§DSGVO.pro
Art. 13 DSGVO · Datenschutz

Datenschutz­erklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
Oleksiy Shuman
Offenbacher Landstraße 252, 60599 Frankfurt am Main
E-Mail: info@dsgvo.pro

2. Erhobene Daten und Verarbeitungszwecke

2.1 Website-Scan

Wenn Sie eine URL zur Überprüfung eingeben, verarbeiten wir die angegebene URL sowie die dabei gewonnenen Scanergebnisse (technische Daten der gescannten Website). Diese Daten werden zum Zweck der Compliance-Analyse verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 Server-Logfiles

Bei jedem Aufruf unserer Website werden automatisch Informationen in Server-Logfiles gespeichert: IP-Adresse, Datum und Uhrzeit der Anfrage, aufgerufene Seite, Browser-Typ und -Version, Referrer-URL. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit).

2.3 Nutzerkonto

Wenn Sie ein Konto erstellen, verarbeiten wir E-Mail-Adresse und Passwort (gehashed). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.4 Kontaktformular und Fix-Anfragen

Bei Nutzung des Kontaktformulars oder der „Fix und fertig"-Anfrage verarbeiten wir: Name, E-Mail-Adresse, optional Telefonnummer, Website-URL sowie den Nachrichteninhalt. Die Daten werden zur Bearbeitung Ihrer Anfrage verwendet und per E-Mail an uns übermittelt (über Brevo, siehe Abschnitt 5). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

2.5 On-Chain Beweis-Anker (Solana)

Auf Wunsch kann ein Beweis-Anker für einen Scan auf der Solana-Blockchain ausgestellt werden. Der Anker belegt das Vorhandensein des Scans zu einem bestimmten Zeitpunkt — nicht die DSGVO-Konformität der Website (rechtliche Würdigung bleibt einem Anwalt vorbehalten). Dabei werden folgende Daten dauerhaft und unveränderlich in der öffentlichen Blockchain gespeichert:

  • SHA-256-Hash der gescannten URL (kein Klartext, aber bei bekannter URL rekonstruierbar)
  • Compliance-Score (numerischer Wert)
  • SHA-256-Hash der Verstoßliste
  • Zeitstempel des Scans

Wichtiger Hinweis: Blockchain-Einträge sind technisch unveränderlich und können nicht gelöscht werden. Das Recht auf Löschung gemäß Art. 17 DSGVO ist für diese Daten technisch nicht umsetzbar. Da es sich ausschließlich um Hashwerte und technische Kennzahlen handelt und keine direkt personenbezogenen Daten (Name, E-Mail, Adresse) eingetragen werden, ist die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) zulässig. Die Ausstellung des Beweis-Ankers erfolgt nur auf ausdrückliche Anforderung des Nutzers.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Die Blockchain-Transaktion wird über die Solana-Infrastruktur abgewickelt; dabei können Transaktionsdaten von Solana-Nodes weltweit repliziert werden.

2.7 Zahlungsdaten

Bei Buchung eines kostenpflichtigen Abonnements oder einer Fix-Leistung werden Zahlungsdaten ausschließlich durch unseren Zahlungsanbieter Stripe verarbeitet. Wir erhalten lediglich eine Bestätigung der erfolgreichen Zahlung sowie eine Kunden-ID. Stripe verarbeitet Kartendaten und andere Zahlungsinformationen gemäß PCI-DSS. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.8 Partnerprogramm

Wenn Sie über einen Partnerlink auf unsere Website gelangen und sich registrieren, speichern wir zur Zuordnung einen Referral-Code in einem Cookie (Laufzeit: 30 Tage). Nach erfolgreicher Registrierung wird die Zuordnung dauerhaft in unserer Datenbank gespeichert, um Provisionen korrekt abzurechnen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an korrekter Provisionsabrechnung) sowie § 25 Abs. 1 TDDDG (Einwilligung über Cookie-Banner).

2.9 Newsletter

Wenn Sie unseren Newsletter abonnieren, verarbeiten wir Ihre E-Mail-Adresse sowie den Zeitpunkt der Anmeldung und Ihre IP-Adresse (zur Nachweisbarkeit der Einwilligung). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Zweck: Zusendung von Neuigkeiten zu digitaler Compliance, Datenschutz und Gesetzesänderungen.

Empfänger: Keine Weitergabe an Dritte. Die Daten werden ausschließlich intern gespeichert.

Abmeldung: Sie können Ihre Einwilligung jederzeit widerrufen — per E-Mail an info@dsgvo.pro oder über den Abmeldelink in jeder Newsletter-E-Mail.

Hinweis: Der E-Mail-Versand ist derzeit noch nicht aktiv. Ihre Daten werden gespeichert und erst nach Aktivierung des Newsletter-Systems genutzt.

3. Hosting und Infrastruktur

Unsere Website wird durch Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) in der EU-Region Frankfurt am Main (fra1) gehostet. Compute (Functions, Edge), Routing und Caching erfolgen ausschließlich in EU-Rechenzentren. Die Vertragsbeziehung zum US-Anbieter ist durch Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie das EU-US Data Privacy Framework (Angemessenheitsbeschluss gem. Art. 45 DSGVO; Vercel Inc. ist DPF-zertifiziert) abgesichert.

Datenbankleistungen werden über Supabase Inc. bereitgestellt. Serverstandort: EU (Frankfurt). Vertragsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung).

Für das technische Rendering der zu scannenden Websites (Browser-Automation via Browserless / Playwright) betreiben wir eine VPS-Instanz bei Hostinger International Ltd. — Serverstandort: Deutschland (Frankfurt am Main). Die Verbindung erfolgt über das Chrome DevTools Protocol (CDP) aus unserer Job-Runtime. Verarbeitet werden ausschließlich die vom Nutzer eingegebene URL und die von der gescannten Website öffentlich bereitgestellten technischen Daten.

Hintergrundverarbeitung von Scan-Aufträgen (Job-Runtime, Queue, Run-Historie) erfolgt über Trigger.dev Ltd. (UK-Vertragspartner). Die zugrundeliegende Cloud-Infrastruktur läuft derzeit in AWS us-east-1 (USA); eine EU-Cloud-Region wird vom Anbieter evaluiert. Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Zur Messung der Besucherzahlen und der am häufigsten aufgerufenen Seiten nutzen wir Vercel Web Analytics. Dieses Messverfahren arbeitet ohne Cookies, ohne Fingerprinting und ohne personenbezogene Identifikatoren. Erhoben werden ausschließlich aggregierte, anonymisierte Kennzahlen (z. B. Seitenaufruf-URL, Referrer, Gerätetyp, Land). Eine Wiedererkennung einzelner Besucher ist technisch nicht möglich. Da keine personenbezogenen Daten verarbeitet werden, ist keine Einwilligung nach § 25 TDDDG erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Reichweitenmessung).

4. Cookies und lokaler Speicher

Wir setzen folgende Cookies und Browser-Speicher ein:

  • Authentifizierungs-Cookie (sb-*, Supabase) — technisch notwendig für den Login. Laufzeit: bis zu 7 Tage. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG.
  • Spracheinstellung (localStorage) — speichert Ihre Sprachpräferenz. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG.
  • Referral-Cookie — wird gesetzt, wenn Sie über einen Partnerlink kommen. Laufzeit: 30 Tage. Rechtsgrundlage: § 25 Abs. 1 TDDDG (Einwilligung).

Es werden keine Tracking- oder Analyse-Cookies verwendet.

5. Externe Dienste und Auftragsverarbeiter

Folgende Dienste werden zur Erbringung unseres Services eingesetzt:

  • Vercel Inc. (440 N Barranca Ave, Covina, CA 91723, USA) — Hosting der Website. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss gem. Art. 45 DSGVO; Vercel Inc. ist DPF-zertifiziert). Datenschutz: vercel.com/legal/privacy-policy
  • Supabase Inc. (970 Toa Payoh North, Singapore) — Authentifizierung und Datenspeicherung. Serverstandort: EU (Frankfurt). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Trigger.dev Ltd. (UK) — Hintergrundverarbeitung von Website-Scans. Es werden nur die zu scannende URL und technische Analysedaten verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Stripe Inc. (510 Townsend Street, San Francisco, CA 94103, USA) — Zahlungsabwicklung für Abonnements und Fix-Leistungen. Stripe verarbeitet Zahlungsdaten als eigenverantwortlicher Anbieter gemäß PCI-DSS. Die Übertragung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Datenschutz: stripe.com/de/privacy
  • Solana Foundation (Zug, Schweiz) — öffentliche Blockchain-Infrastruktur für die Ausstellung von Compliance-Zertifikaten. Blockchain-Einträge sind öffentlich einsehbar und weltweit repliziert. Eine Löschung ist technisch nicht möglich. Die Verarbeitung erfolgt nur auf ausdrückliche Anforderung des Nutzers. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutz: solana.com/privacy-policy
  • Brevo SAS (7 rue de Madrid, 75008 Paris, Frankreich) — Versand von Transaktions- und Marketingemails (Registrierungsbestätigung, Abonnement-Bestätigung, Kontaktanfragen). Es werden E-Mail-Adresse und Name übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Transaktionsmails) bzw. Art. 6 Abs. 1 lit. f DSGVO (Benachrichtigungen). Datenschutz: brevo.com/de/legal/privacypolicy
  • Hostinger International Ltd. (61C Jonavos g., LT-44192 Kaunas, Litauen) — Bereitstellung einer Browser-Rendering-Instanz für die technische Durchführung von Website-Scans. Serverstandort: Deutschland (Frankfurt am Main). Es werden ausschließlich die zu scannende URL und technische Analysedaten verarbeitet; keine personenbezogenen Daten von Website-Besuchern der gescannten Website. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutz: hostinger.com/de/datenschutzrichtlinie
  • ip-api.com (Inhaber: Tim Eckel, Bayern, Deutschland) — IP-Geolokalisierung zur Bestimmung des Serverstandorts gescannter Websites. Übermittelt werden ausschließlich aus DNS-A/AAAA-Records aufgelöste IP-Adressen der zu prüfenden Website; keine Personendaten. Serverstandort: Deutschland. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen der Compliance-Analyse). Datenschutz: ip-api.com/docs/legal
  • VostokInc SAS (ScrapingBee) (66 Avenue des Champs-Élysées, 75008 Paris, Frankreich) — Fallback-Dienst für das Abrufen von Website-Inhalten, wenn unsere primäre Browser-Instanz durch Bot-Schutz-Systeme der gescannten Website blockiert wird. Es wird ausschließlich die zu scannende URL übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutz: scrapingbee.com/privacy-policy
  • OpenRouter Inc. (USA) — Routing-Proxy zu KI-Modellen. OpenRouter ist unser einziger direkter KI-Auftragsverarbeiter; alle Modellaufrufe laufen ausschließlich über deren API. Verwendungsfälle: KI-Klassifizierung unbekannter Cookies, visuelle Verifikation und Farb-Extraktion von Cookie-Bannern, Klassifizierung der gescannten Website (Site-Typ), strukturierte Analyse von Impressum und Datenschutz­erklärung der gescannten Website, sowie Generierung von Pflicht­texten im Legal-Kit. Im Scan-Betrieb werden ausschließlich öffentlich abrufbare Daten der gescannten Website übermittelt (Cookie-Namen, Domain-Informationen, Screenshots, Impressum-/Datenschutz-Text);keine personenbezogenen Daten der Besucher der gescannten Website. Für das Legal-Kit ersetzen wir Ihre Firmen- und Kontakt­daten vor der Übermittlung serverseitig durch Platzhalter (z. B. {{COMPANY_NAME}}, {{EMAIL}}); die KI erhält keine Klar­daten, die Rück­substitution erfolgt auf unserem Server. Die Übertragung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer präzisen Compliance-Analyse) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertrags­erfüllung beim Legal-Kit). Datenschutz: openrouter.ai/privacy
  • Nachgeordnete Modellanbieter (Sub-Sub-Processoren via OpenRouter) — OpenRouter leitet je nach Aufgabe an folgende Modell­anbieter weiter; mit diesen besteht kein direkter Vertrag seitens DSGVO.pro, sie sind Sub-Sub-Processoren von OpenRouter nach Art. 28 Abs. 4 DSGVO:
    • Anthropic PBC (USA) — Claude Haiku 4.5 für Text-Analyse (Impressum-/ DSE-Strukturierung, Cookie-/CMP-Klassifizierung, Gesetzes­änderungs­zusammen­fassungen, Legal-Kit-Generierung). Anthropic ist EU-US-DPF-zertifiziert; SCCs gelten via OpenRouter-Vertrag. Datenschutz: anthropic.com/legal/privacy
    • OpenAI, L.L.C. (USA) — GPT-4o-mini Vision für Banner-Verifikation und Farb-Palette-Extraktion. OpenAI ist EU-US-DPF-zertifiziert; SCCs via OpenRouter-Vertrag. Datenschutz: openai.com/policies/privacy-policy
    • Mistral AI SAS (Paris, Frankreich) — Mistral-Nemo für Cookie- und Site-Klassifizierung. EU-Sitz, kein Drittland-Transfer. Datenschutz: mistral.ai/terms#privacy-policy

Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO.

Anonymisierung beim Legal-Kit: Bei der KI-gestützten Generierung von Impressum und Datenschutz­erklärung übertragen wir keine Klar­daten an die KI. Ihre Firmen­bezeichnung, Adresse, Kontakt- und Register­daten werden serverseitig durch Platzhalter (z. B. {{COMPANY_NAME}}, {{STREET}},{{EMAIL}}) ersetzt. Die KI erzeugt das Dokument anhand des offiziellen Gesetzes­wortlauts aus unserer eigenen Gesetzes­datenbank und der Platzhalter. Erst auf unserem Server werden die Platzhalter wieder durch die tatsächlichen Werte ersetzt. Damit erhält der KI-Anbieter zu keinem Zeit­punkt Ihre personen­bezogenen oder unternehmens­bezogenen Klar­daten.

6. Ihre Rechte

Sie haben folgende Rechte nach DSGVO:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@dsgvo.pro

Sie haben außerdem das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1, 65189 Wiesbaden
datenschutz.hessen.de

7. Speicherdauer

Scan-Ergebnisse von Gast-Scans und kostenlosen Konten werden nach 90 Tagen automatisch gelöscht. Kostenpflichtige Abonnenten behalten ihre Scan-Historie bis zur manuellen Löschung oder Kündigung des Abonnements. Server-Logfiles werden nach 30 Tagen gelöscht. Kontodaten werden bis zur Löschung des Kontos gespeichert. Kontaktanfragen und Fix-Anfragen werden nach Abschluss der Bearbeitung, spätestens nach 3 Jahren, gelöscht. Zahlungsdaten unterliegen der gesetzlichen Aufbewahrungspflicht (10 Jahre, § 147 AO).

8. Aktualität

Stand: Mai 2026. Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen.