Claimscan
// DATENSCHUTZ

Datenschutzerklärung

Stand: 26. April 2026

1. Verantwortlicher

Piyal Ranasinghe, Querstraße 6, 90489 Nürnberg, Deutschland. E-Mail: contact@claimscan.io. Kontakt Datenschutz: security@claimscan.io.

2. Zweck der Datenverarbeitung

Claimscan ist ein SaaS-Dienst zur forensischen Überprüfung von Retourenbildern im E-Commerce. Wir verarbeiten personenbezogene Daten ausschließlich zu folgenden Zwecken:

  • Kontoerstellung & Authentifizierung — E-Mail, Passwort-Hash, Unternehmensname. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Durchführung der Bildanalyse — hochgeladene Bilder werden technisch-forensisch analysiert (Metadaten, Pixelforensik, optional KI-Detektion). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Abrechnung — bei kostenpflichtigen Plänen werden Abrechnungsdaten an unseren Zahlungsdienstleister (Dodo Payments, Merchant of Record) übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b + c DSGVO (Vertrag + gesetzliche Aufbewahrung).
  • Betrugsprävention & System-Stabilität — Log-Daten, IP-Adressen, Rate-Limiting. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit).

3. Speicherdauer und Löschung

Die Aufbewahrung der hochgeladenen Bilder hängt vom gebuchten Plan ab und wird automatisch durchgesetzt:

PlanBild-Aufbewahrung
Free30 Tage
Starter90 Tage
Growth180 Tage
Enterprise365 Tage (individuell vereinbar)

Nach Ablauf der Aufbewahrungsfrist werden die Bild-Dateien automatisch aus unserem Object Storage gelöscht. Die forensischen Analyseergebnisse (Findings, Scores) sowie der perzeptuelle Bild-Hash (keine Rekonstruktion des Originals möglich) bleiben erhalten — letzteres dient der Erkennung wiederverwendeter Betrugsbilder (Cross-Tenant-Duplikat-Detection).

Account-Daten werden nach Kündigung für 30 Tage aufbewahrt (Reaktivierung) und danach gelöscht. Abrechnungsrelevante Daten werden 10 Jahre aufbewahrt (§ 147 AO).

4. Empfänger / Empfängerkategorien

Wir übermitteln personenbezogene Daten an folgende Empfänger:

Auftragsverarbeiter (Verarbeitung in unserem Auftrag, Art. 28 DSGVO)

  • Hetzner Online GmbH (Nürnberg, Deutschland) — Server-Hosting (API, Datenbank, Object Storage). AVV nach Art. 28 DSGVO abgeschlossen.
  • Vercel Inc. (USA) — Frontend-Hosting (Landing Page, Web-App). Angemessenes Datenschutzniveau per EU-US-Data-Privacy-Framework und SCCs. Aktive Edge-Region siehe AVV.
  • Anthropic PBC(USA) — Vision-KI zur Bildanalyse (nur wenn Pipeline-Stufe 6 greift, ca. 15 % der Analysen). Daten werden nicht für Modelltraining verwendet (Zero Data Retention). SCCs vertraglich vereinbart.
  • All-Inkl.com (Neue Medien Münnich) (Deutschland) — E-Mail-Versand (transaktional).

Eigenständig Verantwortliche Empfänger

  • Dodo Payments (USA) — Zahlungsabwicklung als Merchant of Record. Dodo Payments verarbeitet Abrechnungsdaten (Name, E-Mail, Rechnungsadresse, USt-IdNr., Zahlungsmittel-Token) im eigenen Namen und auf eigene Verantwortung als Verkäufer im Sinne der lokalen Steuer- und Vertragsgesetze. Es werden keine Bildinhalte oder Analyseergebnisse an Dodo Payments übermittelt. Datenschutzerklärung von Dodo Payments: https://dodopayments.com/privacy.

5. Datenübermittlung in Drittländer

Vercel und Anthropic sind in den USA ansässig. Die Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln (SCCs) sowie im Rahmen des EU-US Data Privacy Framework. Du kannst die KI-Analyse individuell deaktivieren — in diesem Fall verbleiben deine Bilder ausschließlich in Deutschland (Hetzner).

6. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Beschwerde bei der Aufsichtsbehörde (z. B. Bayerisches Landesamt für Datenschutzaufsicht, Ansbach)

Anfragen bitte an security@claimscan.io. Wir antworten binnen 30 Tagen.

7. Auftragsverarbeitung (AVV)

Wenn du Claimscan im Auftrag deiner Kunden oder für personenbezogene Bilder Dritter nutzt, bist du „Verantwortlicher" und Claimscan ist „Auftragsverarbeiter" (Art. 28 DSGVO). Den vollständigen Auftragsverarbeitungs-Vertrag findest du hier: Auftragsverarbeitungs-Vertrag (AVV) — druckbar über die Browser-Druckfunktion. Eine gegengezeichnete Version erhältst du auf Anfrage an security@claimscan.io.

8. Cookies und lokaler Speicher

Claimscan setzt nur technisch notwendige Einträge ohne Einwilligung (Authentifizierungs-Token, Spracheinstellung, Speicherung deiner Cookie-Entscheidung selbst). Alles, was darüber hinaus geht — Webanalyse (Umami) und optionales Fehler-Monitoring (Sentry) — wird erst nach deiner ausdrücklichen Einwilligung aktiviert. Du kannst deine Auswahl jederzeit über das Cookie-Symbol unten rechts auf jeder Seite ändern oder vollständig widerrufen. Eine detaillierte Cookie-Tabelle mit Anbieter, Speicherort und Zweck findest du im Cookie-Banner.

9. Webanalyse (Umami)

Wir nutzen Umami, eine datenschutzfreundliche, selbst gehostete Webanalyse-Lösung, um die Nutzung unserer Website zu verstehen und zu verbessern. Die Umami-Instanz läuft auf unseren Servern bei der Hetzner Online GmbH in Deutschland — es findet keine Datenübermittlung in Drittländer statt.

Umami arbeitet ohne Cookies im rechtlichen Sinn und ohne IP-Speicherung. Erfasst werden ausschließlich aggregierte, nicht-personenbezogene Kennzahlen: aufgerufene Seite, Verweisquelle, anonymisiertes Land (abgeleitet aus IP, die anschließend verworfen wird), Browser- und Geräte-Typ. Eine Wiedererkennung einzelner Besucher ist technisch ausgeschlossen — Umami bildet einen täglich rotierenden Hash aus IP + User-Agent, der nicht persistiert wird.

Wir setzen das Skript zusätzlich mit dem Attribut data-do-not-track="true"ein, sodass der Browser-Header „Do Not Track“ respektiert wird. Im localStorage wird unter dem Schlüssel umami.cache ein kurzlebiger Eintrag für die Sitzungsdauer abgelegt; bei Widerruf der Einwilligung setzen wir zusätzlich umami.disabled=1, was jegliches Tracking auch bei gecachtem Skript unterbindet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG. Die Einwilligung ist freiwillig und für die Nutzung unseres Dienstes nicht erforderlich. Du kannst sie jederzeit über das Cookie-Symbol unten rechts widerrufen — wir laden das Skript dann nicht mehr und entfernen den vorhandenen Tag aus dem Seiten-DOM.

10. ClaimScan Shopify App

Wenn du ClaimScan als App über den Shopify App Store installierst, gelten zusätzlich die folgenden Angaben. Alle übrigen Abschnitte dieser Erklärung — insbesondere zur Bildanalyse (Abschnitt 2), zur Speicherdauer (Abschnitt 3) und zu den Auftragsverarbeitern (Abschnitt 4) — gelten unverändert auch für die Shopify-Nutzung.

Bei der Installation erhobene Daten

  • Shop-Domain (z. B. deinshop.myshopify.com) und E-Mail-Adresse des Shop-Inhabers— von Shopify im Rahmen der OAuth-Installation an uns übermittelt. Zweck: Anlegen und Zuordnen deines ClaimScan-Kontos (ein Konto je Shop). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenminimierung: Die App fordert keine Berechtigung für Bestell- oder Kundendaten an (keine read_orders- oder read_customers-Scopes). Wir lesen und speichern keine Bestellungen und keine Daten deiner Endkunden. Analysiert werden ausschließlich die Bilder, die du selbst aktiv hochlädst.

Zahlungsabwicklung

Für App-Installationen über den Shopify App Store erfolgt die Abrechnung über Shopify Managed Pricing; die Shopify International Limitedbzw. die für deine Region zuständige Shopify-Gesellschaft wickelt die Zahlung im eigenen Namen ab und tritt für diesen Vertriebskanal an die Stelle von Dodo Payments (Abschnitt 4). Es werden keine Bildinhalte oder Analyseergebnisse an Shopify übermittelt.

Pflicht-Webhooks (DSGVO) und Deinstallation

  • shop/redact — löst die vollständige Löschung deines ClaimScan-Kontos samt hochgeladener Bilder aus (kaskadierende Löschung, einschließlich perzeptueller Hashes).
  • customers/data_request und customers/redact — da ClaimScan keine Daten deiner Endkunden vorhält, halten wir hierzu keine Daten bereit bzw. führen keine Löschung durch; der Eingang wird zu Nachweiszwecken protokolliert.
  • Deinstallationder App setzt dein Konto aus; die Daten werden nach Ablauf der plangebundenen Aufbewahrungsfrist (Abschnitt 3) gelöscht.

11. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, sobald sich Verarbeitungen oder rechtliche Rahmenbedingungen ändern. Die aktuelle Version ist stets hier abrufbar.