Datenschutzerklärung
1. Verantwortlicher
Online-Marketing Agentur E-Werkstatt e.U.
Absbergasse 29/1/56
1100 Wien, Österreich
UID: ATU57197811
E-Mail: buero@ewerkstatt.com
2. Welche Daten wir verarbeiten
2.1 Registrierung und Kundenkonto
Bei der Registrierung erheben wir folgende Daten:
- Name und E-Mail-Adresse
- Firmenname und Land
- Umsatzsteuer-Identifikationsnummer (UID/VAT), sofern angegeben
- Passwort (gespeichert als Hashwert – wir haben keinen Zugriff auf das Klartextpasswort)
Diese Daten sind notwendig, um das Vertragsverhältnis mit Ihnen abzuwickeln und Ihnen Zugang zur Plattform zu gewähren.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
2.2 Teams und gemeinsame Nutzung
tellmio ist als Teamlösung konzipiert. Bei der Registrierung legt jeder Nutzer automatisch ein Team an. Weitere Personen können per E-Mail eingeladen werden, dem Team beizutreten.
Welche Daten innerhalb eines Teams geteilt werden:
Alle Mitglieder eines Teams sehen dieselben Projekte und können Analyseaufträge starten. Projekte und Berichte sind nicht einzelnen Nutzern zugeordnet, sondern dem Team als Ganzes. Auch Rechnungen und Credits werden auf Teamebene geführt.
Rollen im Team:
Es gibt zwei Rollen: Mitglied und Team Leader. Team Leader können Teaminformationen bearbeiten, Credits kaufen, Rechnungen einsehen, weitere Mitglieder einladen und Mitglieder sperren. Mehrere Personen können gleichzeitig die Rolle des Team Leaders innehaben. Ein Team Leader kann anderen Mitgliedern den Team-Leader-Status erteilen oder entziehen.
Einladungen:
Einladungen werden per E-Mail-Adresse ausgesprochen. Das System speichert dabei die eingeladene E-Mail-Adresse, den Zeitpunkt der Einladung und einen sicheren Einladungstoken. Die Einladung ist 7 Tage gültig. Nach Ablauf oder Annahme wird der Token gelöscht.
Sperrung von Mitgliedern:
Team Leader können Mitglieder sperren, etwa nach Beendigung der Zusammenarbeit. Eine Sperrung verhindert das Starten neuer Aufträge und deaktiviert die E-Mail-Lieferziele des betroffenen Nutzers. Der Login bleibt weiterhin möglich; der gesperrte Nutzer sieht einen Hinweisbildschirm mit den Kontaktdaten des Teams. Gespeichert werden dabei: Zeitpunkt der Sperrung, ausführende Person und ein optionaler Sperrgrund. Diese Daten sind nur für Team Leader und Administratoren sichtbar.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an geregelter Zusammenarbeit und Zugriffskontrolle)
2.3 Verbundene Google-Konten (Google OAuth2)
tellmio ermöglicht es Ihnen, eigene Google-Konten mit der Plattform zu verbinden. Der Verbindungsaufbau erfolgt über das standardisierte OAuth2-Verfahren von Google. Sie entscheiden selbst, welche Google-Konten Sie verbinden, und können die Verbindung jederzeit in Ihrem Konto trennen.
Welche Berechtigungen wir anfragen:
| Berechtigung | Zweck |
|---|---|
| Google Analytics 4 (Lesezugriff) | Abruf von Website-Nutzungsdaten für Analyseaufträge |
| Google Search Console (Lesezugriff) | Abruf von Suchanfragen und Sichtbarkeitsdaten |
| Google Ads (Lesezugriff) | Abruf von Kampagnendaten und Leistungskennzahlen |
| Google Drive (Erstellen/Lesen eigener Dateien) | Ablage von Berichten auf Ihrem Google Drive, sofern von Ihnen aktiviert |
| Google-Profil (E-Mail, Name) | Anzeige des verbundenen Kontos in der Benutzeroberfläche |
Was wir speichern:
- E-Mail-Adresse und Anzeigename des verbundenen Google-Kontos
- Access Token und Refresh Token – verschlüsselt gespeichert (AES-256-CBC)
- Ablaufzeitpunkt des Access Tokens
- Erteilte Berechtigungen (Scopes)
- Verbindungsstatus und Verbindungszeitpunkt
Wir greifen ausschließlich auf Daten zu, die für die von Ihnen beauftragten Analysen erforderlich sind. Der Zugriff erfolgt ausschließlich lesend, außer bei Google Drive (dort werden ausschließlich von tellmio erstellte Dateien abgelegt).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
2.4 Projektdaten und Analyseaufträge
Wenn Sie ein Projekt anlegen und einen Analyseauftrag starten, verarbeiten wir:
- Die von Ihnen angegebene Website-URL
- Inhalte Ihrer Website, die wir für die Analyse abrufen (Website-Scraping – nur Ihre eigene Website)
- Daten aus den verbundenen Google-Diensten (GA4, Search Console, Google Ads) für den Zeitraum des Auftrags
- Ihre Eingaben zur Projektkonfiguration (Ziel der Kampagne, Zielgruppen etc.)
Diese Daten werden ausschließlich für die Erstellung des von Ihnen beauftragten Berichts verwendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
2.5 Technische Protokollierung von Analyseaufträgen
Zur Sicherstellung des Betriebs und zur Nachvollziehbarkeit der Systemkosten werden zu jedem Analyseauftrag technische Metadaten protokolliert. Dazu gehören: Startdatum und -uhrzeit des Auftrags, der interne Auftragstyp-Code, die Anzahl der verbrauchten Credits, die Anzahl der verarbeiteten KI-Tokens sowie die ungefähren Kosten des KI-Modells.
Es werden dabei weder der Auftraggeber des Auftrags noch Inhalte der Analyse gespeichert. Die Protokolldaten lassen keinen Rückschluss auf konkrete Kampagnendaten, Website-Inhalte oder Suchanfragen zu.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemstabilität und Kostentransparenz)
2.6 KI-gestützte Analyse
Die Analyse Ihrer Daten erfolgt mithilfe von KI-Sprachmodellen. Dafür werden die für den Auftrag relevanten Daten (Kampagnendaten, Website-Inhalte, Kennzahlen) an unseren KI-Dienstleister OpenRouter (Benutzerdef. Technologies Inc., USA) übermittelt.
OpenRouter leitet die Anfragen an die von Ihnen oder von uns gewählten KI-Modelle weiter (z. B. Google Gemini oder Anthropic Claude). Es werden keine Daten dauerhaft bei OpenRouter gespeichert oder zum Training von Modellen verwendet. OpenRouter hat uns gegenüber datenschutzrechtliche Pflichten übernommen (Data Processing Agreement, eingebettet in die OpenRouter Terms of Service).
Da OpenRouter in den USA ansässig ist, handelt es sich um einen Drittlandtransfer gemäß Art. 44 ff. DSGVO. Dieser erfolgt auf Basis der EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
2.7 Zahlungen und Rechnungen
Zahlungen werden über Mollie B.V. (Amsterdam, Niederlande) abgewickelt. Bei einem Kauf werden Ihre Zahlungsdaten direkt an Mollie übertragen. Wir speichern keine Kreditkartennummern oder Bankdaten.
Wir speichern folgende Rechnungsdaten:
- Rechnungsnummer, Rechnungsdatum, Leistungszeitraum
- Rechnungsbetrag, Steuersatz, Steuerbetrag
- Rechnungsadresse des Teams (Firmenname, UID, Adresse)
Rechnungen werden als PDF auf unserem Datei-Speicher (Wasabi S3, Rechenzentrum Central Europe 2 / Frankfurt) abgelegt.
Aufbewahrungsdauer: Rechnungsunterlagen werden gemäß § 132 BAO (Bundesabgabenordnung) für 7 Jahre aufbewahrt und danach gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung) in Verbindung mit § 132 BAO
2.8 Auslieferung von Berichten
Fertige Berichte können auf Wunsch an verschiedene Ziele übermittelt werden, die Sie selbst konfigurieren:
- E-Mail: Bericht wird an Ihre hinterlegte E-Mail-Adresse gesendet
- Wasabi S3 (eigener Bucket): Ablage in Ihrem eigenen Cloud-Speicher
- Dropbox: Ablage in Ihrem Dropbox-Konto (Verbindung über Dropbox OAuth2)
- Google Drive: Ablage in Ihrem Google Drive (via verbundenes Google-Konto)
- Slack: Übermittlung an einen von Ihnen konfigurierten Slack-Webhook
Die Datenübermittlung an diese Ziele erfolgt ausschließlich auf Ihre Veranlassung und Konfiguration hin. Sie sind für die Sicherheit und Zugänglichkeit dieser Ziele selbst verantwortlich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
2.9 Technische Verbindungsdaten
Bei jedem Seitenaufruf werden technische Daten automatisch übertragen und kurzfristig in Server-Logs gespeichert:
- IP-Adresse (gekürzt)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL
- Browser-Typ und Betriebssystem (aus dem User-Agent)
- HTTP-Statuscode
Diese Daten werden ausschließlich zur Sicherstellung des Betriebs und zur Fehleranalyse verwendet und nach spätestens 30 Tagen gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb)
3. Auftragsverarbeitung (AVV)
Soweit wir Ihre Daten im Auftrag verarbeiten – insbesondere die Daten Ihrer verbundenen Google-Konten und Ihrer Analyseaufträge – handeln wir als Ihr Auftragsverarbeiter gemäß Art. 28 DSGVO. Diese Datenschutzerklärung erfüllt gemeinsam mit unseren Nutzungsbedingungen die Anforderungen an einen Auftragsverarbeitungsvertrag.
Sie bleiben Verantwortlicher für die Daten, die Sie über tellmio analysieren lassen. Wir verarbeiten diese Daten ausschließlich nach Ihrer Weisung (Auftragsstarter in der Anwendung) und für keinen anderen Zweck.
4. Weitergabe an Dritte und Auftragsverarbeiter
Wir geben Ihre Daten nur weiter, soweit dies zur Vertragserfüllung notwendig ist. Folgende Dienstleister verarbeiten Daten in unserem Auftrag:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Supabase Inc. | Datenbankbetrieb (PostgreSQL) | AWS eu-west-1, Irland |
| Wasabi Technologies LLC | Datei-Speicher (Berichte, Rechnungen) | Central Europe 2, Frankfurt |
| n8n GmbH | Workflow-Automatisierung (Analyseaufträge) | Azure Germany West Central, Frankfurt |
| Mollie B.V. | Zahlungsabwicklung | Amsterdam, Niederlande |
| OpenRouter (Benutzerdef. Technologies Inc.) | KI-Analyse | USA (mit SCC abgesichert) |
Alle Dienstleister wurden sorgfältig ausgewählt und haben datenschutzrechtliche Verpflichtungen gegenüber uns übernommen.
5. Drittlandtransfers
Einige unserer Dienstleister haben ihren Sitz außerhalb der EU/EWR:
- OpenRouter (USA): Datenübermittlung auf Basis von EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
- Supabase: Datenbankserver in AWS eu-west-1 (Irland, innerhalb der EU). Supabase Inc. ist in den USA ansässig; Datenübermittlung auf Basis von SCC.
6. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Kontodaten | Bis zur Löschung des Kontos + 30 Tage Karenzzeit |
| Google OAuth-Tokens | Bis zum Trennen der Verbindung oder Löschen des Kontos |
| Analyse-Ergebnisse (Berichte) | Bis zur manuellen Löschung oder Kontolöschung |
| Technische Auftragsprotokolle | 12 Monate |
| Einladungstoken | 7 Tage oder bis zur Annahme der Einladung |
| Rechnungen | 7 Jahre (gesetzliche Aufbewahrungspflicht, § 132 BAO) |
| Server-Logs | Maximal 30 Tage |
| Zahlungstransaktions-IDs | 7 Jahre (steuerrechtliche Pflicht) |
Wird ein Team durch den Team Leader pausiert, werden alle Daten des Teams nach 30 Tagen unwiderruflich gelöscht, sofern das Team nicht vorher reaktiviert wird. Rechnungen sind von dieser Löschung ausgenommen und werden gemäß der gesetzlichen Aufbewahrungspflicht weiter aufbewahrt.
Nach Ablauf der jeweiligen Frist werden die Daten unwiderruflich gelöscht.
7. Ihre Rechte als betroffene Person
Sie haben folgende Rechte gegenüber uns:
- Auskunft (Art. 15 DSGVO): Sie können jederzeit Auskunft über die von uns gespeicherten Daten verlangen.
- Berichtigung (Art. 16 DSGVO): Sie können unrichtige Daten korrigieren lassen.
- Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Verarbeitung Ihrer Daten in bestimmten Situationen einschränken lassen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
- Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: buero@ewerkstatt.com
Wir antworten auf Anfragen innerhalb von 30 Tagen.
8. Recht auf Beschwerde
Sie haben das Recht, sich bei der österreichischen Datenschutzbehörde zu beschweren:
Österreichische Datenschutzbehörde
Barichgasse 40–42
1030 Wien
E-Mail: dsb@dsb.gv.at
Web: dsb.gv.at
9. Cookies und technische Speicherung
tellmio verwendet ausschließlich technisch notwendige Cookies, ohne die die Anwendung nicht funktioniert:
| Cookie | Zweck | Speicherdauer |
|---|---|---|
| Session-Cookie | Aufrechterhaltung der Anmeldung | Browser-Sitzung / bis Abmeldung |
| CSRF-Token | Schutz vor Cross-Site-Request-Forgery-Angriffen | Browser-Sitzung |
Wir setzen keine Tracking-Cookies, Analyse-Cookies oder Werbe-Cookies ein. Eine Cookie-Einwilligung ist daher nicht erforderlich.
10. Datensicherheit
Alle Verbindungen zur Plattform sind mit TLS (HTTPS) verschlüsselt. API-Zugangsdaten (Google OAuth-Tokens) werden verschlüsselt in der Datenbank gespeichert (AES-256-CBC). Passwörter werden ausschließlich als bcrypt-Hashwerte gespeichert.
11. Webanalyse
Consent Management (Cookiebot)
Diese Website verwendet Cookiebot, einen Dienst der Cybot A/S, Havnegade 39, 1058 Kopenhagen, Dänemark, zur Verwaltung von Cookie-Einwilligungen.
Cookiebot speichert deinen Einwilligungsstatus in einem Cookie namens CookieConsent in deinem Browser. Dieser Cookie hat eine Laufzeit von 12 Monaten. Er enthält keine personenbezogenen Daten außer deiner Einwilligungsentscheidung sowie Datum und Uhrzeit der Einwilligung.
Beim ersten Besuch der Website lädt Cookiebot eine Verbindung zu den Servern von Cybot A/S auf, um den aktuellen Einwilligungsstatus abzurufen. Dabei wird deine IP-Adresse an Cybot A/S übertragen. Cybot A/S verarbeitet diese Daten ausschließlich zur Bereitstellung des Consent-Management-Dienstes. Die Daten werden nicht für Werbezwecke genutzt und nicht an Dritte weitergegeben.
Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur nachweisbaren Einwilligungsverwaltung).
Weitere Informationen findest du in der Datenschutzerklärung von Cybot A/S: cookiebot.com/de/privacy-policy/
Google Tag Manager
Diese Website verwendet den Google Tag Manager, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Der Google Tag Manager selbst setzt keine Cookies und überträgt keine personenbezogenen Daten. Er verwaltet lediglich andere Tags (z. B. Analyse- und Marketing-Scripts), die über die Website eingebunden sind. Diese Tags werden nur dann aktiviert, wenn du über das Cookiebot-Banner die entsprechende Einwilligung erteilt hast.
Weitere Informationen: marketingplatform.google.com/about/analytics/tag-manager/use-policy/
Google Analytics 4
Diese Website verwendet Google Analytics 4, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Google Analytics 4 erfasst anonymisiert, wie Besucher die Website nutzen – zum Beispiel welche Seiten aufgerufen werden, wie lange Besuche dauern und aus welchen Regionen die Zugriffe stammen. Die dabei erhobenen Daten werden auf Servern von Google in den USA gespeichert. Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert, sodass ein angemessenes Datenschutzniveau gewährleistet ist.
IP-Adressen werden von Google Analytics 4 standardmäßig anonymisiert, bevor sie gespeichert werden (IP-Anonymisierung ist in GA4 nicht mehr separat konfigurierbar – sie ist fest eingebaut).
Google Analytics 4 wird über den Google Tag Manager eingebunden und nur dann aktiviert, wenn du im Cookiebot-Banner der Kategorie „Statistik" zugestimmt hast.
Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst deine Einwilligung jederzeit widerrufen, indem du die Cookie-Einstellungen über den Link „Cookie-Einstellungen" am Ende der Seite öffnest und die Kategorie „Statistik" deaktivierst.
Weitere Informationen zur Datenverarbeitung durch Google: policies.google.com/privacy
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen – etwa wenn sich gesetzliche Anforderungen ändern oder wir neue Funktionen einführen. Die jeweils aktuelle Version ist auf tellmio.app/de/privacy abrufbar. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.