← Zurück zum Login

Datenschutzerklärung

Diese Datenschutzerklärung gilt für die Nutzung des Avui Studio (im Folgenden „CMS") unter der Domain cms.avui.io. Sie ergänzt die allgemeine Datenschutzerklärung von avui.io (avui.io/datenschutz) um die spezifischen Verarbeitungen, die in diesem geschlossenen Benutzerbereich stattfinden.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Rahmen des CMS ist:

Tjade Liedtke / avui.io
Alarichstraße 24
44803 Bochum, Deutschland
E-Mail: info@avui.io
Telefon: +49 160 92803933

2. Hinweis: Auftragsverarbeitung für unsere Kunden

Sofern Sie als Kunde oder Mitarbeiter eines Kunden Inhalte einer von uns betreuten Website über das CMS bearbeiten, verarbeiten wir die dabei eingegebenen Inhalte (z. B. Texte, Bilder, Blogbeiträge) in Ihrem Auftrag im Sinne des Art. 28 DSGVO. Für diese Inhaltsdaten sind Sie der Verantwortliche im Sinne der DSGVO; wir agieren als Auftragsverarbeiter. Auf Wunsch schließen wir mit Ihnen einen entsprechenden Auftragsverarbeitungsvertrag (AVV).

Für die Nutzung des CMS selbst (Anmeldung, Sessions, Nutzungs-Logs, Token-Budgets, Support-Tickets) sind wir der Verantwortliche. Diese Datenschutzerklärung beschreibt diesen Bereich.

3. Hosting

Das CMS wird gehostet bei:

1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland.
Datenschutz: ionos.de/terms-gtc/datenschutzerklaerung

Die Server stehen in Deutschland bzw. der EU. Mit IONOS besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sichere Bereitstellung des Dienstes).

4. Server-Logfiles

Beim Aufruf des CMS werden durch den Hosting-Anbieter automatisch Server-Logfiles erfasst (IP-Adresse, Datum/Uhrzeit, Browsertyp, Betriebssystem, Referrer-URL, abgerufene Ressource, HTTP-Statuscode). Diese Daten sind technisch erforderlich und werden in der Regel nach spätestens 14 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

5. SSL-/TLS-Verschlüsselung

Die gesamte Verbindung zum CMS erfolgt verschlüsselt über HTTPS (SSL/TLS). Dies schützt Ihre Anmeldedaten und alle Inhalte, die Sie eingeben, gegen Mitlesen durch Dritte.

6. Account- und Nutzungsdaten

6.1 Stammdaten Ihres Zugangs

Zur Bereitstellung Ihres Zugangs verarbeiten wir die folgenden Daten:

  • Benutzername
  • E-Mail-Adresse
  • Passwort (ausschließlich als sicherer Bcrypt-Hash gespeichert)
  • Vollständiger Name und/oder Unternehmensname
  • Rolle (z. B. Kunden-Admin, Mitarbeiter eines Kunden)
  • Zugehörigkeit zu einem Mandanten/Kunden (intern als „parent_user_id")
  • Berechtigungsstufe (z. B. Text-/Bild-Bearbeitung oder zusätzlich Abschnitte)
  • Optional: hinterlegtes Logo und Primärfarbe für die personalisierte Oberfläche
  • Status (aktiv/inaktiv) und Zeitpunkt der letzten Anmeldung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Nutzungsvertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb des Dienstes).

6.2 Sessions und technische Cookies

Nach erfolgreicher Anmeldung wird in Ihrem Browser ein technisch notwendiges Session-Cookie (PHPSESSID) gesetzt. Es dient ausschließlich dazu, Sie während Ihrer Sitzung wiederzuerkennen. Die Session wird nach 30 Minuten Inaktivität automatisch beendet. Eine Einwilligung ist hierfür gemäß § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich.

6.3 Aktivitäts- und Nutzungs-Logs

Während der Nutzung des CMS protokollieren wir bestimmte Vorgänge, um den Dienst zuverlässig betreiben zu können:

  • Änderungs-Log (change_log): Welche Art von Änderung wurde wann durch welchen Nutzer auf welcher Seite vorgenommen. Zweck: Nachvollziehbarkeit, Rückfragen, Missbrauchsschutz.
  • Token-Verbrauch (token_usage): Anzahl der für KI-Funktionen verbrauchten Tokens je Nutzer und je Anfrage. Zweck: Verbrauchs-Kontrolle, Abrechnung des wöchentlichen Token-Budgets, Kostentransparenz.
  • Fehler-Log (error_log): Technische Fehler-Ereignisse zur Wartung des Systems.
  • Letzte Anmeldung: Zeitstempel der letzten erfolgreichen Anmeldung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen und missbrauchsfreien Betrieb).

7. Support-Tickets und Anhänge

Wenn Sie über das CMS ein Support-Ticket erstellen, speichern wir den Betreff, den Inhalt Ihrer Nachricht, einen Status (offen / geschlossen) sowie ggf. von Ihnen hochgeladene Anhänge. Diese Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage genutzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

8. Bild-Uploads

Über das CMS hochgeladene Bilder werden in einem nach Nutzer-ID isolierten Verzeichnis auf unserem Server (IONOS) abgelegt. Die Auslieferung zu Anzeigezwecken kann über die Subdomain cms.avui.io erfolgen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. (für Inhaltsdaten unserer Kunden) Auftragsverarbeitung gemäß Art. 28 DSGVO.

9. Hinterlegte Zugangsdaten zu Ihren Systemen

Für die Veröffentlichung von Änderungen auf Ihrer Website können Sie im CMS Zugangsdaten zu Ihrem GitHub-Repository und/oder FTP-Server hinterlegen. Diese Zugangsdaten (GitHub-Token, FTP-Passwort) werden ausschließlich verschlüsselt in unserer Datenbank gespeichert (AES-256-GCM) und nur für den von Ihnen ausgelösten Deploy-Vorgang entschlüsselt verwendet. Sie können die hinterlegten Zugangsdaten jederzeit aktualisieren oder löschen.

10. Eingesetzte Drittanbieter (Auftragsverarbeiter)

10.1 Anthropic, PBC (Claude API)

Für die KI-gestützten Funktionen des CMS (z. B. Generierung von Seitenabschnitten, CSS-Generierung) übermitteln wir die jeweiligen Eingaben (Ihre Prompts und ggf. Auszüge der zu bearbeitenden Seite) an die Claude-API von:

Anthropic, PBC, 548 Market St, PMB 90375, San Francisco, CA 94104, USA.
Datenschutz: anthropic.com/legal/privacy

Anthropic verarbeitet die übermittelten Daten ausschließlich zur Erbringung der API-Antwort und nutzt sie nach eigenen Angaben nicht zum Training der eigenen Modelle. Mit Anthropic stützen wir den Datentransfer auf die EU-Standardvertrags­klauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erbringung der KI-Funktion) bzw. Art. 6 Abs. 1 lit. f DSGVO.

10.2 Brevo (E-Mail-Versand für Passwort-Reset)

Wenn Sie die Funktion „Passwort vergessen" nutzen, wird eine E-Mail mit einem Reset-Link über den E-Mail-Dienstleister Brevo versendet:

Sendinblue GmbH / Brevo, Köpenicker Straße 126, 10179 Berlin, Deutschland (Konzernsitz: Brevo SAS, 106 boulevard Haussmann, 75008 Paris, Frankreich).
Datenschutz: brevo.com/de/legal/privacypolicy

Übermittelt werden Ihre E-Mail-Adresse und der Inhalt der Reset-Mail. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

10.3 GitHub, Inc. (Deploy-Schnittstelle, optional)

Soweit Sie als Veröffentlichungsmethode GitHub konfiguriert haben, kommuniziert das CMS über die GitHub-API mit:

GitHub, Inc., 88 Colin P. Kelly Jr. Street, San Francisco, CA 94107, USA.
Datenschutz: docs.github.com/.../github-general-privacy-statement

Übermittelt werden ausschließlich die für das Veröffentlichen erforderlichen Daten (Repository, Dateipfad, Dateiinhalt, Authentifizierungs-Token). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

10.4 jsDelivr CDN (TinyMCE und SortableJS)

Im Editor laden wir zwei JavaScript-Bibliotheken (TinyMCE 7 für die Blog-Bearbeitung, SortableJS für sortierbare Listen) zur Laufzeit über das öffentliche CDN cdn.jsdelivr.net. Betreiber: Prospect One sp. z o.o., Krakau, Polen (Auslieferung über Cloudflare/Fastly). Datenschutz: jsdelivr.com/terms/privacy-policy-jsdelivr-net.

Beim Laden dieser Dateien wird Ihre IP-Adresse technisch an das CDN übermittelt. Eine darüber hinausgehende Verarbeitung (Profilbildung, Tracking) findet nach Angaben des Anbieters nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (effiziente Bereitstellung des Editors). Soweit eine Übertragung in Drittländer (z. B. USA über Cloudflare-Edges) erfolgt, stützen wir diese auf die EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

11. Cookies und lokaler Speicher

Wir setzen ausschließlich technisch notwendige Speichervorgänge ein:

  • PHPSESSID – Session-Cookie nach erfolgreicher Anmeldung (siehe Ziffer 6.2).
  • Ggf. vom Browser für die TinyMCE-Editor-Komponente verwaltete lokale Einstellungen (rein clientseitig, keine Übertragung an uns oder Dritte).

Es werden keine Tracking-, Werbe- oder Analyse-Cookies eingesetzt. Eine Einwilligung ist gemäß § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich.

12. Speicherdauer

  • Account-Stammdaten: für die Dauer Ihres aktiven Zugangs. Nach Beendigung des Nutzungsverhältnisses werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (insb. §§ 147 AO, 257 HGB) entgegenstehen.
  • Aktivitäts- und Token-Logs: in der Regel maximal 12 Monate ab Entstehung, sofern nicht ein konkretes Sicherheits- oder Abrechnungsinteresse eine längere Aufbewahrung erforderlich macht.
  • Support-Tickets und Anhänge: bis zur Klärung der Anfrage und anschließend gemäß den gesetzlichen Aufbewahrungspflichten.
  • Passwort-Reset-Tokens: spätestens nach Ablauf des Tokens (typischerweise innerhalb von 24 Stunden) bzw. nach erfolgreicher Nutzung.
  • Server-Logfiles: in der Regel maximal 14 Tage (siehe Ziffer 4).
  • Inhalte, die Sie als Verantwortlicher in das CMS eingeben (Texte, Bilder, Blogbeiträge): bis zur Löschung durch Sie bzw. bis zur Beendigung des Auftragsverarbeitungs-Verhältnisses.

13. Ihre Rechte

Sie haben uns gegenüber jederzeit folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an info@avui.io.

14. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für uns zuständig ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2–4
40213 Düsseldorf
www.ldi.nrw.de

15. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO findet nicht statt. KI-Funktionen des CMS dienen ausschließlich der inhaltlichen Unterstützung und werden stets durch eine manuelle Freigabe des Nutzers ergänzt.

16. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Mai 2026. Durch die Weiterentwicklung des CMS oder aufgrund geänderter gesetzlicher Vorgaben kann eine Anpassung erforderlich werden. Die jeweils aktuelle Fassung ist jederzeit auf dieser Seite abrufbar.

Stand: Mai 2026