Datenschutz

Stand: 2026-05-07 · V0-Beta · Diese Seite wird vor der ersten zahlenden Kundin/dem ersten zahlenden Kunden anwaltlich geprüft.

socialpolitix ist ein clientseitiges Analyse-Werkzeug für politische Kommunikation. Mit der V0-Beta speichern wir hochgeladene CSV-Dateien und Analyseergebnisse in Ihrem Konto, damit Sie sie in späteren Sitzungen wieder öffnen können. Diese Seite beschreibt kurz und ehrlich, was wir dabei speichern, wo, wie lange — und wie Sie Ihre Daten jederzeit löschen oder exportieren können.

Eine ausführlichere Fassung dieser Erklärung — die vollständige Datenschutzerklärung gemäß Art. 13 DSGVO — liegt im Repository unter docs/legal/datenschutzerklaerung-v0.de.md. Diese Seite ist die kurze, kundenfreundliche Variante.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist {{VERANTWORTLICHER_NAME}}, {{VERANTWORTLICHER_ANSCHRIFT}}. Anfragen zu Datenschutz: {{KONTAKT_EMAIL}}.

2. Welche Daten wir speichern

2.1 Konto und Anmeldung

E-Mail-Adresse, Passwort-Hash (durch Firebase Authentication verwaltet), bei Google-Anmeldung zusätzlich Anzeigename und Profilbild-URL. Zeitstempel der Anmeldung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 Hochgeladene CSV-Dateien und Analyseergebnisse

Wenn Sie eine CSV-Datei hochladen, speichern wir die Datei und die daraus berechneten Analysen in Ihrem Konto. Die Inhalte sind ausschließlich für Sie sichtbar; weder andere Nutzer:innen noch wir nutzen sie für andere Zwecke. Wir trainieren keine KI-Modelle mit Ihren Daten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.3 Server-Logs

IP-Adresse, Zeitstempel, HTTP-Methode, Pfad, User-Agent, Antwort-Status. Keine CSV-Inhalte. Speicherdauer maximal 30 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).

2.4 Was wir nicht tun

Kein Tracking, keine Analytics-Pixel, keine Werbe-Cookies.
Kein Verkauf oder Tausch Ihrer Daten an Dritte.
Kein Modell-Training mit Ihren Inhalten.
Keine Verarbeitung außerhalb der Europäischen Union.

3. Wo Ihre Daten gespeichert werden

Alle Anwendungsdaten liegen in der Europäischen Union. Genaue Regionen:

Komponente	Dienst	Region
Konto / Anmeldung	Firebase Authentication	EU Multi-Region (`eur3`)
Datenbank (Konten, Analysen)	Cloud Firestore	EU Multi-Region (`eur3`)
CSV-Speicher	Cloud Storage	Frankfurt (`europe-west3`)
API-Server	Cloud Run	Frankfurt (`europe-west3`)
Statische Auslieferung	Firebase Hosting	Frankfurt (`europe-west3`)

Auftragsverarbeiter ist Google Ireland Limited. Es findet keine Datenverarbeitung außerhalb der EU statt. Architektonische Quelle: ADR-0001 · ADR-0006 · ADR-0014.

4. Wie lange wir speichern (Aufbewahrung)

Konto-Daten bleiben gespeichert, solange Ihr Konto besteht. CSV-Dateien und Analysen bleiben gespeichert, bis Sie sie löschen oder das Konto schließen.

30-Tage-Lösch-Fenster. Wenn Sie eine Analyse, eine CSV-Datei oder Ihr gesamtes Konto löschen, wird der Eintrag sofort unsichtbar (Soft-Delete). Nach 30 Tagen entfernt ein automatischer Vorgang die Daten endgültig aus Datenbank und Speicher (Hard-Delete). In dieser 30-Tage-Frist können Sie eine versehentliche Löschung rückgängig machen, indem Sie uns unter {{KONTAKT_EMAIL}} schreiben.

Backups. Datenbank-Backups werden bis zu 30 Tage aufbewahrt. Nach Ablauf dieser Frist sind Ihre Daten nicht mehr wiederherstellbar. Eine Aufbewahrung darüber hinaus findet nicht statt.

Server-Logs. Maximal 30 Tage.

Architektonische Quelle: ADR-0008 (Soft-Delete + nächtliche Löschung).

5. Empfänger und Auftragsverarbeiter

Wir geben Daten ausschließlich an die Auftragsverarbeiter weiter, die für den Betrieb der Anwendung erforderlich sind:

Google Ireland Limited (Firebase Authentication, Cloud Firestore, Cloud Storage, Cloud Run, Firebase Hosting) — alle in EU-Regionen.

Kein weiterer Empfänger. Insbesondere keine Werbe-Netzwerke, keine Tracking-Anbieter, keine Analytics-Dienste, keine Drittanbieter-Cookies.

Die Konzernmutter Google LLC hat ihren Sitz in den USA. Im Rahmen der Auftragsverarbeitung können konzerninterne Zugriffe auftreten; Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Bei einer Änderung der Rechtslage aktualisieren wir diese Erklärung.

6. Ihre Rechte

Sie haben gegenüber uns folgende Rechte (DSGVO Art. 15 ff.):

Auskunft (Art. 15) — Welche Daten haben Sie über mich?
Berichtigung (Art. 16) — Bitte korrigieren Sie etwas Falsches.
Löschung (Art. 17) — Bitte löschen Sie meine Daten.
Datenübertragbarkeit (Art. 20) — Bitte geben Sie mir meine Daten in einem maschinenlesbaren Format heraus.
Einschränkung (Art. 18), Widerspruch (Art. 21), Widerruf einer Einwilligung (Art. 7 Abs. 3) — siehe ausführliche Datenschutzerklärung.

So gehen Sie vor: Senden Sie eine E-Mail an {{KONTAKT_EMAIL}} von der mit Ihrem Konto verknüpften Adresse. Wir antworten innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO); in der Regel innerhalb einer Woche.

Konto selbst löschen: Eine "Konto löschen"-Funktion in den Einstellungen ist in Vorbereitung. Bis dahin: schreiben Sie uns. Eine Konto-Löschung umfasst alle Analysen, CSV-Dateien und abgeleiteten Daten gemäß Ziffer 4.

7. Cookies und browser-lokaler Speicher

socialpolitix setzt nur technisch notwendige Cookies (Anmelde-Cookies von Firebase Auth) und nutzt browser-lokalen Speicher für Ihre Anzeigepräferenzen und die Bestätigung des Beta-Hinweises. Keine Tracking-Cookies, keine Werbe-Cookies. Aus diesem Grund zeigen wir kein Cookie-Consent-Banner: § 25 Abs. 2 TTDSG erlaubt technisch notwendige Speicherzugriffe ohne Einwilligung. Details siehe Cookie-Hinweis im Repository.

8. Beschwerderecht

Sie können sich bei einer Datenschutz-Aufsichtsbehörde beschweren. Für unseren Verarbeitungsstandort (Frankfurt) ist zuständig:

Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI)
Postfach 3163, 65021 Wiesbaden
poststelle@datenschutz.hessen.de · datenschutz.hessen.de

Sie können sich auch an die Aufsichtsbehörde Ihres Bundeslandes oder Wohnsitzes wenden.

9. Auftragsverarbeitung durch Sie

Wenn Sie CSV-Dateien hochladen, deren Inhalte personenbezogene Daten Dritter enthalten (z. B. Namen oder Kommentar-Inhalte aus öffentlichen Facebook-Posts), sind Sie der/die Verantwortliche im Sinne der DSGVO; wir sind in dieser Konstellation Auftragsverarbeiter. Auf Anfrage stellen wir Ihnen einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zur Verfügung. Mustervertrag: dpa-v0.de.md. Anforderung per E-Mail an {{KONTAKT_EMAIL}}.

10. Beta-Status und Änderungen

socialpolitix befindet sich in der Beta-Phase. Funktionsumfang und Datenmodell können sich ändern. Wesentliche Änderungen kommunizieren wir aktiv (E-Mail an angemeldete Nutzer:innen, sichtbarer Hinweis in der Anwendung) und aktualisieren den Stand-Zeitpunkt am Anfang dieser Seite.

Privacy

Last updated: 2026-05-07 · V0 Beta · This page will be reviewed by counsel before the first paying customer. The German version above is the canonical text in case of doubt.

socialpolitix is a client-side analytics tool for political communications. With the V0 beta we store CSV files you upload, plus the resulting analyses, in your account so that you can return to them later. This page describes — briefly and honestly — what we store, where, for how long, and how you can delete or export your data at any time.

A more detailed version of this notice (the full DSGVO Art. 13 privacy notice) lives in the repository at docs/legal/datenschutzerklaerung-v0.de.md. This page is the short, customer-facing version.

1. Controller

The data controller under the GDPR is {{VERANTWORTLICHER_NAME}}, {{VERANTWORTLICHER_ANSCHRIFT}}. Privacy contact: {{KONTAKT_EMAIL}}.

2. What we store

2.1 Account & sign-in

Email address, password hash (managed by Firebase Authentication), and, on Google sign-in, display name and profile picture URL. Sign-in timestamps. Legal basis: Art. 6(1)(b) GDPR (contract performance).

2.2 Uploaded CSVs & analyses

When you upload a CSV, we store the file plus the derived analyses inside your account. The contents are visible only to you; neither other users nor we use them for any other purpose. We do not train AI models on your data. Legal basis: Art. 6(1)(b) GDPR.

2.3 Server logs

IP address, timestamp, HTTP method, path, user-agent, response status. No CSV contents. Retention max. 30 days. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in secure operation).

2.4 What we do not do

No tracking, no analytics pixels, no advertising cookies.
No selling or trading of your data with third parties.
No model training on your content.
No processing outside the European Union.

3. Where your data lives

All application data lives in the European Union. Specific regions:

Component	Service	Region
Account / sign-in	Firebase Authentication	EU multi-region (`eur3`)
Database (accounts, analyses)	Cloud Firestore	EU multi-region (`eur3`)
CSV file storage	Cloud Storage	Frankfurt (`europe-west3`)
API server	Cloud Run	Frankfurt (`europe-west3`)
Static hosting	Firebase Hosting	Frankfurt (`europe-west3`)

Processor is Google Ireland Limited. No processing outside the EU.

4. How long we store (retention)

Account data is retained while your account exists. Uploaded CSVs and analyses are retained until you delete them or close your account.

30-day deletion window. When you delete an analysis, a CSV file, or your entire account, the entry becomes immediately invisible (soft delete). After 30 days, an automated process permanently removes the data from database and storage (hard delete). During the 30-day window you can reverse an accidental deletion by writing to {{KONTAKT_EMAIL}}.

Backups. Database backups are retained up to 30 days. After this window, your data is not recoverable. No further retention beyond that.

Server logs. Maximum 30 days.

5. Recipients & processors

We disclose data only to the processors required to operate the application:

Google Ireland Limited (Firebase Authentication, Cloud Firestore, Cloud Storage, Cloud Run, Firebase Hosting) — all EU regions.

No other recipient. No ad networks, no tracking providers, no analytics services, no third-party cookies.

Google's parent company Google LLC is based in the United States. Group-internal access may occur in the course of processing; Google is certified under the EU-U.S. Data Privacy Framework. We will update this notice if the legal situation changes.

6. Your rights

You have the following rights under GDPR:

Access (Art. 15) — what data do you have on me?
Rectification (Art. 16) — please correct something wrong.
Erasure (Art. 17) — please delete my data.
Portability (Art. 20) — please give me my data in a machine-readable format.
Restriction (Art. 18), objection (Art. 21), consent withdrawal (Art. 7(3)) — see the full notice.

How to exercise these rights: email {{KONTAKT_EMAIL}} from the address linked to your account. We respond within 30 days (Art. 12(3) GDPR); usually within a week.

7. Cookies & browser storage

socialpolitix sets only strictly necessary cookies (Firebase Auth sign-in cookies) and uses browser-local storage for display preferences and the beta acknowledgement. No tracking cookies, no advertising cookies. For this reason no cookie-consent banner is shown; § 25(2) TTDSG permits strictly-necessary storage access without consent.

8. Right to lodge a complaint

You may complain to a data protection authority. For our processing location (Frankfurt) the competent authority is Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI), Postfach 3163, 65021 Wiesbaden, poststelle@datenschutz.hessen.de. You may also contact the supervisory authority of your home country or state.

9. When you act as controller

When you upload CSVs whose contents include personal data of third parties (e.g. names or comment text from public Facebook posts), you are the controller under the GDPR; we are the processor in that constellation. We make a Data Processing Agreement (DPA / AVV under Art. 28 GDPR) available on request — template at dpa-v0.de.md. Request via email to {{KONTAKT_EMAIL}}.

10. Beta status & changes

socialpolitix is in beta. Scope and data model may change. We will actively communicate material changes (email to signed-in users, visible notice in the application) and update the timestamp at the top of this page.