Datenschutzerklärung
Stand: 15.05.2026
Diese Datenschutzerklärung gilt für die Nutzung von AdvoPilot (advopilot.io und app.advopilot.io, im Folgenden "die Anwendung"). Wir nehmen den Schutz deiner personenbezogenen Daten sehr ernst und behandeln sie vertraulich entsprechend der EU-Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).
1. Verantwortlicher
Verantwortlich im Sinne der DSGVO ist:
Tobias Weingärtner
AdvoAgent
Münsterstraße 126
40476 Düsseldorf
E-Mail: tobias@advoagent.com
Telefon: +49 173 5349034
2. Erhobene Daten und Verarbeitungszwecke
2.1 Registrierung und Login
Beim Anlegen eines Accounts verarbeiten wir deine E-Mail-Adresse. Der Login erfolgt per Magic-Link (passwortlos). Dabei senden wir dir einen einmaligen Anmeldelink per E-Mail. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.2 Verbindung mit deinem Google-Ads-Konto
Mit deiner Einwilligung verbinden wir dein Google-Ads-Konto über die offizielle Google-Ads-API (OAuth 2.0). Wir verarbeiten dabei:
- OAuth-Refresh-Token (verschlüsselt gespeichert)
- Customer-ID(s) deines Google-Ads-Kontos und ggf. Sub-Konten unter deinem MCC
- Performance-Daten deiner Kampagnen (Impressionen, Klicks, Kosten, Conversions, Suchbegriffe der letzten 14 Tage, tägliche Metriken der letzten 90 Tage)
- Anzeigentexte und Keywords deiner Kampagnen
- Konfiguration deiner Conversion-Tracking-Aktionen
Diese Daten verwenden wir, um die Anwendung für dich bereitzustellen (Reports, Anomalie-Erkennung, Optimierungs-Empfehlungen). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), für die OAuth-Verbindung zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
2.3 Verarbeitung mit Künstlicher Intelligenz (Claude)
Zur Erstellung von Wochenreports, Negative-Keyword-Empfehlungen und Setup-Guides senden wir Performance-Daten und Suchbegriff-Aggregate deines Kontos an Anthropic (Claude API). Die Verarbeitung erfolgt im Auftrag durch Anthropic, USA. Anthropic ist im EU-US Data Privacy Framework zertifiziert. Es besteht ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO.
Wichtiger Hinweis: Anthropic speichert API-Aufrufe standardmäßig bis zu 30 Tage zur Missbrauchserkennung. Es findet kein Training von KI-Modellen mit deinen Daten statt.
2.4 Abrechnung über Stripe
Die Zahlungsabwicklung erfolgt über Stripe (Stripe, Inc., 510 Townsend Street, San Francisco, CA, USA, sowie Stripe Payments Europe Ltd., Irland). Bei Abschluss eines Abos werden Name, E-Mail-Adresse, Rechnungsadresse und Zahlungsdaten an Stripe übermittelt. Wir speichern keine Kreditkartendaten auf unseren Servern. Stripe ist im EU-US Data Privacy Framework zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.5 Transaktionale E-Mails über Resend
Wochenreports, Anomalie-Alerts und System-E-Mails versenden wir über den Dienst Resend (Resend Inc., USA). Dabei verarbeitet Resend deine E-Mail-Adresse sowie den E-Mail-Inhalt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.6 Hosting und Infrastruktur
Die Anwendung wird auf der Plattform Vercel (Vercel Inc., USA) gehostet. Datenbank und Auth-Service werden über Supabase (Supabase Inc.) bereitgestellt; die Datenbank-Region ist Frankfurt (eu-central-1).
2.7 Keyword-Recherche-Daten (DataForSEO)
Beim Setup-Guide rufen wir Suchvolumen- und Konkurrenz-Daten für die von dir eingegebenen Keywords über DataForSEO ab. Es werden keine personenbezogenen Daten an DataForSEO übermittelt - nur die Keywords selbst.
3. Empfänger und Sub-Auftragsverarbeiter
Im Rahmen des Betriebs von AdvoPilot setzen wir folgende Auftragsverarbeiter ein:
| Anbieter | Zweck | Sitz | Drittlandtransfer-Garantie |
|---|---|---|---|
| Vercel Inc. | Hosting | USA | DPF + SCC |
| Supabase Inc. | Datenbank, Auth | USA / EU (DB in Frankfurt) | DPF + SCC |
| Anthropic PBC | KI-Verarbeitung (Reports, Empfehlungen) | USA | DPF + DPA |
| Stripe Inc. / Stripe Payments Europe Ltd. | Zahlungsabwicklung | USA / Irland | DPF + SCC |
| Resend Inc. | E-Mail-Versand | USA | SCC (DPF-Status prüfen) |
| DataForSEO Inc. | Keyword-Recherche | USA | SCC |
| Google Ireland Ltd. | Google-Ads-API | Irland | EU-Sitz |
4. Was wir NICHT mit deinen Daten machen
Wir verarbeiten deine personenbezogenen Daten - und insbesondere die über die Google-Ads-API zugänglichen Konto-Daten - ausschließlich zur Erbringung des Dienstes. Konkret heißt das:
- Wir verkaufen, vermieten oder verleihen deine Daten nicht an Dritte.
- Wir nutzen deine Daten nicht für eigene Werbung oder das Marketing fremder Anbieter.
- Wir geben Daten ausschließlich an die in Abschnitt 3 genannten Auftragsverarbeiter weiter - und nur in dem Umfang der für die Diensterbringung notwendig ist.
- Daten aus deinem Google-Ads-Konto werden nicht zum Training von KI-Modellen verwendet.
5. Drittlandtransfer
Soweit personenbezogene Daten an Anbieter mit Sitz in den USA übermittelt werden (Vercel, Supabase, Anthropic, Stripe, Resend, DataForSEO), erfolgt dies auf Basis des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) und ergänzend auf Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
6. Speicherdauer
- Account-Daten (E-Mail, Konto-Verbindung): gespeichert solange dein Account aktiv ist. Bei Account-Löschung unverzüglich entfernt.
- Performance-Daten deines Google-Ads-Kontos: bis zu 12 Monate rollierend, danach automatische Löschung der ältesten Daten.
- Reports und Empfehlungen: 24 Monate nach Erstellung.
- Rechnungsbelege: 10 Jahre (gesetzliche Aufbewahrungsfrist § 147 AO).
- Anthropic-Cache: bis zu 30 Tage bei Anthropic.
- Resend Bounce-Logs: bis zu 90 Tage bei Resend.
7. Deine Rechte
Du hast jederzeit das Recht auf:
- Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung deiner Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit in einem strukturierten, maschinenlesbaren Format (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO) - z.B. die Verbindung zu Google Ads kannst du jederzeit in den Konto-Einstellungen trennen
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständig ist für uns die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2-4, 40213 Düsseldorf.
Anfragen zu deinen Rechten richte bitte formlos an tobias@advoagent.com.
8. Cookies und Tracking
Die Anwendung verwendet ausschließlich technisch notwendige Cookies zur Sitzungsverwaltung (Login-Cookie, aktiver Konto-Selektor). Es werden keine Tracking- oder Analyse-Cookies eingesetzt, die der Einwilligung bedürfen würden. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (vormals TTDSG).
9. Datensicherheit
Wir treffen technische und organisatorische Maßnahmen, um deine Daten gegen unbefugten Zugriff zu schützen. Insbesondere:
- Übertragung ausschließlich über TLS / HTTPS
- OAuth-Refresh-Token werden verschlüsselt gespeichert
- Zugriff auf die Datenbank ist auf den Verantwortlichen beschränkt (Row-Level-Security in Supabase)
- Regelmäßige Backups
10. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage oder unsere Verarbeitung ändern. Über wesentliche Änderungen informieren wir dich per E-Mail.
11. Kontakt zu Datenschutz-Anliegen
Bei Fragen rund um den Datenschutz erreichst du uns unter:
tobias@advoagent.com