carliLogin

Datenschutzerklärung

Stand: 20. März 2026

1. Verantwortlicher

Paul & Romi GmbH
Ravensberger Straße 14
33602 Bielefeld
Deutschland

Geschäftsführer: Jannik Diekmann
Telefon: 0151 10041543
E-Mail: hello@getcarli.io
Sicherheit: security@getcarli.io
Unternehmen: info@paulromi.com
Website: www.getcarli.io

Handelsregister: Amtsgericht Bielefeld, HRB 43792
USt-IdNr.: DE329558619

2. Übersicht der Datenverarbeitung

Carli (erreichbar unter getcarli.io) ist ein MCP-nativer Marketing-Autopilot für E-Commerce, betrieben von der Paul & Romi GmbH. Die Plattform verbindet Google Ads, Meta Ads und Shopify, um Nutzern datenbasierte Optimierungsvorschläge zu liefern. Alle Optimierungen erfordern eine explizite Freigabe durch den Nutzer (Approval-Modus). Es werden keine automatischen Änderungen an Kampagnen, Budgets oder Produktdaten ohne Bestätigung des Nutzers vorgenommen.

3. Welche Daten wir erheben

3.1 Bestandsdaten (bei Registrierung)

  • E-Mail-Adresse
  • Name (optional)
  • Unternehmensinformationen (optional)
  • Passwort (gehasht gespeichert über Supabase Auth, bcrypt)

3.2 Verbundene Plattform-Daten

Bei der Verbindung von Werbekonten und Shopify speichern wir:

  • OAuth Access Tokens und Refresh Tokens (AES-256-GCM verschlüsselt)
  • Plattform-Kontokennung (z.B. Shopify-Shop-Domain, Ad-Account-ID)
  • Verbindungsstatus und Berechtigungsumfang (Scopes)

Wichtig: Wir speichern keine personenbezogenen Endkundendaten aus Ihrem Shopify-Shop. Carli verarbeitet nur aggregierte Kennzahlen (Umsatz, Bestellungen, Bestandsänderungen) und speichert keine Namen, Adressen oder E-Mail-Adressen Ihrer Endkunden.

3.3 Nutzungsdaten

  • IP-Adresse (nur in Server-Logs, automatisch nach 30 Tagen gelöscht)
  • Browser-Typ und Geräteinformationen
  • Zeitpunkt und Art der Nutzung (z.B. Audit-Ausführungen, Kampagnen-Deployments)
  • Referrer-URL

3.4 Zahlungsdaten

Die Zahlungsabwicklung erfolgt über Stripe. Wir speichern keine Kreditkartennummern oder Bankdaten. Stripe verarbeitet diese Daten als eigenständiger Verantwortlicher gemäß seiner eigenen Datenschutzrichtlinie.

4. Rechtsgrundlagen (Art. 6 DSGVO)

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Verarbeitung der Kontodaten, Plattform-Tokens und Kampagnendaten zur Bereitstellung unseres Dienstes Carli.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Server-Logs zur Gewährleistung der IT-Sicherheit und Stabilität, Nutzungsanalysen zur Verbesserung unserer Plattform.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Soweit zusätzliche Cookies oder Tracking-Dienste eingesetzt werden. Die Einwilligung kann jederzeit widerrufen werden.
  • Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Rechnungsdaten gemäß handels- und steuerrechtlicher Vorschriften.

5. Cookies und Tracking

Unsere Website verwendet technisch notwendige Cookies, die für den Betrieb der Plattform erforderlich sind (z.B. Session-Cookies, Authentifizierungs-Cookies). Diese Cookies werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gesetzt.

Wir setzen derzeit keine Analyse- oder Marketing-Cookies ein. Sollte sich dies ändern, werden wir Sie vor deren Einsatz um Ihre Einwilligung bitten.

6. Sicherheitsmaßnahmen

  • Verschlüsselung: Alle OAuth-Tokens werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert.
  • Transport: Sämtliche Kommunikation erfolgt über TLS 1.2+ (HTTPS).
  • Zugriffskontrolle: Row Level Security (RLS) in der Datenbank stellt sicher, dass Nutzer nur auf eigene Daten zugreifen können.
  • HMAC-Verifizierung: Alle Shopify-Webhooks werden mittels HMAC-SHA256 verifiziert.
  • Infrastruktur: Vercel (Frontend) und Fly.io Frankfurt (Backend) — Datenverarbeitung innerhalb der EU.
  • Approval-Modus: Keine automatischen Aktionen — jede Änderung an Kampagnen oder Budgets erfordert die explizite Nutzerfreigabe.
  • Passwort-Hashing: Passwörter werden über Supabase Auth mit bcrypt gehasht und niemals im Klartext gespeichert.

7. Auftragsverarbeiter und Drittdienste

Wir setzen folgende Auftragsverarbeiter ein, mit denen entsprechende Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen wurden:

DienstZweckStandort
Supabase (AWS eu-central-1)Authentifizierung, Datenbank, Row Level SecurityFrankfurt, DE
VercelFrontend-Hosting, Edge FunctionsEU / Edge
Fly.ioMCP-Server (Backend)Frankfurt, DE
StripeZahlungsabwicklung, Abo-VerwaltungEU
CloudflareDNS, DDoS-Schutz, CDNGlobal / EU
ResendTransaktionale E-Mails, KPI-BriefingsEU
Anthropic (Claude)KI-Verarbeitung für Kampagnen-AnalyseUSA (SCCs)

Soweit Daten an Auftragsverarbeiter außerhalb des EWR übermittelt werden (z.B. Anthropic, USA), erfolgt dies auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

8. Datenweitergabe an Dritte

Wir geben personenbezogene Daten nicht an Dritte weiter, es sei denn:

  • Sie haben ausdrücklich eingewilligt (Art. 6 Abs. 1 lit. a DSGVO),
  • die Weitergabe ist zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO),
  • eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO), oder
  • die Weitergabe zur Wahrung berechtigter Interessen erforderlich ist und kein Grund zur Annahme besteht, dass Ihr überwiegendes schutzwürdiges Interesse an der Nichtweitergabe überwiegt (Art. 6 Abs. 1 lit. f DSGVO).

9. Speicherdauer

  • Kontodaten: Solange Ihr Konto aktiv ist. Bei Kontolöschung werden alle Daten innerhalb von 30 Tagen vollständig gelöscht.
  • OAuth-Tokens: Werden sofort bei Trennung der Verbindung unwiderruflich gelöscht.
  • Server-Logs: Automatisch nach 30 Tagen gelöscht.
  • Abrechnungsdaten: Gemäß gesetzlicher Aufbewahrungspflichten (6 Jahre gem. § 257 HGB bzw. 10 Jahre gem. § 147 AO).
  • Kampagnendaten: Werden bei Kontolöschung oder Trennung der Plattform-Verbindung gelöscht.

10. Ihre Rechte (Art. 15–21 DSGVO)

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung Ihrer Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen, soweit die Verarbeitung auf berechtigtem Interesse beruht.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine einmal erteilte Einwilligung jederzeit widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: hello@getcarli.io

11. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestr. 2–4
40213 Düsseldorf
Website: www.ldi.nrw.de

12. Hosting und Content Delivery

Diese Website wird bei Vercel Inc. gehostet. Der MCP-Server läuft auf Fly.io in der Region Frankfurt (EU). Beim Besuch unserer Website erfasst der Hosting-Anbieter automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch übermittelt. Diese umfassen IP-Adresse, Browsertyp und -version, Betriebssystem, Referrer URL, Hostname und Uhrzeit der Serveranfrage. Diese Daten werden nicht mit anderen Datenquellen zusammengeführt.

13. Shopify-spezifische Hinweise

  • Zugriff auf Shopify-Daten erfolgt nur im Umfang der vom Nutzer gewährten Berechtigungen (Scopes).
  • Es werden keine personenbezogenen Endkundendaten (PII) dauerhaft gespeichert — nur aggregierte Kennzahlen.
  • Bei Deinstallation der Shopify-App werden alle Shop-Daten vollständig und unwiderruflich gelöscht.
  • Alle GDPR-Webhooks (customers/redact, shop/redact, customers/data_request) werden gemäß den Shopify-Anforderungen verarbeitet.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen anzupassen oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.