Datenschutzerklärung

Diese Datenschutzerklärung informiert über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen der Anwendung Instagram Story Mentions Tool (nachfolgend „diese Anwendung“), die im Rahmen eines Marken-Gewinnspiels eingesetzt wird. Im geplanten Produktionseinsatz handelt es sich um das Gewinnspiel „Wo ist Thommy?“. Während der Test- und Freigabephase ist die Anwendung mit einem technischen Test-Account verbunden; in dieser Phase werden keine produktiven Teilnahmen ausgewertet.

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
Felix Werth IT UG (haftungsbeschränkt)
Dietzgenstraße 70
13156 Berlin
Deutschland
E-Mail: contact@felixwerthit.com

Hinweis: Felix Werth IT UG (haftungsbeschränkt) stellt diese Anwendung als technischen Dienstleister bereit. Veranstalter des Gewinnspiels ist ein dritter Auftraggeber, dessen Identität, Teilnahmebedingungen und Auslosungsmodalitäten ausschließlich durch den Veranstalter selbst kommuniziert werden. Sobald die App-Inhaberschaft auf den Veranstalter übertragen wurde, tritt dieser an die Stelle des oben genannten Verantwortlichen. Die jeweils aktuelle Fassung dieser Datenschutzerklärung weist die zuständige Stelle aus.

2. Zweck der Anwendung und betroffene Personen

Diese Anwendung dient der automatisierten Erfassung von Instagram Stories, in denen die jeweils mit der Anwendung verbundenen Brand-Accounts erwähnt werden, sowie der anschließenden manuellen Bewertung dieser Stories durch berechtigte Mitarbeitende. Im geplanten Produktionseinsatz (Gewinnspiel „Wo ist Thommy?“) sind das die Accounts @axe.offiziell und @thommy.berglmeir. Während der Test- und Freigabephase ist ein technischer Test-Account verbunden.

Es werden Daten von zwei Personengruppen verarbeitet:

Teilnehmende des Gewinnspiels: Instagram-Nutzende, die in einer eigenen Story die oben genannten Accounts erwähnen und damit am Gewinnspiel teilnehmen.
Mitarbeitende des Veranstalters: Personen, die sich am Review-Dashboard anmelden, um die eingehenden Stories zu sichten und zu bewerten.

3. Verarbeitete Daten der Gewinnspiel-Teilnehmenden

Sobald eine teilnehmende Person eine Instagram Story veröffentlicht, in der die oben genannten Accounts erwähnt werden, übermittelt Meta uns per Webhook bzw. über die Conversations API folgende Daten:

Instagram-Benutzername (z. B. @beispielnutzer)
Instagram-Benutzer-ID (interne, von Meta vergebene ID)
Zeitpunkt der Story-Veröffentlichung
URL des Story-Bildes auf dem Instagram-Content-Delivery-Network. Diese URL ist 24 Stunden lang gültig und verfällt anschließend automatisch
Medientyp (z. B. Bild oder Video)
Eindeutige Nachrichten-ID des Webhook-Ereignisses

Aus dem Story-Bild extrahieren wir per Texterkennung (OCR) den im Bild sichtbaren Text und prüfen, ob die beiden Account-Namen darin enthalten sind. Dabei werden gespeichert:

Erkannter Roh-Text aus dem Story-Bild
Erkennungsgenauigkeiten für die zwei zu prüfenden Account-Namen sowie ein zusammenfassender Sicherheitswert (sicher / unsicher / abgelehnt)
Status und Zeitpunkt der OCR-Verarbeitung

Im Rahmen der manuellen Bewertung durch Mitarbeitende werden zusätzlich gespeichert:

Bewertungsergebnis (bestätigt, abgelehnt oder abgelaufen)
Zeitpunkt der Bewertung und Identität der bewertenden Person
Optionale interne Notizen der bewertenden Person zu einer Story
Status der Story-Bild-URL (verfügbar, vom Nutzer gelöscht, abgelaufen) und Zeitpunkt der letzten Verfügbarkeits-Prüfung

4. Story-Bilder werden nicht gespeichert

Auf Vorgabe von Meta dürfen Story-Bilder nicht dauerhaft gespeichert werden. Diese Vorgabe wird strikt eingehalten:

Für die Texterkennung (OCR) wird das Bild kurz im Arbeitsspeicher des Servers geladen, ausgewertet und sofort wieder verworfen. Es entsteht keine dauerhafte Kopie auf der Festplatte
Im Review-Dashboard wird das Bild ausschließlich über die von Meta bereitgestellte CDN-URL angezeigt. Diese URL ist 24 Stunden lang gültig; danach kann das Bild im Dashboard nicht mehr angezeigt werden
In unserer Datenbank wird ausschließlich die CDN-URL und der per OCR extrahierte Text gespeichert, nicht aber das Bild selbst

5. Datenübermittlung an Meta beim Anzeigen von Story-Bildern

Wenn eine berechtigte mitarbeitende Person das Review-Dashboard öffnet, lädt der Browser die Story-Bilder direkt vom Content-Delivery-Network von Instagram (Meta Platforms Ireland Limited, Irland; bzw. Meta Platforms, Inc., USA). Dabei wird die IP-Adresse des Browsers an Meta übermittelt, da der Bild-Abruf direkt vom Browser zu Meta erfolgt. Diese Übermittlung erfolgt nicht durch Felix Werth IT UG, sondern unmittelbar zwischen Browser und Meta.

Da Meta seinen Sitz teilweise in den USA hat, ist eine Übermittlung in ein Drittland möglich. Meta hat sich dem EU–US Data Privacy Framework unterworfen, das einen Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO darstellt.

6. Erkennung gelöschter Stories

Beim Anzeigen einer Story-Liste lädt der Browser die Bilder vom Instagram-CDN nach. Lädt ein Bild nicht mehr (HTTP-Fehler), wird im Hintergrund vermerkt, ob die Story vermutlich vom Nutzer gelöscht wurde oder ob die 24-Stunden-Frist abgelaufen ist. Es findet keine aktive Anfrage an Instagram-APIs statt; beobachtet wird nur das Verhalten des Browsers beim Bild-Laden.

7. Verarbeitete Daten der Mitarbeitenden

Mitarbeitende des Veranstalters benötigen einen Login, um das Review-Dashboard zu nutzen. Hierzu werden gespeichert:

Benutzername
Passwort (ausschließlich als Hash, nicht im Klartext)
Zuordnung zu von Mitarbeitenden vorgenommenen Aktionen (Bewertungen, Notizen, Lösch-Vorgänge) zum Zwecke der Nachvollziehbarkeit
Server-seitige Zugriffs-Logs (IP-Adresse, Zeitpunkt, aufgerufene URL, User-Agent) zur Sicherstellung des technischen Betriebs und zur Missbrauchsprävention

8. Rechtsgrundlagen

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 DSGVO:

lit. b (Vertrag / vorvertragliche Maßnahmen): Durchführung des Gewinnspiels gegenüber Teilnehmenden, die durch Erwähnen der vorgegebenen Accounts in einer Story am Gewinnspiel teilnehmen. Verwaltung der Login-Konten der Mitarbeitenden auf Grundlage des Beschäftigungs- bzw. Dienstleistungsverhältnisses.
lit. f (berechtigtes Interesse): Manuelle Sichtprüfung der Stories zur Verhinderung missbräuchlicher Teilnahmen, Sicherstellung des technischen Betriebs sowie Nachvollziehbarkeit von Lösch- und Bewertungs-Vorgängen (Audit-Trail). Server-Logs zur Erkennung und Abwehr von Angriffen.
lit. c (rechtliche Verpflichtung): Soweit gesetzliche Aufbewahrungs- oder Auskunftspflichten bestehen.

9. Empfänger der Daten

Eine Weitergabe personenbezogener Daten erfolgt grundsätzlich nicht. Zugriff auf die in dieser Anwendung verarbeiteten Daten haben:

Mitarbeitende des Veranstalters, die für die Sichtung und Bewertung der Stories sowie die Auslosung der Gewinner zuständig sind
Felix Werth IT UG (haftungsbeschränkt) als Betreiber der Anwendung im Rahmen technischer Wartung und Fehlerbehebung
Hosting-Provider Hetzner Online GmbH, Deutschland (Cloud-Server in Nürnberg sowie Speicher-Dienst „Storage Box“ in Falkenstein für verschlüsselt übertragene Datenbank-Backups) als Auftragsverarbeiter im Sinne des Art. 28 DSGVO
Meta (Meta Platforms Ireland Limited / Meta Platforms, Inc.) ausschließlich im Rahmen des Webhook-Empfangs sowie des Anzeigens von Story-Bildern aus deren CDN; eine aktive Übermittlung personenbezogener Daten an Meta findet nicht statt

Bei der Auslosung werden die Kontaktdaten der ausgelosten Gewinner gegebenenfalls an die für den Versand des Gewinns verantwortliche Stelle weitergegeben. Die hierfür notwendigen Kontaktinformationen werden separat im Auslosungsprozess vom Gewinner angefragt und sind nicht Teil der über diese Anwendung erhobenen Daten.

10. Speicherdauer

Story-Daten von Teilnehmenden (Benutzername, Benutzer-ID, Zeitpunkt, OCR-Ergebnis, Bewertung, Notizen) werden nur so lange gespeichert, wie es für die Durchführung des Gewinnspiels und die anschließende Auslosung erforderlich ist. Nach Abschluss von Gewinnspiel und Auslosung werden sie durch den Verantwortlichen gelöscht, spätestens sechs Monate nach Ende des Gewinnspiels
Verworfene und abgelaufene Einträge werden bis zu diesem Zeitpunkt ebenfalls aufbewahrt, um die Nachvollziehbarkeit von Bewertungs-Entscheidungen zu gewährleisten, sofern sie nicht vorher manuell gelöscht werden
Server-seitige Zugriffs-Logs werden aus Sicherheitsgründen für maximal 14 Tage gespeichert und anschließend automatisch gelöscht oder anonymisiert
Lösch-Audit-Einträge (siehe Abschnitt 12) werden bis zum Ende des Gewinnspiels aufbewahrt; sie enthalten keine personenbezogenen Daten der Betroffenen

11. Datenbank-Backups

Zur Wiederherstellung bei technischen Störungen oder Datenverlust werden automatische Datenbank-Sicherungen erstellt. Die Backups enthalten die in dieser Anwendung gespeicherten Daten (also keine Story-Bilder, sondern den verarbeiteten Text und die Metadaten gemäß Abschnitt 3) und werden verschlüsselt zur Speicher-Infrastruktur des Hosting-Providers Hetzner (Standort Falkenstein, Deutschland) übertragen. Sicherungen werden für maximal 6 Monate rollend aufbewahrt; anschließend werden sie automatisch gelöscht. Diese Speicherdauer ist erforderlich, um Wiederherstellungen über den gesamten Gewinnspiel-Zeitraum hinweg sowie für die anschließende Auslosungs- und Nachprüfungsphase zu ermöglichen.

Sollte eine Wiederherstellung aus einem Backup notwendig werden, werden zwischenzeitlich gelöschte personenbezogene Daten erneut entfernt, sobald der Wiederherstellungsvorgang abgeschlossen ist. Hierfür wird ein internes Löschkonzept geführt.

12. Löschung und Audit-Trail

Auf Anfrage werden personenbezogene Daten unwiderruflich aus der Datenbank entfernt (Hard-Delete). Es wird ein interner Audit-Eintrag geschrieben, der ausschließlich den Mitarbeiter-Namen, den Zeitpunkt und die Anzahl der gelöschten Einträge festhält. Personenbezogene Daten der Betroffenen werden nicht im Audit-Trail gespeichert. Die gelöschten Daten verbleiben bis zum natürlichen Ablauf der Backup-Aufbewahrungsfrist (max. 6 Monate, siehe Abschnitt 11) in den Sicherungen; bei einer eventuellen Wiederherstellung aus Backup werden Löschanfragen über das interne Löschkonzept erneut angewendet.

13. Cookies und vergleichbare Technologien

Im Review-Dashboard werden ausschließlich technisch notwendige Cookies verwendet:

sessionid: Sitzungsverwaltung, hält die mitarbeitende Person während der Nutzung angemeldet
csrftoken: Schutz vor Cross-Site-Request-Forgery bei Formular-Aktionen (Bewerten, Löschen, Notiz speichern)

Diese Cookies sind für den Betrieb der Anwendung erforderlich. Eine Einwilligung ist nach § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt; Drittanbieter-Tools wie Google Analytics werden nicht verwendet.

14. Datensicherheit

Es werden technische und organisatorische Maßnahmen eingesetzt, um personenbezogene Daten vor unbefugtem Zugriff und Missbrauch zu schützen:

SSL/TLS-Verschlüsselung sämtlicher Datenübertragungen
Passwort-Hashing mit modernen Algorithmen (Django-Default)
Zugriffsbeschränkung auf die Anwendung über Login mit individuellen Benutzerkonten
Signaturprüfung der Webhook-Aufrufe von Meta (HMAC-Signatur), um gefälschte Webhook-Aufrufe abzuwehren
Regelmäßige Sicherheitsupdates der eingesetzten Software

15. Rechte der Betroffenen

Betroffene Personen haben gegenüber dem Verantwortlichen folgende Rechte:

Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch (Art. 21 DSGVO)

Anfragen können per E-Mail an contact@felixwerthit.com gerichtet werden.

Daneben besteht das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, in Berlin: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstraße 219, 10969 Berlin.

16. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann aktualisiert werden, insbesondere bei Änderungen der Funktionsweise der Anwendung oder bei einer Übertragung der App-Inhaberschaft auf den Veranstalter. Die jeweils aktuelle Fassung ist über das Review-Dashboard und die Login-Seite abrufbar.

Stand: Mai 2026