Datenschutzerklärung

Replyra – AI-Powered Instagram Automation · Stand: Februar 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

foth group GmbH
Seehofstr. 137, 14167 Berlin
Handelsregister: Amtsgericht Charlottenburg, HRB 163989B
Geschäftsführung: Anke-Kristina Foth, Lars Foth
E-Mail: support@replyra.me
Web: https://replyra.me

2. Datenschutzbeauftragter

Sofern gesetzlich erforderlich, erreichen Sie unseren Datenschutzbeauftragten unter:

E-Mail: datenschutz@replyra.me

Hinweis: Eine GmbH ist gemäß § 38 BDSG erst ab einer regelmäßigen Beschäftigung von mindestens 20 Personen mit automatisierter Datenverarbeitung zur Benennung eines Datenschutzbeauftragten verpflichtet. Sofern diese Schwelle nicht erreicht wird, steht Ihnen der oben genannte Verantwortliche als Ansprechpartner zur Verfügung.

3. Allgemeines zur Datenverarbeitung

(1) Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist.

(2) Die Plattform richtet sich ausschließlich an Geschäftskunden (B2B). Eine Nutzung durch Verbraucher ist nicht vorgesehen.

(3) Soweit wir für die Verarbeitung personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Für die Verarbeitung zur Vertragserfüllung dient Art. 6 Abs. 1 lit. b DSGVO. Für die Verarbeitung zur Wahrung berechtigter Interessen dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

4. Datenerhebung beim Besuch der Website

(1) Bei jedem Aufruf unserer Website erfasst das System automatisiert folgende Daten und Informationen:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene URL und Referrer-URL
  • verwendeter Browser und Betriebssystem
  • Status-Code der Serverantwort

(2) Diese Daten werden für die technische Bereitstellung der Website benötigt. Eine Auswertung dieser Daten zu Marketingzwecken oder die Erstellung von Nutzerprofilen findet nicht statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung).

(3) Wir setzen derzeit keine Analyse- oder Tracking-Tools ein. Sollte sich dies ändern, wird diese Datenschutzerklärung entsprechend aktualisiert.

5. Registrierung und Nutzerkonto

(1) Für die Nutzung der Plattform ist eine Registrierung erforderlich. Dabei werden folgende Daten erhoben:

  • E-Mail-Adresse
  • Name (sofern über Facebook Login übermittelt)
  • Facebook/Instagram User-ID

(2) Die Registrierung erfolgt über Facebook Login (OAuth 2.0). Dabei werden von Meta Platforms Ireland Ltd. folgende Daten übermittelt:

  • Facebook User-ID und Name
  • Zugriffstoken für die Instagram Graph API
  • verbundene Instagram Business-/Creator-Account-Informationen (Account-Name, Account-ID, Profilbild)

(3) Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die E-Mail-Adresse wird ausschließlich für die Kontoverwaltung, Authentifizierung und Abrechnung verwendet. Ein Versand von Werbung oder Newslettern findet nicht statt.

(4) Die Zugangstokens für die Meta/Instagram-API werden auf Applikationsebene mit AES-256-GCM verschlüsselt gespeichert. Der Entschlüsselungsschlüssel wird getrennt von der Datenbank verwaltet.

6. Datenverarbeitung im Rahmen der Plattformnutzung

6.1 Automatisierte Kommentar- und DM-Beantwortung

(1) Die Kernfunktion der Plattform besteht in der KI-gestützten automatisierten Beantwortung von Instagram-Kommentaren und Direktnachrichten. Hierfür werden folgende Daten verarbeitet:

  • eingehende Kommentare und Direktnachrichten (via Meta Webhooks)
  • Instagram-Username und Account-ID des Absenders
  • Media-ID des kommentierten Beitrags
  • Zeitstempel des Eingangs

(2) Wichtiger Hinweis zur Datenspeicherung: Die Plattform speichert keine vollständigen Nachrichteninhalte. Zur Deduplizierung werden lediglich SHA-256-Hashwerte der Nachrichten gespeichert. Der ursprüngliche Nachrichteninhalt ist aus dem Hashwert nicht rekonstruierbar.

(3) Aktivitätsprotokolle (welcher Account wann eine automatische Antwort erhalten hat, Erfolgs-/Fehlerstatus) werden für maximal 30 Tage gespeichert und anschließend automatisch gelöscht.

(4) Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Kunden an der Automatisierung seiner Instagram-Kommunikation).

6.2 KI-Verarbeitung

(1) Zur Generierung der automatisierten Antworten werden Nachrichteninhalte an die API von OpenAI, Inc. (San Francisco, USA) übermittelt. Die Übermittlung umfasst:

  • den Inhalt des eingehenden Kommentars oder der Direktnachricht
  • die vom Kunden konfigurierte KI-Persönlichkeit und Antwortregeln
  • Kontextinformationen zum Instagram-Beitrag (sofern erforderlich)

(2) OpenAI verarbeitet diese Daten gemäß der OpenAI Business Terms ausschließlich zur Erbringung der API-Dienstleistung. Eine Nutzung der übermittelten Daten zum Training von KI-Modellen findet bei API-Nutzung laut OpenAI nicht statt.

(3) Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Die Übermittlung in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (DPF), dem OpenAI beigetreten ist, sowie ggf. auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

(4) Im God Mode-Tarif können Kunden einen eigenen OpenAI API-Key verwenden. In diesem Fall erfolgt die Datenübermittlung an OpenAI auf Grundlage des Vertragsverhältnisses zwischen dem Kunden und OpenAI. Der Anbieter fungiert insoweit lediglich als technischer Vermittler.

6.3 Dashboard und Statistiken

Das Echtzeit-Dashboard zeigt dem Kunden aggregierte Statistiken über die Nutzung der Plattform an (Anzahl verarbeiteter Kommentare/DMs, Antwortzeiten, Erfolgsraten). Diese Daten werden aus den Aktivitätsprotokollen abgeleitet und enthalten keine personenbezogenen Daten Dritter.

7. Zahlungsabwicklung

(1) Die Zahlungsabwicklung erfolgt über die Zahlungsdienstleister:

  • Stripe, Inc. (San Francisco, USA) / Stripe Payments Europe, Ltd. (Dublin, Irland)
  • PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxemburg)

(2) Hierfür werden folgende Daten an den jeweiligen Zahlungsdienstleister übermittelt:

  • E-Mail-Adresse
  • gewählter Tarif und Rechnungsbetrag
  • Zahlungsinformationen (werden direkt vom Zahlungsdienstleister erhoben und nicht auf unseren Servern gespeichert)

(3) Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Übermittlung an Stripe Inc. in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Framework. PayPal verarbeitet die Daten innerhalb der EU.

8. Cookies und lokale Speicherung

(1) Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Plattform erforderlich sind:

  • Session-Cookie zur Authentifizierung (Supabase Auth)
  • CSRF-Token zum Schutz vor Cross-Site-Request-Forgery

(2) Werbe- oder Tracking-Cookies werden nicht eingesetzt. Ein Cookie-Banner ist daher nach aktueller Rechtslage nicht erforderlich, da ausschließlich technisch notwendige Cookies verwendet werden (vgl. § 25 Abs. 2 Nr. 2 TDDDG).

(3) Die technisch notwendigen Cookies werden bei Beendigung der Sitzung oder nach Ablauf der Authentifizierungs-Token automatisch ungültig.

9. Hosting und Infrastruktur

(1) Die Plattform wird derzeit gehostet bei:

Website und Applikation: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Die Datenverarbeitung erfolgt auf Grundlage des EU-U.S. Data Privacy Framework sowie Standardvertragsklauseln. Eine Migration auf EU-basiertes Hosting (geplant: Hetzner Online GmbH, Deutschland) ist vorgesehen.

Datenbank: Supabase Inc., Standort der Datenbank: EU (Frankfurt, Deutschland). Supabase agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Workflow-Automatisierung: n8n (Self-hosted oder n8n GmbH, Berlin, Deutschland). Verarbeitung der Webhook-Daten und KI-Orchestrierung.

(2) Mit allen Auftragsverarbeitern wurden entsprechende Verträge gemäß Art. 28 DSGVO geschlossen bzw. werden bei Vertragsschluss geschlossen.

10. Datenübermittlung in Drittländer

Im Rahmen der Plattformnutzung werden personenbezogene Daten an folgende Empfänger in Drittländern übermittelt:

Meta Platforms, Inc. (USA): Instagram Graph API, Facebook Login. Grundlage: EU-U.S. Data Privacy Framework, Standardvertragsklauseln.

OpenAI, Inc. (USA): KI-Verarbeitung zur Generierung automatisierter Antworten. Grundlage: EU-U.S. Data Privacy Framework, Standardvertragsklauseln.

Stripe, Inc. (USA): Zahlungsabwicklung. Grundlage: EU-U.S. Data Privacy Framework, Stripe Payments Europe (Dublin) als EU-Vertreter.

Vercel Inc. (USA): Hosting (vorübergehend). Grundlage: EU-U.S. Data Privacy Framework, Standardvertragsklauseln.

Alle genannten US-Unternehmen sind unter dem EU-U.S. Data Privacy Framework zertifiziert. Zusätzlich wurden jeweils Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart.

11. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

Kontodaten (E-Mail, Name, Account-IDs): Für die Dauer des Vertragsverhältnisses. Nach Kündigung werden die Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

API-Tokens (verschlüsselt): Für die Dauer des Vertragsverhältnisses. Bei Kündigung oder Token-Widerruf werden die verschlüsselten Tokens sofort gelöscht.

Aktivitätsprotokolle: Automatische Löschung nach 30 Tagen.

Nachrichten-Hashwerte: Für die Dauer des Vertragsverhältnisses (zur Deduplizierung). Löschung bei Kontobeendigung.

Rechnungsdaten: 10 Jahre gemäß handels- und steuerrechtlichen Aufbewahrungspflichten (§ 147 AO, § 257 HGB).

12. Rechte der betroffenen Personen

Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen.

Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die unverzügliche Berichtigung unrichtiger Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Recht auf Einschränkung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sofern Sie eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an support@replyra.me.

13. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Die für den Anbieter zuständige Aufsichtsbehörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
www.datenschutz-berlin.de

14. Auftragsverarbeitung (AVV)

(1) Soweit der Anbieter im Rahmen der Plattform personenbezogene Daten im Auftrag des Kunden verarbeitet (insbesondere Instagram-Kommentare und Direktnachrichten von Followern des Kunden), handelt der Anbieter als Auftragsverarbeiter gemäß Art. 28 DSGVO.

(2) Ein Auftragsverarbeitungsvertrag wird bei Vertragsschluss separat bereitgestellt. Der AVV regelt insbesondere:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • technische und organisatorische Maßnahmen
  • Unterauftragsverarbeiter

(3) Der Kunde bleibt hinsichtlich der personenbezogenen Daten seiner Instagram-Follower Verantwortlicher im Sinne der DSGVO und ist für die Rechtmäßigkeit der Verarbeitung verantwortlich.

15. Technische und organisatorische Maßnahmen

Der Anbieter hat folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten implementiert:

  • Verschlüsselung von API-Tokens mittels AES-256-GCM auf Applikationsebene
  • Trennung von Verschlüsselungsschlüsseln und Datenbank
  • keine Speicherung von Nachrichteninhalten (nur SHA-256-Hashwerte)
  • automatische Löschung von Aktivitätsprotokollen nach 30 Tagen
  • verschlüsselte Datenübertragung via TLS 1.2+
  • Webhook-Signaturverifizierung zur Absicherung eingehender Daten
  • idempotente Deduplizierung zur Vermeidung doppelter Verarbeitung
  • Killswitch zur sofortigen Deaktivierung der Automatisierung
  • Row-Level Security (RLS) auf Datenbankebene zur Mandantentrennung
  • regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen der Plattform oder der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung ist unter https://replyra.me/privacy abrufbar.

Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

Kontakt

foth group GmbH
Seehofstr. 137, 14167 Berlin
E-Mail: support@replyra.me
Web: https://replyra.me