Datenschutzerklärung — OH!Loop der Lumeon-Media UG (haftungsbeschränkt)

Stand: 21. April 2026 — Version 2.0

1. Einleitung

Willkommen bei OH!Loop. Wir, die Lumeon-Media UG (haftungsbeschränkt) mit Sitz in Chemnitz, betreiben LED-Werbetafeln („Digital Out-of-Home", kurz DOOH) in Chemnitz und perspektivisch an weiteren sächsischen Standorten. OH!Loop unter portal.ohloop.de ist unser Selbstbedienungs-Buchungsportal: Werbekunden können sich dort registrieren, Kampagnen anlegen, Werbemittel hochladen, Sendeplätze („Slots") buchen und alle zugehörigen Vorgänge verwalten.

Diese Datenschutzerklärung informiert Sie darüber, wie wir personenbezogene Daten verarbeiten, die im Zusammenhang mit der Nutzung von OH!Loop und unserer Webpräsenzen anfallen. Die Ausspielung auf den LED-Werbetafeln selbst erfolgt nicht personalisiert — es gibt keine Kamera, kein Tracking des Publikums und keine individuelle Aussteuerung nach Personen. Die LED-Ausstrahlung ist daher nicht Gegenstand dieser Datenschutzerklärung.

Die jeweils aktuelle Fassung dieser Erklärung finden Sie stets im Portal sowie auf unserer Webseite. Letzte Aktualisierung: 21. April 2026 (Version 2.0).

2. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Verantwortlich für die Datenverarbeitung ist:

Lumeon-Media UG (haftungsbeschränkt)
Zwickauer Straße 145
09116 Chemnitz

Vertretungsberechtigter Geschäftsführer: Maximilian Pinkert

Kontakt:
- E-Mail (allgemein): info@ohloop.de
- E-Mail (Datenschutz): info@ohloop.de
- Portal: https://portal.ohloop.de

Vollständige Angaben zum Unternehmen (Handelsregister, Umsatzsteuer-Identifikationsnummer) finden Sie in unserem Impressum.

3. Datenschutzbeauftragter

Die Lumeon-Media UG (haftungsbeschränkt) hat keinen Datenschutzbeauftragten benannt. Nach Prüfung von Art. 37 DSGVO und § 38 BDSG besteht für das Unternehmen in seiner aktuellen Form keine gesetzliche Benennungspflicht:

Es sind in der Regel weniger als 20 Personen mit der automatisierten Datenverarbeitung beschäftigt (§ 38 Abs. 1 S. 1 Alt. 1 BDSG).
Die Kerntätigkeit besteht nicht in umfangreichen regelmäßigen und systematischen Überwachungen natürlicher Personen (Art. 37 Abs. 1 lit. b DSGVO) — unsere Digital-Out-of-Home-Flächen sind nicht-personalisiert.
Es werden keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten über strafrechtliche Verurteilungen (Art. 10 DSGVO) verarbeitet.

Für datenschutzrechtliche Anfragen, Auskunfts-, Berichtigungs- oder Löschersuchen wenden Sie sich bitte an den in Abschnitt 2 genannten Verantwortlichen.

Wir prüfen diese Einschätzung bei wesentlichen Änderungen der Verarbeitungstätigkeiten oder der Mitarbeiter-Struktur erneut.

4. Ihre Rechte als betroffene Person

Die Datenschutz-Grundverordnung (DSGVO) gewährt Ihnen gegenüber uns als Verantwortlichem folgende Rechte:

Recht auf Auskunft (Art. 15 DSGVO) — Sie können Auskunft darüber verlangen, welche Daten wir über Sie verarbeiten.
Recht auf Berichtigung (Art. 16 DSGVO) — Sie können unrichtige Daten korrigieren lassen.
Recht auf Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen. Eine wichtige Ausnahme bildet die handels- und steuerrechtliche Aufbewahrungspflicht für Rechnungsbelege (siehe Abschnitt 5.6).
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) — Sie können verlangen, dass wir Ihre Daten zwischenzeitlich nur eingeschränkt verarbeiten.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Sie können Ihre Daten in einem gängigen Format erhalten oder deren Übermittlung an einen anderen Verantwortlichen verlangen.
Recht auf Widerspruch gegen automatisierte Entscheidungen (Art. 22 DSGVO) — Bei automatisierten Entscheidungen im Einzelfall haben Sie das Recht, eine manuelle Prüfung zu verlangen. Details zu unserer KI-gestützten Werbemittelprüfung finden Sie in Abschnitt 12.
Widerrufsrecht bei erteilten Einwilligungen — Soweit wir eine Verarbeitung auf Ihre Einwilligung stützen, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO) — Sie können sich bei der für uns zuständigen Aufsichtsbehörde beschweren:

Sächsischer Datenschutz- und Transparenzbeauftragter
Devrientstraße 1
01067 Dresden
E-Mail: saechsdsb@slt.sachsen.de

Wie Sie Ihre Rechte bei uns geltend machen, erfahren Sie in Abschnitt 10.

5. Einzelne Verarbeitungen

In diesem Abschnitt beschreiben wir die einzelnen Datenverarbeitungen, die im Rahmen Ihrer Nutzung von OH!Loop und unserer Webpräsenzen stattfinden.

5.1 Kunden-Registrierung und Kontoverwaltung

Wenn Sie sich als Werbekunde bei uns registrieren, legen wir ein Benutzerkonto für Sie an. Darüber verwalten Sie Ihre Stammdaten, führen Kampagnen durch und sehen Ihre Buchungen und Rechnungen.

Welche Daten: E-Mail-Adresse, Name, Firmenname, Anschrift, Telefon, optional Umsatzsteuer-Identifikationsnummer, Rechnungs-E-Mail (falls abweichend), Login-Kennwort (ausschließlich verschlüsselt als sogenannter „Hash" gespeichert), technische Metadaten wie IP-Adresse und Zeitstempel der Anmeldung.
Zweck: Anlage und Verwaltung eines authentifizierbaren Kundenkontos, damit Sie Kampagnen anlegen, Werbemittel hochladen und buchen können.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen und Erfüllung des Nutzungsvertrags).
Speicherdauer: Für die Dauer der Vertragsbeziehung, bis Sie Ihr Konto löschen lassen. Bestätigen Sie Ihre E-Mail-Adresse nach der Registrierung nicht innerhalb von 30 Tagen, entfernen wir die unbestätigten Daten automatisch.

5.2 Anmeldung über Google („Mit Google anmelden")

Alternativ zur klassischen Registrierung mit E-Mail und Passwort bieten wir die Anmeldung mit Ihrem Google-Konto an. Diese Option ist rein freiwillig; der Standardweg über E-Mail und Passwort steht Ihnen gleichberechtigt zur Verfügung.

Was passiert: Wenn Sie den Button „Mit Google anmelden" nutzen, werden Sie auf die Anmeldeseite von Google weitergeleitet. Nach erfolgreicher Anmeldung bei Google übermittelt Google uns folgende Daten: Ihre E-Mail-Adresse, Ihren Namen, Ihr Google-Profilbild (falls vorhanden), Ihre Google-Konto-Kennung sowie Ihre Sprachpräferenz. Gleichzeitig erfährt Google, dass Sie unser Portal nutzen.
Empfänger: Google Ireland Ltd. (EU-Vertragspartner) sowie Google LLC (USA, technische Verarbeitung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung durch aktive Auswahl der Google-Anmeldung) sowie Art. 49 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung in den Datentransfer in die USA). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie künftig die E-Mail-/Passwort-Anmeldung nutzen oder Ihr Konto löschen lassen.
Drittlandtransfer: Die Übermittlung an Google LLC in den USA ist durch den EU-US Data Privacy Framework (Angemessenheitsbeschluss (EU) 2023/1795) und zusätzlich durch Standardvertragsklauseln abgesichert. Google LLC ist unter dem Data Privacy Framework zertifiziert.
Speicherdauer: Für die Dauer Ihres Portal-Kontos.

5.3 Kampagnenanlage und Werbemittel-Upload

In unserem Portal legen Sie Werbekampagnen an und laden Ihre Werbemittel (Bilder, Videos) hoch.

Welche Daten: Kampagnenmetadaten (Name, Laufzeit, Zielgruppen-Hinweise, Freitext-Notizen, Budget); Werbemittel-Dateien (Bild- oder Videodatei); technische Metadaten (Dateityp, Dateigröße, Upload-Zeitpunkt).
Zweck: Vorbereitung und Durchführung der Werbeschaltung auf unseren LED-Flächen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und Vertragserfüllung). Enthält ein Werbemittel abgebildete Personen, tragen Sie als werbender Kunde die Verantwortung für die Einholung der erforderlichen Einwilligungen (insbesondere nach § 22 Kunsturhebergesetz). Wir verarbeiten diese Bilder ausschließlich zur Werbeschaltung.
Speicherdauer: Während der Kampagnenlaufzeit aktiv. Nach Ende der Kampagne erfolgt eine Archivierung. Von Ihnen gelöschte Werbemittel werden nach 60 Tagen endgültig aus dem aktiven Speicher entfernt. Werbemittel, die nie für eine Buchung verwendet wurden, werden nach 60 Tagen vollständig gelöscht.

5.4 Automatisierte Compliance-Prüfung von Werbemedien (KI-Prüfung)

Jedes von Ihnen hochgeladene Werbemittel wird automatisiert auf Vereinbarkeit mit deutschem Werberecht geprüft (unter anderem Tabakerzeugnisgesetz, Konsumcannabisgesetz, Betäubungsmittelgesetz, Waffengesetz, Strafgesetzbuch, Glücksspielstaatsvertrag, Werberat-Kodex). So stellen wir sicher, dass keine rechtswidrigen Werbeschaltungen erfolgen.

Diese Verarbeitung ist eine automatisierte Entscheidung im Einzelfall im Sinne des Art. 22 DSGVO — Details zu Ihren Rechten finden Sie in Abschnitt 12.

Wie die Prüfung abläuft: Ihr Werbemittel wird durch einen technischen Dienstleister in der Europäischen Union auf Konformität mit deutschem Werberecht (Tabakerzeugnisgesetz, Konsumcannabisgesetz, Betäubungsmittelgesetz, Waffengesetz, Strafgesetzbuch, Glücksspielstaatsvertrag, Werberat-Kodex) algorithmisch geprüft. Das Ergebnis ist einer von drei Werten: Freigabe, Ablehnung oder Weiterleitung an die manuelle Prüfung durch unser Team.
Was im Zweifel passiert: Im Zweifel entscheiden wir lieber einmal zu oft „manuelle Prüfung" als ein Werbemittel fälschlich freizugeben. Das Ergebnis „Ablehnung" bedeutet, dass Sie dieses Werbemittel nicht zur Schaltung einreichen können.
Welche Daten: Die Bild- oder Videodatei (bei Videos: einzelne Standbilder), ein Prompt mit Rechtstextauszügen und standortspezifischen Produktsperren; das Prüfergebnis (Entscheidung, Begründung, Klassifikation).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit Art. 22 Abs. 2 lit. a DSGVO (erforderlich für die Erfüllung des Werbevertrags — die Compliance-Prüfung ist integraler Leistungsbestandteil). Zusätzlich stützen wir uns bei Werbung für reglementierte Produkte auf Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).
Drittlandtransfer: Nein. Der eingesetzte Dienstleister ist in der Europäischen Union ansässig. Vertraglich ist ausgeschlossen, dass Ihre Werbemittel für das Training der eingesetzten Modelle verwendet werden.
Speicherdauer: Das KI-Ergebnis bleibt als Nachweis zum Werbemittel gespeichert, solange das Werbemittel existiert. Vollständige Prüfprotokolle in unseren Workflow-Logs werden nach 30 Tagen entfernt.
Datenschutz-Folgenabschätzung: Für diese Verarbeitung haben wir eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt.

5.5 Werbebuchung und Slot-Reservierung

Wenn Sie eine verbindliche Buchung absenden, reservieren wir die von Ihnen gewählten Werbe-Slots (Kombination aus Standort, Monat, Dekade, Seite und Paket) und schließen mit Ihnen den Werbevertrag ab.

Welche Daten: Ein Abzug Ihrer Kundendaten zum Buchungszeitpunkt (Firma, Ansprechpartner, Anschrift, E-Mail, Telefon, USt-IdNr.); Buchungsdaten (eindeutige Buchungsnummer, gewählte Slots, Preis, Mehrwertsteuer, Nachlass, Zahlungsart). Bei Agenturbuchungen zusätzlich der benannte Endkunde.
Zweck: Abschluss des Werbevertrags, Kapazitätsprüfung, Versand einer Buchungsbestätigung per E-Mail.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: 10 Jahre gemäß handels- und steuerrechtlicher Aufbewahrungspflicht (§ 257 HGB, § 147 AO). Bei einem Löschantrag werden die identifizierenden Felder innerhalb der Buchung anonymisiert (siehe nächster Abschnitt).

5.6 Rechnungsstellung und Rechnungsverwaltung

Zu jeder Buchung erstellen wir eine elektronische Rechnung im ZUGFeRD-Format (PDF mit eingebetteten strukturierten Rechnungsdaten). Stornos und Gutschriften folgen derselben Systematik.

Welche Daten: Rechnungsempfänger-Daten (Firma, Ansprechpartner, Rechnungsanschrift, Rechnungs-E-Mail, Telefon, USt-IdNr.), Rechnungsnummer (Format RE-MM/NNNN/JJ), Positionen, Netto-/Mehrwertsteuer-/Bruttobeträge, Fälligkeitsdatum, Zahlungsstatus, Mahnstufe.
Zweck: Ordnungsgemäße Rechnungsstellung nach § 14 UStG und gesetzliche Aufbewahrung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 14 UStG, § 257 HGB sowie § 147 AO (gesetzliche Aufbewahrungspflicht).
Speicherdauer: 10 Jahre, beginnend mit dem Ende des Kalenderjahres, in dem die Rechnung ausgestellt wurde. Innerhalb dieser Frist ist eine Löschung gesetzlich ausgeschlossen.

Besonderheit „Anonymisierung bei Kontolöschung": Wenn Sie Ihr Konto löschen lassen, während Rechnungen aus der Aufbewahrungspflicht heraus erhalten bleiben müssen, ersetzen wir Ihre identifizierenden Daten (Name, Anschrift, Ansprechpartner, Telefon, E-Mail, USt-IdNr.) innerhalb des Rechnungsdatensatzes durch Platzhalter. Rechnungsnummer, Beträge, Mehrwertsteuer, Positionen und Datum bleiben unverändert — das ist gesetzlich vorgeschrieben, damit die Buchhaltung prüfbar bleibt.

Hinweis zu den ursprünglichen PDF-Rechnungen: Aus steuerrechtlichen Gründen (Unveränderlichkeitsgebot für elektronische Rechnungen) dürfen wir die bereits ausgestellten Rechnungs-PDFs nicht nachträglich verändern. Sie bleiben mit Ihrem Namen im privaten Rechnungsarchiv erhalten — der Zugriff ist intern streng beschränkt und nur über zeitlich befristete Pre-Signed-URLs möglich. Nach Ablauf der gesetzlichen 10-Jahres-Frist werden auch diese PDF-Dateien vollständig gelöscht.

5.7 Anbieter-Onboarding (nur für Vermarktungspartner)

Dieser Abschnitt ist nur für Personen relevant, die sich als LED-Werbeflächen-Anbieter bei uns registrieren, um ihre eigenen Flächen über das Lumeon-Netzwerk zu vermarkten.

Welche Daten: Firmen- und Kontaktdaten, Ansprechpartner, USt-IdNr., Handelsregister-Nummer, Bankdaten (für Auszahlungen), Identitätsnachweise (Ausweis- oder Reisepasskopie zur Identitätsprüfung), Vertragsdokumente (Vermarktungsvertrag, Grundstücksnachweis, ggf. Gewerbeschein).
Zweck: Rechtsverbindliche Einbindung in unser Vermarktungsnetzwerk, Identitätsprüfung, Abwicklung von Auszahlungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und Vertragserfüllung); für Identitätsnachweise und Bankdaten zusätzlich ggf. Art. 6 Abs. 1 lit. c DSGVO (Identifizierungspflichten nach Geldwäschegesetz).
Speicherdauer: Bankdaten und Vertragsdokumente werden für die Dauer der Vertragsbeziehung zuzüglich der 10-jährigen handelsrechtlichen Aufbewahrungsfrist gespeichert. Identitätsnachweise (Ausweiskopien) werden nach abgeschlossener Identitätsprüfung so schnell wie gesetzlich zulässig gelöscht.

5.8 Support-Kommunikation über Tickets

Im Portal-Postfach können Sie uns Support-Tickets senden. Wir antworten im selben Ticket.

Welche Daten: Ticket-Nummer, Betreff, Nachrichten-Freitext, Absenderart (Kunde / Admin), Zeitstempel, Status (offen / geschlossen).
Zweck: Bearbeitung Ihrer Support-Anfragen und nachvollziehbare Dokumentation des Kommunikationsverlaufs.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: Support ist Teil unserer Leistung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer revisionssicheren Dokumentation).
Speicherdauer: Geschlossene Tickets werden nach drei Jahren gelöscht.

5.9 Kundenkommunikation (Broadcast-Nachrichten)

Wir informieren Sie im Portal-Postfach über vertragsrelevante Ereignisse (z. B. Rechnungshinweise, Buchungsbestätigungen, Wartungsfenster). Diese Nachrichten erscheinen ausschließlich im Portal; auf Broadcast-Nachrichten können Sie nicht antworten — nutzen Sie dafür bitte das Ticket-System (Abschnitt 5.8).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für transaktionale Hinweise, die mit Ihrem Vertrag unmittelbar zusammenhängen (Rechnungen, Buchungsbestätigungen, Wartung); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Servicekommunikation) für sonstige nicht-werbliche Systemmitteilungen mit direktem Servicebezug.
Speicherdauer: Drei Jahre nach Versand bzw. Lesen.

5.10 Account-Löschung und Datenbereinigung

Wenn Sie die Löschung Ihres Kontos verlangen (siehe Abschnitt 10), führen wir eine strukturierte Datenbereinigung über alle Systeme hinweg durch:

Stammdaten, Kampagnen-Entwürfe und Support-Verlauf werden gelöscht.
Werbemittel werden auf „gelöscht" gesetzt; nach 60 Tagen erfolgt die endgültige Entfernung aus dem aktiven Speicher. Bereits ausgespielte Werbemittel bleiben im internen Archiv für handelsrechtliche Nachweiszwecke erhalten.
Buchungs- und Rechnungsdaten werden nicht gelöscht, sondern anonymisiert (siehe 5.5 und 5.6). Die gesetzliche 10-Jahres-Frist muss eingehalten werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit Art. 17 DSGVO (Erfüllung der gesetzlichen Löschungspflicht).
Bearbeitungsfrist: Innerhalb eines Monats gemäß Art. 12 Abs. 3 DSGVO, in der Regel deutlich schneller.

5.11 Webseiten-Betrieb und Log-Dateien

Wenn Sie unsere Webseiten und das Portal aufrufen, erfasst unser Webserver automatisch technische Protokolldaten.

Welche Daten: IP-Adresse, User-Agent (Browser-Kennung), Zeitstempel, aufgerufener Pfad, HTTP-Statuscode, Referrer.
Zweck: Technischer Betrieb, Fehlersuche, Schutz vor Angriffen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, funktionsfähigen Webangebot).
Speicherdauer: 14 bis 30 Tage (rollierend).

Hinweis zu Google Fonts (bekannter Stand, zeitlich befristet):
Unsere Webseiten laden alle Schriftarten (Instrument Sans, Instrument Serif, IBM Plex Mono, JetBrains Mono, Outfit) ausschließlich von unserem eigenen Server. Es findet keine Übertragung Ihrer IP-Adresse oder anderer Daten an Google LLC oder andere Drittanbieter beim Laden von Schriftarten statt. Die Schriftdateien werden im WOFF2-Format ausgeliefert und sind mit einem Jahres-Cache versehen (stand: April 2026 auf Self-Hosting umgestellt).

6. Cookies und ähnliche Technologien

Wir setzen im Portal nur das ein, was für den Betrieb notwendig ist. Insbesondere verwenden wir:

Authentifizierungs-Session (LocalStorage): Speichert Ihren Anmelde-Status, damit Sie nicht bei jedem Seitenwechsel neu anmelden müssen. Zwingend erforderlich für die Nutzung des Portals. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Sprach- und Anzeigepräferenzen (LocalStorage): Speichert Ihre gewählten Einstellungen. Zwingend erforderlich für die Funktionalität.
Cookie-Consent-Status (LocalStorage): Merkt sich Ihre Consent-Entscheidung. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 25 TDDDG.

Tracking-Cookies (Analytics, Marketing-Tracker) setzen wir derzeit nicht ein.

Hinweis zu Google Fonts: Schriftarten werden seit April 2026 self-hosted ausgeliefert — keine Drittübertragung, keine Consent-Pflicht für Fonts (siehe Abschnitt 5.11).

Cookies und LocalStorage-Einträge können Sie jederzeit in Ihrem Browser einsehen, blockieren oder löschen. Beachten Sie, dass zwingend erforderliche Einträge für den Portal-Betrieb notwendig sind — ohne sie können Sie sich nicht anmelden.

7. Auftragsverarbeiter (Art. 28 DSGVO)

Wir arbeiten mit sorgfältig ausgewählten Dienstleistern zusammen, die in unserem Auftrag personenbezogene Daten verarbeiten. Mit jedem dieser Dienstleister haben wir (bzw. sind wir dabei zu schließen) Auftragsverarbeitungs-Verträge nach Art. 28 DSGVO abgeschlossen.

Kategorie	Zweck	Region
Cloud-Datenbank- und Auth-Provider	Datenbank, Anmeldung, Realtime	EU
Deutscher Webhosting- und Storage-Provider	Hosting, Dateispeicher, Mail-Relay	Deutschland
KI-Dienstleister zur Inhaltsprüfung	automatisierte Werbemittel-Compliance	EU (Frankreich)
Identity-Provider (Google LLC)	optionale Anmeldeoption „Mit Google anmelden"	USA
Wetter- und Verkehrsdaten-APIs	programmatische Werbe-Auslieferung	EU / UK

Auf Anfrage nach Art. 15 DSGVO stellen wir Ihnen die konkrete Liste unserer Auftragsverarbeiter namentlich zur Verfügung. Schreiben Sie dafür bitte an info@ohloop.de.

8. Übermittlung in Drittländer

Einige unserer Dienstleister haben ihren Sitz außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums. Für diese Fälle stellen wir sicher, dass ein DSGVO-konformes Datenschutzniveau durch geeignete Garantien gewährleistet ist:

Google LLC (USA) — Datenübermittlung bei Nutzung der Google-Anmeldeoption und durch das Einbinden von Google Fonts. Grundlage: EU-US Data Privacy Framework (Angemessenheitsbeschluss (EU) 2023/1795, Google LLC ist zertifiziert) sowie Standardvertragsklauseln (SCC nach Durchführungsbeschluss (EU) 2021/914).
Vereinigtes Königreich — Für programmatische Werbeauslieferung bezieht ein Dienstleister ausschließlich Standortkoordinaten (keine personenbezogenen Daten). Grundlage: Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich (Durchführungsbeschluss (EU) 2021/1772).

Alle anderen Auftragsverarbeiter verarbeiten Ihre Daten innerhalb des EU/EWR-Raums.

9. Datenpannen

Wir haben interne Prozesse etabliert, um Datenschutzverletzungen („Datenpannen") gemäß Art. 33 und 34 DSGVO zu behandeln.

Bei einer meldepflichtigen Datenpanne melden wir den Vorfall innerhalb von 72 Stunden nach Kenntniserlangung an den Sächsischen Datenschutz- und Transparenzbeauftragten.
Besteht für Sie ein voraussichtlich hohes Risiko (z. B. im Fall einer konkreten Gefährdung Ihrer Rechte und Freiheiten), informieren wir Sie unverzüglich direkt.

10. Ausübung Ihrer Rechte

Sie können Ihre in Abschnitt 4 genannten Rechte jederzeit geltend machen:

E-Mail: info@ohloop.de (primär) oder info@ohloop.de
Post: Lumeon-Media UG (haftungsbeschränkt), Zwickauer Straße 145, 09116 Chemnitz

Wir beantworten Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO). Bei komplexen Anfragen können wir diese Frist um weitere zwei Monate verlängern; in diesem Fall informieren wir Sie rechtzeitig.

Identitätsprüfung: Um zu verhindern, dass Ihre Daten an Unbefugte gelangen, müssen wir bei Unsicherheiten über Ihre Identität zusätzliche Angaben zur Verifizierung erfragen (Art. 12 Abs. 6 DSGVO). Typischerweise genügt die Anfrage von der bei uns hinterlegten E-Mail-Adresse.

Self-Service geplant: Eine Direkt-Funktion im Konto-Bereich („Mein Konto → Daten-Export" und „Konto löschen") ist für Portal-Version 1.1 geplant. Bis dahin erfolgt die Bearbeitung über den oben genannten E-Mail-Weg.

11. Speicherdauer / Löschung

Eine zusammenfassende Übersicht unserer Speicherfristen. Die detaillierten Angaben finden Sie bei den jeweiligen Verarbeitungen in Abschnitt 5.

Datenkategorie	Speicherdauer
Kontostammdaten	Für die Dauer der Vertragsbeziehung, bis zur Kontolöschung
Unbestätigte Registrierungen	30 Tage, dann automatisch entfernt
Kampagnen und Werbemittel	Während der Kampagne aktiv; 60 Tage nach Löschung aus dem aktiven Speicher; Archiv für handelsrechtlichen Nachweis
Buchungen	10 Jahre (HGB/AO); identifizierende Felder werden auf Antrag anonymisiert
Rechnungen	10 Jahre (HGB/AO); Namen werden auf Antrag anonymisiert; Rechnungs-PDFs bleiben bis zum Ablauf der Frist unverändert
Support-Tickets	3 Jahre nach Abschluss
Broadcast-Nachrichten	3 Jahre nach Versand/Lesen
Server-Log-Dateien	14 bis 30 Tage (rollierend)
KI-Prüfprotokolle (Workflow-Logs)	30 Tage
Anbieter-Identitätsnachweise	So kurz wie gesetzlich zulässig nach abgeschlossener Prüfung
Anbieter-Vertragsdaten und Bankdaten	Vertragslaufzeit + 10 Jahre (HGB)

12. Automatisierte Entscheidungen im Einzelfall (Art. 22 DSGVO)

Beim Hochladen von Werbemedien führen wir eine automatisierte Compliance-Prüfung durch (siehe Abschnitt 5.4). Ein abgelehntes Werbemittel kann in dieser Form nicht zur Schaltung eingereicht werden — das ist eine automatisierte Entscheidung im Einzelfall mit wirtschaftlicher Auswirkung im Sinne von Art. 22 DSGVO.

Sie haben folgende Rechte:

Recht auf manuelle Prüfung: Sie können verlangen, dass ein Mitarbeiter die KI-Entscheidung überprüft.
Recht auf Darlegung Ihres Standpunkts: Sie können uns Ihre Sicht der Dinge schildern — etwa, warum Ihr Werbemittel aus Ihrer Sicht rechtlich zulässig ist.
Recht auf Anfechtung: Sie können der automatisierten Entscheidung ausdrücklich widersprechen.

Wie Sie den Widerspruch einlegen:

Per E-Mail an info@ohloop.de mit dem Betreff „Widerspruch gegen KI-Ablehnung [Werbemittel-ID]", oder
Über ein Support-Ticket im Portal mit demselben Betreff.

Unsere Fristen:

Wir bestätigen den Eingang Ihres Widerspruchs innerhalb von 24 Stunden.
Unsere manuelle Entscheidung erfolgt innerhalb von 5 Werktagen nach Eingang.

Bei Werbemitteln, die von der KI auf „manuelle Prüfung" geroutet werden, erfolgt ohnehin eine menschliche Bewertung durch uns — in diesen Fällen ist kein separater Widerspruch nötig.

13. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung bei wesentlichen Änderungen unseres Angebots, unserer Dienstleister oder der Rechtslage — mindestens jedoch einmal jährlich. Die jeweils gültige Fassung ist im Portal unter „Datenschutz" sowie auf unserer Webseite abrufbar.

Bei wesentlichen Änderungen informieren wir Sie zusätzlich über eine Broadcast-Nachricht in Ihrem Portal-Postfach.

Letzte Aktualisierung: 21. April 2026 (Version 2.0) — ersetzt Version 1.0.

14. Kontakt

Für alle Datenschutzanfragen wenden Sie sich an den in Abschnitt 2 genannten Verantwortlichen.

E-Mail: info@ohloop.de