Datenschutz & Sicherheit

Wir sind ein in Deutschland ansässiges DSGVO-first-Produkt. Kundendaten liegen in der EU, wir hosten die kritische Infrastruktur selbst und laufen die Security-Checkliste unten durch — damit du sie nicht für uns auditieren musst.

Wo deine Daten liegen

• Datenbank — selbst-gehostetes Supabase bei netcup (Nürnberg, Deutschland). Kein Cloud-Managed-Postgres, keine grenzüberschreitende Replikation.
• Hintergrund-Worker — gleiches netcup-Rack, verbunden über WireGuard.
• Fehler-Tracking — selbst-gehostetes GlitchTip, ebenfalls in Deutschland. Kein Sentry, keine US-Telemetrie.
• E-Mail — Mailcow selbst-gehostet auf derselben Infrastruktur. Kein Resend, kein Mailgun.
• Zahlungen — Stripe (Dublin, Irland); deren Sub-Auftragsverarbeiter sind in unserer Datenschutzerklärung offengelegt.

Amazon-Tokens

Dein Amazon-Refresh-Token wird verschlüsselt gespeichert (AES-256, Schlüssel in Supabase Vault). Access-Tokens sind kurzlebig (60 Minuten) und werden nie geloggt. Beim Trennen werden beide sofort gelöscht.

Row-Level Security

Jede Datenbank-Tabelle ist durch Supabase-RLS-Policies geschützt. Eine als Organisation A authentifizierte Anfrage kann keine Zeile der Organisation B lesen oder schreiben. Durchgesetzt auf DB-Ebene, nicht nur im App-Code.

Automatisierte Entscheidungen (Art. 22 DSGVO)

Wenn eine Automatisierungs-Regel ein Keyword pausiert oder ein Gebot anpasst, gilt das als automatisierte Entscheidung nach Art. 22 DSGVO. Du hast das Recht auf menschliche Überprüfung, Widerspruch und Erklärung der Regel-Logik. Jede automatisierte Aktion wird mit auslösender Regel, Werten und Zeitstempel geloggt.

Daten exportieren und löschen

Über Einstellungen → Konto → Export kannst du einen JSON-Dump aller Daten ziehen, die wir über dich halten. Organisation löschen entfernt alle Kampagnen-Daten, Automatisierungs-Historie und Audit-Logs innerhalb von 30 Tagen.