Zum Inhalt springen

Datenschutzerklärung

Informationen zur Verarbeitung Ihrer personenbezogenen Daten

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen und unseren Dienst Impulio nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Abschnitt „Verantwortlicher“ in dieser Datenschutzerklärung entnehmen.

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie bei der Registrierung, beim Verknüpfen Ihrer Social-Media-Konten oder bei Nutzung unserer KI-Funktionen eingeben.

Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie diese Website betreten.

Wofür nutzen wir Ihre Daten?

Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden. Der Hauptzweck der Datenverarbeitung ist die Bereitstellung unseres Content-Planungs-Dienstes, einschließlich:

  • Erstellung und Planung von Social-Media-Inhalten
  • KI-gestützte Content-Generierung und -Optimierung
  • Veröffentlichung auf verknüpften Social-Media-Plattformen
  • Analyse Ihrer Social-Media-Performance

Welche Rechte haben Sie bezüglich Ihrer Daten?

Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Wenn Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese Einwilligung jederzeit für die Zukunft widerrufen. Außerdem haben Sie das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.

2. Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf dieser Website ist:

Artem Stepin

Stepin.Team (Einzelunternehmer)

Emsdettener Str. 10

c/o Postflex #5778

48268 Greven

Deutschland

Telefon: +49 (0) 421 1 67 68 00

E-Mail: datenschutz@impulio.app

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z. B. Namen, E-Mail-Adressen o. Ä.) entscheidet.

3. Hosting

Wir hosten die Inhalte unserer Website bei folgendem Anbieter:

IP-Projects

Anbieter ist die IP-Projects GmbH & Co. KG, Nürnberger Str. 75a, 91052 Erlangen, Deutschland (nachfolgend „IP-Projects“).

Wenn Sie unsere Website besuchen, erfasst IP-Projects verschiedene Logfiles inklusive Ihrer IP-Adressen. Details entnehmen Sie der Datenschutzerklärung von IP-Projects: https://www.ip-projects.de/de/datenschutz

Die Verwendung von IP-Projects erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer möglichst zuverlässigen Darstellung unserer Website. Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung ist jederzeit widerrufbar.

Serverstandort: Deutschland

Hetzner Object Storage

Für die Speicherung von Video-Medien nutzen wir den Object Storage (S3-kompatibel) der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland (nachfolgend „Hetzner“).

Die Verwendung von Hetzner Object Storage erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Speicherung von Medien ist erforderlich, um Ihnen die Funktionen unseres Dienstes zur Verfügung zu stellen.

Serverstandort: Deutschland (EU), keine Drittlandübermittlung

Datenschutz: https://www.hetzner.com/de/legal/privacy-policy/

Auftragsverarbeitung

Wir haben Verträge über Auftragsverarbeitung (AVV) zur Nutzung der oben genannten Dienste geschlossen. Hierbei handelt es sich um datenschutzrechtlich vorgeschriebene Verträge, die gewährleisten, dass diese die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeiten.

4. Ihre Rechte

Widerruf Ihrer Einwilligung zur Datenverarbeitung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen (Art. 21 DSGVO)

WENN DIE DATENVERARBEITUNG AUF GRUNDLAGE VON ART. 6 ABS. 1 LIT. E ODER F DSGVO ERFOLGT, HABEN SIE JEDERZEIT DAS RECHT, AUS GRÜNDEN, DIE SICH AUS IHRER BESONDEREN SITUATION ERGEBEN, GEGEN DIE VERARBEITUNG IHRER PERSONENBEZOGENEN DATEN WIDERSPRUCH EINZULEGEN. DIE JEWEILIGE RECHTSGRUNDLAGE, AUF DER EINE VERARBEITUNG BERUHT, ENTNEHMEN SIE DIESER DATENSCHUTZERKLÄRUNG. WENN SIE WIDERSPRUCH EINLEGEN, WERDEN WIR IHRE BETROFFENEN PERSONENBEZOGENEN DATEN NICHT MEHR VERARBEITEN, ES SEI DENN, WIR KÖNNEN ZWINGENDE SCHUTZWÜRDIGE GRÜNDE FÜR DIE VERARBEITUNG NACHWEISEN, DIE IHRE INTERESSEN, RECHTE UND FREIHEITEN ÜBERWIEGEN ODER DIE VERARBEITUNG DIENT DER GELTENDMACHUNG, AUSÜBUNG ODER VERTEIDIGUNG VON RECHTSANSPRÜCHEN (WIDERSPRUCH NACH ART. 21 ABS. 1 DSGVO).

Beschwerderecht bei der zuständigen Aufsichtsbehörde

Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde zu. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.

Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Kavalleriestr. 2-4

40213 Düsseldorf

www.ldi.nrw.de

Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.

Auskunft, Berichtigung und Löschung

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit an uns wenden.

Löschverfahren (Art. 17 DSGVO): Sie können die Löschung Ihres Kontos und aller damit verbundenen Daten jederzeit über Ihre Kontoeinstellungen oder per E-Mail an datenschutz@impulio.app beantragen. Wir bearbeiten Löschanfragen innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO). Die Löschung wird unmittelbar nach Ihrer Bestätigung eingeleitet und ist endgültig; eine Wiederherstellung des Kontos oder ein nachträglicher Datenexport ist danach nicht mehr möglich. Vor der Löschung können Sie Ihre Daten über die Kontoeinstellungen exportieren. Rechnungsdaten werden aufgrund gesetzlicher Aufbewahrungspflichten (§ 147 AO) für 10 Jahre aufbewahrt.

Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Hierzu können Sie sich jederzeit an uns wenden. Das Recht auf Einschränkung der Verarbeitung besteht in folgenden Fällen:

  • Wenn Sie die Richtigkeit Ihrer bei uns gespeicherten personenbezogenen Daten bestreiten, benötigen wir in der Regel Zeit, um dies zu überprüfen. Für die Dauer der Prüfung haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
  • Wenn die Verarbeitung Ihrer personenbezogenen Daten unrechtmäßig geschah/geschieht, können Sie statt der Löschung die Einschränkung der Datenverarbeitung verlangen.
  • Wenn wir Ihre personenbezogenen Daten nicht mehr benötigen, Sie sie jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigen, haben Sie das Recht, statt der Löschung die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
  • Wenn Sie einen Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben, muss eine Abwägung zwischen Ihren und unseren Interessen vorgenommen werden. Solange noch nicht feststeht, wessen Interessen überwiegen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Es findet keine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Die in Impulio integrierten KI-Funktionen sind ausschließlich Unterstützungstools zur Content-Erstellung. Die endgültige Entscheidung über die Veröffentlichung von Inhalten liegt stets beim Nutzer.

SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Bestellungen oder Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

5. Datenerfassung auf dieser Website

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner Website – hierzu müssen die Server-Log-Files erfasst werden.

Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO).

Die von Ihnen im Kontaktformular eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.

Spam-Schutz

Zum Schutz vor automatisierten Spam-Eingaben verwenden wir eine selbst entwickelte, serverseitige Lösung. Diese umfasst:

  • Zeitbasierte Token-Validierung (Mindestzeit zwischen Formularaufruf und Absendung)
  • Honeypot-Felder (versteckte Felder, die nur von Bots ausgefüllt werden)
  • IP-basiertes Rate-Limiting

Diese Lösung ist vollständig auf unseren eigenen Servern in Deutschland gehostet. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr von Spam und Missbrauch).

Cookies

Unsere Website verwendet Cookies. Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Wir verwenden ausschließlich technisch notwendige Cookies für:

  • Session-Management (Authentifizierung)
  • Sicherheits-Token (CSRF-Schutz)
  • Benutzereinstellungen (z. B. Sprachauswahl)

Diese Cookies sind für den Betrieb der Website technisch erforderlich und werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gesetzt. Sie haben ein berechtigtes Interesse an der Speicherung von technisch notwendigen Cookies zur technisch fehlerfreien und optimierten Bereitstellung unserer Dienste.

Local Storage und Session Storage

Neben Cookies nutzt die Web-App den Local Storage und den Session Storage Ihres Browsers. Dort speichern wir ausschließlich Angaben, die für die von Ihnen genutzten Funktionen erforderlich sind:

  • Anmeldestatus und ein Zwischenspeicher Ihrer Profildaten (Local Storage), damit Sie angemeldet bleiben und die App schneller lädt
  • Ihre E-Mail-Adresse während der Anmeldung per Einmalcode (Session Storage; wird nach Abschluss der Anmeldung gelöscht)
  • Darstellungs-Einstellungen wie Farbschema, Schriftgröße und ausgeblendete Hinweise
  • ein Zähler für den Hinweis zur App-Installation, damit dieser nicht wiederholt eingeblendet wird

Local-Storage-Einträge bleiben gespeichert, bis Sie sich abmelden oder sie über Ihren Browser löschen; Session-Storage-Einträge werden mit dem Schließen des Browser-Tabs entfernt. Die Speicherung auf Ihrem Endgerät ist für diese ausdrücklich von Ihnen gewünschten Funktionen unbedingt erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG); die Verarbeitung personenbezogener Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b und lit. f DSGVO.

6. Benutzerkonto und Authentifizierung

Registrierung

Sie können sich auf unserer Website registrieren, um zusätzliche Funktionen auf der Seite zu nutzen. Die dazu eingegebenen Daten verwenden wir nur zum Zwecke der Nutzung des jeweiligen Angebotes oder Dienstes, für das Sie sich registriert haben. Die bei der Registrierung abgefragten Pflichtangaben müssen vollständig angegeben werden. Anderenfalls werden wir die Registrierung ablehnen.

Bei der Registrierung erfassen wir:

  • Vor- und Nachname
  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert)
  • Zeitpunkt der Registrierung

Die Nutzung von Impulio ist erst ab Vollendung des 16. Lebensjahres gestattet (Art. 8 DSGVO i.V.m. § 7 TDDDG).

Für wichtige Änderungen, etwa beim Angebotsumfang oder bei technisch notwendigen Änderungen, nutzen wir die bei der Registrierung angegebene E-Mail-Adresse, um Sie auf diesem Wege zu informieren.

Die Verarbeitung der bei der Registrierung eingegebenen Daten erfolgt zum Zwecke der Durchführung des durch die Registrierung begründeten Nutzungsverhältnisses und ggf. zur Anbahnung weiterer Verträge (Art. 6 Abs. 1 lit. b DSGVO).

Zwei-Faktor-Authentifizierung (2FA)

Wir bieten die Möglichkeit, Ihr Konto mit einer Zwei-Faktor-Authentifizierung zu schützen. Dabei werden folgende Methoden unterstützt:

  • TOTP (Time-based One-Time Password): Generierung zeitbasierter Einmalcodes über Authenticator-Apps. Das TOTP-Secret wird verschlüsselt auf unseren Servern gespeichert.
  • WebAuthn / Passkeys: Passwortlose Authentifizierung über biometrische Verfahren oder Hardware-Sicherheitsschlüssel. Es werden nur öffentliche Schlüssel gespeichert.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit Ihrer Daten).

Sitzungsverwaltung und Standortbestimmung

Um Ihnen in den Sicherheitseinstellungen einen Überblick über aktive Sitzungen zu geben (z. B. "Berlin, Deutschland"), ermitteln wir den ungefähren Standort der bei der Anmeldung verwendeten IP-Adresse. Die Auflösung erfolgt ausschließlich über eine lokale GeoIP-Datenbank auf unseren Servern in Deutschland; die IP-Adresse wird dabei nicht an externe Dienste übermittelt.

Übermittelte Daten: Keine – die IP-Adresse verlässt unsere Server nicht. Das Ergebnis (Stadt/Land) wird für 30 Tage zwischengespeichert, um wiederholte Auflösungen zu vermeiden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit Ihres Kontos und der Erkennung unautorisierter Zugriffe).

Anmeldung über Social-Login-Anbieter

Neben der klassischen Registrierung mit E-Mail und Passwort bieten wir die Möglichkeit, sich über Social-Login-Anbieter (Google Sign-In und Apple Sign-In) bei Impulio anzumelden oder zu registrieren. Dabei werden Daten aus Ihrem bestehenden Konto beim jeweiligen Anbieter übermittelt, um ein Impulio-Konto zu erstellen oder sich zu authentifizieren.

Google Sign-In

Anbieter: Google LLC (Alphabet Inc.), 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Zweck: Kontoerstellung und Authentifizierung

Daten: E-Mail-Adresse, Name, Profilbild (aus Ihrem Google-Konto)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – erforderlich zur Bereitstellung des Dienstes)

Drittlandübermittlung: USA; EU-US Data Privacy Framework (DPF)

Datenschutz: Google Datenschutzerklärung

Apple Sign-In

Anbieter: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA

Zweck: Kontoerstellung und Authentifizierung

Daten: E-Mail-Adresse, Name (aus Ihrer Apple-ID). Apple bietet die Option, Ihre E-Mail-Adresse über Apple Private Relay zu verbergen; in diesem Fall wird eine von Apple generierte Weiterleitungsadresse übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – erforderlich zur Bereitstellung des Dienstes)

Drittlandübermittlung: USA; EU-US Data Privacy Framework (DPF)

Datenschutz: Apple Datenschutzrichtlinie

Wenn Sie sich über einen Social-Login-Anbieter anmelden, erheben wir nur die für die Kontoerstellung notwendigen Daten. Wir erhalten keinen Zugriff auf Ihr Passwort beim jeweiligen Anbieter. Sie können die Verknüpfung jederzeit in Ihren Kontoeinstellungen aufheben.

Speicherdauer der Kontodaten

Die bei uns gespeicherten Daten werden gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Bei Kündigung Ihres Benutzerkontos werden Ihre Daten gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen bestehen (z. B. steuerrechtliche Aufbewahrungspflichten von 10 Jahren für Rechnungsdaten).

Übersicht der Speicherdauern

DatenkategorieSpeicherdauerRechtsgrundlage
Kontodaten (Name, E-Mail)Bis zur KontolöschungArt. 6(1)(b)
Rechnungsdaten10 Jahre (§ 147 AO)Art. 6(1)(c)
OAuth-TokensSofortige Invalidierung bei Trennung, Löschung innerhalb von 30 TagenArt. 6(1)(b)
OAuth-Zugriffstoken (KI-Assistenten)Zugriff bis Widerruf; Access-Token 30 Tage, Refresh-Token 90 TageArt. 6(1)(a)
Server-Logs14 TageArt. 6(1)(f)
KI-Verarbeitungsdaten (Anthropic)7 Tage beim AnbieterArt. 6(1)(a/b)
KI-Verarbeitungsdaten (OpenAI)Bis zu 30 Tage beim Anbieter; Audio-Transkriptionsanfragen werden nach aktueller OpenAI-Policy nicht gespeichertArt. 6(1)(a/b)
KI-Verarbeitungsdaten (Google Gemini)Begrenzte Protokollierung von Eingaben und Ausgaben zur Missbrauchserkennung (Gemini API Additional Terms); Speicherung ggf. auch außerhalb der EUArt. 6(1)(a/b)
KI-Verarbeitungsdaten (Scaleway)Keine Speicherung über Anfrageverarbeitung hinaus (Zero Data Retention, EU/Paris)Art. 6(1)(a/b)
Suchindex / Embeddings Ihrer eigenen InhalteBis zur Löschung des zugrunde liegenden Inhalts bzw. Ihres Kontos (Speicherung in Deutschland)Art. 6(1)(b/f)
Error-Tracking (Flare)30 TageArt. 6(1)(f)
Monitoring (Nightwatch)Bis zu 90 Tage (Standard-Aufbewahrung des Anbieters)Art. 6(1)(f)
Admin-Audit-Logs (IP-Adressen, User-Agents)6 MonateArt. 6(1)(f)
Kontaktformular-DatenBis zur ZweckerfüllungArt. 6(1)(b/f)
Creator Snapshots (Nischen-Radar)90 Tage detailliert, danach WochenaggregatArt. 6(1)(f)
Nischen-Trends6 MonateArt. 6(1)(f)
Beispiel-Posts (Nischen-Radar)30 Tage (nur zur Analyse)Art. 6(1)(f)
E-Mail-Versandprotokolle6 MonateArt. 6(1)(f)

7. Social-Media-Verknüpfungen

Die Kernfunktion unseres Dienstes ermöglicht es Ihnen, Ihre Social-Media-Konten zu verknüpfen, um Inhalte zu planen und automatisch zu veröffentlichen. Hierfür nutzen wir die offiziellen APIs der jeweiligen Plattformen über OAuth 2.0.

Verknüpfbare Plattformen

Meta (Instagram, Facebook & Threads)

Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland

Zweck: Authentifizierung, Abruf von Kontoinformationen, Veröffentlichung von Beiträgen sowie Abruf und Beantwortung von Kommentaren zu Ihren eigenen Beiträgen auf Instagram, Facebook und Threads

Daten: OAuth-Tokens (verschlüsselt), Benutzer-ID, Kontoname, Profilinformationen

Threads-Berechtigungen (OAuth-Scopes): threads_basic, threads_content_publish, threads_manage_insights und threads_manage_replies. Letztere ermöglicht den Abruf von Antworten/Kommentaren zu Ihren Threads-Beiträgen sowie das Beantworten dieser Kommentare in Ihrem Auftrag. Für die Kommentarverwaltung auf Instagram und Facebook nutzen wir die entsprechenden Kommentar-Berechtigungen der Meta-Graph-API. Einzelheiten zur Verarbeitung dieser Kommentardaten finden Sie in Abschnitt 18 (Kommentar- und Interaktionsverwaltung).

Personenmarkierungen (Instagram): Wenn Sie in einem Instagram-Bildbeitrag (Einzelbild oder Karussell) Personen markieren, übermitteln wir die von Ihnen eingegebenen öffentlichen @-Benutzernamen und deren Position im Bild beim Veröffentlichen an Meta. Diese Angaben werden ausschließlich zur Veröffentlichung des von Ihnen erstellten Beitrags verwendet und nicht dauerhaft separat gespeichert.

Datenschutz: Meta Datenschutzrichtlinie

Deautorisierung und Datenlöschung:

  • Entfernen Sie die App-Berechtigung über Ihre Facebook-, Instagram- oder Threads-Einstellungen, werden wir automatisch per Callback benachrichtigt (Threads über einen eigenen Callback, da es eine separate Meta-App ist). Ihre OAuth-Tokens werden sofort invalidiert und die Kontoverknüpfung aufgehoben.
  • Fordern Sie die Löschung Ihrer Daten über die Facebook-, Instagram- oder Threads-Einstellungen an, erhalten Sie einen Bestätigungscode und eine Status-URL zur Nachverfolgung. Die Löschung erfolgt innerhalb von 30 Tagen.
  • Bei Kontolöschung in Impulio werden Ihre Facebook-/Instagram-Tokens aktiv bei Meta widerrufen, sodass kein weiterer Zugriff möglich ist. Threads bietet keinen Token-Widerruf an; hier werden die Tokens lokal invalidiert und entfernt.

TikTok

Anbieter: TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Irland (für EWR-Nutzer)

Zweck: Authentifizierung, Veröffentlichung von Videos

Daten: OAuth-Tokens (verschlüsselt), Creator-ID, Kontoinformationen

Datenschutz: TikTok Datenschutzrichtlinie

LinkedIn

Anbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland

Zweck: Authentifizierung, Veröffentlichung von Beiträgen (Text, Bilder, Videos, Dokument-Karussells, Umfragen), Kommentar-Planung

Daten: OAuth-Tokens (verschlüsselt), Name, E-Mail-Adresse, Profilbild, LinkedIn-ID, veröffentlichte Beiträge und Kommentare

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über OAuth-Autorisierung)

Datenübermittlung USA: EU-US Data Privacy Framework (Microsoft/LinkedIn ist zertifiziert)

Speicherdauer: Bis zur Löschung des Kontos oder Trennung der LinkedIn-Verbindung in den Kontoeinstellungen

Datenschutz: LinkedIn Datenschutzrichtlinie

YouTube (Google)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Für die Anbindung Ihres YouTube-Kanals nutzt Impulio die YouTube API Services. Mit der Verknüpfung Ihres YouTube-Kontos erklären Sie sich zusätzlich mit den YouTube-Nutzungsbedingungen einverstanden; es gilt die Google Datenschutzerklärung.

Zweck:Authentifizierung, Upload und Veröffentlichung von Videos (z. B. YouTube Shorts) in Ihrem Auftrag sowie Anzeige des verbundenen Kanals und Prüfung des Verbindungsstatus

Berechtigungen (OAuth-Scopes): youtube.upload (Hochladen der Videos, die Sie in Impulio erstellen und aktiv zur Veröffentlichung freigeben) und youtube.readonly (Lesezugriff auf Ihre Kanalinformationen: Kanal-ID, Kanalname, Profilbild sowie Abonnenten-, Video- und Aufrufzahlen zur Anzeige des verbundenen Kontos und zur Prüfung, ob die Verbindung noch gültig ist). Weitere Berechtigungen fordern wir nicht an.

Daten (Zugriff und Speicherung): OAuth-Zugriffs- und Refresh-Tokens (verschlüsselt mit AES-256), Kanal-ID, Kanalname, Profilbild-URL, Abonnenten-, Video- und Aufrufzahlen sowie die von Ihnen erstellten Videobeiträge (Video, Titel, Beschreibung, Tags, Sichtbarkeitsstatus), die wir in Ihrem Auftrag an YouTube übermitteln

Verwendung: Ausschließlich zur Bereitstellung der genannten Funktionen für Sie. Über die YouTube API erhaltene Daten werden nicht für Werbung verwendet, nicht verkauft und nicht an Dritte weitergegeben; sie werden nicht zum Entwickeln, Verbessern oder Trainieren von KI-/ML-Modellen verwendet und zu diesem Zweck auch nicht an Dritte übermittelt.

Speicherdauer: Bis Sie die YouTube-Verbindung in den Kontoeinstellungen trennen oder Ihr Impulio-Konto löschen. Beim Trennen werden die gespeicherten OAuth-Tokens und die Kanalinformationen des verknüpften Kontos unwiderruflich gelöscht. Lediglich bei Ihren eigenen, über Impulio erstellten Beiträgen bleiben Kanalname und Profilbild-URL als Zuordnungsangabe zum früher verbundenen Konto in Ihrem Impulio-Konto gespeichert, bis Sie die betreffenden Beiträge oder Ihr Impulio-Konto löschen. Gespeicherte Kanalinformationen werden regelmäßig über die API aktualisiert.

Widerruf: Trennen Sie die Verbindung jederzeit in den Impulio-Kontoeinstellungen. Zusätzlich können Sie den Zugriff von Impulio auf Ihr Google-Konto jederzeit in den Google-Sicherheitseinstellungen widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über OAuth-Autorisierung) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Drittlandübermittlung: USA möglich; Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert, ergänzend gelten Standardvertragsklauseln (SCC)

Die Nutzung der von Google APIs erhaltenen Informationen durch Impulio erfolgt in Übereinstimmung mit der Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen. („Impulio’s use and transfer of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.“)

X (Twitter)

Anbieter: X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA

Zweck: Authentifizierung, Veröffentlichung von Tweets

Daten: OAuth-Tokens (verschlüsselt), Twitter-Handle, Kontoinformationen

Datenschutz: X Datenschutzrichtlinie

Bluesky

Anbieter: Bluesky Social, PBC, USA

Zweck: Authentifizierung (App-Passwort), Veröffentlichung von Beiträgen

Daten: Sitzungs-Tokens (verschlüsselt), Bluesky-Handle und DID, Profilinformationen

Datenschutz: Bluesky Datenschutzrichtlinie

Pinterest

Anbieter: Pinterest Inc., 651 Brannan Street, San Francisco, CA 94107, USA

Zweck: Veröffentlichung von Pins auf von Ihnen ausgewählten Pinnwänden (Boards) und Abruf von Statistiken (Impressionen, Speicherungen, Klicks, Followerzahl) in Ihrem Auftrag.

Daten: OAuth-Zugriffs- und Refresh-Tokens (verschlüsselt), Pinterest-Benutzername und Konto-ID, Board-Informationen, sowie die von Ihnen veröffentlichten Pins (Bild/Video, Titel, Beschreibung, Ziel-Link).

Drittlandübermittlung: USA – Pinterest ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert; die Übermittlung erfolgt auf dieser Grundlage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Widerruf/Löschung: Trennung der Pinterest-Verbindung in den Kontoeinstellungen; widerrufen Sie den App-Zugriff in den Pinterest-Einstellungen.

Datenschutz: Pinterest Datenschutzrichtlinie

Mastodon

Mastodon ist ein dezentrales soziales Netzwerk aus unabhängig betriebenen Servern („Instanzen“). Sie verbinden Ihren Account, indem Sie die URL Ihrer selbst gewählten Instanz und ein dort erstelltes Zugriffstoken angeben. Verantwortliche Stelle für die auf der jeweiligen Instanz verarbeiteten Daten ist der Betreiber der von Ihnen gewählten Instanz – nicht Impulio und kein zentraler Anbieter. Die Datenschutzbestimmungen richten sich nach der jeweiligen Instanz.

Zweck: Veröffentlichung von Beiträgen und Abruf von Interaktionszahlen (Favoriten, Boosts, Antworten, Followerzahl) auf der von Ihnen gewählten Instanz in Ihrem Auftrag.

Daten (bei uns gespeichert): Die von Ihnen angegebene Instanz-URL, ein Zugriffstoken (verschlüsselt), Ihr Mastodon-Benutzername/Anzeigename und Profilbild, sowie die von Ihnen veröffentlichten Beiträge (Toots).

Drittlandübermittlung: Abhängig vom Standort der gewählten Instanz; eine pauschale Aussage ist nicht möglich, da Sie die Instanz frei wählen.

Widerruf/Löschung: Trennung der Mastodon-Verbindung in den Kontoeinstellungen; widerrufen Sie das Zugriffstoken in den Entwickler-Einstellungen Ihrer Instanz.

Token-Speicherung und Sicherheit

Alle OAuth-Zugriffstoken werden verschlüsselt in unserer Datenbank gespeichert. Die Verschlüsselung erfolgt mit AES-256. Sie können verknüpfte Konten jederzeit in Ihren Kontoeinstellungen trennen, wodurch die gespeicherten Tokens unwiderruflich gelöscht werden.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Abruf öffentlich zugänglicher Informationen

Zur Verbesserung unserer Dienste rufen wir öffentlich zugängliche Informationen aus dem Internet ab. Es werden ausschließlich frei verfügbare Daten verarbeitet. Hierfür nutzen wir folgenden Dienst:

Apify

Anbieter: Apify Technologies s.r.o., Vodičkova 704/36, 110 00 Prag 1, Tschechien (EU)

Zweck: Abruf öffentlich verfügbarer Informationen zur Verbesserung der Plattformfunktionen

Daten: Öffentlich zugängliche Informationen und Metriken

Datenschutz: Apify Datenschutzrichtlinie

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unserer Dienste).

8. KI-gestützte Dienste

Impulio nutzt verschiedene KI-Dienste zur Generierung und Optimierung von Inhalten. Bei Nutzung dieser Funktionen werden die von Ihnen eingegebenen Daten (Prompts, Texte, Bilder) an die jeweiligen Anbieter übermittelt.

Anthropic (Claude)

Anbieter: Anthropic, PBC, 548 Market St, PMB 90375, San Francisco, CA 94104-5401, USA

Zweck: Textgenerierung für Content-Ideen, Captions, Hashtags, Content-Verbesserungen, die Erstellung von Antwortvorschlägen zu Kommentaren in Ihrer Creator-/Marken-Stimme im Engagement-Postfach, sowie (sofern aktiviert) die automatische Erstellung von Bildbeschreibungen (Alt-Text) für hochgeladene Bilder

Daten: Benutzereingaben, Content-Briefs, Kontext-Informationen, bei Nutzung der Antwortvorschläge der Text des zu beantwortenden Kommentars (Inhalt einer dritten Person) samt Kontext Ihres Beitrags, hochgeladene Bilder (bei aktivierter Alt-Text-Erstellung)

Speicherdauer: API-Anfragen werden von Anthropic für maximal 7 Tage zu Sicherheitszwecken gespeichert und danach gelöscht. Ihre Daten werden nicht zum Training von KI-Modellen verwendet.

Drittlandübermittlung: USA; Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO. Anthropic ist nicht unter dem EU-US Data Privacy Framework zertifiziert.

Datenschutz: Anthropic Privacy Policy

OpenAI (GPT, DALL-E & Whisper)

Anbieter: OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA

Zweck: Textgenerierung (GPT), Bildgenerierung und -bearbeitung (DALL-E 3), die Umwandlung Ihrer eigenen Inhalte (Beitragstexte, Ideen, Mediabeschreibungen) in numerische Vektoren (Embeddings) für die bedeutungsbasierte Suche und Ähnlichkeitshinweise innerhalb Ihres Kontos, die Transkription der Tonspur hochgeladener Videos (Whisper) für automatische Untertitel, Clip-Vorschläge und den Clip-Schnitt, sowie (sofern aktiviert) eine unverbindliche, nicht-blockierende Inhalts-Moderation von Beitragstexten und -bildern vor der Veröffentlichung (omni-moderation)

Daten: Benutzereingaben, Bildprompts, zu bearbeitende Bilder, Beitragstexte und -ideen sowie Mediabeschreibungen (für die Embedding-/Suchfunktion), die aus hochgeladenen Videos extrahierte Audiospur (kann Stimmen des Nutzers und Dritter enthalten; bei Nutzung der Untertitel- und Clip-Funktionen), Beitragstexte und Bild-URLs hochgeladener Medien (bei aktivierter Moderation)

Speicherdauer: Audio-Transkriptionsanfragen werden nach aktueller OpenAI-Policy nicht gespeichert; im Übrigen werden API-Anfragen von OpenAI für bis zu 30 Tage zu Sicherheits- und Missbrauchszwecken gespeichert und danach gelöscht. Ihre Daten werden nicht zum Training von KI-Modellen verwendet.

Drittlandübermittlung: USA; Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO (im Auftragsverarbeitungs- vertrag von OpenAI integriert). OpenAI ist nicht unter dem EU-US Data Privacy Framework zertifiziert.

Datenschutz: OpenAI Privacy Policy

Scaleway (souveräne EU-Text-KI)

Anbieter:Scaleway S.A.S., 8 rue de la Ville l’Évêque, 75008 Paris, Frankreich

Zweck: Textgenerierung für Content-Ideen, Captions, Hashtags und Content-Verbesserungen über in der EU gehostete, souveräne Sprachmodelle

Daten: Benutzereingaben, Content-Briefs, Kontext-Informationen

Speicherdauer:Scaleway wendet standardmäßig eine „Zero Data Retention“-Richtlinie an und liest, speichert oder analysiert die Inhalte Ihrer Eingaben und der erzeugten Ausgaben nicht. Ihre Daten werden nicht zum Training von KI-Modellen verwendet.

Hosting / Drittland:Die Verarbeitung erfolgt ausschließlich in der EU (Paris, Frankreich); es findet keine Drittlandübermittlung statt. Als europäisches Unternehmen unterliegt Scaleway nicht US-amerikanischen Gesetzen mit extraterritorialer Wirkung (z. B. US CLOUD Act).

Datenschutz: Scaleway Generative APIs – Data Privacy

Stability AI (Stable Diffusion)

Anbieter: Stability AI Ltd., 47 Marylebone Lane, London W1U 2NT, Vereinigtes Königreich

Zweck: Bildgenerierung, Style Transfer, Upscaling

Daten: Bildprompts, zu bearbeitende Bilder

Datenschutz: Stability AI Privacy Policy

Google Gemini

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Fotorealistische Bildgenerierung und Bildbearbeitung sowie die visuelle Analyse von Videobildern für Clip-Vorschläge

Daten: Bildprompts, zu bearbeitende Bilder, einzelne niedrig aufgelöste Videobilder (Keyframes) hochgeladener Videos

Speicherdauer: Google protokolliert Eingaben und Ausgaben für einen begrenzten Zeitraum zur Missbrauchserkennung (Gemini API Additional Terms). Für Nutzer im EWR, in der Schweiz und im Vereinigten Königreich werden die Inhalte nicht zum Training von KI-Modellen verwendet.

Drittlandübermittlung: Eine Verarbeitung und Zwischenspeicherung auch außerhalb der EU (insbesondere USA) ist nach den Gemini API Additional Terms möglich. Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend gelten Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO aus dem Google-Datenverarbeitungsvertrag.

Datenschutz: Google Datenschutzerklärung

Replicate

Anbieter: Replicate, Inc., 548 Market St #35435, San Francisco, CA 94104, USA

Zweck: Bildgenerierung (SDXL), Hintergrundentfernung, Upscaling, Bildverbesserung

Daten: Bildprompts, zu bearbeitende Bilder

Drittlandübermittlung: USA; Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO. Replicate ist nicht unter dem EU-US Data Privacy Framework zertifiziert.

Datenschutz: Replicate Privacy Policy

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Sie willigen in die Datenübermittlung ein, wenn Sie die entsprechenden KI-Funktionen aktiv nutzen.

Wichtige Hinweise zur KI-Nutzung

  • Übermitteln Sie keine sensiblen personenbezogenen Daten (z. B. Gesundheitsdaten, politische Meinungen) an die KI-Dienste.
  • KI-generierte Inhalte können Ungenauigkeiten enthalten und sollten vor Veröffentlichung überprüft werden.
  • Die Nutzung der KI-Funktionen ist optional. Sie können unseren Dienst auch ohne KI-Unterstützung nutzen.

Transparenzhinweis gemäß EU AI Act

Impulio nutzt KI-Systeme im Sinne der Verordnung (EU) 2024/1689 (EU AI Act). Impulio ist Anbieter (Provider) des KI-Systems „Impulio Studio“ im Sinne von Art. 3 Nr. 3 der Verordnung und integriert dabei über API-Schnittstellen KI-Modelle Dritter (sogenannter nachgelagerter Anbieter, „Downstream-Anbieter“). Die Pflichten für die eingesetzten KI-Modelle mit allgemeinem Verwendungszweck nach Kapitel V der Verordnung tragen die jeweiligen Modell-Anbieter, insbesondere Anthropic, OpenAI, Google, Stability AI und Replicate. Je nach Konfiguration können weitere angebundene Anbieter hinzukommen (z. B. der EU-Anbieter Scaleway); die jeweils aktiv genutzten Anbieter sind in der Auflistung der Empfänger weiter unten ausgewiesen. Nutzer, die mit der Plattform generierte Inhalte veröffentlichen, handeln insoweit als Betreiber (Deployer) der Verordnung. Sie können eigenen Offenlegungspflichten nach Art. 50 Abs. 4 unterliegen — bei Deepfake-Bild-, -Ton- und -Videoinhalten sowie bei KI-generierten oder KI-manipulierten Texten, die veröffentlicht werden, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren; letzteres gilt nicht, soweit die Inhalte menschlich überprüft werden und eine natürliche oder juristische Person die redaktionelle Verantwortung trägt.

  • Es erfolgt keine biometrische Identifizierung, Emotionserkennung oder Social Scoring.
  • KI-generierte Inhalte dienen als Entwurf. Der Nutzer behält stets die redaktionelle Entscheidungshoheit über die Veröffentlichung.
  • Bei Veröffentlichung von KI-generierten Inhalten auf Social-Media-Plattformen ist der Nutzer selbst für die Einhaltung etwaiger Kennzeichnungspflichten der jeweiligen Plattform verantwortlich.

Maschinenlesbare Herkunftskennzeichnung (Art. 50 EU AI Act)

Gemäß Art. 50 EU AI Act kennzeichnet Impulio Bilder, die mit unseren KI-Funktionen erzeugt oder bearbeitet werden, in einem maschinenlesbaren Format: Beim Erzeugen betten wir technische Herkunftsmetadaten in die Bilddatei ein (Content Credentials nach dem C2PA-Standard bzw. eine standardisierte IPTC-/XMP-Kennzeichnung „Digital Source Type“). Diese Markierung bleibt mit der Datei verbunden und ermöglicht es Plattformen und Prüfwerkzeugen, den Inhalt als KI-generiert zu erkennen.

  • Die eingebetteten Daten umfassen technische Angaben (z. B. verwendetes KI-System/Modell, Erstellungszeitpunkt, Art der Erzeugung). Der zugrunde liegende Prompt wird nicht im Klartext eingebettet, sondern – falls gespeichert – nur als nicht rückführbarer Hashwert vermerkt.
  • Die Herkunftskennzeichnung dient ausschließlich der Transparenz und Compliance; es findet kein Tracking und keine Profilbildung statt.
  • Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung aus Art. 50 EU AI Act) i. V. m. Art. 6 Abs. 1 lit. b DSGVO.

9. Zahlungsdienste

Mollie

Anbieter: Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande

Zweck: Zahlungsabwicklung für Abonnements, Verarbeitung verschiedener Zahlungsmethoden

Zahlungsmethoden: iDEAL, Kreditkarte, SEPA-Lastschrift, PayPal, Apple Pay, Bancontact und weitere

Daten: Zahlungsinformationen, Rechnungsadresse, E-Mail-Adresse, Transaktionsdaten

Serverstandort: Europäische Union

Datenschutz: Mollie Datenschutzerklärung

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Übermittlung Ihrer Daten an Mollie erfolgt ausschließlich zum Zweck der Zahlungsabwicklung.

Aufbewahrung von Rechnungsdaten

Gemäß den steuerrechtlichen Vorschriften (§ 147 AO, § 14b UStG) sind wir verpflichtet, Rechnungen und buchhalterische Unterlagen für einen Zeitraum von 10 Jahren aufzubewahren. Die Aufbewahrung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).

10. E-Mail-Kommunikation

Wir versenden verschiedene Arten von E-Mails, die in folgende Kategorien unterteilt sind:

10.1 Transaktionale E-Mails (nicht abbestellbar)

  • Kontobestätigung und E-Mail-Verifizierung (OTP-Codes)
  • Passwort-Zurücksetzung
  • Zahlungsbestätigungen, Rechnungen und Widerrufsbestätigungen
  • Willkommens-E-Mail mit ersten Schritten nach der Registrierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Diese E-Mails sind für den Betrieb des Dienstes erforderlich und können nicht abbestellt werden.

10.2 Service-Benachrichtigungen (teilweise abbestellbar)

  • Token-Ablauf-Warnungen und Account-Disconnects
  • API-Limit- und Plan-Limit-Hinweise
  • Post-Publishing-Status (veröffentlicht/fehlgeschlagen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und Art. 6 Abs. 1 lit. f DSGVO.

10.3 Produktivitäts-E-Mails (abbestellbar)

  • Wöchentlicher Performance-Report (KPI-Zusammenfassung)
  • Content-Empfehlungen und Insights
  • Evergreen-Content-Benachrichtigungen (z. B. erkannte Top-Posts, Recycling-Vorschläge)
  • Benachrichtigungs-Digest (konfigurierbare Frequenz: täglich oder wöchentlich)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Abmeldung über Einstellungen → Benachrichtigungen oder Ein-Klick-Link in jeder E-Mail.

10.4 Onboarding- und Marketing-E-Mails (abbestellbar)

  • Quick-Win-Tipps und Feature-Highlights in den ersten Tagen
  • Re-Engagement-E-Mails bei längerer Inaktivität

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 7 Abs. 2 Nr. 2 UWG. Diese E-Mails erhalten Sie nur, wenn Sie beim Onboarding aktiv eingewilligt haben (Opt-in). Die Einwilligung können Sie jederzeit widerrufen: per Ein-Klick via signierte URL in jeder E-Mail sowie über Einstellungen → Benachrichtigungen.

10.5 Team-Kollaborations-E-Mails (abbestellbar)

  • Freigabe-Anfragen und Genehmigungen/Ablehnungen
  • Kommentare an Posts und @Mentions

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Team-Kontext).

Der E-Mail-Versand erfolgt über unseren eigenen SMTP-Server, der bei unserem Hosting-Anbieter IP-Projects in Deutschland betrieben wird. Es werden keine externen E-Mail-Dienste verwendet.

10.6 Echtzeit-Benachrichtigungen (In-App)

Innerhalb der Anwendung werden Benachrichtigungen in Echtzeit über eine Server-Sent-Events-Verbindung (SSE) zugestellt. Hierzu betreiben wir einen eigenen Mercure-Hub auf unserer Infrastruktur bei IP-Projects in Deutschland. Bei dieser Zustellung innerhalb der Anwendung werden keine Daten an Dritte übermittelt.

  • Veröffentlichungs-Status (erfolgreich/fehlgeschlagen)
  • Freigabe-Anfragen und Team-Kommentare
  • Account-Warnungen (Verbindungsprobleme, Token-Ablauf)
  • Strategie-Hinweise und System-Benachrichtigungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Benachrichtigungspräferenzen können unter Einstellungen → Benachrichtigungen konfiguriert werden.

10.7 Browser-Push-Benachrichtigungen (optional)

Auf Wunsch können Sie Benachrichtigungen zusätzlich als Push-Nachricht in Ihrem Browser erhalten. Die Aktivierung erfolgt ausschließlich durch Sie selbst über Einstellungen → Benachrichtigungen und die anschließende Berechtigungsabfrage Ihres Browsers.

Die Zustellung läuft technisch über den Push-Dienst des jeweiligen Browser-Herstellers (Google Firebase Cloud Messaging, Mozilla Autopush oder Apple Push Notification Service). Dorthin werden der Zustell-Endpunkt Ihres Browsers und die Push-Nachricht übermittelt; je nach Anbieter kann dies eine Übermittlung in die USA bedeuten (Google LLC und Apple Inc. sind unter dem EU-US Data Privacy Framework zertifiziert, ergänzend gelten Standardvertragsklauseln). Der Inhalt der Nachricht wird dabei nach RFC 8291 verschlüsselt übertragen, sodass der Push-Dienst nur technische Zustelldaten sieht, nicht den Inhalt. Wir halten den Inhalt der Push-Nachrichten bewusst knapp (kurzer Titel und Hinweistext).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); für die Speicherung der Push-Registrierung auf Ihrem Endgerät § 25 Abs. 1 TDDDG. Sie können die Einwilligung jederzeit unter Einstellungen → Benachrichtigungen oder in den Einstellungen Ihres Browsers widerrufen.

11. Fehlerüberwachung und Monitoring

Flare (Spatie)

Anbieter: Spatie bv, Kruikstraat 22 bus 12, 2018 Antwerpen, Belgien (EU)

Zweck: Fehlerüberwachung und Exception-Tracking zur Verbesserung der Anwendungsstabilität

Daten: Fehlerdetails, Stack Traces, Request-Kontext (ohne sensible Daten). IP-Adressen werden vor der Übermittlung automatisch entfernt.

Zensierte Felder: Passwörter, Tokens, Cookies und andere sensible Daten werden automatisch maskiert

Serverstandort: Europäische Union

Datenschutz: Flare Privacy Policy

Laravel Nightwatch

Anbieter: Laravel LLC, USA

Zweck: Application Performance Monitoring zur Überwachung und Optimierung der Anwendungsleistung

Daten: Technische Anfrage-Metadaten einschließlich IP-Adresse und interner Nutzerkennung, Performance-Logs, Antwortzeiten

Speicherdauer: Bis zu 90 Tage (Standard-Aufbewahrung des Anbieters)

Speicherort: ClickHouse Cloud (USA/EU)

Drittlandübermittlung: USA; Standardvertragsklauseln (SCC)

Datenschutz: Laravel Privacy Policy

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Wir haben ein berechtigtes Interesse daran, Fehler schnell zu erkennen und zu beheben, um einen stabilen Dienst bereitzustellen.

Echtzeit-Verbindungsqualität (eigene Erhebung)

Zur Sicherstellung eines zuverlässigen Echtzeit-Betriebs erfassen wir technische Kennzahlen zur Qualität Ihrer Echtzeit-Verbindung: ob die Live-Verbindung aktiv ist oder auf eine Abruf-Aktualisierung zurückgefallen wurde, sowie die Anzahl der Wiederverbindungsversuche. Es werden ausschließlich diese Verbindungs-Metadaten verarbeitet – keine Inhalte. Die Auswertung erfolgt auf unseren in Deutschland gehosteten Servern (siehe Abschnitt Hosting) bzw. über das oben genannte Monitoring; zusätzlich bilden wir anonyme Tagessummen ohne Personenbezug.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen und performanten Echtzeit-Dienst).

12. Datenübermittlung in Drittländer

Einige der von uns genutzten Dienste haben ihren Sitz außerhalb der Europäischen Union, insbesondere in den USA und dem Vereinigten Königreich.

USA (Drittland)

Für die Datenübermittlung in die USA stützen wir uns auf folgende Rechtsgrundlagen:

  • EU-US Data Privacy Framework (DPF): Für Dienste, die unter dem DPF zertifiziert sind (z. B. Meta, Google), bietet dieses Rahmenwerk ein angemessenes Datenschutzniveau gemäß Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023.
  • Standardvertragsklauseln (SCC): Für Dienste ohne DPF-Zertifizierung verwenden wir die von der EU-Kommission genehmigten Standardvertragsklauseln als Garantie für ein angemessenes Datenschutzniveau.
  • Einwilligung (Art. 49 Abs. 1 lit. a DSGVO): Bei aktiver Nutzung von KI-Funktionen willigen Sie in die Datenübermittlung ein.

Vereinigtes Königreich

Das Vereinigte Königreich verfügt über einen Angemessenheitsbeschluss der EU-Kommission, der am 19. Dezember 2025 erneuert wurde und bis zum 27. Dezember 2031 gilt (Durchführungsbeschluss der EU-Kommission, IP/25/3059). Die Datenübermittlung an Stability AI (UK) erfolgt auf dieser Grundlage.

Übersicht der Drittland-Übermittlungen

DienstLandRechtsgrundlage
Anthropic (Claude)USASCC + Einwilligung
OpenAI (GPT, DALL-E)USASCC + Einwilligung
ReplicateUSASCC + Einwilligung
Google GeminiUSA/IrlandDPF + SCC
Google Sign-InUSADPF
Apple Sign-InUSADPF
Stability AIUKAngemessenheitsbeschluss
X (Twitter)USASCC + Einwilligung
Bluesky SocialUSASCC + Einwilligung
PinterestUSAData Privacy Framework (DPF)
Meta (Facebook/Instagram)USA/IrlandDPF + SCC
Google (YouTube)USA/IrlandDPF + SCC
LinkedInUSA/IrlandDPF + SCC
TikTokIrland (EWR)EU-Verarbeitung
Laravel NightwatchUSASCC

Eine konsolidierte, datierte Gesamtübersicht aller eingesetzten Auftragsverarbeiter (Unterauftragsverarbeiter) finden Sie auf der Seite Auftragsverarbeiter.

13. Link-in-Bio Seiten (impul.io)

Impulio bietet eine Link-in-Bio-Funktion, über die Nutzer eine öffentlich zugängliche Profilseite unter der Domain impul.io erstellen können. Diese Seiten sind ohne Registrierung oder Anmeldung für jeden im Internet erreichbar.

Öffentlich sichtbare Daten

Folgende vom Nutzer eingestellte Informationen sind auf der Bio-Seite öffentlich sichtbar:

  • Anzeigename und Profilbild
  • Bio-Text (Beschreibung)
  • Links (Titel und URL)
  • Produkt-/Affiliate-Blöcke (Produktname, Produktbild, Preis und Werbekennzeichnung, sofern vom Nutzer eingestellt)
  • Social-Media-Verknüpfungen
  • Impressum (sofern hinterlegt)

Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Veröffentlichung durch den Nutzer).

Datenerhebung bei Besuchern der Bio-Seiten

Beim Aufruf einer Bio-Seite durch Besucher erheben wir folgende anonymisierte Daten zu statistischen Zwecken:

  • Referrer-Plattform: Die Herkunft des Besuchs (z. B. Instagram, Twitter), abgeleitet aus dem HTTP-Referrer-Header
  • Gerätetyp: Ob der Zugriff über ein Mobilgerät, Tablet oder Desktop erfolgt, abgeleitet aus dem User-Agent-Header
  • Klick-Zeitpunkt: Datum und Uhrzeit eines Link-Klicks
  • Klick-Art: Ob es sich um einen Klick auf einen Produkt-/Affiliate-Block handelt (als Konversionssignal für die Statistik des Seitenbetreibers). Es werden hierbei keine zusätzlichen personenbezogenen Daten erhoben.

Wichtige Datenschutzmaßnahmen:

  • Keine IP-Speicherung: IP-Adressen werden ausschließlich kurzfristig in-memory verarbeitet: für die Bot-Erkennung (Erkennung automatisierter Zugriffe anhand von User-Agent-Mustern und Zugriffshäufigkeit) sowie die Besucherdeduplizierung (Vermeidung von Mehrfachzählungen mittels eines tagesrotierenden Hashes). Rohe IP-Adressen werden dabei zu keinem Zeitpunkt dauerhaft gespeichert. Der tagesrotierende Hash wird nach 24 Stunden automatisch gelöscht und kann nicht zur Identifizierung einzelner Besucher verwendet werden.
  • Keine Cookies: Auf den Bio-Seiten werden keine Cookies gesetzt und keine Tracking-Technologien eingesetzt. Ein Cookie-Consent-Banner ist daher gemäß § 25 TDDDG nicht erforderlich.
  • Keine Drittanbieter-Tracker: Es werden keine externen Analyse-Dienste (z. B. Google Analytics) auf den Bio-Seiten eingebunden.
  • Kein Cross-Site-Tracking: Die erhobenen Daten werden nicht mit anderen Datenquellen zusammengeführt.

Die Verarbeitung dieser anonymisierten Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Wir haben ein berechtigtes Interesse daran, den Nutzern grundlegende Statistiken über die Nutzung ihrer Bio-Seiten bereitzustellen. Besucher von Bio-Seiten haben gemäß Art. 21 DSGVO das Recht, der Verarbeitung ihrer Daten auf Grundlage berechtigter Interessen zu widersprechen. Wenden Sie sich hierfür an die unter Abschnitt 2 genannten Kontaktdaten.

E-Mail-Anmeldung (Lead-Erfassung)

Nutzer können auf ihrer Bio-Seite einen Anmelde-Block einbinden, über den Besucher freiwillig ihre E-Mail-Adresse hinterlassen können (z. B. für einen Newsletter). Im Gegensatz zu den oben beschriebenen Besucherstatistiken handelt es sich hierbei um personenbezogene Daten, die dauerhaft gespeichert werden.

Trägt sich ein Besucher ein, verarbeiten wir folgende Daten:

  • E-Mail-Adresse: die vom Besucher eingegebene Adresse
  • Name (optional): sofern der Anmelde-Block ein Namensfeld enthält und der Besucher es ausfüllt
  • IP-Adresse: wird zum Schutz vor Missbrauch und Spam-Eintragungen gespeichert

Die Eintragung erfolgt ausschließlich nach aktiver Einwilligung des Besuchers über ein Bestätigungskästchen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); die Speicherung der IP-Adresse zur Missbrauchsabwehr stützt sich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Die Daten werden im Auftrag und zur Nutzung durch den jeweiligen Bio-Seiten-Betreiber erhoben; dieser ist für die weitere, datenschutzkonforme Verwendung der Daten verantwortlich. Betroffene können ihre Einwilligung jederzeit widerrufen und die Löschung ihrer Daten über die in Abschnitt 2 genannten Kontaktdaten verlangen. Bio-Seiten-Betreiber können einzelne Einträge in ihrem Konto löschen oder als CSV-Datei exportieren.

Impressumspflicht und Werbekennzeichnung

Nutzer, die ihre Bio-Seiten geschäftlich nutzen, sind nach § 5 DDG (Digitale-Dienste-Gesetz) verpflichtet, ein Impressum auf ihrer Bio-Seite zu hinterlegen. Impulio stellt hierfür eine Impressum-Funktion bereit.

Links, die bezahlte Partnerschaften oder Werbung darstellen, müssen gemäß § 5a UWG und § 6 DDG als solche gekennzeichnet werden. Impulio bietet hierfür eine Werbekennzeichnung („Werbung“ / „Anzeige“) an, die beim Erstellen eines Links aktiviert werden kann.

Meldung rechtswidriger Inhalte

Gemäß Art. 16 DSA (Digital Services Act, Verordnung (EU) 2022/2065) stellen wir eine Möglichkeit bereit, potenziell rechtswidrige Inhalte auf Bio-Seiten zu melden. Meldungen können per E-Mail an die im Impressum genannte Kontaktadresse info@impulio.app eingereicht werden; bitte nennen Sie dabei die Adresse der betroffenen Bio-Seite und den Grund der Meldung. Wir prüfen eingegangene Meldungen und ergreifen bei Verstößen angemessene Maßnahmen.

Speicherdauer

DatenkategorieSpeicherdauerRechtsgrundlage
Bio-ProfildatenBis zur Löschung durch den NutzerArt. 6(1)(b)
Klick-Statistiken (anonymisiert)90 TageArt. 6(1)(f)
Seitenaufruf-ZählerAggregiert, unbegrenztArt. 6(1)(f)
E-Mail-Anmeldungen (Leads)Bis zum Widerruf bzw. zur Löschung durch Besucher oder BetreiberArt. 6(1)(a)

14. Creator Intelligence / Nischen-Radar

Im Rahmen der Nischen-Radar-Funktion analysieren wir öffentlich zugängliche Creator-Profildaten von Instagram und TikTok, um aggregierte Nischen-Trend-Einblicke für unsere Nutzer bereitzustellen. Es werden ausschließlich öffentlich verfügbare Profilmetriken erhoben – keine privaten Daten und keine originalen Inhalte werden dauerhaft gespeichert.

Erhobene Daten

Folgende öffentlich zugängliche Daten werden verarbeitet:

  • Öffentliche Profilmetriken (Follower-Anzahl, Engagement-Rate, Posting-Frequenz)
  • Öffentlich sichtbare Nischen- und Themen-Kategorisierungen
  • Aggregierte Wachstumstrends auf Nischen-Ebene
  • Beispiel-Posts (nur temporär zur Analyse, nicht dauerhaft gespeichert)

Speicherdauern

DatenkategorieSpeicherdauer
Creator Snapshots (Detaildaten)90 Tage, danach Reduktion auf Wochenaggregat
Nischen-Trends6 Monate
Beispiel-PostsAutomatische Löschung nach 30 Tagen (nur zur Analyse)

Datenverarbeitung durch Dritte

Für die Erhebung und Analyse der Daten werden folgende Dienste eingesetzt:

  • Apify (Apify Technologies s.r.o., Tschechien, EU): Abruf öffentlich verfügbarer Creator-Profildaten als Vermittlungsdienst
  • Anthropic Claude (Anthropic, PBC, USA): KI-gestützte Analyse zur Generierung aggregierter Nischen-Einblicke

Rechtsgrundlage

Die Verarbeitung öffentlich zugänglicher Creator-Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse besteht darin, unseren Nutzern aggregierte Markteinblicke und Nischen-Analysen bereitzustellen, die sie bei der strategischen Planung ihrer Inhalte unterstützen.

Es werden dabei nur öffentlich zugängliche Profilmetriken verarbeitet. Eine Identifizierung oder Profilbildung einzelner Personen ist nicht Zweck der Verarbeitung – die Daten dienen ausschließlich der aggregierten Nischen-Analyse.

Creator-Opt-Out

Betroffene Creator können die Löschung ihrer Daten unter privacy@impulio.app beantragen. Nach einer Anfrage werden alle Daten gelöscht und der Creator auf eine Sperrliste gesetzt, sodass keine erneute Erhebung stattfindet.

15. Reichweiten- und Kampagnen-Erfolgsmessung

Wir messen den Erfolg unserer Werbe- und Reichweiten-Maßnahmen ausschließlich first-party und server-seitig. Es werden keine Cookies gesetzt, kein clientseitiges Tracking-Skript geladen, keine Daten an Dritte (insbesondere nicht an Google oder in die USA) übermittelt. Eine Einwilligung nach § 25 TDDDG ist hierfür nicht erforderlich, da kein Zugriff auf Ihr Endgerät erfolgt.

Verarbeitete Daten

Im Rahmen dieser Messung verarbeiten wir ausschließlich Daten, die beim Aufruf unserer Website sowie bei der Nutzung unseres Dienstes anfallen:

  • Kampagnen-Parameter der aufgerufenen URL ( utm_source, utm_medium, utm_campaign, utm_term, utm_content)
  • Google-Klick-Kennungen (gclid, gbraid, wbraid) – diese sind mit Ihrem Konto verknüpft und gelten als personenbezogene Daten
  • Referrer-Ursprung und erster aufgerufener Pfad (jeweils ohne Abfrageparameter, auf das erste Pfadsegment gekürzt)
  • Zeitpunkte des Erreichens von Funnel-Stufen: Registrierung, E-Mail-Bestätigung, Aktivierung, Test-/Trial-Start, Zahlung
  • Beim Zahlungs-Ereignis zusätzlich: der tatsächlich gezahlte Betrag der ersten Zahlung und der gewählte Tarif. Diese Werte dienen ausschließlich der internen, aggregierten Auswertung des Kampagnenerfolgs (Umsatz je Kanal/Kampagne) und werden nicht an Dritte – insbesondere nicht an Werbenetzwerke – übermittelt.
  • Ggf. verwendeter Aktions-Gutscheincode: Wenn Sie über einen Kampagnen-Link mit Gutscheincode zu uns kommen oder beim Abschluss einen Aktionscode einlösen, wird der Code Ihrem Akquise-Datensatz zugeordnet (Details in Abschnitt 16).

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erfolgsmessung und Optimierung unserer Werbung). Eine entsprechende Interessenabwägung wurde durchgeführt.

Speicherdauer

DatenkategorieSpeicherdauer
Google-Klick-Kennungen (gclid, gbraid, wbraid)Spätestens nach 90 Tagen
Funnel-Ereignisdaten (Registrierung, Zahlung etc.)Nach 24 Monaten Verdichtung zu anonymen, nicht mehr personenbeziehbaren Aggregaten

Widerspruchsrecht

Sie können dieser Verarbeitung jederzeit nach Art. 21 DSGVO widersprechen. Wenden Sie sich hierzu an die im Impressum bzw. unter Abschnitt 2 (Verantwortlicher) genannte Adresse. Wir löschen dann Ihren Akquise-Datensatz und entfernen den Personenbezug der zugehörigen Funnel-Ereignisse.

16. Gutschein-/Aktionseinlösung

Wenn Sie einen Aktions-Gutschein einlösen, verarbeiten wir die dazu erforderlichen Daten ausschließlich innerhalb unserer eigenen Infrastruktur in Deutschland – ohne Weitergabe an Dritte.

Es gibt zwei Arten von Gutscheinen: Test-Gutscheine gewähren einen kostenfreien Pro-Testzeitraum (z. B. „X Monate gratis“). Nach Ablauf des Testzeitraums erfolgt automatisch ein Rückfall auf den kostenlosen Free-Tarif; es entsteht keine Zahlungsverpflichtung, sofern Sie nicht eigenständig ein kostenpflichtiges Abonnement abschließen. Rabatt-Gutscheine reduzieren den Preis einzelner Zahlungen eines kostenpflichtigen Abonnements, das Sie selbst im Checkout abschließen; der rabattierte erste Betrag und der reguläre Folgepreis werden vor dem Kauf angezeigt.

Verarbeitete Daten

  • Zuordnung zum Nutzerkonto: Verknüpfung der Einlösung mit Ihrem Impulio-Konto
  • Eingelöster Gutscheincode und zugehörige Kampagnenbezeichnung
  • HMAC-Hash der normalisierten E-Mail-Adresse: Ein kryptografischer Einweg-Hash Ihrer E-Mail-Adresse (kein Klartext, nicht rückführbar). Er dient ausschließlich dazu, Mehrfacheinlösungen über verschiedene Konten oder Alias-Adressen desselben Postfachs zu erkennen und zu verhindern.
  • Conversion-Status: Ob nach Ablauf eines kostenfreien Testzeitraums ein kostenpflichtiges Abonnement abgeschlossen wurde (boolescher Wert: ja/nein). Wird ausschließlich für aggregierte, nicht personenbezogene Auswertungen des Aktionserfolgs genutzt.
  • Bei Rabatt-Gutscheinen zusätzlich: der Status der Einlösung (vorgemerkt, eingelöst, freigegeben), der tatsächlich gewährte Rabattbetrag und die Referenz auf die zugehörige Bestellung. Genutzt zur Abrechnung, zur Verhinderung von Mehrfacheinlösungen und für die aggregierte Aktionsauswertung.

Zweck

  • Abwicklung der Gutscheineinlösung im Rahmen des Nutzungsverhältnisses
  • Schutz vor Mehrfacheinlösung und Missbrauch (mehrere Konten, Alias- oder Wegwerf-E-Mail-Adressen)
  • Aggregierte, nicht personenbezogene Auswertung des Aktionserfolgs (Kampagne + Conversion-Status); die Auswertung erfolgt ausschließlich aus den Gutscheindaten, nicht über das allgemeine Akquise- oder Nutzungs-Tracking

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Durchführung der Gutscheineinlösung im Rahmen des Nutzungsverhältnisses) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verhinderung von Missbrauch und der Auswertung des Aktionserfolgs). Eine Interessenabwägung wurde durchgeführt; der E-Mail-Hash ersetzt den Klartextwert und minimiert den Personenbezug auf das technisch notwendige Minimum.

Speicherdauer

Der E-Mail-Hash und alle weiteren Einlösedaten (Gutscheincode, Kampagne, Conversion-Status) werden für die Dauer Ihres Nutzerkontos gespeichert und mit dessen endgültiger Löschung automatisch entfernt.

17. Empfehlungsprogramm

Impulio betreibt ein Empfehlungsprogramm („Freunde werben Freunde“), über das bestehende Nutzer neue Nutzer durch Teilen eines persönlichen Einladungslinks werben können. Die nachfolgenden Angaben beschreiben, welche personenbezogenen Daten dabei verarbeitet werden.

Verarbeitete Daten

  • Referral-Zuordnung: Beim Abschluss einer erfolgreichen Empfehlung wird dem geworbenen Nutzerkonto die Benutzer-ID des werbenden Nutzers (referrer_user_id) als Bestandsdatum zugeordnet.
  • Referral-Status und -Verlauf: Zeitpunkt der Registrierung über den Einladungslink, Zahlungsstatus und Wartezeit (30 Tage), sowie ob und wann eine Prämie gutgeschrieben wurde.
  • Missbrauchserkennung: Zur Erkennung von Selbst- oder Mehrfach-Werbung können Heuristiken eingesetzt werden, z. B. ein HMAC-Hash der normalisierten E-Mail-Adresse oder ein anonymisiertes Zahlungsidentitätsmerkmal. Rohe E-Mail-Adressen Dritter werden dabei nicht gespeichert.

Zweck

  • Abwicklung des Empfehlungsprogramms und Prämienvergabe an den werbenden Nutzer
  • Schutz vor Missbrauch (Mehrfach- und Selbst-Werbung)

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Abwicklung des Empfehlungsprogramms im Rahmen des Nutzungsverhältnisses) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verhinderung von Missbrauch und der ordnungsgemäßen Prämienvergabe).

Zur Missbrauchsvermeidung prüfen wir Empfehlungen anhand vorhandener Bestandsdaten (z. B. Häufung in kurzer Zeit, wiederkehrende E-Mail-Identität) und markieren auffällige Fälle zur manuellen Prüfung. Es werden dafür keine zusätzlichen personenbezogenen Daten erhoben (keine IP- oder Geräte-Speicherung); Markierungen werden nach spätestens 180 Tagen entfernt. Rechtsgrundlage ist unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Verhinderung von Programm-Missbrauch.

Wichtiger Hinweis zum Datenschutz geworbener Personen

Impulio erhebt keine personenbezogenen Daten der geworbenen Person über den werbenden Nutzer. Der werbende Nutzer kann keine E-Mail-Adresse oder sonstigen Kontaktdaten Dritter in das System eingeben — er teilt lediglich einen Link. Daten des geworbenen Freundes entstehen erst, wenn dieser sich eigenständig registriert. Der werbende Nutzer erfährt zu keinem Zeitpunkt die Identität des geworbenen Freundes (kein Name, keine E-Mail-Adresse).

Impulio versendet keineautomatisierten Einladungs-E-Mails im Namen des werbenden Nutzers. Der werbende Nutzer teilt seinen persönlichen Einladungslink ausschließlich selbst und auf eigene Veranlassung. Damit erfolgt keine von Impulio veranlasste Direktwerbung gegenüber Dritten (im Einklang mit der BGH-Rechtsprechung zu „Tell-a-Friend“-Empfehlungsfunktionen).

Speicherdauer

Die Referral-Zuordnung (referrer_user_id) und der Prämienstatus werden für die Dauer des Nutzerkontos gespeichert und mit dessen endgültiger Löschung automatisch entfernt. Heuristik-Daten zur Missbrauchserkennung werden spätestens nach 180 Tagen gelöscht.

18. Kommentar- und Interaktionsverwaltung (Engagement-Postfach)

Impulio bietet ein Engagement-Postfach, mit dem Sie Kommentare zu Ihren eigenen, über Impulio verknüpften und veröffentlichten Beiträgen zentral einsehen, sortieren und beantworten können. Hierfür rufen wir über die offiziellen Plattform-APIs die Kommentare zu Ihren Beiträgen ab und speichern sie in unserer Datenbank in Deutschland. Es werden ausschließlich Kommentare zu Ihren eigenen Beiträgen verarbeitet.

Kommentare stammen von Dritten (den kommentierenden Personen auf der jeweiligen Plattform). Wir verarbeiten dabei nur die Angaben, die die Plattform-API zu einem öffentlich sichtbaren Kommentar bereitstellt.

Verarbeitete Daten

  • Angaben zur kommentierenden Person: öffentlicher Anzeigename, öffentlicher Benutzername (@-Handle), die plattforminterne Profil-Kennung sowie – sofern von der Plattform bereitgestellt – die URL des öffentlichen Profilbilds. Wir speichern keine IP-Adresse und keinen IP-Hash der kommentierenden Person.
  • Kommentarinhalt: der Text des Kommentars, etwaige darin enthaltene @-Erwähnungen (als Bestandteil des Textes), die Anzahl der Likes und Antworten sowie der Zeitpunkt der Kommentierung.
  • Plattform- und Zuordnungsdaten: die Plattform (z. B. Instagram, Facebook, Threads), die Plattform-Kennungen des Kommentars und des zugehörigen Beitrags, die Kennung eines etwaigen übergeordneten Kommentars sowie die Verknüpfung mit Ihrem Impulio-Konto bzw. Ihrem Team.
  • Bearbeitungsstatus: der von Ihnen oder Ihrem Team gesetzte Triage-Status (z. B. ungelesen/erledigt) und eine Priorität, ob der Kommentar von Ihrem eigenen Konto stammt sowie ob er ausgeblendet ist.
  • Ihre Antwort: der von Ihnen verfasste Antworttext, der Zeitpunkt der Antwort und das antwortende Team-Mitglied. Ihre Antwort wird über die Plattform-API als Kommentar-Antwort veröffentlicht.

Zweck

  • Einsehen, Sortieren und Beantworten der Kommentare zu Ihren eigenen Beiträgen an einer zentralen Stelle (Engagement-Postfach)
  • Verwaltung der Interaktion mit Ihrer Community im Team
  • Optionale Erstellung von KI-gestützten Antwortvorschlägen zu einzelnen Kommentaren (siehe „KI-gestützte Antwortvorschläge“ unten)

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Verwaltung und Beantwortung von Kommentaren zu Ihren Beiträgen im Rahmen des Nutzungsverhältnisses) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Verwaltung der Community-Interaktion). Verantwortlich für die Beantwortung und Verarbeitung der Kommentare im Engagement-Postfach sind Sie als Betreiber Ihrer Social-Media-Konten; Impulio stellt hierfür die technische Verarbeitung als Auftragsverarbeiter bereit.

KI-gestützte Antwortvorschläge

Auf Ihre ausdrückliche Aktion hin (Tippen auf „Antwortvorschläge“) erzeugen wir zu einem einzelnen Kommentar bis zu zwei kurze, bearbeitbare Antwortentwürfe in Ihrer Creator-/Marken-Stimme. Dazu wird der Text des betreffenden Kommentars (Inhalt der kommentierenden Person) zusammen mit dem Kontext Ihres Beitrags an unseren KI-Anbieter Anthropic (Anthropic, PBC, USA) übermittelt (siehe Abschnitt 8). Die Vorschläge sind reine Entwürfe: Sie werden Ihnen nur angezeigt, niemals automatisch gesendet, und Sie entscheiden frei, ob und in welcher Form Sie antworten.

Rechtsgrundlageist Art. 6 Abs. 1 lit. f DSGVO (Ihr berechtigtes Interesse an einer effizienten Beantwortung von Kommentaren zu Ihren Beiträgen). Da der Kommentartext von einer dritten Person stammt, lässt sich hierfür keine Einwilligung der kommentierenden Person einholen; die Übermittlung in die USA wird daher durch die mit Anthropic vereinbarten EU-Standardvertragsklauseln (SCC) abgesichert. Anthropic speichert Anfragen für maximal 7 Tage zu Sicherheitszwecken und nutzt sie nicht zum Training von KI-Modellen. Wir übermitteln dabei ausschließlich den Kommentartext und den Beitragskontext – keinen Anzeigenamen, @-Handle oder die Profil-Kennung der kommentierenden Person – und speichern die erzeugten Entwürfe nicht dauerhaft.

Speicherort und Speicherdauer

Die Kommentardaten werden in unserer Datenbank in Deutschland gespeichert. Sie werden spätestens mit der Löschung Ihres Nutzerkontos, der Trennung der zugehörigen Plattform-Verknüpfung oder der Löschung des zugehörigen Beitrags entfernt. Maßgeblich für den öffentlich sichtbaren Kommentar bleibt stets die jeweilige Plattform; eine Löschung in Impulio entfernt nur die bei uns gespeicherte Kopie.

19. KI-Assistenten verbinden (MCP-Schnittstelle)

Sie können optional einen externen KI-Assistenten (z. B. Claude von Anthropic, ChatGPT von OpenAI oder Cursor) per OAuth 2.1 mit Ihrem Impulio-Konto verbinden. Diese Verbindung erfolgt ausschließlich auf Ihre Veranlassung hin. Der verbundene Assistent erhält dabei ausschließlich lesenden Zugriff auf Ihren Inhaltskalender, Ihre Ideen-Bibliothek, Ihre Content-Strategie, Ihre Analytics-Übersicht und Ihre Trend-Vorschläge. Ein Schreibzugriff besteht nicht.

Empfänger und eigenständiger Verantwortlicher

Der jeweilige Anbieter des von Ihnen verbundenen KI-Assistenten handelt als eigener, eigenständiger Verantwortlicher und verarbeitet die von ihm abgerufenen Daten nach seiner eigenen Datenschutzerklärung. Es handelt sich um eine von Ihnen ausgelöste Offenlegung an einen dritten Verantwortlichen, nicht um eine Auftragsverarbeitung in unserem Auftrag.

Rechtsgrundlage

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, die Sie über den OAuth-Autorisierungsbildschirm erteilen). Es handelt sich um eine von Ihnen ausgelöste Offenlegung an einen dritten Verantwortlichen.

Drittland

Bei US-amerikanischen Anbietern (Anthropic, OpenAI) erfolgt eine Übermittlung in die USA. Für diese nutzerinitiierte Offenlegung an einen eigenständigen Verantwortlichen stützt sich die Übermittlung auf Ihre ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a DSGVO).

Widerruf

Sie können die Verbindung jederzeit unter Einstellungen, Integrationen, KI-Verbindung widerrufen. Die zugehörigen Zugriffstokens werden dabei sofort ungültig.

Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 11. Juli 2026.

Letzte Änderung: Ergänzung der Audio-Transkription (OpenAI Whisper) für Untertitel- und Clip-Funktionen, eines Abschnitts zu Browser-Push-Benachrichtigungen sowie von Angaben zu Local Storage und Session Storage. Präzisiert wurden die Angaben zu Laravel Nightwatch (übermittelte Daten, Speicherdauer) und Google Gemini (Protokollierung, Drittlandübermittlung). Korrigiert wurden das Löschverfahren (sofortige endgültige Löschung statt eines 30-tägigen Soft-Delete-Fensters), die Beschreibung der Bio-Besucherstatistik (kein GeoIP-Ländercode), der Meldeweg für Bio-Seiten (E-Mail an die im Impressum genannte Kontaktadresse), die Rechtsgrundlage der Onboarding- und Marketing-E-Mails (Einwilligung) und das Datum des UK-Angemessenheitsbeschlusses.

Frühere Änderungen: Ausführlichere Beschreibung der YouTube-Verknüpfung (Google): Nennung der YouTube API Services und der angefragten OAuth-Berechtigungen (youtube.upload, youtube.readonly), Detailangaben zu Zugriff, Verwendung, Speicherdauer und Löschung der über die YouTube API erhaltenen Daten, Widerrufsmöglichkeit über die Google-Sicherheitseinstellungen sowie Erklärung zur Einhaltung der Google API Services User Data Policy (Limited Use). Inhaltlich neu ist nur die transparentere Darstellung; zugleich wurde die zuvor mit angefragte Google-Berechtigung „Profilinformationen“ (userinfo.profile) aus der YouTube-Verknüpfung entfernt, da sie nicht benötigt wird (Datenminimierung). Davor: Klarstellung der Drittland-Rechtsgrundlage in den Einzelabschnitten zu Anthropic, OpenAI und Replicate (USA; EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO; keine EU-US-Data-Privacy-Framework-Zertifizierung dieser Anbieter) – inhaltlich identisch zur bestehenden Drittland-Übersichtstabelle, nur transparenter dargestellt. Frühere Änderungen: Ergänzung um die Erhebung technischer Metadaten zur Echtzeit-Verbindungsqualität (Live-/Polling-Status, Wiederverbindungsversuche, anonyme Tagessummen ohne Personenbezug) im Abschnitt „Fehlerüberwachung und Monitoring“ (Art. 6 Abs. 1 lit. f DSGVO). Frühere Änderungen: Ergänzung um Produkt-/Affiliate-Blöcke auf Link-in-Bio-Seiten, bei denen Seiten-Betreiber Produktinformationen (Name, Bild, Preis, Button-Text, Werbekennzeichnung) öffentlich anzeigen können und Klicks darauf als Konversionssignal (ohne zusätzliche personenbezogene Daten) erfasst werden (Art. 6 Abs. 1 lit. b und f DSGVO). Frühere Änderungen: Ergänzung um die E-Mail-Anmeldung (Lead-Erfassung) auf Link-in-Bio-Seiten, bei der Besucher nach aktiver Einwilligung ihre E-Mail-Adresse (optional ihren Namen) für den jeweiligen Seiten-Betreiber hinterlassen können; die IP-Adresse wird zur Missbrauchsabwehr gespeichert (Art. 6 Abs. 1 lit. a und f DSGVO). Frühere Änderungen: Ergänzung um die bedeutungsbasierte Suche über Ihre eigenen Inhalte (Speicherung von Embeddings in Deutschland) und um optionale, KI-gestützte und niemals automatisch gesendete Antwortvorschläge im Engagement-Postfach, bei denen der jeweilige Kommentartext an Anthropic (USA) übermittelt wird (Art. 6 Abs. 1 lit. f DSGVO, abgesichert durch SCC); automatische Erstellung von Bildbeschreibungen (Alt-Text) für hochgeladene Bilder und die Inhalts-Moderation von Beitragstexten und -bildern vor der Veröffentlichung sowie die Kommentar- und Interaktionsverwaltung (Engagement-Postfach) und die Threads-Berechtigungen; Klarstellungen zum Empfehlungsprogramm und zur Gutschein-Einlösung; Detailbeschreibung der datenschutzfreundlichen Missbrauchserkennung im Empfehlungsprogramm.

Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf dieser Website abgerufen werden.

Bei wesentlichen Änderungen der eingesetzten Auftragsverarbeiter und Drittdienste informieren wir registrierte Nutzer per E-Mail.