Datenschutzerklärung

1. Einleitung

CiteRadar ("wir", "unser" oder "uns") verpflichtet sich zum Schutz Ihrer Privatsphäre und personenbezogenen Daten. Diese Datenschutzerklärung erklärt, wie wir Ihre Informationen sammeln, verwenden, teilen und schützen, wenn Sie unseren KI-Sichtbarkeits-Tracking-Service nutzen.

Unser Privacy-First-Prinzip: Wir analysieren nur öffentliche KI-Modelausgaben. Wir greifen niemals auf Ihre Kundendaten, CRM-Systeme oder Website-Besucher zu.

2. Daten, die wir erheben

Kontoinformationen

• E-Mail-Adresse: Verwendet für Authentifizierung, Benachrichtigungen und Kontowiederherstellung.
• Name: Optional, für Personalisierung verwendet.
• Passwort: Sicher mit bcrypt gehasht, niemals im Klartext gespeichert.
• Profilbild: Optional, gespeichert in Cloudflare R2 (EU-Region).

Service-Nutzungsdaten

• Verfolgte Domains: Öffentliche Website-Domains, die Sie in KI-Antworten überwachen möchten.
• Prompts: Die Prompts, die Sie erstellen, um die KI-Sichtbarkeit zu testen.
• Snapshot-Ergebnisse: KI-Modellantworten auf Ihre Prompts (nur öffentliche KI-Ausgaben).
• KI-generierte Insights: Automatisierte Analyse Ihrer Sichtbarkeitsdaten.

Abrechnungsinformationen

• Stripe-Kunden-ID: Verknüpft Ihr Konto mit Stripe für die Zahlungsabwicklung.
• Abonnementstatus: Ihr Plan und Abrechnungszyklus.

Hinweis: Wir speichern KEINE Kreditkartennummern, Bankdaten oder CVV-Codes. Die gesamte Zahlungsabwicklung wird sicher von Stripe durchgeführt.

Technische Daten

• IP-Adresse: Für Sicherheit gehasht, niemals im Klartext gespeichert.
• User Agent: Browser-/Geräteinformationen für Sitzungsverwaltung.
• Audit-Logs: In Ihrem Konto durchgeführte Aktionen für Sicherheitszwecke.

3. Wie wir Ihre Daten verwenden

Servicebereitstellung

• Authentifizierung und Verwaltung Ihres Kontos
• Ausführung von KI-Sichtbarkeits-Prompts in Ihrem Namen
• Berechnung von Sichtbarkeitswerten und Wettbewerbsanalysen
• Generierung von Insights und Empfehlungen

Kommunikation

• Versand von E-Mail-Verifizierung und Passwort-Zurücksetzen-E-Mails
• Versand täglicher Zusammenfassungsberichte (falls aktiviert)
• Benachrichtigung über wichtige Kontoänderungen
• Beantwortung von Support-Anfragen

Abrechnung

• Verarbeitung von Abonnementzahlungen über Stripe
• Verfolgung der Nutzung gegen Ihre Planlimits
• Versand von Abrechnungsbenachrichtigungen und Quittungen

Sicherheit & Compliance

• Führung von Audit-Logs für Sicherheitszwecke
• Erkennung und Verhinderung von Betrug oder Missbrauch
• Überwachung der Systemgesundheit und -leistung

4. Drittanbieter-Dienstleister

Wir arbeiten mit den folgenden Drittanbieter-Dienstleistern zusammen, um unseren Service bereitzustellen:

KI-Modellanbieter

Wenn Sie Prompts ausführen, senden wir nur den Prompt und Domainnamen an KI-Anbieter. Wir senden NIEMALS Ihre E-Mail, Namen, Organisationsdaten oder personenbezogene Informationen an KI-Modelle.

EU-gehostete Modelle:

• OpenAI: Modus ohne Datenspeicherung aktiviert
• Google Vertex AI: EU-Region (europe-west1) mit DSGVO-Konformität
• Anthropic: Modus ohne Datenspeicherung aktiviert

Wichtig: KI-Anbieter erhalten nur generische Prompts wie "Was sind die besten Projektmanagement-Tools?" zusammen mit den öffentlichen Domainnamen, die Sie verfolgen.

Alle KI-API-Aufrufe werden mit Konfiguration ohne Datenspeicherung durchgeführt, wo verfügbar.

EU-Datenresidenz

Für Nutzer im Europäischen Wirtschaftsraum (EWR) stellen wir sicher, dass Ihre Daten in der EU bleiben:

• Regionserkennung: Wir erkennen Ihre Region bei der Registrierung, um die Datenverarbeitung zu bestimmen.
• Modellfilterung: EU-Nutzer sehen nur KI-Modelle, die EU-Datenverarbeitung unterstützen.
• EU-Infrastruktur: Alle Kerndaten werden in EU-Regionen gespeichert:
  • Datenbank: Railway Frankfurt (eu-west)
  • Dateispeicher: Cloudflare R2 (WEUR-Region)
  • Cache: Upstash Redis (eu-frankfurt)
  • E-Mail: Resend (EU-Region)
• KI-Verarbeitung: Bei Verwendung von EU-gehosteten Modellen (Google Vertex AI) bleibt die gesamte KI-Verarbeitung in der EU.

5. Ihre DSGVO-Rechte

Gemäß der Datenschutz-Grundverordnung (DSGVO) haben Sie folgende Rechte:

Recht auf Auskunft

Sie können eine Kopie aller personenbezogenen Daten anfordern, die wir über Sie gespeichert haben.

So üben Sie es aus: Gehen Sie zu Einstellungen → Daten exportieren, oder kontaktieren Sie uns unter [email protected]

Recht auf Berichtigung

Sie können alle unrichtigen personenbezogenen Daten, die wir gespeichert haben, korrigieren.

So üben Sie es aus: Aktualisieren Sie Ihr Profil in den Einstellungen oder kontaktieren Sie uns für Unterstützung.

Recht auf Löschung

Sie können die Löschung Ihres Kontos und aller zugehörigen Daten beantragen.

So üben Sie es aus: Gehen Sie zu Einstellungen → Konto löschen, oder senden Sie eine E-Mail an [email protected]. Wir werden Ihre Daten innerhalb von 30 Tagen dauerhaft löschen.

Recht auf Datenübertragbarkeit

Sie können Ihre Daten in einem maschinenlesbaren Format (CSV) exportieren.

So üben Sie es aus: Nutzen Sie die Daten-Export-Funktion in den Einstellungen, um alle Ihre Organisationsdaten herunterzuladen.

Widerspruchsrecht

Sie können der Verarbeitung Ihrer Daten für bestimmte Zwecke widersprechen.

So üben Sie es aus: Kontaktieren Sie uns unter [email protected], um Ihre Bedenken zu besprechen.

6. Datensicherheit

• Verschlüsselung: Alle Daten werden bei der Übertragung (TLS 1.3) und im Ruhezustand verschlüsselt.
• IP-Hashing: IP-Adressen werden vor der Speicherung mit SHA-256 gehasht.
• Zugriffskontrolle: Rollenbasierter Zugriff mit Isolation auf Organisationsebene.
• Audit-Logs: Alle Kontoaktionen werden zur Sicherheitsüberprüfung protokolliert.
• Sichere Kommunikation: Alle Verbindungen verwenden HTTPS mit strikter Transportsicherheit.

7. Datenaufbewahrung

• Kontodaten: Werden aufbewahrt, solange Ihr Konto aktiv ist.
• Sitzungsdaten: Sitzungen verfallen nach 7 Tagen Inaktivität.
• Audit-Logs: Werden 90 Tage für Sicherheitszwecke aufbewahrt.
• Soft-gelöschte Konten: Werden nach 30 Tagen dauerhaft gelöscht.
• Team-Einladungen: Verfallen nach 7 Tagen.

8. Cookies & Tracking

Wir verwenden nur minimale, essenzielle Cookies:

• Authentifizierungs-Cookies: Erforderlich für Anmeldesitzungen (httpOnly, secure, SameSite=Lax).
• Keine Tracking-Cookies: Wir verwenden KEIN Google Analytics, Facebook Pixel oder anderes Drittanbieter-Tracking.
• Keine Werbe-Cookies: Wir verkaufen Ihre Daten NICHT und zeigen keine Werbung.

9. Internationale Datenübermittlungen

EU-Datenresidenz: Wir speichern alle personenbezogenen Daten standardmäßig in EU-Regionen.

Für alle Dienste, die Daten außerhalb der EU verarbeiten (z.B. OpenAI, Anthropic), stellen wir sicher, dass angemessene Garantien vorhanden sind, einschließlich Standardvertragsklauseln (SVK) und Konfigurationen ohne Datenspeicherung.

10. Datenschutz für Kinder

CiteRadar ist nicht für Nutzer unter 16 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Wenn Sie glauben, dass wir Daten von einem Kind erhoben haben, kontaktieren Sie uns bitte umgehend.

11. Änderungen dieser Richtlinie

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wir werden Sie über wesentliche Änderungen per E-Mail und durch Aktualisierung des "Zuletzt aktualisiert"-Datums am Anfang dieser Richtlinie informieren.

12. Kontakt

Wenn Sie Fragen zu dieser Datenschutzerklärung haben oder Ihre DSGVO-Rechte ausüben möchten, kontaktieren Sie uns bitte:

13. Auftragsverarbeitungsvertrag (AVV)

Wenn Ihre Organisation einen Auftragsverarbeitungsvertrag für die DSGVO-Konformität benötigt, kontaktieren Sie uns bitte unter [email protected] und wir werden innerhalb von 5 Werktagen einen bereitstellen.

14. Einwilligung

Durch die Nutzung von CiteRadar willigen Sie in die Erhebung und Verwendung Ihrer Informationen gemäß dieser Datenschutzerklärung ein. Sie können Ihre Einwilligung jederzeit durch Löschung Ihres Kontos widerrufen.