Datenschutz
1. Verantwortlicher
EBM Group GmbH
Kaiserstraße 16
90403 Nürnberg
Handelsregister: HRB 18917, Amtsgericht Nürnberg
Umsatzsteuer-Identifikationsnummer: DE344496126
Geschäftsführer: Erik Barz
Kontakt Datenschutz:
E-Mail: support@max-social.de
Web: https://max-social.de
Für Anfragen zu Ihren Datenschutzrechten (Auskunft, Löschung, Berichtigung etc.) wenden Sie sich bitte per E-Mail an support@max-social.de. Wir beantworten Anfragen in der Regel innerhalb von 30 Tagen.
2. Allgemeines und Gegenstand der Datenverarbeitung
MaxSocial (https://max-social.de) ist eine B2B-SaaS-Plattform der EBM Group GmbH. Sie richtet sich ausschliesslich an gewerbliche Nutzer, insbesondere Agenturen und professionelle Dienstleister, die Instagram-Accounts ihrer Kunden verwalten.
2.1 Kategorien verarbeiteter personenbezogener Daten
Im Rahmen des Betriebs von MaxSocial verarbeiten wir die folgenden Kategorien personenbezogener Daten:
- Stamm- und Kontaktdaten: Name, E-Mail-Adresse, Firma, Rechungsanschrift, Umsatzsteuer-Identifikationsnummer
- Vertragsdaten: gebuchtes Paket (Starter/Growth/OMR-Special), Laufzeit, Paket-Verlauf, Buchungsdatum
- Authentifizierungsdaten: Login-Token (Magic-Link, zeitlich begrenzt), Sitzungsinformationen
- Sicherheits- und Protokolldaten: Geräteinformationen (User-Agent), IP-Adressen in gehashter Form (HMAC, kein Klartext), Login-Zeitpunkt, Login-Standort (abgeleitet aus geohashtem IP)
- Zahlungsbezogene Referenzdaten: Stripe-Customer-ID, Stripe-Payment-Method-Token (kein Zugriff auf vollständige Kartennummern oder Bankverbindungen; diese werden ausschliesslich von Stripe gespeichert)
- Instagram-Account-Daten: Instagram-Benutzername (Handle), Zugangsdaten (Passwort, 2FA-Backup-Codes, WhatsApp-Codes) in libsodium-verschlüsselter Form (AES-256-äquivalent, Schlüssel liegt ausschliesslich in der Serverkonfiguration), Performance-Daten aus dem Supabase-Enrichment-Cache (Profilbild-URL, Follower-Verlauf)
- Team-Daten: E-Mail-Adressen eingeladener Teammitglieder (Member-Rolle), Einladungsdatum
2.2 Kategorien betroffener Personen
- Agency-Owner: Hauptnutzer mit vollständigem Account, Vertragspartner
- Agency-Member: Vom Owner eingeladene Teammitglieder (bis zu 10, paketabhängig) mit eingeschränkten Berechtigungen
- Website-Besucher: Personen, die https://max-social.de besuchen, ohne registriert zu sein
2.3 Rechtsgrundlagen im Überblick
Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen der Datenschutz-Grundverordnung (DSGVO):
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Kontoerstellung, Erbringung des gebuchten SaaS-Dienstes, Rechnungsstellung, Abonnement-Verwaltung, Kommunikation mit Kunden zu Vertragsfragen
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Aufbewahrung von Buchhaltungsbelegen nach § 147 AO / § 257 HGB (10 Jahre für Rechnungen), USt-ID-Validierung nach UStG
- Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen): Server-Logs und Sicherheitsprotokollierung, Login-Alerts bei unbekannten Geräten/Standorten, Betrug- und Missbrauchsprävention, IP-Hash-Protokollierung, Aktivitätsprotokoll (Activity-Log) zur Nachvollziehbarkeit von Plattformhandlungen
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Verarbeitung von Marketing-Cookies und optionaler Analyse-Dienste, soweit per Consent-Banner aktiv eingewilligt wurde
3. Server-Logs und Hosting
3.1 Hosting-Anbieter
MaxSocial wird auf Servern der HostPress GmbH (Deutschland) betrieben. HostPress ist als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich gebunden. Alle Daten werden ausschliesslich auf Servern in Deutschland verarbeitet und gespeichert.
3.2 Server-Logs
Bei jedem Zugriff auf die Website und die SaaS-Plattform werden vom Server automatisch technische Zugriffsdaten erfasst (sogenannte Server-Log-Files):
- Aufgerufene URL und Seite
- Datum und Uhrzeit des Zugriffs
- Menge der übertragenen Daten (Bytes)
- HTTP-Statuscode
- Betriebssystem und Browser-Version (User-Agent)
- IP-Adresse (im Rahmen des Activity-Logs und der Login-Protokollierung nur als HMAC-Hash gespeichert — kein Plaintext; reine Server-Logs des Webservers unterliegen der gesonderten Konfiguration durch HostPress)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb, Sicherheit und Fehleranalyse).
Speicherdauer: Reine Webserver-Zugriffsprotokolle werden spätestens nach Tagen gelöscht, sofern sie nicht zur Aufklärung konkreter Sicherheitsvorfälle weiter benötigt werden.
4. Cookies und Consent-Management
4.1 Was sind Cookies?
Cookies sind kleine Textdateien, die der Webbrowser auf Ihrem Endgerät speichert. MaxSocial verwendet Cookies zu verschiedenen Zwecken, die nachfolgend erläutert werden.
4.2 Technisch notwendige Cookies und Speicher (Essenziell)
Folgende Cookies, Browser-Storage-Einträge und externe Dienste sind für den Betrieb der Plattform technisch erforderlich und werden ohne gesonderte Einwilligung verarbeitet (Art. 6 Abs. 1 lit. b und f DSGVO):
WordPress (Authentifizierung und administrative Funktionen)
- Cookies:
wordpress_logged_in_*,wp-settings-*,wordpress_sec_* - Anbieter: EBM Group GmbH (lokal auf max-social.de)
- Zweck: Anmeldesitzung, Sicherheitstoken (Nonces), administrative Einstellungen
- Speicherdauer: 14 Tage (Sitzungs-Cookies bei aktivem „Angemeldet bleiben“)
WooCommerce (Warenkorb und Checkout)
- Cookies:
wp_woocommerce_session_*,woocommerce_cart_hash,woocommerce_items_in_cart - Anbieter: EBM Group GmbH (lokal)
- Zweck: Warenkorb-Verwaltung, Checkout-Session, Item-Counter
- Speicherdauer: 2 Tage / Sitzung
Complianz (Consent-Speicher)
- Cookies:
cmplz_consented_services,cmplz_policy_id,cmplz_marketing,cmplz_statistics,cmplz_preferences,cmplz_functional,cmplz_banner-status - Anbieter: Complianz B.V., Kalmarweg 14-5, 9723JG Groningen, Niederlande
- Zweck: Speicherung Ihrer Cookie-Einwilligungs-Entscheidung und Nachweisdokumentation gemäß DSGVO
- Speicherdauer: 12 Monate
- Datenschutz Complianz: https://complianz.io/privacy-statement/
MaxSocial Dashboard (lokaler Browser-Speicher)
- Storage:
ms_dashboard(localStorage),ms_setup_progress(sessionStorage) - Anbieter: EBM Group GmbH (lokal)
- Zweck: Speicherung der UI-Einstellungen (z.B. Sidebar-Status) und des Wizard-Fortschritts auf Ihrem Endgerät — keine Übertragung an unseren Server
- Speicherdauer: localStorage = persistent bis Browser-Reset; sessionStorage = bis Tab-Schließung
Stripe (Zahlungsabwicklung)
- Cookies:
m,_stripe_sid,_stripe_mid,__stripe_orig_props - Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin D02 H210, Irland (Konzernmutter: Stripe, Inc., USA)
- Zweck: Sichere Zahlungsabwicklung mit Kreditkarte und SEPA-Lastschrift, Betrugserkennung und 3-D-Secure-Authentifizierung
- Speicherdauer: bis zu 2 Jahre
- Drittlandstransfer: USA (über EU-Standardvertragsklauseln/SCCs gemäß Art. 46 DSGVO abgesichert)
- Datenschutz Stripe: https://stripe.com/de/privacy
Stripe ist als Auftragsverarbeiter eingebunden (Art. 28 DSGVO). Die Cookies sind für die Zahlungsabwicklung beim Checkout zwingend notwendig — ohne diese kann keine Bestellung erfolgen. Die rechtliche Einordnung als „essenziell“ stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
4.3 Optionale Cookies (nur nach Einwilligung)
MaxSocial setzt derzeit keine Analyse- oder Marketing-Cookies ein. Es sind weder Google Analytics, Facebook Pixel, Google Maps, eingebettete YouTube-Videos noch andere Tracking-Tools aktiv. Sollten in Zukunft optionale Cookies hinzugefügt werden, würden Sie hierzu im Cookie-Banner explizit eingewilligt werden müssen (Art. 6 Abs. 1 lit. a DSGVO).
4.4 Consent-Management: Complianz
MaxSocial nutzt Complianz GDPR Free von Complianz B.V., Kalmarweg 14-5, 9723JG Groningen, Niederlande, als Consent-Management-Platform (CMP). Das Tool dokumentiert Ihre Einwilligungsentscheidungen und stellt die rechtskonforme Steuerung des Cookie-Einsatzes sicher.
Die Datenschutzinformationen von Complianz finden Sie unter: https://complianz.io/privacy-statement/
4.5 Cookie-Verwaltung
Sie können Cookies in Ihrem Browser jederzeit einsehen, deaktivieren oder löschen. Bitte beachten Sie, dass bei Deaktivierung technisch notwendiger Cookies die Plattform möglicherweise nicht oder nicht vollständig nutzbar ist.
5. Registrierung, Vertragsdaten und Zahlungsabwicklung
5.1 Kontoerstellung und Vertragsdaten
Bei der Registrierung und dem Abschluss eines Abonnements auf MaxSocial erheben wir folgende Daten:
- Name und E-Mail-Adresse
- Firmenname und Rechnungsanschrift
- Umsatzsteuer-Identifikationsnummer (USt-ID, soweit angegeben; wird über VIES validiert)
- Gewähltes Paket (Starter/Growth/OMR-Special), Laufzeit (3/6/12 Monate), Anzahl Slots
Diese Daten werden zur Erfüllung des mit Ihnen geschlossenen SaaS-Abonnementvertrags verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Rechnungsrelevante Daten (Name, Anschrift, Rechnungsbetrag, Steuerdaten) unterliegen den handels- und steuerrechtlichen Aufbewahrungspflichten. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO. Speicherdauer: 10 Jahre ab Ende des Geschäftsjahres (§ 147 AO, § 257 HGB).
5.2 USt-ID-Validierung
Angegebene Umsatzsteuer-Identifikationsnummern werden automatisch über den VIES-Dienst der Europäischen Kommission (https://ec.europa.eu/taxation_customs/vies/) abgeglichen. Dabei werden USt-ID und Firmenname an die VIES-Datenbank übermittelt. Betreiber ist die Europäische Kommission; eine Weitergabe an Dritte findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 18e UStG.
5.3 Zahlungsabwicklung über Stripe
Die Zahlungsabwicklung erfolgt ausschliesslich über Stripe. MaxSocial selbst speichert keine vollständigen Kartennummern, IBAN-Daten oder sonstigen sensiblen Zahlungsmittelinformationen. Wir speichern lediglich:
- Stripe-Customer-ID (interne Referenz zur Zuordnung Ihres Stripe-Kundenprofils)
- Stripe-Payment-Method-Token (anonymisierte Referenz auf das bei Stripe hinterlegte Zahlungsmittel, z.B. für Folgeabbuchungen bei Abonnement-Verlängerungen und 3D-Secure-Verfahren)
Die Zahlungsdaten selbst werden ausschliesslich bei Stripe verarbeitet und gespeichert.
Auftragsverarbeiter / Datenübermittlung in Drittland:
Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA — vertreten in der EU durch Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland.
Die Verarbeitung durch Stripe kann Datenübermittlungen in die USA beinhalten. Stripe ist nach dem EU-U.S. Data Privacy Framework zertifiziert. Ergänzend stützen wir die Übermittlung auf EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO liegt vor. Weitere Informationen: https://stripe.com/de/privacy
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Zahlungsabwicklung zur Vertragserfüllung).
5.4 Rechnungserstellung (YITH PDF Invoices)
Rechnungen werden automatisiert durch das lokal betriebene Plugin YITH PDF Invoices erzeugt. Dieses Plugin übermittelt keine Daten an externe Dienste. Rechnungsdaten werden auf unserem Hosting-Server (HostPress, Deutschland) gespeichert.
Speicherdauer: 10 Jahre ab Ende des Geschäftsjahres (§ 147 AO, § 257 HGB).
6. Login und Authentifizierung
6.1 Authentifizierung (Magic-Link und Passwort)
MaxSocial bietet zwei alternative Login-Verfahren:
- Magic-Link-Login (passwortlos): Bei der Anmeldung wird auf Wunsch ein zeitlich begrenzter Login-Link (gültig für maximal 10 Minuten, Einzelverwendung) per E-Mail an Ihre registrierte E-Mail-Adresse gesendet. Dieser Link enthält ein kryptografisches Token, das nach einmaliger Verwendung ungültig wird. Der Versand erfolgt über Brevo (siehe Abschnitt 7).
- Passwort-Login: Während des Checkouts setzen Sie ein eigenes Passwort, das ausschließlich als kryptografischer Hash (WordPress-Standard via PHP-
password_hash/bcrypt) auf unserem Server gespeichert wird. Das Klartext-Passwort liegt zu keinem Zeitpunkt in der Datenbank vor. Bei Passwort-Verlust starten Sie den Reset-Vorgang via E-Mail-Link.
Beide Verfahren sind gleichwertig nutzbar. Sitzungsdauer ist auf 7 Tage begrenzt (Re-Login erforderlich).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Authentifizierung zur Vertragserfüllung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Authentifizierung zur Vertragserfüllung).
6.2 Login-Ereignisse und Sicherheitsalarme
Zur Erkennung unbefugter Zugriffe und als Sicherheitsmassnahme speichern wir bei jedem Login:
- Zeitpunkt des Logins
- Geräteinformationen (User-Agent: Browser, Betriebssystem)
- IP-Adresse in gehashter Form (HMAC-Hash, nicht rückrechenbar auf die Originaladresse; kein Klartext-IP wird dauerhaft gespeichert)
- Ob der Zugriff von einem bekannten oder neuen Gerät/Standort erfolgte
Bei Login von einem unbekannten Gerät oder einem unbekannten Standort erhalten Sie automatisch eine Benachrichtigungs-E-Mail (Login-Alert). Diese Funktion dient dem Schutz Ihres Kontos.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kontosicherheit und Missbrauchsprävention).
Speicherdauer: Login-Ereignisse werden für gespeichert und danach automatisch gelöscht.
6.3 Sitzungsdauer
Sitzungen (Sessions) haben eine maximale Gültigkeitsdauer von 7 Tagen. Nach Ablauf ist eine erneute Authentifizierung per Magic-Link erforderlich.
7. E-Mail-Versand (Brevo)
Transaktionale E-Mails (Magic-Login-Links, Buchungsbestätigungen, Rechnungen, Sicherheitsbenachrichtigungen, Team-Einladungen, Status-Benachrichtigungen) werden über den Dienst Brevo (ehemals Sendinblue) versendet.
Auftragsverarbeiter:
Brevo SAS, 7 rue de Madrid, 75008 Paris, Frankreich
Brevo ist ein in Frankreich / der EU ansässiges Unternehmen. Die Verarbeitung erfolgt auf Servern innerhalb der EU. Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO liegt vor.
Beim E-Mail-Versand werden folgende Daten an Brevo übermittelt: E-Mail-Adresse des Empfängers, Absendername, E-Mail-Inhalt (Transaktionsnachricht), Zeitstempel. Brevo protokolliert den Versandstatus (zugestellt/zurückgewiesen) zur technischen Fehleranalyse.
Brevo verwendet die übermittelten Daten ausschliesslich zur Ausführung des E-Mail-Versands in unserem Auftrag und nicht für eigene Zwecke.
Datenschutzinformationen von Brevo: https://www.brevo.com/de/legal/privacypolicy/
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Versand vertragsbezogener Benachrichtigungen), Art. 6 Abs. 1 lit. f DSGVO (Versand von Sicherheitshinweisen).
8. Instagram-Datenabruf, FlashAPI und Supabase-Cache
MaxSocial erbringt Instagram-Wachstumsdienstleistungen im Auftrag von Agenturen. Zur Leistungserbringung werden Instagram-Kontodaten verarbeitet. Dieser Abschnitt beschreibt die dabei eingesetzten Dienste.
8.1 Instagram-Zugangsdaten (lokal verschlüsselt)
Im Rahmen des Einrichtungs-Wizards hinterlegen Agency-Owner die Instagram-Zugangsdaten (Benutzername/Passwort, ggf. 2FA-Backup-Codes, WhatsApp-Verifikationscodes) der betreuten Konten. Diese Daten werden ausschliesslich verschlüsselt auf unserem Server gespeichert (AES-256-GCM via libsodium, Schlüssel MS_CRED_KEY in der Serverkonfiguration, nie in Datenbank oder Quellcode).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Einrichtung und Betrieb des Wachstumsdienstes).
8.2 FlashAPI (Instagram-Datenabruf)
Zur Abfrage von Instagram-Performance-Daten (Follower-Anzahl, Zielgruppen-Metriken, Wachstums-Statistiken) nutzt MaxSocial den Dienst FlashAPI (fast.igapi.ru).
Dienstanbieter: FlashAPI, Russland
Dieser Dienst befindet sich ausserhalb der Europäischen Union und des Europäischen Wirtschaftsraums. Die Übermittlung personenbezogener Daten in dieses Drittland erfolgt auf der Grundlage von:
- Einem geschlossenen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
- EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO
Die an FlashAPI übermittelten Daten umfassen: Instagram-Benutzernamen der betreuten Konten sowie Anfrage-Parameter für Performance-Metriken. Es werden keine vollständigen personenbezogenen Klartext-Zugangsdaten an FlashAPI übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 46 Abs. 2 lit. c DSGVO (Vertragserfüllung; SCC als Garantie für Drittlandtransfer).
Hinweis: Da Russland kein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO vorliegt, sind ergänzende Schutzmaßnahmen (SCC + ggf. TIA) besonders sorgfältig zu dokumentieren.
8.3 Supabase (Enrichment-Cache für Profildaten)
MaxSocial nutzt einen Supabase-Dienst als Read-Cache für Instagram-Profildaten (Profilbilder, Follower-Verlauf). Dieser Cache wird von MaxSocial und dem Vorgänger-Projekt Partner Dashboard (partner.ebm-group.de) gemeinsam genutzt (Shared-Cache-Architektur). MaxSocial ruft Daten aus diesem Cache lesend ab und schreibt Enrichment-Daten (z.B. gecachte Profilbilder, Follower-Zeitreihen) in den Cache zurück.
Dienstanbieter: Supabase, Inc., 970 Tresser Blvd, Stamford, CT 06901, USA
Sofern Supabase-Server ausserhalb der EU/EWR betrieben werden, stützen wir die Übermittlung auf EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO liegt vor bzw. ist vor Produktivbetrieb abzuschliessen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO (Vertragserfüllung und berechtigtes Interesse an performantem Caching von öffentlich verfügbaren Profilstatistiken).
8.4 Custom Booking System (WhatsApp-Terminbuchung)
Das Custom Booking System (CBS) ermöglicht die Buchung von WhatsApp-Verifikations-Terminen (Einrichtungsprozess für betreute Instagram-Konten). Das System wird lokal auf unserem Server (HostPress, Deutschland) betrieben und übermittelt keine Daten an externe Dienste. Gespeichert werden: Buchungszeit, zugewiesener Account, Status des Verifikationstermins.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Einrichtungsprozess).
9. Aktivitätsprotokoll und Sicherheit
MaxSocial führt ein Aktivitätsprotokoll (Activity-Log) über relevante Plattformaktionen. Dieses dient der Nachvollziehbarkeit von Kontoaktionen, der Missbrauchsprävention und der Systemsicherheit.
Im Activity-Log werden ausschliesslich vorab definierte, freigegebene Felder protokolliert (Whitelist-Prinzip):
- Aktion-Typ (z.B. Login, Account-Erstellung, Paket-Wechsel, Einladung gesendet)
- Zeitstempel
- Benutzer-ID (interne Referenz, kein Klartext-Name)
- IP-Adresse in gehashter Form (HMAC-Hash, kein Klartext)
- Betroffenes Objekt (z.B. Account-ID, Subscription-ID)
Es werden keine freien Inhalte, keine vollständigen IP-Adressen und keine Zahlungsdaten im Activity-Log gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen: Systemsicherheit, Nachvollziehbarkeit, Missbrauchsprävention).
Speicherdauer: Activity-Log-Einträge werden nach automatisch gelöscht.
10. Auftragsverarbeiter — Übersicht
Die folgende Tabelle listet alle Dritten, denen wir im Rahmen der Datenverarbeitung Zugang zu personenbezogenen Daten gewähren oder an die wir Daten übermitteln. Mit allen Auftragsverarbeitern im Sinne des Art. 28 DSGVO ist ein Auftragsverarbeitungsvertrag (AVV) abzuschliessen bzw. bereits geschlossen.
| Anbieter | Sitz | Drittland | Zweck | Rechtsgrundlage Übermittlung | AVV/SCC |
|---|---|---|---|---|---|
| HostPress GmbH | Deutschland (EU) | Nein | Hosting, Webserver, Datenbank | Art. 28 DSGVO | AVV vorhanden |
| Stripe Payments Europe Ltd. | Irland (EU) / Stripe Inc. USA | USA (Muttergesellschaft) | Zahlungsabwicklung, Kreditkarte, SEPA Direct Debit | Art. 6 Abs. 1 lit. b; SCC (EU-U.S. DPF) | AVV + SCC |
| Brevo SAS | Frankreich (EU) | Nein | Transaktionaler E-Mail-Versand | Art. 6 Abs. 1 lit. b, f | AVV vorhanden |
| Supabase, Inc. | USA | Ja (ggf.) | Read/Write-Cache Instagram-Profildaten (Enrichment-Cache) | Art. 6 Abs. 1 lit. b, f; SCC | AVV + SCC |
| FlashAPI | Russland | Ja | Instagram-Datenabruf (Performance-Metriken, Follower-Statistiken) | Art. 6 Abs. 1 lit. b; SCC + AVV | AVV + SCC |
| Complianz B.V. (Complianz GDPR) | Niederlande (EU) | Nein | Consent-Management (Cookie-Banner) | Art. 6 Abs. 1 lit. c, f | AVV ggf. erforderlich |
Lokal betriebene Komponenten (kein Drittanbieter):
– YITH PDF Invoices (Rechnungsgenerierung)
– VAT Compliance Plugin (VIES-Abfrage direkt an EU-Kommission)
– Magic Login Plugin (Login-Link-Generierung, Versand über Brevo)
– Custom Booking System / CBS (WhatsApp-Terminbuchung)
11. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen:
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Vertragsdaten (Name, E-Mail, Firma, Anschrift) | Dauer des Vertragsverhältnisses + 3 Jahre (Verjährungsfrist nach BGB) | Art. 6 Abs. 1 lit. b, f |
| Rechnungs- und Buchhaltungsdaten | 10 Jahre ab Ende des Geschäftsjahres | Art. 6 Abs. 1 lit. c (§ 147 AO, § 257 HGB) |
| Zahlungsreferenzen (Stripe-Customer-ID, Token) | Dauer des aktiven Abonnements + | Art. 6 Abs. 1 lit. b |
| Login-Ereignisse und Sicherheitsprotokolle | Art. 6 Abs. 1 lit. f | |
| Activity-Log-Einträge | Art. 6 Abs. 1 lit. f | |
| Magic-Login-Token | 10 Minuten (technisches Ablaufdatum) | Art. 6 Abs. 1 lit. b |
| Instagram-Zugangsdaten (verschlüsselt) | Dauer der Beauftragung (Account aktiv) + sofortige Löschung bei Account-Löschung | Art. 6 Abs. 1 lit. b |
| Instagram-Enrichment-Cache (Supabase) | Art. 6 Abs. 1 lit. b, f | |
| Team-Einladungs-Daten | Bis Einladung angenommen oder abgelaufen, danach | Art. 6 Abs. 1 lit. b |
| Consent-Einwilligungen (Complianz) | 12 Monate (Nachweis der Einwilligung) | Art. 6 Abs. 1 lit. c |
| Webserver-Logs (HostPress) | Art. 6 Abs. 1 lit. f |
Nach Ablauf der Speicherdauer werden Daten automatisch gelöscht oder anonymisiert, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
12. Empfänger und Datenweitergabe
Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt ausschliesslich:
- an Auftragsverarbeiter im Sinne des Art. 28 DSGVO (Übersicht siehe Abschnitt 10), die die Daten ausschliesslich in unserem Auftrag und nach unseren Weisungen verarbeiten
- wenn Sie als Agency-Owner Teammitglieder (Member) einladen — dann erhält das eingeladene Mitglied Zugriff auf die im Rahmen des Abonnements hinterlegten Kontodaten und Account-Informationen
- wenn eine gesetzliche Verpflichtung zur Weitergabe besteht (z.B. Auskunftspflicht gegenüber Behörden nach § 101 UrhG, § 14 TMG o.ä.)
- wenn die Weitergabe zur Wahrung berechtigter Interessen erforderlich ist (z.B. Übergabe von Daten an einen Rechtsanwalt oder Inkassodienstleister bei Zahlungsverzug)
Eine Weitergabe zu Marketing-Zwecken an Dritte oder ein Verkauf von Kundendaten findet nicht statt.
13. Rechte der betroffenen Personen (Art. 15-22 DSGVO)
Soweit wir personenbezogene Daten von Ihnen verarbeiten, stehen Ihnen als betroffener Person die folgenden Rechte zu:
Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten von Ihnen verarbeitet werden, sowie Auskunft über diese Daten und eine Kopie zu erhalten.
Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die unverzügliche Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen sowie die Vervollständigung unvollständiger Daten.
Recht auf Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden“): Sie haben das Recht, die Löschung der Sie betreffenden personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten oder andere Verarbeitungsgründe entgegenstehen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln. Dieses Recht gilt für Daten, die auf Grundlage einer Einwilligung (Art. 6 Abs. 1 lit. a) oder zur Vertragserfüllung (Art. 6 Abs. 1 lit. b) verarbeitet werden.
Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, jederzeit der Verarbeitung Ihrer personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) erfolgt, zu widersprechen. Wir werden die Verarbeitung dann einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen.
Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese jederzeit mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf wird die Rechtmässigkeit der bis zum Widerruf aufgrund der Einwilligung erfolgten Verarbeitung nicht berührt.
Geltendmachung Ihrer Rechte:
Richten Sie Ihren Antrag per E-Mail an: support@max-social.de
Wir werden Ihre Anfrage nach Überprüfung Ihrer Identität in der Regel innerhalb von einem Monat beantworten (Art. 12 Abs. 3 DSGVO). Bei komplexen oder umfangreichen Anfragen kann sich diese Frist auf bis zu drei Monate verlängern; wir informieren Sie in diesem Fall vorab.
14. Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)
Sie haben das Recht, sich jederzeit bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.
Die für uns zuständige Aufsichtsbehörde ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 981 180093-0
E-Mail: poststelle@lda.bayern.de
Web: https://www.lda.bayern.de
Unabhängig davon können Sie sich auch an die Aufsichtsbehörde Ihres Wohnsitz- oder Arbeitsortlandes wenden.
15. Aktualisierung dieser Datenschutzerklärung
Diese Datenschutzerklärung kann aufgrund technischer Änderungen, rechtlicher Anforderungen oder neuer Dienste angepasst werden. Die jeweils aktuelle Version ist auf https://max-social.de/datenschutz abrufbar.
Stand dieser Version: 2026-05-01