Datenschutzerklaerung

Letzte Aktualisierung: April 2026

1. Verantwortlicher

Verantwortlicher fuer die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

• Name: [PLATZHALTER: Vollstaendiger Name]
• Anschrift: [PLATZHALTER: Strasse, PLZ Ort, Oesterreich]
• E-Mail: [PLATZHALTER: Email]
• Datenschutzanfragen: [PLATZHALTER: Email]

2. Geltungsbereich

Diese Datenschutzerklaerung gilt fuer review-manager.org und alle zugehoerigen Subdomains. Sie umfasst folgende Bereiche:

• Marketing-Website: Die oeffentlichen Seiten einschliesslich Startseite, Preisseite und rechtliche Seiten
• Dashboard (authentifizierter Bereich): Der Kontoverwaltungsbereich, in dem registrierte Nutzer Bewertungslinks erstellen und verwalten, Feedbacks einsehen und Einstellungen konfigurieren
• Oeffentliche Bewertungs-Landingpages (/[slug]): Die Seiten, die Besucher aufrufen, um Sternebewertungen und Feedback fuer ein bestimmtes Unternehmen abzugeben

3. Rechtsgrundlage der Datenverarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen gemaess Art. 6 Abs. 1 DSGVO:

• (a) Einwilligung: Fuer Analyse-Cookies (Google Analytics 4) auf Marketing- und Dashboard-Seiten — nur nach ausdruecklicher Zustimmung ueber unser Cookie-Consent-Banner
• (b) Vertragserfllung: Fuer Kontoerstellung, Abonnementverwaltung, Bewertungslink-Konfiguration und alle Funktionen, die zur Erfuellung des Dienstleistungsvertrags erforderlich sind
• (f) Berechtigtes Interesse: Fuer Sicherheitsprotokollierung (Server-Logs), Betrugspraevention und Ueberwachung der Dienstintegritaet

4. Erhobene Daten

4.1 Kontodaten

Bei der Kontoerstellung erheben wir Ihre E-Mail-Adresse und einen Passwort-Hash (ueber Supabase Auth). Bei Anmeldung ueber Google OAuth erhalten wir Ihre Google-Profilinformationen (Name und E-Mail). Rechtsgrundlage: Vertragserfllung (Art. 6 Abs. 1 lit. b DSGVO).

4.2 Bewertungslink-Konfiguration

Bei der Erstellung von Bewertungslinks speichern wir Ihren Unternehmensnamen, hochgeladenes Logo, Plattform-URLs (Google Maps, Facebook, Trustpilot etc.), Branding-Einstellungen (Farben, Willkommenstext), Schwellenwert-Konfiguration und Feedback-Frageneinstellungen. Rechtsgrundlage: Vertragserfllung (Art. 6 Abs. 1 lit. b DSGVO).

4.3 Feedback-Einreichungen (von Endnutzern)

Wenn Besucher Feedback ueber Ihre Bewertungs-Landingpages (/[slug]) einreichen, erfassen wir: Sternebewertung, Freitext-Feedback, Quick-Pick-Toggle-Antworten und optional Name und E-Mail-Adresse (sofern freiwillig angegeben). Rechtsgrundlage: Berechtigtes Interesse des Kontoinhabers (Art. 6 Abs. 1 lit. f DSGVO) in Verbindung mit stillschweigender Einwilligung des Feedback-Gebers. Siehe Abschnitt 10 fuer Details zur Verantwortlichkeit.

4.4 Nutzungsdaten (Analyse)

Wir verwenden Google Analytics 4 (GA4) nur auf Marketing- und Dashboard-Seiten, und nur nach ausdruecklicher Cookie-Einwilligung ueber unser Cookie-Consent-Banner. Bei Aktivierung erfasst GA4 anonymisierte Nutzungsdaten mit aktivierter IP-Anonymisierung. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Wichtig: Oeffentliche Bewertungs-Landingpages (/[slug]) verwenden KEIN Google Analytics und kein anderes Tracking. Diese Seiten sind vollstaendig analysefrei.

4.5 Server-Logs

Unser Hosting-Anbieter (Vercel) protokolliert automatisch IP-Adressen, User-Agent-Strings und Zeitstempel zu Sicherheitszwecken. Diese Logs werden 30 Tage aufbewahrt. Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

5. Cookies

5.1 Oeffentliche Bewertungsseiten (/[slug])

Oeffentliche Bewertungs-Landingpages verwenden KEINE Cookies, KEINE Analyse und KEIN Tracking jeglicher Art. Diese Seiten sind designbedingt vollstaendig cookie-frei.

5.2 Marketing- und Dashboard-Seiten

• Essentielle Cookies (immer aktiv): Supabase-Authentifizierungs-Session-Cookie — erforderlich fuer die Login-Funktionalitaet. Dies ist ein technisch notwendiges Cookie und erfordert keine Einwilligung (gemaess § 165 Abs. 3 TKG 2021).
• Analyse-Cookies (Opt-in): Google Analytics 4 Cookies — werden nur nach ausdruecklicher Einwilligung ueber unser Cookie-Consent-Banner gesetzt. Vor der Einwilligung werden keine GA4-Skripte geladen.

Cookie-Einwilligungspraefeenzen werden in Ihrem Browser-localStorage gespeichert (was selbst kein Cookie ist). Sie koennen Ihre Einwilligung jederzeit ueber den Cookie-Einstellungen-Link in der Fusszeile widerrufen.

Wir haben Google Consent Mode v2 implementiert. Das bedeutet, dass keine Google-Tags vor der Einwilligung ausgeloest werden und Einwilligungssignale korrekt an Google-Dienste uebermittelt werden.

6. Auftragsverarbeiter (Sub-Prozessoren)

Wir nutzen folgende Drittanbieter fuer den Betrieb der Plattform. Mit allen bestehen Auftragsverarbeitungsvertraege (AVVs):

1. Supabase (Postgres-Datenbank, Authentifizierung, Speicher) — Rechenzentrum: EU-Frankfurt, Deutschland. AVV vorhanden. Supabase speichert alle primaeren Anwendungsdaten einschliesslich Konten, Bewertungslinks, Feedback-Einreichungen und Branding-Assets.
2. Vercel (Hosting, Serverless Functions) — Edge-Netzwerk mit Datenverarbeitung in der EU. AVV vorhanden. Vercel hostet die Webanwendung und fuehrt serverseitige Logik aus.
3. Stripe (Zahlungsabwicklung) — EU-Gesellschaft, PCI-DSS-konform. AVV vorhanden. Stripe verarbeitet Abonnementzahlungen und verwaltet die Rechnungsstellung. Wir speichern keine Kreditkartendaten — alle Zahlungsdaten werden ausschliesslich von Stripe verarbeitet.
4. Resend (transaktionale E-Mails) — AVV vorhanden. Resend versendet kontobezogene E-Mails (Willkommen, Passwort-Zuruecksetzung, Abonnement-Bestaetigungen, Feedback-Benachrichtigungen).
5. Sentry (Fehler-Tracking) — EU-Region. AVV vorhanden. Sentry erfasst Anwendungsfehler zu Debugging-Zwecken. Fehlerberichte koennen anonymisierte Anfragedaten enthalten.
6. Google Analytics 4 — Nur nach Einwilligung aktiv. IP-Anonymisierung aktiviert. Es gelten die Google EU-Datenverarbeitungsbedingungen. GA4 erfasst anonymisierte Nutzungsstatistiken nur auf Marketing- und Dashboard-Seiten.

7. Datenuebermittlung ausserhalb der EU

Alle primaeren Daten werden in Frankfurt, Deutschland ueber Supabase gespeichert. Einige unserer Auftragsverarbeiter koennen jedoch Daten ausserhalb der EU verarbeiten:

• Vercel kann Anfragen auf Edge-Knoten weltweit verarbeiten, die Anwendungsdaten verbleiben jedoch in der EU-Infrastruktur
• Stripe und Google verfuegen ueber EU-Datenverarbeitungszusaetze und Standardvertragsklauseln (SCCs) zur Sicherstellung eines angemessenen Datenschutzniveaus

Wo Datenuebermittlungen ausserhalb der EU stattfinden, sind diese durch geeignete Garantien gemaess DSGVO Kapitel V abgesichert (Angemessenheitsbeschluesse, SCCs oder verbindliche interne Datenschutzvorschriften).

8. Speicherdauer

• Kontodaten: Bis zur Loeschung Ihres Kontos
• Bewertungslink-Konfiguration: Bis zur Loeschung des Links oder Ihres Kontos
• Feedback-Daten: Bis zur manuellen Loeschung oder Kontoloeschung (kaskadierende Loeschung)
• Server-Logs: 30 Tage
• Analysedaten: Gemaess GA4-Standard-Aufbewahrung (14 Monate, anonymisiert)
• Stripe-Zahlungsdaten: Gemaess Stripe-Aufbewahrungsrichtlinie entsprechend den Anforderungen zur Aufbewahrung von Finanzunterlagen

9. Ihre Rechte (DSGVO Art. 15-22)

Nach der DSGVO stehen Ihnen folgende Rechte bezueglich Ihrer personenbezogenen Daten zu:

• Auskunftsrecht (Art. 15): Sie koennen Ihre Daten als JSON ueber die Einstellungsseite in Ihrem Dashboard exportieren
• Recht auf Berichtigung (Art. 16): Sie koennen Ihre Kontoinformationen in Ihren Dashboard-Einstellungen bearbeiten
• Recht auf Loeschung (Art. 17): Sie koennen Ihr Konto in den Einstellungen loeschen. Dies loest eine kaskadierende Loeschung aller Ihrer Daten aus (Konto, Links, Feedbacks, Branding)
• Recht auf Einschraenkung der Verarbeitung (Art. 18): Kontaktieren Sie uns unter [PLATZHALTER: Email] um eine Einschraenkung der Verarbeitung zu beantragen
• Recht auf Datenueberttragbarkeit (Art. 20): Sie koennen Ihre Daten als JSON ueber die Einstellungsseite exportieren
• Widerspruchsrecht (Art. 21): Sie koennen der Datenverarbeitung aufgrund berechtigter Interessen widersprechen, indem Sie uns kontaktieren
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3): Sie koennen Ihre Cookie-Einwilligung jederzeit ueber den Cookie-Einstellungen-Link in der Fusszeile widerrufen

Aufsichtsbehoerde: Sie haben das Recht, eine Beschwerde bei der oesterreichischen Datenschutzbehoerde einzureichen:

• Oesterreichische Datenschutzbehoerde, Barichgasse 40-42, 1030 Wien
• E-Mail: dsb@dsb.gv.at
• Website: https://www.dsb.gv.at

10. Endnutzer-Feedback-Daten

Wenn Endnutzer Feedback ueber oeffentliche Bewertungs-Landingpages (/[slug]) einreichen, gilt folgende datenschutzrechtliche Verantwortlichkeit:

• Der Kontoinhaber (das Unternehmen, das Review Manager nutzt) ist Verantwortlicher fuer die ueber seine Bewertungslinks erhobenen Feedback-Daten
• Review Manager handelt als Auftragsverarbeiter im Auftrag des Kontoinhabers
• Wir stellen einen Auftragsverarbeitungsvertrag (AVV) zum Download bereit unter /avv

Kontoinhaber sind dafuer verantwortlich, sicherzustellen, dass sie eine rechtmaessige Grundlage fuer die Erhebung von Feedback-Daten haben und ihre Kunden/Besucher angemessen informieren.

11. Sicherheitsmassnahmen

• Verschluesselung bei Uebertragung: Alle zwischen Ihrem Browser und unseren Servern uebertragenen Daten werden per TLS (HTTPS) verschluesselt
• Verschluesselung im Ruhezustand: Alle in Supabase gespeicherten Daten sind im Ruhezustand verschluesselt
• Row-Level Security (RLS): Supabase RLS-Richtlinien gewaehrleisten strikte Datenisolierung — Nutzer koennen nur auf ihre eigenen Daten zugreifen
• Passwort-Hashing: Passwoerter werden mit branchenueblichen Algorithmen gehasht (bcrypt ueber Supabase Auth)
• Regelmaessige Updates: Abhaengigkeiten und Infrastruktur werden regelmaessig aktualisiert, um Sicherheitsluecken zu beheben

12. Kinder

Der Dienst richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Wenn wir erfahren, dass ein Kind unter 16 Jahren uns personenbezogene Daten uebermittelt hat, werden wir diese umgehend loeschen.

13. Aenderungen dieser Erklaerung

Wir koennen diese Datenschutzerklaerung von Zeit zu Zeit aktualisieren. Das Datum der "Letzten Aktualisierung" oben auf dieser Seite zeigt an, wann die letzte Ueberarbeitung vorgenommen wurde. Wesentliche Aenderungen werden registrierten Nutzern per E-Mail mitgeteilt. Wir empfehlen Ihnen, diese Erklaerung regelmaessig zu ueberpruefen.

14. Kontakt

Bei Fragen oder Anliegen zu dieser Datenschutzerklaerung oder unseren Datenpraktiken kontaktieren Sie uns bitte unter:

• E-Mail: [PLATZHALTER: Email]
• Anschrift: [PLATZHALTER: Strasse, PLZ Ort, Oesterreich]