Datenschutzerklärung

1. Worum es hier geht

Wir sammeln nur, was wir für den Betrieb der Plattform wirklich brauchen. Aisterpiece verkauft keine personenbezogenen Daten und verwendet nach aktuellem Stand keine Analytics-Cookies, Marketing-Cookies oder Tracking-Pixel.

Diese Datenschutzerklärung erklärt dir, welche Daten wir wann sammeln, warum, wie lange wir sie aufbewahren und welche Rechte du hast.

2. Wer ist verantwortlich

Verantwortlich für die Datenverarbeitung auf aisterpiece.com ist:

E-Mail für Datenschutz-Anfragen: info@aisterpiece.com

3. Welches Recht gilt

Aisterpiece wird in der Schweiz betrieben und richtet sich an Nutzer weltweit. Folgende Datenschutz-Rechtsrahmen sind anwendbar:

• —Schweizer Datenschutzgesetz (DSG) in der revidierten Fassung vom 1. September 2023 — als primäres Recht
• —EU-Datenschutz-Grundverordnung (DSGVO) — für Nutzer mit Wohnsitz oder Aufenthalt in der EU/EWR
• —Andere nationale Datenschutzbestimmungen können je nach Wohnsitz zusätzlich anwendbar sein (z.B. UK GDPR, CCPA in Kalifornien)

Wir orientieren uns am jeweils höchsten Schutzniveau und gewähren allen Nutzern die gleichen Rechte unabhängig vom Wohnsitz.

4. Welche Daten wir verarbeiten

4.1 Account-Daten beim Signup

Wenn du dich registrierst, brauchen wir ein paar Grundinfos, damit dein Account funktioniert.

Bei der Registrierung erheben wir folgende personenbezogene Daten:

• —E-Mail-Adresse (für Login und Kommunikation)
• —Passwort (ausschliesslich als kryptografischer Hash gespeichert, niemals im Klartext)
• —Username (für deine Profil-URL, derzeit nicht änderbar)
• —Künstler-/Anzeigename (öffentlich sichtbar, jederzeit änderbar)
• —18+-Bestätigung (mit Timestamp und Versions-Referenz auf akzeptierte Nutzungsbedingungen und Datenschutzerklärung)
• —Sprach-Präferenz (DE/EN, für die Anzeige der Plattform)

Speicherort: Supabase Inc., Dublin, Irland (EU-Region).

Rechtsgrundlage: Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO / Art. 31 Abs. 2 lit. a DSG).

4.2 Profil-Daten

Was du in deinem Profil zeigst, entscheidest du selbst.

Im Dashboard kannst du folgende Daten zu deinem Profil hinzufügen oder ändern:

• —Avatar (Profilbild, öffentlich sichtbar)
• —Cover-Bild (öffentlich sichtbar)
• —Bio (kurzer Beschreibungstext, öffentlich sichtbar)
• —Standort (auf Länder-Ebene, öffentlich sichtbar; standardmässig leer)
• —Content-Sprache (welche Sprache deine Inhalte primär haben)
• —Social-Links (Verweise auf andere Plattformen, öffentlich sichtbar)
• —Business-E-Mail (optional, separates Feld von Login-E-Mail; nur öffentlich sichtbar wenn du sie freigibst)
• —Abo-Preis (Creator: monatlicher Abo-Preis)
• —Statistik-Anzeige (Creator: ob deine Like- und Abo-Zahlen öffentlich sichtbar sind)

Hochgeladene Bilder (Avatar, Cover, Posts) werden auf Supabase Storage in Dublin, Irland abgelegt. Vor dem Upload werden Bilder browser-seitig komprimiert und EXIF-Metadaten (z.B. GPS-Koordinaten, Kameratyp) entfernt.

Rechtsgrundlage: Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO).

4.3 Inhalts-Daten

Was du auf Aisterpiece veröffentlichst — und was du speicherst.

Folgende Inhalte können von dir erstellt und gespeichert werden:

• —Posts (Bilder mit Text-Beschreibung und Tags, von Creators)
• —Sammlungen (Bookmarks von Werken, mit Namen)
• —Likes (Wertschätzungs-Markierungen auf Posts)
• —Saves (Speicherung in Sammlungen)
• —Follow-Beziehungen (welchem Creator du folgst)

Sichtbarkeit ist je nach Inhalt geregelt:

• —Posts: öffentlich (im Discover) oder exklusiv (nur für aktive Abonnenten)
• —Sammlungen: standardmässig privat, manuell freigebbar
• —Likes: aggregierte Zahl öffentlich, individuelle Likes nur für dich sichtbar
• —Saves: vollständig privat, sichtbar nur für dich
• —Follow-Beziehungen: standardmässig privat, optional freigebbar

Rechtsgrundlage: Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO).

4.4 Zahlungs-Daten

Wenn du ein Abo abschliesst, gehen deine Kartendaten direkt an Stripe. Wir sehen sie nie.

Für die Abwicklung von Abonnements nutzt Aisterpiece die Zahlungsdienste der Stripe Inc., 510 Townsend Street, San Francisco, CA 94103, USA. Beim Abo-Abschluss wirst du auf eine von Stripe gehostete Checkout-Seite weitergeleitet. Kartendaten werden ausschliesslich an Stripe übermittelt und sind für Aisterpiece zu keinem Zeitpunkt einsehbar.

Aisterpiece empfängt von Stripe ausschliesslich:

• —Subscription-ID
• —Subscription-Status (aktiv / pausiert / gekündigt)
• —Abrechnungs-Beträge und Periodenende
• —Webhook-Events zum Abo-Lifecycle
• —Verknüpfung zur User-ID

Creator, die Auszahlungen über Aisterpiece erhalten, durchlaufen ein Stripe-Connect-Onboarding direkt bei Stripe. Stripe erhebt dabei zusätzliche Daten (vollständiger Name, Geburtsdatum, Adresse, Bankverbindung, Steuer-ID, ggf. Ausweis-Dokumente). Diese Daten verarbeitet ausschliesslich Stripe; Aisterpiece sieht nur den Verifikations-Status (verifiziert / pendent / abgelehnt).

Rechtsgrundlage: Erfüllung des Vertrages über das Abonnement (Art. 6 Abs. 1 lit. b DSGVO).

Stripe verarbeitet Daten teilweise in den USA. Die Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln (SCCs) oder des EU-U.S. Data Privacy Framework, soweit anwendbar, sowie der Stripe-eigenen Datenschutzgarantien. Stripe-Datenschutzerklärung: https://stripe.com/privacy

4.5 Creator-Bewerbungs-Daten

Wenn du als Creator dabei sein willst, prüfen wir deine Bewerbung.

Bei einer Creator-Bewerbung erheben wir zusätzlich:

• —Bio / Beschreibung deiner künstlerischen Arbeit
• —Content-Kategorie (Mehrfachauswahl aus vorgegebenen Tags)
• —Portfolio-Link oder Verweis auf bestehende Online-Präsenz
• —Optional: dein Ziel auf Aisterpiece

Diese Daten werden für die Bewerbungs-Prüfung durch Michel Mrose oder von ihm beauftragte Personen verwendet. Bei Annahme werden Bio und Content-Kategorie ins öffentliche Profil übernommen. Bei Ablehnung gilt eine Wiederbewerbungs-Sperre von 30 Tagen.

Rechtsgrundlage: Erfüllung vorvertraglicher Massnahmen auf Anfrage der betroffenen Person (Art. 6 Abs. 1 lit. b DSGVO).

4.6 Kommunikations-Daten

Wir schicken dir gelegentlich Mails — alle zweckgebunden.

Aisterpiece versendet folgende E-Mail-Arten:

• —Transaktions-Mails: Bestätigungen (Signup, Apply-Status, Abo-Events), Passwort-Reset, Sicherheits-Hinweise
• —System-Notifications: Bei Aktivitäts-Lifecycle-Stufen, Tier-Änderungen, Fairness-Hinweisen (z.B. wenn ein gefolgter Creator inaktiv wird)
• —Administrative Mails: Bei Account-Aktionen wie Sperrung, Löschung, etc.

Für den E-Mail-Versand nutzen wir Resend Inc., 2261 Market Street, Suite 22090, San Francisco, CA 94114, USA. Resend verarbeitet deine E-Mail-Adresse und den Mail-Inhalt für die Zustellung.

Rechtsgrundlage: Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO) und berechtigtes Interesse an Service-Kommunikation (Art. 6 Abs. 1 lit. f DSGVO).

Datenübermittlung in die USA basiert auf den EU-Standardvertragsklauseln (SCCs) oder dem EU-U.S. Data Privacy Framework, soweit anwendbar. Resend-Datenschutzerklärung: https://resend.com/legal/privacy-policy

4.7 Technische Daten und Logs

Wenn du Aisterpiece besuchst, hinterlässt dein Browser technische Spuren — wie überall im Internet.

Beim Aufruf der Plattform werden folgende technische Daten erhoben:

• —IP-Adresse (anonymisiert nach 30 Minuten in Vercel-Logs)
• —User-Agent (Browser-Typ, Betriebssystem)
• —Referer-URL (von welcher Seite du gekommen bist, sofern übermittelt)
• —Zugriffs-Zeitstempel
• —Abgerufene URL, HTTP-Method, HTTP-Status, Response-Time

Diese Daten dienen ausschliesslich dem Betrieb, der Sicherheit und der Fehleranalyse der Plattform. Es findet keine Profilbildung statt.

Hosting-Anbieter:

• —Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA — Hosting der Web-Anwendung und Serverless-Functions
• —Supabase Inc., 970 Toa Payoh North, #07-04, Singapore 318992 (EU-Daten verarbeitet in Dublin, Irland) — Datenbank, Authentifizierung, Storage

Aufbewahrungsfristen:

• —Vercel-Logs: 30 Minuten (durch Plan-Konfiguration)
• —Supabase-Logs: 7 Tage
• —Anschliessend automatische Löschung

Rechtsgrundlage: Berechtigtes Interesse an Betrieb und Sicherheit (Art. 6 Abs. 1 lit. f DSGVO).

Datenübermittlung in die USA (Vercel) basiert auf den EU-Standardvertragsklauseln (SCCs) oder dem EU-U.S. Data Privacy Framework, soweit anwendbar. Bei Supabase werden Daten in der EU-Region Dublin verarbeitet.

4.8 Cookies

Wir verwenden nach aktuellem Stand nur zwei Cookies — beide technisch notwendig.

Aisterpiece verwendet nach aktuellem Stand ausschliesslich folgende essenzielle Cookies:

Wir verwenden keine Analytics-Cookies, keine Marketing-Cookies, keine Tracking-Pixel. Es findet kein Profiling über Drittanbieter statt.

Du kannst Cookies in deinem Browser jederzeit deaktivieren. Dabei verlierst du allerdings die Möglichkeit, dich einzuloggen, und Spracheinstellungen werden bei jedem Besuch zurückgesetzt.

Werden künftig nicht notwendige Cookies eingesetzt (z.B. Analytics, Personalisierung), wird vor Aktivierung eine entsprechende Einwilligung eingeholt.

Rechtsgrundlage: Berechtigtes Interesse an Funktionalität (Art. 6 Abs. 1 lit. f DSGVO).

5. Drittanbieter und internationale Datentransfers

Manche Dienste, die wir nutzen, sitzen in den USA. Wir erklären dir transparent, wer was bekommt.

Aisterpiece arbeitet mit folgenden Dienstleistern (Auftragsverarbeitern):

Mit allen Drittanbietern bestehen Auftragsverarbeitungs-Verträge (AVV) bzw. Data Processing Agreements (DPA). Soweit personenbezogene Daten in Länder ohne angemessenes Datenschutzniveau übermittelt werden, stützt sich Aisterpiece auf geeignete Garantien: insbesondere EU-Standardvertragsklauseln (SCCs) gemäss Beschluss (EU) 2021/914 oder das EU-U.S. Data Privacy Framework, soweit für den jeweiligen Anbieter anwendbar, sowie eine risikobasierte Anbieter- und Transferprüfung mit ergänzenden Massnahmen, wo erforderlich.

Wir verwenden keine weiteren Drittanbieter für Analytics, Marketing, Tracking, Werbung oder Profiling.

6. Datenaufbewahrung

Wir behalten Daten nur so lange wie nötig.

Nach Ablauf werden Daten automatisch gelöscht oder anonymisiert. Eine längere Aufbewahrung erfolgt nur, wenn gesetzliche Aufbewahrungspflichten dies vorschreiben (z.B. Buchhaltungsdaten gemäss OR Art. 958f / HGB § 257).

7. Deine Rechte

Du hast die Kontrolle über deine Daten. Hier sind die konkreten Rechte.

Als betroffene Person hast du nach DSGVO und Schweizer DSG folgende Rechte:

• —Recht auf Auskunft (Art. 15 DSGVO, Art. 25 DSG): Du kannst jederzeit Auskunft verlangen, welche Daten wir über dich gespeichert haben.
• —Recht auf Berichtigung (Art. 16 DSGVO, Art. 32 Abs. 1 DSG): Du kannst falsche oder unvollständige Daten korrigieren lassen.
• —Recht auf Löschung (Art. 17 DSGVO, Art. 32 Abs. 2 DSG): Du kannst die Löschung deines Accounts und deiner Daten verlangen. Aisterpiece bietet eine integrierte Self-Delete-Funktion im Dashboard mit 30-Tage-Karenz.
• —Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
• —Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Du kannst deine Daten in maschinenlesbarem Format anfordern.
• —Recht auf Widerspruch (Art. 21 DSGVO) gegen Verarbeitung auf Basis berechtigten Interesses.
• —Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) — sofern Verarbeitung auf Einwilligung basiert.
• —Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO).

Anfragen zu deinen Rechten richtest du bitte an: info@aisterpiece.com

Wir antworten innerhalb von 30 Tagen (gesetzliche Frist). Bei komplexen Anfragen kann die Frist um zwei weitere Monate verlängert werden — wir informieren dich dann darüber.

Zuständige Aufsichtsbehörden

Bei Datenschutz-Beschwerden kannst du dich an folgende Stellen wenden:

Schweiz (primär, da Aisterpiece in der Schweiz betrieben wird):
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1, 3003 Bern
https://www.edoeb.admin.ch

EU: Die zuständige Datenschutzbehörde deines Wohnsitz- oder Arbeitslandes. Liste aller EU-Aufsichtsbehörden: https://edpb.europa.eu/about-edpb/about-edpb/members_de

8. Datensicherheit

Wir nehmen Sicherheit ernst.

Aisterpiece setzt folgende technische und organisatorische Massnahmen um:

• —HTTPS / TLS-Verschlüsselung für die gesamte Kommunikation zwischen Browser und Server
• —Passwort-Hashing mit Bcrypt (kein Klartext-Speicherung) durch Supabase Auth. Passwörter haben eine Mindestlänge von 10 Zeichen und werden gegen bekannte geleakte Passwörter (HaveIBeenPwned) geprüft.
• —Zahlungsverarbeitung durch PCI-DSS-Level-1-zertifizierten Anbieter (Stripe)
• —Row Level Security (RLS) in der Datenbank — Zugriff auf Daten nur durch berechtigte User
• —Keine API-Keys oder sensitiven Zugangsdaten im Frontend-Code
• —EXIF-Datenentfernung beim Bild-Upload zur Verhinderung versehentlicher GPS-Datenlecks
• —Regelmässige Backups durch Supabase mit Point-in-Time-Recovery
• —Zugriff auf produktive Daten beschränkt auf Michel Mrose und von ihm beauftragte Personen unter strikter Need-to-know-Basis

Trotz aller Massnahmen kann keine elektronische Datenübertragung oder Speicherung 100% sicher sein. Wir können daher trotz aller Sorgfalt keine absolute Sicherheit garantieren.

Im Falle einer Datenschutzverletzung mit voraussichtlich hohem Risiko für deine Rechte und Freiheiten informieren wir dich gemäss Art. 34 DSGVO unverzüglich.

9. Mindestalter und sensible Inhalte

9.1 Mindestalter

Aisterpiece ist für Personen ab 18 Jahren bestimmt.

Aisterpiece richtet sich ausschliesslich an Personen ab 18 Jahren. Das Mindestalter wird bei der Registrierung über eine ausdrückliche Pflicht-Bestätigung (18+-Checkbox mit Timestamp, IP und Versionsreferenz auf die akzeptierten Rechtstexte) erhoben. Bei Creator-Bewerbungen wird zusätzlich das Geburtsdatum erfasst. Eine Plattform-Nutzung durch Minderjährige ist nicht gestattet. Bei Verdacht auf Falschangabe behalten wir uns die Sperrung des Accounts vor.

9.2 Sensitive Inhalte

Werke mit künstlerischer Darstellung des menschlichen Körpers können nach kuratorischer Prüfung Teil der Plattform sein. Solche Werke werden klar gekennzeichnet und sind nur nach Bestätigung der Volljährigkeit sichtbar. Details siehe Content-Policy.

9.3 Besondere Datenkategorien

Aisterpiece verlangt nicht gezielt besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z.B. Gesundheitsdaten, religiöse Überzeugungen, biometrische Daten) und verwendet solche Daten nicht zur Profilbildung. Von Creators hochgeladene visuelle Werke können jedoch Rückschlüsse auf sensible Informationen zulassen, etwa Gesundheit, Religion, politische Meinung, sexuelle Orientierung oder ethnische Herkunft. Creator sind verpflichtet, nur Inhalte hochzuladen, für die sie über die notwendigen Rechte, Einwilligungen und gesetzlichen Grundlagen verfügen. Aisterpiece kann Nachweise verlangen und Inhalte entfernen oder sperren.

10. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich die Gesetzeslage, unsere Dienste oder die technischen Gegebenheiten ändern.

Bei wesentlichen Änderungen informieren wir registrierte Nutzer rechtzeitig per E-Mail. Bei rein redaktionellen oder klarstellenden Anpassungen erfolgt keine separate Information.

Die jeweils aktuelle Fassung ist immer unter aisterpiece.com/privacy abrufbar.

11. Kontakt

Für Datenschutz-Anfragen erreichst du uns unter:

info@aisterpiece.com

oder per Post:

Wir antworten innerhalb von 30 Tagen.