W
Wesponde
Legal

Datenschutzerklaerung

Hier erlaeutern wir, welche personenbezogenen Daten wir verarbeiten, zu welchem Zweck und welche Rechte du hast.

Zuletzt aktualisiert: 07.02.2026

Privacy Policy Summary (English)

Wesponde is a B2B SaaS platform that helps German service businesses automate customer conversations via Instagram Direct Messages, Facebook Messenger, and WhatsApp. We collect and process the following data from Meta platforms: Instagram/Facebook user profile information (user ID, username, profile picture), direct message content, page metadata, and engagement data. We use this data solely to provide automated conversation flows, manage reservations, and enable business-customer communication. We do not sell user data. We do not store or cache media files from Instagram CDN—we only reference Meta's CDN URLs temporarily during message processing. Users can request data deletion at any time by emailing wesponde@gmail.com or via our data deletion page. We comply with the Meta Platform Terms, Meta Developer Policies, and the GDPR.

Verantwortliche Stelle

Verantwortlich fuer die Datenverarbeitung ist:

Unternehmen
Wesponde (Einzelunternehmen, Inhaber: Kevin Santos)
Kontakt Datenschutz
wesponde@gmail.com
Anschrift
Kurzroederstrasse 26
60435 Frankfurt am Main
Deutschland

Kurzbeschreibung des Produkts

Wesponde ist eine SaaS-Plattform fuer Gastronomie- und Servicebetriebe. Wir automatisieren Social-Media-Konversationen (z. B. Instagram DMs, Facebook Messenger, WhatsApp), erfassen Reservierungen und senden Review-Follow-ups.

Welche Daten verarbeiten wir?

a) Daten unserer Nutzer (Geschaeftskunden)

  • Accountdaten (Name, E-Mail-Adresse, Login-Informationen)
  • Kontoinformationen und Mitgliedschaften (Rolle, Team-Zuordnung)
  • Integrationsdaten (Instagram-/Facebook-Page-IDs, OAuth-Tokens, Verbindungsstatus)
  • Erstellte Conversation-Flows (Nachrichten-Vorlagen, Trigger, Einstellungen)

b) Daten von Endkunden (Gaeste/Kunden der Geschaeftskunden)

  • Instagram-/Messenger-Profilinformationen (Benutzer-ID, Benutzername, Profilbild-URL)
  • Nachrichteninhalte aus Instagram DMs, Facebook Messenger und WhatsApp
  • Extrahierte Kontaktdaten (Name, Telefonnummer, E-Mail-Adresse — sofern im Gespraech angegeben)
  • Reservierungsdaten (Datum, Uhrzeit, Gaestezahl, Sonderwuensche)
  • Review-Daten (Bewertung, Feedback-Text, Google-Review-Status)

c) Technische Daten

  • Webhook-Logdaten (Zeitstempel, Event-Typ, Verarbeitungsstatus)
  • Systemlogs (Fehler, API-Anfragen, Performance-Daten)
  • Kanal-IDs und Nachrichten-IDs zur Zuordnung von Konversationen

Meta/Instagram — Datenverarbeitung im Detail

Zur Bereitstellung der DM-Automationen verbinden unsere Nutzer ihre Instagram-Business- oder Facebook-Page-Konten ueber die Meta APIs (OAuth 2.0). Dabei verarbeiten wir folgende Daten:

  • Instagram-/Facebook-Profildaten: Benutzer-ID, Benutzername, Profilbild-URL, Follower-Anzahl (ueber instagram_basic)
  • Seitenliste: Facebook-Pages des Nutzers zur Auswahl der Verbindung (ueber pages_show_list)
  • Nachrichten: Eingehende und ausgehende Instagram-DMs sowie Messenger-Nachrichten zur automatisierten Konversationsfuehrung (ueber instagram_manage_messages, instagram_business_manage_messages, pages_messaging)
  • Webhook-Events: Echtzeit-Benachrichtigungen ueber neue Nachrichten (ueber pages_manage_metadata)
  • Engagement-Daten: Seiten-Interaktionen und Insights (ueber pages_read_engagement)

Wichtig: Medien-Dateien (Bilder, Videos)

Wir speichern oder cachen keine Medien-Dateien von Instagram oder Facebook. Medien-Inhalte werden ausschliesslich ueber die CDN-URLs von Meta referenziert und nicht auf unseren Servern abgelegt. Diese URLs werden nur temporaer waehrend der Nachrichtenverarbeitung verwendet.

Zwecke der Verarbeitung

  • Bereitstellung der Plattform und ihrer Kernfunktionen (Conversation-Flows, Reservierungssystem)
  • Automatisierte Beantwortung von Kundennachrichten ueber Instagram DMs, Facebook Messenger und WhatsApp
  • Erfassung und Verwaltung von Reservierungen auf Basis der Konversationsdaten
  • Versand von Review-Anfragen nach abgeschlossenen Reservierungen
  • Qualitaetssicherung, Support und Fehleranalyse
  • Sicherheit, Missbrauchspruefung und Betrugsverhinderung

Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung — Bereitstellung unserer Dienste)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Sicherheit, Fehleranalyse, Produktverbesserung)
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — z. B. bei Verbindung des Instagram-Kontos)

Empfaenger und Dienstleister

  • Supabase Inc. (Datenbank, Authentifizierung) — Daten werden auf Servern in der EU/USA gespeichert
  • Vercel Inc. (Hosting der Webanwendung) — Edge-Server weltweit
  • Meta Platforms Inc. (Instagram Graph API, Messenger API) — Nachrichtenversand und -empfang

Wir setzen diese Anbieter als Auftragsverarbeiter ein, soweit erforderlich. Wir geben personenbezogene Daten nicht an sonstige Dritte weiter und verkaufen keine Nutzerdaten.

Drittlandtransfer

Bei der Nutzung von Meta, Supabase oder Vercel kann eine Datenuebertragung in Drittlaender (insbesondere USA) erfolgen. Wir stuetzen uns dabei auf das EU-US Data Privacy Framework sowie auf Standardvertragsklauseln gemaess Art. 46 Abs. 2 lit. c DSGVO.

Speicherdauer

  • Accountdaten: Bis zur Kontoloeschung durch den Nutzer
  • Nachrichten und Konversationen: 90 Tage oder bis zur Loeschung durch den Geschaeftskunden
  • Reservierungsdaten: Bis zu 2 Jahre (gesetzliche Aufbewahrungspflichten)
  • OAuth-Tokens: Bis zum Widerruf der Verbindung oder Token-Ablauf (max. 60 Tage fuer Long-Lived Tokens)
  • Systemlogs: Bis zu 90 Tage
  • Review-Daten: Bis zu 12 Monate

Widerruf der Meta-Verbindung

Nutzer koennen die Verbindung zu Instagram/Facebook jederzeit in den Kontoeinstellungen der Wesponde-App trennen. Bei Trennung der Verbindung:

  • Werden OAuth-Tokens sofort geloescht
  • Werden keine weiteren Nachrichten ueber die Meta APIs empfangen oder gesendet
  • Bleiben bestehende Konversations- und Reservierungsdaten erhalten, bis der Nutzer deren Loeschung beantragt

Nutzer koennen die Berechtigung zusaetzlich direkt in den Facebook-/Instagram-Einstellungen unter "Apps und Websites" widerrufen.

Deine Rechte

Du hast gemaess DSGVO folgende Rechte bezueglich deiner personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO) — Welche Daten wir ueber dich gespeichert haben
  • Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
  • Loeschung (Art. 17 DSGVO) — Loeschung deiner Daten
  • Einschraenkung der Verarbeitung (Art. 18 DSGVO)
  • Datenuebertragbarkeit (Art. 20 DSGVO) — Export deiner Daten in einem gaengigen Format
  • Widerspruch gegen Verarbeitung (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehoerde (Art. 77 DSGVO)

Zur Ausuebung deiner Rechte kontaktiere uns unter wesponde@gmail.com. Wir antworten innerhalb von 30 Tagen.

Datenloeschung (Data Deletion)

Du kannst die Loeschung deiner Daten auf folgenden Wegen beantragen:

  • Per E-Mail: Sende eine Anfrage an wesponde@gmail.com
  • Ueber unsere Plattform: In den Kontoeinstellungen unter "Konto loeschen"
  • Meta Data Deletion Callback: Wenn du die Wesponde-App in deinen Facebook-/Instagram-Einstellungen entfernst, erhalten wir automatisch eine Loeschanfrage von Meta

Bei einer Loeschanfrage entfernen wir innerhalb von 30 Tagen alle personenbezogenen Daten, einschliesslich: Kontoeinstellungen, Integrationsdaten, Konversationen, Reservierungen, Review-Daten und Logs. Daten, die aufgrund gesetzlicher Aufbewahrungspflichten bestehen bleiben muessen, werden gesperrt und nach Ablauf der Frist geloescht.

Weitere Informationen: wesponde.com/data-deletion

Datensicherheit

  • Verschluesselung bei Uebertragung: Alle Daten werden ueber TLS 1.2+ (HTTPS) uebertragen
  • Verschluesselung im Ruhezustand: Datenbank-Verschluesselung ueber Supabase (AES-256)
  • Zugriffskontrolle: Row Level Security (RLS) auf Datenbankebene, rollenbasierte Zugriffskontrolle in der Anwendung
  • Authentifizierung: Sichere Session-Verwaltung ueber Supabase Auth mit serverseitiger Token-Validierung
  • Webhook-Sicherheit: HMAC-SHA256-Signaturpruefung fuer alle eingehenden Meta-Webhooks
  • OAuth-Sicherheit: CSRF-Schutz ueber State-Parameter, PKCE fuer Authentifizierungs-Flows

Compliance und Plattform-Richtlinien

Wesponde haelt sich an folgende Richtlinien und Vorschriften: