Datenschutzerklärung
Stand: 4. Juni 2026
Diese Datenschutzerklärung gilt für die BRAIN SNACKZ GmbH und ihre Angebote: die Unternehmenswebsite https://snackz.ai/ sowie unsere beiden B2B-Produkte SnackzLAB (erreichbar unter https://lab.snackz.ai/) und SnackzAGENT (inkl. Admin-Dashboard unter https://dashboard.[kundenname].agent.snackz.ai). Sie gilt darüber hinaus für unsere Marketing-, Sales-, Kundenkommunikations- und Support-Prozesse.
1. Verantwortlicher
BRAIN SNACKZ GmbH Alt-Moabit 37 10555 Berlin Deutschland
Geschäftsführung: Julia Claren, Johannes Niermann, Laura Werle Handelsregister: HRB 267631 B, Amtsgericht Charlottenburg
E-Mail: info@snackz.ai
2. Datenschutz-Ansprechperson
Bei der BRAIN SNACKZ GmbH ist keine Datenschutzbeauftragte im Sinne des § 38 BDSG bestellt, da das Unternehmen aktuell weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt und auch keine sonstige Verarbeitung im Sinne von § 38 Abs. 1 BDSG vornimmt, die eine Bestellung verpflichtend machen würde.
Als interne Ansprechperson für Datenschutzfragen steht Ihnen zur Verfügung:
Laura Werle E-Mail: laura@snackz.ai
Frau Werle verfügt über eine vor einigen Jahren erworbene TÜV-Zertifizierung im Bereich Datenschutz. Diese Qualifikation begründet keine offizielle Bestellung als Datenschutzbeauftragte und ändert nichts an dem unter diesem Abschnitt dargestellten Umstand, dass eine Bestellung gesetzlich nicht erforderlich ist und nicht erfolgt ist. Frau Werle handelt ausschließlich als interne Ansprechperson.
3. Aufsichtsbehörde
Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) Friedrichstr. 219, 10969 Berlin mailbox@datenschutz-berlin.de · +49 30 13889-0
Sie haben das Recht, sich jederzeit bei der Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO).
4. Zwecke der Verarbeitung im Überblick
Wir verarbeiten personenbezogene Daten für die folgenden Zwecke:
| # | Zweck | Betroffene Personen | Rechtsgrundlage |
|---|---|---|---|
| 4.1 | Bereitstellung der Websites | Website-Besucher:innen | Art. 6 (1)(f) — berechtigtes Interesse |
| 4.2 | SnackzLAB (B2B-Produkt) | Mitarbeitende unserer Verlagskunden | Art. 6 (1)(b) — Vertrag · Art. 28 — Auftragsverarbeitung |
| 4.3 | SnackzAGENT (B2B-Produkt) | Mitarbeitende unserer Verlagskunden + Webshop-Besucher:innen | Art. 6 (1)(b) · Art. 28 |
| 4.4 | Sales & Kundenkommunikation & Support | Geschäftliche Ansprechpersonen bei Interessent:innen / Kund:innen | Art. 6 (1)(f) — berechtigtes Interesse · Art. 6 (1)(b) |
| 4.5 | Newsletter (nur mit Einwilligung) | Interessent:innen | Art. 6 (1)(a) — Einwilligung |
| 4.6 | Bewerbungen | Bewerbende | Art. 6 (1)(b) — vorvertraglich · § 26 BDSG |
| 4.7 | Rechtliche Verpflichtungen (Buchhaltung etc.) | Kund:innen, Lieferant:innen | Art. 6 (1)(c) — gesetzliche Pflicht |
Im Folgenden detailliert pro Zweck.
4.1 Besuch unserer Websites
Verarbeitete Daten
- Zugriffsdaten in Server-Logs: IP-Adresse, Datum/Uhrzeit, aufgerufene URL, Referrer, User-Agent
- Cookies bzw. ähnliche Technologien — siehe Cookie-Hinweis (Abschnitt 9)
Zweck
- Bereitstellung der Website
- Stabilität, Sicherheit, Angriffsabwehr
- Reichweitenmessung (nur mit Einwilligung)
Rechtsgrundlage
- Server-Logs: Art. 6 (1)(f) DSGVO (berechtigtes Interesse am sicheren Betrieb)
- Analytics-Cookies: Art. 6 (1)(a) DSGVO (Einwilligung über Consent-Banner)
Speicherdauer
- Server-Logs: 30 Tage, danach automatische Löschung
- Cookies: bis Widerruf bzw. die in der Cookie-Richtlinie angegebene Dauer
Empfänger / Subprozessoren
Siehe Abschnitt 8.
4.2 SnackzLAB (B2B-Produkt für Verlage)
SnackzLAB ist eine cloudbasierte Plattform (erreichbar unter https://lab.snackz.ai/), über die Mitarbeitende unserer Verlagskunden Titel hochladen und KI-gestützt bearbeiten lassen.
Verarbeitete Daten
- Stammdaten der Nutzenden (Mitarbeitende des Verlagskunden): Vor- und Nachname, geschäftliche E-Mail-Adresse, Verlagszugehörigkeit
- Upload-Metadaten: Zeitstempel und Name der hochladenden Person
- Hochgeladene Inhalte: Titel, Manuskripte, Metadaten
- Authentifizierungsdaten: Login-Informationen
- Produkt-Nutzungsdaten: aggregierte bzw. pseudonyme Daten zur Produktnutzung, ausschließlich zur Verbesserung und Qualitätssicherung des Produkts im Interesse unserer Kunden (siehe unten sowie Abschnitt 8, PostHog)
Zweck
- Bereitstellung des SnackzLAB-Zugangs
- Authentifizierung und Zugriffssteuerung
- KI-gestützte Verarbeitung der hochgeladenen Inhalte
- Nachvollziehbarkeit und Qualitätssicherung über Upload-Logs
- Verbesserung, Stabilität und Qualitätssicherung des Produkts im Auftrag und Interesse unserer Verlagskunden
Rechtsgrundlage
- Gegenüber unseren Verlagskunden: Art. 6 (1)(b) DSGVO (Vertragserfüllung)
- Gegenüber den Mitarbeitenden des Verlagskunden: Wir agieren als Auftragsverarbeiter für den Verlag (Art. 28 DSGVO). Verantwortlicher im DSGVO-Sinn für die Mitarbeitendendaten ist der jeweilige Verlag. Auch die Produkt-Nutzungsanalyse erfolgt ausschließlich weisungsgebunden zur Bereitstellung und Verbesserung des Produkts für unsere Kunden; eine Nutzung zu eigenen, davon unabhängigen Zwecken findet nicht statt.
Speicherdauer
- Stammdaten der Nutzenden: während der Trial-Phase sowie für die Vertragsdauer; Löschung spätestens 30 Tage nach Beendigung des Vertrags
- Upload-Metadaten: dito
- Hochgeladene Inhalte: bis Löschung durch den Nutzenden oder den Verlagskunden bzw. spätestens 30 Tage nach Vertragsende
- Server-Logs (IP-Adressen): 30 Tage
Wo werden die Daten verarbeitet?
- Google Cloud, Region
europe-west1(Belgien) — ausschließlich in EU/EWR - KI-Verarbeitung über Google Vertex AI (Modelle Gemini sowie Anthropic Claude im Vertex-Managed-Service) — ebenfalls EU-Region. Kundendaten werden vertraglich nicht für Modelltraining genutzt.
4.3 SnackzAGENT (B2B-Produkt für Verlage und Buchhandel)
SnackzAGENT ist ein KI-gestütztes Dialogsystem, das in die Webshops unserer Kunden eingebunden wird und Besucher:innen personalisierte Produktempfehlungen gibt. Das Admin-Dashboard ist erreichbar unter https://dashboard.[kundenname].agent.snackz.ai.
Standardmäßig erfolgt die Nutzung anonym. Eine optional aktivierbare authentifizierte Variante (mit Account-Verknüpfung) ist derzeit nicht produktiv.
a) Anonyme Nutzung (Standard)
Verarbeitete Daten
- Pseudonyme User-ID: gespeichert im Local Storage des Browsers, jederzeit durch die Nutzenden eigenständig löschbar
- Dialoginhalte: Texteingaben und Modell-Antworten
- Nutzungsdaten: Zeitstempel, Sitzungsdauer
- Technische Metadaten: Browser, Endgerätetyp
- IP-Adresse: nur in Server-Logs, Speicherdauer 30 Tage
- Empfohlene Produkte: Artikel-IDs, Kategorien
Es werden keine Cookies gesetzt. Keine direkt identifizierenden Daten werden erhoben.
Rechtsgrundlage
Art. 28 DSGVO — Verarbeitung im Auftrag des Webshop-Betreibers.
Speicherdauer
- IP-Adressen in Server-Logs: 30 Tage
- Pseudonyme User-IDs: unbegrenzt im Browser des Nutzers, jederzeit löschbar
- Dialoginhalte: zugeordnet zur pseudonymen User-ID; eine über die Sitzung hinausgehende Speicherung erfolgt ausschließlich zur Bereitstellung, Stabilität und kontinuierlichen Verbesserung des Produkts im Auftrag und Interesse des Webshop-Betreibers. Personenbezug besteht dabei nicht über die pseudonyme User-ID hinaus.
b) Authentifizierte Nutzung (falls aktiv)
Sofern die authentifizierte Variante zwischen unseren Kunden und uns gesondert schriftlich vereinbart wird, werden zusätzlich verarbeitet: Name, E-Mail-Adresse (über das Kundenkonto des Webshops), aus Dialogverläufen abgeleitete Leseinteressen.
Bei Löschung des Kundenkontos werden sämtliche verknüpften Daten anonymisiert.
Wo werden die Daten verarbeitet?
- Google Cloud, Region
europe-west1(Belgien) - KI-Modelle über Vertex AI (EU)
- Cloudflare (CDN/DDoS) — globales Edge-Netzwerk mit EU-Standardvertragsklauseln
Verantwortliche
Für SnackzAGENT-Verarbeitungen agieren wir als Auftragsverarbeiter des jeweiligen Webshop-Betreibers (Verlag bzw. Buchhandel). Verantwortlich gegenüber den Webshop-Besucher:innen ist der Webshop-Betreiber.
4.4 Sales & Kundenkommunikation & Support
Für die Anbahnung und Pflege von Geschäftskontakten verarbeiten wir Daten der bei unseren Interessent:innen und Kund:innen tätigen Ansprechpersonen.
Verarbeitete Daten
- Vor- und Nachname
- Geschäftliche E-Mail-Adresse
- Telefonnummer (falls bereitgestellt)
- Funktion / Position
- Firma und Geschäftsadresse
- Inhalt der Kommunikation (E-Mails, Notizen aus Gesprächen, Demobuchungen)
Zweck
- Anbahnung, Pflege und Abwicklung der Geschäftsbeziehung im B2B-Kontext
- Bereitstellung von Demos
- Kommunikation per E-Mail und Telefon
- Vertragsanbahnung und -ausführung
Rechtsgrundlage
- Bei aktiver Geschäftsbeziehung: Art. 6 (1)(b) DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen)
- Bei Erstkontakt-Anbahnung: Art. 6 (1)(f) DSGVO (berechtigtes Interesse an Pflege geschäftlicher Kontakte im B2B-Kontext)
Die betroffene Person kann der Verarbeitung jederzeit nach Art. 21 DSGVO widersprechen (siehe Abschnitt 6).
Speicherdauer
- Aktive Bestandskunden: für die Dauer der Geschäftsbeziehung + gesetzliche Aufbewahrungsfristen (typischerweise 10 Jahre für Belegdaten gemäß HGB / AO)
- Bei Widerspruch: unverzügliche Löschung (vorbehaltlich gesetzlicher Aufbewahrungspflichten)
Empfänger / Subprozessoren
Siehe Abschnitt 8.
4.5 Newsletter
Verarbeitete Daten
- E-Mail-Adresse
- Name
- Datum/Uhrzeit der Anmeldung und Bestätigung (Double-Opt-In)
Rechtsgrundlage
Art. 6 (1)(a) DSGVO (Einwilligung), jederzeit widerrufbar über den Abmelde-Link in jedem Newsletter oder per E-Mail an info@snackz.ai.
Speicherdauer
Bis Widerruf der Einwilligung.
4.6 Bewerbungen
Verarbeitete Daten
Bewerbungsunterlagen (Anschreiben, Lebenslauf, Zeugnisse), Kommunikationsverlauf.
Rechtsgrundlage
Art. 6 (1)(b) DSGVO (vorvertragliche Maßnahmen), § 26 BDSG.
Speicherdauer
- Bei Einstellung: Übernahme in die Personalakte
- Bei Absage: Löschung spätestens 6 Monate nach Abschluss des Bewerbungsverfahrens (Aufbewahrung wegen AGG-Beweislast)
- Eine darüber hinausgehende Aufnahme in einen Talent-Pool erfolgt nur mit Ihrer gesonderten Einwilligung (Art. 6 (1)(a) DSGVO)
4.7 Rechtliche Verpflichtungen (Buchhaltung etc.)
Im Rahmen handels- und steuerrechtlicher Pflichten verarbeiten wir Rechnungs-, Zahlungs- und Belegdaten.
Rechtsgrundlage: Art. 6 (1)(c) DSGVO i. V. m. § 257 HGB, § 147 AO.
Speicherdauer: 10 Jahre nach Ablauf des Geschäftsjahres.
5. Datensicherheit
Wir setzen dem Risiko angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, um die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten zu schützen. Dazu gehören insbesondere (je nach Verarbeitungskontext) Maßnahmen wie Verschlüsselung, Zugriffs- und Berechtigungskonzepte, Protokollierung, Mandantentrennung, Sicherheits- und Patch-Management sowie die regelmäßige Überprüfung der Wirksamkeit der Maßnahmen.
Im Falle einer Verletzung des Schutzes personenbezogener Daten erfüllen wir unsere gesetzlichen Melde- und Benachrichtigungspflichten gemäß Art. 33 und Art. 34 DSGVO.
6. Ihre Rechte als betroffene Person
Sie haben jederzeit das Recht:
- Auskunft über die zu Ihrer Person verarbeiteten Daten zu erhalten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten zu verlangen (Art. 16 DSGVO)
- Löschung Ihrer Daten zu verlangen (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO)
- Datenübertragbarkeit der von Ihnen bereitgestellten Daten zu verlangen (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung einzulegen, soweit diese auf Art. 6 (1)(e) oder (f) DSGVO beruht (Art. 21 DSGVO)
- Einwilligungen jederzeit zu widerrufen mit Wirkung für die Zukunft (Art. 7 (3) DSGVO)
- Beschwerde bei der Aufsichtsbehörde einzureichen (Art. 77 DSGVO; siehe Abschnitt 3)
Bitte richten Sie Ihre Anfragen an laura@snackz.ai. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 (3) DSGVO).
7. Drittlandstransfer
Soweit Daten an Empfänger außerhalb des EWR übermittelt werden (z. B. an unsere US-Subprozessoren), erfolgt dies auf Grundlage:
- EU-Standardvertragsklauseln (SCC) in der jeweils aktuellen Fassung der Kommissions-Durchführungsverordnung (EU) 2021/914
- Bei in den USA ansässigen Empfängern, die unter dem EU-US Data Privacy Framework zertifiziert sind, zusätzlich auf Grundlage des entsprechenden Angemessenheitsbeschlusses. Dies betrifft konkret HubSpot, Stripe und Cloudflare (siehe Abschnitt 8). Wir prüfen die fortlaufende Gültigkeit dieser Zertifizierungen.
8. Empfänger / Subprozessoren
Wir setzen folgende Dienstleister ein. Die Spalte „Einsatz" gibt an, ob der Dienst im Rahmen von SnackzLAB („LAB"), SnackzAGENT („AGENT") und/oder für interne Zwecke und Automatisierungen („Intern") genutzt wird.
| Anbieter | Sitz | Verarbeitungsort | Zweck | Art der Daten | Einsatz | Transfermechanismus |
|---|---|---|---|---|---|---|
| Google Cloud EMEA Limited | Dublin, Irland | EU | Cloud-Infrastruktur, Hosting, Datenbank, Storage, Vertex AI | Kundendaten / Controller Data | LAB + AGENT | – |
| Langfuse GmbH | Berlin, Deutschland | EU | LLM-Observability, Qualitätssicherung | Kundendaten / Controller Data | LAB | – |
| PostHog, Inc. | San Francisco, USA | EU | Produkt-Analytics (Verbesserung und Qualitätssicherung des Produkts) | Nutzungsdaten / Usage Data | LAB | EU SCCs |
| HubSpot, Inc. | USA | USA/EU | CRM, Kundenkommunikation, Support | Kundendaten / Controller Data | LAB + Intern | EU SCCs, EU-US DPF |
| CookieYes Limited | Vereinigtes Königreich | EU/UK | Cookie-Consent-Management | Nutzungsdaten / Usage Data | LAB | UK SCCs |
| Resend, Inc. | USA | EU (Region eu-west-1, Irland) | Transaktions-E-Mail-Versand | E-Mail-Adressen / Email addresses | LAB | EU SCCs |
| LangSmith (LangChain, Inc.) | USA | EU (Region EU) | LLM-Observability, Tracing, Debugging | Kundendaten / Controller Data | AGENT | EU SCCs |
| DocuSign, Inc. | USA | EU | Elektronische Signaturen und Vertragsmanagement | Vertrags- und Kontaktdaten der Unterzeichnenden / Contract and signatory contact data | AGENT + Intern | EU SCCs |
| Langdock GmbH | Berlin, Deutschland | EU | Interner KI-Workspace, interne Produktivität und Automatisierungen | Interne Daten; ggf. Kundendaten / Controller Data | Intern | – |
| OpenAI, L.L.C. | USA | USA | KI-Modelle für interne Produktivität und Automatisierungen | Interne Daten; ggf. Kundendaten / Controller Data | Intern | EU SCCs |
| Anthropic, PBC | USA | USA | KI-Modelle und Automatisierung für interne Zwecke | Interne Daten; ggf. Kundendaten / Controller Data | Intern | EU SCCs |
| Stripe, Inc. | USA (EU: Dublin, Irland) | USA/EU | Zahlungsabwicklung / Payment processing | Zahlungsdaten / Payment Data | LAB | EU SCCs, EU-US DPF |
| Cloudflare, Inc. | USA | Global | CDN, DDoS-Schutz, TLS-Termination / CDN, DDoS protection, TLS termination | IP-Adressen / IP addresses | LAB + AGENT | EU SCCs, EU-US DPF |
Hinweis zu internen Zwecken und Automatisierungen
Die mit „Intern" gekennzeichneten Dienste (insbesondere Langdock, OpenAI und Anthropic) nutzen wir für interne Produktivität, KI-gestützte Arbeitsabläufe und Automatisierungen. Im Rahmen solcher Automatisierungen kann es vorkommen, dass personenbezogene Daten verarbeitet werden, die aus der Kundenkommunikation stammen — beispielsweise wenn eine Support-Anfrage zu SnackzLAB eine geschäftliche E-Mail-Adresse oder den Namen einer Ansprechperson enthält. Aus diesem Grund kann es zu einer Überschneidung zwischen internen und produktbezogenen Daten kommen. Wir haben mit diesen Anbietern Auftragsverarbeitungsverträge abgeschlossen; eine Nutzung der verarbeiteten Daten zum Training der KI-Modelle ist vertraglich ausgeschlossen.
Drittlandstransfer
Für die mit Sitz oder Verarbeitungsort in den USA gelegenen Empfänger bestehen EU-Standardvertragsklauseln (SCC). HubSpot, Stripe und Cloudflare sind zusätzlich unter dem EU-US Data Privacy Framework zertifiziert.
9. Cookies und ähnliche Technologien
Auf unseren Websites setzen wir folgende Kategorien von Cookies / Tracking-Technologien ein:
- Technisch notwendige (z. B. Session-Cookie, Consent-Speicherung): keine Einwilligung erforderlich (§ 25 Abs. 2 TDDDG)
- Analyse / Statistik (z. B. PostHog): nur nach aktiver Einwilligung (§ 25 Abs. 1 TDDDG)
- Marketing / Drittanbieter: nur nach aktiver Einwilligung
Die Einwilligung können Sie jederzeit über das Cookie-Banner widerrufen oder anpassen. Details und Liste aller eingesetzten Cookies finden Sie in unserer Cookie-Richtlinie.
10. Automatisierte Einzelfallentscheidungen / Profiling
Wir setzen keine ausschließlich automatisierten Einzelfallentscheidungen i. S. d. Art. 22 DSGVO ein. Die in SnackzLAB und SnackzAGENT eingesetzte KI gibt Vorschläge, deren Verwendung und Anpassung jeweils im Ermessen der Nutzenden bzw. unserer Kunden liegt.
11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, an Änderungen unserer Dienste oder an die Datenverarbeitung anzupassen. Die jeweils aktuelle Version gilt mit Veröffentlichung auf unserer Website https://snackz.ai/.
Wir informieren über wesentliche Änderungen rechtzeitig (z. B. per E-Mail an aktive Kunden bzw. durch deutlich sichtbaren Hinweis auf der Website).