Datenschutzerklärung
Zuletzt aktualisiert: 14. Juli 2026
Diese Erklärung beschreibt, welche personenbezogenen Daten wir verarbeiten, wenn Sie postmint.de besuchen oder die Anwendung Postmint nutzen, warum wir das tun und welche Rechte Ihnen nach der DSGVO zustehen.
1. Verantwortlicher
Tobias Schäfer, BuildIT Consulting
Raiffeisenstraße 40, 67133 Maxdorf, Deutschland
E-Mail: contact@postmint.de
2. Besuch der Website (Server-Logs)
Wenn Sie eine Seite aufrufen, protokolliert unser Server automatisch: IP-Adresse, Datum und Uhrzeit der Anfrage, die angeforderte URL, den HTTP-Statuscode, die übertragene Datenmenge, die Referrer-URL und den User-Agent. Das ist technisch erforderlich, um die Seite auszuliefern sowie Angriffe und Störungen zu erkennen und aufzuklären.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse ist der sichere und stabile Betrieb des Dienstes. Speicherdauer: 30 Tage, danach automatische Löschung.
3. Cookies
Wir setzen ausschließlich technisch notwendige Cookies ein: ein Session-Cookie, das Sie eingeloggt hält, und ein CSRF-Token-Cookie, das Formulare gegen Cross-Site Request Forgery schützt. Wir verwenden keine Werbe- oder seitenübergreifenden Tracking-Cookies, und unsere Reichweitenmessung arbeitet ohne Cookies (siehe Abschnitt 4). Deshalb zeigen wir kein Cookie-Banner.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich) sowie Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO für die darin enthaltenen personenbezogenen Daten.
4. Reichweitenmessung (Plausible, selbst gehostet)
Um zu verstehen, welche Seiten genutzt werden und wie Nutzerinnen und Nutzer zu uns finden, betreiben wir Plausible Analytics auf unserem eigenen Server in Deutschland (siehe Abschnitt 12). Es werden keine Daten an Dritte übermittelt – wir sind der einzige Empfänger.
Plausible arbeitet ohne Cookies und speichert keine Informationen auf Ihrem Endgerät. Es legt kein seiten- oder sitzungsübergreifendes Profil von Ihnen an und weist Ihnen keine dauerhafte Kennung zu. Pro Seitenaufruf werden erfasst: Seiten-URL, Referrer, Browser, Betriebssystem, Gerätetyp und Land. Um wiederkehrende Aufrufe innerhalb eines Tages auseinanderhalten zu können, bildet Plausible einen temporären Hash aus Ihrer IP-Adresse, dem User-Agent und einem täglich wechselnden Salt; der Salt wird nach 24 Stunden verworfen, sodass sich der Hash danach nicht mehr auf Sie zurückführen lässt. Ihre IP-Adresse selbst wird nie auf die Festplatte geschrieben.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse ist die bedarfsgerechte Gestaltung und Verbesserung unserer Website; wegen der flüchtigen, nicht identifizierenden Natur der Daten überwiegen Ihre Interessen nicht. Da Plausible weder Informationen auf Ihrem Endgerät speichert noch auf solche zugreift, greift § 25 Abs. 1 TDDDG nicht und eine Einwilligung ist nicht erforderlich.
Speicherdauer: Es werden ausschließlich aggregierte Statistiken aufbewahrt, die keinen Personenbezug mehr aufweisen; sie werden unbefristet gespeichert.
5. Fehlerüberwachung (Bugsink, selbst gehostet)
Um Abstürze und Fehler zu finden und zu beheben, betreiben wir das Fehler-Tracking Bugsink auf demselben eigenen Server in Deutschland (siehe Abschnitt 12). Auch hier verlassen keine Daten unsere Infrastruktur.
Tritt ein Fehler auf, zeichnet Bugsink einen technischen Fehlerbericht auf. Dieser enthält die Fehlermeldung und den Stack-Trace, die URL und die HTTP-Methode der Anfrage sowie Browser und Betriebssystem. Ihre IP-Adresse, Ihre Nutzer-ID und Ihre E-Mail-Adresse werden nicht übermittelt: Die Übermittlung personenbezogener Daten an das Fehler-Tracking ist in der Anwendung abgeschaltet.
Ein Restrisiko bleibt: Je nachdem, wo der Fehler auftrat, kann eine Fehlermeldung beiläufig von Ihnen eingegebene Daten enthalten, etwa Teile eines Prompts. Solche Fragmente werden gemeinsam mit dem Fehlerbericht gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse ist es, den Dienst sicher, stabil und funktionsfähig zu halten. Speicherdauer: Fehlerberichte werden nach 90 Tagen automatisch gelöscht.
6. Konto und Organisation
Für die Erstellung eines Kontos verarbeiten wir Ihren Namen, Ihre E-Mail-Adresse, ein gehashtes Passwort und – wenn Sie die Zwei-Faktor-Authentifizierung aktivieren – Ihr 2FA-Secret und Ihre Wiederherstellungscodes. Zur Bestätigung Ihrer Adresse senden wir eine Verifizierungs-E-Mail. Wir speichern die Zeitpunkte der Kontoerstellung, der E-Mail-Bestätigung und der letzten Änderung. Außerdem speichern wir, dass und wann Sie bei der Registrierung unseren AGB zugestimmt haben, um den Vertragsschluss belegen zu können.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen). Speicherdauer: für die Dauer des Kontos; siehe Abschnitt 13.
7. Von Ihnen erstellte Inhalte
In der Anwendung speichern wir Ihr Brand Kit (Farben, Schrift, hochgeladenes Logo), Ihre Projekte, die von Ihnen eingegebenen Text-Prompts und jede erzeugte Design-Version. Hochgeladene Logos und generierte Bilder werden auf unserem Server in Deutschland gespeichert. Diese Inhalte sind Ihrer Organisation zugeordnet und für andere Kundinnen und Kunden nicht zugänglich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Bitte geben Sie keine personenbezogenen Daten Dritter in Prompts ein, sofern Sie dafür keine Rechtsgrundlage haben – siehe Abschnitt 14.
8. KI-Generierung
Um ein Design zu erzeugen, übermitteln wir Ihren Prompt, die Werte Ihres Brand Kits und das aktuelle Design an unsere KI-Anbieter. Deren Modelle erzeugen das Layout und die Bilder, die Sie im Editor sehen.
| Anbieter | Zweck | Verarbeitungsort |
|---|---|---|
| Anthropic PBC, San Francisco, USA | Layout- und Texterzeugung (Claude-Modelle) | USA |
| OpenAI Ireland Ltd., Dublin, Irland | Bilderzeugung | USA |
Beide Anbieter handeln auf Grundlage eines mit ihnen geschlossenen Auftragsverarbeitungsvertrags als Auftragsverarbeiter nach Art. 28 DSGVO. Nach ihren API-Bedingungen nutzen sie Eingaben und Ausgaben der API nicht zum Training ihrer Modelle und löschen Eingaben nach einer begrenzten Aufbewahrungsfrist zur Missbrauchskontrolle.
Beide Anbieter verarbeiten die Daten in den USA. Die Übermittlung ist abgesichert durch die EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) sowie – soweit der jeweilige Anbieter zertifiziert ist – durch das EU-US Data Privacy Framework. Eine Kopie dieser Garantien erhalten Sie auf Anfrage unter contact@postmint.de.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO – die Erzeugung von Designs ist der Kern des Dienstes.
9. Zahlungen
Kostenpflichtige Tarife werden über Stripe Payments Europe Ltd., 25/28 North Wall Quay, Dublin 1, Irland abgewickelt. Kartendaten werden direkt bei Stripe eingegeben und erreichen unseren Server nie. Wir speichern Ihre Stripe-Kunden-ID, den Abonnementstatus, die Kartenmarke und die letzten vier Ziffern sowie Ihr Generierungskontingent, um korrekt abrechnen und messen zu können.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. c DSGVO für die gesetzliche Aufbewahrung von Rechnungen. Speicherdauer: Rechnungsdaten werden zehn Jahre nach § 147 AO / § 257 HGB aufbewahrt. Die Datenschutzerklärung von Stripe: stripe.com/privacy.
10. E-Mail
Transaktions-E-Mails (Verifizierung, Passwort-Zurücksetzung, Abrechnungshinweise) und unser Newsletter werden über Resend (Plus Five Five, Inc., San Francisco, USA) versendet, das auf Grundlage eines Auftragsverarbeitungsvertrags und der EU-Standardvertragsklauseln als Auftragsverarbeiter handelt. Eine Kopie der Garantien erhalten Sie auf Anfrage unter contact@postmint.de. Resend verarbeitet Ihre E-Mail-Adresse, den Nachrichteninhalt und Zustellereignisse (zugestellt, geöffnet, unzustellbar, als Spam gemeldet).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für Transaktions-E-Mails; zum Newsletter siehe Abschnitt 11.
11. Newsletter
Sie können unseren Newsletter mit Ihrer E-Mail-Adresse abonnieren. Wir verwenden das Double-Opt-in-Verfahren: Nach Ihrer Anmeldung senden wir Ihnen eine Bestätigungs-E-Mail und nehmen Sie erst dann in den Verteiler auf, wenn Sie den darin enthaltenen Link anklicken. Um Ihre Einwilligung nach Art. 7 Abs. 1 DSGVO nachweisen zu können, speichern wir Ihre E-Mail-Adresse, den Zeitpunkt der Anmeldung und der Bestätigung, die bei der Anmeldung verwendete IP-Adresse und die Stelle auf der Website, an der Sie sich angemeldet haben.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen – über den Abmeldelink in jedem Newsletter oder per E-Mail an uns. Nach Ihrer Abmeldung bewahren wir den Nachweis über Anmeldung und Widerruf weiterhin auf, um die Rechtmäßigkeit des Versands belegen zu können und Sie nicht erneut anzuschreiben.
12. Hosting
Die Anwendung, die Datenbank, unsere Reichweitenmessung und Fehlerüberwachung sowie alle hochgeladenen und generierten Dateien laufen auf eigener Hardware, die in einem Rechenzentrum in Deutschland untergebracht ist (Colocation). Der Betreiber des Rechenzentrums stellt lediglich Stellfläche, Strom und Netzanbindung bereit und hat keinen Zugriff auf die auf unseren Servern gespeicherten Daten.
13. Speicherdauer und Löschung
Konto- und Inhaltsdaten bewahren wir auf, solange Ihr Konto besteht. Wenn Sie Ihr Konto löschen, löschen wir Ihre Kontodaten, Brand Kits, Projekte und generierten Designs innerhalb von 30 Tagen, soweit wir nicht gesetzlich zur Aufbewahrung verpflichtet sind (Rechnungen, siehe Abschnitt 9). Server-Logs und Fehlerberichte werden wie in den Abschnitten 2 und 5 beschrieben gelöscht.
14. Ihre Verantwortung als Kundin oder Kunde
Sie entscheiden, was Sie in einen Prompt eingeben und was Sie hochladen. Enthalten diese Inhalte personenbezogene Daten (etwa das Foto einer namentlich benannten Person), sind Sie dafür Verantwortlicher und wir verarbeiten sie in Ihrem Auftrag. In diesem Fall schließen wir auf Anfrage einen Auftragsverarbeitungsvertrag mit Ihnen – schreiben Sie an contact@postmint.de.
15. Ihre Rechte
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Zur Ausübung dieser Rechte genügt eine E-Mail an contact@postmint.de. Ihnen steht außerdem das Recht zu, sich bei einer Aufsichtsbehörde zu beschweren. Für uns zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Hintere Bleiche 34, 55116 Mainz.
16. Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, die auf Grundlage berechtigter Interessen erfolgt (Art. 6 Abs. 1 lit. f DSGVO, Art. 21 Abs. 1 DSGVO). Das betrifft in dieser Erklärung die Abschnitte 2 (Server-Logs), 4 (Reichweitenmessung) und 5 (Fehlerüberwachung).
Legen Sie Widerspruch ein, verarbeiten wir die betreffenden Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Ihr Widerspruch genügt formlos per E-Mail an contact@postmint.de.
17. Automatisierte Entscheidungsfindung
Wir setzen keine automatisierte Entscheidungsfindung und kein Profiling ein, die Ihnen gegenüber rechtliche Wirkung entfalten. Die KI in Postmint erzeugt Designs; sie trifft keine Entscheidungen über Sie. Die Bot-Prüfung bei der Registrierung (Abschnitt 18) bewertet technische Signale Ihres Browsers daraufhin, ob die Anfrage automatisiert erfolgt; sie bewertet nicht Ihre Person und hat keine rechtliche Wirkung. Schlägt sie fehl, können Sie die Prüfung wiederholen oder uns unter contact@postmint.de schreiben.
18. Spam-Schutz bei der Registrierung (Cloudflare Turnstile)
Auf der Registrierungsseite – und nur dort – setzen wir Cloudflare Turnstile ein, um automatisierte Massenanmeldungen abzuwehren. Anbieter ist die Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA.
Beim Aufruf der Registrierungsseite lädt Ihr Browser dazu ein Skript von
challenges.cloudflare.com. Dabei wird Ihre IP-Adresse an Cloudflare übermittelt.
Cloudflare wertet technische Merkmale Ihres Browsers und Ihres Endgeräts sowie Ihr
Interaktionsverhalten auf der Seite aus, um zu beurteilen, ob die Anmeldung von einem
Menschen stammt. Der Inhalt des Formulars – Name, E-Mail-Adresse, Passwort – wird dabei
nicht an Cloudflare übermittelt.
Turnstile speichert in der von uns eingesetzten Standardkonfiguration keine Cookies und keine sonstigen Informationen auf Ihrem Endgerät. Eine Einwilligung nach § 25 TDDDG ist daher nicht erforderlich, und wir zeigen auch für diesen Dienst kein Banner.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt darin, die Registrierung vor automatisiertem Missbrauch zu schützen: Massenanmeldungen belasten unsere Infrastruktur, verursachen Kosten bei der KI-Generierung und führen dazu, dass E-Mails an nicht existierende Adressen unsere Zustellbarkeit beschädigen. Ein milderes, gleich wirksames Mittel steht uns nicht zur Verfügung. Die Prüfung erfolgt einmalig beim Absenden des Formulars und nicht beim übrigen Besuch der Website.
Cloudflare handelt auf Grundlage eines Auftragsverarbeitungsvertrags und der EU-Standardvertragsklauseln; eine Kopie der Garantien erhalten Sie auf Anfrage unter contact@postmint.de. Weitere Informationen finden Sie in der Datenschutzerklärung von Cloudflare.
19. Änderungen dieser Erklärung
Wir können diese Erklärung anpassen, wenn sich der Dienst ändert. Die jeweils aktuelle Fassung ist stets auf dieser Seite verfügbar; das Datum der letzten Aktualisierung steht oben.