Datenschutzerklärung

Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und in der Trailmaker-SaaS-Plattform im Sinne der DSGVO ist die im Impressum genannte juristische Person. Für Datenschutz-Anfragen erreichst du uns unter privacy@trailmaker.app. Impressum.

Welche Daten wir verarbeiten

Wir verarbeiten personenbezogene Daten in folgenden Kategorien:

• Account-Daten (E-Mail, verschlüsseltes Passwort, Anzeigename, Workspace-Zugehörigkeit)
• Brand- und Produkt-Daten die du aktiv anlegst (Name, URL, Positionierung, Angle-Briefs, hochgeladene Performance-Exports)
• Nutzungsdaten (Login-Zeitpunkte, genutzte Features, Engine-Run-Protokolle — ausschließlich zur Produktverbesserung und zur Abrechnung)
• Abrechnungsdaten bei kostenpflichtigen Plänen (Zahlung via Stripe — wir speichern keine Kreditkartendaten)
• Meta-Integrationsdaten — wenn du ein Facebook- oder Instagram-Werbekonto verbindest: verschlüsselte Long-Lived OAuth-Access-Tokens, Werbekonto-IDs, Ad-/Campaign-/Adset-IDs sowie aggregierte Performance-Metriken (Impressions, Reach, Clicks, Spend, Conversions). Werden ausschließlich zur Anzeige deines Performance-Dashboards verwendet.

Zu welchem Zweck

Zum Bereitstellen des Produkts, zur Durchführung der Kreativstrategie-Analysen (inkl. Weitergabe von Prompt-Daten an unsere Sub-Auftragsverarbeiter Anthropic und Google Vertex für die LLM-basierte Generierung), zur Abrechnung, zur Erfüllung rechtlicher Pflichten und zur Kommunikation mit dir.

Onboarding-E-Mails (7-Tage-Trial)

Wenn du dich für den Trial registrierst, senden wir dir bis zu drei automatische E-Mails: eine Willkommens-Mail direkt nach der Anmeldung, eine Check-in-Mail am dritten Tag mit konkreten Setup-Hinweisen basierend auf deinem aktuellen Account-Stand, und eine Conversion-Erinnerung in den letzten 24 Stunden vor Trial-Ende.

Rechtsgrundlage: Welcome- und Day-3-Mail sind zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO) — sie ermöglichen dir die Nutzung des Trials, das du mit der Anmeldung explizit angenommen hast. Die Day-6-Conversion-Mail beruht auf unserem berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Information vor Trial-Ablauf.

Widerspruch: Jede E-Mail enthält einen 1-Klick-Abmelde-Link. Du kannst der Day-6-Mail jederzeit ohne Angabe von Gründen widersprechen, ohne dass dir Nachteile entstehen. Ein Widerspruch gegen alle E-Mails inkl. der vertragserfüllenden Mails ist möglich; in diesem Fall werden auch wichtige Account-Informationen unterdrückt.

Der E-Mail-Versand erfolgt über unseren EU-basierten Auftragsverarbeiter Resend (siehe Subprocessor-Übersicht). Es findet kein Drittlandstransfer statt.

Meta-Marketing-API-Integration

Wenn du dein Facebook- oder Instagram-Werbekonto mit Trailmaker verbindest, erhalten wir von Meta einen OAuth-Access-Token mit der Berechtigung ads_read. Wir nutzen diesen Token ausschließlich, um aggregierte Werbeperformance-Metriken — Impressions, Reach, Clicks, Spend und Conversions — aus den von dir explizit autorisierten Werbekonten abzurufen. Wir greifen nicht auf personenbezogene Daten von Endkund:innen, Nachrichteninhalte, Audience-Targeting-Attribute einzelner Personen oder Daten außerhalb des ads_read-Scopes zu.

Was wir speichern: Access-Token (mit AES-256-GCM verschlüsselt), Werbekonto-IDs, Campaign-/Ad-Set-/Ad-IDs sowie zu diesen IDs erfasste Performance-Metriken.

Was wir niemals tun: Wir verkaufen, lizenzieren, übertragen oder teilen Meta-Plattform-Daten nicht an Dritte — außer an die in unserer Subprocessor-Übersicht genannten zwingend erforderlichen Auftragsverarbeiter. Wir verwenden Meta-Plattform-Daten nicht zum Erstellen von Nutzerprofilen, zum Trainieren von Machine-Learning-Modellen für andere Zwecke, zur Identitätsfeststellung, zur Überwachung oder für irgendeinen Zweck, den die Developer Data Use Policy von Meta verbietet.

Trennung und Löschung: Du kannst Trailmaker den Zugriff jederzeit unter Facebook → Einstellungen → Business-Integrationen entziehen. Bei Entzug schickt Meta uns eine Datenlöschungs-Anfrage, die wir automatisiert ausführen: Der Access-Token wird innerhalb von 24 Stunden ungültig gemacht und alle gecachten Meta-Daten werden innerhalb von 7 Tagen gelöscht. Du kannst deinen Account auch direkt in Trailmaker löschen (Einstellungen → Account → Account löschen) oder uns unter privacy@trailmaker.app schreiben.

Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Trailmaker-Nutzungsvertrag)
• Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Produktverbesserung, Sicherheit, Missbrauchsabwehr)
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (Newsletter, optionale Cookies, Verbindung zum Meta-Werbekonto)

Auftragsverarbeiter und Empfänger

Wir setzen sorgfältig ausgewählte Sub-Auftragsverarbeiter ein. Die vollständige Liste findest du unter Subprocessor-Übersicht.

Sicherheit

Sämtliche Customer-Daten und Meta-Plattform-Daten sind in transit (TLS 1.3) und at rest (AES-256) verschlüsselt. OAuth-Access-Tokens werden als Ciphertext mit serverseitigem Schlüssel in unserer Datenbank gespeichert; selbst bei einem Lese-Zugriff auf die Tabelle kann der Token ohne diesen Schlüssel nicht rekonstruiert werden. Wir setzen Row-Level-Security auf allen Multi-Tenant-Tabellen ein, erzwingen Multi-Faktor-Authentifizierung auf allen Admin-Systemen und führen Audit-Logs zu sicherheitsrelevanten Ereignissen für 90 Tage. Sicherheitslücken bitte an security@trailmaker.app — wir bestätigen Reports innerhalb von zwei Werktagen und werden Good-Faith-Forschung nicht juristisch verfolgen.

Speicherdauer

Account- und Brand-Daten werden für die Dauer der Vertragsbeziehung sowie gesetzlicher Aufbewahrungsfristen (z.B. § 257 HGB, § 147 AO für Rechnungsdaten — i.d.R. 10 Jahre) gespeichert. Nach Löschung deines Accounts werden nicht-rechnungsrelevante personenbezogene Daten innerhalb von 30 Tagen gelöscht. Speicherfristen pro Datenkategorie:

Deine Rechte

Nach der DSGVO hast du folgende Rechte gegenüber uns:

• Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung deiner Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
• Datenübertragbarkeit in einem strukturierten, gängigen Format (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung zu Zwecken des berechtigten Interesses (Art. 21 DSGVO)
• Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO)

So löschst du deinen Account und alle zugehörigen Daten: in der Trailmaker-App → Einstellungen → Account → Account löschen, oder per E-Mail an privacy@trailmaker.app. Innerhalb von 30 Tagen löschen wir alle Account-, Brand- und Meta-Integrationsdaten; rechnungsrelevante Daten bleiben aufgrund § 257 HGB / § 147 AO 10 Jahre gespeichert.

Für alle Anfragen zu deinen Datenschutzrechten erreichst du uns unter privacy@trailmaker.app

Cookies und Tracking

Trailmaker nutzt ausschließlich technisch notwendige Cookies für Authentifizierung (Supabase-Session-Cookie) und CSRF-Schutz. Marketing- oder Analyse-Cookies werden nur nach ausdrücklicher Einwilligung über unser Consent-Management eingesetzt — dazu zählen Google Analytics 4, Bing-UET, Vercel Analytics, Meta-Pixel mit Conversions API (CAPI) sowie PostHog Product-Analytics.