Home Kostenlos testen KI Beratung Erster Kontakt Über Uns Login EN
Home Kostenlos testen KI Beratung Erster Kontakt Über Uns Login EN

Datenschutz

Stand: 29.04.2026

1. Verantwortlicher

companycore ai UG (haftungsbeschränkt)
Sömmeringstraße 69, 50823 Köln
E-Mail: jan@companycore.ai
Vertreten durch: Jan Bennefeld

2. Hosting & Infrastruktur

Unsere Systeme bestehen aus drei getrennten Bereichen, die alle bei IONOS (Deutschland) gehostet sind:

  • companycore.ai – statische Website
  • app.companycore.ai – Web-App für registrierte Nutzer
  • api.companycore.ai – API-Backend

Zusätzlich nutzen wir:

  • Supabase (EU-central-1, Frankfurt) – Speicherung von Nutzerdaten, Posts, Chats, Kalenderdaten
  • Google Vertex AI (Gemini) – Generierung von Textvorschlägen und Analyse von Referenzbildern anhand vom Nutzer bereitgestellter Inhalte
  • Black Forest Labs (FLUX.2) – Bildgenerierung für Social-Media-Beiträge (Server in der EU, Verarbeitung gemäß Art. 28 DSGVO)
  • Anthropic Claude API – KI-gestützte Erstellung von Grafikdesigns (HTML/CSS-Rendering für Social-Media-Bilder) sowie Bildbeschreibungen
  • xAI Grok API – Generierung täglicher personalisierter Themenvorschläge – anonymisiert
  • LinkedIn API – OAuth-Authentifizierung und Veröffentlichung von Beiträgen
  • Meta Graph API (Facebook & Instagram) – OAuth-Authentifizierung und Veröffentlichung von Beiträgen auf Facebook-Seiten und Instagram-Business-Konten
  • Stripe (geplant) – Zahlungsabwicklung für Abonnements

3. Kontaktformular „3 Tage kostenlos testen"

Auf unserer Website bieten wir ein Formular an, über das Sie unverbindlich einen 3-tägigen Testzugang anfragen können.

a) Verarbeitete Daten

Wenn Sie das Formular absenden, verarbeiten wir folgende Angaben:

  • Name
  • Geschäftliche E-Mail-Adresse
  • Unternehmen
  • Rolle bzw. Position
  • Optional: freie Antwort auf die Frage „Was willst du erreichen?"
  • Bestätigung Ihrer Einwilligung in diese Datenschutzerklärung

Zusätzlich verarbeitet unser Hoster IONOS systembedingt technische Verbindungsdaten (z. B. IP-Adresse, Zeitstempel, User-Agent), die für den ordnungsgemäßen Betrieb und die Abwehr von Missbrauch erforderlich sind.

b) Zweck und Rechtsgrundlage

Die Daten werden ausschließlich verwendet, um Ihre Anfrage zu beantworten und gemeinsam mit Ihnen einen Testzugang einzurichten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertragsverhältnisses auf Anfrage der betroffenen Person) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die Verarbeitung darüber hinausgehender freiwilliger Angaben.

c) Übermittlung und Speicherung

Die Formulardaten werden über einen serverseitigen Endpunkt auf unserem IONOS-Server (Deutschland) verarbeitet und per E-Mail an jan@companycore.ai weitergeleitet. Eine dauerhafte Speicherung in einer Datenbank findet im Zusammenhang mit dem Formular nicht statt; die Daten verbleiben in unserem Postfach, bis der Vorgang abgeschlossen ist.

Eine Weitergabe an Dritte erfolgt nicht. Die E-Mail wird ausschließlich über deutsche IONOS-Mailserver versendet.

d) Spam-Schutz

Das Formular enthält ein verstecktes Honeypot-Feld zum Schutz vor automatisierten Bot-Anfragen. Dieses Feld wird ausschließlich zur Bot-Erkennung ausgewertet und nicht weiterverarbeitet.

e) Speicherdauer und Widerruf

Sie können der Verarbeitung jederzeit widersprechen oder eine erteilte Einwilligung widerrufen, indem Sie eine kurze Nachricht an jan@companycore.ai senden. Wir löschen Ihre Anfrage spätestens 6 Monate nach Abschluss der Konversation, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

4. Verarbeitung personenbezogener Daten in der Web-App

a) Konto & Registrierung

Die Registrierung und Anmeldung in unserer Web-App erfolgt über Supabase Auth, gehostet in der EU-Region (eu-central-1, Frankfurt). Dabei verarbeiten wir folgende Daten:

  • E-Mail-Adresse
  • Ein vom System generierter Benutzer-Identifikator (UUID)

Passwörter werden ausschließlich von Supabase verarbeitet und sicher gehasht gespeichert. Wir selbst erhalten zu keinem Zeitpunkt Einblick in Passwörter und speichern sie nicht in unseren Systemen.

Zusätzlich speichert Supabase systembedingt technische Metadaten wie:

  • Zeitpunkt der Registrierung
  • Zeitpunkt der letzten Anmeldung
  • Verifizierung der E-Mail-Adresse

Diese Daten sind erforderlich, um den Zugang zur Web-App zu ermöglichen (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).

b) Kalender & Social Media Posts

Nutzer können in der App manuell Posts erstellen, bearbeiten und für LinkedIn, Facebook und Instagram einplanen. Ein Post wird niemals automatisch veröffentlicht. Der Nutzer muss:

  • Text prüfen
  • Zielplattform(en) auswählen
  • Datum & Uhrzeit auswählen
  • manuell auf „Einplanen" klicken

c) KI-Funktionen

Wir setzen mehrere KI-Dienste ein, die jeweils ausschließlich vom Nutzer bereitgestellte Eingaben erhalten:

Google Vertex AI (Gemini) – Textgenerierung, Bildanalyse (Referenzbilder) und Analyse der Markenidentität. Die KI erhält z. B.:

  • Firmenname und Firmenwebsite
  • Postziele, Sprache, Stil, Tonalität
  • Länge des gewünschten Textes
  • Eingaben aus Chat-Dialogen

Black Forest Labs (FLUX.2) – Generierung von Bildern für Social-Media-Beiträge. Die KI erhält ausschließlich Text-Prompts sowie optional vom Nutzer hochgeladene Referenzbilder. Die Verarbeitung erfolgt auf EU-Servern. Eingaben werden nicht für das Training der Modelle verwendet.

Anthropic Claude API – Erstellung von Grafikdesigns (HTML/CSS-Templates für Social-Media-Bilder) sowie Unterstützung bei Bildbeschreibungen. Die KI erhält ausschließlich Design-Parameter wie Farben, Schriften und Layoutvorgaben aus der vom Nutzer hinterlegten Markenidentität.

xAI Grok API – Generierung täglicher personalisierter Themenvorschläge. Die KI erhält ausschließlich anonymisierte Brancheninformationen.

Wir senden niemals Social-Media-Tokens, Nutzerprofile oder private Nachrichten an externe KI-Dienste.

d) Drittlandsübermittlung

Anthropic Claude und xAI Grok werden in den USA gehostet. Die Übermittlung in ein Drittland erfolgt auf Basis der EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Es werden ausschließlich vom Nutzer bereitgestellte Inhalte (Design-Parameter, anonymisierte Brancheninformationen) übermittelt – niemals personenbezogene Daten aus Meta- oder LinkedIn-Integrationen, Tokens, E-Mail-Adressen oder andere identifizierende Informationen.

Google Vertex AI (Gemini) wird über die EU-Region europe-west4 betrieben. Eine Übermittlung in Drittländer findet bei dieser Verarbeitung nicht statt.

Black Forest Labs (FLUX.2) verarbeitet Daten ausschließlich auf EU-Servern (api.eu.bfl.ai). Eine Drittlandsübermittlung findet nicht statt.

5. Nutzung der LinkedIn-Integration

Unsere App bietet die Möglichkeit, LinkedIn-Konten zu verbinden, um manuell geprüfte und eingeplante Inhalte automatisch zu veröffentlichen.

a) Welche Daten verarbeitet werden

Bei der LinkedIn-OAuth-Verbindung erhalten wir:

  • LinkedIn User-ID (URN)
  • Name des LinkedIn-Nutzers
  • Access Token
  • Refresh Token
  • Informationen über verwaltete Unternehmensseiten

Wir lesen keine Kontakte, keine Profile, keine Nachrichten, keine Follower und keine Analytics aus.

b) Verwendete Berechtigungen

  • r_basicprofile – Abrufen der LinkedIn-Nutzeridentität (Name, Profil-URN). Der Name wird ausschließlich in der App-UI angezeigt, damit der Nutzer erkennt, mit welchem LinkedIn-Konto er verbunden ist.
  • w_member_social – Veröffentlichen von Beiträgen im Namen des Nutzers
  • w_organization_social – Veröffentlichen von Beiträgen im Namen einer Unternehmensseite
  • rw_organization_admin – Prüfen von Administratorrechten auf Unternehmensseiten
  • r_organization_social – Lesen von Organisations-Beiträgen und Engagement-Daten

c) Token-Speicherung und Speicherdauer

Tokens werden mit AES-256-GCM verschlüsselt in unserer Supabase-Datenbank gespeichert. Sie werden ausschließlich genutzt, um Posts zu veröffentlichen, die der Nutzer vorher selbst freigegeben und eingeplant hat.

Speicherdauer: Tokens werden gespeichert, solange die Verbindung aktiv ist. Bei Trennung der Verbindung oder Löschung des Nutzerkontos werden alle Tokens unverzüglich und vollständig gelöscht.

d) Widerruf der Verbindung

Nutzer können das LinkedIn-Konto jederzeit trennen:

Alle gespeicherten LinkedIn-Tokens werden beim Trennen der Verbindung sofort und vollständig aus unserem System gelöscht.

6. Nutzung der Meta-Integration (Facebook & Instagram)

Unsere App bietet die Möglichkeit, Facebook- und Instagram-Konten zu verbinden, um manuell geprüfte und eingeplante Inhalte automatisch auf diesen Plattformen zu veröffentlichen. Die Integration erfolgt über offizielle OAuth-Flows der Meta Graph API.

a) Welche Daten wir über die Meta-APIs erhalten

Bei der Verbindung über Facebook Login erhalten wir:

  • Facebook User-ID
  • Name des Facebook-Nutzers
  • Liste der vom Nutzer verwalteten Facebook-Seiten (Page-IDs, Seitennamen, Page-Access-Tokens)
  • Verknüpftes Instagram-Business-Konto (falls vorhanden): Instagram-Business-ID, Nutzername

Bei der Verbindung über Instagram Login erhalten wir:

  • Instagram-Business-ID
  • Nutzername des Instagram-Business-Kontos
  • Access Token
  • Refresh Token (Long-Lived Token, ~60 Tage Gültigkeit)

Wir lesen keine Kontakte, keine Profile Dritter, keine Nachrichten, keine Follower-Listen, keine Kommentare Dritter und keine Analytics-Daten aus.

b) Verwendete Berechtigungen (Permissions / Scopes)

Facebook Login:

  • public_profile – Grundlegende Identifikation des Nutzers (Name, ID)
  • pages_show_list – Anzeige der vom Nutzer verwalteten Facebook-Seiten zur Auswahl im UI
  • pages_manage_posts – Veröffentlichen von Beiträgen auf einer verwalteten Facebook-Seite
  • pages_read_engagement – Lesen öffentlicher Engagement-Daten (Likes, Kommentare) zu eigenen Beiträgen der verwalteten Seite
  • business_management – Technisch von Meta als erforderlich im Use Case gebundelt; wird von uns nicht eigenständig genutzt
  • instagram_basic – Identifikation verknüpfter Instagram-Business-Konten
  • instagram_content_publish – Veröffentlichung von Beiträgen auf Instagram via Facebook-Page-Verknüpfung

Instagram Login (direkt):

  • instagram_business_basic – Identifikation des Instagram-Business-Kontos (ID, Nutzername)
  • instagram_business_content_publish – Veröffentlichung von Beiträgen auf dem Instagram-Business-Konto
  • business_management – Technisch von Meta als erforderlich im Use Case gebundelt; wird von uns nicht eigenständig genutzt

c) Speicherung, Verschlüsselung und Speicherdauer

Sämtliche Meta-Tokens werden mit AES-256-GCM verschlüsselt in unserer Supabase-Datenbank (EU-central-1, Frankfurt) gespeichert. Sie werden ausschließlich dafür verwendet, vom Nutzer aktiv freigegebene und eingeplante Beiträge auf den ausgewählten Plattformen zu veröffentlichen.

Speicherdauer: Tokens werden gespeichert, solange die Verbindung aktiv ist. Bei Trennung der Verbindung, automatischer Löschanfrage durch Meta oder Löschung des Nutzerkontos werden alle Tokens unverzüglich und vollständig gelöscht.

d) Keine automatische Veröffentlichung

Wie bei LinkedIn gilt auch für Facebook und Instagram: kein Beitrag wird jemals ohne explizite manuelle Einplanung durch den Nutzer veröffentlicht. Die KI erstellt Vorschläge, die Veröffentlichung selbst erfolgt nur für Beiträge, die der Nutzer geprüft und bewusst mit Datum und Uhrzeit geplant hat.

e) Widerruf der Verbindung & Datenlöschung

Nutzer können die Meta-Verbindung jederzeit widerrufen:

  • über „Instagram trennen" bzw. „Facebook trennen" in unserer App
  • direkt in den Einstellungen des Facebook- oder Instagram-Kontos („Business-Integrationen" / „Apps and Websites" → „companycore" entfernen)
  • oder per E-Mail an jan@companycore.ai

Meta stellt uns automatisch eine Löschanfrage zu, sobald ein Nutzer die App auf Meta-Seite entfernt. Unsere Systeme verarbeiten diese Anfrage über einen kryptographisch signierten Endpunkt (/meta/data-deletion) und löschen sofort und vollständig:

  • alle Access- und Refresh-Tokens des betroffenen Kontos
  • gespeicherte Facebook-Page-IDs und Instagram-Business-Konto-Referenzen
  • die in der App gesetzten Standard-Veröffentlichungsziele

Nach erfolgter Löschung erhält der Nutzer eine öffentlich abrufbare Status-URL mit Bestätigungscode, unter der der Stand der Löschanfrage jederzeit nachvollziehbar ist.

7. Weitergabe von Daten

Wir geben personenbezogene Daten ausschließlich weiter, wenn:

  • Sie eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO)
  • es zur Vertragserfüllung erforderlich ist (Art. 6 Abs. 1 lit. b)
  • es eine rechtliche Verpflichtung gibt (Art. 6 Abs. 1 lit. c)

Wir verkaufen niemals Daten und übermitteln nichts an unbeteiligte Dritte.

8. Datenschutzrechte

Sie haben folgende Rechte gemäß DSGVO:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Kontakt: jan@companycore.ai

Beschwerderecht bei der Aufsichtsbehörde: Unbeschadet anderer Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere bei der für Sie zuständigen Behörde Ihres Wohnsitzes oder Arbeitsplatzes (Art. 77 DSGVO). Für uns zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestr. 2-4, 40213 Düsseldorf.

9. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen.