Datenschutzerklärung.

§1Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:

99fingers [Rechtsform und Anschrift nach UG-Eintragung]
E-Mail: [Kontakt-E-Mail nach UG-Gründung]

Das vollständige Impressum nach § 5 DDG findest du auf der Seite Impressum, sobald die UG-Eintragung abgeschlossen ist.

§2Erhobene Datenkategorien

Wenn du dich auf der Ankündigungs-LP für unsere Waitlist einträgst, verarbeiten wir:

• Pflichtangabe: deine E-Mail-Adresse
• Optionale Angaben: Vorname, Shop-System
• Versand-Metadaten: Zeitstempel der Anmeldung, Zustellstatus der Bestätigungs-Mail

§3Zwecke und Rechtsgrundlagen der Verarbeitung

• Newsletter-Versand — Information über Pilot-Start und Produktneuigkeiten. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) im Doppel-Opt-in-Verfahren.
• Transaktionale E-Mails — Bestätigungs-Mail, Abmelde-Bestätigung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.
• Betrieb der Website — Bereitstellung der LP, technisch notwendige Logfiles. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

§4Live-Demo-Quiz auf der Landingpage

Zweck der Verarbeitung

Auf unserer Landingpage quiznudge.com zeigen wir ein eingebettetes Live-Demo-Quiz aus dem Demo-Tenant „Aurora Skin Lab“. Das Quiz dient ausschließlich der Produktdemonstration und veranschaulicht, wie unsere Quiz-Commerce-Plattform Produkt-Empfehlungen aus Quiz-Antworten generiert.

Verarbeitete Daten

Wenn Sie das Demo-Quiz nutzen, werden Ihre Quiz-Antworten an unseren Backend-Server unter api.99fingers.com übermittelt und dort pseudonymisiert in unserer EU-Datenbank gespeichert. Erfasst werden ausschließlich Ihre Quiz-Antworten in Verbindung mit einer zufällig generierten Sitzungs-Kennung sowie technische Zeitstempel. Nicht erfasst werden: Ihre IP-Adresse, Ihr User-Agent, Ihr Referrer, eine User-Identifikation oder eine andere personenbezogene Kennung, mit der wir Sie identifizieren könnten.

Empfehlungs-Berechnung und Cache

Aus Ihren Quiz-Antworten berechnen wir eine Produkt-Empfehlung. Das Berechnungsergebnis wird für die Dauer von einer Stunde in einem Server-seitigen Cache vorgehalten und danach automatisch gelöscht.

Anonyme Auswertung von Antwort-Mustern

Wir werten die im Live-Demo-Quiz erhobenen Daten aus, um die Empfehlungs-Qualität zu verbessern. Die Auswertung erfolgt deterministisch und regelbasiert, nicht über künstliche Intelligenz oder selbst-lernende Modelle.

Aktuelle Auswertungs-Praxis (Aggregat-Statistik):

• Anzahl der durchgeführten Quiz-Sessions pro Tag und Woche
• Anteil der Sessions, die bis zum Ende durchgeführt werden
• Durchschnittliche Dauer pro Session
• Häufigkeit, mit der einzelne Empfehlungen am Quiz-Ende angezeigt werden
• Punkte im Quiz-Ablauf, an denen Sessions abgebrochen werden

Diese Auswertung ist anonym: Sie beruht ausschließlich auf zusammengefassten Zahlen, die keinem Menschen zugeordnet werden können. Ein Personenbezug nach Art. 4 Nr. 1 DSGVO besteht nicht.

Geplante Auswertung im Pilot-Betrieb (pseudonymisierte Antwort-Pfad-Analyse):

Im Rahmen des regulären Pilot-Betriebs ab Juli 2026 ist vorgesehen, Antwort-Pfade pseudonymisiert auszuwerten, um zu erkennen, welche Antwort-Kombinationen zu welchen Empfehlungen führen. Pseudonymisiert im Sinne von Art. 4 Nr. 5 DSGVO bedeutet hier: Die einzelnen Sessions sind über eine zufällig erzeugte Session-Kennung (UUID) abgrenzbar, sind aber zu keiner identifizierbaren Person rückführbar. Die Auswertung erfolgt strikt pro Händler-Account, ohne Verknüpfung zwischen verschiedenen Händler-Accounts.

Rechtsgrundlage für diese geplante Auswertung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Produkt-Verbesserung). Sie haben das Recht, dieser Verarbeitung jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gemäß Art. 21 DSGVO zu widersprechen. Im Falle eines Widerspruchs verarbeiten wir Ihre Antwort-Daten ausschließlich für die Zwecke der unmittelbaren Empfehlungs-Berechnung und nicht für die Auswertung.

Geplante Auswertung in Folge-Phasen (anonyme Branchen-Pattern):

Sobald genügend Händler in einer Branche aktiv sind, ist eine branchen-übergreifende Auswertung anonymer Aggregations-Statistiken vorgesehen, um Branchen-Templates zu verbessern. Diese Auswertung erfolgt nur unter Einhaltung einer technischen k-Anonymitäts-Schwelle von mindestens zehn Händler-Accounts pro ausgewertetem Pattern. Unterhalb dieser Schwelle wird kein Pattern erzeugt, um eine Re-Identifikation einzelner Händler auszuschließen.

Was wir bewusst nicht tun

Wir verstehen Daten-Auswertung als integralen Bestandteil eines lernenden Produkts. Drei Praktiken, die rechtlich teilweise zulässig wären, schließen wir gleichwohl ausdrücklich aus:

• Keine Cross-Tenant-Weitergabe und kein Daten-Verkauf: Antwort-Daten und Auswertungs-Ergebnisse eines Händler-Accounts werden weder an andere Händler noch an Dritte weitergegeben oder verkauft, auch nicht in anonymisierter Form.
• Keine Profilbildung über Tracking-Cookies oder externe Daten: Wir setzen keine Tracking-Cookies, reichern die im Quiz erhobenen Daten nicht mit externen Quellen an und führen keine Profil-Bildung über mehrere Sessions durch.
• Kein Training generativer KI-Modelle: Antwort-Muster werden nicht für das Training künstlicher Intelligenz oder generativer Sprachmodelle verwendet — weder für unsere eigenen Produkte noch für Dritte.

Diese Selbst-Verpflichtung ist Teil unserer Marken-Position „Glass-Box": Wir machen unsere Empfehlungs- und Auswertungs-Logik nachvollziehbar, statt sie hinter undurchsichtigen Modellen zu verbergen.

Glass-Box-Daten-Transparenz im Händler-Bereich

Für die Pilot-Phase ab Juli 2026 ist eine Transparenz-Funktion im Händler-Bereich in Vorbereitung. Händler-Accounts werden dort jederzeit einsehen können, welche Auswertungen wir für ihren Account durchführen, mit welchen aktuellen Kennzahlen und auf welcher Rechtsgrundlage. Diese Funktion geht über die Transparenz-Anforderungen aus Art. 12 bis 14 DSGVO hinaus und ist eine freiwillige Selbst-Verpflichtung im Rahmen unserer Glass-Box-Marken-Position.

Solange diese Funktion noch nicht verfügbar ist, gilt diese Datenschutzerklärung als verbindliche Auskunft über alle Auswertungs-Schichten.

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der Produktdemonstration und an der Bereitstellung einer funktionsfähigen Live-Demo gemäß Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der nachvollziehbaren Darstellung unserer Plattform gegenüber potenziellen Kunden.

Kein Gesundheits- oder Diagnose-Bezug

Das Demo-Quiz dient der Produkt-Empfehlung. Es erfolgt keine medizinische Beratung, Gesundheitsdiagnose oder therapeutische Aussage. Quiz-Antworten zu Themen wie Hauttyp oder Hautempfindlichkeit sind Konsumenten-Selbstauskünfte zur Produktauswahl und werden nicht als Gesundheitsdaten im engeren Sinne verarbeitet.

Speicherdauer

Pseudonymisierte Quiz-Antworten in der Datenbank werden für die Dauer von 90 Tagen aufbewahrt und danach gelöscht. Empfehlungs-Cache wird nach einer Stunde gelöscht.

Ihre Rechte

Da wir Sie nicht identifizieren können, ist die Ausübung von Betroffenenrechten (Auskunft, Berichtigung, Löschung) in Bezug auf die Demo-Quiz-Daten nur unter besonderen Voraussetzungen möglich. Wenn Sie Ihre Sitzungs-Kennung kennen, können Sie sich an datenschutz@99fingers.com wenden.

§5Datenfluss zur API api.99fingers.com

Aktueller Verarbeitungs-Standort

Unser Backend-Server api.99fingers.com läuft auf Infrastruktur des Anbieters Railway Corp. Die Verarbeitung Ihrer Demo-Quiz-Antworten erfolgt in der EU-Region des Anbieters mit Standort Amsterdam, Niederlande. Eine Übermittlung Ihrer Demo-Quiz-Daten in Drittländer außerhalb der EU findet nicht statt.

Sub-Auftragsverarbeiter Railway Corp.

Railway Corp. ist ein US-amerikanisches Unternehmen mit Sitz in San Francisco, Kalifornien. Wir nutzen die von Railway angebotene EU-Region. Eine Verarbeitung in einer Region auf deutschem Hoheitsgebiet (etwa Frankfurt am Main) wird von Railway derzeit nicht angeboten. Die Datenverarbeitung findet vertraglich abgesichert ausschließlich in der EU statt. Mit Railway besteht eine Auftragsverarbeitungs-Vereinbarung gemäß Art. 28 DSGVO.

Hosting-Standorte im Überblick

Unsere Marken-Positionierung „Made in Germany“ bezieht sich auf den Anbieter und die Entwicklung der Plattform (Sitz und Entwicklung in Deutschland). Das Hosting verteilt sich in der Ankündigungs-Phase auf zwei Standorte innerhalb der EU: Das Landingpage-Frontend quiznudge.com wird auf Servern eines deutschen Anbieters in Deutschland betrieben (siehe Abschnitt zu Hosting und Logfiles). Der Backend-Server api.99fingers.com, der unter anderem das Live-Demo-Quiz versorgt, läuft derzeit innerhalb der EU am Standort Amsterdam (Niederlande). Eine Verarbeitung außerhalb der EU findet nicht statt. Die geplante Pilot-Hosting-Architektur sieht eine Verlagerung der Backend-Komponenten auf einen deutschen Hosting-Anbieter (Hetzner Online GmbH) vor; eine Aktualisierung dieser Datenschutzerklärung erfolgt zum Zeitpunkt der Migration.

Zukünftige Migration

Vor Aufnahme erster zahlender Kunden ist die Migration der für den Kunden-Betrieb relevanten Backend-Komponenten zu Hetzner Online GmbH geplant. Der genaue Hetzner-Standort innerhalb Deutschlands wird zum Zeitpunkt der Migration in dieser Datenschutzerklärung konkretisiert. Die US-Entwicklungsumgebung bei Railway Corp. bleibt nach der Migration als reine Entwicklungs- und Test-Umgebung bestehen und enthält dann keine Pilotkunden-Daten.

§6Newsletter über Brevo

Der Newsletter-Versand erfolgt über die Brevo-Plattform (siehe §9 — Brevo ist Sub-Auftragsverarbeiter). Wir nutzen das Doppel-Opt-in-Verfahren: Nach deiner Anmeldung erhältst du eine Bestätigungs-Mail mit einem Link. Erst nach Klick auf diesen Link wirst du in die Versand-Liste aufgenommen. Bis dahin werden deine Daten nur kurzzeitig zur Bestätigungs-Verifikation gespeichert.

Du kannst den Newsletter jederzeit mit einem Klick abbestellen — der Link befindet sich am Ende jeder E-Mail.

§7Hosting und Logfiles

Unsere Webseite besteht aus zwei technisch getrennten Komponenten, die bei unterschiedlichen Anbietern und Standorten gehostet werden.

7.1 Frontend quiznudge.com

Das Landingpage-Frontend wird auf Servern des Anbieters ALL-INKL.COM — Neue Medien Münnich (Sitz: Hauptstraße 68, 02742 Friedersdorf, Deutschland) betrieben. Die Server-Infrastruktur von ALL-INKL.COM steht ausschließlich in Deutschland am Standort Dresden. Detail-Informationen zum Rechenzentrum: all-inkl.com/info/rechenzentrum/.

Beim Aufruf unserer Webseite werden auf den Servern von ALL-INKL.COM automatisch technische Daten verarbeitet, die Ihr Browser bei der Verbindung übermittelt. Dazu gehören:

• IP-Adresse des aufrufenden Geräts
• Datum und Uhrzeit des Zugriffs
• User-Agent (Browser-Kennung)
• Referrer-URL (sofern übermittelt)
• Übertragene Datenmenge
• Statusmeldung des Webservers

Diese Server-Logfile-Daten werden zur Sicherstellung des Webseiten-Betriebs, zur Abwehr von Angriffen und zur statistischen Auswertung verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und funktionsfähigen Webseiten-Betrieb). Speicherdauer und konkrete Verarbeitungs-Praxis richten sich nach der Auftragsverarbeitungs-Vereinbarung mit ALL-INKL.COM.

7.2 Backend-API api.99fingers.com

Die Backend-API, die unter anderem das Live-Demo-Quiz auf der Landingpage versorgt, wird auf Infrastruktur des Anbieters Railway Corp. (Sitz: San Francisco, Kalifornien, USA) betrieben. Die Verarbeitung erfolgt in der EU-Region des Anbieters mit Standort Amsterdam, Niederlande. Eine Verarbeitung außerhalb der Europäischen Union findet nicht statt.

Die im Live-Demo-Quiz übermittelten Daten werden pseudonymisiert verarbeitet (siehe Sektion zur Live-Demo-Quiz-Verarbeitung in dieser Datenschutzerklärung).

7.3 Geplante Hosting-Migration vor Pilot-Start

Vor Aufnahme erster zahlender Kunden ist die Migration der für den Kunden-Betrieb relevanten Backend-Komponenten zu Hetzner Online GmbH (Sitz: Industriestraße 25, 91710 Gunzenhausen, Deutschland) geplant. Der konkrete Hetzner-Standort innerhalb Deutschlands wird zum Zeitpunkt der Migration in dieser Datenschutzerklärung benannt. Diese Datenschutzerklärung wird zur Migration entsprechend aktualisiert.

§8Analytics

Wir setzen Plausible Analytics ein — cookielos, ohne personenbezogene Daten, ohne Cross-Site-Tracking. Eine Einwilligung (Cookie-Banner) ist daher nicht erforderlich. Die Datenverarbeitung erfolgt auf EU-Servern.

§9Sub-Prozessoren

Zur Erbringung unserer Leistungen setzen wir folgende Sub-Auftragsverarbeiter ein. Eine vollständige Liste mit allen Sub-Prozessoren (Scaleway, Mistral, Stripe, Railway u. a.) wird mit Pilot-Start im Sommer 2026 ergänzt, sobald die jeweiligen Verträge unterzeichnet sind.

§10Demo-Tenant Aurora Skin Lab und unsere DSGVO-Rolle

Aurora Skin Lab ist ein Demo-Tenant

Die im Live-Demo-Quiz gezeigten Marken-Inhalte, Produkte und Empfehlungs-Logik stammen von einem Demo-Tenant, den wir zur Produktdemonstration eingerichtet haben. „Aurora Skin Lab“ ist keine reale Marke und betreibt kein operatives Geschäft. Die im Demo gezeigten Produkte sind Beispiel-Inhalte ohne Verkaufsmöglichkeit.

Unsere Rolle bei der Demo-Nutzung

Bei der Nutzung des Live-Demo-Quiz auf quiznudge.com sind wir, die 99fingers UG (haftungsbeschränkt) i.G., der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Sie als Besucher unserer Landingpage sind die betroffene Person im Sinne von Art. 4 Nr. 1 DSGVO.

Unsere Rolle gegenüber späteren Pilotkunden

Im Rahmen unserer Quiz-Commerce-Plattform agieren wir gegenüber unseren Pilotkunden — den Händlern, die unsere Plattform für die Quiz-basierte Produktempfehlung an ihre eigenen Endkunden nutzen — als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die Pilotkunden sind in diesem Verhältnis die Verantwortlichen, ihre Endkunden die betroffenen Personen.

Trennung der Rollen

Diese Datenschutzerklärung beschreibt ausschließlich unsere Datenverarbeitung in der Rolle als Verantwortlicher (Landingpage und Demo-Nutzung). Die Datenverarbeitung im Auftragsverarbeitungs-Kontext mit Pilotkunden ist Gegenstand separater Auftragsverarbeitungs-Verträge zwischen uns und dem jeweiligen Pilotkunden.

§11Deine Rechte

Du hast jederzeit das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Wende dich dafür an die in §1 genannte E-Mail-Adresse. Außerdem hast du das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde.

§12Speicherdauer

• Newsletter-Daten: bis zur Abmeldung; danach Sperrlisten-Eintrag zur Doppel-Anmelde-Vermeidung.
• Versand-Metadaten bei Brevo: 3 Monate nach Vertragsende.
• Server-Logfiles: maximal 7 Tage.
• Analytics-Daten (Plausible): aggregiert, ohne Personenbezug.

§13Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen, Rechtslage oder Sub-Prozessoren ändern. Der Versions-Stempel oben zeigt jeweils den aktuellen Stand. Größere Änderungen kündigen wir Newsletter-Abonnent*innen per E-Mail an.