Skip to content

Datenschutzerklärung

Diese Datenschutzerklärung informiert dich darüber, wie die Leia-Sophie Holding GmbH (Handelsname: OptimusFlow Consulting) deine personenbezogenen Daten verarbeitet, wenn du die OptimusFlow Shorts App nutzt.

Der Schutz deiner Daten ist uns ein besonderes Anliegen. Wir verarbeiten deine Daten ausschließlich auf Grundlage der geltenden gesetzlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO), dem österreichischen Datenschutzgesetz (DSG) sowie dem Telekommunikationsgesetz (TKG 2021).

1. Verantwortlicher für die Datenverarbeitung

Leia-Sophie Holding GmbH
Handelsname: OptimusFlow Consulting
Schreiberweg 6/4
1190 Wien, Österreich
E-Mail: office@optimusflow.consulting
Tel: +43 660 4277234
Web: www.optimusflow.consulting

2. Datenschutzkontakt

Till Oberhummer
E-Mail: office@optimusflow.consulting
Postanschrift: wie oben

3. Welche Daten wir verarbeiten und zu welchem Zweck

3.1 Account-Daten

Bei der Registrierung erfassen wir: E-Mail-Adresse, Name, Passwort (gehasht mit bcrypt). Bei Login wird ein gehashter IP-Fingerprint zur Sicherheitsüberwachung gespeichert.

Zweck: Vertragserfüllung — Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

3.2 Markenprofil

Im Onboarding und in den Einstellungen kannst du dein Markenprofil pflegen: Unternehmensname, Creator-Name, Biografie, Nische, Zielgruppe, Tonalität, Social-Media-Links. Diese Daten werden zur Content-Generierung verwendet und können in KI-Prompts eingebettet werden (siehe Abschnitt 5).

Zweck: Vertragserfüllung — Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

3.3 Waitlist / Kontaktaufnahme

E-Mail-Adresse, Einwilligung (mit gespeichertem Consent-Text und Zeitstempel).

Zweck: Information über den Produkt-Launch — Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

3.4 Content-Pipeline-Daten

Transkripte öffentlicher YouTube-Videos, KI-generierte Texte (Skripte, Captions, Beschreibungen), Video-URLs und Szenen-Daten. Diese werden zur automatisierten Content-Erstellung verarbeitet und gespeichert.

Zweck: Vertragserfüllung — Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Wenn du den Content-Import nutzt (Notion, Google Docs, Airtable), übermitteln wir auf deine explizite Anfrage hin die von dir angegebene URL sowie einen von dir bereitgestellten API-Schlüssel serverseitig an den jeweiligen Anbieter. Der abgerufene Inhalt wird als KI-Eingabe für die Content-Pipeline verwendet und in deinem Konto gespeichert.

Zweck: Vertragserfüllung — Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

3.5 Nutzungsdaten und Marketing

Anonymisierte Performance-Messung via Vercel Analytics (ohne Cookies, nur Seitenaufrufe) sowie statistisches Tracking via Google Analytics und Hotjar und Marketing-Tracking via Meta Pixel — Google Analytics, Hotjar und Meta Pixel nur nach deiner ausdrücklichen Einwilligung über den Cookie-Banner.

Zusätzlich setzen wir die Meta Conversions API (CAPI) ein. Dabei werden bei der Newsletter-Anmeldung — und ausschließlich dann, wenn du zuvor im Cookie-Banner in Marketing-Cookies eingewilligt hast — folgende Daten serverseitig, gehasht (SHA-256), an Meta Platforms Inc. übertragen: E-Mail-Adresse, IP-Adresse, User-Agent. Eine Übertragung ohne Marketing-Cookie-Einwilligung findet nicht statt.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

4. Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter ein, mit denen wir Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO geschlossen haben. Soweit diese in den USA ansässig sind, erfolgt die Übermittlung auf Basis der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Eine Weitergabe zu Werbezwecken an Dritte erfolgt nicht.

AnbieterZweckSitz / Transfermechanismus
Vercel Inc.Web-Hosting, Serverless Functions, Vercel Analytics (datenschutzkonform, ohne Cookies)USA, SCCs
Neon Inc.Datenbank-Hosting (Region: EU-Central-1, Frankfurt)USA, SCCs
Resend Inc.Transaktionale E-MailsUSA, SCCs
Upstash Inc.Redis Rate-Limiting und CachingUSA, SCCs
Cloudflare Inc.CDN und R2 Object StorageUSA, SCCs
n8n GmbHWorkflow-Automatisierung (Content-Pipeline)Deutschland, EU
Google LLCGoogle Analytics (via GTM), YouTube Data APIUSA, SCCs
Google LLC (Gemini)KI-gestützte Textgenerierung (Content-Pipeline)USA, SCCs
Anthropic PBC (Claude)KI-gestützte Textgenerierung und QualitätsprüfungUSA, SCCs
OpenAI OpCo LLC (GPT)KI-gestützte Textgenerierung und KlassifizierungUSA, SCCs
Meta Platforms Inc.Meta Pixel, Instagram/Facebook Graph APIUSA, SCCs
Blotato Inc.Video-Rendering und Social-Media-PublishingUSA, SCCs
MuApiKI-Bildgenerierung (Fallback-Provider im n8n-Workflow; primärer Provider ist KIE AI)USA, SCCs
KIE AI (kie.ai)KI-Bildgenerierung (Haupt-Provider für Szenenbilder und Thumbnails)USA, SCCs
OpenRouter Inc.KI-Routing (LLM-Anfragen an verschiedene Modelle)USA, SCCs
Notion Labs Inc.Content-Import: Abruf von Notion-Seiteninhalten auf Nutzer-AnfrageUSA, SCCs
Google LLC (Drive/Docs API)Content-Import: Abruf von Google-Docs-Inhalten auf Nutzer-AnfrageUSA, SCCs
Airtable Inc.Content-Import: Abruf von Airtable-Datensätzen auf Nutzer-AnfrageUSA, SCCs
Apify s.r.o.Social-Media-Metriken (TikTok/Instagram)Tschechien, EU
Hotjar Ltd.Nutzungsanalyse (Heatmaps, Session-Aufzeichnung)Malta, EU

5. KI-gestützte Datenverarbeitung

Zur Erstellung von Content (Videoskripte, Captions, Voiceover-Texte) setzen wir KI-Dienste ein. Dabei können von dir eingegebene Inhalte (z. B. Research-Texte, Markenprofil-Informationen) zur Verarbeitung an diese Anbieter übertragen werden. Im Rahmen der Content-Erstellung können Markenprofil-Daten (z. B. Creator-Name, Unternehmensname, Biografie, Social-Media-Links) in KI-Prompts eingebettet werden. E-Mail-Adressen und Passwörter werden nicht an KI-Dienste übermittelt.

  • Google LLC (Gemini): Textgenerierung und Inhaltsanalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO. Drittlandübermittlung in die USA auf Basis der SCCs.
  • Anthropic PBC (Claude): Textgenerierung und Qualitätsprüfung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO. Drittlandübermittlung in die USA auf Basis der SCCs.
  • OpenAI OpCo LLC (GPT): Textgenerierung und Klassifizierung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO. Drittlandübermittlung in die USA auf Basis der SCCs.
  • KIE AI (kie.ai): KI-Bildgenerierung (Szenenbilder, Thumbnails). Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO. Drittlandübermittlung in die USA auf Basis der SCCs.
  • OpenRouter Inc.: LLM-Routing (Weiterleitung von KI-Anfragen an verschiedene Sprachmodelle). Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO. Drittlandübermittlung in die USA auf Basis der SCCs.

Eine rechtsverbindliche Entscheidung erfolgt nicht ausschließlich automatisiert (Art. 22 DSGVO findet keine Anwendung). Die erstellten Inhalte werden als KI-generiert gekennzeichnet, soweit dies plattformseitig erforderlich ist (z. B. TikTok, YouTube). Im Sinne des EU AI Act (Verordnung (EU) 2024/1689) handelt es sich bei den eingesetzten Systemen um KI-Modelle der Allzweckkategorie (GPAI). Wir setzen diese ausschließlich für berufliche Content-Erstellung ein; eine Verwendung für Hochrisiko-Anwendungen gemäß Anhang III EU AI Act findet nicht statt.

6. Cookies und Tracking

Unsere App nutzt Cookies, darunter:

  • Essenzielle Cookies — Session, CSRF-Schutz, Consent-Einstellung (ohne Einwilligung, Art. 6 Abs. 1 lit. b/f DSGVO)
  • Analyse-Cookies — Google Analytics, Hotjar (nur mit Einwilligung)
  • Marketing-Cookies — Meta Pixel (nur mit Einwilligung)
  • Meta Conversions API (CAPI) — serverseitige Übertragung gehashter Signale (E-Mail, IP, User-Agent) an Meta bei Newsletter-Anmeldung, ausschließlich wenn Marketing-Cookies eingewilligt wurden (kein Cookie, nur mit Einwilligung)

Du kannst deine Cookie-Einstellungen jederzeit über den Cookie-Banner unten links ändern. Rechtsgrundlage für Analyse/Marketing: Art. 6 Abs. 1 lit. a DSGVO.

7. Speicherdauer

  • Account-Daten: bis zur Kontolöschung
  • Login-Verlauf: 30 Tage
  • Pipeline-Runs und Videos: 24 Monate nach Erstellung
  • Waitlist-Einträge: bis zum Widerruf bzw. nach Abschluss der Beta-Phase
  • Passwort-Reset-Tokens: 7 Tage
  • Einladungen: 30 Tage nach Ablauf
  • Systemlogs / Audit-Log (Beta-Logs, Aktivitätsprotokoll): 30 Tage
  • Video-Metriken (Rohdaten-Zwischenstände): 90 Tage (jüngster Wert pro Video bleibt erhalten)
  • Cookies: gemäß Cookie-Einstellung

8. Deine Rechte laut DSGVO

Du hast das Recht auf:

  • Auskunft (Art. 15) — über den Datenexport in den Kontoeinstellungen
  • Berichtigung (Art. 16)
  • Löschung / "Recht auf Vergessenwerden" (Art. 17) — über die Kontolöschung in den Einstellungen
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20) — JSON-Export über die Kontoeinstellungen
  • Widerspruch (Art. 21)
  • Widerruf einer Einwilligung (Art. 7 Abs. 3)

Zur Ausübung deiner Rechte wende dich an: office@optimusflow.consulting. Du hast außerdem das Recht, eine Beschwerde bei der österreichischen Datenschutzbehörde einzureichen (www.dsb.gv.at).

9. Sicherheit deiner Daten

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein: SSL-Verschlüsselung aller Verbindungen, AES-256-GCM-Verschlüsselung für gespeicherte API-Schlüssel, bcrypt-Hashing für Passwörter, rollenbasierte Zugriffsbeschränkungen und Timing-sichere Vergleiche für Authentifizierungs-Tokens.

10. Aktualität

Diese Datenschutzerklärung wurde zuletzt am 9. Juni 2026 aktualisiert. Bei wesentlichen Änderungen informieren wir aktiv über unsere App oder per E-Mail. Es gilt jeweils die hier veröffentlichte Version.