GDPR · DEUTSCH

Datenschutzerklärung

Version: 1.0 · Datum: 4. Juni 2026

⚠ Entwurf zur rechtlichen PrüfungDieser Text ist ein Arbeitsentwurf. Vor der Veröffentlichung wird eine Prüfung durch einen Datenschutzjuristen empfohlen. Die Felder in [Klammern] sind auszufüllen.

1. Wer wir sind

Diese Erklärung beschreibt, wie [Firmenname] («wir», «der Verantwortliche») Ihre personenbezogenen Daten erhebt und verarbeitet, wenn Sie die Plattform ASEO + Shield («die Plattform») nutzen.

Bei Fragen zu Ihren personenbezogenen Daten: [Kontakt-E-Mail].

2. Welche Daten wir erheben und warum

2.1. Kontodaten

E-Mail-Adresse und verschlüsseltes Passwort — zur Erstellung Ihres Kontos und zur Bereitstellung des Zugangs zur Plattform.

2.2. Organisationsdaten

Name der Organisation und gewählter Abonnementplan — zur Verwaltung des Vertragsverhältnisses.

2.3. Sicherheitsdaten (Login-Audit)

IP-Adresse, Browsertyp (User-Agent), Datum, Uhrzeit und Ergebnis des Versuchs — zum Schutz Ihres Kontos und zur Verhinderung unbefugten Zugriffs. Automatische Löschung nach 90 Tagen.

2.4. Website-Daten

Die URL Ihrer Website — für Funktionen zur Inhaltsoptimierung und -analyse (ASEO).

2.5. Nutzungsdaten

Aufzeichnungen über in der Plattform durchgeführte Handlungen (Audit-Trail) — zur Nachvollziehbarkeit und Einhaltung des EU AI Act.

2.6. Daten zur Inhaltserstellung (Google Gemini)

Ihre Eingaben (einschließlich URL und Schlüsselwörter) werden von Google LLC über die Gemini API verarbeitet. Wir senden keine personenbezogenen Identifikationsdaten. Alle übrigen KI-Funktionen werden lokal in der EU ausgeführt.

3. Rechtsgrundlage

Grundlage	Anwendung
Vertragserfüllung (Art. 6(1)(b))	Kontoverwaltung, Bereitstellung des Dienstes, Inhaltserstellung
Berechtigtes Interesse (Art. 6(1)(f))	Schutz und Sicherheit (Login-Audit), Audit-Trail
Rechtliche Verpflichtung (Art. 6(1)(c))	Audit-Protokolle gemäß EU AI Act

4. Wie lange wir Ihre Daten speichern

Kategorie	Speicherfrist
Kontodaten	Vertragsdauer + 12 Monate
Organisations- und Vertragsdaten	Vertragsdauer + 5 Jahre
Login-Audit (IP)	90 Tage, dann automatische Löschung
Audit-Protokolle (Shield/EU AI Act)	3 Jahre ab Erstellung
Gemini-API-Daten	Gemäß der Richtlinie von Google

5. Automatisierte Entscheidungen und Profiling

Die Shield-Plattform generiert automatisierte EU-AI-Act-Konformitätsbewertungen. Diese Bewertungen können erhebliche Auswirkungen auf Ihre Organisation haben, da sie das Risikoniveau Ihrer KI-Systeme und die damit verbundenen regulatorischen Pflichten bestimmen.

Sie haben das Recht, eine automatisierte Bewertung anzufechten und eine Überprüfung durch unseren Spezialisten zu verlangen: [Kontakt-E-Mail].

6. Mit wem wir Ihre Daten teilen

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir teilen Daten nur in folgenden Fällen:

Infrastrukturanbieter: Contabo GmbH (Deutschland, EU) — Hosting.
Google LLC (USA): Verarbeitung von Eingaben über die Gemini API auf Grundlage der Standardvertragsklauseln (SCCs). Google handelt als Auftragsverarbeiter.
Partner/Agenturen: nur wenn Sie über einen Partner registriert sind — Zugriff nur auf Ihre Daten.
Zuständige Behörden: soweit gesetzlich vorgeschrieben.

7. Ihre Rechte

Auskunft — eine Kopie Ihrer Daten
Berichtigung — Korrektur unrichtiger Daten
Löschung — Entfernung (sofern Gründe vorliegen)
Einschränkung — in bestimmten Fällen
Datenübertragbarkeit — in einem maschinenlesbaren Format
Widerspruch — gegen Verarbeitung auf Grundlage berechtigten Interesses
Menschliches Eingreifen — Anfechtung einer automatisierten Bewertung

Anträge sind zu richten an: [Kontakt-E-Mail]. Wir antworten innerhalb eines Monats. Sie haben das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen.

8. Datensicherheit

Passwort-Hashing (bcrypt)
Verschlüsselte Kommunikation (TLS/HTTPS)
Firewall und Angriffsschutz (UFW, fail2ban, WAF)
Begrenzung der Anmeldeversuche
Automatische Löschung nach Ablauf der Frist
Isolierung durch Containerisierung (Docker)
Lokale Ausführung von KI-Modellen (außer der Gemini API)

9. Cookies

Die Plattform verwendet unbedingt erforderliche Cookies zur Sitzungsverwaltung (JWT-Tokens). Diese sind verpflichtend und bedürfen keiner Einwilligung. Wir verwenden keine Tracking- oder Werbe-Cookies.

10. Änderungen dieser Erklärung

Wir können diese Erklärung regelmäßig aktualisieren. Bei wesentlichen Änderungen benachrichtigen wir Sie mindestens 30 Tage vor deren Inkrafttreten.

Hinweis zur Fertigstellung: Ergänzen Sie [Firmenname], [Handelsregisternummer], [Sitz], [Kontakt-E-Mail], [DSB/Beauftragter]. Eine förmliche DSFA wird aufgrund der automatisierten Entscheidungen von Shield und der Verarbeitung über die Gemini API empfohlen.