Privacy Policy

1. Introduction and Controller

Welcome to FeedMansion ("we," "our," or "us"). We respect your privacy and are committed to protecting your personal data. This privacy policy explains how we collect, use, disclose, and safeguard your information when you use our service.

This privacy policy applies in accordance with the General Data Protection Regulation (GDPR) and the Federal Data Protection Act (BDSG).

By using FeedMansion, you agree to the collection and use of information in accordance with this privacy policy. If you do not agree with our policies and practices, please do not use our service.

2. Type, Scope and Purpose of Data Collection

2.1 Data You Provide

Legal Basis: Art. 6(1)(b) GDPR (contract performance)

• Account Information: Email address, Twitter username (if connected)
• Content Data: RSS feed URLs, AI ghost configurations (personality descriptions, tones), generated post drafts
• Payment Information: Payment details processed securely through Stripe (we do not store credit card numbers)
• Communication Data: Emails and messages to our support team

2.2 Automatically Collected Data

Legal Basis: Art. 6(1)(f) GDPR (legitimate interests: security, fraud prevention, service improvement)

• Usage Data: Features used, posts generated, login times, interaction patterns
• Device Information: Browser type, operating system, IP address, device identifiers

2.2.1 Browser Storage (NO Cookies Used)

Legal Basis: Art. 6(1)(b) GDPR (necessary for contract performance)

Instead of cookies, we use browser localStorage to store:

• Authentication Tokens: JWT tokens to keep you logged in (2 items: access_token, refresh_token)
• Purpose: Essential for the service to function - keeps you authenticated between sessions
• No Tracking: We do NOT use cookies or localStorage for tracking, analytics, or advertising
• Third-Party: Zero third-party cookies or trackers (Google Fonts loads but sets no cookies)
• Security: Tokens are sent via secure HTTPS and expire automatically
• Control: You can clear these at any time by logging out or clearing browser data

Why localStorage instead of cookies? Better security for single-page applications, simpler privacy compliance, and no annoying cookie consent banners.

2.2.2 Waitlist and Marketing Communications

Legal Basis: Art. 6(1)(a) GDPR (consent)

Third-Party Data Transfer: Your email is transferred to SendGrid (Twilio Inc., USA) for email delivery and marketing communications. SendGrid is GDPR-compliant and uses Standard Contractual Clauses (SCCs) for EU data transfers.

• SendGrid DPA: https://www.twilio.com/legal/data-protection-addendum
• SendGrid Privacy: https://www.twilio.com/legal/privacy
• GDPR Compliance: https://www.twilio.com/en-us/gdpr

Your Rights: You can withdraw consent and unsubscribe at any time by clicking "unsubscribe" in any email, or by emailing privacy@feedmansion.com to request immediate deletion of your data. We will process your request within 30 days.

2.4 Third-Party Data

Legal Basis: Art. 6(1)(a) GDPR (consent) and Art. 6(1)(b) GDPR (contract performance)

• Twitter OAuth: Twitter user ID, username, profile information (with your explicit consent)
• RSS Feeds: Content from RSS feeds you add
• AI Provider: Text data sent to Anthropic Claude API for content generation

3. Zweck der Datenverarbeitung

Wir verwenden Ihre Daten für folgende Zwecke:

• Bereitstellung des Dienstes: Betrieb, Wartung und Verbesserung unserer Services (Art. 6 Abs. 1 lit. b DSGVO)
• KI-Inhaltsgenerierung: Erstellung von KI-gestützten Inhalten basierend auf Ihren RSS-Feeds und Ghost-Konfigurationen (Art. 6 Abs. 1 lit. b DSGVO)
• Zahlungsabwicklung: Verarbeitung von Zahlungen und Verwaltung von Abonnements (Art. 6 Abs. 1 lit. b DSGVO)
• Benachrichtigungen: Versand von Benachrichtigungen über neue Posts, System-Updates und Kontoaktivitäten (Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. a DSGVO für Marketing)
• Kundensupport: Beantwortung Ihrer Support-Anfragen (Art. 6 Abs. 1 lit. b DSGVO)
• Service-Analyse: Überwachung von Nutzungsmustern und Analyse der Service-Performance (Art. 6 Abs. 1 lit. f DSGVO)
• Sicherheit: Erkennung, Verhinderung und Behebung technischer Probleme und Sicherheitslücken (Art. 6 Abs. 1 lit. f DSGVO)
• Rechtliche Verpflichtungen: Erfüllung gesetzlicher Auflagen und Durchsetzung unserer Nutzungsbedingungen (Art. 6 Abs. 1 lit. c DSGVO)

Alle Verarbeitungen erfolgen auf Basis der in Klammern angegebenen Rechtsgrundlagen gemäß DSGVO.

4. Datenweitergabe und Empfänger

Wir geben Ihre Informationen nur in folgenden Fällen weiter:

4.1 Auftragsverarbeiter (Art. 28 DSGVO)

Wir arbeiten mit folgenden Dienstleistern zusammen, mit denen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen wurden:

• Anthropic (USA): KI-Inhaltsgenerierung (Claude API) – Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO
• Stripe (USA/EU): Zahlungsabwicklung – Standardvertragsklauseln und Angemessenheitsbeschluss
• SendGrid (USA): E-Mail-Benachrichtigungen – Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO
• Twitter/X (USA): OAuth-Authentifizierung und Posting (mit Ihrer ausdrücklichen Einwilligung) – Standardvertragsklauseln

Alle Dienstleister sind vertraglich verpflichtet, Ihre Daten nur im Rahmen unserer Weisungen zu verarbeiten und angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten zu implementieren.

4.2 Gesetzliche Verpflichtungen

Wir können Ihre Informationen offenlegen, wenn dies gesetzlich vorgeschrieben ist, durch Gerichtsbeschluss oder behördliche Anordnung erforderlich ist, oder wenn wir glauben, dass die Offenlegung zum Schutz unserer Rechte, Ihrer Sicherheit oder der Sicherheit anderer notwendig ist (Art. 6 Abs. 1 lit. c und f DSGVO).

4.3 Unternehmensübertragungen

Im Falle einer Fusion, Übernahme oder eines Verkaufs von Vermögenswerten können Ihre Informationen an das erwerbende Unternehmen übertragen werden. Wir werden Sie über jede solche Eigentumsänderung informieren und Sie haben das Recht, der Übertragung zu widersprechen (Art. 6 Abs. 1 lit. f DSGVO).

5. Datenspeicherung und Aufbewahrungsfristen

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die in dieser Datenschutzerklärung beschriebenen Zwecke erforderlich ist, es sei denn, eine längere Aufbewahrungsfrist ist gesetzlich vorgeschrieben.

Gesetzliche Aufbewahrungspflichten (Deutschland): Nach §§ 147 AO (Abgabenordnung) und 257 HGB (Handelsgesetzbuch) sind wir verpflichtet, bestimmte Unterlagen für gesetzlich festgelegte Zeiträume aufzubewahren:

• Buchhaltungsunterlagen und Rechnungen: 10 Jahre (§ 147 Abs. 1 AO, § 257 Abs. 1 HGB)
• Handels- und Geschäftsbriefe: 6 Jahre (§ 257 Abs. 1 Nr. 2-3 HGB)
• Steuerrelevante Unterlagen: 10 Jahre (§ 147 Abs. 3 AO)

Betriebliche Aufbewahrungsfristen:

• Kontodaten: Während der Kontoaktivität und 90 Tage nach Löschung (außer Rechnungsdaten, siehe oben)
• Generierte Inhalte: Während der Kontoaktivität
• Nutzungsprotokolle: 12 Monate
• Zahlungsbelege und Rechnungen: 10 Jahre gemäß § 147 AO und § 257 HGB
• Vertragsunterlagen (Abonnements): 10 Jahre gemäß § 257 HGB
• E-Mail-Korrespondenz (geschäftlich): 6 Jahre gemäß § 257 HGB

Nach Ablauf der gesetzlichen und betrieblichen Aufbewahrungsfristen werden Ihre Daten gelöscht oder anonymisiert, es sei denn, Sie haben ausdrücklich in eine weitere Nutzung eingewilligt.

6. Datensicherheit (Art. 32 DSGVO)

Wir setzen angemessene technische und organisatorische Maßnahmen (TOM) zum Schutz Ihrer personenbezogenen Daten um:

Technische Maßnahmen:

• Verschlüsselung der Datenübertragung: HTTPS/TLS 1.3 für alle Verbindungen
• Verschlüsselung im Ruhezustand: Verschlüsselung sensibler Daten in der Datenbank (AES-256)
• Sichere Authentifizierung: JWT-Tokens, OAuth 2.0 mit PKCE (Proof Key for Code Exchange)
• Zugangskontrollen: Rollenbasierte Zugriffskontrolle (RBAC), Prinzip der minimalen Rechtevergabe
• Regelmäßige Backups: Verschlüsselte Backups mit geografischer Redundanz
• Firewalls und Netzwerksegmentierung: Schutz vor unbefugtem Zugriff

Organisatorische Maßnahmen:

• Regelmäßige Sicherheitsaudits: Penetrationstests und Schwachstellenanalysen
• Mitarbeiterschulungen: Regelmäßige Schulungen zu Datenschutz und IT-Sicherheit
• Incident Response Plan: Verfahren zur Meldung von Datenschutzverletzungen gemäß Art. 33 DSGVO
• Dokumentation: Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
• Auftragsverarbeitungsverträge: Mit allen Dienstleistern gemäß Art. 28 DSGVO

Trotz aller Sicherheitsmaßnahmen ist keine Übertragung oder Speicherung zu 100% sicher. Während wir bestrebt sind, Ihre Daten zu schützen, können wir absolute Sicherheit nicht garantieren. Bei Sicherheitsvorfällen werden wir Sie und die zuständigen Behörden gemäß Art. 33 und 34 DSGVO unverzüglich informieren.

7. Ihre Rechte als Betroffener (DSGVO)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

7.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten. Sie können Ihre Daten jederzeit über Ihre Kontoeinstellungen einsehen, herunterladen und exportieren.

7.2 Recht auf Berichtigung (Art. 16 DSGVO) und Löschung (Art. 17 DSGVO)

Sie können Ihre Kontoinformationen, RSS-Feeds und KI-Ghosts über Ihr Konto-Dashboard aktualisieren oder löschen. Um Ihr gesamtes Konto zu löschen, kontaktieren Sie uns unter privacy@feedmansion.com. Beachten Sie bitte die gesetzlichen Aufbewahrungspflichten (siehe Abschnitt 5).

7.3 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, wenn die Richtigkeit der Daten bestritten wird, die Verarbeitung unrechtmäßig ist, oder Sie Widerspruch eingelegt haben.

7.4 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.

7.5 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

7.6 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

• E-Mail-Benachrichtigungen: Verwalten Sie Ihre Einstellungen in den Kontoeinstellungen
• Push-Benachrichtigungen: Deaktivieren Sie diese in Ihren Browser- oder Geräteeinstellungen
• Browser-Speicher: Löschen Sie den Browser-Speicher oder melden Sie sich ab, um Authentifizierungstokens zu entfernen

Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

7.7 Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Die zuständige Aufsichtsbehörde ist die Datenschutzbehörde Ihres Bundeslandes. Eine Liste der Aufsichtsbehörden finden Sie unter: www.bfdi.bund.de

8. Children's Privacy

FeedMansion is not intended for users under 18 years of age. We do not knowingly collect personal information from children. If you believe we have collected information from a child, please contact us immediately at privacy@feedmansion.com.

9. Internationale Datenübermittlungen (Art. 44-49 DSGVO)

Ihre Daten können in Länder außerhalb der Europäischen Union/des Europäischen Wirtschaftsraums übermittelt und dort verarbeitet werden. Diese Länder haben möglicherweise andere Datenschutzgesetze.

Garantien für Drittlandübermittlungen:

• USA (Anthropic, Stripe, SendGrid, Twitter): Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzende Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus
• Technische und organisatorische Maßnahmen: Verschlüsselung während der Übertragung und im Ruhezustand, strenge Zugangskontrollen, regelmäßige Sicherheitsüberprüfungen
• Vertragliche Garantien: Alle Drittanbieter sind vertraglich verpflichtet, ein Datenschutzniveau zu gewährleisten, das dem der DSGVO entspricht

Sie haben das Recht, eine Kopie der Standardvertragsklauseln anzufordern. Kontaktieren Sie uns dazu unter privacy@feedmansion.com.

10. Third-Party Links

Our service may contain links to third-party websites and services (RSS feeds, Twitter, etc.). We are not responsible for the privacy practices of these third parties. We encourage you to review their privacy policies.

11. Changes to This Privacy Policy

We may update this privacy policy from time to time. We will notify you of significant changes by email or through a prominent notice in our service. The "Last updated" date at the top of this policy indicates when it was last revised. Your continued use of FeedMansion after changes constitutes acceptance of the updated policy.

12. Datenschutzbeauftragter

Für Datenschutzanfragen kontaktieren Sie bitte unseren Datenschutzbeauftragten:

13. Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)

Wir verarbeiten Ihre personenbezogenen Daten auf Grundlage folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Verarbeitung mit Ihrer ausdrücklichen Einwilligung (z.B. Marketing-E-Mails, Twitter-Integration)
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung zur Erfüllung des Vertrags zur Bereitstellung unserer Dienste
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Verarbeitung zur Erfüllung rechtlicher Verpflichtungen (z.B. Aufbewahrungspflichten nach §§ 147 AO, 257 HGB)
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen): Verarbeitung zur Wahrung unserer berechtigten Interessen (z.B. Service-Verbesserung, Betrugs-Prävention, IT-Sicherheit), sofern nicht Ihre Interessen oder Grundrechte überwiegen