How much can I earn as a creator?

Typical creators earn €0.08 to €0.40 per click depending on rank and audience size. Minimum payout threshold is €20. Top creators in Diamond tier negotiate fixed fees per campaign.

We support Stripe Connect, PayPal, IBAN/SEPA bank transfer, and Bitcoin. KYC required per EU DAC7 (mandatory creator-income reporting). First payout within 7 days of request, recurring payouts daily after that.

How much does it cost to launch a campaign?

Minimum campaign budget is €200, minimum CPC bid is €0.15. No setup fees. Payout fee is 5–15% depending on plan, deducted from creator earnings.

Which e-commerce platforms do you integrate with?

Shopify, WooCommerce, Shoptet (CZ market), WordPress, plus generic webhook + S2S postback for custom stacks. Integration takes under 10 minutes.

Is there a free plan?

Yes. Brands get 5 campaigns/month at 15% fee on Basic plan. Creators get 3 active campaigns and basic analytics on Basic. Upgrade anytime.

How do you prevent click and conversion fraud?

Click-bot detection (Turnstile + FingerprintJS), dual-confirmation barter with QR delivery codes, content approval workflow on Premium, and content moderation team for disputes. Fraudulent clicks are not paid.

Can agencies use Tandemio?

Yes. Premium plan includes agency mode with multi-brand workspaces, delegated access, shared budgets, white-label invoicing, and team roles.

Datenschutzerklärung

Zusammenfassung

Verantwortlicher: Signal Core s.r.o. DPO: [email protected]. Wir verkaufen keine Daten.

1. Verantwortlicher

Signal Core s.r.o., Rybná 716/24, 110 00 Prag 1, Tschechische Republik · Reg.-Nr.: 24460354 · USt-IdNr.: CZ24460354

Eingetragen: Stadtgericht in Prag, Abteilung C, Eintrag 198765

DSGVO-Anfragen: [email protected]

2. Datenschutzbeauftragter (DPO)

Wir haben einen Datenschutzbeauftragten ernannt, der für die DSGVO-Compliance verantwortlich ist. Der DPO ist unabhängig und berichtet direkt an die Geschäftsleitung.

Kontakt: [email protected] · postalisch: Signal Core s.r.o., zu Händen des DPO, Rybná 716/24, Prag 1

3. Welche Daten wir verarbeiten

Je nach Nutzertyp und Zweck verarbeiten wir folgende Datenkategorien:

Identifikation und Kontakt

Vor- und Nachname (Creator) / Firmenname (Brand)
E-Mail-Adresse, Telefon (optional)
Anschrift (Rechnungsadresse, Sitz)
Reg.-Nr., USt-IdNr., Bankverbindung (IBAN, BIC)
Steueridentifikationsnummer (TIN) für DAC7

Profildaten

Avatar, Bio, Social-Profile (IG, TikTok, YouTube), Followerzahlen
Content-Kategorien (Lifestyle, Gaming, Fashion etc.)
Referenzen, frühere Ergebnisse

Transaktionsdaten

Kampagnen-, Conversion- und Auszahlungshistorie
Rechnungen, Steuerbelege
Login-Logs, IP-Adresse, User Agent

Tracking und Messung

Cookies (standardmäßig nur funktionale, siehe Cookies)
Click ID, Conversion ID, Fraud Score
IP-Geolokation (Land, Region) — für Reporting und Anti-Fraud, keine genauen Standorte

KYC- und Steuerdaten

Ausweisdokument (Personalausweis / Pass) — über Stripe Identity, wir speichern kein Bild, nur den Verifikationsstatus
Selfie-Biometrie — bei Stripe / Sumsub gespeichert, nicht bei uns
VAT-VIES-Prüfprotokoll

4. Zwecke und Rechtsgrundlagen (DSGVO Art. 6)

Für jede Datenkategorie wissen wir genau warum wir sie verarbeiten und auf welcher Grundlage gemäß DSGVO Art. 6:

Zweck	Rechtsgrundlage	Beispieldaten
Vertragserfüllung	Art. 6(1)(b)	Konto, Rechnungsstellung, Auszahlungen
Gesetzliche Pflicht	Art. 6(1)(c)	DAC7, AML, Steuermeldungen
Berechtigtes Interesse	Art. 6(1)(f)	Anti-Fraud, Security-Logs, Analyse
Einwilligung	Art. 6(1)(a)	Marketing-Newsletter, nicht-essentielle Cookies

Sie können Ihre Einwilligung jederzeit widerrufen (E-Mail, In-App-Einstellungen) ohne Auswirkung auf die Verarbeitung vor dem Widerruf.

5. Empfänger und Auftragsverarbeiter

Wir geben Daten an sorgfältig ausgewählte Auftragsverarbeiter weiter, alle mit DPA gemäß DSGVO Art. 28:

Stripe (Irland/USA) — Zahlungen, KYC; SCC + Angemessenheit für USA
Polygon.io (USA) — Marktdaten; SCC
Cloudflare (USA) — CDN, Anti-DDoS; SCC + ENISA
DigitalOcean (USA/EU-Regionen) — Hosting; SCC, EU-Server in Frankfurt
Sumsub (UK) — KYC-Fallback; UK Adequacy Decision
Twilio / SendGrid (USA) — Transaktions-E-Mails; SCC
Anthropic (USA) — Claude AI für Inhaltsanalyse (optional, nur Metadaten, keine personenbezogenen Daten)
Buchhaltungsfirma (CZ) — Rechnungsstellung, Steuern; Vertragsverhältnis

Die Liste ist öffentlich und wird in Einstellungen → Datenschutz → Subprocessors aktualisiert.

6. Internationale Übermittlungen

Einige Daten gehen außerhalb der EU/EWR (USA — Stripe, Cloudflare, Polygon usw.). Für jede Übermittlung haben wir:

Standard Contractual Clauses (SCC) — Version 2021/914
Data Privacy Framework (DPF) — für zertifizierte Partner (Stripe, Cloudflare)
Zusatzmaßnahmen — Verschlüsselung im Ruhezustand und in der Übertragung (TLS 1.3, AES-256)
TIA (Transfer Impact Assessment) — für jede Nicht-EU-Übermittlung durchgeführt

7. Aufbewahrungsfristen

Kategorie	Aufbewahrung	Begründung
Aktives Konto	Solange das Konto besteht	Vertragserfüllung
Rechnungen, Buchhaltung	10 Jahre	§ 31 tschechisches Buchhaltungsgesetz
DAC7-Reportingdaten	5 Jahre nach letzter Meldung	Internationales Kooperationsgesetz
KYC-Dokumente	5 Jahre nach Beendigung	AML-Gesetz CZ 253/2008
Login-Logs	12 Monate	Sicherheitsaudit
Conversion-Tracking	3 Jahre	Verjährungsfrist für Streitigkeiten
Marketing-Einwilligung	Bis zum Widerruf	Einwilligung

8. Ihre Rechte (DSGVO Art. 15–22)

Sie haben das Recht auf:

Auskunft (Art. 15) — kostenlose Kopie Ihrer Daten; Export über Einstellungen → Datenschutz → Daten herunterladen
Berichtigung (Art. 16) — Korrektur unrichtiger Daten
Löschung / Right to be forgotten (Art. 17) — Löschung der Daten (vorbehaltlich gesetzlicher Aufbewahrungspflichten)
Einschränkung (Art. 18) — Verarbeitung während eines Streits aussetzen
Datenübertragbarkeit (Art. 20) — Daten in strukturiertem, maschinenlesbarem Format exportieren (JSON / CSV)
Widerspruch (Art. 21) — gegen Verarbeitung auf Grundlage berechtigten Interesses
Beschwerde bei Aufsichtsbehörde — tschechische ÚOOÚ, uoou.gov.cz

Wir antworten innerhalb von 30 Tagen ab Antragsstellung. In komplexen Fällen können wir die Frist mit Mitteilung um 60 Tage verlängern.

9. Automatisierte Entscheidungsfindung und Profiling

Wir nutzen automatisierte Entscheidungsfindung nur in begrenztem Umfang:

Anti-Fraud-Scoring — Algorithmus vergibt einen Fraud Score von 0–100. Score ≥ 80 bedeutet automatische Nicht-Autorisierung der Conversion. Sie können menschliche Überprüfung über den Support beantragen
Kampagnen-Empfehlungen — Algorithmus matcht Creators zu Kampagnen basierend auf Audience, Nische, Anti-Fraud-Score. Keine rechtliche Wirkung, kann ignoriert werden

Wir nutzen keine automatisierte Entscheidungsfindung mit rechtlichen Auswirkungen gemäß Art. 22 DSGVO.

10. Kinder und Minderjährige

Tandemio ist nicht für Kinder unter 18 Jahren bestimmt. Bei der Registrierung verifizieren wir das Alter über KYC (Creator) oder Firmen-ID (Brand).

Wenn wir die Registrierung eines Minderjährigen feststellen, schließen wir das Konto und löschen die Daten unverzüglich. Eltern, die feststellen, dass ihr Kind Tandemio nutzt, sollten an [email protected] schreiben.

11. Sicherheit

Wir implementieren technische und organisatorische Maßnahmen gemäß DSGVO Art. 32:

Verschlüsselung im Ruhezustand — AES-256 für Datenbanken und Backups
Verschlüsselung in der Übertragung — TLS 1.3 + HSTS, kein Fallback
Passwort-Hashing — Argon2id (memory-hard)
2FA — optional für Nutzer, verpflichtend für Admins
Rate Limiting + WAF — Cloudflare
Penetration Testing — jährliches externes Audit
ISO 27001 Alignment — nicht zertifiziert, aber Prozesse abgestimmt
Background Checks — für Mitarbeiter mit Zugang zu Produktionsdaten

12. Meldung von Datenschutzverletzungen

Im Falle einer Datenpanne:

Aufsichtsbehörde (CZ ÚOOÚ) innerhalb von 72 Stunden nach Feststellung (DSGVO Art. 33)
Betroffene Nutzer unverzüglich, sofern hohes Risiko besteht (DSGVO Art. 34)
Die Meldung enthält: Art der Verletzung, Kategorien und Anzahl der Betroffenen, wahrscheinliche Folgen, Maßnahmen

Öffentlicher Status: tandemio.app/security (geplant).

13. Änderungen dieser Erklärung

Wir können diese Erklärung ändern. Bei wesentlichen Änderungen (neue Datenkategorien, neue Empfänger) informieren wir Sie mindestens 30 Tage im Voraus per E-Mail.

Die aktuelle Version ist immer auf dieser Seite mit dem Datum der Wirksamkeit. Historische Versionen werden archiviert.

14. Kontakt und Beschwerden

DPO: [email protected] · Allgemein: [email protected]

Postalisch: Signal Core s.r.o., zu Händen des DPO, Rybná 716/24, 110 00 Prag 1

Behörden-Beschwerde: Tschechische Datenschutzbehörde (ÚOOÚ), Pplk. Sochora 27, 170 00 Prag 7, uoou.gov.cz

Notice

Tyto zásady popisují aktuální praxi. Při sporech má přednost česká verze.