Citely
Rechtliches

Datenschutzerklärung

Information gem. Art. 13 DSGVO·Stand: 12. Mai 2026
Kurz

Wir verarbeiten so wenig personenbezogene Daten wie möglich und ausschließlich für die Erbringung des Citely-Services. Im Folgenden erklären wir, welche Daten wir verarbeiten, zu welchem Zweck und auf welcher Rechtsgrundlage.

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:

Citely · Inhaber: Luca-Georg Wallenfels

Togostraße 5

13351 Berlin, Deutschland

E-Mail: hi@citely.de

2. Webanalyse

2.1 Optionale Produkt-Analytics (PostHog)

Mit deiner Einwilligung verwenden wir PostHog (PostHog Inc., EU-Hosting in Frankfurt) für anonymisierte Produkt-Analytics — Seitenaufrufe, Klick-Ereignisse, Funnel-Daten — um Citely zu verbessern. IP-Adressen werden anonymisiert, Session-Recording ist deaktiviert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TTDSG. Du kannst deine Einwilligung jederzeit über die ändern oder widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

2.2 Server-seitige Lifecycle-Events

Unabhängig von der oben genannten Einwilligung verarbeiten wir technische Lifecycle-Ereignisse (Signup, Upload, Report-Fertigstellung, Kauf-Abschluss) zur Produkt-Analytik und Qualitätssicherung. Diese Daten enthalten keine Inhalte deiner Hausarbeit. Sie werden an denselben Auftragsverarbeiter (PostHog) unter denselben Schutzbedingungen weitergegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung).

2.3 Marketing-Attribution (QR-Code-Sticker und Empfehlungs-Links)

Wenn du unsere Website über einen QR-Code-Sticker oder eine Marketing-URL mit UTM-Parametern erreichst, protokollieren wir den Aufruf serverseitig: Kennung der Sticker-Charge, Land des Aufrufs (zwei-stelliger Ländercode aus dem Anonymisierungs-Header unseres Hosting-Anbieters), eine Klassifikation deines Browsers in „Mensch/Bot/Unbekannt“ sowie den Zeitpunkt. Wir speichern keine IP-Adressen und keinen vollständigen User-Agent. Zusätzlich legen wir einen Eintrag in deinem Browser-Speicher (localStorage) ab, der die Quelle für maximal 30 Tage merkt, damit ein späterer Signup oder Kauf der richtigen Marketing-Quelle zugeordnet werden kann. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Marketing-Erfolgsmessung) bzw. § 25 Abs. 2 Nr. 2 TTDSG (funktional notwendige Speicherung) für den localStorage-Eintrag.

Im Rahmen unseres Influencer-/Affiliate-Programms gilt das Gleiche für Empfehlungs-Links mit dem Parameter utm_source=influencer (z. B. citely.de/i/<name>): Der Aufruf wird anonym gezählt und die Quelle als Kennung der Form inf-<name> für maximal 30 Tage in deinem Browser-Speicher gemerkt. Löst du beim Kauf einen persönlichen Rabattcode eines Influencers ein, ordnen wir den Kauf zu Abrechnungszwecken dieser Empfehlungsquelle zu. Influencer sehen in ihrem Dashboard ausschließlich aggregierte Kennzahlen (Anzahl Aufrufe, Registrierungen, Käufe) — keine personenbezogenen Daten der geworbenen Nutzer (kein Name, keine E-Mail, keine Kaufdetails). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Marketing-Erfolgsmessung und korrekter Provisionsabrechnung) bzw. § 25 Abs. 2 Nr. 2 TTDSG für den localStorage-Eintrag.

3. Cookies und Speicherung im Browser

3.1 Technisch notwendige Cookies

Wir verwenden technisch notwendige Cookies für Login-Sitzung, Anmelde-Status und Sicherheits-Token. Diese sind gem. § 25 Abs. 2 Nr. 2 TTDSG ohne Einwilligung zulässig, da sie für den Betrieb der Website unerlässlich sind.

3.2 Cookies für optionale Produkt-Analytics

Wenn du in Abschnitt 2.1 eingewilligt hast, setzt PostHog technische Cookies und Browser-Speicher-Einträge, um Sitzungen wiederzuerkennen und Funnel-Daten zu aggregieren. Diese Einträge enthalten keine Klartext-Identifikatoren. Rechtsgrundlage: § 25 Abs. 1 TTDSG (Einwilligung).

3.3 Cookie-Einstellungen ändern

Du kannst deine Einwilligung jederzeit anpassen oder widerrufen. Klick dazu einfach auf — der Banner öffnet sich wieder und du kannst neu entscheiden.

4. Verarbeitung personenbezogener Daten

4.1 Besuch unserer Website

Beim Aufruf unserer Website erhebt unser Server automatisch technische Informationen, die dein Browser übermittelt (Server-Logfiles): IP-Adresse, Datum und Uhrzeit, aufgerufene Seite, Browsertyp, Referrer-URL. Diese Daten werden zur Sicherstellung des Betriebs verarbeitet und nach kurzer Frist gelöscht oder anonymisiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb).

4.2 Inanspruchnahme unserer Dienste

Wenn du Citely nutzt, verarbeiten wir die hochgeladenen Dokumente sowie zugehörige Metadaten (Dateiname, Größe, Hochlade-Zeitpunkt) ausschließlich zur Erbringung der beauftragten Analyseleistung. Inhalte werden nicht zu eigenen Zwecken ausgewertet oder an unbeteiligte Dritte weitergegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.3 Kontaktaufnahme

Wenn du uns per E-Mail kontaktierst, verarbeiten wir die übermittelten Angaben (insbesondere E-Mail-Adresse und Inhalt der Nachricht) zur Bearbeitung deiner Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b oder lit. f DSGVO.

4.4 Benutzerkonto

Bei Anlage eines Benutzerkontos verarbeiten wir die zur Authentifizierung notwendigen Daten (E-Mail-Adresse, Anmeldezeitpunkt). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.5 KI-gestützte Analyse

Zur Erbringung der Analyseleistung übermitteln wir den Inhalt deiner hochgeladenen Hausarbeit und Quellen-PDFs an spezialisierte KI-Dienstleister (siehe Auftragsverarbeiter-Tabelle in Abschnitt 7.1). Die Analyse erfolgt durch große Sprachmodelle (Large Language Models). Diese Anbieter verarbeiten die Texte ausschließlich zum Zweck der Analyse für deinen Auftrag. Eine Verwendung deiner Inhalte zum Training von KI-Modellen durch diese Anbieter ist vertraglich ausgeschlossen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Speicherung personenbezogener Daten

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder wir gesetzlich dazu verpflichtet sind (insbesondere handels- und steuerrechtliche Aufbewahrungsfristen, in der Regel bis zu 10 Jahre für Rechnungen). Hochgeladene Dokumente, die zugehörigen Analyseergebnisse und etwaige generierte PDF-Berichte werden 30 Tage nach dem Upload automatisch und unwiderruflich gelöscht.

6. Sicherheit personenbezogener Daten

Wir treffen angemessene technische und organisatorische Maßnahmen, um deine Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen. Die Übertragung zwischen deinem Browser und unseren Servern erfolgt verschlüsselt (TLS). Unsere Schutzmaßnahmen werden regelmäßig dem Stand der Technik angepasst.

7. Übermittlung personenbezogener Daten an Dritte

Eine Übermittlung deiner Daten an Dritte findet nur in den folgenden Fällen statt:

  • an sorgfältig ausgewählte Auftragsverarbeiter (z. B. Hosting, Zahlungsabwicklung, KI-Analyse), mit denen Verträge zur Auftragsverarbeitung gem. Art. 28 DSGVO bestehen;
  • soweit eine gesetzliche Verpflichtung zur Übermittlung besteht;
  • soweit du ausdrücklich eingewilligt hast.

Eine Weitergabe zu Werbezwecken oder ein Verkauf von Daten findet nicht statt.

7.1 Auftragsverarbeiter im Überblick

Mit allen folgenden Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Die Anbieter dürfen die übermittelten Daten ausschließlich zum jeweils angegebenen Zweck und nur nach unseren Weisungen verarbeiten.

Anbieter
Zweck
Sitz
Vercel Inc.
Hosting (Web-App)
Frankfurt (EU), Region fra1
Supabase Inc.
Datenbank & Dateispeicher
Frankfurt (EU)
Clerk Inc.
Authentifizierung (Login/Signup)
USA · EU-Region für EU-Daten, EU-SCC
Stripe Payments Europe Ltd.
Zahlungsabwicklung
Irland (EU)
Resend Inc.
Versand von Zahlungsbestätigungs-E-Mails
USA · EU-SCC + EU-US Data Privacy Framework
Anthropic, PBC
KI-Analyse (Module §01–§05)
USA · EU-SCC + EU-US Data Privacy Framework
Voyage AI
Embeddings + Re-Ranking
USA · EU-SCC
Google LLC
OCR (Cloud Vision, nur Scan-PDFs)
USA · EU-SCC + EU-US Data Privacy Framework
Trigger.dev Inc.
Hintergrund-Job-Queue
USA · EU-SCC
Functional Software, Inc. (Sentry)
Error- und Performance-Monitoring
Frankfurt (EU)
PostHog Inc.
Produkt-Analytics (Consent-basierte Web-Events + Server-Lifecycle-Events)
Frankfurt (EU)

8. Weitergabe in Drittländer

Einige der in Abschnitt 7.1 aufgeführten Auftragsverarbeiter haben ihren Sitz in den USA (Anthropic, Voyage AI, Google, Trigger.dev sowie Clerk mit EU-Daten-Region). Die Übermittlung in diese Drittländer erfolgt ausschließlich auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO:

  • EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO mit allen US-Anbietern;
  • ergänzend Zertifizierung nach dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023) bei Anthropic und Google.

Du kannst von uns jederzeit eine Kopie der relevanten Garantien per E-Mail anfordern.

9. Deine Rechte

Als betroffene Person hast du folgende Rechte:

  • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO)

Schreib uns einfach an hi@citely.de.

10. Aktualisierung dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich rechtliche Anforderungen ändern oder wir unser Angebot weiterentwickeln. Es gilt jeweils die zum Zeitpunkt der Verarbeitung aktuelle Fassung.

11. Kontakt

Bei Fragen zur Verarbeitung deiner personenbezogenen Daten erreichst du uns unter hi@citely.de.

Stand dieser Datenschutzerklärung: 12. Mai 2026