Datenschutzerklaerung

Diese Datenschutzerklaerung beschreibt, wie Relevante.IA SL ("Relevante.IA", "wir" oder "die Plattform") personenbezogene Daten von Nutzern erhebt, verwendet, speichert und schuetzt, die auf unsere AI-Readiness- und Search-Relevance-Optimization-Plattform (SRO) zugreifen, die unter relevanteia.com, app.relevanteia.com und deren Subdomains verfuegbar ist, sowie durch in Drittseiten einbettbare Widgets (das "kostenlose Audit-Widget").

Diese Richtlinie gilt fuer alle registrierten und nicht registrierten Nutzer (Nutzer des kostenlosen Audit-Widgets), in jedem Land, von dem aus sie auf den Dienst zugreifen.

Anwendbarer rechtlicher Rahmen:

• Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO).
• Organgesetz 3/2018 zum Schutz personenbezogener Daten und zur Gewaehrleistung digitaler Rechte (LOPDGDD) — Spanien.
• Neues schweizerisches Bundesgesetz ueber den Datenschutz (nDSG/nFADP) — Schweiz, in Kraft seit 1. September 2023.
• Loi Informatique et Libertes und CNIL-Regelungen — Frankreich.
• Bundesdatenschutzgesetz (BDSG) — Deutschland und Oesterreich.

Mit der Registrierung oder Nutzung eines unserer Dienste erklaeren Sie sich mit der Verarbeitung Ihrer Daten gemaess dieser Richtlinie und den in Ihrer Rechtsordnung geltenden Vorschriften einverstanden.

3.1 Direkt von registrierten Nutzern bereitgestellte Daten

• Registrierungsdaten: Name, E-Mail-Adresse, verschluesseltes Passwort, bevorzugte Sprache (Spanisch/Englisch/Franzoesisch/Deutsch).
• Unternehmensdaten: Handelsname, Website-URL, Branche/Nische (eine von 12 Kategorien), geografischer Standort.
• Abrechnungsdaten: direkt von Stripe, Inc. verarbeitet. Relevante.IA speichert keine vollstaendigen Kartendaten oder Bankinformationen.
• Kommunikation: Nachrichten ueber Kontakt- oder Supportformulare. Chat-Verlauf mit dem integrierten KI-Assistenten: an den Chatbot der Plattform gesendete Nachrichten fuer Anfragen zur Unternehmensanalyse.
• Integrations-Anmeldedaten: WordPress Application Passwords und Google Search Console OAuth-Tokens, gespeichert mit AES-256-GCM-Verschluesselung.

3.2 Von nicht registrierten Nutzern bereitgestellte Daten (kostenloses Audit-Widget)

• URL der zu analysierenden Website.
• IP-Adresse (zur Nutzungskontrolle: maximal 1 Audit pro IP und Tag).
• Technische Browserdaten (User-Agent, Aufloesung).

Rechtsgrundlage: ausdrueckliche Einwilligung des Nutzers bei der Uebermittlung der zu analysierenden URL (Art. 6 Abs. 1 lit. a DSGVO).

3.3 Automatisch erhobene Daten

• Technische Daten: IP-Adresse, Browsertyp, Betriebssystem, besuchte Seiten, Datum und Uhrzeit des Zugriffs.
• Nutzungsdaten: Interaktionen mit der Plattform, verwendete Module, Nutzungshaeufigkeit, Konfigurationspraeferenzen.
• Cookies und aehnliche Technologien: siehe unsere Cookie-Richtlinie.

3.4 Aus externen Quellen bezogene Daten

Um den SRO-Analysedienst bereitzustellen, erheben und verarbeiten wir oeffentliche Informationen ueber das Unternehmen des Nutzers:

• Oeffentlicher Inhalt der Website des Nutzers (bis zu 50 Seiten mittels automatisiertem Scraping).
• Oeffentliche Markenerwaehnungen im Internet und in sozialen Netzwerken.
• Praesenz in oeffentlichen Verzeichnissen (einschliesslich Google Business Profile).
• Backlinks, oeffentliche Sozialprofile und sameAs-Links.
• Oeffentliche Daten des Knowledge Graphs (Google Knowledge Graph, Wikidata).
• Sichtbarkeitsergebnisse in KI-Engines (ChatGPT, Gemini, Perplexity).
• Core Web Vitals-Metriken (ueber Google PageSpeed Insights API).
• Daten aus Google Search Console (nur wenn der Nutzer sein Konto freiwillig ueber OAuth verbindet).
• Daten aus Bing Webmaster Tools (nur wenn der Nutzer sein Konto ueber API-Key verbindet).
• Shopify-Daten (nur wenn der Nutzer seinen Shop ueber OAuth verbindet; Verfuegbarkeit ausstehend).

Diese Informationen werden aus oeffentlich zugaenglichen Quellen (oder mit ausdruecklicher Genehmigung des Nutzers im Fall der Search Console) bezogen und ausschliesslich zur Erbringung des beauftragten Dienstes verarbeitet.

Unsere Plattform nutzt Drittanbieter von KI-Diensten, um Analysen durchzufuehren, Inhalte zu generieren, die Sichtbarkeit zu bewerten und Empfehlungen zu geben.

5.1 Eingesetzte KI-Dienstleister

SCC = Standardvertragsklauseln, genehmigt von der Europaeischen Kommission. DPF = Teilnehmer am EU-US Data Privacy Framework. TIA = Transfer Impact Assessment.

5.2 Besonderer Hinweis zu DeepSeek (Uebermittlung nach China)

DeepSeek hat seinen Sitz in Hangzhou, China. Die Volksrepublik China verfuegt ueber keinen Angemessenheitsbeschluss der Europaeischen Kommission. Fuer diese Uebermittlung haben wir zusaetzlich zu den Standardvertragsklauseln ein Transfer Impact Assessment (TIA) gemaess den Empfehlungen des Europaeischen Datenschutzausschusses (EDSA) durchgefuehrt, bei dem die chinesische Gesetzgebung zum Datenzugriff durch Behoerden und die umgesetzten ergaenzenden technischen und organisatorischen Massnahmen analysiert wurden.

Ergaenzende technische Massnahmen:

• Die an DeepSeek gesendeten Daten sind auf oeffentliche Website-Inhalte und den Handelsnamen beschraenkt. Es werden keine personenbezogenen Daten des Endnutzers (E-Mail, Passwort, Zahlungsdaten) gesendet.
• Minimierung: Prompts werden mit dem geringstmoeglichen Informationsumfang erstellt, der fuer die Analyse noetig ist.
• Die erzeugten Ergebnisse werden ausschliesslich auf unserer europaeischen Infrastruktur (Supabase EU) gespeichert.
• Nutzer koennen jederzeit anfordern, dass ihre Analysen ausschliesslich mit Dienstleistern mit Sitz in den USA/EU (Anthropic/Claude) verarbeitet werden, indem sie an contacto@relevanteia.com schreiben.

5.3 Allgemeine Garantien

• Die an KI-Dienstleister gesendeten Daten sind auf das fuer den Dienst unbedingt Erforderliche beschraenkt (Prinzip der Datenminimierung).
• Alle Dienstleister arbeiten unter DSGVO-konformen Auftragsverarbeitungsvertraegen (unterzeichnete AVV).
• Ihre Daten werden nicht zum Training von KI-Modellen Dritter verwendet. Alle Dienstleister sind mit Training-Opt-out konfiguriert, sofern ihre Bedingungen dies zulassen.
• Die erzeugten Ergebnisse werden auf unserer Infrastruktur unter Ihrer Kontrolle gespeichert.
• Sie koennen detaillierte Informationen zum TIA von DeepSeek anfordern, indem Sie an contacto@relevanteia.com schreiben.

6.1 Vollstaendige Liste der Empfaenger

Nachfolgend die vollstaendige Liste aller Dritten, die im Rahmen der Dienstbereitstellung auf personenbezogene Daten oder Unternehmensdaten zugreifen koennen:

6.2 Internationale Uebermittlungen

Die meisten unserer Dienstleister befinden sich in den USA. Fuer diese Uebermittlungen stuetzen wir uns auf die von der Europaeischen Kommission genehmigten Standardvertragsklauseln (Durchfuehrungsbeschluss 2021/914) und, wenn der Dienstleister am EU-US Data Privacy Framework (DPF) teilnimmt, auf den Angemessenheitsbeschluss der Kommission vom 10. Juli 2023.

Fuer die Uebermittlung nach China (DeepSeek) wenden wir die Standardvertragsklauseln zusammen mit einem Transfer Impact Assessment (TIA) und den in Abschnitt 5.2 beschriebenen ergaenzenden technischen Massnahmen an.

Fuer Nutzer in der Schweiz: Die Uebermittlungen erfolgen nach dem nFADP und den vom EDOEB (Eidgenoessischer Datenschutz- und Oeffentlichkeitsbeauftragter) anerkannten Standardvertragsklauseln.

Wir verkaufen, vermieten oder teilen Ihre personenbezogenen Daten nicht ohne Ihre ausdrueckliche Einwilligung mit Dritten zu Marketingzwecken.

Nach Ablauf der angegebenen Fristen werden die Daten unwiderruflich geloescht oder anonymisiert.

Gemaess DSGVO (und nFADP fuer Nutzer in der Schweiz) koennen Sie die folgenden Rechte ausueben:

8.1 Wie Sie Ihre Rechte ausueben

Senden Sie Ihre Anfrage an contacto@relevanteia.com unter Angabe von: vollstaendigem Namen, der mit dem Konto verknuepften E-Mail-Adresse, dem gewuenschten Recht und einer Kopie eines Ausweisdokuments (Personalausweis/Reisepass oder anderes offizielles Dokument). Wir antworten innerhalb von maximal 30 Tagen (in komplexen Faellen verlaengerbar auf 60 Tage mit vorheriger Mitteilung).

8.2 Datenschutzbehoerden

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die geltenden Vorschriften verstoesst, koennen Sie Beschwerde einreichen bei:

• Spanien: Agencia Espanola de Proteccion de Datos (AEPD) — www.aepd.es
• Frankreich: Commission Nationale de l'Informatique et des Libertes (CNIL) — www.cnil.fr
• Deutschland: Der Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit (BfDI) — www.bfdi.bund.de, oder die zustaendige Landesbehoerde
• Oesterreich: Datenschutzbehoerde (DSB) — www.dsb.gv.at
• Schweiz: Eidgenoessischer Datenschutz- und Oeffentlichkeitsbeauftragter (EDOEB) — www.edoeb.admin.ch

Unsere Plattform erstellt mithilfe kuenstlicher Intelligenz automatisiert Analysen, Scores, Rankings, Alarme und Empfehlungen. Konkret:

• Kombinierter SRO-Score (M1 × 0,4 + M2 × 0,6), der die semantische Bereitschaft Ihrer Website bewertet.
• KI-Sichtbarkeitsrankings (Prozentsatz der Erscheinung in ChatGPT, Gemini, Perplexity).
• Automatische Mustererkennung (Sichtbarkeitseinbrueche, technische Verschlechterung, Content-Alterung, Entity-Inkonsistenz) nach Ansammlung von mindestens 3 woechentlichen Snapshots.
• Automatisierter Aktionsplan mit Phasenklassifikation und Impact-Schaetzung.
• Automatische SRO-Validierung generierter Inhalte.

Natur der Entscheidungen:

Diese Scores und Empfehlungen sind beratend und zielen ausschliesslich darauf ab, dem Nutzer bei der Verbesserung seiner digitalen Praesenz zu helfen. Sie haben keine bindenden rechtlichen Wirkungen fuer den Nutzer. Die endgueltige Entscheidung ueber die Umsetzung einer Empfehlung liegt stets beim Nutzer.

Recht auf menschliches Eingreifen:

Gemaess Art. 22 DSGVO haben Sie das Recht, bei jeder automatisierten Analyse menschliches Eingreifen zu verlangen, Ihren Standpunkt darzulegen und das Ergebnis anzufechten. Wenden Sie sich hierzu an contacto@relevanteia.com.

Wir setzen die folgenden technischen und organisatorischen Massnahmen zum Schutz Ihrer Daten um:

• Verschluesselung bei der Uebertragung (HTTPS/TLS) fuer alle Kommunikationen.
• Passwort-Verschluesselung mit sicheren Algorithmen (bcrypt ueber Supabase Auth).
• AES-256-GCM-Verschluesselung fuer sensible Integrations-Anmeldedaten (WordPress, Google Search Console, Bing).
• Authentifizierung per JWT (JSON Web Token) mit Pruefung bei jeder Anfrage.
• Rollenbasierte Zugriffskontrolle (Nutzer/Administrator) mit Row Level Security (RLS) in der Datenbank.
• Rate Limiting: 100 Anfragen/Minute pro Nutzer; 1 kostenloses Audit/IP/Tag.
• HTTP-Sicherheits-Header (Helmet): Content-Security-Policy, X-Frame-Options usw.
• CORS-Schutz mit Whitelist erlaubter Origins.
• Interner Token fuer die sichere Server-Worker-Kommunikation (x-internal-worker-token).
• Monitoring und Fehlerprotokollierung.
• Regelmaessige Datenbank-Backups.
• Datenzugang beschraenkt auf autorisiertes Personal (Prinzip der geringsten Rechte).

13.1 Schweiz

Fuer Nutzer mit Wohnsitz in der Schweiz unterliegt die Datenverarbeitung zusaetzlich dem neuen schweizerischen Bundesgesetz ueber den Datenschutz (nDSG/nFADP), in Kraft seit dem 1. September 2023. Im Konfliktfall zwischen DSGVO und nFADP gilt die schutzstaerkere Vorschrift. Der Verantwortliche wird gemaess Art. 14 nFADP einen Vertreter in der Schweiz benennen, sobald dies erforderlich ist.

13.2 Frankreich

Fuer Nutzer mit Wohnsitz in Frankreich wird diese Richtlinie gemaess dem Gesetz Nr. 78-17 vom 6. Januar 1978 ueber Informatik, Dateien und Freiheiten in seiner geaenderten Fassung ausgelegt. Die CNIL ist die zustaendige Beschwerdebehoerde. Vertragsunterlagen sind gemaess dem Toubon-Gesetz auf Franzoesisch verfuegbar.

13.3 Deutschland und Oesterreich

Fuer Nutzer mit Wohnsitz in Deutschland oder Oesterreich wird diese Richtlinie gemaess dem Bundesdatenschutzgesetz (BDSG) ausgelegt, das die DSGVO ergaenzt. Zustaendige Datenschutzbehoerden sind der BfDI (Bundesebene) bzw. die jeweilige Landesdatenschutzbehoerde in Deutschland und die Datenschutzbehoerde (DSB) in Oesterreich. Das Impressum gemaess TMG/DDG ist unter relevanteia.com/legal/impressum verfuegbar.

Fuer Fragen zu dieser Datenschutzerklaerung oder zur Verarbeitung Ihrer personenbezogenen Daten:

• Email: contacto@relevanteia.com
• Barcelona, Spanien

Dieses Dokument wurde gemaess Datenschutz-Grundverordnung (EU) 2016/679, dem Organgesetz 3/2018 (LOPDGDD), dem neuen schweizerischen Bundesgesetz ueber den Datenschutz (nDSG/nFADP), dem franzoesischen Loi Informatique et Libertes und dem deutschen Bundesdatenschutzgesetz (BDSG) verfasst.