (Merchant of Record)

Der Kaufprozess (Eingabe von Zahlungsdaten, Auswahl der Zahlungsmethode) erfolgt direkt im Checkout-System von:

Lemon Squeezy / Affirm Inc. 30 W. 26th Street, 6th Floor New York, NY 10010, USA

Verarbeitete Daten (durch Lemon Squeezy): Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsdaten (Karte / PayPal / IBAN), USt-IdNr. (optional), IP-Adresse, Einwilligung zur sofortigen Vertragsausführung gemäß § 356 Abs. 5 BGB (Custom Field verzicht_consent für Verbraucher) und B2B/B2C-Status (Custom Field is_business).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

Wichtig: Lemon Squeezy ist Merchant of Record und damit eigenständig datenschutzrechtlich Verantwortlicher (kein Auftragsverarbeiter im Sinne des Art. 28 DSGVO). HyBrayn Ltd. erhält von Lemon Squeezy lediglich: Bestellnummer, Käufer-E-Mail, Skill-ID, Kaufbetrag, Zeitpunkt, is_business-Flag, consent_text + consent_at (verbatim, für § 312f BGB-Vertragsbestätigung erforderlich).

Lemon Squeezy Datenschutzerklärung: https://www.lemonsqueezy.com/privacy

Drittlandtransfer: Lemon Squeezy verarbeitet Daten teilweise in den USA. Es bestehen Standardvertragsklauseln; Lemon Squeezy hat eigene DPF-Zertifizierung (Status zum Veröffentlichungsdatum prüfen).

5.2 Bereitstellung des Downloads durch HyBrayn

Nach erfolgter Zahlung übermittelt Lemon Squeezy uns die Käuferdaten via Webhook. Wir verarbeiten:

  • E-Mail-Adresse (Versand der Bestätigungsmail mit Lizenzschlüssel)
  • Bestellnummer + Kaufbetrag (Buchhaltung, Lizenzverwaltung)
  • Lizenzschlüssel (Zugang zum Kundenportal)
  • B2B/B2C-Flag + ggf. Consent-Wortlaut + Consent-Zeitpunkt (Nachweis § 312f BGB)
  • UTM-Parameter (aus dem Lemon-Squeezy-Custom-Field, sofern bei Klick vorhanden)

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung), Art. 6 Abs. 1 lit. c DSGVO (Aufbewahrungspflicht 10 J bulg. Buchhaltungsgesetz / 8 J §147 AO).

5.3 Datenbank: Supabase

Wir speichern die unter 5.2 genannten Daten in einer PostgreSQL-Datenbank, die wir bei Supabase Inc. (Region Frankfurt/Deutschland) betreiben.

Supabase Inc. 970 Toa Payoh North #07-04, Singapore 318992 / 100 Centre St, San Francisco, CA 94103, USA

Region unserer Datenbank: Frankfurt am Main (EU-Hosting). Damit findet KEIN regulärer Drittlandtransfer statt. Bei Support-Anfragen kann es im Einzelfall zu Zugriffen aus den USA kommen; hierfür bestehen Standardvertragsklauseln.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler Infrastruktur). AVV abgeschlossen: ja. Supabase Privacy Policy: https://supabase.com/privacy

5.4 E-Mail-Versand via Google Workspace (Gmail API)

Für den Versand der Bestätigungs-E-Mail (Lizenzschlüssel, Download-Link) und der Drip-Sequenz nach dem Kauf nutzen wir die Google Workspace E-Mail-Infrastruktur (Gmail API) unseres Geschäftskontos.

Google Ireland Limited Gordon House, Barrow Street Dublin 4, Irland

Verarbeitete Daten: Empfänger-E-Mail, Mail-Inhalt (Lizenzschlüssel, Download-Link, Skill-Info, B2B-/B2C-Block bzw. Consent-Wortlaut verbatim), Versandzeitpunkt, Zustellstatus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung). Drittlandtransfer: Datenverarbeitung primär in der EU, in Einzelfällen über US-Infrastruktur. SCCs und DPF-Zertifizierung von Google bestehen. AVV: über bestehenden Google-Workspace-Vertrag. Google Privacy Policy: https://policies.google.com/privacy

5.5 Datei-Hosting: Supabase Storage

Die Skill-Dateien (ZIP-Archive) werden in einem privaten Bucket bei Supabase Storage gespeichert. Download-Links werden mit 15-minütiger Gültigkeit signiert und nur an verifizierte Käufer ausgegeben.

Verarbeitete Daten: keine personenbezogenen Daten — nur Skill-Inhalte. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5.6 Webhook-Rohdaten (Audit-Trail)

Eingehende Lemon-Squeezy-Webhooks werden roh für Audit-Zwecke (forensische Nachvollziehbarkeit von Käufen) in der Tabelle skill_library_purchases.raw_webhook gespeichert. Nach 90 Tagen werden personenbezogene Felder aus dem JSON-Blob automatisiert anonymisiert; lediglich Bestellnummer, Skill-ID, Kaufbetrag, Zeitpunkt bleiben für die buchhalterische Nachvollziehbarkeit erhalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Forensik kurzer Zeitspanne) und Art. 6 Abs. 1 lit. c DSGVO (steuerliche Aufbewahrung nach Anonymisierung).

6. Lead-Funnel (Newsletter / kostenlose Skills / ERP-Lab-Fit-Check / KI-Check)

Bei Anmeldung zu einem unserer Lead-Magneten (Skill-Marketplace ohne Kauf, KI-Check, ERP-Lab-Fit-Check) verarbeiten wir:

  • E-Mail-Adresse (Versand der angeforderten Inhalte, Bestätigungs-Mail, ggf. Drip-Sequenz)
  • Optional: Branche, Position, Unternehmen, Mitarbeiterzahl, weitere Angaben aus dem jeweiligen Tool (Qualifizierung)
  • Sprache (DE/EN/BG)
  • Zeitpunkt der Anmeldung + Bestätigung des Double-Opt-In
  • Ihre IP-Adresse wird nicht an den Auswertungs-Bot weitergegeben. Wir speichern lediglich einen kryptographischen Hash Ihrer IP im Einwilligungs-Audit (siehe Abschnitt 6.1).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Widerruf der Einwilligung jederzeit möglich über den Abmelde-Link in jeder E-Mail oder unter hybrayn.com/skills/abmelden. Die rechtmäßige Verarbeitung bis zum Widerruf bleibt unberührt.

6.1 Wie wir Ihre Einwilligungen dokumentieren

Um unserer Nachweispflicht nach Art. 7 Abs. 1 DSGVO nachzukommen, speichern wir bei jeder Anmeldung und bei jeder Bestätigung des Double-Opt-Ins einen sogenannten Einwilligungs-Audit-Eintrag. Dieser enthält:

  • den exakten Wortlaut der Einwilligungs-Checkbox zum Zeitpunkt Ihrer Anmeldung,
  • die Version dieses Wortlauts und die Version dieser Datenschutzerklärung,
  • den Bezeichner des Formulars (z. B. „erp-lab-fit-check-v1"),
  • den Zeitpunkt der Anmeldung und ggf. der Bestätigung,
  • einen SHA-256-Hash Ihrer IP-Adresse (mit einem nicht-öffentlichen Pepper-Wert),
  • einen SHA-256-Hash Ihrer E-Mail-Adresse (gleicher Pepper),
  • die ersten 200 Zeichen Ihres User-Agent-Strings (für forensische Zwecke).

Die rohe IP-Adresse wird nicht gespeichert. Der IP-Hash erlaubt uns lediglich, im Streitfall zu bestätigen, ob eine konkret übermittelte IP-Adresse zu einer bestimmten Anmeldung passt — eine Re-Identifizierung ohne diese IP ist mit dem Hash technisch nicht möglich.

Speicherort: Cloudflare KV in der EU. Speicherdauer: 7 Jahre (entspricht der längstmöglichen zivilrechtlichen Verjährungs- und Aufbewahrungsfrist für B2B-Verträge sowohl nach BG-Targovski Zakon als auch nach §195 BGB). Danach automatische Löschung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Nachweisführung nach Art. 7 Abs. 1 DSGVO) i. V. m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Rechts- und Beweissicherung).

7. Cookies

Wir verwenden auf der Website folgende Cookies:

CookieZweckLaufzeitAnbieterConsent?
NEXT_LOCALESprachauswahl speichernSessionHyBraynNein (technisch notwendig)
cc_cookieCookie-Einwilligung speichern12 MonateHyBraynNein (technisch notwendig)
hy_utmUTM-Attribution für Marketingmaßnahmen30 TageHyBraynJa
cf_chl_*Cloudflare Turnstile Spam-Schutzbis 30 TageCloudflareLazy-load beim Form-Aufruf
Lemon-Squeezy-CookiesCheckout-Funktionsiehe LSLemon Squeezyim LS-Checkout

Die Einwilligung kann jederzeit über den Cookie-Banner geändert werden.

8. Ihre Rechte

Sie haben jederzeit folgende Rechte gegenüber HyBrayn Ltd.:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO) — soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung dieser Rechte wenden Sie sich an [email protected].

8.1 Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Federführende Aufsichtsbehörde für HyBrayn Ltd. ist die bulgarische:

Комисия за защита на личните данни (Komisia za zashtita na lichnite danni) бул. „Цветан Лазаров" № 2 1592 София, България

Web: www.cpdp.bg E-Mail: [email protected]

Nutzerinnen und Nutzer mit Wohnsitz in Deutschland oder Österreich können sich gemäß Art. 77 Abs. 1 DSGVO wahlweise auch an ihre lokale Landes-Datenschutzbehörde wenden. Die jeweilige Behörde leitet die Beschwerde im Rahmen des One-Stop-Shop-Verfahrens an die KZLD weiter.

9. Sicherheit

Wir treffen technische und organisatorische Maßnahmen, um Ihre Daten gegen Verlust, Manipulation und unberechtigten Zugriff zu schützen, insbesondere:

  • TLS/HTTPS-Verschlüsselung für alle Übertragungen
  • Zugriffsbeschränkungen auf Datenbank und Storage (Service-Role-Authentifizierung, RLS)
  • Signierte Download-URLs mit kurzer Gültigkeit (15 Minuten)
  • Regelmäßige Sicherheitsupdates der eingesetzten Software

10. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage oder die eingesetzten Dienste ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.