Datenschutzerklärung

1. Verantwortlicher

NiiRo AI

Robin Kolb

E-Mail: info@niiro.ai

2. Welche Daten verarbeitet werden

Beim Besuch und bei der Nutzung von NiiRo Smart Wedding können insbesondere folgende Daten verarbeitet werden:

• technische Zugriffsdaten und Server-Logs
• Kontodaten von Brautpaaren und Hochzeitsplanern
• Angaben aus den Rückmeldungen der Gäste
• hochgeladene Bilder und Inhalte
• Zahlungsdaten im Rahmen des Stripe-Checkouts

3. Zwecke der Verarbeitung

Personenbezogene Daten werden für folgende Zwecke verarbeitet:

• Plattformbetrieb: Bereitstellung und Betrieb der Plattform (Art. 6 Abs. 1 lit. b DSGVO).
• Hochzeitsverwaltung: Verwaltung von Einladungen, Rückmeldungen und Galerien (Art. 6 Abs. 1 lit. b DSGVO).
• Zahlungsabwicklung: Abwicklung der kostenpflichtigen Brautpaar-Freischaltung über Stripe (Art. 6 Abs. 1 lit. b DSGVO).
• Sicherheit: Missbrauchsverhinderung, Fehleranalyse und Systemsicherheit (Art. 6 Abs. 1 lit. f DSGVO).
• Analyse: Anonyme Nutzungsstatistiken über Vercel Analytics, nur mit eurer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

4. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen der DSGVO:

• Art. 6 Abs. 1 lit. a (Einwilligung): Für Analyse-Cookies und nicht zwingend erforderliche Datenverarbeitungen.
• Art. 6 Abs. 1 lit. b (Vertragserfüllung): Für die Bereitstellung der Plattform, Kontoverwaltung und Zahlungsabwicklung.
• Art. 6 Abs. 1 lit. f (Berechtigtes Interesse): Für Sicherheitsmaßnahmen, Fehleranalyse und Missbrauchsprävention.
• Art. 6 Abs. 1 lit. c (Gesetzliche Pflicht): Für steuerrechtliche Aufbewahrungspflichten bei Zahlungsdaten.

5. Eingesetzte Dienstleister (Auftragsverarbeiter)

Zur Bereitstellung unserer Dienste setzen wir folgende Dienstleister ein, mit denen jeweils Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO bestehen. Ein vollständiges Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO mit Vertragspfaden, Datenkategorien, Speicherort und Löschfristen wird intern geführt:

Vercel Inc. (USA) — EU-Vertragspartner: Vercel International Limited (Dublin, Irland)

Hosting, Web Analytics (cookieless, nur mit Einwilligung) und Performance-Monitoring. Region: EU (Frankfurt, fra1, in vercel.json gepinnt, Source-Code-verifiziert; Vercel-Dashboard-Confirm bis 2026-04-26 pending). EU-Vertragspartner: Vercel International Limited, Dublin, Irland. Sitz Mutter: Vercel Inc., USA. Rechtsgrundlage: Art. 28 DSGVO. Transfer: EU-US Data Privacy Framework + EU-Standardvertragsklauseln (SCC Modul 2).

Supabase Inc. (USA)

PostgreSQL-Datenbank, Authentifizierung und Realtime. Region: EU (AWS Frankfurt, eu-central-1, live über Server-IP verifiziert). Sitz Mutter: Supabase Inc., USA/Singapur. Rechtsgrundlage: Art. 28 DSGVO. Transfer: EU-US DPF + SCC Modul 2.

Cloudflare Inc. (R2, USA)

Cloudflare R2 Object-Storage für Foto-Galerie und Medien. Region: EU (Western Europe, weur — Standard-Konfiguration; Live-Confirm via Cloudflare-Dashboard bis 2026-04-26 pending). Sitz Mutter: Cloudflare Inc., USA. Rechtsgrundlage: Art. 28 DSGVO. Transfer: EU-US DPF + SCC Modul 2.

Upstash Inc. (USA)

Upstash Redis für Rate-Limiting und Missbrauchsschutz. Region: EU (pending Operator-Confirm via Upstash-Console bis 2026-04-26). Sitz Mutter: Upstash Inc., USA. Verarbeitete Daten: ephemere IP-basierte Counter (max. 30 Tage). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO + Art. 28 DSGVO. Transfer: EU-US DPF + SCC Modul 2.

Stripe Payments Europe Ltd. (Dublin, Irland) / Stripe Inc. (San Francisco, USA)

Zahlungsabwicklung (PCI DSS Level 1 zertifiziert). Hauptverarbeitung für EU-Kunden: Stripe Payments Europe Ltd., Dublin, Irland. Mutter: Stripe Inc., San Francisco, USA. Rechtsgrundlage: Art. 28 DSGVO + Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Aufbewahrungspflicht). Transfer: EU-US DPF + SCC Modul 2.

Resend Inc. (USA)

Transaktions-Emails (Einladungs-Links, Brautpaar-Benachrichtigungen). Region: EU (Frankfurt, sofern im Resend-Dashboard aktiviert — pending Operator-Confirm bis 2026-04-26). Sitz Mutter: Resend Inc., USA. Rechtsgrundlage: Art. 28 DSGVO. Transfer: EU-US DPF + SCC Modul 2.

Google LLC (reCAPTCHA, USA) — EU-Tochter: Google Ireland Limited (Dublin)

Google reCAPTCHA für Bot-Schutz an Auth-Endpunkten. Aktivierungsstatus (Stand 2026-04-20): derzeit NICHT aktiv. Geplante Aktivierung mit Auth-Hardening (T-25); Aktivierung erfolgt nur bei aktivem Bot-Schutz und ist im Cookie-Banner zustimmungspflichtig gemäß § 25 TTDSG. EU-Tochter: Google Ireland Limited, Dublin, Irland. Sitz Mutter: Google LLC, USA. Verarbeitete Daten (bei Aktivierung): IP-Adresse, User-Agent, Cookie-IDs, Mausbewegungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO + Einwilligung gemäß § 25 TTDSG. Transfer: EU-US DPF + SCC Modul 2.

OpenAI L.L.C. (USA) — EU-Tochter: OpenAI Ireland Ltd. (Dublin)

OpenAI-gestützter Brautpaar-AI-Planning-Assistent (gpt-5.4-mini). Aktivierungsstatus: nur bei aktiver Nutzung durch das Brautpaar (optionales Feature, kein Gast-Zugriff). Verarbeitete Daten: Brautpaar-Frage-Text (User-Input), generierte Antworten — keine Gast-/Wedding-Stamm-Daten. EU-Tochter: OpenAI Ireland Ltd., Dublin, Irland. Sitz Mutter: OpenAI L.L.C., USA. Region: EU (Data Residency "Europe (Ireland)" + Zero Data Retention — pending Operator-Confirm bis 2026-04-26). Rechtsgrundlage: Art. 28 DSGVO + Art. 6 Abs. 1 lit. b DSGVO. Transfer: EU-US DPF + SCC Modul 2.

Google LLC (Google Play Billing, USA) — EU-Tochter: Google Ireland Limited (Dublin)

Google Play Billing für Android-Subscription-Zahlungen (Brautpaar-Freischaltung über Google Play Store). Aktivierungsstatus: nur bei Android-App-Nutzung (optionaler Vertriebsweg). Verarbeitete Daten: Brautpaar-Email (Google-Account-Email), Subscription-Status — Zahlungsdetails werden ausschließlich von Google verwaltet und nicht in der Smart-Wedding-Datenbank gespeichert. EU-Tochter: Google Ireland Limited, Dublin, Irland. Sitz Mutter: Google LLC, USA. Rechtsgrundlage: Art. 28 DSGVO + Art. 6 Abs. 1 lit. b DSGVO + Art. 6 Abs. 1 lit. c DSGVO. Transfer: EU-US DPF + SCC Modul 2.

Das vollständige Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) inklusive Auftragsverarbeitungsverträgen (AVV/DPA) kann auf Anfrage über info@niiro.ai eingesehen werden.

6. Datenübermittlung in Drittländer

Einige unserer Dienstleister haben ihren Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Frameworks (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) sowie ergänzend auf Basis von EU-Standardvertragsklauseln (SCCs).

7. Cookies und lokale Speicherung

NiiRo Smart Wedding unterscheidet zwischen notwendigen und optionalen Speicherungen:

• Notwendig: Login-Session-Cookies (__Host-niiro_admin_session, __Host-niiro_photo_session), lokale App-Einstellungen. Unerlässlich für den Betrieb.
• Analyse (optional): Vercel Analytics und SpeedInsights werden nur nach ausdrücklicher Einwilligung über den Cookie-Banner aktiviert.

Eine erteilte Einwilligung kann jederzeit über den Cookie-Banner widerrufen werden.

8. Speicherdauer

Die konkreten Aufbewahrungsfristen richten sich nach dem Verarbeitungszweck:

• Kontodaten: bis zur Löschung des Kontos.
• Hochzeitsdaten (Rückmeldungen, Galerie, Inhalte): bis 12 Monate nach dem Hochzeitsdatum.
• Zahlungsdaten: 10 Jahre gemäß handels- und steuerrechtlicher Aufbewahrungspflichten.
• Server-Logs und Rate-Limiting-Daten: maximal 30 Tage.

9. Rechte betroffener Personen

Als betroffene Person habt ihr folgende Rechte nach der DSGVO:

• Auskunft (Art. 15): Ihr könnt Auskunft über die bei uns gespeicherten Daten verlangen.
• Berichtigung (Art. 16): Ihr könnt die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17): Ihr könnt die Löschung eurer Daten verlangen, sofern keine Aufbewahrungspflichten entgegenstehen.
• Einschränkung (Art. 18): Ihr könnt die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20): Ihr habt das Recht, eure Daten in einem maschinenlesbaren Format zu erhalten.
• Widerspruch (Art. 21): Ihr könnt der Verarbeitung auf Basis berechtigter Interessen widersprechen.
• Beschwerderecht: Ihr habt das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzureichen.

10. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO statt.

11. Kontakt zum Datenschutz

Für Datenschutzanfragen erreicht ihr uns unter info@niiro.ai.

Verantwortlich für den Datenschutz: Robin Kolb

Aufgrund der Unternehmensgröße sind wir nicht zur Benennung eines Datenschutzbeauftragten verpflichtet. Für alle Datenschutzanliegen steht euch die oben genannte Kontaktadresse zur Verfügung.