Datenschutzerklärung

Stand: 2026-06-07

Diese Datenschutzerklärung gilt für zwei Kontexte:

• (A) den Besuch unserer Marketing-Website wirtix.de und
• (B) die Nutzung der SaaS-Plattform app.wirtix.de samt zugehöriger Mobile-App und kundeneigener Subdomains, die auf der Wirtix-Plattform betrieben werden.

Verantwortlicher ist in beiden Fällen die unter Ziffer 1 genannte Stelle. Abschnitte, die nur für einen der beiden Kontexte gelten, sind mit einem Hinweis „Gilt für: Website" bzw. „Gilt für: Plattform" gekennzeichnet. Wenn Sie ausschließlich unsere Website besuchen, ohne sich anzumelden, betreffen Sie nur die mit „Website" oder „Website + Plattform" gekennzeichneten Abschnitte.

1) Einleitung und Kontaktdaten des Verantwortlichen

Gilt für: Website + Plattform

1.1 Wir freuen uns, dass Sie unsere Website besuchen, und bedanken uns für Ihr Interesse. Im Folgenden informieren wir Sie über den Umgang mit Ihren personenbezogenen Daten bei der Nutzung unserer Website. Personenbezogene Daten sind hierbei alle Daten, mit denen Sie persönlich identifiziert werden können.

1.2 Verantwortlicher für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Tobias Hintzsche, Wirtix
Sanderglacisstraße 7
97072 Würzburg, Deutschland
Tel.: +49 157 858 87648
E-Mail: tobias@wirtix.de

Der für die Verarbeitung von personenbezogenen Daten Verantwortliche ist diejenige natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

2) Datenerfassung beim Besuch unserer Website

Gilt für: Website + Plattform

2.1 Bei der bloß informatorischen Nutzung unserer Website, also wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur solche Daten, die Ihr Browser an den Seitenserver übermittelt (sog. „Server-Logfiles"). Wenn Sie unsere Website aufrufen, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen die Website anzuzeigen:

• besuchte Website
• Datum und Uhrzeit zum Zeitpunkt des Zugriffs
• Menge der gesendeten Daten in Byte
• Quelle/Verweis, von welchem Sie auf die Seite gelangten
• verwendeter Browser
• verwendetes Betriebssystem
• verwendete IP-Adresse (ggf. in anonymisierter Form)

Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Verbesserung der Stabilität und Funktionalität unserer Website. Eine Weitergabe oder anderweitige Verwendung der Daten findet nicht statt. Wir behalten uns vor, die Server-Logfiles nachträglich zu überprüfen, sollten konkrete Anhaltspunkte auf eine rechtswidrige Nutzung hinweisen.

2.2 Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung personenbezogener Daten und anderer vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Sie können eine verschlüsselte Verbindung an der Zeichenfolge „https://" und dem Schloss-Symbol in Ihrer Browserzeile erkennen.

3) Hosting, Content-Delivery-Network und Infrastruktur

3.1 Vercel (Hosting, CDN, Functions, AI Gateway)

Gilt für: Website + Plattform

Für das Hosting unserer Websites, die Auslieferung statischer Inhalte und den Betrieb unserer Serverless Functions nutzen wir:

Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA

Vercel ermöglicht uns, Inhalte über ein regional verteiltes Server-Netzwerk performant auszuliefern und unsere Anwendung skalierbar zu betreiben. Unsere Functions werden in der Region Frankfurt (fra1) ausgeführt.

Die Verarbeitung erfolgt zur Wahrung unseres berechtigten Interesses an der Verbesserung der Stabilität und Funktionalität unserer Website gem. Art. 6 Abs. 1 lit. f DSGVO. Wir haben mit dem Anbieter einen Auftragsverarbeitungsvertrag geschlossen.

Für Datenübermittlungen in die USA hat sich Vercel dem EU-US-Datenschutzrahmen (EU-US Data Privacy Framework) angeschlossen, das auf Basis eines Angemessenheitsbeschlusses der Europäischen Kommission die Einhaltung des europäischen Datenschutzniveaus sicherstellt.

DPA: https://vercel.com/legal/dpa

3.2 Neon (Datenbank)

Gilt für: Website + Plattform

Für die persistente Datenhaltung nutzen wir:

Neon Inc., 209 Eddy Street, Apt 4, Ithaca, NY 14850, USA

Die Datenbank wird ausschließlich in der EU-Region (AWS Frankfurt eu-central-1) betrieben. Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b und f DSGVO. Wir haben mit dem Anbieter einen Auftragsverarbeitungsvertrag geschlossen.

Datentransfer-Garantie: DPF + Standardvertragsklauseln (SCC).

DPA: https://neon.tech/dpa

3.3 Upstash (Cache, Rate-Limiting)

Gilt für: Plattform

Für Performance-Cache und Schutz vor missbräuchlicher Nutzung (Brute-Force-Schutz) nutzen wir:

Upstash Inc., 800 W El Camino Real Suite 180, Mountain View, CA 94040, USA

Server-Region: EU (Frankfurt). Gespeichert werden ausschließlich technische Daten (z. B. Domain-zu-Tenant-Zuordnungen, kurzlebige IP-basierte Rate-Limit-Zähler). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Datentransfer-Garantie: DPF + SCC.

DPA: https://upstash.com/trust/dpa

4) Cookies

Gilt für: Website (technisch notwendiges Consent-Cookie und – nachEinwilligung – Statistik-Cookies). Die in der Tabelle mit „Plattform"markierten Cookies werden ausschließlich im eingeloggten Bereichapp.wirtix.de gesetzt, nicht beim bloßen Besuch der Marketing-Website.

Um den Besuch unserer Website attraktiv zu gestalten und die Nutzung bestimmter Funktionen zu ermöglichen, verwenden wir Cookies, also kleine Textdateien, die auf Ihrem Endgerät abgelegt werden. Teilweise werden diese Cookies nach Schließen des Browsers automatisch wieder gelöscht (sog. „Session-Cookies"), teilweise verbleiben diese Cookies länger auf Ihrem Endgerät und ermöglichen das Speichern von Seiteneinstellungen (sog. „persistente Cookies").

Sofern durch einzelne von uns eingesetzte Cookies auch personenbezogene Daten verarbeitet werden, erfolgt die Verarbeitung gemäß Art. 6 Abs. 1 lit. b DSGVO zur Durchführung des Vertrages, gemäß Art. 6 Abs. 1 lit. a DSGVO im Falle einer erteilten Einwilligung oder gemäß Art. 6 Abs. 1 lit. f DSGVO zur Wahrung unserer berechtigten Interessen an der bestmöglichen Funktionalität der Website sowie einer kundenfreundlichen und effektiven Ausgestaltung des Seitenbesuchs.

Übersicht der eingesetzten Cookies

Statistik- und Marketing-Cookies werden ausschließlich nach expliziter Einwilligung gesetzt. Bis zur Einwilligung sind sie durch Google Consent Mode v2 standardmäßig deaktiviert.

Sie können Ihre Einwilligung jederzeit über die Schaltfläche „Cookie-Einstellungen" im Footer dieser Website anpassen oder widerrufen.

5) Kontaktaufnahme

Gilt für: Website + Plattform

Im Rahmen der Kontaktaufnahme mit uns (z. B. per E-Mail oder Kontaktformular) werden – ausschließlich zum Zweck der Bearbeitung und Beantwortung Ihres Anliegens und nur im dafür erforderlichen Umfang – personenbezogene Daten verarbeitet.

Wenn Sie unser Kontaktformular auf wirtix.de/#kontakt nutzen, übermitteln wir die von Ihnen eingegebenen Daten (Name, E-Mail-Adresse, ggf. Betriebsname und Ihre Nachricht) per E-Mail über unseren Dienstleister Resend (siehe Ziffer 7.1) an uns. Eine Speicherung der Formulardaten in einer Datenbank erfolgt nicht; es wird ausschließlich eine E-Mail an uns versandt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihres Anliegens). Zielt Ihre Kontaktierung auf einen Vertrag ab, ist zusätzliche Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO.

Ihre Daten werden gelöscht, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist und sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6) Datenverarbeitung bei Eröffnung eines Kundenkontos

Gilt für: Plattform

Gemäß Art. 6 Abs. 1 lit. b DSGVO werden personenbezogene Daten im jeweils erforderlichen Umfang erhoben und verarbeitet, wenn Sie uns diese bei der Eröffnung eines Kundenkontos mitteilen. Welche Daten für die Kontoeröffnung erforderlich sind, entnehmen Sie der Eingabemaske des entsprechenden Formulars.

6.1 Clerk (Authentifizierung)

Für die Authentifizierung, Session-Verwaltung und Organisationszugehörigkeit unserer Nutzer setzen wir folgenden Anbieter ein:

Clerk Inc., 660 King Street, San Francisco, CA 94107, USA

EU-Vertreter nach Art. 27 DSGVO: VeraSafe Ltd., 33 Pearse Street, Dublin 2, Irland.

Verarbeitete Daten: E-Mail-Adresse, Passwort-Hash (Argon2), Session-Cookies, ggf. MFA-Daten (TOTP) und Profilbild. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datentransfer in die USA: Clerk ist nach dem EU-US Data Privacy Framework zertifiziert. Auf dieser Grundlage hat die EU-Kommission mit Beschluss vom 10.07.2023 ein angemessenes Datenschutzniveau festgestellt (Art. 45 DSGVO).

DPA: https://clerk.com/legal/dpa GDPR-Notice: https://clerk.com/legal/gdpr

Eine Löschung Ihres Kundenkontos ist jederzeit möglich und kann durch eine Nachricht an die o. g. Adresse des Verantwortlichen oder direkt über die Plattform erfolgen.

6.2 Mobile App: Push-Benachrichtigungen (Expo Push Service)

Wenn Sie unsere mobile Anwendung nutzen und Push-Benachrichtigungen in den Geräte-Einstellungen zulassen, verarbeiten wir zur Auslieferung dieser Benachrichtigungen folgenden Anbieter:

650 Industries, Inc. (Betreiberin der Marke „Expo"), 624 University Avenue, 1st Floor, Palo Alto, CA 94301, USA

Verarbeitete Daten:

• pseudonymer Expo Push Token (Format ExponentPushToken[…]),
• Plattform-Kennung (iOS oder Android),
• Inhalte der Push-Nachricht (Titel und Text — können je nach Anlass personenbezogene Daten enthalten, z. B. den Namen eines Geschäfts- partners im Kontext eines Rechnungs-Entwurfs),
• interne Verknüpfungs-IDs zur Deep-Link-Navigation in der App.

Expo speichert nach eigener Auskunft den Push-Token dauerhaft, um spätere Benachrichtigungen ausliefern zu können, hält den Push-Inhalt selbst jedoch nur für die Dauer des Auslieferungs-Vorgangs vor. Die Benachrichtigung wird über den jeweiligen Plattform-Push-Dienst ausgeliefert: Apple Push Notification Service (Apple Inc., USA) für iOS-Geräte bzw. Firebase Cloud Messaging (Google LLC, USA) für Android-Geräte. Apple und Google sind Sub-Auftragsverarbeiter von Expo und werden auf der Sub-Processor-Liste von Expo geführt: https://expo.dev/privacy/subprocessors.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Benachrichtigungen sind Teil der vereinbarten Plattform-Funktionalität für unsere Geschäftskunden). Sie können Push-Benachrichtigungen jederzeit über die Einstellungen Ihres Endgeräts deaktivieren; gespeicherte Push-Tokens werden bei Deaktivierung der App durch das System ungültig und beim nächsten Sende-Versuch automatisch aus unserer Datenbank entfernt.

Datentransfer in die USA: 650 Industries, Inc. ist nach dem EU-US Data Privacy Framework zertifiziert (Privacy Policy mit DPF-Hinweis seit Dezember 2024 öffentlich aktualisiert; DPF-Compliance besteht laut Expo-Changelog bereits seit der Ablösung des Privacy Shield). Auf dieser Grundlage hat die EU-Kommission ein angemessenes Datenschutz- niveau für Übermittlungen festgestellt (Art. 45 DSGVO). Apple Inc. und Google LLC sind ebenfalls DPF-zertifiziert.

Weitere Informationen:

• Expo Privacy Policy: https://expo.dev/privacy
• Expo GDPR-Hinweise: https://docs.expo.dev/regulatory-compliance/gdpr/
• Expo Sub-Processors: https://expo.dev/privacy/subprocessors

7) E-Mail-Versand (Transaktions- und Newsletter-Mails)

7.1 Resend (E-Mail-Versand)

Gilt für: Website + Plattform

Für den Versand von E-Mails nutzen wir Resend. Auf der Website betrifft dies die Übermittlung der über unser Kontaktformular (wirtix.de/#kontakt) abgesendeten Nachrichten an uns. Auf der Plattform kommen transaktionale E-Mails (Begrüßungsmails, Benachrichtigungen, Sicherheitshinweise, Rechnungsversand) sowie ggf. eigene Sending-Domains für Kunden hinzu. Anbieter:

Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA

Server-Region: EU (eu-west-1, Irland). Verarbeitete Daten: E-Mail-Adressen und Inhalte der versandten Nachrichten (beim Kontaktformular zusätzlich Name und ggf. Betriebsname). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datentransfer-Garantie: DPF + SCC.

DPA: https://resend.com/legal/dpa

7.2 Newsletter (Double-Opt-In)

Gilt für: Website (sofern ein Newsletter-Anmeldeformular angeboten wird)

Wenn Sie sich zu unserem E-Mail-Newsletter anmelden, übersenden wir Ihnen regelmäßig Informationen zu unseren Angeboten. Pflichtangabe für die Übersendung des Newsletters ist allein Ihre E-Mail-Adresse. Die Angabe weiterer Daten ist freiwillig.

Für den Newsletter-Versand verwenden wir das sog. Double-Opt-In-Verfahren: Sie erhalten den Newsletter erst, nachdem Sie durch Betätigung eines an die angegebene Mailadresse versandten Verifizierungslinks ausdrücklich Ihre Einwilligung in den Newsletter-Empfang bestätigt haben.

Mit der Aktivierung des Bestätigungslinks erteilen Sie uns Ihre Einwilligung für die Nutzung Ihrer personenbezogenen Daten gemäß Art. 6 Abs. 1 lit. a DSGVO. Wir speichern Ihre IP-Adresse sowie Datum und Uhrzeit der Anmeldung, um einen möglichen Missbrauch nachvollziehen zu können.

Sie können den Newsletter jederzeit über den dafür vorgesehenen Link im Newsletter oder durch entsprechende Nachricht an den eingangs genannten Verantwortlichen abbestellen.

8) Datenverarbeitung zur Vertragsabwicklung

Gilt für: Plattform

8.1 Stripe (Zahlungsabwicklung)

Auf dieser Website stehen eine oder mehrere Online-Zahlungsarten des folgenden Anbieters zur Verfügung:

Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Bei Auswahl einer Zahlungsart werden an Stripe Ihre im Rahmen des Bestellvorgangs mitgeteilten Zahlungsdaten (darunter Name, Anschrift, USt-ID, Karten- bzw. Kontoinformationen, Währung und Transaktionsnummer) sowie Informationen über den Inhalt Ihrer Bestellung gemäß Art. 6 Abs. 1 lit. b DSGVO weitergegeben.

Karten-Daten werden ausschließlich bei Stripe verarbeitet und gespeichert, nicht bei Wirtix.

DPA: https://stripe.com/legal/dpa

8.2 KI-gestützte Funktionen — Routing über Vercel AI Gateway

Zur Erbringung unseres KI-Assistenten und für interne Verarbeitungsaufgaben (z. B. Bild- und OCR-Analyse, Textgenerierung) nutzen wir KI-Sprachmodelle. Das Routing erfolgt über das Vercel AI Gateway. Wir haben den Zero-Data-Retention-Modus (ZDR) team-weit aktiviert: Prompts und Antworten werden nach Abschluss der jeweiligen Anfrage permanent gelöscht und nicht für Trainingszwecke verwendet.

Unser einziger vertraglicher Partner für KI-Funktionen ist Vercel (siehe § 3.1). Das AI Gateway leitet Anfragen modell-abhängig an verschiedene Modell-Anbieter weiter (z. B. Google Gemini). Diese Anbieter sind Sub-Auftragsverarbeiter von Vercel; eine direkte Vertragsbeziehung zwischen Wirtix und den Modell-Anbietern besteht nicht. Die jeweils aktuell genutzten Modelle und Anbieter ergeben sich aus der Liste der Sub-Auftragsverarbeiter (§ 14) sowie aus der Vercel-DPA-Kette (https://vercel.com/legal/dpa/sub-processors).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Leistungsbereitstellung) bzw. Art. 6 Abs. 1 lit. b DSGVO bei Vertragsverhältnis. Für etwaige Datentransfers in Drittländer (insb. USA) greifen über die Vercel-Kette EU-US-DPF-Zertifizierungen der jeweiligen Anbieter sowie Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO.

Eine Verarbeitung Ihrer Daten zu Trainings- oder Weiterentwicklungszwecken durch die genutzten KI-Anbieter ist durch unsere ZDR-Konfiguration im AI Gateway vertraglich und technisch ausgeschlossen.

Transparenzhinweis nach Art. 50 KI-Verordnung (EU 2024/1689): Bei der Nutzung unseres KI-Assistenten interagieren Sie mit einem KI-System. Die vom Assistenten erzeugten Texte, Bild- oder Strukturvorschläge sind KI-generierte Inhalte; sie stehen Ihnen als Entwurf zur weiteren Bearbeitung zur Verfügung und werden in der Plattform-Oberfläche entsprechend gekennzeichnet. Die Entscheidung über eine Veröffentlichung sowie etwaige weitere Kennzeichnungspflichten nach Art. 50 Abs. 2 KI-Verordnung auf Ihrer Website oder in anderen Kanälen liegen bei Ihnen als Verwender.

8.3 Gladia (Audio-Transkription)

Für die Sprach-zu-Text-Funktion (Voice-Input des KI-Assistenten) nutzen wir:

Gladia SAS, 226 Bd Voltaire, 75011 Paris, Frankreich

Verarbeitete Daten: Audio-Snippets (kurze Sprachaufnahmen) und die daraus erzeugten Transkripte. Die Audio-Daten werden ausschließlich an Gladia in Frankreich übermittelt, dort transkribiert und in unserer Plattform nicht persistiert — das Audio-Blob existiert lediglich für die Dauer des Transkriptions-Requests im Memory der Serverless Function.

Server-Region: Frankreich (EWR-intern). Ein Drittlandtransfer findet nicht statt.

Compliance-Profil von Gladia: GDPR, SOC 2 Type 2, ISO 27001, HIPAA.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO.

9) Webanalyse: Google Analytics 4

Gilt für: Website

Diese Website setzt Google Analytics 4 ein, einen Webanalysedienst der Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland („Google"), der eine Analyse Ihrer Benutzung unserer Website ermöglicht.

Standardmäßig werden beim Besuch der Website durch Google Analytics 4 keine Cookies verwendet, es sei denn, Sie stimmen Cookies ausdrücklich zu. Stattdessen werden Informationen über Ihr Nutzungsverhalten durch sog. Pings erhoben und verarbeitet. Zum Umfang dieser Informationen gehört auch Ihre IP-Adresse, die allerdings von Google um die letzten Ziffern gekürzt wird, um eine direkte Personenbeziehbarkeit auszuschließen.

Die Informationen werden an Server von Google übertragen und dort weiterverarbeitet. Dabei sind auch Übermittlungen an Google LLC mit Sitz in den USA möglich.

Die im Rahmen der Nutzung von Google Analytics 4 erhobenen Daten werden für die Dauer von zwei Monaten gespeichert und anschließend gelöscht.

Alle vorstehend beschriebenen Verarbeitungen erfolgen nur, wenn Sie uns hierfür Ihre ausdrückliche Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO erteilt haben. Sie können Ihre erteilte Einwilligung mit Wirkung für die Zukunft jederzeit über das auf der Website bereitgestellte „Cookie-Consent-Tool" widerrufen.

Wir haben mit Google einen Auftragsverarbeitungsvertrag geschlossen.

Für Datenübermittlungen in die USA hat sich Google dem EU-US-Datenschutzrahmen angeschlossen.

Weitere rechtliche Hinweise:

• https://business.safety.google/intl/de/privacy/
• https://policies.google.com/privacy?hl=de

9.1 Google Analytics für unsere Kunden (Tenant-Dashboards)

Gilt für: Plattform

Geschäftskunden, die unsere Plattform nutzen, können ihr eigenes Google Analytics 4 Property per OAuth mit unserem Tenant-Dashboard verbinden, um Auswertungen direkt im Wirtix-Admin zu sehen. Die Verbindung erfolgt ausschließlich auf Initiative des Kunden. Die OAuth-Refresh-Tokens werden bei uns AES-256-GCM-verschlüsselt gespeichert und ausschließlich zum Abruf der Analytics-Daten des verbundenen Properties verwendet.

9.2 Meta Platforms / Instagram (Tenant-OAuth-Integration)

Gilt für: Plattform

Geschäftskunden können ihren Instagram-Business-Account per OAuth mit Wirtix verbinden, um Beiträge direkt aus der Plattform an die Instagram Graph API zu veröffentlichen. Anbieter:

Meta Platforms Ireland Ltd., Merrion Road, Dublin 4, D04 X2K5, Irland (Daten können zudem an Meta Platforms Inc., 1 Hacker Way, Menlo Park, CA 94025, USA übermittelt werden).

Die Verbindung erfolgt ausschließlich auf Initiative des Kunden. Wirtix verarbeitet im Rahmen dieser Funktion:

• den von Meta ausgestellten Long-Lived Access Token (Gültigkeit 60 Tage, refreshable), AES-256-GCM-verschlüsselt mit Platform-Secret in unserer Datenbank gespeichert;
• die Instagram-Business-Account-ID und den öffentlichen Username des verbundenen Accounts;
• den vom Kunden freigegebenen Veröffentlichungs-Inhalt (Bild oder Karussell, Caption, Hashtags), der zum Zeitpunkt der Veröffentlichung an die Instagram Graph API übermittelt wird.

Wirtix nutzt den Token ausschließlich, um vom Kunden initiierte Posts an die Graph API zu senden. Eine Verarbeitung darüber hinaus — insbesondere das Auslesen von Followern, Direktnachrichten oder Profilen Dritter — findet nicht statt.

Verantwortlichkeitsverteilung: Im Verhältnis zum eigenen Instagram- Auftritt des Kunden ist Meta gemeinsam Verantwortlicher mit dem Kunden (Art. 26 DSGVO, sog. „Page Controller Addendum"); dieses Verhältnis besteht direkt zwischen dem Kunden und Meta und ist nicht Gegenstand dieser Erklärung. Wirtix ist ausschließlich Auftragsverarbeiter des Kunden für die Token-Speicherung und das Posting; Meta ist im Verhältnis zu Wirtix Datenempfänger.

Datentransfer in die USA: Meta hat sich dem EU-US Data Privacy Framework angeschlossen (Art. 45 DSGVO). Auf Basis der DPF-Zertifizierung besteht ein angemessenes Schutzniveau für Übermittlungen an Meta Platforms Inc.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Geschäftskunden), für etwaige zusätzliche Datenkategorien Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erbringung der gebuchten Posting-Funktion).

Eine Trennung des Instagram-Accounts ist jederzeit über die Tenant-Administration möglich. Auf Anfrage löschen wir den verschlüsselten Token unverzüglich, spätestens innerhalb von 30 Tagen. Die im Rahmen der Veröffentlichung an Meta übermittelten Inhalte verbleiben in der Verantwortung des Instagram-Account-Inhabers (Kunde) und können nur über die Instagram-Funktionen selbst gelöscht werden.

Weitere Informationen zu Metas Verarbeitung:

• Meta-Datenrichtlinie: https://www.facebook.com/privacy/policy
• Instagram-Datenrichtlinie: https://privacycenter.instagram.com/policy/

10) Seitenfunktionalitäten und eingebundene Dienste

10.1 YouTube (Video-Einbindung)

Gilt für: Website

Auf unserer Website binden wir ein Produkt-Demo-Video über YouTube im erweiterten Datenschutzmodus (youtube-nocookie.com) folgenden Anbieters ein:

Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland (Daten können zudem übermittelt werden an: Google LLC, USA)

Das Video wird nicht automatisch geladen. Stattdessen zeigen wir zunächst ein von uns selbst gehostetes Vorschaubild. Erst wenn Sie dieses Vorschaubild aktiv anklicken, wird das YouTube-Plugin nachgeladen und Ihr Browser stellt eine direkte Verbindung zu den Servern des Anbieters her; dabei werden bestimmte Informationen, einschließlich Ihrer IP-Adresse, an den Anbieter übermittelt. Vor diesem Klick werden keine Daten an YouTube/Google übermittelt und es werden keine YouTube-Cookies gesetzt.

Rechtsgrundlage für die mit dem Abspielen verbundene Datenübermittlung ist Ihre Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO, die Sie durch den aktiven Klick auf das Vorschaubild („Click-to-Load") erteilen. Solange Sie das Video nicht abspielen, findet keine Verarbeitung statt; ein gesonderter Widerruf über das Cookie-Consent-Tool ist daher nicht erforderlich.

Für Datenübermittlungen in die USA hat sich der Anbieter dem EU-US-Datenschutzrahmen angeschlossen.

11) Tools und Sonstiges

11.1 Cookie-Consent-Tool (vanilla-cookieconsent)

Gilt für: Website

Diese Website nutzt zur Einholung wirksamer Nutzereinwilligungen für einwilligungspflichtige Cookies und cookie-basierte Anwendungen die Open-Source-Bibliothek vanilla-cookieconsent (Orest Bida, MIT-Lizenz).

Das Tool wird Nutzern bei Seitenaufruf in Form einer interaktiven Benutzeroberfläche angezeigt, auf welcher sich per Häkchensetzung Einwilligungen für bestimmte Cookies und/oder cookie-basierte Anwendungen erteilen lassen. Einwilligungspflichtige Cookies und Dienste werden nur dann geladen, wenn der jeweilige Nutzer entsprechende Einwilligungen erteilt hat.

vanilla-cookieconsent wird lokal auf unseren Servern ausgeliefert und übermittelt keinerlei Daten an Dritte. Das Tool setzt lediglich ein technisch notwendiges Cookie (wirtix_cc), um Ihre Cookie-Präferenzen über einen Seitenbesuch hinaus zu speichern. Dieses Cookie enthält ausschließlich die von Ihnen getroffenen Einwilligungs-Entscheidungen, keine personenbezogenen Daten.

Kommt es im Einzelfall doch zur Verarbeitung personenbezogener Daten (wie etwa der IP-Adresse zur Protokollierung der Einwilligung), erfolgt diese gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an einem rechtskonformen Einwilligungsmanagement bzw. gemäß Art. 6 Abs. 1 lit. c DSGVO als rechtliche Verpflichtung.

Wir haben Google Consent Mode v2 integriert: Tracking- und Marketing-Cookies werden standardmäßig auf „denied" gesetzt und erst nach expliziter Einwilligung aktiviert.

Sie können Ihre Cookie-Einstellungen jederzeit über die Schaltfläche „Cookie-Einstellungen" im Footer dieser Website ändern oder widerrufen.

Projekt-Website: https://github.com/orestbida/cookieconsent

11.2 Sentry (Fehler-Tracking)

Gilt für: Website + Plattform

Wir nutzen einen Dienst zur automatischen Übermittlung von Fehlerberichten:

Functional Software Inc. („Sentry"), 132 Hawthorne Street, San Francisco, CA 94107, USA

Wir betreiben Sentry auf der EU-Instanz (de.sentry.io, Frankfurt). Bei technischen Komplikationen oder Funktionalitätsbeeinträchtigungen sendet der Dienst automatische Fehlerberichte. Übermittelt werden Server-Informationen und Nutzungsparameter wie IP-Adresse, eingesetzter Browser, Zeitstempel und angesteuerte URL. Fehlerberichte können je nach Ursprung des Fehlers auch weitergehende personenbezogene Daten enthalten.

Sofern auch personenbezogene Daten übermittelt werden, erfolgt die Verarbeitung gemäß Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an einer effizienten Fehlerursachenanalyse.

Datentransfer-Garantie: DPF + SCC.

DPA: https://sentry.io/legal/dpa/

12) Rechte der betroffenen Person

Gilt für: Website + Plattform

12.1 Das geltende Datenschutzrecht gewährt Ihnen gegenüber dem Verantwortlichen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten die nachstehenden Betroffenenrechte:

• Auskunftsrecht gemäß Art. 15 DSGVO
• Recht auf Berichtigung gemäß Art. 16 DSGVO
• Recht auf Löschung gemäß Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
• Recht auf Unterrichtung gemäß Art. 19 DSGVO
• Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO
• Recht auf Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO
• Recht auf Beschwerde gemäß Art. 77 DSGVO

12.2 Widerspruchsrecht

Wenn wir im Rahmen einer Interessenabwägung Ihre personenbezogenen Daten aufgrund unseres überwiegenden berechtigten Interesses verarbeiten, haben Sie das jederzeitige Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen diese Verarbeitung Widerspruch mit Wirkung für die Zukunft einzulegen.

Machen Sie von Ihrem Widerspruchsrecht Gebrauch, beenden wir die Verarbeitung der betroffenen Daten. Eine Weiterverarbeitung bleibt aber vorbehalten, wenn wir zwingende schutzwürdige Gründe für die Verarbeitung nachweisen können, die Ihre Interessen, Grundrechte und Grundfreiheiten überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

Werden Ihre personenbezogenen Daten von uns verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen.

13) Dauer der Speicherung personenbezogener Daten

Gilt für: Website + Plattform

Die Dauer der Speicherung von personenbezogenen Daten bemisst sich anhand der jeweiligen Rechtsgrundlage, am Verarbeitungszweck und – sofern einschlägig – zusätzlich anhand der jeweiligen gesetzlichen Aufbewahrungsfrist (z. B. handels- und steuerrechtliche Aufbewahrungsfristen).

• Bei Verarbeitung auf Grundlage einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Speicherung bis zum Widerruf.
• Bei Verarbeitung zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Speicherung bis Ablauf gesetzlicher Aufbewahrungsfristen, danach routinemäßige Löschung.
• Bei Verarbeitung auf Basis berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO): Speicherung bis zur Ausübung des Widerspruchsrechts nach Art. 21 DSGVO.
• Sprachaufnahmen (Voice-Input): keine Persistenz, Löschung nach Abschluss des Transkriptions-Requests.
• AI-Prompts und -Antworten (KI-Assistent): keine Persistenz beim Anbieter (Zero Data Retention im Vercel AI Gateway aktiviert).

Bei Beendigung Ihres Kundenkontos (Standard-Beendigung) werden Ihre personenbezogenen Daten nach folgender Fristenkette behandelt: Sie können Ihre Daten innerhalb von 30 Tagen ab Vertragsende über die Self-Service-Export-Funktion selbst herunterladen; die vollständige Löschung erfolgt binnen 60 Tagen ab Vertragsende (Soft-Delete bei Vertragsende, endgültige Löschung spätestens am 60. Tag). Das 30-tägige Export-Fenster (Tag 0 bis Tag 30) liegt innerhalb dieser 60-tägigen Löschfrist (Tag 0 bis Tag 60). Gesetzliche Aufbewahrungspflichten (insbesondere handels- und steuerrechtliche) bleiben unberührt; insoweit werden die Daten bis zum Ablauf der gesetzlichen Frist gesperrt statt gelöscht.

Machen Sie als Geschäftskunde von Ihrem Recht auf Anbieterwechsel nach dem Data Act (Verordnung (EU) 2023/2854) Gebrauch und geben hierzu eine Wechselmitteilung nach dem Annex zum Anbieterwechsel der AGB ab, gelten an Stelle der vorstehenden Standard-Fristenkette ausschließlich die längeren Fristen des Annex (Wechselfrist von 2 Monaten, daran anschließende Übergangsfrist von 30 Kalendertagen, daran anschließende Datenabruffrist von 30 Kalendertagen, danach Löschung). Ein Wahlrecht zwischen beiden Fristenketten besteht nicht; maßgeblich ist die von Ihnen erklärte Absicht.

14) Auftragsverarbeitung (Übersicht der Sub-Auftragsverarbeiter)

Gilt für: Plattform (Auftragsverarbeitung im Rahmen desGeschäftskundenverhältnisses)

Eine vollständige und stets aktuelle Liste aller von uns eingesetzten Sub-Auftragsverarbeiter inklusive Verarbeitungsregion und Drittlandtransfer-Garantien finden Sie unter https://wirtix.de/sub-processors.

Geschäftskunden schließen mit uns einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, abrufbar unter https://wirtix.de/avv.

Diese Datenschutzerklärung basiert auf einer Vorlage der IT-Recht Kanzlei, angepasst an den tatsächlich von Wirtix eingesetzten Technologie-Stack.

Stand: 2026-06-07