Datenschutzerklärung
Was wir erheben, wie wir es nutzen, mit wem wir es teilen — und Ihre Rechte.
Gültig ab: 2026-05-16 · v1.0
Verantwortlicher (Kontodaten): itligt
Auftragsverarbeiter (Kundeninhalte): itligt (im
Auftrag der gewerblichen Kunden als deren Auftragsverarbeiter)
Kontakt: privacy@solvgent.com
Diese Datenschutzerklärung erläutert, wie itligt („Solvgent", „wir", „uns") personenbezogene Daten im Zusammenhang mit der Solvgent-Plattform unter solvgent.com und solvgent.app (der „Dienst") erhebt, nutzt und schützt. Sie ist für unsere gewerblichen Kunden („Kunden"), deren autorisierte Nutzer sowie Besucher unserer öffentlichen Website bestimmt.
Für Daten, die Kunden im Rahmen der Nutzung des Dienstes hochladen oder zur Verarbeitung anweisen (z. B. Content-Entwürfe, Brand-Voice-Samples oder Endpublikum-Metriken), agieren wir als Auftragsverarbeiter im Auftrag des Kunden. Für Daten, die wir zur direkten Geschäftsabwicklung erheben (Kontodaten, Abrechnung, Marketing-Website-Besuche), agieren wir als Verantwortlicher. Die Auftragsverarbeitungsvereinbarung regelt unsere Rolle als Auftragsverarbeiter; diese Datenschutzerklärung regelt unsere Rolle als Verantwortlicher und erklärt beide aus Transparenzgründen.
1. Wer wir sind
itligt betreibt die Solvgent-Plattform von Salt Lake City, Utah, USA aus. Für sämtliche Datenschutzanfragen wenden Sie sich an privacy@solvgent.com.
Ein Datenschutzbeauftragter („DSB") ist nach Art. 37 DSGVO derzeit nicht zwingend erforderlich. Bis zur Bestellung dient unser interner Datenschutz-Lead über die obige Adresse als primärer Datenschutzkontakt.
2. Was wir erheben
2.1 Kontodaten (Verantwortlicher)
- Name, Position, E-Mail-Adresse
- Gehashtes Passwort (keine Klartextspeicherung)
- Organisationsname und Domain
- Land und Zeitzone
- IP-Adresse, Browser- und Geräte-Metadaten bei Registrierung
- Profilbild (falls hochgeladen)
- 2FA-Anmeldedaten und Backup-Codes (gehasht)
- API-Tokens und OAuth-Tokens (verschlüsselt im Ruhezustand)
2.2 Abrechnungsdaten (Verantwortlicher, über Stripe)
- Rechnungsname, Anschrift, Land, USt-ID
- Zahlungsmethode und letzte vier Stellen der Karte (vollständige Kartendaten ausschließlich bei Stripe)
- Rechnungshistorie, Tarif, Verlängerungsdatum
2.3 Nutzungsdaten (Verantwortlicher)
- Aufgerufene Seiten und Funktionen, geklickte Schaltflächen, abgeschickte Formulare
- Ungefährer Standort (IP-basiert, Stadtebene)
- Gerätetyp, Betriebssystem, Browser, Sitzungs-Zeitstempel
- Fehlerereignisse mit Stacktraces
- API-Anfrage-Logs
Erhoben über PostHog (EU-Instanz) für Produkt-Analytics und Sentry zur Fehlerüberwachung. PII wird in Stacktraces nach Möglichkeit entfernt.
2.4 Kundeninhalte (Auftragsverarbeiter)
- Markenprofile, Brand-Voice-Samples, Tone-of-Voice-Richtlinien
- Content-Entwürfe, Captions, Hashtags, Bild- und Videoassets
- Freigabe-/Ablehnungs-Feedback zur Schulung des per-Tenant Brand Brain
- Scheduling-Präferenzen, Posting-Kalender
- Metadaten verbundener Drittplattformen (Account-Namen, Follower-Zahlen, Beitrags-Analytics)
- Kommentare, Antworten und Inbox-Inhalte aus Drittplattformen (falls aktiviert)
- Vom Kunden überwachte Wettbewerber-Konten (öffentliche Personen)
Wir verarbeiten Kundeninhalte ausschließlich auf dokumentierte Weisung des Kunden. Wir nutzen sie nicht zum Training mandantenübergreifender KI-Modelle.
2.5 Marketing-Website-Daten (Verantwortlicher)
- Formulareinreichungen (Newsletter, Kontakt, Demo-Anfrage)
- UTM-Parameter, Referrer, Landingpage-URL
- Cookies durch Consent-Management-Tools, soweit erforderlich
2.6 Support-Kommunikation (Verantwortlicher)
E-Mails, Chat-Nachrichten und ggf. Anrufaufzeichnungen (Aufzeichnungen nur mit ausdrücklicher Einwilligung).
3. Warum wir erheben (Rechtsgrundlagen)
| Zweck | Rechtsgrundlage |
|---|---|
| Erstellung und Betrieb von Kundenkonten | Vertrag (Art. 6 Abs. 1 lit. b) |
| Zahlungsabwicklung und Steuern | Vertrag + rechtliche Verpflichtung (Art. 6 Abs. 1 lit. b, c) |
| KI-Content-Erzeugung auf Weisung | Vertrag (Auftragsverarbeiterrolle gemäß AVV) |
| Sicherheit, Betrugsprävention | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
| Aggregierte Produkt-Analytics | Berechtigtes Interesse + Einwilligung bei nicht-essenziellen Cookies |
| Marketing-E-Mails an Bestandskunden | Berechtigtes Interesse mit einfachem Opt-out |
| Marketing an Nicht-Kunden | Einwilligung (Art. 6 Abs. 1 lit. a) |
| Compliance mit Anordnungen | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) |
| Rechtsverteidigung | Berechtigtes Interesse |
4. Wie wir personenbezogene Daten verwenden
Wir verkaufen keine personenbezogenen Daten und teilen sie nicht zum Zweck kontextübergreifender Verhaltenswerbung.
- Bereitstellung des Dienstes — Authentifizierung, Content-Erzeugung, Scheduling, Veröffentlichung, Analytics, Brand-Brain-Training innerhalb des Mandanten.
- Abrechnung & Kontoverwaltung — Zahlungen, Rechnungen, Abonnements, Rückerstattungen.
- Kundensupport — Beantwortung von Fragen, Troubleshooting, Betroffenenrechte-Bearbeitung.
- Produktverbesserung — aggregierte, anonymisierte Analytics. Keine Verwendung identifizierbarer Kundeninhalte für mandantenübergreifendes Training.
- Sicherheit und Missbrauchsschutz — Überwachung auf unbefugten Zugriff und Anomalien.
- Compliance — Steuerreporting, Sanktionsprüfung (primäres KYC erfolgt durch Stripe), rechtliche Auskünfte.
- Marketing — Newsletter und Produkt-Updates mit Ein-Klick-Abmeldung in jeder E-Mail.
5. Auftragsverarbeiter
Eine vollständige und aktuelle Liste der Auftragsverarbeiter befindet sich unter solvgent.com/de/legal/auftragsverarbeiter. Wir informieren Kunden mindestens 30 Tage vor Hinzufügung oder Austausch eines Auftragsverarbeiters.
6. Internationale Datenübermittlung
Solvgent agiert von den Vereinigten Staaten aus. Personenbezogene Daten können aus dem EWR, dem Vereinigten Königreich oder der Schweiz in die USA oder in andere Drittländer übermittelt werden, in denen unsere Auftragsverarbeiter tätig sind. Wir stützen uns auf:
- EU–US Data Privacy Framework (DPF), UK-Erweiterung und Swiss-US-DPF, soweit der Empfänger DPF-zertifiziert ist;
- EU-Standardvertragsklauseln (SCCs) Module 2 und 3, wo DPF nicht greift, ergänzt durch Transfer Impact Assessments und zusätzliche Schutzmaßnahmen;
- UK International Data Transfer Addendum zu den EU-SCCs für UK-Transfers;
- Schweizer Modifikationen der SCCs für Schweiz-Transfers.
7. Speicherdauer
| Kategorie | Aufbewahrung |
|---|---|
| Konto-Profildaten | Laufzeit des Kontos + 90 Tage nach Kündigung |
| Abrechnungsdaten | 10 Jahre (US-Steuer-/Audit-Vorgabe) |
| Kundeninhalte (Auftragsverarbeiter) | Auf Weisung des Kunden; Löschung innerhalb von 90 Tagen nach Beendigung |
| Brand-Brain-Trainingsdaten | Coterminös mit dem Mandanten; Löschung innerhalb von 90 Tagen nach Beendigung |
| Anwendungs-/Audit-Logs | 90 Tage |
| Fehler-Logs (Sentry) | 90 Tage |
| Analytics-Events (PostHog) | 12 Monate identifizierbar, dann anonymisierte Aggregate |
| Marketing-Adressen | Bis Abmeldung + 6 Monate Sperrliste |
| Support-Kommunikation | 3 Jahre |
| Backups | 30 Tage rollierend, verschlüsselt |
8. Ihre Rechte
Wenn Sie sich im EWR, im Vereinigten Königreich, in der Schweiz, Kalifornien, Colorado, Connecticut, Virginia, Utah oder einer Jurisdiktion mit vergleichbaren Rechten befinden, haben Sie folgende Rechte:
- Auskunft über die zu Ihnen gespeicherten Daten
- Berichtigung unrichtiger oder unvollständiger Daten
- Löschung („Recht auf Vergessenwerden")
- Einschränkung der Verarbeitung in bestimmten Fällen
- Datenübertragbarkeit in einem strukturierten, maschinenlesbaren Format
- Widerspruch gegen Verarbeitungen auf Basis berechtigten Interesses, einschließlich Direktmarketing
- Widerruf einer Einwilligung jederzeit, ohne Auswirkung auf bisherige Verarbeitungen
- Kein Gegenstand ausschließlich automatisierter Entscheidungen mit rechtlicher Wirkung zu sein (wir treffen solche Entscheidungen nicht)
- Beschwerde bei einer Aufsichtsbehörde (in DE: Landesdatenschutzbeauftragter oder BfDI; in UK: ICO; in CA: CPPA)
Zur Ausübung Ihrer Rechte schreiben Sie uns von der Ihrer Konto zugeordneten Adresse an privacy@solvgent.com. Wir antworten innerhalb von 30 Tagen (verlängerbar um 60 Tage, falls erforderlich, mit Mitteilung an Sie).
9. Cookies und ähnliche Technologien
Siehe unsere Cookie-Richtlinie. Kurz zusammengefasst: Wir nutzen ausschließlich essenzielle First-Party-Cookies für Authentifizierung und Sicherheit. Produkt-Analytics laufen über PostHog im Cookieless-Modus, soweit Einwilligungen vorliegen. Keine Werbe-Cookies Dritter.
10. Kinder
Der Dienst richtet sich ausschließlich an gewerbliche Nutzer ab 18 Jahren (bzw. ab 16 Jahren, sofern lokales Recht dies für Geschäftskunden zulässt). Wir erheben wissentlich keine Daten von Kindern.
11. Sicherheit
- TLS 1.2+ in Übertragung; AES-256 im Ruhezustand
- Rollenbasierte Zugriffskontrolle mit Least-Privilege-Default
- 2FA für alle administrativen Zugänge
- Audit-Logs für sensible Operationen
- Jährliche Zugriffsreviews
- Verschlüsselte Backups, 30 Tage rollierend
- Due Diligence bei jedem Auftragsverarbeiter
- Incident-Response-Plan mit 72-Stunden-Meldepflicht
12. Änderungen dieser Erklärung
Wesentliche Änderungen werden per E-Mail an den primären Kontakt sowie über ein Banner auf solvgent.com mindestens 30 Tage vor Inkrafttreten kommuniziert.
13. Kontakt
Datenschutz:
privacy@solvgent.com
Allgemein: itligt — Salt Lake City, Utah, USA
14. EU-Vertreter (Art. 27 DSGVO)
Als in den USA ansässiges Unternehmen, das Dienste für betroffene Personen im EWR anbietet, ist Solvgent verpflichtet, einen EU-Vertreter zu benennen, sobald wir zahlende Kunden in der EU haben. Bis zur Bestellung können sich Betroffene in der EU direkt an privacy@solvgent.com wenden.
Die englische Originalfassung dieser Datenschutzerklärung ist unter solvgent.com/legal/privacy verfügbar. Bei Auslegungsdifferenzen ist die englische Fassung maßgeblich.