Stand: 21. April 2026
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist: Bryan Tüscher databryan, Marke KeepsakeDeck In den Herrengärten 15 35510 Butzbach Deutschland E-Mail: hello@keepsakedeck.com Ein:e Datenschutzbeauftragte:r ist nicht bestellt; wir unterliegen keiner gesetzlichen Bestellpflicht nach § 38 BDSG. Anfragen nach Art. 15–22 DSGVO richten Sie bitte an die oben genannte E-Mail-Adresse.
Wir betreiben unter keepsakedeck.com eine Plattform für personalisierte Spielkarten-Decks. Diese Erklärung beschreibt, welche personenbezogenen Daten wir erheben, zu welchen Zwecken, auf welcher Rechtsgrundlage, an wen wir sie weitergeben und welche Rechte Ihnen zustehen. Maßgeblich ist die deutsche Sprachfassung; die englische Fassung ist eine Übersetzung. Besonderer Hinweis: Für die Erstellung personalisierter Karten verarbeiten wir hochgeladene Fotos mit KI-Diensten (Azure OpenAI, Azure Face API). Details hierzu siehe Abschnitt 5.
Wir verarbeiten je nach Nutzung folgende Kategorien personenbezogener Daten: • Kontaktdaten: E-Mail-Adresse (Warteliste, Bestellbestätigung, Pre-Order), optional Name, Telefon bei B2B-Anfragen. • Bestell- und Zahlungsdaten: Bestellnummer, Rechnungsadresse, Lieferadresse, Zahlungsbetrag, Zahlungsstatus. Kartendaten werden ausschließlich von unserem Zahlungsdienstleister Stripe verarbeitet; wir sehen und speichern keine vollständigen Karten- oder Kontodaten. • Produktdaten: Fotos, die Sie zur Personalisierung hochladen, sowie Text- und Layout-Eingaben (z. B. Namen, die auf die Karten gedruckt werden sollen). • Kommunikationsdaten: Inhalt von E-Mails und Support-Anfragen. • Technische Daten: IP-Adresse, User-Agent, Referrer, Zeitstempel, Geräte- und Browserinformationen, angeforderte URL, Fehler-Logs. • Consent-Daten: Ihre Einwilligungsentscheidungen und deren Zeitstempel (Cookie-/Consent-Banner).
Wir verarbeiten die oben genannten Daten zu folgenden Zwecken und auf folgenden Rechtsgrundlagen: • Vertragsanbahnung und Vertragserfüllung (Warteliste-Eintragung, Pre-Order-Vertrag, Bestellabwicklung, Produktion, Versand, Rechnungsstellung, Support): Art. 6 Abs. 1 lit. b DSGVO. • Rechtliche Pflichten (handels- und steuerrechtliche Aufbewahrung, Buchhaltung, Abwehr von Rechtsansprüchen): Art. 6 Abs. 1 lit. c DSGVO. • Berechtigte Interessen (Missbrauchs- und Betrugsabwehr, Stabilität und Sicherheit der Plattform, Weiterentwicklung des Angebots, Geltendmachung von Rechtsansprüchen): Art. 6 Abs. 1 lit. f DSGVO. • Einwilligung (optionale Analyse- und Fehler-Tracking-Dienste, Marketing-Newsletter über Double-Opt-In, vorsorgliche Einwilligung für die Grenzbereich-Verarbeitung bei der Azure Face API): Art. 6 Abs. 1 lit. a DSGVO; bei der Face API zusätzlich Art. 9 Abs. 2 lit. a DSGVO. • Cookies und vergleichbare Speichertechnologien, die nicht unbedingt erforderlich sind, nur mit Ihrer Einwilligung: § 25 Abs. 1 TTDSG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO.
Wenn Sie ein personalisiertes Deck konfigurieren, laden Sie Fotos hoch, aus denen wir Kartenmotive erzeugen. Wir setzen hierfür zwei Azure-Dienste ein, jeweils in der Region West Europe (Niederlande).
Die Azure Face API wird ausschließlich zur Gesichtslokalisierung eingesetzt. Technisch bedeutet das: Wir rufen den Dienst mit den Parametern `returnFaceId=false` und dem Erkennungsmodell `detection_03` (Konfiguration `recognition_04` nur für Konsistenzprüfungen, nicht für Wiedererkennung) auf. Zurückgegeben werden ausschließlich Rechtecks-Koordinaten (`faceRectangle`), die angeben, wo sich ein Gesicht im Bild befindet. Es wird kein biometrisches Template, keine FaceID und kein dauerhafter Identifikator erstellt oder bei Azure gespeichert. Das Bild transitiert Azure West Europe ausschließlich für diese Lokalisierung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: Erzeugung des bestellten Decks) in Verbindung mit Art. 9 Abs. 2 lit. a DSGVO. Wir holen vorsorglich Ihre ausdrückliche Einwilligung ein, weil die rechtliche Einordnung dieser Verarbeitung im Grenzbereich zu „biometrischen Daten besonderer Kategorie“ liegt; rein tatsächlich entstehen bei uns keine biometrischen Templates.
Zur Erzeugung der Kartenmotive übertragen wir Ihre Fotos zusammen mit einem Prompt an die Azure-OpenAI-Endpunkte `gpt-image` (Bildgenerierung) und `gpt-4o` (Bildanalyse für Prompt-Optimierung) in der Region West Europe. Microsoft bzw. OpenAI verarbeitet diese Inhalte ausschließlich auftragsgemäß und nutzt sie nicht zum Training eigener Modelle (vertraglich über die Auftragsverarbeitungs- und Zusatzbedingungen für Azure OpenAI vereinbart). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: Erzeugung des bestellten Decks).
Die Kartenmotive werden automatisiert aus Ihren Uploads und Ihren Eingaben erzeugt. Diese automatisierte Verarbeitung führt zu keiner Entscheidung mit rechtlicher Wirkung und entfaltet Ihnen gegenüber keine ähnlich erhebliche Beeinträchtigung im Sinne des Art. 22 Abs. 1 DSGVO. Sie erzeugt lediglich das grafische Ergebnis der von Ihnen bestellten Leistung. Sie haben vor Produktionsfreigabe die Möglichkeit, das Ergebnis zu prüfen und abzulehnen (Proof-Schritt).
Zur Erbringung unserer Leistungen setzen wir die nachfolgenden Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO) oder eigenständig Verantwortliche ein. Für alle EU-US-Transfers liegen Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO in Verbindung mit dem EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023) vor, soweit der jeweilige Anbieter selbst-zertifiziert ist.
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. • Wartelisten-Einträge: bis zum Widerruf („Abmelden“-Link in jeder E-Mail) bzw. bis 24 Monate nach der letzten Interaktion. • Pre-Order-Daten und Bestellungen: für die Dauer der Vertragsabwicklung sowie anschließend gemäß § 147 AO / § 257 HGB (sechs bzw. zehn Jahre für Rechnungen und handelsrelevante Unterlagen). • Deck-Session-Daten: Session-Ablauf nach dem in der Datenbank gesetzten `expires_at` (derzeit 48 Stunden ab Erstellung); endgültige Löschung anschließend über einen Bereinigungslauf. • Hochgeladene Fotos: werden ausschließlich während der Kartenerstellung verarbeitet. Nach erfolgreicher Zahlungsbestätigung (Stripe-Webhook) werden die Originale automatisiert gelöscht, regelmäßig bevor die gedruckten Karten in den Versand gehen. SAS-URLs (Temporär-Zugriffe auf Azure Blob) sind technisch auf 24 Stunden begrenzt. • Technische Logs (Sentry, Vercel): 30 Tage für Fehler-Events bei Sentry, 90 Tage für Request-Logs bei Vercel. • Consent-Entscheidungen: bis zum Widerruf der Einwilligung; anschließend zu Rechenschafts-Zwecken (Art. 5 Abs. 2 DSGVO) bis zu drei Jahre nach Widerruf. Längere Speicherung kann erfolgen, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 17 Abs. 3 lit. e DSGVO).
Wir setzen Cookies und vergleichbare Speichertechnologien ein. Nicht-essentielle Cookies werden erst nach Ihrer Einwilligung gesetzt (§ 25 Abs. 1 TTDSG). Sie können Ihre Entscheidungen jederzeit im Footer unter „Cookie-Einstellungen“ ändern.
Diese Dienste sind für den Betrieb erforderlich und werden ohne Einwilligung eingesetzt: Stripe (Zahlungssicherheit), Cloudflare Turnstile (Missbrauchsschutz) sowie die Session-Verwaltung der Anwendung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO und § 25 Abs. 2 Nr. 2 TTDSG (unbedingte Erforderlichkeit).
Nach ausdrücklicher Einwilligung laden wir PostHog (Produktanalyse) und Sentry (Fehler-Tracking). Ohne Ihre Einwilligung werden diese Dienste nicht geladen und es werden keine entsprechenden Cookies gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG.
Diese Kategorie ist für künftige Kampagnen-Tools reserviert. Derzeit werden keine Marketing-Dienste geladen. Sollten wir künftig entsprechende Dienste einsetzen, erfolgt dies ausschließlich nach Ihrer vorherigen Einwilligung.
Nach der DSGVO stehen Ihnen die folgenden Rechte zu. Zur Ausübung genügt eine formlose E-Mail an hello@keepsakedeck.com. Wir bitten um eine eindeutige Identifikation, damit wir Daten nicht an Unbefugte herausgeben.
Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Auskunft und Löschung kannst du auch direkt über unser Formular anfordern.
Unser Angebot richtet sich an Personen ab 18 Jahren. Wir verarbeiten wissentlich keine Daten von Personen unter 16 Jahren ohne Einwilligung der Erziehungsberechtigten (Art. 8 DSGVO). Laden Sie Fotos hoch, auf denen minderjährige Personen abgebildet sind, versichern Sie uns durch die Zustimmung zu unseren AGB, dass Sie die erforderlichen Einwilligungen der Erziehungsberechtigten eingeholt haben (siehe AGB).
Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein, insbesondere TLS-Verschlüsselung im Transit, verschlüsselte Speicherung sensibler Daten, Zugangskontrollen, Least-Privilege-Zugriff auf Foto-Uploads, Audit-Logs sowie regelmäßige Überprüfung der Auftragsverarbeiter.
Wir passen diese Datenschutzerklärung an, wenn sich Verarbeitungsvorgänge ändern oder neue rechtliche Anforderungen gelten. Maßgeblich ist jeweils die oben ausgewiesene Fassung („Stand“). Über wesentliche Änderungen informieren wir Sie rechtzeitig per E-Mail oder per Hinweis auf der Plattform.