Privacy Policy

1. Verantwortliche Stelle

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Ledist UG (haftungsbeschränkt)
Ritterstr. 8
33602 Bielefeld
Deutschland

Geschäftsführer: Lasse Dumstrei
E-Mail: hello@ledist.de
Telefon: +49 151 27107409

Amtsgericht Bielefeld, HRB 45251
USt-IdNr.: DE360853245

2. Datenschutzbeauftragter

Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht gemäß Art. 37 DSGVO i. V. m. § 38 BDSG nicht, da bei der Ledist UG (haftungsbeschränkt) nicht mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ein Datenschutzbeauftragter wurde daher nicht bestellt. Bei datenschutzrechtlichen Fragen wenden Sie sich bitte direkt an die oben genannte verantwortliche Stelle.

3. Überblick über die Datenverarbeitung

3.1 Umfang der Verarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder in Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

3.2 Art der verarbeiteten Daten

ghostworkforce.de ist ein digitaler Marktplatz für KI-Agenten (Prompts, Workflows, Starter-Kits, MCP-Server, Agent-Code). Je nach Nutzungsart werden unterschiedliche Datenkategorien verarbeitet:

• Käufer (mit Registrierung): E-Mail-Adresse, Name, Passwort (gehasht), Kaufhistorie, Download-Daten
• Käufer (Gast-Checkout): E-Mail-Adresse, Zahlungsdaten (verarbeitet durch Stripe), Kaufhistorie
• Anbieter (Seller): Zusätzlich zu Käuferdaten: Bankverbindungsdaten (IBAN, BIC, Kontoinhaber), Anbieter-Profildaten, steuerliche Identifikationsmerkmale (bei DAC-7-Pflicht: Steuer-ID, Adresse, Geburtsdatum)
• Alle Besucher: Technische Zugriffsdaten (IP-Adresse, Browser-Typ, Betriebssystem, Referrer-URL, Zeitpunkt des Zugriffs)

4. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der folgenden Rechtsgrundlagen der DSGVO:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit wir für die Verarbeitung personenbezogener Daten eine Einwilligung einholen, etwa für den Versand von Marketing-E-Mails oder die Nutzung bestimmter optionaler Dienste.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich. Dies betrifft insbesondere die Registrierung, den Kauf von KI-Agenten, die Abwicklung von Zahlungen und die Bereitstellung digitaler Inhalte.
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. Dies betrifft insbesondere steuerliche Aufbewahrungspflichten (§ 257 HGB, § 147 AO) sowie die DAC-7-Meldepflicht (§ 13 PStTG).
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, etwa zur Sicherstellung der IT-Sicherheit, zur Betrugsprävention, zur Verbesserung der Plattform sowie zur Geltendmachung rechtlicher Ansprüche.

5. Cookies und Tracking

5.1 Technisch notwendige Cookies

Unsere Plattform verwendet ausschließlich technisch notwendige Cookies. Diese sind für den Betrieb der Website und die Bereitstellung unserer Dienste zwingend erforderlich. Hierzu gehören insbesondere:

• Supabase Auth Session Cookie: Wird für die Authentifizierung und Sitzungsverwaltung eingeloggt Nutzer benötigt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich).
• Locale-Cookie: Speichert die gewählte Spracheinstellung (Deutsch/Englisch) für die Dauer der Sitzung.

5.2 Keine Tracking-Cookies

Wir verwenden keine Tracking-Cookies, keine Marketing-Cookies und keine Cookies von Drittanbietern zu Werbezwecken. Es kommen weder Google Analytics, Facebook Pixel, noch sonstige Tracking-Dienste zum Einsatz. Ein Cookie-Consent-Banner für optionale Cookies ist daher nicht erforderlich.

5.3 Plausible Analytics

Für die anonyme Analyse der Website-Nutzung setzen wir Plausible Analytics ein. Plausible ist eine datenschutzfreundliche Webanalyse-Lösung, die vollständig DSGVO-konform arbeitet. Plausible setzt keine Cookies, speichert keine personenbezogenen Daten, erstellt keine Nutzerprofile und ermöglicht kein Cross-Site- oder Cross-Device-Tracking. Die Daten werden auf Servern innerhalb der Europäischen Union verarbeitet. Eine Einwilligung ist gemäß § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich, da kein Zugriff auf Endeinrichtungen des Nutzers erfolgt.

6. Drittanbieter und externe Dienste

6.1 Supabase (Backend, Authentifizierung, Datenbank, Speicher)

Wir nutzen Supabase als Backend-Infrastruktur für Authentifizierung, Datenbankverwaltung (PostgreSQL) und Dateispeicherung. Die Server befinden sich in der Europäischen Union (Standort: Frankfurt am Main, Deutschland). Mit Supabase wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Verarbeitete Daten umfassen: E-Mail-Adresse, Name, Passwort-Hash, Profildaten, Kaufdaten, hochgeladene Dateien. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6.2 Stripe (Zahlungsabwicklung)

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe, Inc. (bzw. in Europa: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland). Die Plattform fungiert als Merchant of Record — alle Zahlungen werden über unser Stripe-Konto abgewickelt. Bei einem Kauf werden Ihre Zahlungsdaten (Kreditkartendaten, PayPal-Informationen oder sonstige gewählte Zahlungsmittel) direkt an Stripe übermittelt und dort verarbeitet. Wir haben selbst keinen Zugriff auf vollständige Zahlungsmittelinformationen (Kreditkartennummern etc.). Stripe ist PCI DSS Level 1 zertifiziert und verarbeitet Zahlungsdaten nach höchsten Sicherheitsstandards. Mit Stripe wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutzerklärung von Stripe: https://stripe.com/de/privacy

6.3 Resend (Transaktionale E-Mails)

Für den Versand transaktionaler E-Mails (Kaufbestätigungen, Download-Links, Passwort-Zurücksetzungen, Benachrichtigungen) nutzen wir den Dienst Resend. Dabei wird Ihre E-Mail-Adresse sowie der E-Mail-Inhalt an Resend übermittelt. Die Verarbeitung erfolgt ausschließlich zum Zweck der Zustellung der E-Mail. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6.4 Plausible Analytics (Webanalyse)

Siehe Abschnitt 5.3. Plausible Analytics verarbeitet keine personenbezogenen Daten und setzt keine Cookies. Es werden ausschließlich aggregierte, anonyme Nutzungsstatistiken erhoben (Seitenaufrufe, Verweildauer, Referrer, Gerätetyp). Die Datenverarbeitung erfolgt auf EU-Servern. Ein Auftragsverarbeitungsvertrag ist nicht erforderlich, da keine personenbezogenen Daten verarbeitet werden.

6.5 Netlify (Hosting und CDN)

Unsere Plattform wird über Netlify, Inc. (44 Montgomery Street, Suite 300, San Francisco, CA 94104, USA) gehostet. Netlify betreibt ein globales Content Delivery Network (CDN), wodurch Daten auch auf Servern außerhalb der Europäischen Union verarbeitet werden können, insbesondere in den USA. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF) gemäß Art. 45 DSGVO. Ergänzend wurden EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart. Bei jedem Seitenabruf werden technische Zugriffsdaten (IP-Adresse, Zeitstempel, angeforderte Ressource) in Server-Logs erfasst. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und performanten Bereitstellung der Plattform).

7. Datenspeicherung und Löschung

7.1 Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen:

• Account- und Profildaten: Bis zur Löschung des Nutzerkontos durch den Nutzer. Nach Kontolöschung werden die Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Kaufdaten und Rechnungsinformationen: 10 Jahre nach Ablauf des Kalenderjahres, in dem der Kauf erfolgte (§ 257 HGB, § 147 AO).
• Steuerliche Daten (DAC-7): 10 Jahre nach Ablauf des Meldezeitraums (§ 26 Abs. 1 PStTG).
• Bankverbindungsdaten von Anbietern: Bis zur Löschung des Seller-Kontos, mindestens jedoch bis zur vollständigen Abwicklung aller ausstehenden Auszahlungen, danach gemäß steuerlicher Aufbewahrungsfrist.
• Server-Log-Dateien:Maximal 30 Tage, sofern kein berechtigtes Interesse an einer längeren Speicherung besteht (z. B. Aufklärung von Missbrauch).

7.2 Löschung

Nach Ablauf der jeweiligen Speicherdauer oder nach Zweckfortfall werden die Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gelöscht oder gesperrt. Eine Löschung Ihres Nutzerkontos können Sie jederzeit in den Kontoeinstellungen oder per E-Mail an hello@ledist.de veranlassen.

8. Datenübermittlung in Drittländer

Eine Datenübermittlung in Drittländer (Staaten außerhalb der EU/des EWR) findet nur statt, soweit dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Verpflichtung besteht oder ein angemessenes Datenschutzniveau gewährleistet ist:

• Stripe (USA/Irland): Die europäische Zahlungsabwicklung erfolgt über Stripe Payments Europe, Ltd. (Irland). Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage des EU-US Data Privacy Framework (DPF) sowie ergänzender Standardvertragsklauseln (SCC).
• Netlify (USA): Datenübermittlung auf Grundlage des EU-US Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln (SCC).
• Resend (USA): Datenübermittlung auf Grundlage von EU-Standardvertragsklauseln (SCC).

Supabase und Plausible Analytics verarbeiten Daten ausschließlich auf Servern innerhalb der Europäischen Union. Eine Drittlandübermittlung findet bei diesen Diensten nicht statt.

9. SSL-/TLS-Verschlüsselung

Diese Plattform nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

10. DAC-7: Steuerliche Meldepflichten für Plattformbetreiber

Als Betreiber eines digitalen Marktplatzes unterliegen wir den Meldepflichten des Plattformen-Steuertransparenzgesetzes (PStTG), das die EU-Richtlinie 2021/514 (DAC-7) in deutsches Recht umsetzt.

10.1 Welche Daten werden erhoben?

Sobald ein Anbieter (Seller) die gesetzlich definierten Schwellenwerte überschreitet (30 Transaktionen oder 2.000 € Vergütung innerhalb eines Kalenderjahres), sind wir verpflichtet, folgende Daten zu erheben und an das Bundeszentralamt für Steuern (BZSt) zu melden:

• Vor- und Nachname
• Anschrift (Hauptadresse)
• Geburtsdatum
• Steuerliche Identifikationsnummer (Steuer-ID)
• USt-IdNr. (falls vorhanden)
• Bankverbindung (Kontoinhaber, IBAN)
• Vergütungsdaten: Gesamtvergütung, Anzahl der Transaktionen je Quartal, einbehaltene Gebühren

10.2 Rechtsgrundlage

Die Erhebung und Meldung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit §§ 13–19 PStTG (gesetzliche Verpflichtung).

10.3 Empfänger der Meldung

Die erhobenen Daten werden jährlich an das Bundeszentralamt für Steuern (BZSt) in Bonn übermittelt. Eine darüber hinausgehende Weitergabe an Dritte erfolgt nicht, es sei denn, dies ist gesetzlich vorgeschrieben.

11. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt. Alle Entscheidungen, die rechtliche Wirkung für Sie entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen, werden von natürlichen Personen getroffen.

12. Betroffenenrechte

Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu verlangen, einschließlich der Verarbeitungszwecke, der Datenkategorien, der Empfänger sowie der geplanten Speicherdauer.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Gründe entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, etwa wenn Sie die Richtigkeit der Daten bestreiten.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese einem anderen Verantwortlichen zu übermitteln.
• Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, es liegen zwingende schutzwürdige Gründe vor.
• Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: hello@ledist.de

13. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestr. 2–4
40213 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Website: https://www.ldi.nrw.de

14. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand März 2026 und ist aktuell gültig. Aufgrund der Weiterentwicklung unserer Plattform oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Fassung kann jederzeit auf unserer Plattform unter ghostworkforce.de/datenschutz abgerufen werden.