Datenschutzerklärung

1. Datenschutz auf einen Blick

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften (DSGVO, BDSG) sowie dieser Datenschutzerklärung. Diese Seite informiert Sie darüber, welche Daten wir erheben, wofür wir sie nutzen und welche Rechte Sie haben.

2. Verantwortlicher

L&H Consulting
Hagen Marggraf
Diepenbeekallee 2, 50858 Köln
E-Mail: support@liiposter.de

Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO i. V. m. § 38 BDSG nicht bestellt, da die gesetzlichen Schwellenwerte nicht erreicht sind.

3. Erfassung und Verarbeitung von Daten

3.1 Registrierung und Nutzerkonto

Bei der Registrierung erfassen wir Ihre E-Mail-Adresse sowie ein von Ihnen gewähltes Passwort (gespeichert als bcrypt-Hash). Die Authentifizierung erfolgt über Supabase Auth. Optional verarbeiten wir Angaben aus dem Onboarding (Rolle, Branche, Firma, Region, Zielgruppe), die Sie jederzeit in den Einstellungen ändern können. Diese Daten sind für die Bereitstellung unseres Dienstes erforderlich (Art. 6 Abs. 1 lit. b DSGVO).

3.2 LinkedIn-Verbindung

Wenn Sie Ihr LinkedIn-Konto verbinden, speichern wir einen verschlüsselten Zugriffstoken (AES-256-GCM) und Ihre LinkedIn-Profil-ID. Diese werden ausschließlich für die Veröffentlichung Ihrer Posts über die offizielle LinkedIn-API (OAuth 2.0) verwendet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch OAuth) sowie lit. b DSGVO (Vertragserfüllung). Sie können die Verbindung jederzeit in den Einstellungen trennen — alle LinkedIn-Daten werden dabei gelöscht.

3.3 Buffer-Verbindung (optional)

Wenn Sie Buffer als zusätzlichen Posting-Kanal nutzen, speichern wir einen verschlüsselten Zugriffstoken. Die Verbindung kann jederzeit getrennt werden.

3.4 KI-generierte Inhalte

Zur Erstellung von Post-Texten und Bildern übermitteln wir Ihre Eingaben (Brand Voice, Themen, Stil-Einstellungen) über das Vercel AI Gateway an KI-Anbieter: Textmodelle von Anthropic (Claude) sowie Bildmodelle von Google(Gemini). Die Anbieter haben sich vertraglich verpflichtet, keine Modelle auf Ihren Inhalten zu trainieren (Zero Data Retention für API-Kunden). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt: Sie entscheiden eigenständig, ob ein generierter Post veröffentlicht wird (Freigabe-Workflow). Die KI trifft keine Entscheidungen mit rechtlicher Wirkung.

3.5 Strategie-Analyse (öffentliche LinkedIn-Daten Dritter)

Der Dienst ermöglicht die Analyse öffentlich verfügbarer Content-Strategien. Dabei werden ausschließlich öffentlich zugängliche Informationen (Name, Berufsbezeichnung, öffentliche Beiträge) über die Dienstleister Piloterr (primär) und Nubela/Proxycurl bzw. RapidAPI (Fallback) abgerufen, verarbeitet und gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Nutzers an der Optimierung der eigenen Content-Strategie). Eine Interessenabwägung ergibt, dass das Interesse der betroffenen Personen aufgrund der ausschließlich öffentlichen Natur der Daten und der begrenzten Speicherdauer nicht überwiegt. Diese Analysedaten werden nach 12 Monaten automatisch gelöscht.

Betroffene Personen, deren öffentliche Informationen analysiert wurden, können jederzeit Auskunft, Berichtigung oder Löschung verlangen, indem sie den Verantwortlichen kontaktieren (support@liiposter.de). Auf Wunsch sperren wir die jeweilige LinkedIn-URL dauerhaft für die weitere Analyse.

3.6 Zahlungsdaten

Die Zahlungsabwicklung erfolgt über Stripe Payments Europe Limited(Irland). Wir speichern keine Kreditkarten- oder Bankdaten. Stripe speichert und verarbeitet Zahlungsdaten eigenverantwortlich gemäß den eigenen Datenschutzbestimmungen. Wir erhalten von Stripe lediglich die Kunden-ID, den Abo-Status und den Zeitpunkt der letzten Zahlung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.7 E-Mail-Kommunikation

Wir versenden transaktionale E-Mails (Freigabe-Benachrichtigungen, Onboarding, Analytics-Erinnerungen, Rechnungen) über Resend. Eingehende E-Mails an *@liiposter.de werden über ImprovMXan das persönliche Postfach des Verantwortlichen weitergeleitet. Ihre E-Mail-Adresse wird ausschließlich für den Dienst verwendet — kein Newsletter und keine Werbung an Dritte. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.8 Sicherheit und Rate-Limiting

Zum Schutz vor Missbrauch (Brute-Force, DDoS, Bot-Traffic) setzen wir Upstash Redis(EU-Region) als Rate-Limiter ein. Dabei werden IP-Adressen gehasht und für maximal eine Stunde in einem Sliding-Window-Zähler vorgehalten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit).

4. Datenspeicherung und Sicherheit

Ihre Daten werden bei Supabase in der EU-Region (eu-west-2, London) gespeichert. Alle sensiblen Daten (OAuth-Tokens) werden mit AES-256-GCM verschlüsselt. Die Datenbank ist durch Row-Level-Security geschützt — jeder Nutzer sieht ausschließlich seine eigenen Daten. Strategieanalyse-Daten werden nach 12 Monaten automatisch gelöscht.

Eine ausführliche Übersicht der technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) stellen wir auf Anfrage zur Verfügung.

5. Hosting und Infrastruktur

Diese Webseite wird bei Vercel Inc.(San Francisco, USA) gehostet. Vercel verarbeitet Server-Logs (IP-Adressen, Zugriffszeiten) für den technischen Betrieb. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Mit Vercel besteht ein Auftragsverarbeitungsvertrag mit Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

6. Cookies und Tracking

Wir verwenden folgende Cookies und Tracking-Technologien:

  • Technisch notwendige Cookies— Supabase Session-Cookies für die Authentifizierung sowie Cookies für das Cookie-Banner selbst. Diese sind für den Betrieb des Dienstes erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG) und können nicht deaktiviert werden.
  • Produktmessung— Vercel Web Analytics und Speed Insights erfassen anonymisierte Nutzungsdaten ohne Cookies und ohne direkte IP-Speicherung auf Basis von Art. 6 Abs. 1 lit. f DSGVO.
  • Web-Analyse (optional)— Google Analytics 4 wird erst nach Ihrer ausdrücklichen Einwilligung aktiviert (Cookie-Banner, Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). GA4 nutzt IP-Anonymisierung, die Datenaufbewahrungsfrist haben wir auf 14 Monate begrenzt. Sie können Ihre Einwilligung jederzeit in den Cookie-Einstellungen widerrufen.

7. Ihre Rechte

Sie haben folgende Rechte gemäß DSGVO:

  • Auskunft(Art. 15) — Welche Daten wir über Sie gespeichert haben
  • Berichtigung(Art. 16) — Korrektur unrichtiger Daten
  • Löschung(Art. 17) — Löschung Ihrer Daten („Recht auf Vergessenwerden“)
  • Einschränkung(Art. 18) — Einschränkung der Verarbeitung
  • Datenübertragbarkeit(Art. 20) — Export Ihrer Daten in maschinenlesbarem Format
  • Widerspruch(Art. 21) — Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen
  • Widerruf der Einwilligung(Art. 7 Abs. 3) — Jederzeit mit Wirkung für die Zukunft

Kontaktieren Sie uns unter support@liiposter.de. Wir reagieren unverzüglich, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Sie haben zudem das Recht, sich bei einer Aufsichtsbehörde zu beschweren — zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), www.ldi.nrw.de.

8. Speicherdauer

  • Kontodaten — bis zur Löschung des Kontos durch den Nutzer
  • Posts und Inhalte — bis zur Löschung durch den Nutzer oder Kontolöschung
  • Strategieanalyse-Daten — automatische Löschung nach 12 Monaten
  • OAuth-Tokens — bis zur Trennung der Verbindung durch den Nutzer oder Token-Ablauf
  • Zahlungsdaten— gemäß der Aufbewahrungspflichten (§ 147 AO: 10 Jahre; § 257 HGB: 6 Jahre); verwahrt bei Stripe
  • Server-Logs — gemäß der Richtlinien von Vercel (in der Regel max. 30 Tage)
  • Rate-Limiter-Daten— Sliding Window, max. 1 Stunde
  • GA4-Nutzungsdaten— 14 Monate

9. Drittanbieter und Auftragsverarbeiter

Mit den folgenden Dienstleistern haben wir Auftragsverarbeitungs- verträge (Art. 28 DSGVO) geschlossen. Bei Übermittlungen in Drittländer kommen zusätzlich der EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss nach Art. 45 DSGVO) und/oder Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) zur Anwendung.

  • Supabase Inc. (Datenbank, Auth, Storage) — EU-Region, eu-west-2
  • Vercel Inc. (Hosting, Serverless Functions, Analytics, AI Gateway) — USA, DPF + SCCs
  • Anthropic PBC (Text-KI Claude, via Vercel AI Gateway) — USA, DPF + SCCs, Zero Data Retention
  • Google LLC (Bild-KI Gemini, via Vercel AI Gateway) — USA, DPF + SCCs
  • Google Ireland Limited (Google Analytics 4, nur bei Einwilligung) — Irland/USA, DPF + SCCs
  • Stripe Payments Europe Limited(Zahlungsabwicklung) — Irland mit US-Unterstützung, DPF + SCCs, PCI DSS Level 1
  • Resend Inc. (Transaktionale E-Mails) — USA, DPF + SCCs
  • LinkedIn Ireland Unlimited Company (Post-Veröffentlichung via OAuth) — Irland
  • Cloudflare Inc. (DNS) — USA, DPF + SCCs
  • Upstash Inc. (Redis Rate Limiting) — EU-Region
  • ImprovMX SAS (Eingehende E-Mail-Weiterleitung) — Frankreich (OVH), innerhalb EEA
  • Piloterr (Analyse öffentlicher LinkedIn-Inhalte) — EU/USA, SCCs
  • Nubela Pte. Ltd. / RapidAPI (Fallback-Analyse öffentlicher LinkedIn-Inhalte) — SG/USA, SCCs

Eine jederzeit aktuelle Auflistung inklusive Subprozessoren der genannten Anbieter stellen wir auf Anfrage unter support@liiposter.de bereit.

10. Datenübermittlung in Drittländer

Einige unserer Dienstleister haben ihren Sitz in den USA oder leiten Daten dorthin weiter. Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss gemäß Art. 45 DSGVO) bzw. auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) in der von der EU-Kommission 2021 beschlossenen Fassung. Wo erforderlich, werden zusätzliche Schutzmaßnahmen (technische und organisatorische) umgesetzt.

11. Kontolöschung

Bei Löschung Ihres Kontos werden alle personenbezogenen Daten vollständig entfernt: Posts, Inhalte, Analysen, OAuth-Tokens, hochgeladene Bilder und Einstellungen. Dieser Vorgang ist nicht umkehrbar. Gesetzliche Aufbewahrungsfristen (z. B. für Rechnungsdaten bei Stripe) bleiben davon unberührt.

12. Aktualität und Änderungen

Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder unsere Dienste ändern. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.

Stand: 17. April 2026