Datenschutzerklärung
Stand: 29.6.2026
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
v7Media OÜ, Sepapaja tn 6, 15551 Tallinn, Estland
E-Mail: kontakt@v7-media.com
Für alle Anliegen rund um den Datenschutz – insbesondere Auskunfts- und Löschanfragen – erreichst du uns unter kontakt@v7-media.com. Wie du eingebundene Dienste (Google, Meta, Shopify) trennst und gespeicherte Daten löschst, beschreibt der Abschnitt „Datenlöschung & Trennen von Integrationen".
2. Allgemeine Hinweise zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt nach Einwilligung des Nutzers oder auf Basis einer gesetzlichen Erlaubnis (insb. Art. 6 Abs. 1 lit. a, b oder f DSGVO).
3. Hosting
Unsere Anwendung wird bei der Vercel Inc. (USA) gehostet. Dabei können Daten in die USA übermittelt werden. Grundlage des Drittlandtransfers sind die EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO bzw. eine Zertifizierung nach dem EU-U.S. Data Privacy Framework. Server werden, wo möglich, in EU-Regionen betrieben.
Beim Aufruf der Website verarbeitet der Hosting-Dienstleister automatisch Server-Logfiles (u. a. gekürzte IP-Adresse, Datum/Uhrzeit, abgerufene Ressource, Referrer, Browser-/Geräte-Informationen) zur Auslieferung, Sicherheit und Stabilität (Art. 6 Abs. 1 lit. f DSGVO). Diese Logs werden regelmäßig nach kurzer Zeit gelöscht.
4. Konto- & Nutzungsdaten
Wenn du ein Konto bei Elevate Socials erstellst, verarbeiten wir Name, E-Mail sowie die von dir bereitgestellten Store- und Nutzungsdaten zur Bereitstellung des Dienstes (Art. 6 Abs. 1 lit. b DSGVO).
Authentifizierung und Datenbank betreiben wir über Supabase (Supabase Inc.) als Auftragsverarbeiter. Konto- und Nutzungsdaten werden, wo möglich, in einer EU-Region (Frankfurt) gespeichert; es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Der Zugriff auf deine Daten ist über zeilenbasierte Sicherheitsregeln (Row-Level Security) auf dein Konto beschränkt. Zur Sitzungsverwaltung wird ein technisch notwendiges Cookie gesetzt. Soweit dabei Daten in ein Drittland übermittelt werden, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Art. 46 DSGVO).
5. Zahlungsabwicklung
Zahlungen werden über die Stripe Payments Europe Ltd. abgewickelt. Es gelten ergänzend die Datenschutzbestimmungen von Stripe. Wir erhalten lediglich Transaktionsstatus und Rechnungsdaten (z. B. Name, Rechnungsadresse, Abo-Status); vollständige Zahlungs- bzw. Kartendaten verarbeiten wir nicht.
6. KI-Funktionen & KI-Subprozessor
Für KI-gestützte Funktionen (Coach, Store-Analyse, Anzeigen- und Content-Vorschläge) setzen wir als technischen Subprozessor die API der Anthropic, PBC (USA) ein. Zur Beantwortung deiner Anfrage werden die jeweils relevanten Eingaben übermittelt – das können dein Text-Prompt, hochgeladene Dateien sowie kontextbezogene Store-, Analyse- und (sofern verbunden) aggregierte Analytics-Kennzahlen sein.
Anthropic verarbeitet diese Daten ausschließlich weisungsgebunden in unserem Auftrag, um die von dir angeforderte Funktion bereitzustellen, und verwendet API-Eingaben nicht zum Training seiner Modelle. Eine dauerhafte Speicherung der übermittelten Inhalte beim Subprozessor findet nicht statt; eine kurzzeitige Speicherung erfolgt allenfalls zur Sicherheits- und Missbrauchsprüfung sowie zur Erfüllung gesetzlicher Pflichten und wird anschließend gelöscht. Eine Übermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCC) nach Art. 46 DSGVO.
7. E-Mail-Versand
Transaktions- und Service-E-Mails (z. B. Willkommens- und Hinweis-Mails) versenden wir über die Resend, Inc. Der Versand erfolgt über eine EU-Region; dabei werden E-Mail-Adresse und Versandmetadaten verarbeitet. Zur Zustellungs- und Reichweitenmessung ist eine Öffnungsmessung aktiv, eine Klickmessung hingegen deaktiviert. Soweit eine Übermittlung in die USA erfolgt, geschieht dies auf Grundlage der EU-Standardvertragsklauseln (SCC) nach Art. 46 DSGVO.
8. Shopify-Integration
Wenn du deinen Shopify-Store verbindest, autorisierst du uns per OAuth zum lesenden Zugriff mit den Berechtigungen read_orders, read_products und read_inventory. Wir verarbeiten daraus Produkt-, Bestell- und Bestandsdaten (u. a. zur Margen- und Store-Analyse). Der Verbindungs-Token wird verschlüsselt gespeichert. Du kannst die Integration jederzeit in deinen Einstellungen trennen; siehe Abschnitt „Datenlöschung".
9. Google-Integration (Google Analytics 4)
Wenn du dein Google-Analytics-4-Konto verbindest, autorisierst du uns über Google OAuth mit dem ausschließlich lesenden Scope https://www.googleapis.com/auth/analytics.readonly. Die Nutzung der von Google-APIs empfangenen Daten unterliegt der Google API Services User Data Policy einschließlich der Limited-Use-Anforderungen sowie den Google APIs Terms of Service. Im Einzelnen:
Zugriff auf Daten (Data Accessed). Wir greifen lesend über die Google Analytics Admin API (Liste deiner GA4-Properties: Property-ID und -Name) und die Google Analytics Data API (aggregierte Kennzahlen wie Sitzungen, Nutzer, Conversions, Umsatz sowie eine Tages-Zeitreihe und die Währung) zu. Wir nehmen keine Änderungen an deinem Google-Konto vor.
Verwendung der Daten (Data Usage). Die Daten werden ausschließlich genutzt, um sie dir in deinem Dashboard darzustellen (Store-Analyse, Funnel/Conversions) und – soweit du KI-Funktionen nutzt – als Kontext für die von dir angeforderten KI-gestützten Empfehlungen. Eine Nutzung für Werbezwecke findet nicht statt.
Weitergabe der Daten (Data Sharing). Wir verkaufen Google-Nutzerdaten nicht, geben sie nicht zu Werbezwecken weiter und übermitteln sie nicht an Dritte – mit Ausnahme weisungsgebundener Subprozessoren, die ausschließlich in unserem Auftrag tätig werden, um die von dir angeforderten Funktionen bereitzustellen (Speicherung: Supabase; KI-Verarbeitung: Anthropic, siehe Abschnitt 4 und 6). Google- Nutzerdaten werden an den KI-Subprozessor nur insoweit übermittelt, wie es zur Erzeugung der von dir angeforderten Ausgabe erforderlich ist, nicht zum Modelltraining verwendet und dort nicht dauerhaft gespeichert. Dies steht im Einklang mit den Limited-Use-Anforderungen der Google API Services User Data Policy.
Speicherung & Schutz (Data Storage & Protection). Die OAuth-Zugriffs- und Refresh-Token werden mit AES-256-GCM verschlüsselt in unserer Datenbank (Supabase, EU-Region) gespeichert und sind durch Row-Level-Security auf dein Konto beschränkt. Die Übertragung erfolgt ausschließlich TLS-verschlüsselt.
Aufbewahrung & Löschung (Data Retention & Deletion). Die Token werden gespeichert, bis du die Verbindung trennst oder dein Konto löschst. In den Kontoeinstellungen unter „Integrationen" kannst du die Google-Verbindung jederzeit mit einem Klick trennen („Trennen"): Wir widerrufen den Zugriff dabei aktiv bei Google und löschen die gespeicherten Google-Token unverzüglich und vollständig. Zusätzlich kannst du den Zugriff jederzeit direkt bei Google unter myaccount.google.com/permissions entziehen. Details im Abschnitt „Datenlöschung".
Hinweis: Elevate Socials' Nutzung und Weitergabe von Informationen, die über Google-APIs empfangen werden, hält sich an die Google API Services User Data Policy einschließlich der Limited-Use-Anforderungen.
10. Meta-Integration (Pixel & Conversions API)
Zur Messung der Wirksamkeit unserer Werbung setzen wir Dienste der Meta Platforms Ireland Ltd. ein. Dabei kann eine Übermittlung von Daten an die Meta Platforms, Inc. in die USA erfolgen (SCC nach Art. 46 DSGVO).
Meta-Pixel (clientseitig). Der Pixel wird ausschließlich mit deiner Einwilligung geladen (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Erst nach Zustimmung im Cookie-Banner werden Ereignisse (z. B. Seitenaufruf, Registrierungs- und Kauf-Signale) mit Pixel-Kennungen verarbeitet.
Conversions API (serverseitig). Ergänzend übermitteln wir bestimmte Conversion-Ereignisse (u. a. Lead, InitiateCheckout, CompleteRegistration, StartTrial, Purchase, Subscribe) serverseitig an Meta, um die Messqualität zu verbessern. Personenbezogene Identifikatoren (E-Mail, Telefonnummer, Vor- und Nachname) werden dabei vor der Übertragung mit SHA-256 gehasht; zusätzlich können Meta-Cookie-Kennungen (_fbp, _fbc) sowie Wert-/Bestellinformationen übermittelt werden.
Meta-Ads-Verbindung. Verbindest du dein Werbekonto, autorisierst du uns per OAuth mit dem Lese-Scope ads_read, um Kampagnen-Kennzahlen (z. B. ROAS, CPM, CTR) anzuzeigen. Das Zugriffstoken wird verschlüsselt gespeichert.
Gemeinsame Verantwortlichkeit. Für die Erhebung und Übermittlung personenbezogener Daten über den Meta-Pixel und die Conversions API sind wir für die betreffende Verarbeitungsphase gemeinsam mit Meta Verantwortliche im Sinne des Art. 26 DSGVO. Die Aufteilung der datenschutzrechtlichen Pflichten regelt die Ergänzung zur Verantwortlichen-Vereinbarung (Controller Addendum) von Meta; die uns gegenüber bestehenden Betroffenenrechte kannst du auch direkt gegenüber Meta geltend machen.
Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft über den Link „Cookie-Einstellungen" im Footer widerrufen und die Werbekonto-Verbindung in den Einstellungen trennen. Wie deine Meta-Verbindungsdaten gelöscht werden, beschreibt der Abschnitt „Datenlöschung".
11. Google Analytics (Reichweitenmessung unserer Website)
Unabhängig von einer etwaigen Verbindung deines eigenen GA4-Kontos (siehe Abschnitt 9) setzen wir auf unserer eigenen Website Google Analytics 4 der Google Ireland Limited zur Reichweiten- und Conversion-Messung ein. Dabei kann eine Übermittlung von Daten an die Google LLC in die USA erfolgen (SCC nach Art. 46 DSGVO).
Clientseitig (gtag.js). Das Analyse-Skript wird ausschließlich mit deiner Einwilligung geladen (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Wir nutzen den Google-Consent-Mode v2: ohne Zustimmung sind Analyse- und Werbespeicherung standardmäßig deaktiviert („denied"). GA4 protokolliert oder speichert keine vollständigen IP-Adressen.
Serverseitig (Measurement Protocol). Ergänzend übermitteln wir bestimmte Conversion-Ereignisse (u. a. sign_up, start_trial, purchase, subscribe) serverseitig an Google. Dabei wird kein Klartext-Identifikator wie deine E-Mail-Adresse übertragen; zur Zuordnung dient eine aus deiner Nutzer-ID abgeleitete pseudonyme Kennung sowie Wert-/Bestellinformationen.
Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft über den Link „Cookie-Einstellungen" im Footer widerrufen.
12. Cookies & lokale Speicherung
Technisch notwendige Cookies (z. B. für Login und Grundfunktionen) setzen wir auf Grundlage von § 25 Abs. 2 TDDDG bzw. Art. 6 Abs. 1 lit. f DSGVO ein; sie sind für den Betrieb erforderlich. Deine Cookie-Entscheidung speichern wir lokal in deinem Browser; sie verfällt automatisch nach 180 Tagen, danach fragen wir erneut.
Einwilligungsbedürftige Marketing-Technologien (siehe Abschnitt 10, Meta, und Abschnitt 11, Google Analytics) werden erst nach deiner ausdrücklichen Zustimmung aktiviert. Über den Link „Cookie-Einstellungen" im Footer kannst du deine Entscheidung jederzeit ändern oder widerrufen.
13. Datenlöschung & Trennen von Integrationen
Du behältst jederzeit die Kontrolle über die mit Elevate Socials verbundenen Dienste und die dazu gespeicherten Daten:
- Google / Meta / Shopify trennen: Öffne im Dashboard „Integrationen" und wähle bei der jeweiligen Verbindung „Trennen". Wir widerrufen den Zugriff aktiv beim Anbieter und löschen die bei uns gespeicherten (verschlüsselten) Zugriffstoken unverzüglich und vollständig.
- Google-Zugriff direkt entziehen: Du kannst die Berechtigung jederzeit unter myaccount.google.com/permissions entfernen.
- Meta-Zugriff direkt entziehen: Du kannst die Verbindung jederzeit in deinen Facebook-Einstellungen unter „Geschäftsintegrationen" (facebook.com/settings?tab=business_tools) entfernen.
- Konto & alle Daten löschen: Eine vollständige Löschung deines Kontos samt aller zugehörigen Daten kannst du jederzeit formlos per E-Mail an kontakt@v7-media.com beantragen. Wir bestätigen und führen die Löschung unverzüglich, spätestens innerhalb von 30 Tagen aus, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Diese Seite dient zugleich als Datenlösch-Anweisung im Sinne der Plattform-Vorgaben von Google und Meta.
13. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist. Konto- und Nutzungsdaten werden spätestens 30 Tage nach Beendigung des Vertrags gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Rechnungs- und steuerrelevante Unterlagen bewahren wir entsprechend den gesetzlichen Fristen auf (in der Regel bis zu 10 Jahre). Einwilligungsbasierte Daten verarbeiten wir bis zum Widerruf bzw. bis zum Ablauf der Einwilligung.
14. Deine Rechte
Du hast jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Wende dich dazu an kontakt@v7-media.com.
15. Beschwerderecht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für die v7Media OÜ ist die estnische Datenschutzaufsicht zuständig: Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estland. Nutzer mit Wohnsitz in Deutschland können sich zudem an die für ihren Wohnort zuständige Landesdatenschutzbehörde wenden.