Timmy ZURÜCK
RECHTLICHES

Datenschutzerklärung

Stand: Juni 2026

Mit dieser Datenschutzerklärung informieren wir dich über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen unseres Online-Angebots „Timmy“ sowie der zugehörigen Funktionen und Inhalte. „Timmy“ ist ein KI-gestütztes Marketing-Automatisierungswerkzeug, das Inhalte plant, erstellt und auf verbundenen Kanälen veröffentlicht.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Nuwis GmbH
Fritz-Tarnow-Str. 2A
22869 Schenefeld
Geschäftsführer: Mücahit Özcakir
E-Mail: info@nuwis.de

Für Fragen zum Datenschutz und zur Ausübung deiner Rechte erreichst du uns jederzeit unter den vorstehenden Kontaktdaten. Einen Datenschutzbeauftragten haben wir nicht bestellt, da die gesetzlichen Voraussetzungen hierfür derzeit nicht vorliegen.

2. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Grundlage der folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung, soweit du in eine bestimmte Verarbeitung eingewilligt hast.
  • Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen (z. B. Bereitstellung deines Nutzerkontos und der Funktionen).
  • Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Verpflichtungen (z. B. handels- und steuerrechtliche Aufbewahrungspflichten).
  • Art. 6 Abs. 1 lit. f DSGVO – Wahrung unserer berechtigten Interessen (z. B. sicherer Betrieb, Analyse und Verbesserung des Dienstes).

3. Deine Rechte

Dir stehen gegenüber uns folgende Rechte hinsichtlich deiner Daten zu:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Du hast zudem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren. Die für uns zuständige Behörde ist:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98, 24103 Kiel
www.datenschutzzentrum.de

4. Hosting und Bereitstellung des Dienstes

Unser Dienst wird auf der Infrastruktur von Convex (Convex, Inc.) betrieben, die als Backend, Datenbank und Datei-Speicher dient. Die Verarbeitung und Speicherung erfolgt in einem Rechenzentrum innerhalb der Europäischen Union (Region EU-West). Hierbei werden alle zur Erbringung des Dienstes erforderlichen Daten verarbeitet (insbesondere Konto-, Inhalts- und Nutzungsdaten).

Beim Aufruf des Dienstes werden technisch notwendige Daten (z. B. IP-Adresse, Datum und Uhrzeit des Zugriffs, übertragene Datenmenge, Browsertyp) verarbeitet, um die Auslieferung, Stabilität und Sicherheit zu gewährleisten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

5. Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Mittel ein:

  • Session-Cookie (HTTP-only): zur Authentifizierung und Aufrechterhaltung deiner Anmeldung. Dieses Cookie ist für den Betrieb des Dienstes unbedingt erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG); eine Einwilligung ist hierfür nicht erforderlich.
  • Lokale Speicherung (Local Storage): zur Sicherung deiner Anzeige-Einstellungen (z. B. heller/dunkler Modus). Es findet keine Auswertung zu Werbe- oder Tracking-Zwecken statt.

Wir verwenden derzeit keine einwilligungspflichtigen Marketing- oder Tracking-Cookies. Aus diesem Grund kommt kein Cookie-Banner zum Einsatz.

6. Registrierung und Nutzerkonto

Für die Nutzung von Timmy ist ein Nutzerkonto erforderlich. Die Authentifizierung erfolgt über die Komponente Better Auth, deren Daten innerhalb unserer Convex-Infrastruktur (EU) gespeichert werden. Dabei verarbeiten wir:

  • E-Mail-Adresse
  • Name (sofern angegeben)
  • Passwort (ausschließlich als gesalzener Hash, niemals im Klartext)
  • Sitzungs- und Verifizierungsinformationen

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden für die Dauer des Vertragsverhältnisses gespeichert und anschließend gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. KI-gestützte Erstellung von Inhalten

Kern des Dienstes ist die automatisierte Erstellung von Texten, Bildern und Skripten. Hierfür übermitteln wir die von dir bereitgestellten Eingaben (z. B. Themen, Vorgaben, Marken- und Tonalitätsangaben, URLs) an spezialisierte Dienstleister:

  • Google (Gemini): Generierung von Texten und Bildern sowie Auswertung von Inhalten. Anbieter: Google Ireland Ltd. / Google LLC.
  • Firecrawl (Mendable, Inc.): Auslesen öffentlich zugänglicher Webinhalte zur Themen- und Trendrecherche.
  • fal.ai (in Vorbereitung): Generierung von Bild-Assets aus textlichen Beschreibungen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erbringung der vertraglich geschuldeten Leistung). Bitte übermittle in den Eingaben keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO). Zu den damit verbundenen Übermittlungen in Drittländer siehe Ziffer 11.

8. Veröffentlichung auf verbundenen Plattformen

Auf deine Veranlassung veröffentlicht Timmy Inhalte auf den von dir verbundenen Kanälen. Die Anbindung und Verwaltung der Zugriffsberechtigungen (OAuth-Tokens) erfolgt über Composio. Je nach deiner Konfiguration werden Inhalte an folgende Dienste übermittelt:

  • LinkedIn (LinkedIn Ireland Unlimited Company / Microsoft)
  • Instagram (Meta Platforms Ireland Ltd.)
  • YouTube (Google Ireland Ltd. / Google LLC)
  • WordPress und eigene Blogs über eine Schnittstelle (Payload CMS, betrieben auf einer Instanz in Deutschland)

Übermittelt werden die zu veröffentlichenden Inhalte, zugehörige Metadaten sowie die für die Veröffentlichung erforderlichen Konto-Zugriffsdaten. Für die Verarbeitung auf den jeweiligen Plattformen gelten zusätzlich deren eigene Datenschutzbestimmungen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

9. E-Mail-Versand

Für den Versand von Transaktions-E-Mails (z. B. Freigabe-Benachrichtigungen, Verifizierungs- und Passwort-Zurücksetzen-E-Mails) nutzen wir den Dienst Brevo (Sendinblue GmbH / Brevo, Frankreich). Verarbeitet werden die Empfänger-E-Mail-Adresse und der jeweilige Nachrichteninhalt sowie technische Zustellinformationen. Die Verarbeitung erfolgt innerhalb der EU. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO. Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag.

10. Produkt- und Nutzungsanalyse

Zur Verbesserung und Stabilität des Dienstes setzen wir PostHog ein. Die Verarbeitung erfolgt über die EU-Cloud von PostHog und findet serverseitig statt; es werden hierfür keine Cookies und kein clientseitiges Tracking auf öffentlichen Seiten verwendet. Erfasst werden ausschließlich produktbezogene Ereignisse (z. B. „Idee erstellt“, „Beitrag veröffentlicht“) in Verbindung mit einer Konto-Kennung sowie technische Ereignis-Eigenschaften. Rechtsgrundlage ist unser berechtigtes Interesse an der Analyse und Optimierung des Dienstes (Art. 6 Abs. 1 lit. f DSGVO). Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag.

11. Datenübermittlung in Drittländer

Einige der vorstehend genannten Dienstleister verarbeiten Daten in den USA (insbesondere Google, Meta, LinkedIn/Microsoft, Firecrawl, fal.ai sowie Composio). Soweit der jeweilige Empfänger unter dem EU-US Data Privacy Framework zertifiziert ist, erfolgt die Übermittlung auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission (Art. 45 DSGVO). Dies trifft u. a. auf Google, Meta und Microsoft zu.

Soweit kein Angemessenheitsbeschluss greift, stützen wir die Übermittlung auf die Standardvertragsklauseln der Europäischen Kommission (Art. 46 Abs. 2 lit. c DSGVO) sowie gegebenenfalls ergänzende Schutzmaßnahmen. Bei einer Übermittlung in Drittländer besteht das Risiko, dass Behörden auf die Daten zugreifen, ohne dass ein mit der EU vergleichbares Schutzniveau in jedem Fall gewährleistet werden kann.

12. Speicherdauer und Löschung

Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorsehen. Technische Zugriffs-/Server-Logdaten werden in der Regel nach spätestens 30 Tagen gelöscht oder anonymisiert.

Nach Beendigung des Vertragsverhältnisses werden deine Konto- und Inhaltsdaten spätestens innerhalb von 90 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten (insbesondere handels- und steuerrechtlicher Art) entgegenstehen. Du kannst die Löschung deines Kontos und der zugehörigen Daten zudem jederzeit verlangen; wir setzen ein entsprechendes Verlangen unverzüglich um.

13. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen, um deine Daten zu schützen. Die Übertragung erfolgt verschlüsselt (TLS). Zugangsdaten und Tokens für verbundene Dienste werden verschlüsselt gespeichert; sicherheitsrelevante Schlüssel werden ausschließlich serverseitig verarbeitet.

14. Verarbeitung im Auftrag unserer Kunden

Soweit unsere Kunden über Timmy eigene Inhalte erstellen und veröffentlichen, die personenbezogene Daten enthalten, verarbeiten wir diese Daten im Auftrag und nach Weisung des jeweiligen Kunden. In diesem Verhältnis ist der Kunde Verantwortlicher und die Nuwis GmbH Auftragsverarbeiterin. Grundlage ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, der auf Anfrage bereitgestellt wird.

15. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig. Durch die Weiterentwicklung des Dienstes oder aufgrund geänderter rechtlicher Vorgaben kann es erforderlich werden, sie anzupassen. Die jeweils aktuelle Fassung kann hier abgerufen werden.