Datenschutzerklärung
Stand: 13. Juni 2026
Mit dieser Datenschutzerklärung informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung von Empcora. Wir legen größten Wert auf den Schutz Ihrer Daten und halten uns strikt an die Vorgaben der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG).
Geltungsbereich
Diese Datenschutzerklärung gilt für alle Domains der Empcora-Markenfamilie:
- empcora.de
- empcora.com
- empcora.eu
- empco-pruefung.de
- empco-konform.de
- greenwashing-check.de
- greenwashing-pruefen.de
- greenclaim-guard.de
Sämtliche Spoke-Domains werden vom selben Verantwortlichen (siehe Abschnitt 1) betrieben und auf die Hauptdomain empcora.de weitergeleitet. Die nachfolgenden Angaben gemäß Art. 13 DSGVO gelten für jede dieser Domains gleichermaßen.
1. Verantwortlicher
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
Marcel Schlüter IT-Services
Empcora
Kollwitzstraße 76
10435 Berlin
Deutschland
E-Mail: [email protected]
1a. Datenschutzbeauftragter
Als Einzelunternehmer sind wir nach § 38 BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Bei datenschutzrechtlichen Anliegen wenden Sie sich bitte direkt an den oben genannten Verantwortlichen.
2. Verarbeitungszwecke
Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken:
- Bereitstellung des SaaS-Dienstes: Registrierung, Authentifizierung, Verwaltung von Konto und Organisation, Durchführung von Compliance-Scans
- Zahlungsabwicklung: Abrechnung kostenpflichtiger Plans über Stripe
- KI-gestützte Analyse: Einordnung von Werbeaussagen mittels Claude API (Anthropic); bei kostenpflichtigen Bild-Audits zusätzlich Bilderkennung (Text-Extraktion aus auf der gescannten Website öffentlich abrufbaren Produkt-/Kampagnenbildern) über die Claude-Vision-API (siehe Abschnitt 14c)
- E-Mail-Kommunikation: Bestätigungen, Scan-Ergebnisse, Passwort-Reset, Rechnungen, Support
- Bearbeitung von Kontaktanfragen: Beantwortung Ihrer Anfragen über das Kontaktformular oder per E-Mail
- Logging und Sicherheit: Abuse-Prävention, Fehlerdiagnose, Schutz vor Angriffen
- Erfüllung gesetzlicher Pflichten: Aufbewahrung von Rechnungen nach § 147 AO (10 Jahre)
3. Rechtsgrundlagen
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen): Bereitstellung des SaaS-Dienstes, Zahlungsabwicklung, KI-Analyse als vertraglich vereinbarte Leistung, E-Mail-Versand zu Vertragszwecken, Bearbeitung von Kontaktanfragen mit vorvertraglichem Bezug
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Aufbewahrung steuerrelevanter Unterlagen nach § 147 AO und § 14b UStG
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Logging zur Abuse-Prävention und IT-Sicherheit, Crawler-Anfragen zur Erbringung des Scan-Dienstes, Bearbeitung allgemeiner Kontaktanfragen ohne vorvertraglichen Bezug
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): freiwillige Newsletter-Anmeldungen (sofern angeboten), optionale Marketing-Kommunikation
- § 25 Abs. 2 Nr. 2 TDDDG (unbedingte technische Erforderlichkeit): Speichern von und Zugriff auf Informationen in der Endeinrichtung des Nutzers im Rahmen technisch notwendiger Cookies (Authentifizierung, Bot-Schutz, Sicherheitsprüfung) — siehe Abschnitt 8
4. Datenarten
Wir verarbeiten folgende Kategorien personenbezogener Daten:
- Stammdaten: Name, E-Mail-Adresse, Firmenname, ggf. Anschrift bei kostenpflichtigen Plans
- Anmelde- und Authentifizierungsdaten: bcrypt-Hash des Passworts (Cost-Faktor 12), JWT-Authentifizierungs-Token, Session-Cookie
- Nutzungsdaten: gescannte Domains und URLs, gefundene Claims, Scan-Ergebnisse, Compliance-Score, KI-Einschätzungen
- Kommunikationsdaten: Inhalte aus dem Kontaktformular (Name, E-Mail, Betreff, Nachricht), Support-Korrespondenz
- Zahlungsdaten: Stripe-Customer-ID, Stripe-Subscription-ID, Rechnungsnummer, Rechnungsbetrag, Zahlungsstatus. Kreditkarten- oder SEPA-Daten werden ausschließlich von Stripe verarbeitet und sind für uns nicht einsehbar.
- Scan-Daten Dritter: öffentlich abrufbarer Inhalt der von Ihnen angegebenen Website (Meta-Tags, Texte, Werbeaussagen) sowie — bei kostenpflichtigen Bild-Audits — öffentlich abrufbare Produkt- und Kampagnenbilder dieser Website, die zur Text-Extraktion (Bilderkennung) heruntergeladen und verarbeitet werden. Auf gescannten Websites und in den darauf eingebundenen Bildern können beiläufig personenbezogene Daten Dritter enthalten sein (z. B. abgebildete Personen, Mitarbeiternamen auf Team-Seiten, Impressums-Daten). Das vollständige Roh-HTML der gescannten Seiten sowie die heruntergeladenen Bilddaten werden unmittelbar nach Abschluss der Analyse verworfen und nicht dauerhaft gespeichert; persistiert wird ausschließlich der aus dem Bild extrahierte Text in Form identifizierter Werbeaussagen (siehe unten). Persistent gespeichert werden ausschließlich die identifizierten Werbeaussagen („Claims"), deren Bewertung und ein Verweis auf die Quell-URL — diese Datensätze werden zur Reproduzierbarkeit und für Vergleichs-Scans 24 Monate ab Durchführung des Scans aufbewahrt und anschließend automatisch gelöscht. Eine Anreicherung mit zusätzlichen Daten Dritter findet nicht statt.
- Logfile-Daten: IP-Adresse, Zeitstempel, User-Agent, Referrer, aufgerufene URL, HTTP-Statuscode
5. Speicherdauer
Wir speichern Ihre Daten nur solange, wie dies für die jeweiligen Zwecke erforderlich oder gesetzlich vorgeschrieben ist:
- Konto- und Stammdaten: bis zur Löschung Ihres Kontos, anschließend Anonymisierung bzw. Löschung innerhalb von 30 Tagen
- Scan-Ergebnisse: 24 Monate ab Durchführung des Scans, anschließend automatische Löschung
- Marketing-E-Mail-Adressen (Lead-Magnet, Newsletter): E-Mail-Adressen, die Sie uns für den Bezug eines kostenlosen Materials („Lead-Magnet") oder unseres Newsletters unter ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) überlassen haben, speichern wir bis zum Widerruf der Einwilligung bzw. bis zu Ihrer Abmeldung. Sie können die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — formlos durch Antwort „abmelden" auf jede unserer Mails oder per E-Mail an [email protected]. Nach Widerruf wird die Adresse umgehend aus dem Verteiler gelöscht.
- Rechnungen und steuerrelevante Unterlagen: 10 Jahre gemäß § 147 AO und § 14b UStG
- Logfiles: 30 Tage zur Abuse-Prävention, danach automatische Löschung
- Kontaktanfragen: bis zur abschließenden Bearbeitung Ihrer Anfrage, anschließend Löschung sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- Authentifizierungs-Cookie: rollenabhängig — 24 Stunden ab Anmeldung für reguläre Nutzer (Rollen user, support), 7 Tage für Administratoren (Rolle admin). Der zugehörige Refresh-Token läuft in jedem Fall nach 7 Tagen ab. Beim Logout werden beide Cookies sofort gelöscht.
- Cloudflare-Sicherheits-Cookies: __cf_bm 30 Minuten, _cfuvid Session, cf_clearance bis zu 30 Tage (siehe Abschnitt 8b)
6. Auftragsverarbeiter und Empfänger
Wir setzen sorgfältig ausgewählte Auftragsverarbeiter ein, mit denen wir Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen haben. Folgende Dienstleister verarbeiten in unserem Auftrag personenbezogene Daten:
| Dienstleister | Sitz | Zweck |
|---|---|---|
| Stripe Payments Europe Ltd. (Vertragspartner) sowie Stripe Inc. (US-Mutter, ausschließlich in eng definierten Fällen wie Anti-Money-Laundering, Behördenanfragen) | Dublin, Irland (EU-Server) / San Francisco, USA | Zahlungsabwicklung; AVV nach Art. 28 DSGVO abgeschlossen, EU-Standardvertragsklauseln (SCC) für Transfers an Stripe Inc.; PCI-DSS-zertifiziert |
| Hetzner Online GmbH | Gunzenhausen, Deutschland | Server-Hosting, Datenbank-Hosting (PostgreSQL und Redis lokal), AVV abgeschlossen |
| Anthropic PBC | San Francisco, USA | KI-gestützte Einordnung von Claims via Claude API; übergeben werden der zu prüfende Werbe-Text sowie — bei kostenpflichtigen Bild-Audits — Produkt-/Kampagnenbilder der gescannten Website zur Text-Extraktion (Claude-Vision). Ein mittelbarer Personenbezug (z. B. abgebildete Personen, Eigennamen) kann dabei nicht vollständig ausgeschlossen werden (Art. 4 Nr. 1, ggf. Art. 9 DSGVO); AVV und SCCs abgeschlossen, vertraglicher Trainingsausschluss nach den Anthropic Commercial Terms (siehe Abschnitt 14c) |
| Cloudflare Inc. | San Francisco, USA | DNS, CDN, DDoS-Schutz, WAF; AVV und SCCs abgeschlossen |
| Eigener E-Mail-Server | Hetzner-Rechenzentrum, Deutschland | Versand von Transaktions-Mails (Bestätigungen, Scan-Ergebnisse, Rechnungen, Support-Korrespondenz). Betrieb auf eigener Infrastruktur — kein zusätzlicher Auftragsverarbeiter, keine Drittweitergabe. |
Datenbanken (PostgreSQL, Redis) werden ausschließlich auf unseren Servern bei Hetzner in Deutschland betrieben. Es findet keine Übermittlung an Dritte statt, die nicht in dieser Liste aufgeführt sind.
6a. Auftragsverarbeitung als Auftragnehmer
Soweit Sie als Nutzer Domains scannen lassen, deren Inhalt personenbezogene Daten Dritter enthält (z. B. Geschäftsführer-Namen im Impressum, Mitarbeiternamen auf Team-Seiten, Kontaktdaten), werden wir hinsichtlich dieser Daten Auftragsverarbeiter i. S. d. Art. 28 DSGVO und Sie sind Verantwortlicher. Wir setzen in dieser Verarbeitung folgende Unter-Auftragsverarbeiter ein, deren Sitz teilweise in den USA liegt (Drittlandstransfer auf Basis der EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO): Anthropic PBC (USA, KI-gestützte Einordnung von Claims), Cloudflare Inc. (USA, CDN/WAF) und Hetzner Online GmbH (Deutschland, Hosting). Ihre Pflichten als Verantwortlicher nach Art. 28 Abs. 2 und Art. 44 ff. DSGVO bleiben davon unberührt. Eine entsprechende Vereinbarung zur Auftragsverarbeitung (AVV) inklusive Sub-Auftragsverarbeiter-Liste stellen wir auf Anfrage individuell bereit — kontaktieren Sie uns hierzu über unser Kontaktformular.
7. Drittlandstransfer
Eine Übermittlung Ihrer personenbezogenen Daten in Drittländer außerhalb des EWR erfolgt nur, soweit dies für die Erbringung unserer Leistungen erforderlich ist. Konkret findet ein Drittlandstransfer in die USA statt bei:
- Anthropic PBC (USA): Übermittlung von Werbe-Texten an die Claude API zur KI-gestützten Einordnung. Bei kostenpflichtigen Bild-Audits werden zusätzlich öffentlich abrufbare Produkt-/Kampagnenbilder der gescannten Website an die Claude-Vision-API übermittelt, um deren Text zu extrahieren. Bei Text-Snippets ist ein Personenbezug regelmäßig nicht gegeben; bei Bildern lässt sich ein Personenbezug (z. B. abgebildete Personen, Eigennamen, ggf. besondere Kategorien nach Art. 9 DSGVO) nicht vollständig ausschließen — Einzelheiten in Abschnitt 14c. Anthropic trainiert seine Modelle nach den Anthropic Commercial Terms vertraglich nicht mit übermittelten Kundendaten; ein gesonderter Pro-Anfrage-Flag ist hierfür nicht erforderlich, sodass Ihre Daten nicht für das Training der Modelle verwendet werden.
- Cloudflare Inc. (USA): Routing von Web-Requests, DNS-Auflösung, Schutz vor Angriffen.
- Stripe Payments Europe Ltd. (US-Mutter): Bei der Zahlungsabwicklung kann es technisch zu einem Datentransfer an die US-Muttergesellschaft kommen.
Die Übermittlung erfolgt jeweils auf Grundlage der Standardvertragsklauseln der EU-Kommission (SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzender technischer und organisatorischer Maßnahmen. Eine Kopie der jeweiligen SCCs stellen wir Ihnen auf Anfrage zur Verfügung.
7a. Transfer Impact Assessment (TIA)
Im Lichte der Schrems-II-Rechtsprechung des EuGH (C-311/18) haben wir für jeden US-Drittlandstransfer eine Folgenabschätzung (TIA) durchgeführt und kommen zu folgendem Ergebnis:
- Anthropic PBC: Übermittelt werden Werbe-Texte (z. B. „klimaneutral hergestellt") und — bei kostenpflichtigen Bild-Audits — Produkt-/Kampagnenbilder zur Text-Extraktion. Bei reinen Werbe-Texten ist ein Personenbezug regelmäßig nicht gegeben; bei Bildern ist ein mittelbarer Personenbezug nicht stets auszuschließen. Anthropic veröffentlicht Behördenanfragen-Transparenzberichte. Der vertragliche Trainingsausschluss nach den Anthropic Commercial Terms schließt die Nutzung der Daten für Modell-Training aus; die Daten werden nur transient zur Beantwortung der Anfrage verarbeitet. Das Restrisiko aus US-Behördenzugriff (FISA 702) wird durch die Datensparsamkeit (kein Versand von Stamm-/Kontaktdaten, sofortige Verwerfung der Bilddaten) und die SCCs adressiert.
- Cloudflare Inc.: Cloudflare betreibt EU-Datenzentren und bietet die „Data Localization Suite", durch die IP-Adressen und Verbindungsdaten primär in der EU verbleiben. Für Backbone-Routing kann ein flüchtiger US-Transit erfolgen. SCCs sind abgeschlossen.
- Stripe Payments Europe Ltd.: Vertragspartner ist die irische Stripe-Tochter mit EU-Servern. Eine Übermittlung in die USA an die Mutter Stripe Inc. erfolgt nur in eng definierten Fällen (Anti-Money-Laundering, Behördenanfragen). Stripe ist PCI-DSS-zertifiziert; Karteninhaberdaten werden nicht von uns gespeichert.
Die vollständige TIA-Dokumentation stellen wir auf schriftliche Anfrage zur Verfügung.
8. Cookies, lokale Speicherung & Tracking
Technisch notwendige Cookies (Abschnitte 8a–8c) sind für den Betrieb der Anmeldung, des Bezahlvorgangs und des Schutzes vor automatisierten Angriffen unbedingt erforderlich und werden ohne Einwilligung auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG gesetzt. Darüber hinaus setzen wir — ausschließlich nach Ihrer ausdrücklichen Einwilligung (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO) — Statistik- und ggf. Marketing-Technologien ein. Dazu zählt insbesondere eine Funnel-/Reichweiten-Erfassung, die eine pseudonyme Sitzungs-Kennung sowie Kampagnen-Parameter (UTM) in der lokalen Speicherung Ihres Browsers (localStorage) ablegt; diese Verarbeitung ist nicht technisch erforderlich und erfolgt erst nach Ihrer Zustimmung (siehe 8c und 8e). Eine cookielose, einwilligungsfreie Reichweitenmessung beschreibt zusätzlich Abschnitt 8d.
8a. Eigene Cookies
- empcora_token · Domain: empcora.de · Laufzeit: 24 Stunden für reguläre Nutzer (Rollen user, support), 7 Tage für Administratoren · HttpOnly, SameSite=Lax · Zweck: Authentifizierung angemeldeter Nutzer mittels signiertem JSON-Web-Token (JWT). Inhalt: ausschließlich die User-ID (kein Klartext-Personenbezug, keine E-Mail, kein Name). Ergänzend besteht ein empcora_refresh-Cookie mit 7 Tagen Laufzeit zur stillen Sitzungsverlängerung ohne erneute Passwort-Eingabe.
8b. Cookies durch Cloudflare (Sicherheit/Bot-Schutz)
Cloudflare schützt unsere Infrastruktur vor automatisierten Angriffen (DDoS, Bots, Scraping). Hierfür werden bei jedem Aufruf folgende Cookies auf der Domain gesetzt — alle als „strictly necessary" eingestuft:
- __cf_bm · Cloudflare · Laufzeit: 30 Minuten · Zweck: Bot-Management, Unterscheidung zwischen menschlichen und automatisierten Aufrufen. Setzt einen anonymen Bot-Score, kein Personenbezug.
- cf_clearance · Cloudflare · Laufzeit: bis zu 30 Tage · Zweck: Speichert das Ergebnis einer überstandenen Sicherheitsprüfung (z. B. Captcha bei verdächtigem Traffic), damit der Nutzer nicht bei jedem Aufruf erneut prüfen muss. Wird nur bei aktivierter Sicherheitsprüfung gesetzt.
- _cfuvid · Cloudflare · Laufzeit: Session · Zweck: Bindung an die Rate-Limit-Regeln, verhindert Umgehung des Schutzes durch Cookie-Wechsel. Kein Werbe- oder Tracking-Zweck.
Rechtsgrundlage für diese Cookies ist § 25 Abs. 2 Nr. 2 TDDDG (unbedingte Erforderlichkeit für die vom Nutzer gewünschte Telemediendienst-Leistung) i. V. m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Angriffen).
8c. Cookies im Bezahlvorgang (Stripe)
Hinweis zu Stripe-Cookies: Beim Wechsel in die Stripe-Checkout-Seite (Bezahlvorgang) setzt Stripe eigene Cookies auf checkout.stripe.com zur Betrugsprävention und Session-Verwaltung. Diese Cookies sind technisch erforderlich für die Zahlungsabwicklung. Datenschutzhinweise von Stripe: stripe.com/de/privacy.
Beim ersten Aufruf unserer Seiten wird Ihnen ein Consent-Banner angezeigt. Technisch notwendige Cookies (Authentifizierung, Sicherheit, Bot-Schutz) setzen wir unabhängig von einer Einwilligung auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG. Statistik- und Marketing-Cookies — insbesondere das Meta-Pixel, das LinkedIn-Insight-Tag und das Google-Ads-Conversion-Tracking — werden ausschließlich nach Ihrer ausdrücklichen Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Ihre Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft über den Link „Cookie-Einstellungen" im Footer widerrufen werden. Mit dem Einsatz von Meta-Pixel, LinkedIn-Insight-Tag und Google Ads ist eine Datenübermittlung an Anbieter in den USA verbunden; diese stützen wir auf die Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO).
8d. Reichweitenmessung mit Umami (selbst gehostet, cookielos)
Zur statistischen Auswertung der Website-Nutzung setzen wir die Open-Source-Software Umami ein. Umami betreiben wir selbst auf eigener Infrastruktur in Deutschland (Hetzner Online GmbH); es findet keine Übermittlung an Dritte statt.
Umami arbeitet cookielos: Es werden weder Cookies gesetzt noch Informationen in Ihrer Endeinrichtung gespeichert oder ausgelesen. Eine Einwilligung nach § 25 TDDDG ist daher nicht erforderlich. Erfasst werden ausschließlich aggregierte, nicht zur Identifizierung geeignete Daten: aufgerufene Seiten (Pfad), Referrer-Domain, ungefähre Herkunft auf Landesebene, Browser- und Gerätetyp sowie Datum/Uhrzeit. Die IP-Adresse wird nur transient verarbeitet und nicht dauerhaft gespeichert; ein etwaiger Besucher-Kennwert wird serverseitig aus IP und Browserkennung gebildet, gehasht und täglich rotiert — ein dauerhaftes oder geräteübergreifendes Tracking findet nicht statt.
Rechtsgrundlage ist unser berechtigtes Interesse an einer datensparsamen, anonymen Reichweitenmessung zur Verbesserung unseres Angebots (Art. 6 Abs. 1 lit. f DSGVO). Browser-„Do Not Track"-Signale werden respektiert; ist DNT in Ihrem Browser aktiviert, findet keine Messung statt.
8e. Funnel-/Conversion-Erfassung (nur mit Einwilligung)
Ergänzend zur cookielosen Umami-Reichweitenmessung erfassen wir — ausschließlich nach Ihrer ausdrücklichen Einwilligung in die Kategorie „Statistik" — den Verlauf einzelner Nutzungsschritte (z. B. Startseite → Preise → Scan-Start), um Schwachstellen im Ablauf zu erkennen und unser Angebot zu verbessern. Hierfür wird in der lokalen Speicherung Ihres Browsers (localStorage) eine zufällig erzeugte, pseudonyme Sitzungs-Kennung (Schlüssel empcora_session) abgelegt; zusätzlich speichern wir Kampagnen-Parameter (UTM) aus dem Aufruf-Link für bis zu 30 Tage (Schlüssel empcora.utm), damit der Akquisitionskanal einer späteren Conversion zugeordnet werden kann.
Diese Speicherung ist nicht technisch erforderlich. Rechtsgrundlage ist daher Ihre Einwilligung nach § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Ohne erteilte Statistik-Einwilligung werden weder die Sitzungs-Kennung noch die UTM-Parameter gespeichert und es werden keine Funnel-Ereignisse erhoben. Ein im Browser aktiviertes „Do Not Track"-Signal unterbindet diese Erfassung zusätzlich. Ihre Einwilligung können Sie jederzeit über den Link „Cookie-Einstellungen" im Footer mit Wirkung für die Zukunft widerrufen. Eine Übermittlung dieser Funnel-Daten an Dritte findet nicht statt; die Auswertung erfolgt ausschließlich auf eigener Infrastruktur.
8f. Technisch notwendige Zuordnung Ihres Gratis-Scans
Wenn Sie einen kostenlosen Vorab-Check starten, legen wir in der lokalen Speicherung Ihres Browsers (localStorage) eine zufällig erzeugte, pseudonyme Kennung unter dem Schlüssel empcora_scan_owner ab. Diese Kennung dient ausschließlich dazu, Ihnen das Ergebnis genau Ihres Scans zuzuordnen und anzuzeigen — sie verhindert, dass Dritte allein über die Scan-Adresse fremde Ergebnisse abrufen können. Eine Auswertung des Nutzungsverhaltens, eine Reichweiten- oder Conversion-Messung oder eine geräteübergreifende Wiedererkennung findet hierüber nicht statt; die Kennung ist vom einwilligungspflichtigen Funnel-Schlüssel (empcora_session, siehe 8e) bewusst getrennt.
Diese Speicherung ist für die Erbringung des von Ihnen ausdrücklich angeforderten Dienstes (Anzeige Ihres Scan-Ergebnisses) unbedingt erforderlich. Sie ist daher nach § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung zulässig; eine Verarbeitung etwaiger personenbezogener Daten stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (Durchführung der von Ihnen angeforderten Prüfung). Sie können die Kennung jederzeit durch Löschen der lokalen Browser-Daten entfernen.
9. Logfiles
Bei jedem Aufruf unserer Website werden folgende Daten in Logfiles erfasst:
- IP-Adresse
- Datum und Uhrzeit der Anfrage
- User-Agent (Browser, Betriebssystem)
- Referrer-URL
- aufgerufene URL und HTTP-Statuscode
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in der Abuse-Prävention, Fehlerdiagnose und IT-Sicherheit. Die Logs werden nach 30 Tagen automatisch gelöscht.
10. Crawler-Daten
Wenn Sie eine URL zur Compliance-Prüfung eingeben, ruft unser Crawler die öffentlich zugängliche Website ab und analysiert deren Inhalte (Meta-Tags, Texte, Werbeaussagen). Dabei beachten wir folgende Grundsätze:
- Wir crawlen ausschließlich öffentlich zugängliche Bereiche der von Ihnen angegebenen Domain
- Wir respektieren
robots.txtund Crawl-Delays - Wir umgehen keine Authentifizierung oder Paywalls
- Sie sichern uns als Nutzer zu, dass Sie zum Crawlen der angegebenen Domain berechtigt sind (Eigentum, Mandat o. Ä.)
- Auf den gescannten Seiten können beiläufig personenbezogene Daten Dritter enthalten sein (Impressums-Pflichtangaben, Geschäftsführer-/Inhaber-Namen, Team-/Mitarbeiterprofile, Kontaktdaten). Diese Daten werden ausschließlich zur Durchführung des von Ihnen beauftragten Scans verarbeitet, nicht angereichert und — soweit es sich um Roh-HTML handelt — unmittelbar nach Abschluss der Analyse verworfen. Identifizierte Claims werden 24 Monate gespeichert (Abschnitt 5). Die datenschutzrechtliche Verantwortung gegenüber den betroffenen Dritten liegt nach Art. 4 Nr. 7 DSGVO bei Ihnen als Nutzer (Verantwortlicher); wir handeln insoweit als Auftragsverarbeiter (siehe Abschnitt 6a).
11. Kontaktformular
Wenn Sie unser Kontaktformular nutzen, verarbeiten wir die von Ihnen eingegebenen Daten (Name, E-Mail, Betreff, Nachricht, optional Telefon) zur Beantwortung Ihrer Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung Ihrer Anfrage).
Zum Schutz vor Spam-Bots verwenden wir ein Honeypot-Feld und ein IP-basiertes Rate-Limiting (max. 3 Anfragen pro Stunde pro IP). Ihre Anfragen werden bis zur abschließenden Bearbeitung gespeichert und anschließend gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
12. Newsletter
Wir versenden ca. 1× pro Monat einen Newsletter mit EmpCo-Updates, BGH-/OLG-Urteilen und Compliance-Hinweisen. Der Versand erfolgt ausschließlich nach ausdrücklicher Einwilligung im Double-Opt-In-Verfahren (Bestätigung der Anmeldung über einen Link in einer separaten Bestätigungs-E-Mail).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 7 Abs. 2 Nr. 3 UWG.
- Verarbeitete Daten: E-Mail-Adresse, Bestätigungs-Status (pending / aktiv / abgemeldet), DOI-Token (24 h gültig), permanenter Abmelde-Token, Anmelde-Quelle, IP-Hash (SHA-256-gekürzt, zum Spam-Schutz, nicht rückführbar auf die IP), User-Agent (max. 200 Zeichen), Zeitstempel.
- Zweck: Versand des Newsletters; Nachweis der Einwilligung (Art. 7 Abs. 1 DSGVO); Spam-/Missbrauchsschutz.
- Speicherdauer: Aktive Abonnements unbegrenzt (bis zur Abmeldung). Nach Abmeldung wird der Status „abgemeldet" mit Zeitstempel für mindestens 12 Monate zum Nachweis der Widerrufsausübung gespeichert; danach erfolgt die Anonymisierung oder Löschung. Unbestätigte DOI-Anfragen werden nach Token-Ablauf (24 h) automatisch verworfen.
- Widerruf (Art. 7 Abs. 3 DSGVO): Sie können Ihre Einwilligung jederzeit und ohne Angabe von Gründen widerrufen — entweder über den persönlichen Abmelde-Link, der in jeder Newsletter-E-Mail enthalten ist, oder per E-Mail an [email protected]. Der Widerruf gilt unmittelbar; bereits versendete Mails sind davon unberührt.
- Versand-Dienstleister: Versand erfolgt über unseren eigenen Mail-Server (Mailcow, gehostet in Deutschland). Keine Übermittlung an Dritte oder in Drittländer.
13. Zahlungsabwicklung über Stripe
Für die Abwicklung kostenpflichtiger Plans nutzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Stripe ist ein PCI-DSS-zertifizierter Zahlungsdienstleister.
Bei der Bezahlung werden die Zahlungsdaten (Kreditkartennummer, IBAN etc.) direkt an Stripe übermittelt und ausschließlich dort verarbeitet. Wir erhalten keinen Zugriff auf Ihre Kartendaten oder IBAN. Wir speichern lediglich die von Stripe vergebene Customer-ID, Subscription-ID, Rechnungsnummer sowie den Zahlungsstatus.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Datenschutzerklärung von Stripe finden Sie unter: https://stripe.com/de/privacy
14. KI-Analyse über Anthropic Claude API
Für die KI-gestützte Einordnung problematischer Werbeaussagen — d. h. die automatisierte Einordnung von Fundstellen anhand abstrakter Tatbestandskategorien (keine rechtliche Einzelfallbewertung) — nutzen wir die Claude-API von Anthropic PBC, San Francisco, USA. Eine KI-gestützte Reformulierung oder Umschreibung von Werbeaussagen findet nicht statt. Übermittelt werden ausschließlich:
- der zu prüfende Werbe-Text (z. B. „klimaneutral", „nachhaltig")
- der Kontext der Werbeaussage (z. B. Branche, Seitentyp)
Im Text-Pfad übermittelt werden die Werbeaussage und ein knapper fachlicher Kontext (Branche, Seitentyp); bei kostenpflichtigen Bild-Audits werden zusätzlich Bilddateien zur Text-Extraktion übertragen (gesonderte Hinweise in Abschnitt 14c). Wir übermitteln aktiv keine Stamm- oder Kontaktdaten (keine E-Mail, keine Konto-ID, keine IP-Adresse, keinen Namen). Soweit ein Werbe-Text Eigennamen einer natürlichen Person enthalten sollte (z. B. Inhaber- oder Geschäftsführer-Name in einem Slogan), kann ein mittelbarer Personenbezug i. S. d. Art. 4 Nr. 1 DSGVO nicht vollständig ausgeschlossen werden — die Übermittlung erfolgt dann auf Basis des AVV nach Art. 28 DSGVO sowie der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Anthropic trainiert seine Modelle nach den Anthropic Commercial Terms vertraglich nicht mit übermittelten Kundendaten, sodass Ihre Texte nicht zum Training der Claude-Modelle verwendet werden. Soweit Sie als Nutzer Werbe-Texte Dritter scannen, handelt Empcora insoweit als Auftragsverarbeiter (siehe Abschnitt 6a) und Anthropic als Unter-Auftragsverarbeiter.
Datenschutzerklärung Anthropic: https://www.anthropic.com/legal/privacy
Keine automatisierte Einzelfallentscheidung (Art. 22 DSGVO): Weder die algorithmische Compliance-Bewertung (Ampel-Status ROT/GELB/GRÜN, Score A bis F, Compliance-Badge) noch die KI-gestützte Einordnung stellen eine automatisierte Entscheidung im Einzelfall i. S. d. Art. 22 Abs. 1 DSGVO dar.
Begründung: (i) Die Bewertungen entfalten keine rechtliche Wirkung gegenüber dem Nutzer oder Dritten — sie sind technische Hinweise auf Basis öffentlicher Rechtsquellen. (ii) Aus einem Score oder einer KI-Einschätzung folgen keine automatischen Sanktionen, Sperren oder sonstigen ähnlich erheblichen Beeinträchtigungen; insbesondere bewirkt das Compliance-Badge keine Außenwirkung mit rechtlicher Verbindlichkeit. (iii) Die finale Entscheidung über die Verwendung einer Werbeaussage liegt ausschließlich beim Nutzer; eine menschliche Prüfung — idealerweise durch einen zugelassenen Rechtsanwalt — bleibt erforderlich.
Hierzu verweisen wir ergänzend auf den RDG-Hinweis in § 1 Abs. 5 AGB sowie die Klarstellung zum Charakter der Tool-Ergebnisse in § 10 AGB (Compliance-Bewertung: Charakter, Grenzen und Haftungsausschluss).
Recht auf Einbeziehung einer Person: Sollten Sie dennoch eine Bewertung als ähnlich erhebliche Beeinträchtigung empfinden, können Sie sich jederzeit an [email protected] wenden. Wir werden Ihren Fall manuell prüfen und Ihnen das Ergebnis schriftlich mitteilen (Art. 22 Abs. 3 DSGVO).
14a. Audit-Report-PDF
Nach Abschluss eines kostenpflichtigen Scans erzeugen wir einen Audit-Report im PDF-Format, der über das Konto-Dashboard zum Download bereitsteht und auf Wunsch per E-Mail an die in Ihrem Konto hinterlegte Adresse versandt wird. Der Report enthält die gescannte URL, die identifizierten Werbeaussagen mit Bewertung und KI-Einschätzung sowie im Footer einen Erstellungs-Zeitstempel und die Scan-ID zur Zuordnung. Eine Übermittlung an Dritte erfolgt nicht; die PDF-Datei wird zusammen mit dem Scan-Datensatz 24 Monate gespeichert und anschließend automatisch gelöscht (siehe Abschnitt 5). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
14b. Greenwashing-Check-Widget (Embed)
Wir stellen ein einbettbares Mini-Widget („Greenwashing-Check-Widget") zur Verfügung, das von Drittseiten per <iframe> über die URL https://empcora.de/embed/widget eingebunden werden kann. Wenn Sie dieses Widget benutzen, gelten folgende Datenschutzhinweise:
- Verantwortlicher: Marcel Schlüter IT-Services (Empcora), Kollwitzstraße 76, 10435 Berlin (siehe Abschnitt 1).
- Erhobene Daten: die von Ihnen in das Widget eingegebene URL sowie Ihre IP-Adresse, die beim Aufruf des Widgets und beim Auslösen eines Scans technisch übertragen wird. Die Kommunikation läuft über unsere tRPC-API auf empcora.de.
- Zweck: Durchführung des Greenwashing-Scans für die von Ihnen eingegebene URL sowie Anwendung eines IP-basierten Rate-Limits zum Schutz vor automatisiertem Missbrauch (Denial-of-Service-Schutz).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Erbringung der vom Nutzer angeforderten Scan-Leistung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz unserer Infrastruktur vor DoS-/Missbrauchsangriffen).
- Speicherdauer: Die IP-Adresse wird zum Zweck des Rate-Limits maximal 24 Stunden in einem flüchtigen Cache vorgehalten und anschließend automatisch verworfen. Die Scan-Daten (eingegebene URL, identifizierte Claims, Bewertung) werden gemäß den Regeln in Abschnitt 5 dieser Datenschutzerklärung („Scan-Ergebnisse", 24 Monate) gespeichert.
- Drittland-Transfer: Kein Drittland-Transfer im Rahmen der Widget-Nutzung selbst. Die Verarbeitung erfolgt auf unseren Servern bei Hetzner in Deutschland; Cloudflare wird ggf. wie in Abschnitt 16 beschrieben zur Anbindung eingesetzt. Soweit für die KI-gestützte Einordnung von Claims die Claude-API von Anthropic genutzt wird, gelten ergänzend die Hinweise aus Abschnitt 7 und Abschnitt 14.
- Empfänger: Es findet keine Weitergabe an Dritte statt, die über die in Abschnitt 6 genannten Auftragsverarbeiter hinausgeht.
- Widerspruchs- und Auskunftsrecht: Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen und Ihre Betroffenenrechte (Auskunft, Löschung, Einschränkung etc., siehe Abschnitt 17) ausüben — wenden Sie sich hierfür an [email protected].
Hinweis zu eingebetteten Widgets auf Drittseiten: Wenn das Widget auf der Website eines Dritten eingebettet ist, gilt zusätzlich die Datenschutzerklärung des jeweiligen Drittseiten-Betreibers. Der Drittseiten-Betreiber ist eigenständiger Verantwortlicher für die Datenverarbeitung auf seiner Seite (Art. 4 Nr. 7 DSGVO) und hat seine Nutzer entsprechend zu informieren.
14c. Bilderkennung (Bild-Audit) — Download und Übertragung fremder Bilder
Bei kostenpflichtigen Bild-Audits prüft Empcora nicht nur Text, sondern auch öffentlich abrufbare Produkt- und Kampagnenbilder der von Ihnen angegebenen Website. Dazu ruft unser Dienst die im öffentlich zugänglichen Seitenquelltext verlinkten Bilddateien ab (Download), überträgt sie zur reinen Text-Extraktion („Bilderkennung") an die Claude-Vision-API der Anthropic PBC, San Francisco, USA, und gleicht den so ausgelesenen Text anschließend mit derselben deterministischen Begriffs-Datenbank wie beim Seitentext ab.
- Übertragene Daten: die heruntergeladene Bilddatei selbst (als Base64-kodierter Bildinhalt). Wir übermitteln aktiv keine Stamm-, Konto- oder Kontaktdaten und keine IP-Adresse an Anthropic.
- Möglicher Personenbezug (auch Art. 9 DSGVO): Bilder einer fremden Website können — anders als reine Text-Snippets — personenbezogene Daten enthalten, etwa abgebildete Personen (Mitarbeitende, Models, Kundinnen und Kunden), erkennbare Gesichter oder im Bild abgedruckte Namen. In Einzelfällen sind dabei besondere Kategorien personenbezogener Daten i. S. d. Art. 9 Abs. 1 DSGVO nicht vollständig auszuschließen (z. B. erkennbare Gesundheits-, religiöse oder ethnische Bezüge in Abbildungen). Eine gezielte Verarbeitung solcher Daten findet nicht statt; sie werden ausschließlich beiläufig im Rahmen der von Ihnen beauftragten Text-Extraktion verarbeitet.
- Speicherdauer / Verwerfung der Bilddaten: Die heruntergeladenen Bilddateien werden nur transient im Arbeitsspeicher zur Durchführung der Analyse vorgehalten und unmittelbar nach Abschluss der Analyse verworfen. Es findet keine dauerhafte Speicherung der Bilddateien statt — weder bei uns noch (aufgrund des vertraglichen Trainingsausschlusses nach den Anthropic Commercial Terms) zum Modell-Training bei Anthropic. Persistiert wird ausschließlich der aus dem Bild extrahierte Text in Form identifizierter Werbeaussagen sowie ein Verweis auf die Quell-URL des Bildes (Speicherdauer 24 Monate, siehe Abschnitt 5).
- Drittlandstransfer: Die Bildübertragung an Anthropic (USA) erfolgt auf Grundlage des AVV nach Art. 28 DSGVO sowie der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO); ergänzend gilt das Transfer Impact Assessment in Abschnitt 7a.
- Verantwortlichkeit beim Scan fremder Domains: Soweit Sie eine Website scannen lassen, deren Bilder personenbezogene Daten Dritter enthalten, sind Sie hinsichtlich dieser Daten Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO und Empcora handelt insoweit als Auftragsverarbeiter i. S. d. Art. 28 DSGVO (Anthropic als Unter-Auftragsverarbeiter; siehe Abschnitt 6a). Sie sichern uns zu, dass Sie zum Scannen der angegebenen Domain und zur Verarbeitung der darauf enthaltenen Bilder berechtigt sind (§ 8 AGB).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erbringung der von Ihnen beauftragten Bild-Audit-Leistung). Soweit beiläufig Daten Dritter betroffen sind, stützt sich die Verarbeitung im Verhältnis zu diesen auf die von Ihnen als Verantwortlichem zu gewährleistende Rechtsgrundlage; bei besonderen Kategorien (Art. 9 DSGVO) obliegt Ihnen die Sicherstellung einer Ausnahme nach Art. 9 Abs. 2 DSGVO.
Bild-Audits sind ein kostenpflichtiges Zusatzmerkmal. Beim kostenlosen Test-Scan sowie bei reinen Text-Audits werden keine Bilder heruntergeladen oder an Anthropic übertragen.
15. Hosting bei Hetzner
Unsere Server, die Datenbank (PostgreSQL) und der Cache (Redis) werden bei der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland gehostet. Die Server stehen ausschließlich in deutschen Rechenzentren. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
16. Cloudflare (DNS, CDN, DDoS-Schutz)
Wir nutzen Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA für DNS-Auflösung, Content Delivery, DDoS-Schutz und Web Application Firewall. Cloudflare verarbeitet bei jedem Aufruf unserer Website die IP-Adresse und Verbindungsdaten zur Sicherstellung der Erreichbarkeit und Abwehr von Angriffen.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt im Schutz vor Missbrauch und der Sicherstellung der Verfügbarkeit. Mit Cloudflare bestehen ein AVV und EU-Standardvertragsklauseln. Datenschutzerklärung Cloudflare: https://www.cloudflare.com/de-de/privacypolicy/
17. Ihre Rechte als Betroffene Person
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)
- Recht, eine erteilte Einwilligung zu widerrufen (Art. 7 Abs. 3 DSGVO) — der Widerruf wirkt nur für die Zukunft
- Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden (Art. 22 DSGVO)
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — siehe Abschnitt 18 für die zuständige Behörde
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an [email protected].
17a. Datenexport (Art. 20 DSGVO)
Sie haben das Recht, Ihre uns bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Wir stellen den Export wahlweise als JSON oder CSV bereit und übersenden ihn auf Anforderung innerhalb von sieben Werktagen kostenlos per E-Mail oder über das Konto-Dashboard. Der Export umfasst Konto-Stammdaten, Domains, Scan-Ergebnisse, Claims, hochgeladene Nachweise und PDF-Reports. Die Anforderung kann formlos an [email protected] gerichtet werden.
18. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem der Verantwortliche seinen Wohnsitz hat:
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59-61
10555 Berlin
Telefon: +49 30 13889-0
E-Mail: [email protected]
Web: www.datenschutz-berlin.de
Hinweis: Die zuständige Aufsichtsbehörde richtet sich nach dem Sitz des Verantwortlichen (10435 Berlin). Unbeschadet dessen können Sie sich auch an die Aufsichtsbehörde des Mitgliedstaates Ihres gewöhnlichen Aufenthaltsorts oder Arbeitsorts wenden (Art. 77 Abs. 1 DSGVO).
Eine Übersicht aller deutschen Aufsichtsbehörden finden Sie unter: Anschriften der Landesdatenschutzbehörden
19. SSL-/TLS-Verschlüsselung
Diese Website nutzt zum Schutz Ihrer Daten und zur Sicherstellung der Übertragung vertraulicher Inhalte (z. B. Anfragen, Anmeldedaten, Zahlungsinformationen) eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie am „https://" in der Adresszeile Ihres Browsers.
20. Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 13. Juni 2026. Wir behalten uns vor, die Datenschutzerklärung anzupassen, um sie stets aktuellen rechtlichen Anforderungen oder Änderungen unserer Leistungen Rechnung zu tragen. Die jeweils aktuelle Fassung ist unter /datenschutz abrufbar.

