ThumbLead← Zurück zur Website

Datenschutzerklärung

FrançaisEnglishEspañolDeutschItalianoPortuguêsРусский
⚠︎ Dies ist eine Übersetzung als Serviceleistung. Rechtlich verbindlich ist ausschließlich die französische Fassung.Französische Fassung lesen

Datenschutzerklärung (DSGVO)

Letzte Aktualisierung: 2. Juli 2026

Die vorliegende Datenschutzerklärung beschreibt, wie personenbezogene Daten im Rahmen der Nutzung der Online-Software (SaaS) ThumbLead, erreichbar unter der Adresse https://thumblead.com (nachfolgend der „Dienst"), erhoben, verwendet, aufbewahrt und geschützt werden.

Sie wurde in Übereinstimmung mit der Verordnung (EU) 2016/679 vom 27. April 2016 (nachfolgend die „DSGVO") sowie dem geänderten französischen Datenschutzgesetz Nr. 78-17 vom 6. Januar 1978 über Informatik, Dateien und Freiheiten (loi Informatique et Libertés) (nachfolgend das „Datenschutzgesetz") erstellt.

Die Nutzung des Dienstes setzt die Kenntnisnahme und Annahme der vorliegenden Erklärung voraus. Wir bitten Sie, diese aufmerksam zu lesen.


Artikel 1 — Verantwortlicher

Der für die Verarbeitung der im Rahmen des Betriebs des Dienstes erhobenen personenbezogenen Daten Verantwortliche ist der Herausgeber:

  • Herausgeber: Enzo Violante
  • SIRET: 948 968 318 000 14
  • Anschrift: 6 rue Émile Barthe, 34500 Béziers, France
  • Innergemeinschaftliche USt-IdNr.: TVA non applicable, article 293 B du CGI (Kleinunternehmerregelung im Bereich der Mehrwertsteuer)
  • Kontakt (personenbezogene Daten): contact@thumblead.com
  • Verantwortlicher im Sinne des Presserechts: Enzo Violante

Nachfolgend bezeichnet als „wir", „der Herausgeber" oder „der Verantwortliche".

Der Herausgeber handelt als Verantwortlicher für die von ihm bestimmten Daten (Kontodaten, Rechnungsdaten, technische Token, Protokolle usw.). Ein Sonderfall gilt für die vom Nutzer importierten Interessentendaten, für die der Herausgeber als Auftragsverarbeiter handelt (siehe Artikel 9).


Artikel 2 — Erhobene personenbezogene Daten

Wir erheben ausschließlich die für die in Artikel 3 beschriebenen Zwecke unbedingt erforderlichen Daten. Die verarbeiteten Datenkategorien sind die folgenden:

2.1 Kontodaten

  • Name und/oder Vorname (oder angegebener Gebrauchsname);
  • E-Mail-Adresse;
  • Passwort, in gehashter Form gespeichert (niemals im Klartext — siehe Artikel 7);
  • gegebenenfalls die aus der Anmeldung über ein Google-Konto stammenden Informationen („Google / OAuth"), wie die Konto-Kennung und die zugehörige E-Mail-Adresse.

2.2 Rechnungsdaten

  • Name / Firmenbezeichnung, Rechnungsanschrift;
  • gegebenenfalls SIRET-Nummer und innergemeinschaftliche USt-IdNr.;
  • Verlauf der Abonnements, Angebote, Rechnungen und Gutschriften;
  • dem Zahlungsdienstleister zugeordnete technische Kennungen (siehe 2.5).

Zahlungskartendaten (Kartennummer, Prüfziffer) werden von ThumbLead niemals erhoben oder gespeichert. Sie werden direkt von unserem Zahlungsdienstleister Stripe verarbeitet (siehe Artikel 4). Wenn Sie hingegen Ihre eigenen Bankverbindungsdaten (IBAN/BIC) angeben, um sie auf Ihren Rechnungen erscheinen zu lassen, werden diese aufbewahrt und im Ruhezustand verschlüsselt (siehe Artikel 7).

2.3 Vom Nutzer eingegebene Kontakt-/CRM-Daten

Im Rahmen der CRM- und Vertriebsverwaltungsfunktionen kann der Nutzer Kontaktdatensätze (Kunden, Interessenten) sowie Bestellungen erstellen und speichern. Diese Daten (Name, E-Mail, Kontaktdaten, Notizen, Angaben zu den prospektierten YouTube-Kanälen, Bestellverlauf) werden unter der alleinigen Verantwortung des Nutzers eingegeben und verwaltet. Die für diese Daten geltende Regelung ist in Artikel 9 näher ausgeführt.

2.4 Google-OAuth-Zugriffstoken

Wenn der Nutzer sein Google-Konto zur Synchronisierung mit Google Calendar (und gegebenenfalls anderen Google-Diensten) verbindet, bewahren wir OAuth-Zugriffs- und Aktualisierungstoken auf, die im Ruhezustand verschlüsselt sind (siehe Artikel 7) und ausschließlich zur Ausführung der angeforderten Aktionen verwendet werden.

Für den Versand seiner Prospektions-E-Mail-Sequenzen verbindet der Nutzer sein eigenes E-Mail-Postfach (SMTP). Wir bewahren dann seine Versandzugangsdaten (E-Mail-Adresse und Anwendungspasswort) auf, wobei Letzteres im Ruhezustand verschlüsselt ist (siehe Artikel 7) und ausschließlich verwendet wird, um die von ihm geplanten E-Mails von seiner eigenen Adresse aus zu versenden.

2.5 Stripe-Kennungen

Für die Verwaltung der Abonnements und Zahlungen bewahren wir die von Stripe vergebenen technischen Kennungen auf (zum Beispiel Kundenkennung, Abonnementkennung, Kennung des tokenisierten Zahlungsmittels). Diese Kennungen ermöglichen es, ein Abonnement einem Konto zuzuordnen, ohne jemals Zugang zu den vollständigen Bankverbindungsdaten zu gewähren.

2.6 Technische Protokolle (Logs)

Aus Gründen der Sicherheit, der Diagnose und des ordnungsgemäßen Betriebs des Dienstes erheben wir technische Protokolle: IP-Adresse, Datum und Uhrzeit der Verbindung, Browser-/Gerätetyp, aufgerufene Seiten oder Funktionen, Fehler- und Sicherheitsereignisse.


Artikel 3 — Zwecke und Rechtsgrundlagen der Verarbeitungen

Jede Verarbeitung beruht auf einer gemäß Artikel 6 DSGVO bestimmten Rechtsgrundlage.

Zweck Betroffene Daten Rechtsgrundlage
Erstellung und Verwaltung des Nutzerkontos, Bereitstellung des Dienstes Kontodaten, Google-OAuth-Token Vertragserfüllung (Art. 6.1.b)
Verwaltung der Abonnements, Zahlungen, Angebote, Rechnungen und Gutschriften Rechnungsdaten, Stripe-Kennungen Vertragserfüllung (Art. 6.1.b) und rechtliche Verpflichtung (Art. 6.1.c — buchhalterische und steuerliche Verpflichtungen)
CRM-, Kalender-, E-Mail-Sequenz- und KI-gestützte Thumbnail-Analyse-Funktionen Kontodaten, vom Nutzer eingegebene Daten, Google-OAuth-Token Vertragserfüllung (Art. 6.1.b)
Synchronisierung mit Google Calendar Google-OAuth-Token Einwilligung (Art. 6.1.a — OAuth-Autorisierung, jederzeit widerrufbar)
Versand der E-Mail-Sequenzen aus dem Postfach des Nutzers Zugangsdaten des Versandpostfachs (Adresse + Anwendungspasswort, verschlüsselt) Vertragserfüllung (Art. 6.1.b)
Sicherheit des Dienstes, Verhinderung von Betrug und Missbrauch, technische Diagnose Technische Protokolle Berechtigtes Interesse (Art. 6.1.f)
Verbesserung des Dienstes und interne Nutzungsstatistiken Technische Protokolle (aggregierte / minimierte Daten) Berechtigtes Interesse (Art. 6.1.f)
Reichweitenmessung über ein Drittanbieter-Tool (PostHog) Navigations- und Nutzungsdaten Einwilligung (Art. 6.1.a — über ein Banner eingeholt, jederzeit widerrufbar)
Beantwortung von Kontaktanfragen und Support Kontodaten, Inhalt des Schriftverkehrs Berechtigtes Interesse (Art. 6.1.f) und/oder Vertragserfüllung
Versand transaktionaler E-Mails (Bestätigung, Rechnung, Serviceinformation) E-Mail-Adresse Vertragserfüllung (Art. 6.1.b)
Einhaltung rechtlicher Verpflichtungen und Beantwortung behördlicher Ersuchen Je nach Anfrage Rechtliche Verpflichtung (Art. 6.1.c)

Beruht die Verarbeitung auf der Einwilligung, so kann diese jederzeit widerrufen werden, ohne dass der Widerruf die Rechtmäßigkeit der zuvor durchgeführten Verarbeitungen berührt. Der Widerruf der Google-OAuth-Autorisierung kann insbesondere über die Sicherheitseinstellungen des Google-Kontos des Nutzers und/oder über den Dienst erfolgen.


Artikel 4 — Empfänger und Auftragsverarbeiter

Die Daten werden weder verkauft noch vermietet oder zu kommerziellen Zwecken an Dritte weitergegeben.

Sie können den folgenden Kategorien von Empfängern mitgeteilt werden, und zwar ausschließlich im für die oben beschriebenen Zwecke erforderlichen Umfang:

  • dem Herausgeber und gegebenenfalls den unter seiner Aufsicht handelnden befugten Personen;
  • den nachstehend aufgeführten Auftragsverarbeitern, die auf unsere Anweisung handeln und ausreichende Garantien im Sinne von Artikel 28 DSGVO bieten;
  • den befugten Verwaltungs- oder Justizbehörden auf gesetzliches Ersuchen.

Auftragsverarbeiter und Dienstleister

Dienstleister Rolle / Zweck Standort Übermittlung außerhalb der EU
Railway Corporation Hosting der Anwendung und der PostgreSQL-Datenbank Vereinigte Staaten Ja (siehe Artikel 5)
Stripe Payments Europe, Ltd. Zahlungsabwicklung und Verwaltung der Abonnements Irland (EU) Nein
Google Ireland Ltd. KI-gestützte Thumbnail-Analyse (Google Gemini), Google-Anmeldung / OAuth, Synchronisierung mit Google Calendar Irland (EU) Siehe Artikel 5
PostHog Reichweitenmessung und Nutzungsstatistiken des Dienstes (auf Grundlage der Einwilligung des Nutzers) Europäische Union (EU-Hosting) Nein
Sentry (Functional Software, Inc.) Erkennung und Diagnose technischer Fehler (Anwendungsüberwachung) Europäische Union (EU-Datenregion) Nein
Resend und/oder Gmail SMTP Versand transaktionaler E-Mails und Rechnungen Google (Versand über die Gmail-API / Google Ireland Ltd., Irland) Nicht zutreffend (Dienstleister in der Europäischen Union ansässig)

Die Anschrift des Hosting-Dienstleisters lautet: Railway Corporation, 548 Market Street, San Francisco, CA 94104, Vereinigte Staaten.

Hinsichtlich der an Google übermittelten Daten (insbesondere der Inhalt der über Gemini analysierten Thumbnails) unterliegt deren Verarbeitung zusätzlich den Datenschutzrichtlinien von Google. Der Dienst nutzt diese Zugriffe ausschließlich zur Ausführung der vom Nutzer ausdrücklich angeforderten Aktionen.


Artikel 5 — Datenübermittlungen außerhalb der Europäischen Union

Das Hosting der Anwendung und der PostgreSQL-Datenbank wird von Railway Corporation, einem in den Vereinigten Staaten ansässigen Unternehmen, bereitgestellt. In diesem Zusammenhang sind bestimmte personenbezogene Daten Gegenstand einer Übermittlung außerhalb des Europäischen Wirtschaftsraums (EWR).

Diese Übermittlung ist durch geeignete Garantien im Sinne von Kapitel V der DSGVO abgesichert, nämlich durch den Abschluss der von der Europäischen Kommission angenommenen Standardvertragsklauseln (SVK) (Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021), gegebenenfalls ergänzt durch zusätzliche technische und organisatorische Maßnahmen.

Hinsichtlich Google werden die Daten, wenn der vertragschließende Auftragsverarbeiter Google Ireland Ltd. (EU) ist, im europäischen Rahmen verarbeitet; jede etwaige Übermittlung an außerhalb des EWR gelegene Infrastrukturen ist durch die Standardvertragsklauseln und die von Google eingerichteten Garantien abgesichert.

Eine Kopie der geltenden Garantien kann auf Anfrage unter der in Artikel 1 angegebenen Adresse erhalten werden.


Artikel 6 — Aufbewahrungsfristen

Die Daten werden nur für die zur Erreichung der Zwecke, für die sie verarbeitet werden, unbedingt erforderliche Dauer aufbewahrt und anschließend gemäß den nachstehenden Fristen archiviert oder gelöscht:

Datenkategorie Aufbewahrungsfrist
Kontodaten Während der gesamten Dauer der Vertragsbeziehung, anschließend Löschung (oder Anonymisierung) innerhalb einer Frist von höchstens 3 Monaten nach Schließung des Kontos
Google-OAuth-Token Bis zum Widerruf der Autorisierung durch den Nutzer, zur Trennung des Google-Dienstes oder zur Schließung des Kontos
Rechnungsdaten, Rechnungen und Buchungsbelege 10 Jahre ab dem Abschluss des Geschäftsjahres, gemäß Artikel L123-22 des französischen Handelsgesetzbuchs (Code de commerce)
Vom Nutzer eingegebene CRM-Kontakte und Bestellungen Während der gesamten Dauer der Nutzung des Dienstes durch den Nutzer; gelöscht bei Schließung des Kontos, vorbehaltlich der eigenen Handlung des Nutzers (siehe Artikel 9)
Technische Protokolle (Logs) 12 Monate gemäß den Sicherheitsempfehlungen
Daten zur Bearbeitung von Rechtsausübungsanträgen Für die zur Bearbeitung des Antrags erforderliche Zeit, anschließend Aufbewahrung zu Beweiszwecken innerhalb der geltenden Verjährungsfristen

Nach Ablauf dieser Fristen werden die Daten unwiderruflich gelöscht oder anonymisiert. Bestimmte Daten können in einer Zwischenarchivierung mit eingeschränktem Zugang aufbewahrt werden, um einer rechtlichen Verpflichtung nachzukommen oder einen Rechtsanspruch geltend zu machen.


Artikel 7 — Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gemäß Artikel 32 DSGVO. Diese Maßnahmen umfassen insbesondere:

  • das Hashing der Passwörter mittels des Algorithmus bcrypt (Passwörter werden niemals im Klartext gespeichert oder übermittelt);
  • die Verschlüsselung sensibler Daten im Ruhezustand (insbesondere der für die Rechnungsstellung verwendeten Bankverbindungsdaten vom Typ IBAN, der Google-Zugriffstoken und des Anwendungspassworts des Versandpostfachs) mittels einer AES-256-Verschlüsselung;
  • die Verschlüsselung der Kommunikation während der Übertragung über das Protokoll HTTPS/TLS;
  • die Zugangskontrolle und die Beschränkung der Berechtigungen auf das strikt Notwendige;
  • die Protokollierung von Sicherheitsereignissen;
  • den Rückgriff auf Auftragsverarbeiter, die Sicherheitsgarantien gemäß Artikel 28 DSGVO bieten.

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat, verpflichten wir uns, diese der CNIL (französische Datenschutzbehörde) unter den in Artikel 33 DSGVO vorgesehenen Bedingungen und Fristen zu melden und gegebenenfalls die betroffenen Personen gemäß Artikel 34 DSGVO zu informieren.

Da kein System eine absolute Sicherheit bietet, ist der Nutzer aufgefordert, zum Schutz seiner Daten beizutragen, insbesondere durch die Wahl eines robusten Passworts und dessen vertrauliche Behandlung.


Artikel 8 — Rechte der betroffenen Personen

Gemäß der DSGVO und dem Datenschutzgesetz (loi Informatique et Libertés) verfügt jede betroffene Person über die folgenden Rechte hinsichtlich ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): die Bestätigung zu erhalten, dass sie betreffende Daten verarbeitet werden, und eine Kopie davon zu erhalten;
  • Recht auf Berichtigung (Art. 16 DSGVO): unrichtige oder unvollständige Daten berichtigen zu lassen;
  • Recht auf Löschung (Art. 17 DSGVO): die Löschung seiner Daten zu erwirken, vorbehaltlich der gesetzlichen Aufbewahrungspflichten (insbesondere buchhalterischer und steuerlicher Art);
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): die bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und sie an einen anderen Verantwortlichen zu übermitteln;
  • Widerspruchsrecht (Art. 21 DSGVO): aus Gründen, die sich aus seiner besonderen Situation ergeben, einer auf dem berechtigten Interesse beruhenden Verarbeitung zu widersprechen;
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): in bestimmten Fällen die vorübergehende Aussetzung der Nutzung seiner Daten zu verlangen;
  • Recht, seine Einwilligung jederzeit zu widerrufen, wenn die Verarbeitung auf dieser beruht;
  • Recht, Weisungen zum Umgang mit seinen Daten nach seinem Tod festzulegen (Art. 85 des Datenschutzgesetzes, loi Informatique et Libertés).

Wie die Rechte ausgeübt werden

Diese Rechte können ausgeübt werden, indem eine Anfrage an die in Artikel 1 angegebene Kontaktadresse gerichtet wird: contact@thumblead.com, oder per Post an die Postanschrift des Herausgebers.

Zur Bearbeitung der Anfrage kann ein Identitätsnachweis verlangt werden. Eine Antwort erfolgt innerhalb einer Frist von einem Monat ab Eingang der Anfrage, die bei Komplexität oder einer hohen Anzahl von Anfragen um zwei Monate verlängert werden kann, wobei die betroffene Person darüber informiert wird.

Beschwerde bei der CNIL

Ist die betroffene Person nach Kontaktaufnahme mit dem Herausgeber der Auffassung, dass ihre Rechte nicht gewahrt werden, kann sie eine Beschwerde bei der Commission nationale de l'informatique et des libertés (CNIL) einreichen:

  • CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
  • Website: https://www.cnil.fr

Artikel 9 — Sonderfall: vom Nutzer importierte Interessentendaten

Der Dienst ermöglicht es dem Nutzer, Daten zu Interessenten (YouTube-Kanäle und deren Verantwortliche, Vertriebskontakte, Kontaktdaten, Notizen, Verlauf des Schriftverkehrs) zu importieren, zu erstellen und zu verwalten, insbesondere im Rahmen der Prospektions-, CRM- und E-Mail-Sequenz-Funktionen.

Für diese Daten gestaltet sich die Rollenverteilung wie folgt:

  • Der Nutzer ist der Verantwortliche für seine eigenen Interessenten. Er bestimmt die Zwecke und Mittel der Verarbeitung dieser Daten, wählt die prospektierten Personen aus und entscheidet über die an sie gerichteten Nachrichten.
  • Der Herausgeber (ThumbLead) handelt als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO: Er verarbeitet diese Daten ausschließlich auf Weisung des Nutzers und in dessen Auftrag, allein zu dem Zweck, die Funktionen des Dienstes bereitzustellen.

In diesem Zusammenhang obliegt es dem Nutzer in seiner Eigenschaft als Verantwortlicher für seine Interessenten:

  • über eine gültige Rechtsgrundlage für die Prospektion zu verfügen (insbesondere die Einhaltung der für die B2B- und B2C-Prospektion geltenden Regeln, der Richtlinie über den Datenschutz in der elektronischen Kommunikation, des Artikels L34-5 des französischen Gesetzbuchs über das Post- und Telekommunikationswesen (Code des postes et des communications électroniques) und der Leitlinien der CNIL);
  • die prospektierten Personen zu informieren und ihre Rechte zu wahren (Auskunft, Widerspruch, Löschung usw.);
  • soweit erforderlich, die vorherige Einwilligung der Personen einzuholen;
  • auf die Rechtmäßigkeit der Quellen zu achten, aus denen die importierten Daten stammen.

Der Herausgeber verpflichtet sich als Auftragsverarbeiter, diese Daten ausschließlich gemäß den dokumentierten Weisungen des Nutzers zu verarbeiten, deren Vertraulichkeit und Sicherheit zu gewährleisten und sie nach Beendigung der Leistung zu löschen oder zurückzugeben, und zwar unter den in den Allgemeinen Geschäftsbedingungen des Dienstes und gegebenenfalls in einer gesonderten Auftragsverarbeitungsvereinbarung (DPA) vorgesehenen Bedingungen. Darüber hinaus hat der Herausgeber Auftragsverarbeitungsvereinbarungen (DPA) mit seinen eigenen Auftragsverarbeitern (Railway, Stripe, Google) abgeschlossen.


Artikel 10 — Cookies und Tracker

Der Dienst verwendet im Wesentlichen technische Cookies, die für seinen Betrieb strikt erforderlich sind:

  • Sitzungs- und Authentifizierungs-Cookies (die es ermöglichen, den Nutzer angemeldet zu halten);
  • Präferenz-Cookies (Speicherung von Oberflächeneinstellungen).

Da diese Cookies für die Bereitstellung des ausdrücklich angeforderten Dienstes strikt erforderlich sind, sind sie gemäß Artikel 82 des Datenschutzgesetzes (loi Informatique et Libertés) und den Leitlinien der CNIL von der Einholung der Einwilligung ausgenommen.

Der Dienst greift nicht auf Werbe-Cookies Dritter oder auf Tracking zu Zwecken der werblichen Zielgruppenansprache zurück.

Für weitere Einzelheiten zur Art der verwendeten Cookies und deren Verwaltung ist die Cookie-Richtlinie des Dienstes heranzuziehen: https://thumblead.com/politique-cookies.


Artikel 11 — Minderjährige

Der Dienst richtet sich an Fachleute (Freelancer, Kleinunternehmer) und ist nicht für Minderjährige bestimmt. Wir erheben nicht wissentlich Daten von Personen unter 15 Jahren. Sollten wir Kenntnis von der Erhebung solcher Daten ohne die erforderliche Einwilligung erlangen, würden wir diese schnellstmöglich löschen. Jede Person, die der Auffassung ist, dass uns ein Minderjähriger Daten übermittelt hat, ist aufgefordert, uns unter der in Artikel 1 angegebenen Adresse darüber zu informieren.


Artikel 12 — Änderungen der vorliegenden Erklärung

Die vorliegende Datenschutzerklärung kann jederzeit geändert werden, insbesondere um gesetzlichen, regulatorischen, rechtsprechungsbezogenen oder technischen Entwicklungen oder Weiterentwicklungen des Dienstes Rechnung zu tragen.

Die anwendbare Fassung ist diejenige, die zum Zeitpunkt des Zugriffs auf den Dienst in Kraft ist, wobei das Datum der letzten Aktualisierung am Anfang des vorliegenden Dokuments angegeben ist. Im Falle einer wesentlichen Änderung können die Nutzer auf geeignete Weise (zum Beispiel per E-Mail oder Benachrichtigung innerhalb des Dienstes) darüber informiert werden. Die fortgesetzte Nutzung des Dienstes nach Inkrafttreten der Änderungen gilt als Kenntnisnahme derselben.