Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutzgesetze ist:
Dominik Kreller
Kreller UG (haftungsbeschränkt)
E-Mail: support@xebora.com

2. Übersicht und Zweck der Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten, um Ihnen unsere SaaS-Dienste bereitzustellen, Verträge abzuwickeln, Zahlungen zu ermöglichen, Support zu leisten sowie zur Verbesserung und Sicherheit des Dienstes. Die Verarbeitung kann insbesondere folgende Zwecke verfolgen:

• Bereitstellung und Betrieb des Dienstes (Kontoführung, Authentifizierung),
• Abrechnung und steuerrechtliche Aufbewahrung von Rechnungen,
• Kundenservice und Support,
• Verwaltung und Veröffentlichung von Inhalten auf verbundenen Social-Media-Plattformen (Facebook, Instagram) im Auftrag des Nutzers,
• Kommunikation über Messaging-Dienste (WhatsApp Business) im Rahmen der Diensterbringung,
• Analyse und Verbesserung des Angebots (Nutzungsstatistiken),
• Sicherheit, Missbrauchsbekämpfung und Fehlerbehebung,
• Versand von Service-E-Mails und optionalen Marketinginformationen bei Einwilligung.

3. Rechtsgrundlagen

Die Verarbeitung Ihrer Daten erfolgt auf der Grundlage der Datenschutz-Grundverordnung (DSGVO):

• Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags) für Leistungserbringung und Abrechnung,
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) z. B. bei Tracking oder Marketing,
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) z. B. bei Sicherheitsmaßnahmen, Fehleranalyse und berechtigtem Interesse an Werbung im Rahmen der gesetzlichen Grenzen.

4. Kategorien verarbeiteter Daten

Wir verarbeiten je nach Zweck unter anderem folgende Datenkategorien:

• Stammdaten: Name, E-Mail-Adresse, Unternehmensdaten (bei Geschäftskunden),
• Zahlungs- und Rechnungsdaten: Zahlungsinformationen, Rechnungsadresse, Transaktionsdaten,
• Nutzungsdaten: Login-Daten, IP-Adressen, Logfiles, Nutzungsmetriken,
• Social-Media-Daten: Facebook-Seiteninformationen, Instagram-Kontodaten, veröffentlichte Beiträge, Kommentare, Engagement- und Reichweitenstatistiken, Zugriffstoken für verbundene Plattformen,
• Messaging-Daten: WhatsApp-Nachrichteninhalte, Telefonnummern, Konversationsverläufe im Rahmen der Dienstnutzung,
• Kommunikationsdaten: Supportanfragen, E-Mails und Chatverläufe,
• Technische Daten: Browser- und Gerätedaten, Cookies, Tracking-Informationen.

5. Weitergabe und Drittanbieter

Zur Vertragserfüllung und zum Betrieb unseres Angebots geben wir Daten ggf. an Dienstleister weiter (Auftragsverarbeiter). Wir wählen Anbieter sorgfältig aus und schließen mit ihnen Verträge zur Auftragsverarbeitung ab.

Im Folgenden haben wir die wichtigsten Drittanbieter aufgeführt, die wir nutzen, sowie kurze Hinweise zur Datenverarbeitung:

• Stripe (Zahlungsabwicklung): Stripe verarbeitet Zahlungs- und Transaktionsdaten, um Zahlungen abzuwickeln. Kartendaten werden nicht von uns gespeichert, sondern direkt und sicher an Stripe übermittelt. Rechtsgrundlage ist in der Regel die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Weitere Informationen: stripe.com/de/privacy.
• Google Analytics (Nutzeranalyse): Wir verwenden Google Analytics zur Verbesserung unseres Angebots und zur Analyse des Nutzerverhaltens. Die Nutzung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Google kann
• Daten in den USA verarbeiten; wir haben entsprechende Schutzmaßnahmen wie Standardvertragsklauseln abgeschlossen, soweit erforderlich. Nähere Informationen finden Sie in der Google-Datenschutzerklärung: policies.google.com/privacy.
• Google Business Profile API (Verwaltung von Geschäftsdaten): Sofern Sie uns aktiv die Verwaltung Ihres Google Business Profils erlauben, nutzen wir die Google Business Profile API, um Profilinformationen zu synchronisieren. Datenverarbeitung durch Google kann je nach Funktion außerhalb des EWR erfolgen; Rechtsgrundlage ist meist die Vertragserfüllung oder Ihre Einwilligung. Details: developers.google.com/my-business.
• Meta Platforms – Facebook & Instagram (Social-Media-Verwaltung): Zur Verwaltung und Veröffentlichung von Inhalten auf Facebook-Seiten und Instagram-Business-Konten nutzen wir die Meta Graph API. Dabei werden unter anderem Facebook-Seiteninformationen, Beiträge, Kommentare, Engagement-Statistiken sowie Zugriffstoken verarbeitet. Die Authentifizierung erfolgt über Facebook Login (OAuth 2.0). Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sowie die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Meta kann Daten in den USA verarbeiten; es gelten EU-Standardvertragsklauseln. Weitere Informationen: facebook.com/privacy/policy.
• Meta Platforms – WhatsApp Business API (Messaging): Sofern Sie die WhatsApp-Integration nutzen, verwenden wir die Meta WhatsApp Business Cloud API zur Kommunikation. Dabei werden Telefonnummern, Nachrichteninhalte und Konversationsverläufe verarbeitet. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Meta kann Daten in den USA verarbeiten; es gelten EU-Standardvertragsklauseln. Weitere Informationen: whatsapp.com/legal/privacy-policy.
• Hosting-Provider, E-Mail- und Newsletter-Dienste, sowie Support- und Monitoring-Tools (z. B. Sentry). Diese Empfänger erhalten nur die Daten, die zur Erfüllung ihrer Aufgaben erforderlich sind.

6. Nutzung von Social-Media-Plattformen (Meta)

Unser Dienst ermöglicht Ihnen die Verwaltung Ihrer Facebook-Seiten, Instagram-Business-Konten und die Nutzung der WhatsApp Business API. Die Anbindung erfolgt über die offiziellen APIs von Meta Platforms, Inc.

6.1 Facebook & Instagram

Bei der Verbindung Ihres Facebook-Kontos mit unserem Dienst authentifizieren Sie sich über Facebook Login (OAuth 2.0). Sie erteilen dabei ausdrücklich die für den Dienst erforderlichen Berechtigungen. Wir speichern die von Facebook bereitgestellten Zugriffstoken verschlüsselt, um in Ihrem Auftrag Beiträge zu erstellen, Kommentare zu verwalten und Statistiken abzurufen.

Folgende Berechtigungen werden angefragt:

• pages_show_list – Liste Ihrer Facebook-Seiten anzeigen,
• pages_read_engagement – Engagement-Daten Ihrer Seiten lesen,
• pages_manage_posts – Beiträge erstellen und verwalten,
• pages_manage_metadata – Seiteninformationen verwalten,
• instagram_basic – Zugriff auf Instagram-Kontoinformationen,
• instagram_content_publish – Instagram-Inhalte veröffentlichen,
• instagram_manage_comments – Instagram-Kommentare verwalten,
• instagram_manage_insights – Instagram-Statistiken abrufen.

Sie können die erteilten Berechtigungen jederzeit in Ihren Facebook-Einstellungen unter „Business-Integrationen" widerrufen. Nach Widerruf werden die bei uns gespeicherten Zugriffstoken unverzüglich gelöscht.

6.2 WhatsApp Business

Bei Nutzung der WhatsApp-Integration werden Nachrichten über die Meta WhatsApp Business Cloud API versendet und empfangen. Wir speichern Konversationsdaten zur Bereitstellung des Dienstes und löschen diese nach Beendigung des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten bestehen. Die Nutzung setzt voraus, dass Ihre Gesprächspartner dem Empfang von Nachrichten über WhatsApp zugestimmt haben (Opt-in).

6.3 Löschung von Meta-Plattformdaten

Sie können die Löschung aller über Meta-Plattformen erhobenen Daten jederzeit selbstständig durchführen oder bei uns beantragen. Eine detaillierte Anleitung zum Löschprozess finden Sie auf unserer Seite Datenlöschung. Zusätzlich können Sie die Verbindung zwischen Ihrem Facebook-Konto und unserem Dienst über die Facebook-Einstellungen unter „Business-Integrationen" aufheben. Die Verarbeitung Ihrer Daten durch Meta selbst richtet sich nach der Datenschutzrichtlinie von Meta.

7. Cookies und Tracking

Wir verwenden Cookies und ähnliche Technologien, um die Funktionalität unseres Angebots zu gewährleisten und Nutzungsstatistiken zu erstellen. Einige Cookies sind technisch notwendig, andere erfordern Ihre Einwilligung.

Informationen zur Verwaltung und Widerruf von Cookie-Einwilligungen finden Sie in unserem Cookie-Banner oder in den Einstellungen Ihres Browsers.

8. Speicherung und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen (z. B. steuerrechtlich) dies vorsehen.

Nach Wegfall des Verarbeitungszwecks werden die Daten gelöscht oder gesperrt, sofern eine Löschung nicht gesetzlichen Aufbewahrungspflichten entgegensteht.

9. Ihre Rechte

Sie haben gegenüber dem Verantwortlichen folgende Rechte:

• Recht auf Auskunft über die verarbeiteten Daten (Art. 15 DSGVO),
• Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO),
• Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO),
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
• Widerspruchsrecht gegen Verarbeitung nach Art. 6 Abs. 1 lit. e oder f DSGVO (Art. 21 DSGVO),
• Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO),
• Recht auf Beschwerde bei einer Aufsichtsbehörde.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an: support@xebora.com.

Informationen zur Löschung Ihres Accounts und aller verknüpften Daten finden Sie auf unserer Seite Datenlöschung.

10. Datensicherheit

Wir treffen technische und organisatorische Sicherheitsmaßnahmen, um personenbezogene Daten gegen Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung durch unbefugte Personen zu schützen. Dazu gehören Verschlüsselung, Zugangsbeschränkungen und regelmäßige Prüfungen.

11. Datenübermittlung in Drittländer

Soweit Drittanbieter Dienste in Drittländern (außerhalb der EU/des EWR) einsetzen, stellen wir sicher, dass geeignete Schutzmaßnahmen bestehen (z. B. EU-Standardvertragsklauseln, Angemessenheitsbeschlüsse).

12. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung bei Bedarf an. Die aktuelle Fassung wird auf unserer Website veröffentlicht; wesentliche Änderungen werden wir Ihnen per E-Mail ankündigen, sofern Sie Kunde sind.

13. Kontakt und Aufsichtsbehörde

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten können Sie uns jederzeit per E-Mail an support@xebora.com kontaktieren.

Sollten Sie der Ansicht sein, dass die Verarbeitung Ihrer personenbezogenen Daten gegen geltendes Recht verstößt, haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde in Deutschland ist die Datenschutzbehörde Ihres Bundeslandes.