Datenschutzerklärung
Stand: 2026-06-10 | Version: v1.1
1. Datenschutz auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie der nachfolgenden Datenschutzerklärung.
Datenerfassung auf dieser Website
Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten finden Sie im Abschnitt „Hinweis zur verantwortlichen Stelle" dieser Datenschutzerklärung.
Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie sie uns mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie in ein Kontaktformular oder bei der Registrierung eingeben. Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs).
Wofür nutzen wir Ihre Daten?
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten dienen der Anbahnung und Abwicklung von Verträgen, der Registrierung und Bereitstellung unserer Dienste sowie der Kommunikation mit Ihnen.
Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Wenn Sie eine Einwilligung erteilt haben, können Sie diese jederzeit für die Zukunft widerrufen. Außerdem haben Sie unter bestimmten Umständen das Recht, die Einschränkung der Verarbeitung zu verlangen. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.
Hinweis zu unseren Diensten und Apps
Diese Datenschutzerklärung gilt für die Website xpandai.one. Für die Nutzung der KI-Plattform xpandAI workspace gelten ergänzend die gesonderten Workspace-Datenschutzhinweise. Eigenständige Anwendungen unter eigener Adresse (Custom Apps) haben jeweils eigene Datenschutzhinweise. Einzelheiten finden Sie in Abschnitt 5.
2. Hosting
Wir hosten die Inhalte dieser Website beim folgenden Anbieter.
Hostinger
Anbieter ist die HOSTINGER operations, UAB, Švitrigailos str. 34, 03230 Vilnius, Litauen (nachfolgend „Hostinger"). Wenn Sie unsere Website besuchen, verarbeitet Hostinger verschiedene Daten, darunter Ihre IP-Adresse und Server-Log-Daten. Details entnehmen Sie der Datenschutzerklärung von Hostinger.
Die personenbezogenen Daten, die auf dieser Website erfasst werden, werden auf Servern von Hostinger gespeichert. Hierbei kann es sich vor allem um IP-Adressen, Kontaktanfragen, Meta- und Kommunikationsdaten, Vertragsdaten, Kontaktdaten, Namen, Websitezugriffe und sonstige über eine Website generierte Daten handeln.
Das Hosting erfolgt zum Zwecke der Vertragserfüllung gegenüber unseren potenziellen und bestehenden Kunden (Art. 6 Abs. 1 lit. b DSGVO) und im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots durch einen professionellen Anbieter (Art. 6 Abs. 1 lit. f DSGVO). Sofern eine Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG, soweit die Einwilligung die Speicherung von Cookies oder den Zugriff auf Informationen im Endgerät umfasst. Die Einwilligung ist jederzeit widerrufbar.
Auftragsverarbeitung: Wir haben mit Hostinger einen Vertrag über Auftragsverarbeitung (AVV) geschlossen. Soweit Daten außerhalb der EU/des EWR verarbeitet werden, ist dies im Hostinger-AVV durch EU-Standardvertragsklauseln abgesichert.
Hinweis: xpandAI workspace wird auf einem Hostinger-VPS betrieben. Der deutsche Modellpfad läuft separat über IONOS. IONOS ist kein Website-Hoster, sondern ein Modellanbieter; Einzelheiten dazu in den Workspace-Datenschutzhinweisen und der Subprozessorenliste.
3. Allgemeine Hinweise und Pflichtinformationen
Datenschutz
Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.
Hinweis zur verantwortlichen Stelle
Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:
xpand Deutschland GmbH
Ernst-Penzoldt-Weg 9
91080 Spardorf
Telefon: +49 821 21700080
E-Mail: office@xpand.pro
Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Datenschutzbeauftragter
Wir haben einen Datenschutzbeauftragten benannt:
Ricardo Wiedenbrüg
Ernst-Penzoldt-Weg 9
91080 Spardorf
Telefon: +49 821 21700080
E-Mail: datenschutz@xpand.pro
Speicherdauer
Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung widerrufen, werden Ihre Daten gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung haben (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen); im letztgenannten Fall erfolgt die Löschung nach Fortfall dieser Gründe.
Allgemeine Hinweise zu den Rechtsgrundlagen
Sofern Sie in die Datenverarbeitung eingewilligt haben, verarbeiten wir Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 9 Abs. 2 lit. a DSGVO, sofern besondere Datenkategorien nach Art. 9 Abs. 1 DSGVO verarbeitet werden. Im Falle einer ausdrücklichen Einwilligung in die Übertragung personenbezogener Daten in Drittstaaten erfolgt die Verarbeitung zudem auf Grundlage von Art. 49 Abs. 1 lit. a DSGVO. Sofern Sie in die Speicherung von Cookies oder in den Zugriff auf Informationen in Ihr Endgerät eingewilligt haben, erfolgt die Verarbeitung zusätzlich auf Grundlage von § 25 Abs. 1 TDDDG. Sind Ihre Daten zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, verarbeiten wir Ihre Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Ferner verarbeiten wir Ihre Daten zur Erfüllung rechtlicher Verpflichtungen auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Die Verarbeitung kann darüber hinaus auf Grundlage unseres berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen.
Empfänger von personenbezogenen Daten
Im Rahmen unserer Geschäftstätigkeit arbeiten wir mit verschiedenen externen Stellen zusammen. Dabei ist teilweise eine Übermittlung personenbezogener Daten an diese Stellen erforderlich. Wir geben personenbezogene Daten nur weiter, wenn dies im Rahmen der Vertragserfüllung erforderlich ist, wenn wir gesetzlich dazu verpflichtet sind, wenn wir ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO an der Weitergabe haben oder wenn eine sonstige Rechtsgrundlage dies erlaubt. Beim Einsatz von Auftragsverarbeitern geben wir personenbezogene Daten nur auf Grundlage eines gültigen Auftragsverarbeitungsvertrags weiter. Eine fortlaufend gepflegte Übersicht der im Rahmen der Plattform eingesetzten Dienstleister finden Sie in unserer Subprozessorenliste.
Hinweis zur Datenweitergabe in Drittstaaten
Wir verarbeiten teilweise Daten mit Hilfe von Diensten, deren Anbieter ihren Sitz in Drittstaaten (insbesondere den USA) haben oder dort Daten verarbeiten. Wenn diese Dienste aktiv sind, können Ihre personenbezogenen Daten in diese Staaten übertragen und dort verarbeitet werden. In Drittstaaten ohne Angemessenheitsbeschluss kann kein mit der EU vergleichbares Datenschutzniveau garantiert werden.
Eine Übermittlung in die USA und andere Drittstaaten stützen wir, soweit einschlägig, auf einen Angemessenheitsbeschluss, auf eine Zertifizierung des Empfängers unter dem EU-US Data Privacy Framework (DPF) oder auf EU-Standardvertragsklauseln nebst ergänzenden Schutzmaßnahmen. Die jeweils einschlägige Grundlage je Anbieter ergibt sich aus den folgenden Abschnitten, aus den Workspace-Datenschutzhinweisen, der Subprozessorenliste sowie dem Drittlands- und Modellpfadmodul.
Widerruf Ihrer Einwilligung
Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt unberührt.
Widerspruchsrecht (Art. 21 DSGVO)
Wenn die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen; dies gilt auch für ein darauf gestütztes Profiling. Wenn Sie Widerspruch einlegen, werden wir Ihre betroffenen personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Widerspruch nach Art. 21 Abs. 1 DSGVO).
Werden Ihre personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht (Widerspruch nach Art. 21 Abs. 2 DSGVO).
Beschwerderecht bei der zuständigen Aufsichtsbehörde
Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde zu, insbesondere im Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für die verantwortliche Stelle ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zuständig.
Recht auf Datenübertragbarkeit
Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.
Auskunft, Berichtigung und Löschung
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung sowie ggf. ein Recht auf Berichtigung oder Löschung dieser Daten.
Recht auf Einschränkung der Verarbeitung
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Das Recht besteht in folgenden Fällen: wenn Sie die Richtigkeit Ihrer Daten bestreiten (für die Dauer der Prüfung); wenn die Verarbeitung unrechtmäßig geschieht und Sie statt Löschung die Einschränkung verlangen; wenn wir die Daten nicht mehr benötigen, Sie sie aber zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen; oder wenn Sie Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, wessen Interessen überwiegen.
SSL- bzw. TLS-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und am Schloss-Symbol in Ihrer Browserzeile.
4. Datenerfassung auf dieser Website
Server-Log-Dateien
Der Provider der Seiten erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch übermittelt. Dies sind: Browsertyp und Browserversion, verwendetes Betriebssystem, Referrer-URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage und die IP-Adresse. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; wir haben ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Sicherheit unserer Website.
Cookies
Unsere Internetseiten verwenden Cookies. Cookies sind kleine Datenpakete und richten auf Ihrem Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert. Cookies können von uns (First-Party-Cookies) oder von Drittunternehmen stammen (Third-Party-Cookies).
Technisch notwendige Cookies werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert, sofern keine andere Rechtsgrundlage angegeben wird. Sofern eine Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage dieser Einwilligung (Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG); die Einwilligung ist jederzeit widerrufbar.
Einwilligung mit Borlabs Cookie
Unsere Website nutzt die Consent-Technologie von Borlabs Cookie, um Ihre Einwilligung zur Speicherung bestimmter Cookies oder zum Einsatz bestimmter Technologien einzuholen und datenschutzkonform zu dokumentieren. Anbieter ist die Borlabs GmbH, Rübenkamp 32, 22305 Hamburg (nachfolgend „Borlabs"). Beim Betreten unserer Website wird ein Borlabs-Cookie gespeichert, in dem Ihre Einwilligungen oder deren Widerruf gespeichert werden. Diese Daten werden nicht an Borlabs weitergegeben. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO; wir sind gesetzlich verpflichtet, den Einsatz bestimmter Technologien von einer wirksamen Einwilligung abhängig zu machen.
Kontaktformular
Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben inklusive der dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der Bearbeitung der Anfragen (Art. 6 Abs. 1 lit. f DSGVO) oder auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Anfrage per E-Mail oder Telefon
Wenn Sie uns per E-Mail oder Telefon kontaktieren, wird Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet. Die Rechtsgrundlagen entsprechen denen des Kontaktformulars.
Registrierung und Login
Sie können sich auf dieser Website registrieren, um unsere kostenpflichtigen Dienste zu nutzen. Die dabei eingegebenen Daten verwenden wir nur zum Zwecke der Nutzung des jeweiligen Angebots. Pflichtangaben müssen vollständig angegeben werden, andernfalls lehnen wir die Registrierung ab. Die Verarbeitung erfolgt zur Durchführung des Nutzungsverhältnisses und zur Anbahnung weiterer Verträge (Art. 6 Abs. 1 lit. b DSGVO).
Unser Angebot richtet sich ausschließlich an Unternehmer sowie beruflich oder gewerblich handelnde Personen, nicht an Verbraucher.
Für Registrierung, Mitgliedschaft und Anmeldung setzen wir folgende Komponenten ein:
WordPress
WordPress als Website- und Account-System. WordPress wird im Rahmen unseres Hosting-Setups bei Hostinger betrieben.
MemberPress
MemberPress zur Verwaltung von Mitgliedschaften, Paketen, Kurszugängen, Kursfortschritt, Zertifikaten, Corporate Accounts und Berechtigungen. MemberPress wird als Plugin innerhalb unseres bei Hostinger gehosteten WordPress-Systems betrieben. Dabei verarbeiten wir insbesondere Name, E-Mail-Adresse, Zugangsdaten, Mitgliedschafts- und Vertragsdaten, Kurszugänge, Kursfortschritt sowie Berechtigungsdaten. Diese Daten verbleiben bei lokalem Betrieb auf unserer eigenen WordPress-/Hosting-Umgebung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Eine eigenständige Übermittlung besucherbezogener Frontend-Daten an memberpress.com erfolgt bei lokalem Betrieb nicht; gesondert zu betrachten sind hiervon die Zahlungsabwicklung über Stripe und die GeoIP-/VAT-Erkennung nachstehend.
miniOrange OAuth Server/Provider
miniOrange OAuth Server/Provider als Login- bzw. SSO-Brücke zwischen WordPress und angebundenen Anwendungen wie xpandAI workspace. Dabei verarbeiten wir insbesondere Benutzerkennung, E-Mail-Adresse, Rollen- und Attributdaten, Token- und Sessiondaten sowie ggf. an verbundene Anwendungen übermittelte Profildaten. Die Komponente wird als Plugin innerhalb unseres WordPress-Systems betrieben. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Eine eigenständige Übermittlung besucherbezogener Daten an miniorange.com oder xecurify.com findet bei Nutzung unseres lokal betriebenen OAuth-Servers nicht statt.
5. KI-Plattform, Academy und eigene Apps
5.1 xpandAI workspace
Über diese Website erhalten Sie Zugang zu unserer KI-Plattform xpandAI workspace. Die Plattform vermittelt den Zugang zu Sprachmodellen verschiedener Anbieter über standardisierte Schnittstellen. xpand trainiert keine eigenen Modelle, sondern stellt den Zugang zu extern entwickelten und betriebenen Modellen bereit und kombiniert diese mit eigenen Plattform- und Assistenzfunktionen.
Bei der Nutzung des Workspace verarbeitet xpand personenbezogene Daten teils in eigener datenschutzrechtlicher Verantwortlichkeit (z. B. Registrierung, Vertrags- und Paketverwaltung, Abrechnung, Sicherheit, Support) und teils im Auftrag des Kunden (Inhalte, Prompts, Dateien und sonstige Daten, die Kunden oder deren Nutzer in den Workspace einbringen). Für die Auftragsverarbeitung gilt der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO als Anlage zu den AGB. Die Aussage, die Verantwortung liege allein beim jeweiligen Modellanbieter, trifft nicht zu; xpand bleibt im beschriebenen Umfang verantwortlich bzw. Auftragsverarbeiter.
Welche Modellpfade je nach Paket genutzt werden, in welchen Regionen verarbeitet wird und auf welcher Grundlage Übermittlungen in Drittstaaten erfolgen, beschreiben wir ausführlich in den Workspace-Datenschutzhinweisen, der Subprozessorenliste und dem Drittlands- und Modellpfadmodul.
5.2 Academy und Online-Kurse
Ergänzend bieten wir Online-Kurse, Lerninhalte und Schulungsmaterialien an (Academy). Dabei verarbeiten wir insbesondere Anmelde- und Kontodaten, Angaben zu gebuchten Kursen, Lernfortschritt und Abschlüsse sowie ggf. ausgestellte Teilnahmebestätigungen. Rechtsgrundlage ist die Durchführung des Nutzungs- bzw. Vertragsverhältnisses (Art. 6 Abs. 1 lit. b DSGVO).
Die Academy wird im Rahmen unseres bei Hostinger gehosteten WordPress- und Mitgliederbereichs (MemberPress) bereitgestellt; die genannten Daten verbleiben in dieser Umgebung.
Im Zusammenhang mit der Academy, der Registrierung sowie einzelnen Darstellungs- und Kontofunktionen können folgende externen Dienste zum Einsatz kommen, soweit die jeweilige Funktion aufgerufen wird:
Bunny Stream (Video-Hosting der Academy)
Anbieter ist BunnyWay d.o.o., Dunajska cesta 165, 1000 Ljubljana, Slowenien. Die Einbindung erfolgt über iframe.mediadelivery.net und ist in unserer Consent-Verwaltung der Borlabs-Service-Gruppe „Externe Medien" mit dem Content-Blocker bunnystream zugeordnet. Das Video wird erst geladen, nachdem Sie eingewilligt haben. Dabei können insbesondere IP-Adresse, technische Browserdaten, Zeitpunkte des Abrufs und Videonutzungsdaten verarbeitet werden. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG). Ein Drittlandtransfer findet nach heutigem Stand nicht statt, da der Anbieter in Slowenien sitzt.
Stripe (Zahlungsabwicklung)
Anbieter ist für den europäischen Raum die Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland; konzernverbundene Empfänger können insbesondere Stripe, Inc., USA, sein. Stripe wird nicht websiteweit geladen, sondern nur auf Buchungs- und Registrierungsseiten, auf denen Stripe.js v3 und Stripe Elements für die Zahlungsabwicklung eingesetzt werden. Dabei können insbesondere Bestell- und Zahlungsdaten, Rechnungs- und Identifikationsdaten, Geräte- und Browserdaten sowie die IP-Adresse verarbeitet werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit Stripe-Unternehmen in den USA eingebunden sind, erfolgt die Übermittlung auf Grundlage der von Stripe bereitgestellten Garantien nach Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln und soweit einschlägig weiterer Transfermechanismen nach den Stripe-Unterlagen.
Font Awesome (Icon-Fonts)
Anbieter ist Fonticons, Inc., 6 Porter Road Apartment 3R, Cambridge, MA 02140, USA. Beim Aufruf der Website können zur Darstellung von Symbolen Anfragen an use.fontawesome.com gestellt werden. Dabei können insbesondere IP-Adresse, Browser- und Gerätedaten sowie der Zeitpunkt des Abrufs verarbeitet werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in einer einheitlichen und funktionsfähigen Darstellung der Website. Soweit eine Übermittlung in die USA erfolgt, stützen wir diese auf die vom Anbieter bereitgestellten Garantien nach Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln, soweit einschlägig.
Gravatar (Profilbilder)
Anbieter ist Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA. Beim Abruf von Profilbildern über secure.gravatar.com können insbesondere eine gehashte E-Mail-Adresse, IP-Adresse, Browser- und Gerätedaten sowie der Zeitpunkt des Abrufs verarbeitet werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in der nutzerfreundlichen Darstellung von Profilbildern in Konten- und Community-Bereichen. Soweit eine Übermittlung in die USA erfolgt, stützen wir diese auf die vom Anbieter bereitgestellten Garantien nach Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln, soweit einschlägig.
MemberPress GeoIP / VAT-Erkennung
Für die länder- und steuerbezogene Erkennung kann ein Abruf an den Endpoint cspf-locate.herokuapp.com erfolgen, der im Zusammenhang mit MemberPress / Caseproof auf US-Infrastruktur gehostet wird. Nach heutigem Stand wird der Dienst über mpvat.js angestoßen und verarbeitet insbesondere die IP-Adresse, Browser-/Gerätedaten und den Zeitpunkt des Abrufs, um das Land für Mehrwertsteuer- und Lokalisierungszwecke zu bestimmen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in einer zutreffenden länder- und steuerbezogenen Bereitstellung sowie Vorbereitung korrekter Umsatzsteuerlogik. Soweit hierbei Daten in die USA übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO.
5.3 Eigene Apps (Custom Apps)
Soweit wir eigenständige Anwendungen unter eigener Adresse bereitstellen, gelten für diese jeweils gesonderte Datenschutzhinweise auf der betreffenden Anwendung. Diese Datenschutzerklärung gilt für die Website xpandai.one.
5.4 Transparenz nach EU AI Act
xpand erfüllt die Transparenzpflichten des EU AI Act, indem KI-generierte Inhalte als solche gekennzeichnet werden und Nutzer darauf hingewiesen werden, wenn sie mit einem KI-System interagieren. Es besteht keine Gewähr für die inhaltliche Richtigkeit oder rechtliche Verwendbarkeit generierter Inhalte; deren Prüfung und finale Verwendung liegt in Ihrer Verantwortung. Hinweise auf problematische oder diskriminierende KI-Ausgaben können Sie an support-xpandai@xpand.pro richten.
6. Plugins und Tools
6.1 SolidWP
Wir haben SolidWP auf dieser Website eingebunden. Anbieter ist die iThemes Media LLC, 1720 South Kelly Avenue, Edmond, OK 73013, USA (nachfolgend „SolidWP"). SolidWP dient dem Schutz unserer Website vor unerwünschten Zugriffen und Cyberangriffen und erfasst hierzu u. a. Ihre IP-Adresse, Zeitpunkt und Quelle von Login-Versuchen sowie Log-Daten. SolidWP wird lokal auf unseren Servern betrieben. Die Verwendung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO; wir haben ein berechtigtes Interesse an einem wirksamen Schutz unserer Website.
6.2 KI-Funktionen über OpenAI (direkte Anbindung)
Für einzelne Website-Funktionen setzen wir OpenAI direkt ein. Anbieter ist je nach Vertrags- und Empfängerkonstellation insbesondere die OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland, sowie OpenAI OpCo, LLC bzw. OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA.
Dies betrifft nach heutigem Stand insbesondere:
- einen sprachbasierten Assistenten mit direkter Verbindung zu api.openai.com/v1/realtime per WebRTC und
- textbasierte KI-Funktionen, die serverseitig über unsere eigene Route an OpenAI übermittelt werden.
Eine Übermittlung an OpenAI erfolgt nur, wenn Sie die jeweilige KI-Funktion aktiv nutzen, nicht bereits beim bloßen Seitenaufruf. Dabei können insbesondere Texteingaben, Prompts, Antworten, technische Metadaten, IP-Adresse sowie bei Nutzung des Sprachassistenten auch Audio- bzw. Sprachdaten verarbeitet werden.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung der von Ihnen angeforderten KI-Funktion oder zur Bearbeitung Ihrer Anfrage erforderlich ist. Soweit für den Einsatz zusätzlicher Endgerätefunktionen oder vergleichbarer Technologien eine Einwilligung erforderlich ist, erfolgt die Verarbeitung ergänzend auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
Für Übermittlungen in die USA stützen wir uns nach heutigem Nachweisstand auf den mit OpenAI abgeschlossenen Auftragsverarbeitungsvertrag sowie auf EU-Standardvertragsklauseln nebst ergänzenden Schutzmaßnahmen. Ein bestätigter DPF-Nachweis wird für OpenAI derzeit nicht zugrunde gelegt.
6.3 MailerLite (derzeit in Prüfung)
Im WordPress-System ist ein REST-Namespace mit Bezug zu MailerLite erkennbar. Anbieter wäre insoweit die UAB MailerLite, J. Basanavičiaus 15, LT-03108 Vilnius, Litauen. Ob und in welchem Umfang Newsletter- oder E-Mail-Marketingfunktionen produktiv genutzt werden und welche personenbezogenen Daten dabei verarbeitet werden, prüfen wir derzeit. Dieser Dienst wird erst nach technischer und organisatorischer Bestätigung final in diese Datenschutzerklärung aufgenommen.
6.4 Hostinger AI Assistant (derzeit in Prüfung)
Im WordPress-System ist ein Plugin hostinger-ai-assistant vorhanden. Zweck, tatsächliche produktive Nutzung und Datenflüsse dieses Dienstes sind derzeit noch nicht abschließend bestätigt. Der Dienst wird erst nach technischer Prüfung mit konkreter Funktionsbeschreibung, Datenkategorien, Rechtsgrundlage und etwaigen Empfängern final in diese Datenschutzerklärung aufgenommen.
7. eCommerce und Zahlungsanbieter
Verarbeiten von Kunden- und Vertragsdaten
Wir erheben, verarbeiten und nutzen personenbezogene Kunden- und Vertragsdaten zur Begründung, inhaltlichen Ausgestaltung und Änderung unserer Vertragsbeziehungen. Personenbezogene Daten über die Inanspruchnahme dieser Website (Nutzungsdaten) verarbeiten wir nur, soweit dies erforderlich ist, um dem Nutzer die Inanspruchnahme des Dienstes zu ermöglichen oder abzurechnen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Die erhobenen Kundendaten werden nach Abschluss des Auftrags oder Beendigung der Geschäftsbeziehung und Ablauf etwaiger gesetzlicher Aufbewahrungsfristen gelöscht.
Zahlungsdienste
Wir binden Zahlungsdienste von Drittunternehmen ein. Wenn Sie einen Kauf tätigen, werden Ihre Zahlungsdaten vom Zahlungsdienstleister zum Zwecke der Zahlungsabwicklung verarbeitet. Der Einsatz erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) sowie im Interesse eines reibungslosen und sicheren Zahlungsvorgangs (Art. 6 Abs. 1 lit. f DSGVO).
Stripe
Anbieter für Kunden innerhalb der EU ist die Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Stripe wird auf dieser Website nur auf Buchungs- und Registrierungsseiten geladen, auf denen die Zahlungsabwicklung über Stripe.js v3 und Stripe Elements erfolgt. Dabei können Zahlungs-, Bestell-, Rechnungs-, Identifikations-, Geräte- und Browserdaten sowie die IP-Adresse verarbeitet werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit Stripe-Unternehmen in den USA eingebunden sind, erfolgt die Übermittlung auf Grundlage der von Stripe bereitgestellten Garantien nach Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln und soweit einschlägig weiterer Transfermechanismen nach den Stripe-Unterlagen. Details finden Sie unter https://stripe.com/de/privacy.