Datenschutzerklärung

Mit dieser Datenschutzerklärung informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung von Empcora. Wir legen größten Wert auf den Schutz Ihrer Daten und halten uns strikt an die Vorgaben der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG).

Geltungsbereich

Diese Datenschutzerklärung gilt für alle Domains der Empcora-Markenfamilie:

• empcora.de
• empcora.com
• empcora.eu
• empco-pruefung.de
• empco-konform.de
• greenwashing-check.de
• greenwashing-pruefen.de
• greenclaim-guard.de

Sämtliche Spoke-Domains werden vom selben Verantwortlichen (siehe Abschnitt 1) betrieben und auf die Hauptdomain empcora.de weitergeleitet. Die nachfolgenden Angaben gemäß Art. 13 DSGVO gelten für jede dieser Domains gleichermaßen.

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

Marcel Schlüter IT-Services
Empcora
Kollwitzstraße 76
10435 Berlin
Deutschland
E-Mail: [email protected]

1a. Datenschutzbeauftragter

Als Einzelunternehmer sind wir nach § 38 BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Bei datenschutzrechtlichen Anliegen wenden Sie sich bitte direkt an den oben genannten Verantwortlichen.

2. Verarbeitungszwecke

Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken:

• Bereitstellung des SaaS-Dienstes: Registrierung, Authentifizierung, Verwaltung von Konto und Organisation, Durchführung von Compliance-Scans
• Zahlungsabwicklung: Abrechnung kostenpflichtiger Plans über Stripe
• KI-gestützte Analyse: Reformulierung von Werbeaussagen mittels Claude API (Anthropic)
• E-Mail-Kommunikation: Bestätigungen, Scan-Ergebnisse, Passwort-Reset, Rechnungen, Support
• Bearbeitung von Kontaktanfragen: Beantwortung Ihrer Anfragen über das Kontaktformular oder per E-Mail
• Logging und Sicherheit: Abuse-Prävention, Fehlerdiagnose, Schutz vor Angriffen
• Erfüllung gesetzlicher Pflichten: Aufbewahrung von Rechnungen nach § 147 AO (10 Jahre)

3. Rechtsgrundlagen

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen): Bereitstellung des SaaS-Dienstes, Zahlungsabwicklung, KI-Analyse als vertraglich vereinbarte Leistung, E-Mail-Versand zu Vertragszwecken, Bearbeitung von Kontaktanfragen mit vorvertraglichem Bezug
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Aufbewahrung steuerrelevanter Unterlagen nach § 147 AO und § 14b UStG
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Logging zur Abuse-Prävention und IT-Sicherheit, Crawler-Anfragen zur Erbringung des Scan-Dienstes, Bearbeitung allgemeiner Kontaktanfragen ohne vorvertraglichen Bezug
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): freiwillige Newsletter-Anmeldungen (sofern angeboten), optionale Marketing-Kommunikation
• § 25 Abs. 2 Nr. 2 TDDDG (unbedingte technische Erforderlichkeit): Speichern von und Zugriff auf Informationen in der Endeinrichtung des Nutzers im Rahmen technisch notwendiger Cookies (Authentifizierung, Bot-Schutz, Sicherheitsprüfung) — siehe Abschnitt 8

4. Datenarten

Wir verarbeiten folgende Kategorien personenbezogener Daten:

• Stammdaten: Name, E-Mail-Adresse, Firmenname, ggf. Anschrift bei kostenpflichtigen Plans
• Anmelde- und Authentifizierungsdaten: bcrypt-Hash des Passworts (Cost-Faktor 12), JWT-Authentifizierungs-Token, Session-Cookie
• Nutzungsdaten: gescannte Domains und URLs, gefundene Claims, Scan-Ergebnisse, Compliance-Score, KI-Reformulierungen
• Kommunikationsdaten: Inhalte aus dem Kontaktformular (Name, E-Mail, Betreff, Nachricht), Support-Korrespondenz
• Zahlungsdaten: Stripe-Customer-ID, Stripe-Subscription-ID, Rechnungsnummer, Rechnungsbetrag, Zahlungsstatus. Kreditkarten- oder SEPA-Daten werden ausschließlich von Stripe verarbeitet und sind für uns nicht einsehbar.
• Scan-Daten Dritter: öffentlich abrufbarer Inhalt der von Ihnen angegebenen Website (Meta-Tags, Texte, Werbeaussagen). Auf gescannten Websites können beiläufig personenbezogene Daten Dritter enthalten sein (z. B. Mitarbeiternamen auf Team-Seiten, Impressums-Daten). Das vollständige Roh-HTML der gescannten Seiten wird unmittelbar nach Abschluss der Analyse verworfen und nicht dauerhaft gespeichert. Persistent gespeichert werden ausschließlich die identifizierten Werbeaussagen („Claims"), deren Bewertung und ein Verweis auf die Quell-URL — diese Datensätze werden zur Reproduzierbarkeit und für Vergleichs-Scans 24 Monate ab Durchführung des Scans aufbewahrt und anschließend automatisch gelöscht. Eine Anreicherung mit zusätzlichen Daten Dritter findet nicht statt.
• Logfile-Daten: IP-Adresse, Zeitstempel, User-Agent, Referrer, aufgerufene URL, HTTP-Statuscode

5. Speicherdauer

Wir speichern Ihre Daten nur solange, wie dies für die jeweiligen Zwecke erforderlich oder gesetzlich vorgeschrieben ist:

• Konto- und Stammdaten: bis zur Löschung Ihres Kontos, anschließend Anonymisierung bzw. Löschung innerhalb von 30 Tagen
• Scan-Ergebnisse: 24 Monate ab Durchführung des Scans, anschließend automatische Löschung
• Rechnungen und steuerrelevante Unterlagen: 10 Jahre gemäß § 147 AO und § 14b UStG
• Logfiles: 30 Tage zur Abuse-Prävention, danach automatische Löschung
• Kontaktanfragen: bis zur abschließenden Bearbeitung Ihrer Anfrage, anschließend Löschung sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• Authentifizierungs-Cookie: rollenabhängig — 24 Stunden ab Anmeldung für reguläre Nutzer (Rollen user, support), 7 Tage für Administratoren (Rolle admin). Der zugehörige Refresh-Token läuft in jedem Fall nach 7 Tagen ab. Beim Logout werden beide Cookies sofort gelöscht.
• Cloudflare-Sicherheits-Cookies: __cf_bm 30 Minuten, _cfuvid Session, cf_clearance bis zu 30 Tage (siehe Abschnitt 8b)

6. Auftragsverarbeiter und Empfänger

Wir setzen sorgfältig ausgewählte Auftragsverarbeiter ein, mit denen wir Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen haben. Folgende Dienstleister verarbeiten in unserem Auftrag personenbezogene Daten:

Datenbanken (PostgreSQL, Redis) werden ausschließlich auf unseren Servern bei Hetzner in Deutschland betrieben. Es findet keine Übermittlung an Dritte statt, die nicht in dieser Liste aufgeführt sind.

6a. Auftragsverarbeitung als Auftragnehmer

Soweit Sie als Nutzer Domains scannen lassen, deren Inhalt personenbezogene Daten Dritter enthält (z. B. Geschäftsführer-Namen im Impressum, Mitarbeiternamen auf Team-Seiten, Kontaktdaten), werden wir hinsichtlich dieser Daten Auftragsverarbeiter i. S. d. Art. 28 DSGVO und Sie sind Verantwortlicher. Wir setzen in dieser Verarbeitung folgende Unter-Auftragsverarbeiter ein, deren Sitz teilweise in den USA liegt (Drittlandstransfer auf Basis der EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO): Anthropic PBC (USA, KI-Reformulierung), Cloudflare Inc. (USA, CDN/WAF) und Hetzner Online GmbH (Deutschland, Hosting). Ihre Pflichten als Verantwortlicher nach Art. 28 Abs. 2 und Art. 44 ff. DSGVO bleiben davon unberührt. Eine entsprechende Vereinbarung zur Auftragsverarbeitung (AVV) inklusive Sub-Auftragsverarbeiter-Liste stellen wir auf Anfrage individuell bereit — kontaktieren Sie uns hierzu über unser Kontaktformular.

7. Drittlandstransfer

Eine Übermittlung Ihrer personenbezogenen Daten in Drittländer außerhalb des EWR erfolgt nur, soweit dies für die Erbringung unserer Leistungen erforderlich ist. Konkret findet ein Drittlandstransfer in die USA statt bei:

• Anthropic PBC (USA): Übermittlung von Claim-Texten an die Claude API zur KI-gestützten Reformulierung. Es werden ausschließlich Text-Snippets ohne Personenbezug übermittelt. Die Verarbeitung erfolgt mit aktiviertem „disable training"-Flag, sodass Ihre Daten nicht für das Training der Modelle verwendet werden.
• Cloudflare Inc. (USA): Routing von Web-Requests, DNS-Auflösung, Schutz vor Angriffen.
• Stripe Payments Europe Ltd. (US-Mutter): Bei der Zahlungsabwicklung kann es technisch zu einem Datentransfer an die US-Muttergesellschaft kommen.

Die Übermittlung erfolgt jeweils auf Grundlage der Standardvertragsklauseln der EU-Kommission (SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzender technischer und organisatorischer Maßnahmen. Eine Kopie der jeweiligen SCCs stellen wir Ihnen auf Anfrage zur Verfügung.

7a. Transfer Impact Assessment (TIA)

Im Lichte der Schrems-II-Rechtsprechung des EuGH (C-311/18) haben wir für jeden US-Drittlandstransfer eine Folgenabschätzung (TIA) durchgeführt und kommen zu folgendem Ergebnis:

• Anthropic PBC: Es werden ausschließlich Werbe-Texte ohne Personenbezug (z. B. „klimaneutral hergestellt") an die API übermittelt. Anthropic veröffentlicht Behördenanfragen-Transparenzberichte. Der „disable training"-Flag verhindert die Nutzung der Daten für Modell-Training. Risiko aus US-Behördenzugriff (FISA 702) wird durch fehlenden Personenbezug minimiert.
• Cloudflare Inc.: Cloudflare betreibt EU-Datenzentren und bietet die „Data Localization Suite", durch die IP-Adressen und Verbindungsdaten primär in der EU verbleiben. Für Backbone-Routing kann ein flüchtiger US-Transit erfolgen. SCCs sind abgeschlossen.
• Stripe Payments Europe Ltd.: Vertragspartner ist die irische Stripe-Tochter mit EU-Servern. Eine Übermittlung in die USA an die Mutter Stripe Inc. erfolgt nur in eng definierten Fällen (Anti-Money-Laundering, Behördenanfragen). Stripe ist PCI-DSS-zertifiziert; Karteninhaberdaten werden nicht von uns gespeichert.

Die vollständige TIA-Dokumentation stellen wir auf schriftliche Anfrage zur Verfügung.

8. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies. Sie sind für den Betrieb der Anmeldung, des Bezahlvorgangs und des Schutzes vor automatisierten Angriffen unbedingt erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG):

8a. Eigene Cookies

• empcora_token · Domain: empcora.de · Laufzeit: 24 Stunden für reguläre Nutzer (Rollen user, support), 7 Tage für Administratoren · HttpOnly, SameSite=Lax · Zweck: Authentifizierung angemeldeter Nutzer mittels signiertem JSON-Web-Token (JWT). Inhalt: ausschließlich die User-ID (kein Klartext-Personenbezug, keine E-Mail, kein Name). Ergänzend besteht ein empcora_refresh-Cookie mit 7 Tagen Laufzeit zur stillen Sitzungsverlängerung ohne erneute Passwort-Eingabe.

8b. Cookies durch Cloudflare (Sicherheit/Bot-Schutz)

Cloudflare schützt unsere Infrastruktur vor automatisierten Angriffen (DDoS, Bots, Scraping). Hierfür werden bei jedem Aufruf folgende Cookies auf der Domain gesetzt — alle als „strictly necessary" eingestuft:

• __cf_bm · Cloudflare · Laufzeit: 30 Minuten · Zweck: Bot-Management, Unterscheidung zwischen menschlichen und automatisierten Aufrufen. Setzt einen anonymen Bot-Score, kein Personenbezug.
• cf_clearance · Cloudflare · Laufzeit: bis zu 30 Tage · Zweck: Speichert das Ergebnis einer überstandenen Sicherheitsprüfung (z. B. Captcha bei verdächtigem Traffic), damit der Nutzer nicht bei jedem Aufruf erneut prüfen muss. Wird nur bei aktivierter Sicherheitsprüfung gesetzt.
• _cfuvid · Cloudflare · Laufzeit: Session · Zweck: Bindung an die Rate-Limit-Regeln, verhindert Umgehung des Schutzes durch Cookie-Wechsel. Kein Werbe- oder Tracking-Zweck.

Rechtsgrundlage für diese Cookies ist § 25 Abs. 2 Nr. 2 TDDDG (unbedingte Erforderlichkeit für die vom Nutzer gewünschte Telemediendienst-Leistung) i. V. m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Angriffen).

8c. Cookies im Bezahlvorgang (Stripe)

Hinweis zu Stripe-Cookies: Beim Wechsel in die Stripe-Checkout-Seite (Bezahlvorgang) setzt Stripe eigene Cookies auf checkout.stripe.com zur Betrugsprävention und Session-Verwaltung. Diese Cookies sind technisch erforderlich für die Zahlungsabwicklung. Datenschutzhinweise von Stripe: stripe.com/de/privacy.

Es werden auf unseren Seiten keine Tracking-, Analyse- oder Marketing-Cookies gesetzt. Ein Consent-Banner ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

8d. Reichweitenmessung mit Umami (selbst gehostet, cookielos)

Zur statistischen Auswertung der Website-Nutzung setzen wir die Open-Source-Software Umami ein, die vollständig auf eigener Infrastruktur in Deutschland (Hetzner Online GmbH) betrieben wird. Eine Übermittlung an Dritte findet nicht statt.

Umami arbeitet cookielos: Es werden keine Cookies gesetzt und keine Informationen in der Endeinrichtung des Nutzers gespeichert oder ausgelesen. Daher ist keine Einwilligung nach § 25 TDDDG erforderlich.

Erfasst werden ausschließlich aggregierte, nicht zur Identifizierung geeignete Daten: aufgerufene Seiten (Pfad), Referrer-Domain, ungefähre Herkunft auf Landesebene, Browser- und Gerätetyp, Datum und Uhrzeit. Die IP-Adresse wird nur transient verarbeitet und nicht dauerhaft gespeichert. Ein etwaiger Besucher-Kennwert wird serverseitig aus IP-Adresse und Browserkennung gebildet, gehasht und täglich rotiert — kein dauerhaftes oder geräteübergreifendes Tracking.

Rechtsgrundlage: berechtigtes Interesse an datensparsamer, anonymer Reichweitenmessung (Art. 6 Abs. 1 lit. f DSGVO).

Browser-Do-Not-Track-Signale werden respektiert; bei aktiviertem DNT findet keine Messung statt.

9. Logfiles

Bei jedem Aufruf unserer Website werden folgende Daten in Logfiles erfasst:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• User-Agent (Browser, Betriebssystem)
• Referrer-URL
• aufgerufene URL und HTTP-Statuscode

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in der Abuse-Prävention, Fehlerdiagnose und IT-Sicherheit. Die Logs werden nach 30 Tagen automatisch gelöscht.

10. Crawler-Daten

Wenn Sie eine URL zur Compliance-Prüfung eingeben, ruft unser Crawler die öffentlich zugängliche Website ab und analysiert deren Inhalte (Meta-Tags, Texte, Werbeaussagen). Dabei beachten wir folgende Grundsätze:

• Wir crawlen ausschließlich öffentlich zugängliche Bereiche der von Ihnen angegebenen Domain
• Wir respektieren robots.txt und Crawl-Delays
• Wir umgehen keine Authentifizierung oder Paywalls
• Sie sichern uns als Nutzer zu, dass Sie zum Crawlen der angegebenen Domain berechtigt sind (Eigentum, Mandat o. Ä.)
• Auf den gescannten Seiten können beiläufig personenbezogene Daten Dritter enthalten sein (Impressums-Pflichtangaben, Geschäftsführer-/Inhaber-Namen, Team-/Mitarbeiterprofile, Kontaktdaten). Diese Daten werden ausschließlich zur Durchführung des von Ihnen beauftragten Scans verarbeitet, nicht angereichert und — soweit es sich um Roh-HTML handelt — unmittelbar nach Abschluss der Analyse verworfen. Identifizierte Claims werden 24 Monate gespeichert (Abschnitt 5). Die datenschutzrechtliche Verantwortung gegenüber den betroffenen Dritten liegt nach Art. 4 Nr. 7 DSGVO bei Ihnen als Nutzer (Verantwortlicher); wir handeln insoweit als Auftragsverarbeiter (siehe Abschnitt 6a).

11. Kontaktformular

Wenn Sie unser Kontaktformular nutzen, verarbeiten wir die von Ihnen eingegebenen Daten (Name, E-Mail, Betreff, Nachricht, optional Telefon) zur Beantwortung Ihrer Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung Ihrer Anfrage).

Zum Schutz vor Spam-Bots verwenden wir ein Honeypot-Feld und ein IP-basiertes Rate-Limiting (max. 3 Anfragen pro Stunde pro IP). Ihre Anfragen werden bis zur abschließenden Bearbeitung gespeichert und anschließend gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

12. Newsletter

Wir versenden ca. 1× pro Monat einen Newsletter mit EmpCo-Updates, BGH-/OLG-Urteilen und Compliance-Hinweisen. Der Versand erfolgt ausschließlich nach ausdrücklicher Einwilligung im Double-Opt-In-Verfahren (Bestätigung der Anmeldung über einen Link in einer separaten Bestätigungs-E-Mail).

• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 7 Abs. 2 Nr. 3 UWG.
• Verarbeitete Daten: E-Mail-Adresse, Bestätigungs-Status (pending / aktiv / abgemeldet), DOI-Token (24 h gültig), permanenter Abmelde-Token, Anmelde-Quelle, IP-Hash (SHA-256-gekürzt, zum Spam-Schutz, nicht rückführbar auf die IP), User-Agent (max. 200 Zeichen), Zeitstempel.
• Zweck: Versand des Newsletters; Nachweis der Einwilligung (Art. 7 Abs. 1 DSGVO); Spam-/Missbrauchsschutz.
• Speicherdauer: Aktive Abonnements unbegrenzt (bis zur Abmeldung). Nach Abmeldung wird der Status „abgemeldet" mit Zeitstempel für mindestens 12 Monate zum Nachweis der Widerrufsausübung gespeichert; danach erfolgt die Anonymisierung oder Löschung. Unbestätigte DOI-Anfragen werden nach Token-Ablauf (24 h) automatisch verworfen.
• Widerruf (Art. 7 Abs. 3 DSGVO): Sie können Ihre Einwilligung jederzeit und ohne Angabe von Gründen widerrufen — entweder über den persönlichen Abmelde-Link, der in jeder Newsletter-E-Mail enthalten ist, oder per E-Mail an [email protected]. Der Widerruf gilt unmittelbar; bereits versendete Mails sind davon unberührt.
• Versand-Dienstleister: Versand erfolgt über unseren eigenen Mail-Server (Mailcow, gehostet in Deutschland). Keine Übermittlung an Dritte oder in Drittländer.

13. Zahlungsabwicklung über Stripe

Für die Abwicklung kostenpflichtiger Plans nutzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Stripe ist ein PCI-DSS-zertifizierter Zahlungsdienstleister.

Bei der Bezahlung werden die Zahlungsdaten (Kreditkartennummer, IBAN etc.) direkt an Stripe übermittelt und ausschließlich dort verarbeitet. Wir erhalten keinen Zugriff auf Ihre Kartendaten oder IBAN. Wir speichern lediglich die von Stripe vergebene Customer-ID, Subscription-ID, Rechnungsnummer sowie den Zahlungsstatus.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Datenschutzerklärung von Stripe finden Sie unter: https://stripe.com/de/privacy

14. KI-Analyse über Anthropic Claude API

Für die KI-gestützte Reformulierung problematischer Werbeaussagen nutzen wir die Claude-API von Anthropic PBC, San Francisco, USA. Übermittelt werden ausschließlich:

• der zu reformulierende Werbe-Text (z. B. „klimaneutral", „nachhaltig")
• der Kontext der Werbeaussage (z. B. Branche, Seitentyp)

Übermittelt werden ausschließlich die Werbeaussage und ein knapper fachlicher Kontext (Branche, Seitentyp). Wir übermitteln aktiv keine Stamm- oder Kontaktdaten (keine E-Mail, keine Konto-ID, keine IP-Adresse, keinen Namen). Soweit ein Werbe-Text Eigennamen einer natürlichen Person enthalten sollte (z. B. Inhaber- oder Geschäftsführer-Name in einem Slogan), kann ein mittelbarer Personenbezug i. S. d. Art. 4 Nr. 1 DSGVO nicht vollständig ausgeschlossen werden — die Übermittlung erfolgt dann auf Basis des AVV nach Art. 28 DSGVO sowie der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Der „disable training"-Flag ist aktiviert, sodass Ihre Texte nicht zum Training der Claude-Modelle verwendet werden. Soweit Sie als Nutzer Werbe-Texte Dritter scannen, handelt Empcora insoweit als Auftragsverarbeiter (siehe Abschnitt 6a) und Anthropic als Unter-Auftragsverarbeiter.

Datenschutzerklärung Anthropic: https://www.anthropic.com/legal/privacy

Keine automatisierte Einzelfallentscheidung (Art. 22 DSGVO): Weder die algorithmische Compliance-Bewertung (Ampel-Status ROT/GELB/GRÜN, Score A bis F, Compliance-Badge) noch die KI-gestützte Reformulierung stellen eine automatisierte Entscheidung im Einzelfall i. S. d. Art. 22 Abs. 1 DSGVO dar.

Begründung: (i) Die Bewertungen entfalten keine rechtliche Wirkung gegenüber dem Nutzer oder Dritten — sie sind technische Hinweise auf Basis öffentlicher Rechtsquellen. (ii) Aus einem Score oder einer Reformulierung folgen keine automatischen Sanktionen, Sperren oder sonstigen ähnlich erheblichen Beeinträchtigungen; insbesondere bewirkt das Compliance-Badge keine Außenwirkung mit rechtlicher Verbindlichkeit. (iii) Die finale Entscheidung über die Verwendung einer Werbeaussage oder eines Reformulierungs-Vorschlags liegt ausschließlich beim Nutzer; eine menschliche Prüfung — idealerweise durch einen zugelassenen Rechtsanwalt — bleibt erforderlich.

Hierzu verweisen wir ergänzend auf den RDG-Hinweis in § 1 Abs. 5 AGB sowie die Klarstellung zum Charakter der Tool-Ergebnisse in § 10 AGB (Compliance-Bewertung: Charakter, Grenzen und Haftungsausschluss).

Recht auf Einbeziehung einer Person: Sollten Sie dennoch eine Bewertung als ähnlich erhebliche Beeinträchtigung empfinden, können Sie sich jederzeit an [email protected] wenden. Wir werden Ihren Fall manuell prüfen und Ihnen das Ergebnis schriftlich mitteilen (Art. 22 Abs. 3 DSGVO).

14a. Audit-Report-PDF

Nach Abschluss eines kostenpflichtigen Scans erzeugen wir einen Audit-Report im PDF-Format, der über das Konto-Dashboard zum Download bereitsteht und auf Wunsch per E-Mail an die in Ihrem Konto hinterlegte Adresse versandt wird. Der Report enthält die gescannte URL, die identifizierten Werbeaussagen mit Bewertung, KI-Reformulierungs-Vorschläge sowie im Footer einen Erstellungs-Zeitstempel und die Scan-ID zur Zuordnung. Eine Übermittlung an Dritte erfolgt nicht; die PDF-Datei wird zusammen mit dem Scan-Datensatz 24 Monate gespeichert und anschließend automatisch gelöscht (siehe Abschnitt 5). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

14b. Greenwashing-Check-Widget (Embed)

Wir stellen ein einbettbares Mini-Widget („Greenwashing-Check-Widget") zur Verfügung, das von Drittseiten per <iframe> über die URL https://empcora.de/embed/widget eingebunden werden kann. Wenn Sie dieses Widget benutzen, gelten folgende Datenschutzhinweise:

• Verantwortlicher: Marcel Schlüter IT-Services (Empcora), Kollwitzstraße 76, 10435 Berlin (siehe Abschnitt 1).
• Erhobene Daten: die von Ihnen in das Widget eingegebene URL sowie Ihre IP-Adresse, die beim Aufruf des Widgets und beim Auslösen eines Scans technisch übertragen wird. Die Kommunikation läuft über unsere tRPC-API auf empcora.de.
• Zweck: Durchführung des Greenwashing-Scans für die von Ihnen eingegebene URL sowie Anwendung eines IP-basierten Rate-Limits zum Schutz vor automatisiertem Missbrauch (Denial-of-Service-Schutz).
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Erbringung der vom Nutzer angeforderten Scan-Leistung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz unserer Infrastruktur vor DoS-/Missbrauchsangriffen).
• Speicherdauer: Die IP-Adresse wird zum Zweck des Rate-Limits maximal 24 Stunden in einem flüchtigen Cache vorgehalten und anschließend automatisch verworfen. Die Scan-Daten (eingegebene URL, identifizierte Claims, Bewertung) werden gemäß den Regeln in Abschnitt 5 dieser Datenschutzerklärung („Scan-Ergebnisse", 24 Monate) gespeichert.
• Drittland-Transfer: Kein Drittland-Transfer im Rahmen der Widget-Nutzung selbst. Die Verarbeitung erfolgt auf unseren Servern bei Hetzner in Deutschland; Cloudflare wird ggf. wie in Abschnitt 16 beschrieben zur Anbindung eingesetzt. Soweit für die KI-gestützte Claim-Reformulierung die Claude-API von Anthropic genutzt wird, gelten ergänzend die Hinweise aus Abschnitt 7 und Abschnitt 14.
• Empfänger: Es findet keine Weitergabe an Dritte statt, die über die in Abschnitt 6 genannten Auftragsverarbeiter hinausgeht.
• Widerspruchs- und Auskunftsrecht: Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen und Ihre Betroffenenrechte (Auskunft, Löschung, Einschränkung etc., siehe Abschnitt 17) ausüben — wenden Sie sich hierfür an [email protected].

Hinweis zu eingebetteten Widgets auf Drittseiten: Wenn das Widget auf der Website eines Dritten eingebettet ist, gilt zusätzlich die Datenschutzerklärung des jeweiligen Drittseiten-Betreibers. Der Drittseiten-Betreiber ist eigenständiger Verantwortlicher für die Datenverarbeitung auf seiner Seite (Art. 4 Nr. 7 DSGVO) und hat seine Nutzer entsprechend zu informieren.

15. Hosting bei Hetzner

Unsere Server, die Datenbank (PostgreSQL) und der Cache (Redis) werden bei der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland gehostet. Die Server stehen ausschließlich in deutschen Rechenzentren. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

16. Cloudflare (DNS, CDN, DDoS-Schutz)

Wir nutzen Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA für DNS-Auflösung, Content Delivery, DDoS-Schutz und Web Application Firewall. Cloudflare verarbeitet bei jedem Aufruf unserer Website die IP-Adresse und Verbindungsdaten zur Sicherstellung der Erreichbarkeit und Abwehr von Angriffen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt im Schutz vor Missbrauch und der Sicherstellung der Verfügbarkeit. Mit Cloudflare bestehen ein AVV und EU-Standardvertragsklauseln. Datenschutzerklärung Cloudflare: https://www.cloudflare.com/de-de/privacypolicy/

17. Ihre Rechte als Betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)
• Recht, eine erteilte Einwilligung zu widerrufen (Art. 7 Abs. 3 DSGVO) — der Widerruf wirkt nur für die Zukunft
• Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden (Art. 22 DSGVO)
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — siehe Abschnitt 18 für die zuständige Behörde

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an [email protected].

17a. Datenexport (Art. 20 DSGVO)

Sie haben das Recht, Ihre uns bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Wir stellen den Export wahlweise als JSON oder CSV bereit und übersenden ihn auf Anforderung innerhalb von sieben Werktagen kostenlos per E-Mail oder über das Konto-Dashboard. Der Export umfasst Konto-Stammdaten, Domains, Scan-Ergebnisse, Claims, hochgeladene Nachweise und PDF-Reports. Die Anforderung kann formlos an [email protected] gerichtet werden.

18. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem der Verantwortliche seinen Wohnsitz hat:

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59-61
10555 Berlin
Telefon: +49 30 13889-0
E-Mail: [email protected]
Web: www.datenschutz-berlin.de

Hinweis: Die zuständige Aufsichtsbehörde richtet sich nach dem Sitz des Verantwortlichen (10435 Berlin). Unbeschadet dessen können Sie sich auch an die Aufsichtsbehörde des Mitgliedstaates Ihres gewöhnlichen Aufenthaltsorts oder Arbeitsorts wenden (Art. 77 Abs. 1 DSGVO).

Eine Übersicht aller deutschen Aufsichtsbehörden finden Sie unter: Anschriften der Landesdatenschutzbehörden

19. SSL-/TLS-Verschlüsselung

Diese Website nutzt zum Schutz Ihrer Daten und zur Sicherstellung der Übertragung vertraulicher Inhalte (z. B. Anfragen, Anmeldedaten, Zahlungsinformationen) eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie am „https://" in der Adresszeile Ihres Browsers.

20. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 15. Mai 2026. Wir behalten uns vor, die Datenschutzerklärung anzupassen, um sie stets aktuellen rechtlichen Anforderungen oder Änderungen unserer Leistungen Rechnung zu tragen. Die jeweils aktuelle Fassung ist unter /at/datenschutz abrufbar.