ecom[reviews]

Datenschutzerklärung

Stand: April 2026 (zuletzt aktualisiert: 2026-04-30)

1. Verantwortlicher

ecom reviews GmbH
Mozartstraße 14
28203 Bremen
Deutschland

E-Mail: support@ecom-reviews.de

2. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z.B. Namen, Adressen)
  • Kontaktdaten (z.B. E-Mail, Telefonnummern)
  • Inhaltsdaten (z.B. Eingaben in Formularen, Bewertungstexte)
  • Nutzungsdaten (z.B. besuchte Seiten, Zugriffszeiten)
  • Meta-/Kommunikationsdaten (z.B. IP-Adressen, Geräte-Informationen)
  • Zahlungsdaten (z.B. Bankverbindungen, Rechnungen — über Stripe)

Kategorien betroffener Personen

  • Besucher der Website
  • Registrierte Nutzer (Verkäufer und Anbieter)
  • Geschäftspartner

Zwecke der Verarbeitung

  • Bereitstellung des Onlineangebotes und Nutzerfreundlichkeit
  • Registrierung und Nutzerkontenverwaltung
  • Erbringung vertraglicher Leistungen und Kundenservice
  • Abwicklung von Zahlungsvorgängen
  • Kommunikation (E-Mail-Benachrichtigungen)
  • Sicherheitsmaßnahmen (Fraud Detection)
  • Reichweitenmessung und Analyse

3. Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO): Die betroffene Person hat ihre Einwilligung in die Verarbeitung gegeben (z.B. Cookie-Consent, Newsletter).
  • Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO): Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich (z.B. Nutzerkonto, Abo-Verwaltung).
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO): Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich (z.B. Sicherheit, Missbrauchsprävention).

4. Hosting und Content Delivery

Vercel

Wir hosten unsere Website bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Beim Besuch unserer Website erfasst Vercel automatisch Server-Log-Files, die Ihr Browser übermittelt. Dazu gehören:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit der Serveranfrage
  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Vercel ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

5. Registrierung und Nutzerkonto

Clerk

Für die Registrierung und Authentifizierung nutzen wir den Dienst Clerk (Clerk, Inc., San Francisco, CA, USA). Bei der Registrierung werden folgende Daten verarbeitet:

  • E-Mail-Adresse
  • Name (Vor- und Nachname)
  • Profilbild (optional, von Clerk bereitgestellt)
  • Authentifizierungsdaten (verschlüsselt bei Clerk gespeichert)

Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Datenschutzerklärung von Clerk finden Sie unter: https://clerk.com/privacy

6. Zahlungsabwicklung

Stripe

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe (Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA). Beim Abschluss eines Pro-Abonnements werden Zahlungsdaten direkt an Stripe übermittelt. Wir selbst speichern keine Kreditkarten- oder Bankdaten.

Bei Stripe gespeicherte Daten: Zahlungsmethode, Transaktionshistorie, Kundennummer (Stripe Customer ID). Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Die Datenschutzerklärung von Stripe finden Sie unter: https://stripe.com/de/privacy

Mit Stripe besteht ein Auftragsverarbeitungsvertrag (Data Processing Agreement) gemäß Art. 28 DSGVO. Details zum DPA von Stripe: https://stripe.com/de/legal/dpa

7. E-Mail-Versand

SendGrid (Twilio)

Für den Versand von transaktionalen E-Mails (Registrierungsbestätigungen, Benachrichtigungen, Passwort-Resets) nutzen wir SendGrid, einen Dienst der Twilio Inc., 101 Spear Street, Suite 500, San Francisco, CA 94105, USA.

Dabei werden E-Mail-Adressen und E-Mail-Inhalte an SendGrid übermittelt. Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Die Datenschutzerklärung von Twilio/SendGrid finden Sie unter: https://www.twilio.com/en-us/legal/privacy

8. Datenbank

Neon (PostgreSQL)

Unsere Anwendungsdaten werden in einer PostgreSQL-Datenbank bei Neon Inc. gespeichert. Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b und f DSGVO. Neon betreibt Server in der EU (AWS eu-central-1, Frankfurt).

9. Echtzeit-Benachrichtigungen

Pusher

Für Echtzeit-Funktionen (z.B. neue Nachrichten, Aktivitäts-Updates) nutzen wir Pusher (Pusher Ltd., Lenta Business Centre, 7-12 Tavistock Square, London WC1H 9BQ, Vereinigtes Königreich). Pusher baut beim Öffnen des Dashboards eine WebSocket-Verbindung auf und verarbeitet dabei Ihre IP-Adresse sowie eine pseudonyme User-Channel-ID. Nachrichteninhalte werden nicht dauerhaft bei Pusher gespeichert, sondern nur kurzzeitig zur Auslieferung zwischengespeichert.

Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und auf Grundlage berechtigter Interessen an einer funktionsfähigen Echtzeitkommunikation (Art. 6 Abs. 1 lit. f DSGVO). Das Vereinigte Königreich gilt durch einen Angemessenheitsbeschluss der EU-Kommission vom 28. Juni 2021 als sicheres Drittland.

Die Datenschutzerklärung von Pusher finden Sie unter: https://pusher.com/privacy

10. Caching und Rate Limiting

Upstash Redis

Für Caching und API-Rate-Limiting nutzen wir Upstash (Upstash, Inc.). Dabei werden temporär IP-Adressen und Anfragedaten gespeichert, um die Plattform vor Missbrauch zu schützen. Die Verarbeitung erfolgt auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

11. Bild-CDN

Cloudinary

Für die Auslieferung und Optimierung von Bildern (Profilbilder, Logos, Anbieter-Assets) nutzen wir Cloudinary (Cloudinary Ltd., 5 Donnybrook Road, Dublin 4, D04 RH40, Irland). Beim Aufruf eines Bildes verarbeitet Cloudinary technische Daten wie IP-Adresse, Browser- und Geräte-Informationen, um das Bild im optimalen Format auszuliefern.

Hochgeladene Bilder werden direkt bei Cloudinary gespeichert. Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und auf Grundlage berechtigter Interessen an einer performanten Bereitstellung (Art. 6 Abs. 1 lit. f DSGVO).

Mit Cloudinary besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die Datenschutzerklärung von Cloudinary finden Sie unter: https://cloudinary.com/privacy

12. Datei-Anhänge in Nachrichten

Amazon Web Services (S3)

Datei-Anhänge in Nachrichten zwischen Nutzern werden bei Amazon Web Services EMEA SARL (Amazon S3, 38 Avenue John F. Kennedy, L-1855 Luxemburg) im Rechenzentrum eu-central-1 (Frankfurt) gespeichert. Übertragene Daten umfassen die Dateiinhalte, einen technischen Pfad sowie Metadaten zur Zugriffsberechtigung.

Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Mit AWS besteht ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO. Die Datenschutzerklärung von AWS finden Sie unter: https://aws.amazon.com/de/privacy/

13. Bot-Schutz bei Registrierung

Cloudflare Turnstile

Zum Schutz unserer Registrierungs- und Anmeldeformulare vor automatisierten Anfragen (Bots) setzen wir Cloudflare Turnstile ein, einen Dienst der Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA). Beim Aufruf eines geschützten Formulars werden technische Merkmale Ihres Geräts und Browsers (z.B. IP-Adresse, Browser-Eigenschaften, Verhalten beim Seitenaufruf) erhoben und an Cloudflare übermittelt, um automatisierte Zugriffe zu identifizieren. Cloudflare Turnstile setzt dabei keine Cookies.

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der Sicherheit der Plattform und der Abwehr missbräuchlicher Nutzung (Art. 6 Abs. 1 lit. f DSGVO). Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Die Datenschutzerklärung von Cloudflare finden Sie unter: https://www.cloudflare.com/privacypolicy/

14. Fehlerüberwachung

Sentry

Zur Erkennung und Behebung technischer Fehler nutzen wir Sentry (Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA). Dabei können technische Daten wie Browser-Informationen, Fehlermeldungen und IP-Adressen (anonymisiert) an Sentry übermittelt werden.

Die Verarbeitung erfolgt auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO). Die Datenschutzerklärung von Sentry finden Sie unter: https://sentry.io/privacy/

15. Bewertungen und nutzergenerierte Inhalte

Auf unserer Plattform können registrierte Verkäufer Bewertungen zu E-Commerce-Dienstleistern abgeben. Dabei werden folgende Daten verarbeitet:

  • Bewertungstext („Deine ehrliche Erfahrung", strukturiertes Freitextfeld)
  • Einzelbewertungen (4 Kategorien: Ergebnis, Fachkompetenz, Kommunikation, Preis-Leistung)
  • NPS-Score (0-10)
  • Kontextdaten (Budget-Range, Projektdauer, Shopsystem — optional)
  • Anonymitätslevel (sichtbar, nur Kontext, pseudonymisiert — die Identität des Verfassers bleibt uns intern zur Missbrauchsprävention bekannt)
  • IP-Adresse (für Fraud Detection)

IP-Adressen werden ausschließlich zur Missbrauchserkennung gespeichert und nicht öffentlich angezeigt. Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO — Plattformintegrität).

16. KI-gestützte Auswertung von Bewertungen

Zur Aufbereitung und Analyse von Bewertungen setzen wir generative KI-Modelle ein. Konkret werden Bewertungstexte für die folgenden Zwecke an externe KI-Dienstleister übermittelt:

Anthropic (Claude)

Anbieter: Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA.

Verarbeitete Daten: Bewertungstexte (Erfahrungstext), Bewertungsmetadaten (Sterne, Budget-Range, Projektdauer, sofern angegeben) und der Name des bewerteten Anbieters. Reviewer-Klarnamen werden nicht übermittelt.

Zwecke: (a) Aggregierte Anbieter-Insights (Stärken/Schwächen-Analyse, Eignungs- Empfehlungen, Zusammenfassungen) für die öffentliche Profilseite; (b) Themen- und Sentiment-Extraktion für statistische Anbieter-Auswertungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer informativen, vergleichenden Plattform — die KI-Auswertung ersetzt keine personenbezogene Bewertung des Verfassers, sondern aggregiert Inhalte zu Anbietern).

Datenschutzerklärung Anthropic: https://www.anthropic.com/legal/privacy

OpenAI (Embeddings für die Suche)

Anbieter: OpenAI, L.L.C., 1455 3rd Street, San Francisco, CA 94158, USA.

Verarbeitete Daten: Profilbeschreibungen, Tags und Suchstichworte von Anbietern. Es werden keine personenbezogenen Daten von Verkäufern bzw. Reviewern an OpenAI übermittelt.

Zwecke: Berechnung von Vektor-Repräsentationen (Embeddings) zur semantischen Suche nach Anbietern. OpenAI verarbeitet die Daten ausschließlich zur Berechnung der Embeddings und nutzt sie nicht zum Modelltraining (gemäß OpenAI API Data Usage Policy).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer leistungsfähigen Suche).

Datenschutzerklärung OpenAI: https://openai.com/policies/privacy-policy

Drittland-Übermittlung (USA) und Schutzmaßnahmen

Sowohl Anthropic als auch OpenAI verarbeiten die übermittelten Daten in den USA. Die Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) inklusive Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Wir haben uns vertraglich zusichern lassen, dass die übermittelten Bewertungstexte nicht zum Training der jeweiligen KI-Modelle genutzt werden („Zero Data Retention" bzw. „No-Training-Klausel" in den jeweiligen DPAs).

Bewertungstexte sollten keine personenbezogenen Daten Dritter (Klarnamen, E-Mails, Telefonnummern) enthalten — entsprechende Bewertungen werden vor Veröffentlichung moderiert (siehe AGB § 4 Abs. 3).

Widerspruchsrecht: Sie können der KI-gestützten Auswertung Ihrer Bewertung jederzeit gemäß Art. 21 DSGVO widersprechen. In diesem Fall wird Ihre Bewertung von der KI-Auswertung ausgenommen. Wenden Sie sich dazu an support@ecom-reviews.de.

17. Nachrichten zwischen Nutzern

Registrierte Verkäufer können über die Plattform Nachrichten an Anbieter senden. Nachrichteninhalte werden verschlüsselt in unserer Datenbank gespeichert. Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

18. Cookies und Cookie-Consent

Wir verwenden Cookies und ähnliche Technologien, um unsere Website bereitzustellen und zu verbessern. Details zu den eingesetzten Cookies finden Sie in unserer Cookie-Richtlinie.

Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website erforderlich (z.B. Session-Cookies, Authentifizierung über Clerk). Sie werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gesetzt.

Analyse-Cookies

Für die Reichweitenmessung setzen wir Google Analytics 4 sowie Product-Analytics (PostHog) ein. Diese Cookies werden nur mit Ihrer Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit über den Cookie-Banner widerrufen.

Cookie-Consent-Management — Cookiebot

Zur Einholung und Verwaltung Ihrer Einwilligung in nicht-essentielle Cookies setzen wir den Dienst Cookiebot der Cybot A/S, Havnegade 39, 1058 Kopenhagen, Dänemark ein. Cookiebot speichert Ihre Cookie-Entscheidung in einem technisch notwendigen Cookie und dokumentiert die Einwilligung mit IP-Adresse (anonymisiert), Browser-Daten und Zeitstempel.

Rechtsgrundlage ist unsere rechtliche Verpflichtung zum Nachweis der Einwilligung (Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 7 Abs. 1 DSGVO). Mit Cybot A/S besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Cybot ist in der EU ansässig — eine Drittlandübermittlung findet nicht statt.

Datenschutzerklärung Cookiebot: https://www.cookiebot.com/de/privacy-policy/

19. Analyse und Reichweitenmessung

Google Analytics 4

Wir nutzen Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Google Analytics verwendet Cookies, die eine Analyse der Benutzung der Website ermöglichen. Google Analytics 4 verarbeitet die IP-Adresse ausschließlich zur Geolokalisierung und verwirft sie unmittelbar danach; eine Speicherung vollständiger IP-Adressen findet nicht statt.

Die Nutzung erfolgt nur mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die über unseren Cookie-Banner (Cookiebot) eingeholt wird. Sie können Ihre Einwilligung jederzeit über den Cookie-Banner widerrufen. Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

Die Datenschutzerklärung von Google finden Sie unter: https://policies.google.com/privacy

PostHog (Product-Analytics)

Zur produktinternen Analyse von Nutzungsverhalten (Klickpfade, Funnel-Analysen, Feature-Adoption) setzen wir PostHog ein (PostHog Inc., 965 Mission Street, San Francisco, CA 94103, USA). PostHog wird ausschließlich auf einer EU-Instanz gehostet (eu.i.posthog.com). Verarbeitete Daten umfassen pseudonymisierte Nutzer-IDs, Klick-Events, Seitenaufrufe sowie technische Geräte-Informationen.

PostHog wird ausschließlich nach Ihrer Einwilligung in Statistik-Cookies geladen (Art. 6 Abs. 1 lit. a DSGVO) und respektiert die Browser-Einstellung „Do Not Track". Mit PostHog besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Datenschutzerklärung PostHog: https://posthog.com/privacy

Google Search Console

Zur Auswertung der Sichtbarkeit unserer Website in der Google-Suche nutzen wir die Google Search Console (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Wir rufen über die Search-Console-API aggregierte und bereits anonymisierte Suchdaten ab (z.B. Suchanfragen-Volumen, Klickraten, Positionen). Es findet keine Verarbeitung personenbezogener Daten durch ecom reviews statt — die Daten liegen bei Google in pseudonymisierter Form vor.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an SEO-Auswertung).

20. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder wir gesetzlich dazu verpflichtet sind. Im Einzelnen gelten folgende Aufbewahrungsfristen:

  • Nutzerkonto-Stammdaten (Name, E-Mail, Passwort-Hash): Für die Dauer der aktiven Nutzung zzgl. 3 Jahre nach Kontolöschung für die Geltendmachung zivilrechtlicher Ansprüche (§§ 195, 199 BGB — regelmäßige Verjährungsfrist).
  • Rechnungen, Zahlungsdaten und steuerlich relevante Unterlagen: 10 Jahre ab Ende des jeweiligen Geschäftsjahres (§ 147 Abs. 3 AO, § 257 HGB).
  • Bewertungen und zugehörige Inhalte: Unbefristet während des Plattformbetriebs im Interesse der Informationsfunktion der Plattform. Auf begründeten Antrag der betroffenen Person erfolgt Löschung oder Anonymisierung gemäß Art. 17 DSGVO, sofern keine überwiegenden Interessen entgegenstehen.
  • Nachrichten zwischen Nutzern: Für die Dauer der aktiven Nutzerkonten beider Kommunikationsparteien zzgl. 6 Monate.
  • Server-Logfiles (IP-Adressen, Access-Logs): 14 Tage, danach Löschung bzw. Anonymisierung. Bei Sicherheitsvorfällen kann die Speicherdauer im Einzelfall verlängert werden.
  • Fraud-Detection-Daten (IP-Adressen bei Bewertungen, Device-Fingerprints):Bis zu 12 Monate zur Missbrauchsanalyse, danach Löschung.
  • Analytics-Daten (Google Analytics 4): Gemäß GA4-Retention-Setting maximal 14 Monate auf User-Level, aggregierte Statistiken unbefristet.
  • Support-/Moderations-Kommunikation: 3 Jahre nach letzter Interaktion.

Soweit gesetzliche Aufbewahrungspflichten bestehen, werden die betroffenen Daten für deren Dauer gesperrt und erst nach Ablauf gelöscht.

21. Automatisierte Entscheidungsfindung und Fraud-Detection

Wir setzen automatisierte Verfahren ein, um die Plattformintegrität sicherzustellen, insbesondere zur Erkennung von Fake-Bewertungen, Spam, Missbrauch und rechtswidrigen Inhalten. Diese Verfahren umfassen:

  • Plausibilitätsprüfung von Bewertungen (z.B. IP-Muster, Zeitmuster, Textanalyse)
  • Rate-Limiting und Bot-Erkennung zum Schutz vor automatisierten Angriffen
  • Automatisiertes Blockieren von Nutzern bei schwerwiegenden oder wiederholten Verstößen

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an einer vertrauenswürdigen Plattform sowie zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1 lit. b und f DSGVO).

Recht auf menschliche Überprüfung (Art. 22 Abs. 3 DSGVO): Sofern eine automatisierte Entscheidung rechtliche Wirkung für Sie entfaltet (z.B. Sperrung Ihres Kontos oder Entfernung einer Bewertung), haben Sie das Recht, eine Überprüfung durch einen Menschen zu verlangen, Ihren Standpunkt darzulegen und die Entscheidung anzufechten. Wenden Sie sich dazu an moderation@ecom-reviews.de.

22. Datenübermittlung in Drittländer

Einige der von uns eingesetzten Dienste (siehe Abschnitte 4 bis 19) verarbeiten personenbezogene Daten in den USA oder anderen Ländern außerhalb des Europäischen Wirtschaftsraums. Für diese Übermittlungen greifen folgende Schutzmechanismen:

  • EU-U.S. Data Privacy Framework (DPF): Vercel, Google (Analytics + Search Console), Clerk, Stripe und Cloudflare sind unter dem DPF zertifiziert und bieten dadurch ein angemessenes Datenschutzniveau (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023).
  • Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO): Mit Dienstleistern, die nicht unter dem DPF zertifiziert sind (z.B. Twilio/SendGrid, Sentry, Upstash, Anthropic, OpenAI, PostHog), haben wir die aktuellen Standardvertragsklauseln der EU-Kommission abgeschlossen. Zusätzlich haben wir jeweils eine Transfer Impact Assessment (TIA) durchgeführt, um das Schutzniveau im Empfängerland zu bewerten.
  • Auftragsverarbeitungsverträge (Art. 28 DSGVO): Mit allen genannten Dienstleistern bestehen Auftragsverarbeitungsverträge, die den Anforderungen des Art. 28 DSGVO entsprechen.
  • Zusätzliche Schutzmaßnahmen für KI-Verarbeitung: Bei Anthropic und OpenAI haben wir uns vertraglich zusichern lassen, dass übermittelte Bewertungstexte nicht zum Training der KI-Modelle verwendet werden („Zero Data Retention" bzw. „No-Training-Klausel"). Siehe hierzu auch Abschnitt 16.

Neon (Datenbank) betreibt ausschließlich Server in der EU (AWS eu-central-1, Frankfurt), AWS S3 (Datei-Anhänge) ebenfalls eu-central-1 und Cloudinary (Bild-CDN) wird über EU-Endpunkte angesprochen — für diese Anwendungsdaten findet keine Drittlandübermittlung statt.

23. SSL-/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

24. Rechte der betroffenen Personen

Ihnen stehen als betroffene Person folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu erhalten.
  • Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unrichtige Daten berichtigen zu lassen.
  • Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
  • Widerspruch (Art. 21 DSGVO): Sie haben das Recht, der Verarbeitung Ihrer Daten jederzeit zu widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, eine erteilte Einwilligung jederzeit zu widerrufen.
  • Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständige Aufsichtsbehörde: Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen

25. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.