Datenschutzerklärung

Moritz Bohmbach
Kniggenkamp 40
38444 Wolfsburg

E-Mail: info@zovany.com
Telefon: +49 160 8725947

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist oder Sie in die Verarbeitung eingewilligt haben. Die Verarbeitung erfolgt stets im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).

Diese Website und die Anwendung werden bei Vercel Inc. (San Francisco, USA) gehostet. Beim Besuch unserer Seiten werden automatisch Informationen in Server-Logfiles gespeichert, die Ihr Browser übermittelt.

Unsere Datenbank wird bei Neon betrieben, mit Serverstandort in der EU (Frankfurt, Deutschland).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der stabilen Bereitstellung).

Mit beiden Anbietern bestehen Auftragsverarbeitungsverträge (AVV/DPA). Die Datenübermittlung an Vercel (USA) erfolgt auf Grundlage des EU-US Data Privacy Framework.

Der Hosting-Provider erhebt folgende Daten in Server-Logfiles:

• Angeforderte Seite / Datei
• Browsertyp und -version
• Verwendetes Betriebssystem
• Referrer URL
• IP-Adresse des zugreifenden Rechners (ggf. anonymisiert)
• Datum und Uhrzeit der Serveranfrage

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Bei der Registrierung erheben wir folgende Daten:

• E-Mail-Adresse
• Name
• Passwort (wird ausschließlich als bcrypt-Hash mit 12 Salt-Rounds gespeichert)
• Agenturname

Die Authentifizierung erfolgt über NextAuth.js mit JWT-basiertem Session-Management. Passwörter werden zu keinem Zeitpunkt im Klartext gespeichert oder übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Im Rahmen der Nutzung unserer Plattform verarbeiten wir:

• Kundendaten (Firmenname, Website, Branche, Zielgruppen)
• Markendaten (Styleguides, Farben, Fonts, Dokumente)
• Kampagnendaten (Strategien, Creatives, Texte, Bilder)
• Performance-Daten (über die Meta Marketing API abgerufene Kennzahlen)
• Nutzungsdaten (KI-Credit-Verbrauch, Aktionslog)

Diese Daten werden zur Erbringung der vertraglich vereinbarten Leistungen verarbeitet und in unserer EU-Datenbank gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Wenn Nutzer ihr Meta-Konto mit Zovany verbinden, greifen wir über die Meta Marketing API auf folgende Daten zu:

Lesezugriff (ads_read):

• Ad-Account-Metadaten: Kontoname, Konto-ID, Kontostatus
• Kampagnen-, Ad-Set- und Ad-Metadaten: Namen, Status, Ziele, Budgets
• Performance-Metriken: Impressionen, Klicks, Ausgaben, Conversion-Daten, CTR, CPC, CPM, ROAS, Quality Rankings

Schreibzugriff (ads_management):

• Kampagnen erstellen: Erstellung von Kampagnen, Ad Sets und Ads im Auftrag der Agentur
• Kampagnen verwalten: Pausieren, Aktivieren und Budget-Anpassungen bestehender Kampagnen
• Creatives hochladen: Upload von Bildern und Zuordnung zu Ad Creatives

Schreibzugriffe erfolgen ausschließlich auf explizite Anweisung des authentifizierten Agentur-Nutzers. Automatische Kampagnenänderungen erfordern eine zusätzliche Freigabe durch den Nutzer im Dashboard.

Verwendungszwecke:

• Analyse der Kampagnenperformance im Agentur-Dashboard
• KI-basierte Optimierungsvorschläge (z. B. Budget-Anpassungen, Creative-Iterationen)
• Performance-Reporting für Agenturkunden im White-Label-Portal
• Erstellung und Verwaltung von Kampagnen über die Plattform

Keine Weitergabe an Dritte: Die über die Meta Marketing API abgerufenen oder erstellten Daten werden nicht an Dritte weitergegeben oder verkauft.

Budget-Sicherheit: Alle Kampagnen unterliegen konfigurierbaren Tages- und Monatsbudget-Limits. Vor jedem Kampagnenstart erfolgt eine automatische Compliance-Prüfung der Inhalte gegen die Meta-Werberichtlinien.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch OAuth-Verbindung).

Nutzer können die Verbindung zu ihrem Meta-Konto jederzeit über die Plattform-Einstellungen trennen. Bei einer Trennung gilt:

• Access-Tokens werden sofort und unwiderruflich gelöscht
• Gecachte Account-Daten (Kontonamen, IDs, Statuswerte) werden innerhalb von 24 Stunden entfernt
• Historische Performance-Daten können auf Anfrage gemäß Art. 17 DSGVO (Recht auf Löschung) gelöscht werden

Darüber hinaus unterstützt Zovany den Meta Data Deletion Request Callback. Meta kann bei Bedarf eine automatisierte Löschanfrage an unsere Plattform senden, woraufhin alle mit dem betreffenden Nutzer verknüpften Meta-Daten automatisch entfernt werden.

Nutzer können die vollständige Löschung ihrer Meta-bezogenen Daten auch über unser DSGVO-Anfrageformular (siehe unten) oder per E-Mail an info@zovany.com beantragen.

Die Sicherheit der bei der Meta-Verbindung verwendeten Zugriffstokens hat für uns höchste Priorität:

• Verschlüsselung: Alle Meta-Access-Tokens werden mit AES-256-GCM verschlüsselt gespeichert
• Serverseitige Speicherung: Tokens werden ausschließlich serverseitig verarbeitet und gespeichert
• Kein Frontend-Zugriff: Tokens werden zu keinem Zeitpunkt an den Browser oder das Frontend übertragen
• Kein Logging: Tokens werden nicht in Logdateien oder Fehlerprotokollen gespeichert
• Vollständige Löschung: Bei Trennung der Meta-Verbindung werden Tokens sofort und endgültig gelöscht (kein Soft-Delete)

Die gesamte Kommunikation mit der Meta Marketing API erfolgt ausschließlich über HTTPS.

Zovany nutzt KI-Dienste zur Generierung von Texten, Bildern, Strategien und Analysen. Dabei werden aufgabenbezogene Daten (z. B. Markenkontext, Zielgruppen) an folgende Anbieter übermittelt:

• Google Vertex AI (Google Cloud, EU-Region Frankfurt / europe-west3) — Textgenerierung. Die Verarbeitung erfolgt ausschließlich auf EU-Servern. Google verwendet im Rahmen von Vertex AI keine Kundendaten zum Training eigener Modelle (Google Cloud Data Processing Addendum). Mit Google Cloud besteht ein Auftragsverarbeitungsvertrag (DPA).
• Manus AI — KI-gestützte Analyse und Recherche. An diesen Dienst werden keine personenbezogenen Daten übermittelt. Eine technische Schutzschicht (PII-Sanitizer) entfernt automatisch alle personenbezogenen Daten (E-Mail-Adressen, Telefonnummern, Adressen, Namen, IDs) aus den Anfragen, bevor diese den Dienst erreichen. Bei Erkennung nicht-entfernbarer personenbezogener Daten wird die Anfrage blockiert.
• Nano Banana API — Bildgenerierung. An diesen Dienst werden ausschließlich abstrakte Bildbeschreibungen übermittelt. Der gleiche PII-Sanitizer wie bei Manus AI stellt sicher, dass keine personenbezogenen Daten enthalten sind.

Grundsatz: Nur Google Vertex AI (EU-Verarbeitung, DPA vorhanden) darf personenbezogene oder Rohdaten verarbeiten. Alle anderen externen KI-Dienste erhalten ausschließlich anonymisierte und abstrahierte Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Endkunden Ihrer Agentur können über ein White-Label-Portal auf freigegebene Inhalte zugreifen. Dabei werden verarbeitet:

• E-Mail-Adresse
• Passwort (bcrypt-gehasht)
• Portal-Session-Cookie (httpOnly, secure, 7 Tage)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Für die Zahlungsabwicklung nutzen wir Stripe Inc. (USA). Zahlungsdaten (Kreditkartennummer etc.) werden ausschließlich von Stripe verarbeitet und erreichen unsere Server nicht.

Wir übermitteln an Stripe lediglich Ihre E-Mail-Adresse und den Rechnungsbetrag. Mit Stripe besteht ein Auftragsverarbeitungsvertrag (DPA). Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Für den Versand von Transaktions-E-Mails (z. B. E-Mail-Verifizierung, Passwort-Reset) und Newslettern nutzen wir Resend (Resend Inc.) mit Serverstandort in der EU (Ireland, eu-west-1).

Newsletter: Der Versand erfolgt ausschließlich nach vorheriger Einwilligung im Double-Opt-In-Verfahren. Sie erhalten zunächst eine Bestätigungs-E-Mail mit einem Verifizierungslink. Erst nach Klick auf diesen Link wird Ihre E-Mail-Adresse in unseren Verteiler aufgenommen.

Jede Marketing-E-Mail enthält einen Abmeldelink. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

An Resend übermitteln wir ausschließlich E-Mail-Adresse und Vorname (sofern angegeben). Mit Resend besteht ein Auftragsverarbeitungsvertrag (DPA).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Newsletter, Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Transaktions-E-Mails.

Zur Qualitätssicherung und Weiterentwicklung unserer Plattform erstellen wir aggregierte, anonymisierte Statistiken über die Nutzung unserer Dienste. Diese Statistiken können folgende Kennzahlen umfassen:

• Gesamtanzahl registrierter Agenturen, Kunden und Nutzer
• Anzahl erstellter Creatives, Strategien und Kampagnen
• Aggregierte Anzeigenleistung (Impressionen, Klicks, Conversions — als Plattform-Gesamtwerte)
• Aggregierte KI-Nutzung (Operationen, verarbeitete Tokens, generierte Bilder)
• Verteilung der Abonnement-Pläne
• Monatliche Wachstumstrends (ausschließlich als Gesamtzahlen)

Keine personenbezogenen Daten: Sämtliche Statistiken werden ausschließlich als Summen, Durchschnitte oder Verteilungen erhoben. Es werden dabei keine Agenturnamen, Nutzernamen, E-Mail-Adressen oder sonstige personenbezogene Daten in die Statistiken aufgenommen. Eine Zuordnung einzelner Statistikwerte zu bestimmten Agenturen oder Nutzern ist nicht möglich.

Verwendungszweck: Die anonymisierten Gesamtstatistiken können zur Darstellung der Plattform-Leistungsfähigkeit auf unserer Webseite, in Marketingmaterialien oder gegenüber Investoren verwendet werden. Es werden dabei ausschließlich Gesamtzahlen ohne jeglichen Bezug zu einzelnen Nutzern oder Agenturen veröffentlicht (z. B. „Über 500 Creatives erstellt“).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Qualitätssicherung und Weiterentwicklung der Plattform). Ihr Recht auf Widerspruch nach Art. 21 DSGVO bleibt unberührt.

Wir verwenden ausschließlich technisch notwendige Cookies und Speichertechnologien:

Es werden derzeit keine Analyse-, Tracking- oder Marketing-Cookies eingesetzt.

Weitere Informationen finden Sie in unserer Cookie-Richtlinie.

Google Fonts: Schriftarten werden über Next.js lokal eingebunden und nicht von Google-Servern geladen. Es findet keine Datenübertragung an Google im Rahmen der Schriftart-Einbindung statt.

Einige unserer Dienstleister haben ihren Sitz in den USA (Vercel, Meta, Stripe). Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework bzw. Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Die KI-Textgenerierung über Google Vertex AI erfolgt ausschließlich auf EU-Servern (Frankfurt, europe-west3). Es findet keine Datenübermittlung personenbezogener Daten in Drittländer für diesen Dienst statt.

An Manus AI und Nano Banana werden ausschließlich anonymisierte und abstrahierte Daten übermittelt. Ein technischer PII-Sanitizer stellt sicher, dass keine personenbezogenen Daten diese Dienste erreichen.

Der E-Mail-Versand über Resend erfolgt innerhalb der EU (Ireland, eu-west-1).

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt. Im Einzelnen:

• Kontodaten: Bis zur Löschung des Kontos. Nach Löschung: 30 Tage Soft-Delete-Frist, danach endgültige Entfernung aus allen Systemen.
• Kundendaten: Bis zur Löschung durch den Agentur-Nutzer oder mit Account-Löschung
• Newsletter-Daten: Bis zum Widerruf der Einwilligung (Abmeldung)
• Server-Logfiles: Gemäß Hosting-Provider-Richtlinie (max. 30 Tage)
• Zahlungsdaten: Gemäß gesetzlicher Aufbewahrungspflichten (6–10 Jahre)
• Meta-Verbindungsdaten: Access-Tokens werden bei Trennung sofort gelöscht. Gecachte Account-Daten innerhalb von 24 Stunden. Historische Performance-Daten auf Anfrage (Art. 17 DSGVO).
• KI-Verarbeitungen: Keine persistente Speicherung bei den KI-Anbietern (Echtzeit-Verarbeitung)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO) — Welche Daten wir über Sie speichern
• Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten
• Einschränkung (Art. 18 DSGVO) — Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO) — Export Ihrer Daten
• Widerspruch (Art. 21 DSGVO) — Widerspruch gegen Verarbeitung

Self-Service: Als registrierter Nutzer können Sie Ihre Rechte auf Löschung und Datenübertragbarkeit direkt über Ihre Kontoeinstellungen ausüben. Dort finden Sie Funktionen zum vollständigen Datenexport (JSON) sowie zur Kontolöschung. Bei einer Kontolöschung werden alle personenbezogenen Daten innerhalb von 30 Tagen endgültig aus unseren Systemen entfernt.

Für alle weiteren Anfragen können Sie das folgende Formular nutzen oder sich direkt an info@zovany.com wenden.

Sofern die Datenverarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Ihren Widerruf können Sie formlos an info@zovany.com richten.

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren.

Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
www.lfd.niedersachsen.de