Datenschutzerklärung

Ads-Management-System (AMS) by Werbungmacher.de

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
WERBUNGMACHER.DE UG (haftungsbeschränkt)
Bahnhofstraße 13a, 77767 Appenweier, Deutschland
Vertreten durch: Zeynep Özcelik (Geschäftsführerin)
E-Mail: info@werbungmacher.de · Telefon: +49 151 10973162
USt-IdNr.: DE450991066

Ein Datenschutzbeauftragter ist gesetzlich nicht zwingend zu benennen. Bei allen Fragen zum Datenschutz erreichen Sie uns unter den vorstehenden Kontaktdaten.

2. Rollenverteilung: Verantwortlicher und Auftragsverarbeiter

AMS ist ein internes Werkzeug der Agentur Werbungmacher zur Verwaltung, Auswertung und Abrechnung digitaler Werbung im Auftrag ihrer Kunden. Dabei sind zwei Verarbeitungsebenen zu unterscheiden:

• AMS-Nutzerkonten & Betrieb der Plattform: Für die Konto- und Anmeldedaten der AMS-Nutzer sowie den technischen Betrieb ist Werbungmacher selbst Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
• Verbundene Werbe-, Analyse- und Shop-Konten der Kunden: Diese Daten verarbeitet Werbungmacher im Auftrag und auf Weisung des jeweiligen Kunden als Auftragsverarbeiter (Art. 28 DSGVO). Verantwortlicher hierfür ist der Kunde. Grundlage ist der mit jedem Kunden geschlossene Auftragsverarbeitungsvertrag (AVV), der im Portal digital gezeichnet und revisionssicher protokolliert wird.

3. Zweck der Anwendung

Verbundene Werbe- und Shop-Konten der Kunden werden ausgewertet, um Kampagnen zu steuern, Auffälligkeiten zu erkennen und Berichte zu erstellen. Die Verarbeitung der Kundendaten erfolgt im Auftrag und auf Weisung des jeweiligen Kunden (Auftragsverarbeitung gemäß Art. 28 DSGVO).

4. Verarbeitete Daten

• Google-Konto-Daten (nach ausdrücklicher Freigabe durch den Kontoinhaber): Kennzahlen aus Google Ads, Google Analytics 4, Google Search Console, Google Tag Manager, Google Merchant Center und Google Business Profile — z.B. Kampagnen, Kosten, Klicks, Impressionen, Conversions, Sitzungen, Umsätze, Produkt- und Standortdaten.
• Meta-Konto-Daten (Facebook/Instagram Ads, nach Freigabe durch den Kontoinhaber): Werbe- und Leistungskennzahlen der verbundenen Werbekonten (z.B. Ausgaben, Reichweite, Klicks, Conversions).
• Shopify-Daten (nach Installation des Konnektors „WEMA"): aggregierte Bestell- und Produktdaten (Umsatz, Bestellanzahl, Produktanzahl). In der aktuellen Ausbaustufe werden keine personenbezogenen Kundendaten des Shops verarbeitet.
• Zugriffs-/Aktualisierungstoken der verbundenen Konten — ausschließlich AES-256-GCM-verschlüsselt gespeichert, niemals im Klartext.
• Konto-/Anmeldedaten der AMS-Nutzer (E-Mail, Name, Passwort als Hash, Rolle) sowie technische Protokolldaten (z.B. Zeitpunkt einer AVV-Zeichnung samt IP-Adresse als Nachweis in Textform gemäß § 126b BGB).

5. Nutzung von Google-Nutzerdaten (Limited Use)

Die Nutzung und Weitergabe von Informationen, die AMS von Google APIs erhält, unterliegt der Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen. Konkret: Daten aus Google-APIs werden ausschließlich zur Bereitstellung und Verbesserung der hier beschriebenen Funktionen (Verwaltung, Auswertung, Optimierung und Berichterstattung von Werbung) verwendet, nicht an Dritte übertragen (außer soweit zur Bereitstellung der Funktionen erforderlich, gesetzlich vorgeschrieben oder mit ausdrücklicher Einwilligung), nicht für Werbung verwendet und nicht von Menschen gelesen, außer mit Einwilligung, zu Sicherheitszwecken oder wenn gesetzlich vorgeschrieben.

6. KI-gestützte Auswertung

Zur Erstellung von Auswertungen und Handlungsempfehlungen nutzt AMS ein KI-Modell des Anbieters Google (Gemini). Die Verarbeitung erfolgt über Google Vertex AI in einer Rechenzentrumsregion innerhalb der EU (europe-west4, Niederlande); eine Übermittlung der KI-Eingaben in ein Drittland findet hierbei nicht statt. An die KI werden ausschließlich pseudonymisierte Kennzahlen und grobe Kontextdaten übergeben (z.B. PLZ/Stadt sowie B2B-Firmennamen). Es werden keine Privatnamen, Straßenangaben, E-Mail-Adressen oder besondere Datenkategorien an die KI übermittelt. Für Kunden, deren Firmenname einen Personenbezug aufweist (Einzelunternehmer) oder die einer besonderen Datenkategorie nach Art. 9 DSGVO zuzuordnen sind, gelten verschärfte Minimierungsmaßnahmen (kein Firmenname, keine sensiblen Merkmale an die KI).

7. Empfänger / Auftragsverarbeiter

Zur Bereitstellung der Funktionen setzen wir sorgfältig ausgewählte Dienstleister ein, die auf Grundlage von Verträgen zur Auftragsverarbeitung (Art. 28 DSGVO) bzw. eigener Verantwortlichkeit tätig werden:

• IONOS SE, Montabaur (Deutschland) — Server-Hosting/Infrastruktur. Die Verarbeitung und Speicherung erfolgt self-hosted auf einem Server in Deutschland (kein externes CDN).
• Google Ireland Ltd. / Google LLC — Bereitstellung der Werbe-, Analyse- und KI-APIs (Google Ads, GA4, Search Console, Tag Manager, Merchant Center, Business Profile, Gemini).
• Meta Platforms Ireland Ltd. — Bereitstellung der Werbe-APIs für Facebook/Instagram.
• Shopify International Ltd. — Bereitstellung der Shop-Schnittstelle (Konnektor „WEMA").

Eine darüber hinausgehende Weitergabe an Dritte erfolgt nur, soweit dies zur Bereitstellung der Funktionen erforderlich ist, eine gesetzliche Verpflichtung besteht oder eine ausdrückliche Einwilligung vorliegt.

8. Übermittlung in Drittländer

Soweit bei der Anbindung der Werbe- und Analysedienste von Google und Meta eine Übermittlung personenbezogener Daten in die USA stattfindet, stützen wir diese auf den Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework(Art. 45 DSGVO), soweit die jeweiligen Anbieter zertifiziert sind, und ergänzend auf Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) nebst geeigneter zusätzlicher Schutzmaßnahmen. Eine Übermittlung erfolgt nur im Rahmen der vom Kunden freigegebenen Verbindungen.

9. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die AMS-Nutzung.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) an effizienter Werbeverwaltung.
• Art. 28 DSGVO (Auftragsverarbeitung) für im Kundenauftrag verarbeitete Daten.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für gesetzliche Nachweis- und Aufbewahrungspflichten.

10. Cookies & lokale Speicherung

AMS setzt ausschließlich technisch notwendige Cookies zur Sitzungsverwaltung (Login, Mandantenauswahl, Schutz vor websiteübergreifender Anfragenfälschung). Diese sind für den Betrieb erforderlich (Art. 6 Abs. 1 lit. f DSGVO bzw. § 25 Abs. 2 Nr. 2 TDDDG) und werden ohne zusätzliche Einwilligung gesetzt. Es findet kein Tracking zu Werbe- oder Analysezwecken auf der AMS-Oberfläche selbst statt; Schriftarten werden self-hosted ausgeliefert.

11. Speicherort & Sicherheit

Die Verarbeitung und Speicherung erfolgt self-hosted auf einem Server in Deutschland (kein externes CDN). Tokens werden verschlüsselt abgelegt (AES-256-GCM); der Zugriff ist mandantengetrennt durch Row-Level-Security technisch durchgesetzt. Weitere technische und organisatorische Maßnahmen ergeben sich aus Art. 32 DSGVO.

12. Speicherdauer & Widerruf

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist. Im Einzelnen gelten folgende Fristen:

• Tracking-Ereignisse (pseudonym) und aggregierte Kennzahlen (KPIs) werden automatisch nach 4 Monaten gelöscht.
• Zugriffs-/Aktualisierungstoken verbundener Konten werden bei Widerruf einer Verbindung oder bei Beendigung des Mandats unverzüglich gelöscht.
• Konto-/Anmeldedaten der AMS-Nutzer werden für die Dauer des Mandats gespeichert und danach gelöscht.
• Berichte (Wochen- und Monatsberichte als PDF nebst pseudonymisierter Zusammenfassung) werden für die Dauer des Mandats vorgehalten und mit Beendigung des Mandats — zuzüglich eines angemessenen Nachlaufs — gelöscht.
• Protokoll-/Nachweisdaten (z.B. AVV-Zeichnung, sicherheitsrelevante Ereignisse) werden revisionssicher aufbewahrt, soweit dies zu Nachweiszwecken erforderlich ist.

Eine erteilte Verbindung kann jederzeit widerrufen werden — dabei werden die zugehörigen Tokens gelöscht und der Zugriff beendet. Nach Beendigung des Mandats werden die Daten gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten (z.B. § 147 AO) entgegenstehen; betroffene Daten werden bis zum Fristablauf gesperrt.

13. Betroffenenrechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) sowie das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Anfragen richten Sie an info@werbungmacher.de. Betreffen die Daten ein Kundenmandat (Auftragsverarbeitung), leiten wir Ihre Anfrage unverzüglich an den verantwortlichen Kunden weiter.

Ihnen steht zudem ein Beschwerderecht bei einer Aufsichtsbehörde zu. Die für uns zuständige Behörde ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Lautenschlagerstraße 20, 70173 Stuttgart.

14. Kontakt

Bei Fragen zum Datenschutz: info@werbungmacher.de

Stand: Juni 2026 · Startseite · AGB · Impressum