Datenschutzerklärung

Stand: 16. Juni 2026

Version: Entwurf / vorläufige Fassung

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung unserer Web-App FeedEngine.

Die App ist derzeit ausschließlich als login-geschützter Bereich für unsere Kunden und interne Administratoren ausgestaltet. Es gibt aktuell keine öffentliche Marketing-Website, kein Kontaktformular, keinen Newsletter, kein Web-Tracking und keine Marketing-Pixel.

1. Verantwortliche Stelle

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung ist:

FeedEngine GesbR

Gesellschafter: Jan Schenke, Julian Rainer

Adresse: Maria-Theresien-Straße 5, Top 49, 1090 Wien, Österreich

E-Mail: kontakt@feedengine.eu

Website: https://feedengine.eu

Telefon: [Telefonnummer, falls gewünscht]

UID: Noch nicht vorhanden

Gewerbebehörde: [zuständige Gewerbebehörde]

Gewerbe: Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik

Bei Fragen zum Datenschutz können Sie uns unter kontakt@feedengine.eu kontaktieren.

2. Gegenstand der App

Wir betreiben eine Web-Software, mit der Gastronomiebetriebe Social-Media-Inhalte, insbesondere für Instagram, erstellen, gestalten, planen und veröffentlichen können.

Die App ermöglicht insbesondere:

Login von Restaurant-Mitarbeitern,
Upload von Fotos, Videos, Speise- und Wochenkarten,
KI-gestützte Analyse und Aufbereitung dieser Inhalte,
Erstellung von Bildunterschriften, Gestaltungselementen und Social-Media-Entwürfen,
Planung von Veröffentlichungen,
Freigabe von Beiträgen durch den Kunden,
Veröffentlichung auf dem Instagram-Konto des jeweiligen Restaurants über die Meta-/Instagram-Schnittstelle.

3. Rollenverteilung im Datenschutz

Wir unterscheiden zwischen verschiedenen Verarbeitungssituationen.

3.1 Verarbeitung als Verantwortlicher

Wir sind Verantwortliche für personenbezogene Daten, die wir für den Betrieb unserer App und unseres Unternehmens selbst verarbeiten. Dazu gehören insbesondere:

Login- und Accountdaten der App-Nutzer,
interne Administrator-Zugriffe,
Daten von Interessenten und Kunden im Rahmen der Vertragsverwaltung,
CRM-/Lead-Daten,
technische Sicherheitsdaten,
Kommunikation mit Kunden und Interessenten.

3.2 Verarbeitung als Auftragsverarbeiter

Soweit Restaurants über die App Inhalte hochladen und verarbeiten lassen, insbesondere Fotos oder Videos mit möglicherweise erkennbaren Personen, verarbeiten wir diese Inhalte grundsätzlich im Auftrag des jeweiligen Restaurants.

In diesem Fall ist das Restaurant für die Rechtmäßigkeit der Inhalte verantwortlich, insbesondere für:

die Rechtmäßigkeit der Aufnahme,
die Zulässigkeit der Veröffentlichung,
Einwilligungen oder sonstige Rechtsgrundlagen für abgebildete Gäste oder Mitarbeiter,
Rechte an Fotos, Videos, Logos, Speisekarten, Texten und Musik.

Die Einzelheiten werden in einem separaten Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwischen uns und dem jeweiligen Restaurant geregelt.

4. Welche Daten wir verarbeiten

4.1 Account- und Login-Daten

Bei Nutzung der App verarbeiten wir insbesondere:

Benutzername,
Rolle des Nutzers, z. B. Admin oder Kunde,
Zuordnung zu einem Restaurant/Mandanten,
Passwort-Hash,
Sitzungs-Cookie,
technische Informationen zur Aufrechterhaltung der Sitzung.

Passwörter werden nicht im Klartext gespeichert, sondern als kryptografischer Hash.

4.2 Inhaltsdaten der Restaurants

Restaurants können über die App Inhalte hochladen, insbesondere:

Fotos,
Videos,
Speise- und Wochenkarten,
Texte,
Logos,
Veröffentlichungszeitpunkte,
Social-Media-Entwürfe,
finale Mediendateien.

Diese Inhalte können personenbezogene Daten enthalten, insbesondere wenn Gäste oder Mitarbeiter auf Fotos oder Videos erkennbar sind.

4.3 Veröffentlichungsdaten

Für die Veröffentlichung auf Instagram verarbeiten wir insbesondere:

Verknüpfung zum Instagram-Konto des Restaurants,
Konto-ID,
Zugriffstoken,
Freigabeinformationen,
geplante Veröffentlichungszeitpunkte,
Protokolle erfolgter Veröffentlichungen.

Die Veröffentlichung erfolgt nur auf dem Instagram-Konto des jeweiligen Restaurants und nur nach Freigabe bzw. nach entsprechender Aktivierung durch den Kunden.

4.4 CRM- und Interessentendaten

Wenn Interessenten oder potenzielle Kunden mit uns in Kontakt treten, verarbeiten wir intern insbesondere:

Name,
Restaurantname,
Rolle/Funktion,
E-Mail-Adresse,
Telefonnummer, falls übermittelt,
Gesprächsnotizen,
Status der Anfrage,
freiwillig überlassene Materialien.

Ein öffentliches Kontaktformular besteht derzeit nicht. Kontaktaufnahmen erfolgen aktuell persönlich oder per E-Mail.

4.5 Nachweis- und Zustimmungsdaten

Zur Nachvollziehbarkeit von Freigaben und Zustimmungen verarbeiten wir insbesondere:

die einmalige Bestätigung der rechtlichen Rahmenbedingungen durch den Kunden (Rechte-/Vertragsbestätigung) mit Version, bestätigendem Benutzer und Zeitpunkt,
technische Freigabe- und Veröffentlichungsprotokolle je Beitrag (u. a. freigebender Benutzer, Freigabe-/Veröffentlichungszeitpunkt, freigegebene Fassung des Textes und der Mediendatei).

5. Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

Bereitstellung der App,
Verwaltung von Nutzerkonten,
Authentifizierung und Zugriffsschutz,
Mandantentrennung zwischen Restaurants,
Upload, Verarbeitung und Verwaltung von Restaurant-Inhalten,
KI-gestützte Erstellung und Aufbereitung von Social-Media-Inhalten,
Planung und Veröffentlichung von Social-Media-Beiträgen,
Vertragsdurchführung mit Kunden,
Kundenbetreuung und Support,
Verwaltung von Interessenten und Leads,
Abrechnung und Buchhaltung,
Sicherheit und Missbrauchsschutz,
Erfüllung gesetzlicher Pflichten.

6. Rechtsgrundlagen der Verarbeitung

Soweit wir personenbezogene Daten als Verantwortliche verarbeiten, stützen wir die Verarbeitung insbesondere auf folgende Rechtsgrundlagen:

Vertragserfüllung oder vorvertragliche Maßnahmen, soweit Daten zur Bereitstellung der App, zur Kundenkommunikation oder zur Vertragsanbahnung erforderlich sind;
berechtigtes Interesse, insbesondere am sicheren und stabilen Betrieb der App, an der Verwaltung von Kundenbeziehungen und am Schutz vor Missbrauch;
rechtliche Verpflichtungen, insbesondere steuerliche und unternehmensrechtliche Aufbewahrungspflichten;
Einwilligung, soweit eine solche im Einzelfall erforderlich ist.

Soweit wir personenbezogene Daten im Auftrag eines Restaurants verarbeiten, erfolgt dies auf Grundlage eines Auftragsverarbeitungsvertrags und nach Weisung des jeweiligen Restaurants.

7. Cookies und lokale Speicherung

Unsere App setzt derzeit genau ein Cookie:

Name: se_session

Zweck: Login-Sitzung, Authentifizierung, Sicherheit, Aufrechterhaltung des eingeloggten Zustands

Speicherdauer: bis zu 30 Tage, mit gleitender Verlängerung bei Nutzung

Eigenschaften: signiert, HttpOnly, SameSite=Lax

Kategorie: technisch notwendig

Das Cookie ist erforderlich, um den login-geschützten Bereich sicher bereitzustellen. Ohne dieses Cookie kann die App nicht ordnungsgemäß genutzt werden.

Ein Cookie-Banner wird derzeit nicht eingesetzt, da keine technisch nicht notwendigen Cookies, keine Marketing-Cookies und keine Tracking-Cookies verwendet werden.

Eine darüber hinausgehende Speicherung im Browser zu Tracking- oder Marketingzwecken findet nicht statt.

8. Kein Tracking und keine Marketing-Pixel

Wir verwenden derzeit keine Dienste zur Analyse oder Nachverfolgung von Nutzern.

Insbesondere verwenden wir derzeit nicht:

Google Analytics,
Matomo,
Plausible,
Fathom,
Vercel Analytics,
PostHog,
Microsoft Clarity,
Hotjar,
Meta Pixel,
TikTok Pixel,
LinkedIn Insight Tag,
Google Ads Conversion Tracking,
Retargeting-Technologien.

Es findet auch kein Browser-Fingerprinting statt.

Falls wir künftig Analyse- oder Marketingdienste einsetzen, werden wir diese Datenschutzerklärung entsprechend aktualisieren und, soweit erforderlich, vorab eine Einwilligung einholen.

9. Serverlogs und Sicherheit

Auf Anwendungsebene werden keine dauerhaften Zugriffsprotokolle mit Personenbezug geführt. Zum Schutz vor missbräuchlichen Anmeldeversuchen werden fehlgeschlagene Logins nur kurzzeitig und vorübergehend ausgewertet; eine dauerhafte Speicherung erfolgt nicht.

Auf Infrastruktur-Ebene können durch Hosting-Anbieter oder technische Dienstleister System- oder Zugriffslogs entstehen:

Hosting-Anbieter: IONOS

Serverstandort: Spanien (innerhalb der EU/des EWR)

Speicherdauer Infrastruktur-Logs: bei IONOS (Hosting) 8 Wochen, bei Cloudflare (Tunnel) 24 Stunden

10. Hosting

Die App wird auf einem Linux-VPS betrieben.

Hosting-Anbieter: IONOS

Serverstandort: Spanien (innerhalb der EU/des EWR)

Betriebsumgebung: Linux-VPS, systemd, Dienstnutzer „social", Anwendung unter /opt/social-engine

Der Hosting-Anbieter verarbeitet personenbezogene Daten, soweit dies für Betrieb, Sicherheit und Auslieferung der App erforderlich ist. Mit dem Hosting-Anbieter wird, soweit erforderlich, ein Vertrag zur Auftragsverarbeitung abgeschlossen.

Da sich der Server innerhalb der Europäischen Union bzw. des EWR (Spanien) befindet, liegt insoweit keine Drittlandübermittlung vor.

11. Cloudflare (DNS, Reverse-Proxy/Tunnel) und E-Mail-Dienste

11.1 Cloudflare

Die App ist über die Dienste von Cloudflare erreichbar. Cloudflare übernimmt:

DNS-Auflösung für die Domain,
einen Reverse-Proxy/Tunnel, über den die App öffentlich (ausschließlich über HTTPS) erreichbar ist; dabei verarbeitet Cloudflare technische Verbindungsdaten (u. a. IP-Adressen der Zugreifenden),
die temporäre öffentliche Bereitstellung fertig gerenderter Mediendateien, damit Meta/Instagram diese zur Veröffentlichung abrufen kann,
E-Mail-Routing: Empfang eingehender E-Mails an die Domain und deren Weiterleitung an ein betriebliches Postfach.

Cloudflare wird nicht zum Tracking von Nutzern oder zu Marketingzwecken eingesetzt.

Dienstleister: Cloudflare (USA, mit EU-Niederlassung)

DPA / Drittlandtransfer: über den bestehenden Cloudflare-Auftragsverarbeitungsvertrag geregelt (EU-US Data Privacy Framework bzw. Standardvertragsklauseln).

11.2 E-Mail-Versand (Brevo)

Für den Versand ausgehender E-Mails von der Domain (z. B. Geschäftskorrespondenz) setzen wir den E-Mail-Dienstleister Brevo (Sendinblue SAS, Frankreich) ein. Dabei werden Empfängeradresse, Betreff und Inhalt der jeweiligen E-Mail verarbeitet.

Dienstleister: Brevo (Sendinblue SAS), Frankreich (EU/EWR) — keine Drittlandübermittlung

DPA: nach Art. 28 DSGVO abgeschlossen (Teil der Brevo-Nutzungsbedingungen).

11.3 E-Mail-Posteingang

Eingehende E-Mails werden (über das Cloudflare-Routing) an ein betriebliches Postfach bei Google (Gmail) weitergeleitet und dort verarbeitet.

12. KI-Dienste

Zur Aufbereitung von Restaurant-Inhalten setzen wir externe KI-Dienste ein. Dabei können insbesondere Fotos, Videoausschnitte, Speisekarten, Texte oder daraus abgeleitete Informationen an die jeweiligen Dienste übermittelt werden.

Derzeit sind insbesondere folgende Dienste vorgesehen:

12.1 Google / Gemini API

Zweck: Bildanalyse, Textanalyse, Auslesen von Speisekarten, Zuordnung von Gerichten zu Bildern, Qualitätsprüfung

Daten: Restaurant-Inhalte, insbesondere Bilder, Videoausschnitte, Texte, Karten

Tarif: kostenpflichtiger API-Tarif

Trainingsnutzung: nach Anbieterangaben keine Nutzung zur Modellverbesserung im kostenpflichtigen API-Kontext; final zu prüfen und zu dokumentieren

Drittlandtransfer: im AV-Vertrag mit dem Anbieter geregelt

12.2 Anthropic / Claude API

Zweck: Erstellung und Überarbeitung von Bildunterschriften und Textvorschlägen

Daten: Texte, Kontextinformationen, gegebenenfalls aus Bildern abgeleitete Beschreibungen

Trainingsnutzung / Speicherung / DPA: im AV-Vertrag mit dem Anbieter geregelt

Drittlandtransfer: im AV-Vertrag mit dem Anbieter geregelt

12.3 OpenAI API

Zweck: Erzeugung gezeichneter Symbole und Gestaltungselemente

Daten: Prompts, Kontextinformationen, gegebenenfalls Beschreibungen von Restaurant-Inhalten

Trainingsnutzung / Speicherung / DPA: im AV-Vertrag mit dem Anbieter geregelt

Drittlandtransfer: im AV-Vertrag mit dem Anbieter geregelt

Die KI-Dienste werden ausschließlich zur Erbringung der vereinbarten Leistung gegenüber dem jeweiligen Restaurant eingesetzt. Eine Nutzung zur Analyse von Website-Besuchern findet nicht statt.

13. Meta / Instagram

Zur Veröffentlichung freigegebener Inhalte nutzt die App die offizielle Meta-/Instagram-Schnittstelle.

Dabei können insbesondere folgende Daten verarbeitet werden:

Instagram-Konto-ID,
Zugriffstoken,
freigegebene Mediendateien,
Veröffentlichungszeitpunkte,
Veröffentlichungsstatus,
technische Rückmeldungen der Schnittstelle.

Die Veröffentlichung erfolgt ausschließlich auf dem Instagram-Konto des jeweiligen Restaurants. Der Kunde muss berechtigt sein, dieses Instagram-Konto zu verwalten und die Veröffentlichung zu veranlassen.

Meta verarbeitet Daten nach seinen eigenen Bedingungen und Datenschutzinformationen. Einzelheiten zur datenschutzrechtlichen Rolle von Meta sind gesondert zu prüfen und in den Vertragsunterlagen zu berücksichtigen.

14. Empfänger und Dienstleister

Personenbezogene Daten können, soweit erforderlich, an folgende Kategorien von Empfängern übermittelt werden:

Hosting-Anbieter,
Backup-/Storage-Dienstleister (EU),
Cloudflare bzw. Tunnel-/Netzwerkdienstleister (DNS, Reverse-Proxy, E-Mail-Routing),
E-Mail-Dienstleister (Versand: Brevo/EU; Posteingang: Google/Gmail),
KI-Dienstleister,
Meta/Instagram,
Steuerberatung und Buchhaltung,
IT-Dienstleister, soweit eingesetzt,
Behörden, soweit gesetzlich erforderlich.

Eine aktuelle Liste der eingesetzten Dienstleister und Unterauftragsverarbeiter wird intern geführt und Kunden im Rahmen des Auftragsverarbeitungsvertrags zur Verfügung gestellt.

15. Drittlandübermittlungen

Der Hosting-Server befindet sich in Spanien und damit innerhalb der Europäischen Union bzw. des EWR; insoweit liegt keine Drittlandübermittlung vor.

Einige der eingesetzten Dienste können personenbezogene Daten jedoch außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums verarbeiten, insbesondere in den USA (namentlich die KI-Dienste sowie Meta/Instagram und gegebenenfalls Cloudflare). Der E-Mail-Versanddienst Brevo verarbeitet die Daten in der EU (Frankreich); insoweit liegt keine Drittlandübermittlung vor. Das betriebliche E-Mail-Postfach wird bei Google (Gmail) geführt, wobei eine Verarbeitung in den USA nicht ausgeschlossen ist.

Soweit Daten in Drittländer übermittelt werden, erfolgt dies nur auf Grundlage der jeweils erforderlichen datenschutzrechtlichen Mechanismen, insbesondere:

Angemessenheitsbeschluss,
EU-US Data Privacy Framework, soweit anwendbar,
Standardvertragsklauseln,
zusätzliche Schutzmaßnahmen, soweit erforderlich.

Die konkrete Absicherung der Drittlandübermittlungen ist für die einzelnen Anbieter noch final zu prüfen und zu dokumentieren.

16. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Aktuell gelten folgende Grundsätze:

Accountdaten: für die Dauer des Vertragsverhältnisses; Löschung nach Vertragsende nach Maßgabe des Löschkonzepts;
Restaurant-Inhalte: bis zur Löschung durch den Kunden oder bis Vertragsende;
aussortierte Uploads: automatische Löschung nach etwa einem Tag;
Veröffentlichungsprotokoll (Posting-Protokoll, Nachweis über Freigaben/Veröffentlichungen): bis 12 Monate nach Vertragsende, danach Löschung;
CRM-/Lead-Daten ohne Vertragsschluss: 12 Monate, danach Löschung;
Rechnungs- und Vertragsdaten: nach gesetzlichen Aufbewahrungspflichten;
Infrastruktur-Logs: bei IONOS 8 Wochen, bei Cloudflare 24 Stunden;
Backups: verschlüsselte Off-site-Backups, Aufbewahrung bis zu rund 30 Tage (7 tägliche + 4 wöchentliche Stände); gelöschte Daten altern innerhalb dieser Spanne aus den Backups heraus.

Kunden können eigene Inhalte in der App löschen. Zusätzlich ist eine manuelle Löschung durch uns möglich.

17. Technische und organisatorische Maßnahmen

Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen — insbesondere verschlüsselte Übertragung (HTTPS), Passwortspeicherung ausschließlich als kryptografischer Hash, verschlüsselte Datenablage beim Hoster, rollenbasierte Zugriffskontrolle und strikte Trennung der Mandanten.

Die ausführliche Darstellung dieser Maßnahmen ist Bestandteil des Auftragsverarbeitungsvertrags (Anlage „Technische und organisatorische Maßnahmen") und wird Geschäftskunden dort zur Verfügung gestellt.

18. Rechte betroffener Personen

Betroffene Personen haben nach Maßgabe der DSGVO insbesondere folgende Rechte:

Recht auf Auskunft,
Recht auf Berichtigung,
Recht auf Löschung,
Recht auf Einschränkung der Verarbeitung,
Recht auf Datenübertragbarkeit,
Recht auf Widerspruch,
Recht auf Widerruf einer Einwilligung mit Wirkung für die Zukunft,
Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.

Zur Ausübung dieser Rechte können Sie uns unter kontakt@feedengine.eu kontaktieren.

Soweit wir Daten im Auftrag eines Restaurants verarbeiten, leiten wir entsprechende Anfragen gegebenenfalls an das verantwortliche Restaurant weiter oder unterstützen das Restaurant nach Maßgabe des Auftragsverarbeitungsvertrags.

19. Beschwerderecht bei der Datenschutzbehörde

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

In Österreich ist zuständig:

Österreichische Datenschutzbehörde

Barichgasse 40–42

1030 Wien

Website: https://www.dsb.gv.at

20. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt.

Die App kann KI-gestützt Social-Media-Inhalte analysieren, vorbereiten und vorschlagen. Eine Veröffentlichung erfolgt jedoch nur nach Freigabe bzw. entsprechender Aktivierung durch den Kunden.

21. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich unsere App, unsere Datenverarbeitung oder die rechtlichen Anforderungen ändern.

Dies gilt insbesondere, wenn künftig eine öffentliche Marketing-Website, ein Kontaktformular, Newsletter, Analyse-Tools, Marketing-Pixel oder weitere externe Dienste eingesetzt werden.

Impressum · Datenschutz