Datenschutzerklärung

Stand: 15. Juni 2026 · Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei der Nutzung der Plattform brandpocket.ai.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Meluya GmbH
Itterstraße 162
40589 Düsseldorf
Deutschland
Geschäftsführer: Marc Taylor

Kontakt in Datenschutzangelegenheiten: datenschutz@brandpocket.ai

Ein Datenschutzbeauftragter wurde nicht bestellt, da die gesetzlichen Voraussetzungen hierfür (insbesondere § 38 BDSG) nicht vorliegen.

2. Geltungsbereich

Diese Erklärung gilt für die Software-as-a-Service-Plattform brandpocket.ai („Brandpocket"), einen Arbeits- und Team-Workspace für Marken-, Projekt- und Aufgabenmanagement. Sie gilt für registrierte Nutzerinnen und Nutzer sowie für Besucherinnen und Besucher der öffentlichen Seiten (z. B. Startseite, Rechtsseiten).

3. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der folgenden Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO:

  • lit. a (Einwilligung): z. B. beim Verbinden optionaler Drittdienste (Google Gmail/Kalender) über den jeweiligen Berechtigungsdialog.
  • lit. b (Vertragserfüllung): Bereitstellung des Workspace und der vereinbarten Funktionen sowie Verwaltung des Nutzerkontos.
  • lit. c (rechtliche Verpflichtung): Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten.
  • lit. f (berechtigtes Interesse): Sicherheit, Stabilität und Missbrauchsabwehr des Dienstes sowie die für Team-Verantwortliche bereitgestellten Auswertungen (siehe Abschnitt 4).

4. Welche Daten wir verarbeiten

Abhängig von der Nutzung verarbeiten wir insbesondere folgende Datenkategorien:

  • Account- und Profildaten: Name, E-Mail-Adresse, Profilbild, Rolle/Funktion im Team sowie Authentifizierungsdaten (Passwort ausschließlich als Hash, verwaltet über Supabase Auth).
  • Team-, Projekt- und Aufgabendaten: erstellte Vorhaben, Projekte, Aufgaben, Status, Zuständigkeiten, Fristen und zugehörige Inhalte.
  • Chat-Nachrichten: Text-, Sprach- und Videobotschaften sowie Datei-Anhänge in den Team- und Direktnachrichten.
  • Notizen: Inhalte des Notizen-Moduls (private und geteilte Seiten).
  • E-Mail-Daten (Gmail-Integration): nach ausdrücklicher Verbindung des Google-Kontos die zur Anzeige und zum Versand erforderlichen Postfachinhalte und Metadaten.
  • Kalenderdaten: nach Verbindung Termine und Kalenderinformationen aus Google Calendar.
  • Shopify-Shopdaten (bei verbundenem Shop): Produkt- und Bestandsdaten (für die Planung) sowie aggregierte Bestelldaten (Betrag, Datum, Rabattcode). Personenbezogene Kundenfelder (Name, Adresse, E-Mail-Adresse) werden nicht verarbeitet und nicht gespeichert.
  • Nutzungs- und Aktivitätsdaten: Aktivitäts- und Online-Zeiten sowie Nutzungsauswertungen. Innerhalb eines Teams können berechtigte Administratoren aggregierte Aktivitäts- und Fortschrittsdaten der Teammitglieder einsehen. Rechtsgrundlage ist unser berechtigtes Interesse an der Organisation der Zusammenarbeit (Art. 6 Abs. 1 lit. f DSGVO), im Beschäftigungskontext § 26 BDSG. Die Mitglieder werden hierüber informiert.
  • Technische Daten/Logs: IP-Adresse, Datum/Uhrzeit des Zugriffs, Browser- und Geräteinformationen sowie Fehler- und Sicherheitsprotokolle.

5. Google-Nutzerdaten (OAuth, Gmail, Kalender)

Wenn Sie sich mit Google anmelden bzw. Google-Dienste verbinden, greift Brandpocket – nach Ihrer ausdrücklichen Einwilligung über den Google-Berechtigungsdialog – ausschließlich auf die freigegebenen Daten zu (z. B. Profil, Kalender, E-Mail), um die jeweilige Funktion im Workspace bereitzustellen.

Die Verwendung der von Google-APIs empfangenen Informationen entspricht der Google API Services User Data Policy einschließlich der Limited-Use-Anforderungen. Google-Nutzerdaten werden nicht verkauft, nicht für Werbung verwendet und nicht zum Training von KI-/ML-Modellen genutzt; ein Zugriff durch Menschen erfolgt nur in den von der Richtlinie zugelassenen Ausnahmefällen.

6. Shopify-Integration

Sofern Sie Ihren eigenen Shopify-Shop verbinden, erfolgt dies nach ausdrücklicher Bestätigung über den Shopify-OAuth-Berechtigungsdialog. Brandpocket ruft anschließend über die Shopify-Admin-API ausschließlich die für die Planungs- und Auswertungsfunktionen erforderlichen Daten des verbundenen Shops ab: Produkt- und Bestandsdaten, Standorte (Locations) sowie aggregierte Bestelldaten (Betrag, Datum, Rabattcode).

Das Zugriffstoken wird verschlüsselt gespeichert. Die abgerufenen Daten dienen allein der Bereitstellung der Funktionen im Workspace; es erfolgt keine Weitergabe an Dritte und keine Nutzung für Werbezwecke. Personenbezogene Kundenfelder (insbesondere Name, Adresse und E-Mail-Adresse der Shop-Kundinnen und -Kunden) werden nicht abgerufen und nicht gespeichert. Sie können die Verbindung jederzeit über Einstellungen → „Integrationen" → „Verbindung trennen" beenden; das gespeicherte Token wird dabei gelöscht.

7. Auftragsverarbeiter & Drittanbieter

Zur Bereitstellung des Dienstes setzen wir sorgfältig ausgewählte Dienstleister ein. Mit allen eingesetzten Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO. Einige Dienstleister (u. a. Anthropic, OpenAI) verarbeiten Daten in den USA. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln bzw. des EU-US Data Privacy Framework.

  • Supabase – Datenbank, Authentifizierung und Datei-Speicher. Hosting in der EU (AWS, Region Frankfurt).
  • Cloudflare – Hosting, CDN und Edge-Ausführung über ein globales Netz. Grundlage: EU-US Data Privacy Framework sowie EU-Standardvertragsklauseln. Daten ruhen nicht dauerhaft bei Cloudflare; es erfolgt eine flüchtige Verarbeitung zur Auslieferung.
  • Anthropic – KI-Funktionen (Verarbeitung von Eingaben über die API). Eine Nutzung der übermittelten Daten zum Training der Modelle erfolgt nicht.
  • OpenAI – Sprach-Transkription über die API. Eine Nutzung zum Training der Modelle erfolgt nicht.
  • Google (Google Ireland Ltd.) – OAuth-Login sowie Gmail- und Calendar-API. Grundlage: Data Privacy Framework / EU-Standardvertragsklauseln. Es gilt zusätzlich der Limited-Use-Absatz aus Abschnitt 5.
  • Shopify Inc. (Kanada) – Bereitstellung von Produkt-, Bestands- und Bestelldaten des verbundenen Shops über die Shopify-Admin-API (siehe Abschnitt 6).

8. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen es vorgeben.

Aggregierte Umsatz- und Bestelldaten (ohne personenbezogene Kundenangaben) werden dauerhaft gespeichert. Personenbezogene Kundendaten werden nicht gespeichert. Account- und Inhaltsdaten werden bis zur Löschung des Kontos aufbewahrt. Technische Server-Logs werden nach 30 Tagen gelöscht.

9. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO um, u. a. Verschlüsselung bei Übertragung (TLS) und Speicherung, Zugriffskontrollen und Authentifizierung.

10. Cookies & lokale Speicherung

Brandpocket verwendet ausschließlich technisch notwendige bzw. funktionale Cookies sowie lokale Browser-Speicherung. Es werden keine Tracking-, Analyse- oder Marketing-Cookies und keine Dienste zur nutzerübergreifenden Reichweitenmessung eingesetzt.

  • Authentifizierung/Session (Supabase Auth): erforderlich, um Sie angemeldet zu halten.
  • Funktions-Cookies: z. B. das zuletzt gewählte Team sowie der Zustand der Seitenleiste, um die Bedienung zu erleichtern.
  • Lokale Speicherung (localStorage): z. B. die gewählte Darstellung (Hell-/Dunkelmodus). Diese Angaben verbleiben im Browser und werden nicht an Dritte übertragen.

Wir verwenden ausschließlich technisch notwendige Cookies und vergleichbare Technologien (z. B. Anmeldung, gewählte Darstellung). Eine Einwilligung ist hierfür nach § 25 Abs. 2 TDDDG nicht erforderlich. Tracking- oder Marketing-Cookies werden nicht eingesetzt.

11. Ihre Rechte

Sie haben im Rahmen der gesetzlichen Voraussetzungen das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen die Verarbeitung (Art. 21 DSGVO). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zudem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts oder am Sitz des Verantwortlichen. Zuständige Aufsichtsbehörde am Unternehmenssitz ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).

12. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder unsere Verarbeitungstätigkeiten ändern. Es gilt jeweils die hier veröffentlichte aktuelle Fassung. Stand: 15. Juni 2026.