← Zurück

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Dalakakis & Qureshi GbR — vollständige Adresse siehe Impressum. Kontakt für Datenschutz-Anfragen: dalakakisqureshigbr@gmail.com.

2. Welche Daten wir verarbeiten

  • Account-Daten: E-Mail, Name (optional), Passwort-Hash (bcrypt)
  • Workspace-Daten: Workspace-Name, verbundene Plattformen, Posts, Medien, Hashtag-Sets, Templates, Team-Mitglieder
  • OAuth-Tokens der verbundenen Plattformen (verschlüsselt mit AES-256-GCM at-rest)
  • Inhalte aus verbundenen Konten: Direktnachrichten, Kommentare, Postdaten, Profil-Metadaten — siehe Abschnitt 4 für Details
  • Zahlungsdaten: ausschließlich bei Stripe, Inc. (USA) — wir speichern nur Stripe-Customer-ID und Subscription-Status
  • Server-Logs: IP-Adresse, User-Agent, Zeitstempel — gelöscht nach 30 Tagen

3. Hosting

Die App wird ausschließlich auf Servern der Hetzner Online GmbH in Deutschland (Nürnberg) gehostet. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit Hetzner besteht. Alle Daten verlassen den EU/EWR-Raum nicht, außer für die in Abschnitt 4 genannten Drittanbieter.

4. Verarbeitung von Meta-Plattform-Daten (Facebook & Instagram)

Wenn du dein Instagram- oder Facebook-Konto verbindest, verarbeiten wir folgende Daten gemäß Metas Platform Terms und der DSGVO:

  • Profil-Metadaten: Account-ID, Username, mit der Facebook-Page verknüpfte Instagram-Business-ID
  • OAuth-Token: langlebiger Page-Access-Token, verschlüsselt gespeichert (AES-256-GCM)
  • Direktnachrichten: Inhalte und Metadaten aller DMs an deine Page/Insta-Business-Accounts werden via Webhook empfangen und in unserer Datenbank gespeichert, damit du sie in der Inbox lesen und beantworten kannst
  • Kommentare und Mentions: öffentliche Kommentare und Erwähnungen auf deinen Posts werden via Webhook empfangen und gespeichert
  • Posts/Reels: die Inhalte die du in unserer App planst, werden zum geplanten Zeitpunkt an Meta zur Veröffentlichung übermittelt

Speicherdauer: Nachrichten, Kommentare und Posts werden gespeichert solange dein Account aktiv ist. Bei Trennung der Plattform werden zugehörige OAuth-Tokens sofort gelöscht; Conversation-Historie bleibt für deine Referenz erhalten und kann manuell gelöscht werden. Bei Account-Löschung (siehe Abschnitt 7) werden alle Daten innerhalb von 30 Tagen vollständig gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der Cross-Posting- und Inbox-Funktionalität, die du gebucht hast).

5. Weitere Drittanbieter

  • LinkedIn (Microsoft Ireland Operations Ltd.) — bei verbundenem LinkedIn-Konto: Profil-ID, OAuth-Token, übermittelte Posts
  • TikTok / Google (YouTube) / X / Pinterest — analog bei Verbindung der jeweiligen Plattform; nur OAuth-Token + Account-ID + die von dir veröffentlichten Inhalte
  • Stripe, Inc. (USA) — Zahlungsabwicklung; übertragen werden E-Mail, Name, Zahlungsmittel; Standardvertragsklauseln nach Art. 46 DSGVO
  • Anthropic, PBC (USA) — KI-Caption- und Hashtag-Generierung; wird nur aufgerufen wenn du AI-Features aktiv nutzt; übermittelt werden nur die von dir eingegebenen Texte/Bild-Prompts; Standardvertragsklauseln
  • OpenAI OpCo, LLC (USA) — KI-Bildgenerierung (DALL-E); analog, nur bei aktiver Nutzung; Standardvertragsklauseln

6. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies:

  • Session-Cookie (Login)
  • Sprach-Präferenz (DE/EN)
  • Theme-Präferenz (Dark/Light)
  • Pending-2FA-Cookie (5 Min. TTL)

Keine Tracking-Cookies, keine Werbe-Cookies, keine Drittanbieter-Cookies. Damit entfällt die Cookie-Banner-Pflicht.

7. Deine Rechte (Art. 15-21 DSGVO)

  • Auskunft über alle gespeicherten Daten
  • Berichtigung falscher Daten
  • Löschung („Recht auf Vergessenwerden")
  • Datenübertragbarkeit (Export im JSON-Format)
  • Widerspruch gegen Verarbeitung
  • Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde

Datenexport: in der App unter Einstellungen → Daten exportieren oder per HTTP-GET auf /api/export.

Account- und Daten-Löschung: siehe Anleitung zur Datenlöschung.

8. Sicherheit

  • HTTPS (TLS 1.3) für alle Verbindungen
  • OAuth-Tokens AES-256-GCM verschlüsselt at-rest
  • Passwörter mit bcrypt gehasht (12 Rounds)
  • Optionale Zwei-Faktor-Authentifizierung (TOTP)
  • HMAC-Signaturen für Meta-Webhook-Verifizierung
  • Daily-Backups, in Deutschland gespeichert

9. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn neue Funktionen oder geänderte gesetzliche Anforderungen es erfordern. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.