DSGVO-Konformität

01 Rollen & Verantwortlichkeiten

Als Verantwortlicher

Für Kontodaten (E-Mail, Passwort, Name, Zahlungsdetails) und Betriebsdaten (Nutzungslogs, Sicherheitslogs, Support-Kommunikation) handeln wir als Verantwortlicher und bestimmen Zweck und Mittel der Verarbeitung.

Als Auftragsverarbeiter

Für Audit-Daten — die von Ihnen übermittelten URLs, Sitemaps, HTML und Konfigurationen — handeln wir als Auftragsverarbeiter in Ihrem Auftrag. Sie bestimmen den Zweck; wir verarbeiten die Daten ausschließlich zur Erbringung des Dienstes, gemäß dem AVV.

02 Personenbezogene Daten, die wir verarbeiten

Die vollständige Übersicht finden Sie in unserer Datenschutzerklärung. Kategorien:

• Identifikationsdaten — E-Mail-Adresse, optionaler Name, gehashtes Passwort
• Abrechnungsdaten — Rechnungsadresse, Land, USt-IdNr., Zahlungsmetadaten (verarbeitet durch Stripe)
• Dienst-Daten — URLs, Sitemaps, HTML, Audit-History, Zeitplan-Konfigurationen
• Technische Daten — IP-Adresse, Browser, Gerät, ungefähre Region, Serverlogs
• Kommunikationsdaten — E-Mails und Support-Tickets

03 Rechtsgrundlagen der Verarbeitung

• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Audits durchführen, Kontoverwaltung, Abrechnung)
• Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtungen (Schweizer Buchhaltungsrecht, Datenpannenmeldung)
• Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Sicherheit, Missbrauchsprävention, Produktverbesserung)
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (Marketing-E-Mails, optionales Analyse-Banner)

04 Rechte der betroffenen Personen

Gemäß DSGVO haben Sie folgende Rechte — die meisten können Sie mit einem Klick in Ihrem Dashboard ausüben:

• Auskunft (Art. 15) — Kopie Ihrer Daten; Export in den Einstellungen verfügbar
• Berichtigung (Art. 16) — Unrichtige Daten direkt in Ihrem Profil korrigieren
• Löschung (Art. 17) — Konto mit einem Klick auflösen
• Einschränkung (Art. 18) — Verarbeitung Ihrer Daten begrenzen
• Datenportabilität (Art. 20) — Daten als JSON oder CSV exportieren
• Widerspruch (Art. 21) — gegen die Verarbeitung auf Grundlage berechtigter Interessen
• Einwilligung widerrufen (Art. 7 Abs. 3) — jederzeit ohne Auswirkung auf vorherige Verarbeitung
• Beschwerde einlegen (Art. 77) — bei einer Aufsichtsbehörde

Beschwerde einlegen

• In der Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) — edoeb.admin.ch
• In der EU: Die Datenschutzbehörde Ihres Wohnsitzlandes (edpb.europa.eu)

05 Auftragsverarbeitungsvertrag (AVV)

Wenn Sie über Smart SEO Audit personenbezogene Daten von betroffenen Personen in der EU/EWR verarbeiten, benötigen Sie möglicherweise einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Wir stellen einen vorunterschriebenen AVV bereit, der Folgendes enthält:

• Die nach Art. 28 DSGVO erforderlichen Auftragsverarbeitungsklauseln
• Die aktuellen EU-Standardvertragsklauseln (Modul 2: Verantwortlicher–Auftragsverarbeiter) für internationale Übermittlungen
• Eine Liste der genannten Unterauftragsverarbeiter mit Zweck und Standort
• Anhänge mit den technischen und organisatorischen Maßnahmen (TOMs)

06 Genannte Unterauftragsverarbeiter

Wir geben Daten nur an Dienstleister weiter, die sie in unserem Auftrag verarbeiten. Jeder Anbieter ist durch einen AVV gebunden.

OpenAI — Details

Wenn Ihr Plan KI-Insights beinhaltet, werden die technischen Audit-Ergebnisse des jeweiligen Audits an OpenAI übermittelt. Wir senden dabei ausschließlich die technischen Befunde und die geprüfte URL — niemals Name, E-Mail, Konto-ID oder andere identifizierende Informationen. OpenAI nutzt API-Daten nicht zum Modelltraining und behält Daten maximal 30 Tage. KI-Insights können in den Kontoeinstellungen deaktiviert werden.

07 Internationale Datenübermittlungen

Die primäre Datenspeicherung erfolgt in der Schweiz auf Hostpoint-Servern. Die Schweiz ist nach EU-Recht ein anerkannter Drittstaat mit angemessenem Schutzniveau — für Übermittlungen aus dem EWR in die Schweiz sind keine Standardvertragsklauseln erforderlich.

Für Unterauftragsverarbeiter außerhalb der Schweiz oder des EWR (insbesondere OpenAI in den USA) stützen wir uns auf geeignete Garantien nach Art. 46 DSGVO — primär die EU-Standardvertragsklauseln (2021/914) und ergänzende Maßnahmen.

08 Technische und organisatorische Maßnahmen (TOMs)

• Verschlüsselung in der Übertragung — TLS 1.3 für alle Verbindungen
• Verschlüsselung at rest — Datenbanken und Backups verschlüsselt
• Passwort-Hashing — verschlüsselt, niemals im Klartext
• Zwei-Faktor-Authentifizierung — für alle Konten verfügbar
• Schweizer Hosting — Hostpoint betreibt ISO 27001-zertifizierte Rechenzentren
• Zugriffskontrolle — ausschließlich autorisiertes Personal mit protokolliertem Zugriff

09 Datenpannen-Benachrichtigung

Im Falle einer Datenpanne benachrichtigen wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden gemäß Art. 33 DSGVO. Betroffene Personen oder Verantwortliche (wenn wir als Auftragsverarbeiter handeln) werden unverzüglich benachrichtigt, wenn die Panne voraussichtlich ein hohes Risiko für Rechte und Freiheiten darstellt (Art. 34 DSGVO).

10 DSB & Kontakt

Für alle DSGVO-Angelegenheiten:

• Datenschutz-Team: [email protected]
• AVV-Anfragen: [email protected] (Betreff: „AVV-Anfrage")
• Allgemeiner Support: [email protected]

Wir antworten auf DSGVO-Anfragen innerhalb von 30 Tagen.

Smart SEO Audit · Schweiz 🇨🇭