Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 / 14 DSGVO. Version 1.3 · Stand: 28. Juni 2026.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Aufwind Rosebrock & Runnebaum GbR
Harburger Str. 23
27356 Rotenburg
E-Mail: moin@mein-aufwind.de

Ein Datenschutzbeauftragter ist nicht bestellt; eine Bestellpflicht besteht für uns derzeit nicht (Art. 37 DSGVO, § 38 BDSG).

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Anwendung sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO) oder zur Erfüllung eines Vertrags, dessen Vertragspartei der Nutzer ist (Art. 6 Abs. 1 lit. b DSGVO).

3. Bereitstellung der Anwendung

Bei der Nutzung der Anwendung verarbeiten wir folgende Daten, soweit technisch erforderlich:

  • IP-Adresse des anfragenden Endgeräts
  • Datum und Uhrzeit des Zugriffs
  • Browser-Typ und verwendete Version
  • Betriebssystem des Nutzers
  • Übertragene Datenmenge und Status der Anfrage

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung und Sicherheit der Anwendung).

4. Nutzerkonto und Authentifizierung

Zur Nutzung der Anwendung legen Sie ein Nutzerkonto an. Hierbei verarbeiten wir Ihren Namen, Ihre E-Mail-Adresse und ein verschlüsselt gespeichertes Passwort. Bei der Registrierung speichern wir zudem die von Ihnen erteilte Zustimmung zu AGB und Datenschutzerklärung (Version und Zeitstempel) zum Nachweis gemäß Art. 7 Abs. 1 DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags). Die Authentifizierung wird über unseren Auftragsverarbeiter Supabase realisiert.

5. Verarbeitung von Inhaltsdaten

Im Rahmen der Anwendung erstellen Sie Projekte, Kampagnen, Aufgaben, Kontakte und weitere Inhalte. Diese Daten werden ausschließlich zur Bereitstellung der Anwendung verarbeitet und in einer EU-gehosteten Datenbank gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

6. Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein. Mit jedem Anbieter besteht ein Auftragsverarbeitungs-Vertrag. Soweit Anbieter ihren Sitz in den USA haben bzw. dort ein Mutterunternehmen besteht, erfolgt die Übermittlung auf Grundlage der in Abschnitt 12 genannten Garantien.

  • Supabase Inc. (USA, Hosting in der EU) – Datenbank, Authentifizierung und Datei-Speicher. Die Daten werden in der EU gehostet; ein Zugriff durch das US-Mutterunternehmen ist nicht vollständig auszuschließen (Standardvertragsklauseln).
  • Vercel Inc. (USA) – Hosting der Anwendung und Ausführung geplanter Aufgaben (Edge-Region EU/Frankfurt; Standardvertragsklauseln).
  • Resend (Plus Five Five, Inc.) (USA) – Versand von Kontaktformular-Nachrichten und transaktionaler E-Mails (z. B. Signatur-Einladungen, Benachrichtigungen) sowie ggf. Verwaltung einer Warteliste. Übermittelt werden E-Mail-Adresse, Name und E-Mail-Inhalt. Siehe Abschnitt 8.
  • Groq, Inc. (USA) – KI-gestützte Verarbeitung (Large Language Model) für Hilfsfunktionen. Siehe Abschnitt 7.
  • Upstash, Inc. (QStash) – zeitlich geplante Ausführung von Aufgaben (z. B. terminierte Veröffentlichung von Social-Media-Beiträgen). Übermittelt werden ausschließlich interne Datensatz-IDs und Zeitstempel, keine Inhaltsdaten.
  • Sentry – Fehler- und Performance-Monitoring zur Sicherstellung eines stabilen, sicheren Betriebs. Die Verarbeitung erfolgt in der EU-Region (Frankfurt). Übermittelt werden Fehlermeldungen und technische Kontextdaten (z. B. Route, Browser, Zeitpunkt); IP-Adresse, Header und Nutzerdaten werden nicht standardmäßig übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit).

7. KI-gestützte Funktionen (Groq)

mpilot bietet optionale KI-gestützte Hilfsfunktionen, die über die Schnittstelle von Groq, Inc. (USA) realisiert werden. Eine Verarbeitung findet ausschließlich statt, wenn Sie die jeweilige Funktion aktiv nutzen:

  • Vertrags-/Dokumenten-Extraktion — zur automatischen Erkennung von Vertragsdaten wird der Textinhalt des hochgeladenen Dokuments an Groq übermittelt. Dieser kann personenbezogene Daten enthalten.
  • Textvorschläge für Social Media — die von Ihnen eingegebenen Prompts bzw. Beitragsinhalte werden zur Generierung von Vorschlägen an Groq übermittelt.

Speicherort der Verarbeitung sind Server in den USA. Nach Angaben des Anbieters werden über die Programmierschnittstelle (API) übermittelte Inhalte nicht zum Training der Modelle verwendet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO sowie Art. 49 Abs. 1 lit. a DSGVO für die Drittland-Übermittlung. Bitte geben Sie keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) in KI-Funktionen ein.

8. Kontaktformular, transaktionale E-Mails & Warteliste (Resend)

Wenn Sie unser Kontaktformular nutzen, verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, Betreff und Nachricht), um Ihre Anfrage zu bearbeiten und zu beantworten. Der Versand an unser Postfach erfolgt über unseren Auftragsverarbeiter Resend. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage). Die Daten werden gelöscht, sobald Ihre Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Für den Versand sonstiger E-Mails (z. B. Einladungen zur Vertragssignatur, Bestätigungen, Benachrichtigungen) nutzen wir denselben Dienst Resend. Übermittelt werden die Empfänger-E-Mail-Adresse, der Name sowie der E-Mail-Inhalt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO.

Sofern Sie sich über ein Warteliste-/Interessentenformular eintragen, speichern wir Ihre E-Mail-Adresse in einer bei Resend geführten Kontaktliste, um Sie über den Start zu informieren. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie jederzeit mit Wirkung für die Zukunft widerrufen können.

9. Meta-Integration (Facebook & Instagram)

Wenn Sie über die Verknüpfungs-Einstellungen Ihren Facebook- oder Instagram-Account verbinden, verarbeiten wir personenbezogene Daten, die Meta uns über die offizielle Graph-API zur Verfügung stellt. Anbieter ist Meta Platforms Ireland Ltd., Merrion Road, Dublin 4, Irland. Eine Übermittlung in die USA kann nicht ausgeschlossen werden; Meta hat sich dem EU-US Data Privacy Framework unterworfen.

Verarbeitete Daten:

  • Meta User-ID, Name, E-Mail-Adresse und Profilbild (zur Identifikation der Verknüpfung)
  • Facebook-Page-Daten: ID, Name, Kategorie, Profilbild, Page-Token
  • Instagram-Business-Account-Daten: Username, Profilbild, Verknüpfung zur Facebook-Page
  • Werbekonto-Daten (Ad Account ID, Name, Währung) — nur sofern Sie die Ads-Berechtigung erteilt haben
  • Über die API abgerufene Inhalte: Beiträge, Insights, Kommentare, Direktnachrichten (nur bei aktiver Nutzung der entsprechenden Funktion)

Angeforderte Berechtigungen (Scopes) und ihre Zwecke:

  • instagram_basic, pages_show_list — Anzeige der verknüpften Konten in mpilot
  • instagram_content_publish, pages_manage_posts — Planen und Veröffentlichen von Beiträgen
  • instagram_manage_insights, pages_read_engagement — Abruf von Reichweiten- und Performance-Daten
  • instagram_manage_comments, instagram_manage_messages, pages_messaging — Anzeige und Beantwortung von Kommentaren und Direktnachrichten in der Inbox
  • pages_manage_metadata, pages_read_user_content, pages_manage_engagement, business_management — Verwaltung Ihrer verknüpften Seiten und Business-Konten
  • ads_management, ads_read — Anlegen von Werbekampagnen-Entwürfen. Sämtliche über mpilot erzeugten Kampagnen werden ausschließlich im Status PAUSIERT angelegt; eine automatische Aktivierung erfolgt nicht.

Speicherort: Supabase, EU/Frankfurt. Sämtliche Zugriffstoken werden vor der Speicherung mit AES-256-GCM verschlüsselt; siehe Abschnitt 16.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Verknüpfung) sowie Art. 49 Abs. 1 lit. a DSGVO für die ggf. erfolgende Drittland-Übermittlung. Sie können die Einwilligung jederzeit widerrufen — entweder über Einstellungen → Verknüpfungen → Trennen in mpilot, oder über die Facebook-/Instagram-Kontoeinstellungen unter Apps und Websites.

10. Datenlöschung bei Meta-Verknüpfungen

Entfernen Sie mpilot in Ihren Facebook- oder Instagram-Einstellungen, sendet Meta automatisch eine signierte Löschanfrage an unseren Endpunkt https://workspace.mpilot.app/api/auth/meta/deletion. Wir validieren die Signatur per HMAC-SHA256 mit unserem App-Secret und löschen anschließend sämtliche zu Ihrer Meta-User-ID gespeicherten Verknüpfungs-Einträge aus unserer Datenbank.

Im Anschluss erhalten Sie von Meta einen Bestätigungscode samt URL, über die Sie den Löschstatus jederzeit einsehen können. Alternativ können Sie die Löschung auch unmittelbar in mpilot über Einstellungen → Verknüpfungen → Trennen auslösen.

11. Google-Integration (Analytics, Search Console & Google Ads)

Wenn Sie eine Google-Integration verbinden, werden über die Google-API personenbezogene Daten (Account-E-Mail, Zugriffs- und Refresh-Token) verarbeitet. Anbieter ist Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Eine Übermittlung in die USA kann nicht ausgeschlossen werden; Google hat sich dem EU-US Data Privacy Framework unterworfen.

Angeforderte Berechtigungen (Scopes) und ihre Zwecke:

  • openid, email, profile — Identifikation des verknüpften Google-Accounts
  • https://www.googleapis.com/auth/analytics.readonly — ausschließlich lesender Zugriff auf die GA4-Reports der von Ihnen ausgewählten Property (Sitzungen, Conversions, Endgeräte, Traffic-Quellen, Top-Pages, Geo-Daten)
  • https://www.googleapis.com/auth/webmasters.readonly — ausschließlich lesender Zugriff auf Search-Console-Daten der von Ihnen ausgewählten Property (Impressionen, Klicks, Positionen)
  • https://www.googleapis.com/auth/adwords — Anlegen pausierter Werbekampagnen-Entwürfe in Google Ads sowie Abruf von Kampagnen-Kennzahlen. Übermittelt werden Kampagnenname, Budget, Keywords, Anzeigentexte und Ziel-URL. Eine Aktivierung von Budgets erfolgt nicht automatisch.

Mit Ausnahme des Anlegens pausierter Anzeigen-Entwürfe nehmen wir keine Schreiboperationen vor. Ein Refresh-Token wird zwingend angefordert und gemeinsam mit dem Access-Token verschlüsselt gespeichert (siehe Abschnitt 16).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie Art. 49 Abs. 1 lit. a DSGVO für die Drittland-Übermittlung. Sie können die Einwilligung jederzeit durch Trennen des Kontos in Einstellungen → Verknüpfungen oder im Google-Konto unter Sicherheit → Drittanbieter-Apps widerrufen.

12. Internationale Datenübermittlung

Einige der eingesetzten Dienste verarbeiten Daten in den USA oder können dort ein Mutterunternehmen haben. Eine Übermittlung erfolgt nur auf Grundlage geeigneter Garantien nach Kapitel V DSGVO:

  • EU-US Data Privacy Framework — Google und Meta sind unter dem DPF zertifiziert.
  • Standardvertragsklauseln (SCC) — für Anbieter ohne DPF-Zertifizierung (u. a. Supabase, Vercel, Resend, Groq, Upstash), ergänzt um technische Maßnahmen wie Verschlüsselung.

Wir weisen darauf hin, dass bei Übermittlungen in die USA trotz dieser Garantien ein Restrisiko des Zugriffs durch US-Behörden nicht vollständig ausgeschlossen werden kann.

13. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck ihrer Verarbeitung entfällt — spätestens jedoch nach Löschung des Nutzerkontos, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (insbesondere § 257 HGB, § 147 AO).

14. Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft über Ihre verarbeiteten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Anfragen richten Sie bitte an moin@mein-aufwind.de.

15. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Zuständig ist für uns die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover.

16. Datensicherheit

Die Übertragung erfolgt ausschließlich verschlüsselt über TLS. Wir treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit Ihrer Daten gemäß Art. 32 DSGVO zu gewährleisten.

Zugriffs-, User- und Refresh-Token sämtlicher verbundener OAuth-Provider (Meta, Google) werden vor der Speicherung mit AES-256-GCM verschlüsselt. Der hierfür verwendete symmetrische Schlüssel liegt ausschließlich serverseitig und wird nicht an Frontend-Clients ausgegeben.

Zusätzlich sind in unserer Datenbank Spalten, die hochsensible Tokens enthalten, durch spaltengebundene Berechtigungen so abgesichert, dass authentifizierte Frontend-Clients keinen Lesezugriff erhalten. Lesende Operationen auf diese Tokens erfolgen ausschließlich aus serverseitigen Routen mit Service-Role-Berechtigung.

Hinweis zur Beta-Phase: Während der Beta wird keine garantierte Datensicherung (Backup) vorgehalten. Bitte sichern Sie wichtige Daten regelmäßig selbst; Einzelheiten regelt § 12 der AGB.

17. Cookies & lokale Speicherung

Wir verwenden Cookies und vergleichbare Technologien (insbesondere localStorage) in drei Kategorien, die Sie über unseren Cookie-Banner einzeln steuern können:

  • Notwendig — technisch erforderlich für den Betrieb der Anwendung. Hierzu zählen aktuell: Authentifizierungs-Cookies von Supabase, Theme-Einstellung (Hell/Dunkel), Sidebar-Zustand, Ansicht-Voreinstellungen (Liste/Kacheln). Diese sind nicht abwählbar, da die Anwendung sonst nicht funktionsfähig ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie § 25 Abs. 2 TTDSG.
  • Analyse — werden gesetzt, um die Nutzung der Plattform anonymisiert auszuwerten. Aktuell sind keine Analyse- Werkzeuge aktiv; Ihre Einwilligung wird vorsorglich erfasst, damit Sie bei einer späteren Aktivierung nicht erneut zustimmen müssen.
  • Marketing — werden gesetzt für Personalisierung und Reichweitenmessung von Werbeanzeigen. Aktuell sind keine Marketing-Tracker aktiv; Ihre Einwilligung wird vorsorglich erfasst.

Ihre Auswahl wird im Browser unter mpilot-cookie-consent gespeichert und gilt bis zum Widerruf. Sie können Ihre Einstellungen jederzeit über den "Cookie-Einstellungen"-Link im Footer ändern.

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen umsetzt. Für einen erneuten Besuch gilt jeweils die aktuelle Fassung.