DSGVO · Art. 13

Datenschutz.

Kurz: Wir speichern nur was wir brauchen. Hosting in Frankfurt. Keine Tracker, kein Werbe-Bullshit.

1. Verantwortlicher

// TODO: Name + Anschrift aus Impressum übernehmen.
Kontakt: kontakt@insero.app

2. Welche Daten wir verarbeiten

a) Registrierung & Konto

E-Mail-Adresse (Pflicht) — Login, Bestätigung, Support.
Passwort-Hash (scrypt, gesalzen) — Klartext-Passwort wird nie gespeichert.
Optional: Google-Sub-ID bei Google-Login.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

b) eBay-Integration

OAuth-Tokens (Access + Refresh) verschlüsselt in SQLite.
Listing-Metadaten (Titel, Preis, Kategorie, Status, eBay-Item-ID).
Keine Bilder werden dauerhaft gespeichert — nur zur Laufzeit verarbeitet und an eBay hochgeladen.

c) Technische Logs

IP-Adresse (zur Rate-Limitierung, max. 30 Tage).
Zeitstempel, User-Agent, Pfad — aggregiert in JSON-Logs.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Missbrauchsabwehr).

3. KI-Verarbeitung (OpenAI / Google Gemini)

Bilder, die du zur Analyse hochlädst, werden einmalig an den von dir gewählten KI-Anbieter (OpenAI oder Google Gemini) übertragen, um Titel, Beschreibung und Aspekte zu generieren.

Du kannst deinen eigenen API-Key hinterlegen (BYOK). Dann läuft die Anfrage direkt über dein Konto beim Anbieter.
OpenAI und Google sichern in ihren API-Bedingungen zu, API-Daten nicht zum Modelltraining zu verwenden.
Datenverarbeitung erfolgt auf Servern der Anbieter, ggf. außerhalb der EU. Grundlage: Standardvertragsklauseln.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + dein aktives Hochladen der Bilder.

4. Hosting

Server-Hosting bei Fly.io, Region Frankfurt (Deutschland). Datenbank (SQLite) liegt auf persistentem EU-Volume. Auftragsverarbeitungsvertrag (AVV) mit Fly.io geschlossen.

5. Cookies

Wir setzen ein technisch notwendiges Session-Cookie (te_session), HttpOnly, SameSite=Lax, 30 Tage Laufzeit. Keine Tracking-Cookies. Kein Google Analytics. Keine Meta-Pixel. Keine Werbenetzwerke.

6. E-Mail-Versand

Bestätigungs- und Login-Mails versenden wir über Resend (EU-Region) bzw. den von dir konfigurierten SMTP-Server. Es wird nur die E-Mail-Adresse übertragen, die du angegeben hast.

7. Speicherdauer

Konto-Daten: bis zur Löschung durch dich.
Listing-Historie: bis zur Löschung durch dich.
Rate-Limit-Einträge: 30 Tage.
Nach Kontolöschung: alle personenbezogenen Daten innerhalb von 30 Tagen unwiderruflich gelöscht.

8. Deine Rechte

Du hast nach DSGVO folgende Rechte:

Auskunft (Art. 15) · Berichtigung (Art. 16) · Löschung (Art. 17)
Einschränkung (Art. 18) · Datenübertragbarkeit (Art. 20)
Widerspruch (Art. 21) · Beschwerde bei Aufsichtsbehörde (Art. 77)

Zuständige Aufsichtsbehörde: // TODO: Datenschutzbehörde deines Bundeslandes

Zur Ausübung deiner Rechte: Mail an kontakt@insero.app.

9. Sicherheit

HTTPS erzwungen (HSTS).
Passwörter per scrypt mit individuellem Salt gehasht.
Content-Security-Policy, X-Frame-Options: DENY, nosniff.
Rate-Limits gegen Brute-Force.

10. Änderungen

Diese Datenschutzerklärung kann bei Produktänderungen angepasst werden. Stand: April 2026.