Datenschutzerklärung

Für den Dienst Marven. Stand: Juni 2026.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

QUADRESS GmbH
Sophie-Opel-Str. 17, 44803 Bochum, Deutschland
Geschäftsführer: Daniel Simon
Telefon: +49 2327 3038-0 · E-Mail: info@quadress.de

Hinweis zur Rollenverteilung: Soweit unsere Kundinnen und Kunden (z. B. Unternehmen oder Agenturen) Marven nutzen, um eigene Inhalte zu erstellen und über ihre Social-Media-Konten zu veröffentlichen, sind diese für die dort verarbeiteten personenbezogenen Daten Verantwortliche und die QUADRESS GmbH handelt insoweit als Auftragsverarbeiterin (siehe Auftragsverarbeitungsvertrag). Für die Bereitstellung des Dienstes selbst (Konto, Abrechnung, Betrieb) ist die QUADRESS GmbH Verantwortliche.

2. Datenschutzbeauftragter

ZB Datenschutz u. -sicherheit GmbH & Co. KG, Herr Ulrich Braunbach
Siebenmorgen 43, 51427 Bergisch Gladbach
Telefon: +49 2203 8984444 · E-Mail: dsb.quadress@zb-datenschutz.com

3. Hosting

Der Dienst wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, betrieben. Die Verarbeitung erfolgt in Rechenzentren innerhalb der Europäischen Union. Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren und stabilen Betrieb (Art. 6 Abs. 1 lit. f DSGVO).

4. Server-Logfiles

Beim Aufruf des Dienstes werden technisch notwendige Daten automatisch verarbeitet (u. a. IP-Adresse, Datum/Uhrzeit, aufgerufene Ressource, Browsertyp, Statuscode). Diese dienen dem sicheren Betrieb, der Fehleranalyse und der Abwehr von Missbrauch (z. B. Begrenzung von Anmeldeversuchen). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die Daten werden nur so lange gespeichert, wie es für diese Zwecke erforderlich ist.

5. Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Mittel ein – kein Tracking, keine Werbe- oder Analyse-Cookies, keine Weitergabe an Werbenetzwerke:

• Sitzungs-Cookie (sc_session): notwendig, um Sie nach der Anmeldung wiederzuerkennen. HttpOnly, übertragen nur verschlüsselt; läuft nach Inaktivität bzw. spätestens nach 30 Tagen ab.
• Lokaler Browser-Speicher (localStorage): speichert Einstellungen wie Hell/Dunkel-Modus und Oberflächen-Vorlieben. Diese Daten verlassen Ihren Browser nicht.

Rechtsgrundlage für diese notwendigen Mittel ist § 25 Abs. 2 TDDDG sowie Art. 6 Abs. 1 lit. b und f DSGVO. Eine Einwilligung ist hierfür nicht erforderlich.

6. Registrierung und Nutzerkonto

Zur Nutzung legen Sie ein Konto an. Verarbeitet werden insbesondere E-Mail-Adresse, ein nach dem Stand der Technik gespeichertes (gehashtes) Passwort, optional Ihr Name sowie Zuordnungen zu Workspace/Rolle. Zur Bestätigung der E-Mail, für Passwort-Zurücksetzungen und Einladungen versenden wir E-Mails. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

7. Verarbeitung bei der Nutzung des Dienstes

Im Rahmen der Nutzung verarbeiten wir die von Ihnen eingebrachten Inhalte und Daten, um den Dienst bereitzustellen, u. a.:

• hochgeladene Medien (Bilder, Videos) und daraus erzeugte Inhalte;
• von Ihnen eingegebene Texte, Projekt-/Markenangaben und KI-erzeugte Entwürfe;
• Verbindungen zu Ihren Social-Media-Konten sowie Veröffentlichungs- und Auswertungsdaten (z. B. Reichweiten, Likes), die wir über den Posting-Dienst beziehen;
• von Ihnen hinterlegte API-Schlüssel, die verschlüsselt (AES-256-GCM) gespeichert werden.

Die Anmeldung an sozialen Netzwerken erfolgt über den OAuth-Verbindungsprozess unseres Posting-Dienstleisters (Bundle.social). Plattform-Passwörter werden von uns nicht erhoben und nicht gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO; soweit Sie als Verantwortliche fremde personenbezogene Daten einbringen, verarbeiten wir diese als Auftragsverarbeiterin (Art. 28 DSGVO).

8. KI-gestützte Funktionen

Für die Erzeugung von Texten, Bildern, Videos, Sprache und Musik nutzen wir spezialisierte KI-Dienstleister (siehe Tabelle unten). Dazu werden die jeweils erforderlichen Eingaben (z. B. Ihr Briefing, ein Bild als Vorlage) an den jeweiligen Dienst übermittelt und das Ergebnis zurückgespielt. Bitte geben Sie in den KI-Feldern keine sensiblen personenbezogenen Daten Dritter ein, die für den Zweck nicht erforderlich sind.

9. Eingesetzte Dienstleister (Auftragsverarbeiter und Empfänger)

Zur Erbringung des Dienstes setzen wir folgende Auftragsverarbeiter ein. Mit allen bestehen Verträge nach Art. 28 DSGVO; Details und der jeweils aktuelle Stand ergeben sich aus dem Auftragsverarbeitungsvertrag.

Dienstleister	Zweck	Datenstandort
Hetzner Online GmbH	Hosting / Serverbetrieb	EU (Deutschland)
Bundle.social	Verbindung & Veröffentlichung auf sozialen Netzwerken, Auswertungen	ggf. Drittland
Anthropic (Claude)	KI-Texterstellung	USA / Drittland
OpenAI	KI-Bilder und Sprachausgabe	USA / Drittland
fal.ai	KI-Video, -Banner und -Musik	USA / Drittland
HeyGen	KI-Avatar-Videos (optional)	USA / Drittland
Resend	Versand von System-E-Mails (Bestätigung, Reset, Einladungen, Reports)	USA / Drittland

Optionale KI-Funktionen werden nur ausgeführt, wenn Sie sie aktiv nutzen bzw. die zugehörigen Schlüssel hinterlegt sind. Ohne Nutzung der jeweiligen Funktion findet keine Übermittlung an den betreffenden Dienst statt.

10. Übermittlung in Drittländer

Einige der genannten Dienstleister verarbeiten Daten außerhalb der EU/des EWR (insbesondere in den USA). Eine Übermittlung erfolgt nur auf einer der nach Kapitel V DSGVO zulässigen Grundlagen, insbesondere auf Basis von Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) und – soweit der jeweilige Anbieter zertifiziert ist – des EU-US Data Privacy Framework (Angemessenheitsbeschluss, Art. 45 DSGVO). Den jeweils aktuellen Stand der Garantien führen wir im Auftragsverarbeitungsvertrag.

11. Speicherdauer

Wir speichern personenbezogene Daten nur, solange dies für die genannten Zwecke oder aufgrund gesetzlicher Aufbewahrungspflichten erforderlich ist. Konto- und Inhaltsdaten werden für die Dauer des Vertragsverhältnisses gespeichert und nach dessen Beendigung gelöscht, soweit keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

12. Ihre Rechte

Sie haben nach der DSGVO das Recht auf:

• Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17) und Einschränkung der Verarbeitung (Art. 18);
• Datenübertragbarkeit (Art. 20);
• Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21);
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3).

Zur Ausübung genügt eine Mitteilung an die oben genannten Kontaktdaten.

13. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestr. 2–4, 40213 Düsseldorf
www.ldi.nrw.de

14. Datensicherheit

Die Übertragung erfolgt verschlüsselt (TLS). Hinterlegte API-Schlüssel werden verschlüsselt gespeichert (AES-256-GCM). Der Zugang ist durch Anmeldung, Rollen- und Rechtekonzept sowie eine automatische Abmeldung bei Inaktivität geschützt. Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO (siehe Anlage zum Auftragsverarbeitungsvertrag).

15. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage oder Verarbeitung ändern. Es gilt die jeweils hier veröffentlichte Fassung.