Studio
Content pipeline

Datenschutz­erklärung

Zuletzt aktualisiert: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Nils Brunsch

439 15th Street

Miami Beach, Florida 33139

nils@asolva.io

2. Überblick über die Anwendung

Studio Pipeline ist ein internes Werkzeug zur Verwaltung und Planung von Video-Content (Reels). Es wird ausschließlich von einem fest definierten Nutzerkreis verwendet und ist nicht öffentlich zugänglich. Nachfolgend erläutern wir, welche personenbezogenen Daten dabei verarbeitet werden.

3. Verarbeitete Daten und Zwecke

3.1 Authentifizierung (Supabase Auth)

Für den Zugang zur Anwendung ist eine Anmeldung erforderlich. Dabei werden folgende Daten verarbeitet:

  • E-Mail-Adresse
  • Gehashtes Passwort (Supabase speichert Passwörter ausschließlich gehasht)
  • Session-Token (im Browser als Cookie gespeichert)
  • Zeitstempel der letzten Anmeldung

Zweck: Zugangskontrolle zur Anwendung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Absicherung des internen Werkzeugs).

3.2 Anwendungsdaten (Supabase-Datenbank)

Zur Nutzung der Anwendung werden folgende Inhalte in der Datenbank gespeichert:

  • Links zu Instagram- und TikTok-Reels
  • Redaktionelle Notizen, Outfits, Locations, Props
  • Statusangaben im Produktionsworkflow
  • Persönliche Anmerkungen der Nutzerinnen (Lena-Notiz, Set-Notizen)

Zweck: Betrieb der Content-Planungs- und Produktionsfunktionen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Ausführung des internen Produktionsprozesses).

3.3 Server-Logdaten (Netlify Hosting)

Der Hosting-Dienstleister Netlify erhebt beim Aufruf der Anwendung automatisch technische Verbindungsdaten:

  • IP-Adresse des aufrufenden Geräts
  • Datum und Uhrzeit des Abrufs
  • Aufgerufene URL, HTTP-Statuscode
  • Browserkennung (User-Agent)

Zweck: Technischer Betrieb, Fehlerbehebung, Sicherheit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer gemäß Netlify-Standardkonfiguration (i. d. R. 30 Tage).

3.4 Instagram- und TikTok-Embeds

Zur Vorschau von Referenz-Reels werden zwei technische Wege genutzt:

oEmbed-Proxy (serverseitig)

Die Anwendung ruft die oEmbed-API von Meta (Instagram) über einen eigenen serverseitigen Proxy-Endpunkt ab. Dabei wird die URL des Reels an Meta übertragen; die IP-Adresse der Nutzerin bleibt Meta gegenüber verborgen, da die Anfrage vom Server ausgeht.

embed.js (clientseitig)

Um eingebettete Reels im Browser als interaktiven Player darzustellen, lädt die Anwendung das Skript https://www.instagram.com/embed.js direkt von den Servern von Meta Platforms Ireland Ltd. Dabei werden die IP-Adresse sowie browserübliche Metadaten an Meta übertragen. Meta kann diese Daten eigenen Datenschutzbestimmungen gemäß verarbeiten.

Weitere Informationen: Instagram-Datenschutzrichtlinie

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der funktionalen Darstellung der Referenz-Inhalte im Rahmen des internen Workflows).

4. Eingesetzte Dienstleister (Auftragsverarbeiter)

Die nachfolgenden Dienstleister verarbeiten personenbezogene Daten in unserem Auftrag. Mit jedem dieser Anbieter besteht bzw. ist ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abzuschließen.

Supabase, Inc.

970 Toa Payoh North, #07-04, Singapur 318992 / US-amerikanische Tochtergesellschaft

Zweck: Datenbank und Authentifizierung

Drittlandtransfer: Daten können auf Servern in den USA verarbeitet werden. Supabase stellt Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO bereit.

Datenschutz: supabase.com/privacy

Netlify, Inc.

512 2nd Street, Suite 200, San Francisco, CA 94107, USA

Zweck: Hosting und Bereitstellung der Webanwendung

Drittlandtransfer: Verarbeitung in den USA, abgesichert durch SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO.

Datenschutz: netlify.com/privacy

Meta Platforms Ireland Ltd.

4 Grand Canal Square, Dublin 2, Irland

Zweck: Einbettung von Instagram-Reels (embed.js, oEmbed-API)

Hinweis: Meta verarbeitet die übermittelten Daten als eigenverantwortlicher Anbieter gemäß eigenen Datenschutzbestimmungen; es besteht kein AVV-Verhältnis.

5. Cookies und lokaler Speicher

Die Anwendung setzt folgende Cookies:

CookieAnbieterZweck
sb-*-auth-tokenSupabaseSitzungs-Token für die Anmeldung; technisch notwendig
ig_cb, ig_did u. a.Meta (Instagram)Werden ggf. durch embed.js gesetzt; Verarbeitung durch Meta eigenverantwortlich

Der Supabase-Session-Cookie ist für den Betrieb der Anwendung technisch erforderlich und bedarf keiner gesonderten Einwilligung (§ 25 Abs. 2 Nr. 2 TDDDG).

6. Speicherdauer

  • Authentifizierungsdaten: Für die Dauer der aktiven Nutzerkonten; bei Löschung des Kontos unverzüglich.
  • Anwendungsdaten (Reels, Notizen): Für die Dauer des Betriebs der Anwendung bzw. bis zur manuellen Löschung.
  • Netlify-Logdaten: In der Regel 30 Tage, danach automatische Löschung durch Netlify.

7. Ihre Rechte als betroffene Person

Nach der DSGVO stehen Ihnen gegenüber dem Verantwortlichen folgende Rechte zu:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit in einem gängigen, maschinenlesbaren Format (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO)

Zur Wahrnehmung Ihrer Rechte wenden Sie sich bitte an die oben genannte Kontaktadresse.

8. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht, sich bei der für Sie zuständigen Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die zuständige Behörde richtet sich nach Ihrem Wohnort bzw. dem Sitz des Verantwortlichen. Eine Übersicht aller deutschen Aufsichtsbehörden finden Sie unter: bfdi.bund.de

9. Löschung von Daten auf Anfrage (Meta-Plattformanforderung)

Entsprechend den Plattformrichtlinien von Meta steht unter folgender URL ein automatisierter Lösch-Callback bereit:

POST [NEXT_PUBLIC_SITE_URL]/api/delete-user-data

Dieser Endpunkt nimmt den von Meta gesendeten signierten Request entgegen, prüft die HMAC-SHA256-Signatur und löscht alle mit der betreffenden Facebook-User-ID verknüpften Daten aus der Datenbank. Nach erfolgreicher Verarbeitung wird eine Bestätigungs-URL zurückgegeben, die den Löschstatus dokumentiert.

Den Löschstatus können Sie unter /deletion-status?code=[Bestätigungscode] einsehen.

10. Aktualität dieser Erklärung

Diese Datenschutzerklärung hat den Stand Mai 2026. Bei wesentlichen Änderungen der Anwendung oder der Rechtslage wird sie entsprechend aktualisiert.