Inksights
ImprintPrivacyTerms
This document is provided in German to comply with German legal requirements (§5 TMG, DSGVO, BGB). The German text is the authoritative version.

Datenschutzerklärung

Stand: 2. Mai 2026 · Diese Erklärung beschreibt die Verarbeitung personenbezogener Daten bei Nutzung von Inksights (https://platform.inksights.app).

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

[Firmenname / Inhaber:in]
[Straße + Hausnummer]
[PLZ Ort]
Deutschland
E-Mail: datenschutz@inksights.app

2. Welche Daten wir verarbeiten

2.1 Account- und Studio-Daten

Wenn Sie ein Konto auf Inksights anlegen, verarbeiten wir die folgenden Daten:

  • Name, E-Mail-Adresse und ein gehashtes Passwort (bei E-Mail-Login)
  • Login über Google: Ihre Google-ID, Name, E-Mail-Adresse und Profilbild-URL (vom Google-Konto bereitgestellt)
  • Studio-Stammdaten: Name, ggf. Logo und Adresse
  • Rolle (Admin, Assistenz, Tätowierer:in)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Account-Sicherheit).

2.2 Kunden- und Termindaten (im Auftrag des Studios)

Inksights ist eine Studioverwaltung für Tattoostudios. Wenn ein Studio Daten seiner eigenen Kund:innen in Inksights speichert, ist das Studio der Verantwortliche im Sinne der DSGVO; Inksights wird in diesem Rahmen ausschließlich als Auftragsverarbeiter nach Art. 28 DSGVO tätig. Der Studiobetreiber ist verpflichtet, gegenüber seinen Kund:innen eine eigene Datenschutzerklärung bereitzustellen.

Verarbeitete Datenkategorien (im Auftrag der Studios): Name, Kontaktdaten, Termine, Projektbeschreibungen, Referenzbilder, interne Notizen, Buchungs-Anfragen sowie eingehende und ausgehende E-Mail- Korrespondenz.

2.3 Inbox-Modul: Anbindung Ihres E-Mail-Postfachs

Studios können ihr E-Mail-Postfach an Inksights anbinden, um Klienten- Korrespondenz zentral zu bearbeiten. Es stehen zwei Wege zur Verfügung:

  • IMAP / SMTP: Sie hinterlegen Zugangsdaten Ihres E-Mail-Anbieters. Diese werden vor der Speicherung mit AES-256-GCM verschlüsselt; der Schlüssel wird ausschließlich serverseitig gehalten und regelmäßig rotiert.
  • Google Gmail (OAuth): Sie autorisieren Inksights über den OAuth-Konsens-Dialog von Google. Dabei werden ein Refresh-Token (verschlüsselt gespeichert) und temporäre Access-Tokens verwendet.
Hinweis zur Nutzung von Google-API-Daten (Gmail): Die Verwendung und Übertragung von Informationen, die Inksights über Google APIs erhält, erfolgt im Einklang mit der Google API Services User Data Policy, einschließlich der Limited Use-Anforderungen. Wir nutzen die abgerufenen Gmail-Daten ausschließlich, um die ausdrücklich vom Studio gewünschten Funktionen zu erbringen (Anzeige eingegangener E-Mails, Versand von Antworten, Markieren als gelesen oder archiviert). Wir geben die Daten nicht an Dritte weiter, verwenden sie nicht für Werbe-Targeting, verkaufen sie nicht und verwenden sie nicht zum Training generischer KI-Modelle. Menschen lesen Ihre Gmail-Daten nur dann, wenn dies (a) zur Sicherheit erforderlich ist (z. B. Untersuchung von Missbrauch), (b) zur Einhaltung gesetzlicher Vorgaben oder (c) mit Ihrer ausdrücklichen Einwilligung erfolgt.

Im Detail beanspruchen wir folgende Gmail-Berechtigungen:

  • gmail.readonly — Abruf eingehender Nachrichten zur Anzeige in der Inbox-Oberfläche.
  • gmail.send — Versand von Antworten, die Sie in Inksights verfassen.
  • gmail.modify — Änderungen am Postfach, die Sie aktiv auslösen (z. B. „archivieren“, „als gelesen markieren“); ein unabhängiges Löschen von Nachrichten in Ihrem Google-Konto erfolgt nicht.

2.4 Öffentlicher Buchungs-Funnel

Wenn ein Studio einen öffentlichen Künstler:innen-Profilseiten-Link teilt, können Interessent:innen über das Formular /p/<slug>/book eine Anfrage absenden. Verarbeitet werden: Name, E-Mail, ggf. Telefonnummer, Projektbeschreibung, gewünschte Körperregion, Größe, Budget, Referenzbilder und ggf. ein Pinterest-Link. Für die Spam-Abwehr speichern wir zusätzlich einen gekürzten SHA-256-Hash Ihrer IP-Adresse — die ungehashte IP wird nicht gespeichert. Die Eingabe erfordert eine ausdrückliche Einwilligung in die Verarbeitung (Art. 6 Abs. 1 lit. a DSGVO; bei Körper- oder Gesundheitsangaben Art. 9 Abs. 2 lit. a DSGVO).

2.5 Server-Logs

Beim Aufruf von Seiten erfasst unser Hoster (Vercel) automatische Zugriffsprotokolle (IP-Adresse, Datum/Uhrzeit, Pfad, User-Agent, Referrer). Diese werden für maximal 30 Tage zur Sicherstellung des Betriebs und zur Abwehr missbräuchlicher Zugriffe vorgehalten und nicht mit anderen Datenquellen zusammengeführt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

2.6 Cookies

Inksights setzt ausschließlich technisch notwendige Cookies — eine Einwilligung nach § 25 Abs. 1 TTDSG ist nicht erforderlich, weil sie unbedingt erforderlich sind, um den von Ihnen gewünschten Dienst zur Verfügung zu stellen (§ 25 Abs. 2 Nr. 2 TTDSG):

  • Sitzungs-Cookie der Supabase-Authentifizierung (Login-Status).
  • Präferenz-Cookie inksights.active_studio: speichert, welches Studio Sie zuletzt geöffnet haben.

Es werden keine Analyse- oder Werbe-Tracker gesetzt. Drittanbieter- Cookies werden nur dort eingebunden, wo der von Ihnen ausgelöste OAuth-Flow dies technisch erfordert (Google).

3. Empfänger und Auftragsverarbeiter

Wir setzen die folgenden Auftragsverarbeiter ein. Mit jedem Auftragsverarbeiter besteht ein Vertrag nach Art. 28 DSGVO.

  • Supabase Inc. (Datenbank, Authentifizierung, Speicher) — Verarbeitung in der EU (Region eu-central-1 oder gleichwertig); ergänzende Standardvertragsklauseln werden, soweit erforderlich, eingesetzt.
  • Vercel Inc. (Hosting der Webanwendung) — Verarbeitung in der EU.
  • Resend Inc. (transaktionale E-Mails wie Buchungsbestätigungen) — Verarbeitung in der EU.
  • Google LLC / Google Ireland Ltd. — wenn Sie sich per Google anmelden oder Ihr Gmail-Konto verbinden. Hierbei können Daten in die USA übertragen werden; Google ist unter dem EU-US-Datenschutzrahmen (Adequacy-Beschluss vom 10. Juli 2023) zertifiziert.

4. Drittlandtransfer

Bei der Nutzung von Diensten US-amerikanischer Anbieter (insbesondere Google, sofern Sie Google-Login oder die Gmail-Anbindung nutzen) kann es zu Übermittlungen in die USA kommen. Diese erfolgen auf Basis des EU-US-Datenschutzrahmens und ergänzend auf Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

5. Aufbewahrungsfristen

  • Account-Daten: solange Sie ein Konto unterhalten; nach Löschung binnen 30 Tagen entfernt.
  • Klienten-Daten (Studio-CRM): vom Studio gesteuert. Soft-Delete mit 365-Tage-Wiederherstellungs­fenster, danach automatische Endlöschung.
  • Inbox-Nachrichten: 1.095 Tage (3 Jahre) bei buchungsbezogenen Threads, 365 Tage (1 Jahr) bei sonstigen — pro Inbox einstellbar. Lifecycle active → redacted → purged mit 30 Tagen Karenz. Anhänge im Storage werden zusammen mit der Endlöschung entfernt.
  • Buchungs-Anfragen: 365 Tage; danach automatische Löschung.
  • E-Mail-Versand-Log: 365 Tage.
  • Inbox-Zugriffslog: 365 Tage.
  • iCal-Feed-Zugriffslog: 90 Tage.
  • Klienten-Zugriffslog (edit / delete / export): 365 Tage. Im DSAR-Export enthalten.
  • Server-Logs des Hosters: 30 Tage.

6. Ihre Rechte

Ihnen stehen die folgenden Rechte zu:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO) — als JSON-Export downloadbar im Studio-Konto; bei externen Anfragen wenden Sie sich an das jeweilige Studio.
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO).
  • Löschung (Art. 17 DSGVO) — über die Account- Verwaltung in Inksights oder durch formlose Anfrage an das jeweilige Studio.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO) — z. B. wenn die Richtigkeit Ihrer Daten von Ihnen bestritten wird. Studios können einzelne Inbox-Threads zudem auf „Verarbeitung eingeschränkt“ setzen.
  • Datenübertragbarkeit (Art. 20 DSGVO) — strukturierter JSON-Export auf Anfrage.
  • Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO).
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Sie haben außerdem das Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO), insbesondere bei der Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts oder am Ort des mutmaßlichen Verstoßes.

7. Datensicherheit

Wir setzen unter anderem folgende technische Maßnahmen ein:

  • Transportverschlüsselung TLS 1.2+ für alle Verbindungen.
  • Mandantentrennung (Row-Level Security) je Studio auf Datenbankebene.
  • AES-256-GCM-Verschlüsselung von IMAP/SMTP- und OAuth-Credentials at rest mit dokumentierter Schlüsselrotation.
  • Service-Role-Zugriff auf die Datenbank ausschließlich über serverseitige Routen, niemals aus dem Browser.
  • Token-basierte iCal-Feeds mit Auto-Expiry nach 90 Tagen Inaktivität und Minimal-Payload (nur Vorname + Status).
  • Honeypot- und Rate-Limit-Schutz auf öffentlichen Eingabe-Endpunkten.

8. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Rahmenbedingungen oder unsere Verarbeitungsvorgänge ändern. Maßgeblich ist die jeweils aktuelle, an dieser Stelle abrufbare Fassung.

9. Kontakt

Für Fragen zur Verarbeitung Ihrer Daten erreichen Sie uns unter datenschutz@inksights.app.

ImprintPrivacyTerms