Rechtliches
Datenschutzerklärung
DSGVO-konforme Angaben über die Verarbeitung personenbezogener Daten in CheckRuf.
Stand: 2026-04-20 · Version 1.0
Hinweis: Diese Datenschutzerklärung ist eine DSGVO-konforme Baseline-Version. Sie wird vor Produktiv-Launch durch einen Fachanwalt für IT-/Medienrecht geprüft und bei Bedarf präzisiert. Änderungen werden mit Versions-Nummer und Datum an dieser Stelle dokumentiert.
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO:
StartklarWeb Inhaber: Hasan Mohsen Borken, Deutschland
E-Mail: support@checkruf.de Website: https://checkruf.de
StartklarWeb ist ein Einzelunternehmen. Die Kontaktdaten für das Impressum finden Sie unter /impressum.
2. Datenschutzbeauftragter
Eine Pflicht zur Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO besteht derzeit nicht. Sie können sich dennoch jederzeit mit Datenschutz-Fragen an den Verantwortlichen wenden: support@checkruf.de.
3. Zwecke der Verarbeitung
CheckRuf ist ein SaaS zur Identifikation und juristischen Aufarbeitung unfairer Google-Bewertungen. Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:
- Bereitstellung der Anwendung und der zugehörigen Funktionen (Registrierung, Login, Dashboard)
- Klassifikation von Rezensionen mittels KI zur Unterstützung der Kundenentscheidung
- Erstellung juristisch substantiierter Meldetexte und Aufforderungsschreiben
- Abrechnung und Rechnungsstellung
- Versand von Transaktions-E-Mails (Verifikation, Passwort-Reset, Benachrichtigungen)
- Erfüllung rechtlicher Aufbewahrungspflichten (Rechnungen, Steuer)
- Sicherheit des Dienstes (Audit-Logs, Missbrauchserkennung)
4. Kategorien personenbezogener Daten
4.1 Nutzerdaten (Sie als Kunde)
- E-Mail-Adresse
- Name
- Passwort-Hash (bcrypt, Cost 12)
- Firmendaten: Firmenname, Adresse, USt-ID, Branche
- Zahlungsdaten (verarbeitet durch Stripe, wir erhalten nur Metadaten)
- Rechnungsdaten
4.2 Bewerter-Daten (Dritte, deren Rezensionen Sie in CheckRuf importieren)
- Öffentlich sichtbarer Anzeigename
- Rezensionstext
- Sterne-Bewertung
- Zeitstempel der Veröffentlichung
- ggf. öffentlich sichtbares Profilbild
Wir verarbeiten diese Daten auf Grundlage Ihres Auftrags als Auftragsverarbeiter nach Art. 28 DSGVO. Der Auftragsverarbeitungsvertrag ist unter /legal/avv einsehbar und muss im Onboarding aktiv bestätigt werden.
4.3 Technische Daten
- IP-Adresse (pseudonymisiert nach 30 Tagen)
- User-Agent
- Zeitstempel des Zugriffs
- Referrer
- Audit-Log-Einträge sicherheitsrelevanter Aktionen
5. Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Vertragserfüllung (Anwendungsnutzung) | Art. 6 Abs. 1 lit. b DSGVO |
| Bewerter-Daten als Auftragsverarbeiter | Art. 6 Abs. 1 lit. b und f DSGVO + Art. 28 DSGVO (AVV) |
| Abrechnung | Art. 6 Abs. 1 lit. b und c DSGVO |
| Transaktions-Mails | Art. 6 Abs. 1 lit. b DSGVO |
| Sicherheitslogs | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Steuerliche Aufbewahrung | Art. 6 Abs. 1 lit. c DSGVO + § 147 AO |
6. Empfänger und Auftragsverarbeiter
Wir setzen folgende Auftragsverarbeiter ein. Mit allen wurden Standardvertragsklauseln (SCCs nach Beschluss 2021/914) oder vergleichbare Garantien vereinbart, wo erforderlich.
| Anbieter | Zweck | Sitz / Hosting-Region | Rechtsgrundlage Drittlandtransfer |
|---|---|---|---|
| Anthropic PBC | KI-Klassifikation | USA | SCCs 2021/914 + Zero-Data-Retention-Vertrag (in Anbahnung) |
| Neon Inc. | Datenbank | Compute in Frankfurt/EU | SCCs 2021/914 |
| Vercel Inc. | Web-Hosting | Compute FRA1 / EU | SCCs 2021/914 |
| Resend Inc. | Transaktions-E-Mail | USA | SCCs 2021/914 |
| Inngest Inc. | Job-Queue / Background-Tasks | EU-Region | SCCs 2021/914 |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland (EU) | innerhalb EU, PCI DSS |
| Google Ireland Ltd. | OAuth-Login, GBP-API | Irland (EU) | innerhalb EU |
7. Speicherdauer
- Nutzerkonto-Daten: bis zur Löschung durch Sie oder bis 30 Tage nach Vertragsende
- Rechnungsdaten: 10 Jahre (§ 147 Abs. 1, 3 AO)
- Bewerter-Daten: bis zur Löschung der zugehörigen Location / Organisation, dann 30 Tage Kulanz, danach endgültig
- Audit-Logs: 24 Monate, IP-Adressen dort nach 30 Tagen pseudonymisiert
- Sessions: 30 Tage
8. Betroffenenrechte
Sie haben nach Art. 15–22 DSGVO jederzeit folgende Rechte:
- Auskunftsrecht (Art. 15): Sie können eine vollständige JSON-Auskunft über alle zu Ihrem Konto gespeicherten Daten unter
/settings→ Datenschutz → „Daten exportieren" abrufen. - Berichtigungsrecht (Art. 16): Sie können Stammdaten selbst in
/settingsändern oder support@checkruf.de kontaktieren. - Löschrecht (Art. 17): Die Konto-Löschung ist unter
/settings→ Datenschutz → „Konto löschen" verfügbar. Gesetzliche Aufbewahrungspflichten bleiben unberührt. - Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21): Anfrage per E-Mail an support@checkruf.de.
- Widerrufsrecht bei Einwilligungen (Art. 7 Abs. 3): jederzeit per E-Mail.
- Beschwerderecht bei einer Aufsichtsbehörde (Art. 77): für NRW: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Postfach 20 04 44, 40102 Düsseldorf, https://www.ldi.nrw.de.
9. Cookies und vergleichbare Technologien
CheckRuf verwendet ausschließlich technisch notwendige Cookies:
- Session-Cookie: für die Authentifizierung, Gültigkeit 30 Tage (Auth.js JWT)
- CSRF-Token: für Form-Sicherheit, nur pro Request
Wir verwenden keine Tracking-, Marketing- oder Third-Party-Analyse-Cookies. Analytics werden nur pseudonymisiert und ohne IP-Tracking durch Vercel Analytics erhoben (Art. 6 Abs. 1 lit. f DSGVO).
10. Keine automatisierte Entscheidungsfindung mit Rechtswirkung
Die KI-Klassifikation in CheckRuf ist eine Empfehlung, keine Entscheidung mit Rechtswirkung gegenüber Dritten. Jede Meldung an Google, jedes Aufforderungsschreiben und jede sonstige rechtliche Maßnahme erfordert Ihre explizite Freigabe („Human-in-the-Loop"). Eine automatisierte Entscheidung i. S. v. Art. 22 DSGVO findet nicht statt.
11. Datensicherheit
- Verschlüsselung in transit (TLS 1.2+) auf allen öffentlichen Endpunkten
- Verschlüsselung at rest auf DB- und Backup-Ebene (Neon-Standard)
- Zugriffskontrolle: Auth.js mit JWT-Sessions, bcrypt-12 Passwort-Hashing
- Tenant-Isolation auf Datenbank-Ebene (Prisma-Extension, die
organizationIdin alle Queries injiziert) - Audit-Logs für sicherheitsrelevante Aktionen
- EU-Hosting, wo möglich (Frankfurt)
12. Änderungen dieser Datenschutzerklärung
Wir passen diese Erklärung an, wenn Änderungen an der Verarbeitung oder an rechtlichen Rahmenbedingungen dies erfordern. Die aktuell gültige Fassung ist jederzeit unter /datenschutz abrufbar. Bei wesentlichen Änderungen werden angemeldete Nutzer per E-Mail informiert.
Kontakt für Datenschutzanliegen: support@checkruf.de