Welche Daten
wir verarbeiten.

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website ist:

Invest in Marketing GmbH (i. Gr.)
vertreten durch den Geschäftsführer Emir Kara
Simeonscarré 2
32423 Minden
Deutschland
E-Mail: info@investinmarketing.de

— Ansprechpartner für Datenschutz

Emir Kara
Anschrift wie oben
E-Mail: info@investinmarketing.de

2. Welche Daten wir verarbeiten

— Server-Logfiles

Beim Aufruf dieser Website werden vom Hosting-Provider technische Daten protokolliert (IP-Adresse, Datum/Uhrzeit, abgerufene URL, User-Agent, Referrer). Diese Daten werden zur Sicherstellung des Betriebs gespeichert und nach 7 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

— Booking-Modul (Terminbuchung)

Wenn du über das Booking-Modul einen Termin anfragst, verarbeiten wir Name, E-Mail-Adresse, Firma (optional), Rolle (optional) und deine Themen-Beschreibung. Die Daten werden in unserem Google-Calendar gespeichert und dienen ausschließlich der Terminvereinbarung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung).

• Speicherort: Google Workspace (Server in der EU)
• Empfänger: Du selbst (als Calendar-Invite), Emir Kara als Organisator
• Speicherdauer: bis zur Terminerfüllung plus 6 Monate, dann gelöscht

— Kontaktaufnahme per E-Mail

Wenn du uns über die in dieser Seite genannten E-Mail-Adressen kontaktierst, werden deine übermittelten Daten zur Bearbeitung der Anfrage gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO bei nicht-vertraglichen Anfragen.

— Cockpit Sync (cockpit.investinmarketing.de)

Wenn du auf das interne Reporting-Tool unter cockpit.investinmarketing.de zugreifst, verarbeiten wir folgende Daten:

• Authentifizierung über Cloudflare Access: E-Mail-Adresse zur Identifizierung autorisierter Nutzer. Cloudflare sendet einen einmaligen PIN-Code per E-Mail. Es werden Zeitstempel der Logins protokolliert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Zugangsschutz).
• Dashboard-Nutzung: Welche Tabs/Seiten du im Cockpit aufrufst, wird in den Cloudflare-Logs protokolliert (anonymisiert, max. 14 Tage). Keine Verknüpfung mit persönlichem Verhaltensprofil.
• Publish-Actions: Wenn du den „Jetzt veröffentlichen“-Button klickst, wird ein Audit-Log-Eintrag mit deiner E-Mail-Adresse, Task-ID, Zeitstempel und ausgewählten Channels in ClickUp gespeichert.

Hosting des Cockpit: Cloudflare Pages (Server in der EU bevorzugt). Datenschutz: cloudflare.com/de-de/privacypolicy.

— Social-Media-API-Integrationen (TikTok, Instagram/Meta)

Das Cockpit liest organische Performance-Daten von Social-Media-Accounts, die der Account-Inhaber per OAuth explizit verbunden hat. Dabei werden folgende Daten verarbeitet:

• Account-Informationen: Account-Name, Handle, Profilbild-URL, Follower-Anzahl, Bio-Beschreibung
• Post-/Video-Metriken: Veröffentlichungszeit, Caption, Reach, Views, Likes, Comments, Shares, Saves, Engagement-Rate, Permalinks, Thumbnails
• Audit-Daten: Welche Inhalte wann über das Cockpit veröffentlicht wurden (Channel, Task-ID, Zeitstempel)

Verbundene Plattformen und ihre Datenschutzbestimmungen:

• TikTok (Display API): tiktok.com/legal/privacy-policy
• Instagram/Meta (Graph API): facebook.com/privacy/policy

Daten werden ausschließlich für interne Reporting-Zwecke und Content-Workflows von Invest in Marketing (Emir Kara) und seinen Kunden verwendet. Die Daten werden nicht an unbeteiligte Dritte weitergegeben und nicht für Werbe-Targeting genutzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung mit dem jeweiligen Kunden) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Performance-Reporting).

Widerruf der Verbindung: Der Account-Inhaber kann die OAuth-Verbindung jederzeit über die jeweiligen Plattform-Einstellungen (TikTok „Connected Apps“, Meta Business Manager) oder direkt über Composio widerrufen. Nach Widerruf werden die Daten innerhalb von 30 Tagen aus dem Cockpit gelöscht.

— Composio (Auftragsverarbeiter)

Wir nutzen Composio (Composio Inc., USA) als technische Vermittlungsschicht für die OAuth-Verbindungen zu TikTok, Instagram und weiteren Plattformen. Composio speichert die Zugangs-Tokens verschlüsselt und führt API-Calls in unserem Auftrag aus.

Composio fungiert als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Eine entsprechende Vereinbarung (DPA) ist abgeschlossen. Datenschutz von Composio: composio.dev/privacy.

Da Composio in den USA gehostet ist, findet eine Übermittlung in ein Drittland statt. Composio ist nach EU-US Data Privacy Framework zertifiziert bzw. nutzt Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO.

— ClickUp (Auftragsverarbeiter)

Content-Aufgaben und Publish-Audit-Logs werden in ClickUp (Mango Technologies Inc., USA) gespeichert. Auch hier: DPA abgeschlossen, EU-US Data Privacy Framework bzw. SCC. Datenschutz: clickup.com/terms/privacy.

— Studio (studio.investinmarketing.de)

Studio ist unsere SaaS-Anwendung für LinkedIn-Content und Personal-Branding. Sie steht nur registrierten Nutzern nach Login zur Verfügung. Diese Datenschutzerklärung gilt auch für die Nutzung von Studio. Für registrierte Nutzer verarbeiten wir:

• Account-Daten: Name, E-Mail-Adresse, Authentifizierungsdaten, Workspace-Zugehörigkeit.
• LinkedIn-Verbindungsdaten: OAuth-Zugangs-Tokens (Publishing und DMA), Person-URN sowie — nach ausdrücklicher Verbindung durch den Nutzer — Profildaten (Headline, Über, Werdegang, Skills), Kontakte/Verbindungen, eigene Beiträge inkl. Texte und Performance-Daten sowie Engagement-Events.
• Eingaben des Nutzers: Onboarding- und Workshop-Antworten inkl. Sprachaufnahmen, hochgeladene Fotos, Sprachmemos.
• Generierte Daten: KI-erstellte Beitragsentwürfe, Profil-Analysen, ICP-Bewertungen der eigenen Kontakte, Nutzungs- und Token-Verbrauchsprotokolle.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags). Die Daten dienen ausschließlich der Bereitstellung der Studio-Funktionen für den jeweiligen Nutzer. Jeder Nutzer sieht nur seine eigenen Daten (Mandantentrennung per Row-Level-Security). Bei Konto-Löschung oder Trennung der LinkedIn-Verbindung werden die zugehörigen Daten innerhalb von 30 Tagen gelöscht.

— Auftragsverarbeiter im Studio

Für den Betrieb von Studio setzen wir folgende Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO) ein. Mit allen bestehen Auftragsverarbeitungsverträge; bei Anbietern aus Drittländern greifen Standardvertragsklauseln (SCC, Art. 46 DSGVO) bzw. eine Zertifizierung nach EU-US Data Privacy Framework.

• Supabase (Supabase Inc., USA) — Datenbank, Authentifizierung und Datei-Speicher. Datenschutz: supabase.com/privacy
• Anthropic (Anthropic PBC, USA) — KI-Textgenerierung, Profil-Analysen und ICP-Bewertung über die Claude-API. Übermittelte Inhalte werden laut Anbieter nicht zum Training von Modellen verwendet. Datenschutz: anthropic.com/legal/privacy
• OpenAI (OpenAI, L.L.C., USA) — KI-Bildgenerierung. Über die API übermittelte Daten werden laut Anbieter nicht zum Training verwendet. Datenschutz: openai.com/policies/privacy-policy
• Apify (Apify Technologies s.r.o., Tschechien/EU) — Abruf öffentlich sichtbarer LinkedIn-Profil- und Beitragsdaten des Nutzers. Datenschutz: apify.com/privacy-policy
• ElevenLabs (ElevenLabs Inc., USA) und Groq (Groq Inc., USA) — Transkription von Sprachaufnahmen und Sprachmemos. Datenschutz: elevenlabs.io/privacy
• Resend (Resend Inc., USA) — Versand von Transaktions-E-Mails (z. B. Konto- und System-Benachrichtigungen, Bestätigungen von Bug-Reports). Datenschutz: resend.com/legal/privacy-policy
• Cloudflare (Cloudflare, Inc., USA) — Hosting und Auslieferung der Anwendung. Datenschutz: cloudflare.com/privacypolicy

Für das Veröffentlichen von Beiträgen und das Auslesen von Social-Media-Metriken nutzt auch Studio den oben unter dem Cockpit beschriebenen Dienstleister Composio.

— Produktanalyse im Studio (PostHog)

Innerhalb der eingeloggten Studio-Anwendung setzen wir PostHog zur Produktanalyse ein, um Fehler zu erkennen und die Bedienung zu verbessern (etwa welche Funktionen genutzt werden). PostHog wird in der EU-Cloud betrieben; die Daten verbleiben in der EU. Erfasst werden Nutzungsereignisse in Verbindung mit einer pseudonymen Nutzer-Kennung.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Verbesserung der Anwendung) bzw. Einwilligung, soweit erforderlich.
• Anbieter: PostHog Inc., EU-Cloud (eu.i.posthog.com). Datenschutz: posthog.com/privacy

3. Cookies und Tracking

Diese Website nutzt Cookies und Tracking nur nach deiner ausdrücklichen Einwilligung. Beim ersten Aufruf erscheint ein Consent-Banner. Ohne Einwilligung werden keine Analyse- oder Marketing-Cookies gesetzt (Google Consent Mode v2, Standard „denied“). Die Speicherung deiner Consent-Entscheidung selbst erfolgt technisch notwendig im localStorage auf Grundlage von § 25 Abs. 2 TTDSG.

— Google Analytics 4

Nach deiner Einwilligung nutzen wir Google Analytics 4, einen Dienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). GA4 verwendet Cookies, um die Nutzung der Website statistisch auszuwerten (u. a. aufgerufene Seiten, Verweildauer, Herkunftsquelle, Klicks auf zentrale Buttons wie Audit, Teardown und Terminanfrage). Die IP-Adresse wird anonymisiert verarbeitet.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie § 25 Abs. 1 TTDSG.
• Widerruf: Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen über den Link „Cookie-Einstellungen“ im Footer.
• Drittlandtransfer: Eine Übermittlung in die USA (Google LLC) ist nicht ausgeschlossen. Google ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend gelten Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO.
• Speicherdauer: GA4-Cookies haben eine Laufzeit von maximal 24 Monaten.
• Datenschutz Google: policies.google.com/privacy

— Eingebundene Drittanbieter-Inhalte

• YouTube-Videos auf Cases- und Podcast-Seiten. Erst nach Klick auf das Vorschaubild wird der YouTube-Player geladen. Vorher findet keine Verbindung zu Google statt. Datenschutz: policies.google.com/privacy
• Google Fonts werden lokal eingebunden bzw. via Google Fonts CDN geladen. Datenschutz: policies.google.com/privacy
• Spotify-Embeds auf Podcast-Seiten (nur Links, keine eingebetteten Player). Datenschutz: spotify.com

4. Web-Analyse

Zur Web-Analyse nutzen wir Google Analytics 4, und zwar ausschließlich nach deiner Einwilligung. Die Einzelheiten (Anbieter, Cookies, Drittlandtransfer, Rechtsgrundlage und Widerruf) findest du oben unter Abschnitt 3 „Cookies und Tracking“.

5. Deine Rechte

Du hast jederzeit folgende Rechte gegenüber dem Verantwortlichen:

• Recht auf Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
• Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch (Art. 21 DSGVO)
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zuständige Aufsichtsbehörde: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden, datenschutz.hessen.de.

6. SSL/TLS-Verschlüsselung

Diese Seite nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte eine SSL/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennst du daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt.

7. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht. Für deinen erneuten Besuch gilt dann die neue Datenschutzerklärung.

Stand: Juni 2026.