Datenschutzerklärung.

01Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

02Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist gemäß § 38 BDSG nicht zu benennen, da die hierfür gesetzlichen Voraussetzungen nicht vorliegen (kein Unternehmen mit ≥ 20 Beschäftigten in der automatisierten Verarbeitung, keine Verarbeitung besonderer Datenkategorien im großen Umfang).

03Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Anwendung sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung der Nutzer oder auf einer der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

Kategorien betroffener Personen: registrierte Nutzerinnen und Nutzer der Anwendung, Interessentinnen und Interessenten, die Feedcraft anonym oder im Rahmen eines Einladungsverfahrens kennenlernen, sowie Besucherinnen und Besucher der Website. Verbraucherdaten (B2C-Geschäfte) verarbeiten wir derzeit nicht.

04Beim Besuch unserer Website

Beim Aufruf von feedcraft.online werden durch unseren Hosting-Anbieter Hostinger automatisch Informationen erfasst, die Ihr Browser an unseren Server übermittelt (sogenannte Server-Logfiles):

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• Inhalt der Anforderung (konkrete Seite)
• Zugriffsstatus / HTTP-Statuscode
• jeweils übertragene Datenmenge
• Website, von der die Anforderung kommt (Referrer)
• Browser, Betriebssystem und dessen Oberfläche, Sprache und Version der Browsersoftware

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb der Website).

Speicherdauer: Logfiles werden für maximal 14 Tage aufbewahrt und anschließend gelöscht. Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.

05Cookies und lokaler Speicher

Wir verwenden ausschließlich technisch notwendige Cookies und Speichermechanismen im Browser, die für den Betrieb der Anwendung zwingend erforderlich sind. Diese benötigen keine Einwilligung nach § 25 Abs. 2 Nr. 2 TTDSG.

5.1 Session-Cookie

Nach erfolgreichem Login setzen wir einen serverseitig signierten Session-Cookie (HttpOnly, Secure, SameSite=Lax). Er dient ausschließlich dazu, Ihre Anmeldung über mehrere Aufrufe hinweg aufrechtzuerhalten, und wird beim Abmelden bzw. nach Ablauf gelöscht.

5.2 Lokaler Speicher (localStorage / sessionStorage)

Im Browser-Speicher Ihres Endgeräts speichern wir Einstellungen und Zustandsdaten, die ein flüssiges Arbeiten in der Anwendung ermöglichen — z. B. die gewählte Sprache, ausgewählte Tabs, ausgeblendete Hinweise, lokal zwischengespeicherte Beitragsentwürfe. Diese Daten verlassen Ihr Endgerät nicht.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich), Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Wir verwenden keine Tracking-Cookies, keine Web-Analyse-Werkzeuge (z. B. Google Analytics) und keine Marketing-Pixel (z. B. Meta-Pixel).

06Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren (z. B. an die im Impressum genannte Adresse), werden die von Ihnen übermittelten Angaben — insbesondere Ihr Name, Ihre E-Mail-Adresse und der Inhalt Ihrer Nachricht — zur Bearbeitung der Anfrage und für eventuelle Anschlussfragen verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anfragen, ansonsten Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effizienten Bearbeitung von Anfragen).
Speicherdauer: bis zu drei Jahre nach Ende der jeweiligen Korrespondenz, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

07Verarbeitung bei der Nutzung des Dienstes

Feedcraft ist ein Marketing-Assistent für kleine und mittelständische Dienstleistungsbetriebe. Zur Bereitstellung des Dienstes verarbeiten wir folgende Datenkategorien:

7.1 Registrierungs- und Anmeldedaten

• Benutzername
• Passwort (gespeichert ausschließlich als Bcrypt-Hash, niemals im Klartext)
• Optional: Vor- und Nachname, E-Mail-Adresse, Anschrift

Zweck: Authentifizierung und Bereitstellung des nutzerspezifischen Bereichs.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.2 Geschäftsprofil

• Firmenname, Branche, Standort
• Markenstimme, Bildsprache, Zielgruppe (Inhalt der „Content-Context"- und „Visual-Context"-Dateien)
• Verbundene Social-Media-Konten

Zweck: Personalisierung der KI-generierten Inhalte und Beitragsvorschläge.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7.3 Inhaltsdaten

• Vom Nutzer hochgeladene Fotos und Videos
• Generierte und vom Nutzer freigegebene Beitragstexte, Captions, Hashtags
• Geplante Veröffentlichungstermine

Zweck: Erstellung, Vorschau, Planung und Veröffentlichung von Social-Media-Beiträgen über die verbundenen Konten des Nutzers.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7.4 Tokens für verbundene Drittkonten

Verbinden Sie Feedcraft mit Ihrem Facebook-, Instagram- oder Canva-Konto, speichern wir die im Rahmen des OAuth-Verfahrens ausgegebenen Access- und Refresh-Tokens verschlüsselt in unserer Datenbank. Wir speichern keine Passwörter dieser Drittdienste.

Zweck: Veröffentlichung von Beiträgen, Abruf von Insights, Öffnen von Designs im jeweiligen Drittdienst.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Sie können die Verbindung jederzeit über die Einstellungen oder direkt im Drittkonto widerrufen.

08Auftragsverarbeiter und eingebundene Dienste

Wir setzen folgende Anbieter ein. Mit allen Anbietern bestehen entsprechende Auftragsverarbeitungsverträge bzw. Datenschutzvereinbarungen.

Hostinger International Ltd.

Hosting und Geschäfts-E-Mail · Sitz: Larnaca, Zypern (EU)

Server-Hosting der Anwendung und der Nutzerdatenbank. Über Hostinger Business Email werden zudem Postfächer unter der feedcraft.online-Domain bereitgestellt; verarbeitet werden hierbei E-Mail-Adressen, Inhalte ein- und ausgehender Nachrichten sowie Zustell-Metadaten.
Datenschutzhinweise: hostinger.de/legal/datenschutz-bestimmungen

Resend Inc.

Transaktionale E-Mail-Zustellung · Sitz: San Francisco, USA · Speicherregion: Irland (EU) · Übermittlung an US-Mutterunternehmen auf Grundlage des EU-US Data Privacy Framework

Versand transaktionaler Systembenachrichtigungen (z. B. Anmelde-Magic-Links, Passwort-Zurücksetzen, Zahlungsbenachrichtigungen, Team-Einladungen). Verarbeitete Daten: E-Mail-Adresse des Empfängers, Inhalt der Nachricht, Zustell-Metadaten. Die Verarbeitung findet in der EU-Region (Irland) statt. Resend, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert; die Übermittlung an das US-Mutterunternehmen erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission vom 10. Juli 2023. Beim Versand werden Klick- und Öffnungs-Tracking nicht eingesetzt (kein Wrappen von Links, keine Tracking-Pixel).
Datenschutzhinweise: resend.com/legal/privacy-policy

Cloudflare, Inc.

Objekt-Speicher (R2) · Speicherregion: EU · Sitz Mutterunternehmen: San Francisco, USA · Übermittlung in Drittland (USA) auf Grundlage des EU-US Data Privacy Framework

Speicherung hochgeladener Bilder und Videos zur dauerhaften Verfügbarkeit. Wir haben die R2-Buckets bewusst so konfiguriert, dass Ihre Inhalte ausschließlich in einer EU-Speicherregion abgelegt werden. Da das Mutterunternehmen Cloudflare, Inc. seinen Sitz in den USA hat und im Rahmen von Wartung und Support theoretisch Zugriff auf die Daten erhalten kann, qualifiziert sich die Verarbeitung weiterhin als Drittlandtransfer im Sinne der DSGVO. Cloudflare, Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert; die Übermittlung erfolgt damit auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission vom 10. Juli 2023. Cloudflare verarbeitet diese Daten ausschließlich in unserem Auftrag.
Datenschutzhinweise: cloudflare.com/privacypolicy

Anthropic, PBC

KI-Verarbeitung (Claude API) · Sitz: San Francisco, USA · Übermittlung in Drittland (USA) auf Grundlage des EU-US Data Privacy Framework

Verarbeitung der von Ihnen freigegebenen Inhalte zur KI-gestützten Generierung von Beitragstexten, Newsletter-Entwürfen und ähnlichen Inhalten. Anthropic ist unter dem EU-US Data Privacy Framework zertifiziert. Anthropic verwendet die über die kommerzielle API übermittelten Daten gemäß den eigenen Commercial Terms of Service nicht zum Training ihrer Modelle.
Datenschutzhinweise: anthropic.com/legal/privacy

Meta Platforms Ireland Limited

Facebook & Instagram Graph API · Sitz Verantwortlicher für EU-Daten: Dublin, Irland (EU) · Übermittlung an Meta Platforms, Inc. (Menlo Park, USA) auf Grundlage des EU-US Data Privacy Framework

Da Feedcraft Beiträge auf Facebook und Instagram veröffentlicht, ist die Verknüpfung mit einem Meta-Konto für die Kernfunktion des Dienstes erforderlich. Über die OAuth-Verbindung Ihres Kontos werden Beiträge veröffentlicht sowie Reichweiten- und Interaktionsdaten zu Ihren eigenen Beiträgen abgerufen. Für EU-Nutzerinnen und Nutzer ist Meta Platforms Ireland Limited der Verantwortliche; die Übermittlung an Meta Platforms, Inc. in den USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission vom 10. Juli 2023 (EU-US Data Privacy Framework), unter dem Meta Platforms, Inc. zertifiziert ist.
Datenschutzhinweise: facebook.com/privacy/policy

Canva Pty Ltd

Canva Connect API · Sitz: Sydney, Australien · Übermittlung in Drittland (Australien, SCC) · optional

Auf Ihren Wunsch verknüpfen wir Feedcraft mit Ihrem Canva-Konto, um Designs auf Basis der von Ihnen hochgeladenen Medien zu erstellen, zu bearbeiten und die fertigen Designs zu exportieren. Diese Integration ist optional; ohne Verbindung findet keine Datenübertragung an Canva statt.
Datenschutzhinweise: canva.com/policies/privacy-policy

Belbo Business Software GmbH

Belbo Office API · Sitz: Berlin, Deutschland (EU) · keine Drittlandübermittlung · optional

Wenn Sie ein bestehendes Belbo-Konto haben, können Sie Feedcraft auf Wunsch damit verknüpfen, um Buchungs- und Auslastungsdaten Ihres Betriebs (z. B. Service-Mix, Mitarbeiterauslastung, Kundenrhythmus) für die Erstellung personalisierter Marketing-Vorschläge auszulesen. Die Verbindung erfolgt ausschließlich nach Ihrer ausdrücklichen Authentifizierung im Belbo-System und kann jederzeit in den Einstellungen getrennt werden. Diese Integration ist optional; ohne Verbindung findet keine Datenübertragung an Belbo statt.
Datenschutzhinweise: belbo.com/datenschutzerklaerung

09Datenübermittlung in Drittländer

Soweit personenbezogene Daten — wie unter Ziffer 8 dargestellt — in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, stützen wir die Übermittlung auf folgende Mechanismen:

• Übermittlungen in die USA an unter dem EU-US Data Privacy Framework (DPF) zertifizierte Empfänger (z. B. Meta Platforms, Inc., Cloudflare, Inc., Anthropic, PBC, Resend, Inc.) erfolgen auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission vom 10. Juli 2023 (Art. 45 DSGVO).
• Übermittlungen in die übrigen Drittländer (insbesondere Australien im Fall von Canva) erfolgen auf Grundlage der von der EU-Kommission erlassenen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Mit allen genannten Anbietern bestehen entsprechende Auftragsverarbeitungsverträge.

10Speicherdauer

Wir verarbeiten personenbezogene Daten nur so lange, wie dies für die Erfüllung der jeweiligen Zwecke erforderlich ist:

• Account-Daten (Anmelde-, Profil- und Inhaltsdaten): bis zur Kündigung des Nutzerkontos. Eine Konto-Löschung erfolgt nach einer 14-tägigen Bedenkzeit, in der die Löschung widerrufen werden kann. Nach Ablauf dieser Frist ist die Löschung endgültig und unwiderruflich.
• OAuth-Tokens: bis zur Trennung der jeweiligen Verbindung oder zum Ablauf des Tokens.
• Server-Logfiles: maximal 14 Tage.
• E-Mail-Korrespondenz mit dem Support: bis zu drei Jahre nach Ende des letzten Kontakts.
• Audit-Protokolle (Datum, IP-Adresse, E-Mail-Snapshot zum Zeitpunkt der Aktion): 3 Jahre nach Konto-Löschung zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Diese Daten werden nicht für andere Zwecke verwendet.
• Rechnungsdaten (über Paddle.com Market Ltd. als Merchant of Record): 10 Jahre gemäß §147 AO (Abgabenordnung). Diese gesetzliche Aufbewahrungspflicht gilt auch nach Konto-Löschung und kann nicht widerrufen werden.

11Ihre Rechte als betroffene Person

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO) — als Self-Service über die Schaltfläche Meine Daten herunterladen in den Einstellungen abrufbar. Sie erhalten eine ZIP-Datei mit Ihren Stammdaten, Posts, Aktivitäts- und Audit-Historie.
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO) — über die Schaltfläche Konto löschen in den Einstellungen. Nach 14-tägiger Bedenkzeit erfolgt die endgültige Anonymisierung. Die Löschung Ihres Kontos entfernt auch sämtliche Daten, die Feedcraft aus Ihren verbundenen Facebook- und Instagram-Konten verarbeitet hat (Seiten-Zugriffstoken sowie Profil-, Beitrags- und Kommentardaten).
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — die Self-Service-Auskunft im JSON-Format erfüllt zugleich dieses Recht.
• Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft
• Recht auf Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO bzw. Art. 49 revDSG für Schweizer Nutzer)

Zur Ausübung dieser Rechte genügt eine formlose E-Mail an hallo@feedcraft.online.

Hinweis zu Art. 15 Abs. 4 DSGVO: Die Auskunft umfasst die von Ihnen eingegebenen Daten und die daraus erstellten Inhalte (Posts, Schedule, Aktivitäten). Interne, durch unsere Software automatisiert erzeugte Verarbeitungsergebnisse sind nicht enthalten, da diese geschützte Geschäfts- und Betriebsgeheimnisse von Feedcraft darstellen und unter den Schutz der Rechte und Freiheiten anderer fallen.

12Datensicherheit

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Ihre Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung sowie unbefugte Offenlegung oder unbefugten Zugriff zu schützen. Hierzu zählen u. a. eine TLS-verschlüsselte Übertragung sämtlicher Daten zwischen Browser und Server, das Speichern von Passwörtern ausschließlich als Bcrypt-Hash, restriktiv vergebene Server-Zugriffsrechte sowie regelmäßige Sicherheitsupdates der eingesetzten Komponenten.

13Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand April 2026. Durch die Weiterentwicklung unserer Anwendung oder aufgrund geänderter gesetzlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf dieser Seite abgerufen werden.