Verbindliche Fassung gemäß Art. 12 ff. DSGVO. Stand: 29. Mai 2026. English summary at the bottom.
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (Art. 4 Nr. 7 DSGVO) und sonstiger nationaler Datenschutzgesetze sowie weiterer datenschutzrechtlicher Bestimmungen ist:
plugwith.me, Inh. Eray Yilmaz
Wuhlestraße 7a, 12683 Berlin, Deutschland
E-Mail: info@ponyagcy.com
Telefon: +49 156 79 729 585
Die gesetzlichen Voraussetzungen zur Bestellung eines betrieblichen Datenschutzbeauftragten (§ 38 BDSG i.V.m. Art. 37 DSGVO) liegen bei uns derzeit nicht vor. Anfragen rund um den Datenschutz richten Sie bitte direkt an die oben genannte Kontaktadresse.
plugwith.me ist ein Software-as-a-Service-Angebot. Wir stellen zahlenden und kostenlosen Konten (im Folgenden "Kunde") technische Bausteine bereit, mit denen diese sogenannte "Deeplinks" und "Link-in-Bio"-Seiten erzeugen und unter einer kurzen URL der Form plugwith.me/<slug> öffentlich abrufbar machen können. Eine Deeplink-Seite kann auf eine vom Kunden definierte Zielseite weiterleiten oder eine Liste von Schaltflächen (Linktree) darstellen. Beim Aufruf einer solchen Seite wird (sofern vom Kunden aktiviert) der In-App-Browser einer Social-Media-App in den System-Browser oder die Ziel-App umgeleitet.
Diese Datenschutzerklärung betrifft zwei klar unterscheidbare Datenflüsse:
Beim Aufruf jeder Seite werden automatisch durch unseren Hosting-Provider Netlify technische Daten an dessen Edge-Knoten übertragen. Hierzu gehören:
Zweck: Bereitstellung des Dienstes, Schutz vor Missbrauch, Rate-Limiting (60 Aufrufe pro IP pro Minute), Erkennung und Abwehr automatisierter Angriffe.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).
Speicherdauer: Edge-Logs werden durch Netlify gemäß deren eigener Aufbewahrungspolitik gespeichert (i.d.R. längstens 30 Tage). Wir kopieren diese Logs nicht in unsere Anwendungsdatenbank.
Wir laden für eine konsistente Typografie die Schriftart "Inter" über fonts.googleapis.com bzw. fonts.gstatic.com von Google Ireland Ltd. nach. Hierbei wird Ihre IP-Adresse an Google übertragen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einheitlicher Darstellung).
Datenschutzhinweise Google: policies.google.com/privacy.
/app)Bei der Registrierung erheben wir:
Optional, beim Eingehen eines kostenpflichtigen Abonnements, zusätzlich die durch Stripe abgefragten Abrechnungsdaten (Name, Anschrift, ggf. USt-ID, Zahlungsmittel-Token).
Zweck: Anlegen und Betreiben Ihres Kundenkontos, Erbringung der vertraglichen Leistung, Rechnungsstellung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung, z.B. § 14 Abs. 4 UStG für Rechnungsangaben).
Pflicht der Bereitstellung: E-Mail, Passwort und Anzeigename sind für den Vertragsabschluss zwingend. Abrechnungsdaten sind erforderlich für die Auswahl eines kostenpflichtigen Tarifs. Eine Nichtbereitstellung führt dazu, dass wir das Konto bzw. die Bezahlfunktion nicht anlegen können.
Nach erfolgreichem Login speichert Supabase Auth einen Session-JWT im Local Storage Ihres Browsers (sb-*-auth-token). Dieser Token ist technisch zwingend erforderlich, um Ihre Sitzung aufrechtzuerhalten — ohne ihn könnten Sie nach jedem Seitenwechsel nicht authentifiziert bleiben.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich für den vom Nutzer gewünschten Dienst), Art. 6 Abs. 1 lit. b DSGVO. Eine Einwilligung ist nicht erforderlich.
Sämtliche von Ihnen angelegten Slugs, Linktree-Schaltflächen, Bilder, Settings (Geo-Block-Listen, Pixel-IDs, Custom-Domains, Modelle/Profile, Bot-Schutz-Optionen) werden in Ihrer mandantenbezogenen Datenbankzeile bei Supabase gespeichert.
Zweck: Bereitstellung der Linkverwaltungs-Funktion.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Für die Dauer des Vertragsverhältnisses; nach Kündigung werden die Daten innerhalb von 30 Tagen aus den Produktionssystemen und innerhalb der nachfolgenden 90 Tage aus Backups entfernt, sofern keine längere gesetzliche Aufbewahrungspflicht entgegensteht (siehe Ziffer 9).
Wir verwenden im Browser des angemeldeten Kunden ausschließlich technisch notwendige Speicher- und Cookie-Datenstellen:
sb-*-auth-token (Supabase Auth Session, Local Storage)deeplinker_theme (Local Storage; gewähltes Farb-Schema)plugwith.intent.plan / plugwith.intent.interval (Local Storage; zwischengespeicherte Tarifwahl aus der Pricing-Seite)plugwith.last_login_bounce (Session Storage; verhindert Endlos-Redirects bei abgelaufener Sitzung)admin_session (HttpOnly Cookie; nur bei Betreiber-Login unter /admin, nicht für Kundenkonten)Diese Datenstellen sind unbedingt erforderlich, um die jeweils ausdrücklich verlangte Funktion (Anmeldung, Tarifauswahl, Theme-Wechsel) bereitzustellen, und benötigen daher gemäß § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung.
Wenn ein Endbesucher die URL plugwith.me/<slug> aufruft, handeln wir hinsichtlich folgender Verarbeitungen im Auftrag des jeweiligen Kunden (Art. 28 DSGVO). Der Kunde ist Verantwortlicher; wir sind sein Auftragsverarbeiter. Hierfür gilt zusätzlich die AVV.
Pro Seitenaufruf und pro Linktree-Schaltflächen-Klick wird ein anonymes Event in unsere Analytics-Tabelle events geschrieben mit folgenden Feldern:
ios, android, desktop, other) — abgeleitet aus dem User-Agentsafari, chrome, instagram bei einem Aufruf aus dem Instagram-In-App-Browser)DE, US) — von Netlify aus der IP-Adresse abgeleitet, ohne dass die IP-Adresse selbst gespeichert wirdWir speichern keine IP-Adresse, keinen rohen User-Agent, keine Cookie-Kennung und keine Login-Kennung an diesen Events. Da diese Events vom konkreten Endbesucher nicht reidentifizierbar sind, handelt es sich nach unserer Bewertung um anonyme Daten im Sinne von Erwägungsgrund 26 DSGVO. Auf Wunsch des Kunden bzw. der Aufsichtsbehörde liefern wir Konzepterläuterungen.
Zweck: Bereitstellung der Reichweiten- und Klickanalytik im Kunden-Dashboard.
Rechtsgrundlage gegenüber dem Endbesucher: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Kunden an Reichweitenmessung; Eingriffsintensität sehr gering, da pseudonymisiert/anonym).
Speicherdauer: Roh-Events 90 Tage; daraus aggregierte Auswertungen bleiben dauerhaft anonym verfügbar.
User-Agent und über die IP-Adresse abgeleiteter Ländercode werden zur Laufzeit ausgewertet, um automatisierte Anfragen und unzulässige Geo-Zugriffe abzuweisen bzw. auf eine andere URL umzuleiten. Es entsteht kein dauerhaftes Profil; die Auswertung erfolgt anfragesynchron.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Schutz der Plattform und der jeweiligen Kundeninhalte).
Einzelne Slugs können durch den jeweiligen Kunden mit folgenden marketing-tracking-tools versehen worden sein:
Sofern und solange für einen konkreten Slug ein solches Tool aktiviert ist, wird ein Drittanbieter-Skript auf der Seite ausgeführt und der jeweilige Anbieter erhält IP-Adresse, Browser-Kennungen, aufgerufene URL und Seitenaufruf-Ereignisse. Diese Tools setzen ggf. eigene Cookies und/oder lesen vorher gesetzte Cookies aus.
Verantwortlichkeit: Verantwortlicher i.S.d. DSGVO für diese Drittanbieter-Verarbeitungen ist nicht plugwith.me, sondern allein der Kunde, dem der Slug gehört. Der Kunde verpflichtet sich vertraglich (siehe AGB und AVV), nur dann ein Pixel zu aktivieren, wenn eine wirksame Rechtsgrundlage (insbesondere Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) für die jeweilige Endbesucher-Verarbeitung sichergestellt ist und ein wirksamer Consent-Mechanismus eingebunden ist.
Sollten Sie als Endbesucher eine derartige Verarbeitung verhindern wollen, blockieren Sie Drittanbieter-Cookies in Ihren Browser-Einstellungen oder verwenden Sie eine Tracking-Blocker-Erweiterung.
Beim Abschluss eines kostenpflichtigen Abonnements verarbeitet Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (zusammen mit der Stripe, Inc., USA) Ihre Zahlungs- und Rechnungsdaten unmittelbar im eigenen Verantwortungsbereich. plugwith.me selbst sieht zu keinem Zeitpunkt vollständige Kreditkarten- oder Bankdaten — uns gegenüber liefert Stripe lediglich eine Kunden-ID, eine Abonnement-ID, den Status sowie pseudonymisierte Rechnungs-Metadaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandtransfer: Übermittlung in die USA durch Stripe ist durch das EU-US Data Privacy Framework und ergänzend durch Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.
Datenschutzerklärung Stripe: stripe.com/de/privacy.
Wir setzen für den Betrieb unseres Dienstes folgende Auftragsverarbeiter ein. Mit allen aufgeführten Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO bzw. werden die jeweiligen Standardklauseln des Anbieters genutzt.
| Anbieter | Sitz / Server | Zweck | Garantien Drittlandtransfer |
|---|---|---|---|
| Netlify, Inc. | San Francisco, USA — Edge in Frankfurt, Amsterdam u.a. | Hosting, CDN, Edge-Functions, Rate-Limiting | EU-US Data Privacy Framework + SCC |
| Supabase, Inc. | Singapore (Sitz) — Produktivdatenbank in der Region Frankfurt (eu-central-1) bzw. nach Wahl des Verantwortlichen | Postgres-Datenbank, Auth, Storage | SCC; bei EU-Region ohnehin kein Drittlandtransfer |
| Stripe Payments Europe, Ltd. + Stripe, Inc. | Dublin, Irland (für EU-Kunden) + USA | Zahlungsabwicklung, Rechnung, Steuer (Stripe Tax) | EU-US Data Privacy Framework + SCC |
| Resend, Inc. | San Francisco, USA | Transaktionsmails (Registrierungsbestätigung, Passwort-Reset, Abrechnungsbenachrichtigung) | EU-US Data Privacy Framework + SCC |
| Google Ireland Ltd. (Google Fonts) | Dublin, Irland — Auslieferung weltweit | Bereitstellung der Inter-Schriftart | EU-US DPF + SCC bei US-Auslieferung |
Wir verarbeiten Ihre Daten nicht mit Anbietern außerhalb dieser Liste. Eine Erweiterung der Liste machen wir Kunden gemäß AVV vorab bekannt; Kunden können einer wesentlichen Veränderung schriftlich widersprechen.
Sie haben uns gegenüber jederzeit und unentgeltlich folgende Rechte:
Zur Ausübung Ihrer Rechte wenden Sie sich bitte formlos an info@ponyagcy.com. Wir bearbeiten Anfragen innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).
Wir setzen kein automatisiertes Profiling und keine automatisierte Einzelfallentscheidung mit rechtlicher Wirkung gegenüber Ihnen ein. Bot-Schutz und Geo-Block (Ziffern 6.2) führen lediglich zur Anzeige bzw. Nichtanzeige einer öffentlichen Seite und entfalten keine rechtliche oder ähnlich erhebliche Wirkung im Sinne von Art. 22 Abs. 1 DSGVO.
Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO zur Absicherung Ihrer Daten. Insbesondere:
tenant_id-Filter und RLS-fähige Tabellen; Edge-Functions verwenden den Service-Role-Key serverseitig und legen Mandanten-Filter selbst an.Eine vollständige Übersicht unserer technisch-organisatorischen Maßnahmen ist Anlage 2 zur AVV.
Die Bereitstellung Ihrer E-Mail-Adresse, Ihres Passworts und Ihres Anzeigenamens ist für die Begründung des Vertragsverhältnisses erforderlich. Ohne diese Daten können wir keinen Account einrichten. Die Bereitstellung von Zahlungs- und Rechnungsdaten ist erforderlich für die Auswahl eines kostenpflichtigen Tarifs.
Wir aktualisieren diese Erklärung, sobald sich die Verarbeitung ändert. Maßgeblich ist die jeweils zum Zeitpunkt der Datenerhebung gültige Fassung. Frühere Fassungen stellen wir auf Anfrage zur Verfügung.
The German version above is the legally binding text under Art. 12 GDPR. This English summary is provided for international readers only. In case of discrepancy, the German version prevails.
plugwith.me, Inh. Eray Yilmaz, Wuhlestraße 7a, 12683 Berlin, Germany · info@ponyagcy.com · +49 156 79 729 585. No DPO required (Art. 37 GDPR conditions not met).
plugwith.me is a multi-tenant SaaS for deeplinks and Link-in-Bio pages. Two data flows: (a) customer account data — we are controller; (b) end-visitor data on customer slugs — customer is controller, we are processor (Art. 28 GDPR; see DPA).
Netlify access logs (IP, time, URL, user-agent, referrer) for service operation and abuse prevention — Art. 6(1)(f) GDPR — retained ~30 days by Netlify. Google Fonts (Inter) loaded from Google servers; your IP is transmitted to Google — Art. 6(1)(f) GDPR.
/app)On signup we collect display name, email, password (stored only as bcrypt hash by Supabase). On paid subscription, Stripe captures billing data directly. Auth session is stored in your browser's local storage as a JWT (strictly necessary, § 25(2)(2) TDDDG). Link configuration is stored in your tenant row at Supabase. Legal basis: Art. 6(1)(b) GDPR. Retention: lifetime of contract + 30 days production + 90 days backups; invoices 10 years (§ 147 AO).
Anonymous click events (slug, timestamp, coarse device class, coarse browser class, ISO country, blocked/passed flag, button label on linktree clicks). No IP, no raw UA, no cookies, no login identifier attached. Retained 90 days raw, then only anonymous aggregates.
Bot protection and geo-block are evaluated per request and do not create profiles.
If a customer has enabled Meta / Google Analytics / TikTok / Snap pixels on a specific slug, those third parties receive IP, browser identifiers and pageview events directly. The customer is the controller for those processings, not plugwith.me; the customer warrants in our contract that they have valid consent under § 25(1) TDDDG / Art. 6(1)(a) GDPR.
Netlify, Inc. (US, EU edges) — hosting. Supabase, Inc. (Singapore HQ, EU region for prod DB) — database + auth + storage. Stripe Payments Europe Ltd. (Ireland) + Stripe Inc. (US) — payments. Resend, Inc. (US) — transactional emails. Google Ireland Ltd. — fonts. All US transfers covered by EU-US DPF + SCCs.
Access (Art. 15), rectification (Art. 16), erasure (Art. 17), restriction (Art. 18), portability (Art. 20), objection to legitimate-interest processing (Art. 21), consent withdrawal (Art. 7(3)), complaint to supervisory authority (Art. 77 — for us: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59–61, 10555 Berlin).
Exercise your rights at info@ponyagcy.com. We respond within one month.
We do not engage in Art. 22 GDPR automated decisions.
TLS 1.2+; HSTS; CSP; XFO; bcrypt-only passwords; rate limiting; tenant isolation via tenant_id; production access restricted with MFA. Full TOM in Annex 2 to DPA.