Stand: 29. Juni 2026
Sodalytics erbringt Social-Media-Analytics-Dienstleistungen für Marken und Creator. Dieser Hinweis informiert nach Art. 13 und Art. 14 DSGVO darüber, wie wir dabei personenbezogene Daten verarbeiten. Er richtet sich an:
Für Besucher unserer Website gilt unsere gesonderte Datenschutzerklärung für die Website.
Björn Rohwer (Medienbüro Björn Rohwer), handelnd unter Sodalytics
Geisbergstraße 41
10777 Berlin, Deutschland
E-Mail: privacy@sodalytics.com
Je nach Verarbeitung handeln wir in unterschiedlichen Rollen:
Als Auftragsverarbeiter (Art. 28 DSGVO) verarbeiten wir Daten aus den eigenen Social-Media-Konten unserer Kunden (z. B. über die offiziellen Schnittstellen von Meta und TikTok). Hier ist der jeweilige Kunde Verantwortlicher; Grundlage ist ein Auftragsverarbeitungsvertrag (AVV) mit dem Kunden. Für diese Verarbeitung gelten ergänzend die Datenschutzhinweise des jeweiligen Kunden.
Als Verantwortlicher verarbeiten wir:
Kategorien: Name, geschäftliche E-Mail-Adresse, Funktion/Rolle, Unternehmen, Kommunikationsinhalte. Quelle: direkt vom Kunden bzw. von Ihnen selbst. Zwecke: Vertragsanbahnung und -durchführung, Projektkommunikation, Übermittlung von Reports. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), bei Ansprechpartnern juristischer Personen unser berechtigtes Interesse an der Kommunikation mit Kundenorganisationen (Art. 6 Abs. 1 lit. f DSGVO). Speicherdauer: Dauer der Geschäftsbeziehung zuzüglich gesetzlicher Aufbewahrungsfristen (insbesondere aus Handels- und Steuerrecht).
Zur Anbindung der Kundenkonten an die offiziellen Plattform-Schnittstellen speichern wir OAuth-Tokens. Diese werden verschlüsselt gespeichert, ausschließlich für den vereinbarten Datenabruf verwendet und bei Vertragsende oder auf Widerruf der Verknüpfung gelöscht bzw. invalidiert. Passwörter unserer Kunden erheben und speichern wir nicht. Diese Verarbeitung erfolgt als Auftragsverarbeiter auf Weisung des Kunden.
Kategorien: öffentlich einsehbare Profil- und Inhaltsdaten von Social-Media-Konten (z. B. Kontoname, veröffentlichte Beiträge, öffentliche Kennzahlen wie Follower- und Interaktionszahlen). Soweit es sich um Konten von Einzelpersonen (z. B. Creator) handelt, sind dies personenbezogene Daten. Quelle: öffentlich zugängliche Bereiche der jeweiligen Plattformen, teilweise erhoben über technische Dienstleister (siehe Ziffer 8). Zwecke: Wettbewerbs- und Marktanalysen im Auftrag unserer Kunden (z. B. Benchmarking, Format- und Trendanalysen). Rechtsgrundlage: unser berechtigtes Interesse sowie das unserer Kunden an der Analyse öffentlich verfügbarer Marktinformationen (Art. 6 Abs. 1 lit. f DSGVO). Wir verarbeiten ausschließlich Daten, die die betroffenen Personen selbst öffentlich zugänglich gemacht haben, und beschränken uns auf geschäftlich bzw. öffentlich ausgerichtete Konten. Speicherdauer: für die Dauer des jeweiligen Analyseprojekts bzw. des Monitoring-Auftrags; danach Löschung oder Aggregation, vorbehaltlich der Aufbewahrung fertiger Reports.
Information nach Art. 14 DSGVO: Da wir diese Daten nicht bei den betroffenen Personen selbst erheben und eine individuelle Benachrichtigung der Vielzahl betroffener Kontoinhaber einen unverhältnismäßigen Aufwand darstellen würde (Art. 14 Abs. 5 lit. b DSGVO), informieren wir hiermit öffentlich über diese Verarbeitung. Betroffene können sich jederzeit an privacy@sodalytics.com wenden.
Kategorien: öffentliche Kommentare und Reaktionen unter analysierten Beiträgen (z. B. auf LinkedIn), einschließlich Anzeigename und Kommentarinhalt. Quelle: öffentlich zugängliche Bereiche der jeweiligen Plattform. Zwecke: aggregierte Auswertung von Resonanz, Stimmungsbild und Themen („Was kommt an?") für unsere Kunden. In unseren Reports werden Kommentare grundsätzlich aggregiert oder ohne Namensnennung dargestellt; wir erstellen keine Profile einzelner Kommentierender und nutzen die Daten nicht zur Kontaktaufnahme. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse öffentlicher Resonanz auf öffentliche Inhalte). Die Information der betroffenen Personen erfolgt entsprechend Ziffer 5 über diesen öffentlichen Hinweis (Art. 14 Abs. 5 lit. b DSGVO). Speicherdauer: für die Dauer der jeweiligen Analyse; Rohdaten werden anschließend gelöscht oder aggregiert.
Wir verarbeiten gezielt keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO). Sollten solche Daten in öffentlichen Inhalten enthalten sein (z. B. in Kommentaren), werden sie nicht ausgewertet und nicht in Reports übernommen.
| Dienstleister | Zweck | Sitz / Verarbeitungsort |
|---|---|---|
| Supabase, Inc. | Datenbank-Hosting | EU (Frankfurt); US-Mutterkonzern — Standardvertragsklauseln |
| Hetzner Online GmbH | Server-Infrastruktur | Deutschland |
| Cloudflare, Inc. (R2) | Datei-Speicher | EU-Region; US-Anbieter — EU-US DPF / Standardvertragsklauseln |
| Apify Technologies s.r.o. | Erhebung öffentlicher Plattformdaten | Tschechien (EU) |
| Anthropic, PBC | KI-gestützte Analyseunterstützung | USA — EU-US DPF |
| OpenAI, L.L.C. | KI-gestützte Analyseunterstützung | USA — EU-US DPF |
| Google (Gemini) | KI-gestützte Analyseunterstützung | USA/EU — EU-US DPF |
Empfänger der Analyseergebnisse ist der jeweils beauftragende Kunde. Eine Weitergabe an sonstige Dritte erfolgt nur bei gesetzlicher Verpflichtung.
Die Speicherung und Verarbeitung erfolgt grundsätzlich auf Servern in der EU. Für die KI-gestützte Analyseunterstützung setzen wir Dienste von Anthropic, OpenAI und Google ein, die Daten in den USA verarbeiten können; auch bei Supabase und Cloudflare kann aufgrund der US-Konzernstruktur ein Drittlandbezug bestehen. Übermittlungen stützen wir auf das EU-US Data Privacy Framework, soweit der jeweilige Anbieter zertifiziert ist, sowie ergänzend auf Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
An die KI-Anbieter übermitteln wir nur die für die jeweilige Analyse erforderlichen Inhalte. Eine Nutzung der übermittelten Daten zum Training der KI-Modelle ist nach den von uns genutzten Vertragsbedingungen (API- bzw. Business-Tarife) ausgeschlossen.
Sie haben die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO).
Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit der Verarbeitung Sie betreffender personenbezogener Daten zu widersprechen, die auf Art. 6 Abs. 1 lit. f DSGVO beruht. Dies betrifft insbesondere die in Ziffern 5 und 6 beschriebenen Verarbeitungen. Im Falle eines Widerspruchs verarbeiten wir Ihre Daten nicht mehr, es sei denn, es liegen zwingende schutzwürdige Gründe vor.
Zur Ausübung Ihrer Rechte genügt eine E-Mail an privacy@sodalytics.com. Betrifft Ihr Anliegen Daten, die wir als Auftragsverarbeiter für einen Kunden verarbeiten, leiten wir es an den verantwortlichen Kunden weiter und unterstützen die Bearbeitung. Daneben besteht das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.
Löschung von Plattformdaten: Sie können die Verknüpfung Ihrer Konten mit Sodalytics zudem jederzeit direkt in den Einstellungen Ihres Meta- bzw. TikTok-Kontos widerrufen; zugehörige Daten werden anschließend gelöscht bzw. invalidiert (siehe Ziffer 4).
Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO findet nicht statt. Analytische Auswertungen werden stets durch Menschen geprüft und kuratiert.
Wir passen diesen Hinweis an, wenn sich unsere Verarbeitungen oder die Rechtslage ändern. Es gilt die jeweils veröffentlichte Fassung.
Dieser Hinweis liegt in deutscher und englischer Sprache vor. Bei Abweichungen ist die deutsche Fassung maßgeblich.
Last updated: 29 June 2026
Sodalytics provides social media analytics services to brands and creators. This notice explains, in accordance with Art. 13 and Art. 14 GDPR, how we process personal data in doing so. It is addressed to:
For visitors to our website, our separate Website Privacy Policy applies.
Björn Rohwer (Medienbüro Björn Rohwer), trading as Sodalytics
Geisbergstraße 41
10777 Berlin, Germany
Email: privacy@sodalytics.com
Depending on the processing, we act in different roles:
As a processor (Art. 28 GDPR), we process data from our clients' own social media accounts (e.g., via the official Meta and TikTok APIs). Here, the respective client is the controller; the basis is a data processing agreement (DPA) with the client. The client's own privacy notices apply in addition to this processing.
As a controller, we process:
Categories: name, business email address, role, company, communication content. Source: directly from the client or from you. Purposes: contract initiation and performance, project communication, delivery of reports. Legal basis: Art. 6(1)(b) GDPR (contract); for contact persons of legal entities, our legitimate interest in communicating with client organizations (Art. 6(1)(f) GDPR). Retention: duration of the business relationship plus statutory retention periods (in particular under commercial and tax law).
To connect client accounts to the official platform APIs, we store OAuth tokens. These are stored in encrypted form, used exclusively for the agreed data retrieval, and deleted or invalidated when the engagement ends or the connection is revoked. We do not collect or store our clients' passwords. This processing is carried out as a processor on the client's instructions.
Categories: publicly visible profile and content data of social media accounts (e.g., account name, published posts, public metrics such as follower and engagement figures). Where accounts belong to individuals (e.g., creators), this constitutes personal data. Source: publicly accessible areas of the respective platforms, partly collected via technical service providers (see section 8). Purposes: competitive and market analyses on behalf of our clients (e.g., benchmarking, format and trend analyses). Legal basis: our legitimate interest, and that of our clients, in analyzing publicly available market information (Art. 6(1)(f) GDPR). We process only data that the individuals concerned have themselves made publicly accessible, and we limit ourselves to business-oriented or publicly oriented accounts. Retention: for the duration of the respective analysis project or monitoring engagement; thereafter deletion or aggregation, subject to retention of completed reports.
Information under Art. 14 GDPR: Since we do not collect this data from the individuals concerned and individually notifying the large number of affected account operators would involve disproportionate effort (Art. 14(5)(b) GDPR), we provide this information publicly through this notice. Affected individuals can contact us at any time at privacy@sodalytics.com.
Categories: public comments and reactions under analyzed posts (e.g., on LinkedIn), including display name and comment content. Source: publicly accessible areas of the respective platform. Purposes: aggregated analysis of resonance, sentiment, and themes ("what resonates?") for our clients. In our reports, comments are presented in aggregated form or without names as a matter of principle; we do not create profiles of individual commenters and do not use the data to contact anyone. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in analyzing public responses to public content). Individuals are informed in accordance with section 5 through this public notice (Art. 14(5)(b) GDPR). Retention: for the duration of the respective analysis; raw data is subsequently deleted or aggregated.
We do not deliberately process special categories of personal data (Art. 9 GDPR). Where such data appears in public content (e.g., in comments), it is not evaluated and not included in reports.
| Provider | Purpose | Location / place of processing |
|---|---|---|
| Supabase, Inc. | Database hosting | EU (Frankfurt); US parent company — standard contractual clauses |
| Hetzner Online GmbH | Server infrastructure | Germany |
| Cloudflare, Inc. (R2) | File storage | EU region; US provider — EU-US DPF / standard contractual clauses |
| Apify Technologies s.r.o. | Collection of public platform data | Czech Republic (EU) |
| Anthropic, PBC | AI-assisted analysis support | USA — EU-US DPF |
| OpenAI, L.L.C. | AI-assisted analysis support | USA — EU-US DPF |
| Google (Gemini) | AI-assisted analysis support | USA/EU — EU-US DPF |
The recipient of analysis results is the commissioning client. Data is disclosed to other third parties only where legally required.
Storage and processing generally take place on servers within the EU. For AI-assisted analysis support, we use services from Anthropic, OpenAI, and Google, which may process data in the USA; Supabase and Cloudflare may also involve a third-country element due to their US corporate structure. We base such transfers on the EU-US Data Privacy Framework, where the respective provider is certified, and additionally on standard contractual clauses (Art. 46(2)(c) GDPR).
We transmit to the AI providers only the content required for the respective analysis. Use of the transmitted data for training the AI models is excluded under the contractual terms we use (API/business tiers).
You have the rights to access (Art. 15), rectification (Art. 16), erasure (Art. 17), restriction of processing (Art. 18), data portability (Art. 20), and withdrawal of consent (Art. 7(3) GDPR).
Right to object (Art. 21 GDPR): You have the right to object at any time, on grounds relating to your particular situation, to processing of personal data concerning you that is based on Art. 6(1)(f) GDPR. This applies in particular to the processing described in sections 5 and 6. If you object, we will no longer process your data unless compelling legitimate grounds exist.
To exercise your rights, simply email privacy@sodalytics.com. If your request concerns data we process as a processor on behalf of a client, we will forward it to the responsible client and support its handling. You also have the right to lodge a complaint with a data protection supervisory authority.
Deletion of platform data: You can also revoke the connection of your accounts to Sodalytics at any time directly in your Meta or TikTok account settings; associated data is then deleted or invalidated (see section 4).
No automated decision-making with legal effect within the meaning of Art. 22 GDPR takes place. Analytical outputs are always reviewed and curated by humans.
We update this notice when our processing activities or the legal situation change. The version published at the relevant time applies.
This notice is available in German and English. In the event of discrepancies, the German version prevails.