Home Kostenlos testen KI Beratung Erster Kontakt Über Uns Login EN
Home Kostenlos testen KI Beratung Erster Kontakt Über Uns Login EN

Meta Integration – Facebook & Instagram

Meta Integration – Facebook & Instagram

Auf dieser Seite stellen wir vollständig transparent dar, wie die Facebook- und Instagram-Anbindung unserer Plattform funktioniert, welche Berechtigungen genutzt werden, welche Daten verarbeitet werden und wie Nutzer jederzeit die Kontrolle über ihre Daten behalten.

Diese Seite bleibt dauerhaft öffentlich sichtbar und dient sowohl Nutzern als auch Meta-Reviewern als zentrale Informationsquelle über unsere Implementierung des Facebook Login und des Instagram Business Login.

1. Nutzungsszenario (Use Case)

companycore ai ist eine B2B-SaaS-Plattform, über die registrierte Unternehmen Beiträge für ihre Social-Media-Kanäle planen und veröffentlichen können – entweder vollständig manuell oder mithilfe eines individuellen KI-Agenten, der auf Basis der vom Nutzer bereitgestellten Markeninformationen Beitragstexte und Bildvorschläge erstellt.

Jeder Beitrag muss vom Nutzer manuell geprüft, bestätigt und mit Datum und Uhrzeit geplant werden.

Erst nach dieser aktiven Freigabe wird der Beitrag zum vorgesehenen Zeitpunkt über einen geplanten, serverseitigen Prozess (Cronjob) automatisch auf der vom Nutzer ausgewählten Plattform veröffentlicht.

Es findet keine automatische Veröffentlichung ohne vorherige, ausdrückliche Nutzerbestätigung statt. Weder die KI noch das System veröffentlichen eigenständig Inhalte.

  • Keine automatische KI-Veröffentlichung
  • Kein Auto-Posting ohne manuelle Bestätigung
  • Beiträge entstehen ausschließlich nach Interaktion des Nutzers
  • Tokens werden verschlüsselt gespeichert und können jederzeit gelöscht werden
  • Keine Nutzung von Messaging, Kommentaren oder privaten Inhalten Dritter

2. Unterstützte Plattformen

Wir integrieren zwei getrennte OAuth-Flows innerhalb einer einzigen Meta-App:

  • Facebook Login – ermöglicht das Verbinden eines Facebook-Kontos, das Auswählen einer vom Nutzer verwalteten Facebook-Seite sowie (bei verknüpftem Instagram-Business-Konto) das Veröffentlichen auf Instagram über die Page-Verknüpfung.
  • Instagram Business Login – direkte Verbindung eines Instagram-Business- oder Creator-Kontos ohne Umweg über Facebook.

Nutzer entscheiden selbst, welchen der beiden Flows sie verwenden möchten – oder ob sie beide parallel nutzen, um auf allen ihren Kanälen publizieren zu können.

3. Verwendete Meta-Berechtigungen (Permissions / Scopes)

Facebook Login

  • public_profile – Grundlegende Identifikation des Nutzers (Name, ID)
  • pages_show_list – Anzeige der vom Nutzer verwalteten Facebook-Seiten zur Auswahl in der App-Oberfläche
  • pages_manage_posts – Veröffentlichen von Beiträgen auf einer vom Nutzer verwalteten Facebook-Seite
  • pages_read_engagement – Lesen öffentlicher Engagement-Daten (Likes, Kommentarzahlen) zu den eigenen Beiträgen der verwalteten Seite, damit der Nutzer in der App die Performance seiner Beiträge einsehen kann
  • business_management – Von Meta technisch als erforderlich im Use Case „Alles auf deiner Seite verwalten" gebundelt; wird von uns nicht eigenständig für Business-Manager-Operationen genutzt
  • instagram_basic – Identifikation eines mit der Facebook-Seite verknüpften Instagram-Business-Kontos
  • instagram_content_publish – Veröffentlichung von Beiträgen auf Instagram über die Facebook-Page-Verknüpfung

Instagram Business Login

  • instagram_business_basic – Identifikation des Instagram-Business-Kontos (ID, Nutzername, Profilbild)
  • instagram_business_content_publish – Veröffentlichen von Bild- und Karussell-Beiträgen auf dem Instagram-Business-Konto
  • business_management – Von Meta technisch als erforderlich im Use Case „Messaging und Content auf Instagram verwalten" gebundelt; wird von uns nicht eigenständig für Business-Manager-Operationen genutzt

4. Was wir nicht tun

Unsere Integration ist bewusst minimal gehalten. Wir nutzen ausschließlich Publishing-Funktionen. Wir lesen oder verarbeiten insbesondere:

  • keine Direktnachrichten (DMs / Instagram Messaging)
  • keine Kommentare Dritter unterhalb unserer eigenen Beiträge hinaus
  • keine Follower-Listen, Kontakte oder Profilinformationen Dritter
  • keine Insights-/Analytics-Daten von Konten Dritter
  • keine Audience-Daten oder Werbekampagnen-Informationen
  • keine Instagram-Stories, Reels oder Live-Videos (nur Feed-Posts)

Wir nutzen Meta-APIs ausschließlich zu dem Zweck, vom Nutzer selbst erstellte und geplante Inhalte auf dessen eigenen Konten/Seiten zu veröffentlichen.

5. Technischer Ablauf der Veröffentlichung

  1. Der Nutzer erstellt den Beitrag über einen KI-gestützten Editor, in dem Textvorschläge individuell generiert werden. Alternativ kann der Nutzer den gesamten Text selbst eingeben. Der Nutzer prüft, bearbeitet und bestätigt den Beitrag vollständig, bevor er gespeichert wird.
  2. Der Nutzer wählt die Zielplattform(en) – LinkedIn, Facebook, Instagram oder eine Kombination.
  3. Der Nutzer legt Datum und Uhrzeit der Veröffentlichung manuell fest oder speichert den Beitrag als Entwurf. Erst ein aktiv geplanter Beitrag wird später automatisch veröffentlicht.
  4. Der Beitrag erscheint im Kalender der App als „Geplant".
  5. Ein sicherer Cronjob auf unserem EU-Server prüft minütlich die anstehenden Veröffentlichungen und löst die Publikation ausschließlich für zuvor vom Nutzer aktiv geplante Beiträge aus.
  6. Die Veröffentlichung erfolgt über die offiziellen Graph-API-Endpunkte von Meta, getrennt pro Plattform und Ziel.

Jedes Veröffentlichungsziel hat in unserem System einen eigenen Status (planned, posted, error, skipped), sodass bei einem Fehler auf einer Plattform die anderen Plattformen unabhängig veröffentlicht werden können und der Nutzer über den genauen Stand informiert wird.

6. Verarbeitung & Speicherung von Meta-Daten

Wir speichern ausschließlich:

  • Facebook User-ID / Instagram Business-ID
  • Nutzername bzw. Anzeigename
  • Access Token (verschlüsselt mit AES-256-GCM)
  • Refresh Token (verschlüsselt mit AES-256-GCM)
  • Liste der vom Nutzer verwalteten Facebook-Seiten mit IDs und Namen
  • Page Access Tokens für vom Nutzer ausgewählte Veröffentlichungsziele (verschlüsselt)

Wir speichern keine:

  • Inhalte aus Beiträgen (weder unsere eigenen noch fremde)
  • Follower, Kontakte, Abonnenten
  • Kommentare oder Nachrichten
  • Profilinformationen Dritter
  • Zahlungs- oder Werbedaten

Tokens werden ausschließlich mit AES-256-GCM verschlüsselt gespeichert. Die Datenbank (Supabase) läuft in der EU-Region (eu-central-1, Frankfurt am Main).

Alle gespeicherten Meta-Tokens werden sofort und vollständig aus unseren Systemen gelöscht, sobald der Nutzer die Verbindung in der App trennt oder die App in den Einstellungen seines Facebook- bzw. Instagram-Kontos entfernt.

7. Widerruf, Datenlöschung & Kontrolle durch den Nutzer

Nutzer haben drei unabhängige Wege, ihre Verbindung zu widerrufen und sämtliche gespeicherten Daten zu löschen:

a) Über unsere App

In den Einstellungen der App steht pro Plattform ein Button „Facebook trennen" bzw. „Instagram trennen" zur Verfügung. Nach Bestätigung werden alle Tokens und zugehörigen Daten sofort und vollständig aus unserer Datenbank entfernt.

b) Über die Meta-Einstellungen des Nutzers

Nutzer können die App jederzeit direkt bei Meta entfernen:

  • Facebook → Einstellungen → Apps und Websites → companycore → Entfernen
  • Instagram → Einstellungen → Apps und Websites → companycore → Entfernen

In diesem Fall sendet Meta automatisch einen kryptographisch signierten Request an unseren Deauthorize-Endpunkt (https://api.companycore.ai/live/meta/deauthorize). Unsere Systeme prüfen die Signatur, identifizieren den betroffenen Nutzer und löschen sofort alle zugehörigen Tokens und Datenzuordnungen.

c) Formaler Datenlöschantrag

Nutzer können auf demselben Weg einen formalen Löschantrag stellen, der an unseren Data-Deletion-Endpunkt gesendet wird (https://api.companycore.ai/live/meta/data-deletion). Nach erfolgreicher Löschung erhält der Nutzer einen eindeutigen Bestätigungscode sowie eine öffentlich abrufbare Status-URL, unter der er den Stand der Anfrage jederzeit nachvollziehen kann.

Alternativ genügt eine formlose E-Mail an jan@companycore.ai.

8. Sicherheit & Compliance

  • Alle OAuth-Flows laufen ausschließlich über HTTPS
  • State-Parameter mit CSRF-Schutz bei OAuth
  • Tokens werden niemals im Klartext gespeichert
  • Alle Backend-Kommunikation mit der Meta Graph API erfolgt serverseitig; Tokens verlassen niemals unsere Backend-Umgebung
  • Signed-Request-Verifizierung (HMAC-SHA256) für alle Meta-Callbacks
  • Hosting in der EU (Deutschland); DSGVO-konforme Verarbeitung

9. Kontakt

Bei Fragen zur Integration, zu Berechtigungen oder zum Umgang mit Daten:
jan@companycore.ai

companycore ai UG (haftungsbeschränkt)
Sömmeringstraße 69, 50823 Köln
HRB 124109 (Amtsgericht Köln)
Geschäftsführer: Jan Bennefeld


Diese Seite wird laufend aktualisiert, sobald sich die genutzten Meta-APIs, Berechtigungen oder Prozesse ändern. Jede Änderung wird hier transparent dokumentiert.