Privacyverklaring

Met deze privacyverklaring informeren wij u over de verwerking van uw persoonsgegevens bij het gebruik van Empcora. Wij hechten het grootste belang aan de bescherming van uw gegevens en houden ons strikt aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG), de Bundesdatenschutzgesetz (BDSG) en de Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).

Toepassingsgebied

Deze privacyverklaring is van toepassing op alle domeinen van de Empcora-merkfamilie:

• empcora.de
• empcora.com
• empcora.eu
• empco-pruefung.de
• empco-konform.de
• greenwashing-check.de
• greenwashing-pruefen.de
• greenclaim-guard.de

Alle spoke-domeinen worden beheerd door dezelfde verwerkingsverantwoordelijke (zie paragraaf 1) en doorgestuurd naar het hoofddomein empcora.de. De onderstaande informatie conform art. 13 AVG is gelijkelijk van toepassing op elk van deze domeinen.

1. Verwerkingsverantwoordelijke

Verwerkingsverantwoordelijke in de zin van art. 4 nr. 7 AVG is:

Marcel Schlüter IT-Services
Empcora
Kollwitzstraße 76
10435 Berlin
Deutschland
E-mail: [email protected]

1a. Functionaris voor gegevensbescherming

Als eenmanszaak zijn wij op grond van § 38 BDSG niet verplicht een functionaris voor gegevensbescherming aan te stellen. Voor vragen over gegevensbescherming kunt u rechtstreeks contact opnemen met de hierboven genoemde verwerkingsverantwoordelijke.

2. Verwerkingsdoeleinden

Wij verwerken uw persoonsgegevens voor de volgende doeleinden:

• Levering van de SaaS-dienst: registratie, authenticatie, beheer van account en organisatie, uitvoering van compliancescans
• Betalingsverwerking: facturering van betaalde abonnementen via Stripe
• AI-gestuurde analyse: herformulering van reclame-uitingen via de Claude API (Anthropic)
• E-mailcommunicatie: bevestigingen, scanresultaten, wachtwoordherstel, facturen, ondersteuning
• Afhandeling van contactverzoeken: beantwoording van uw vragen via het contactformulier of per e-mail
• Logging en beveiliging: misbruikpreventie, foutopsporing, bescherming tegen aanvallen
• Naleving van wettelijke verplichtingen: bewaring van facturen conform § 147 AO (10 jaar)

3. Juridische grondslagen

De verwerking van uw persoonsgegevens berust op de volgende juridische grondslagen:

• Art. 6 lid 1 sub b AVG (uitvoering van een overeenkomst en precontractuele maatregelen): levering van de SaaS-dienst, betalingsverwerking, AI-analyse als contractueel overeengekomen prestatie, e-mailverzending voor contractdoeleinden, afhandeling van contactverzoeken met precontractuele relevantie
• Art. 6 lid 1 sub c AVG (wettelijke verplichting): bewaring van fiscaal relevante stukken conform § 147 AO en § 14b UStG
• Art. 6 lid 1 sub f AVG (gerechtvaardigd belang): logging ter voorkoming van misbruik en voor IT-beveiliging, crawlerverzoeken voor de uitvoering van de scandienst, afhandeling van algemene contactverzoeken zonder precontractuele relevantie
• Art. 6 lid 1 sub a AVG (toestemming): vrijwillige nieuwsbriefinschrijvingen (indien aangeboden), optionele marketingcommunicatie
• § 25 lid 2 nr. 2 TDDDG (absolute technische noodzaak): opslag van en toegang tot informatie op het eindapparaat van de gebruiker in het kader van technisch noodzakelijke cookies (authenticatie, botbeveiliging, veiligheidscontrole) — zie paragraaf 8

4. Categorieën van gegevens

Wij verwerken de volgende categorieën persoonsgegevens:

• Stamgegevens: naam, e-mailadres, bedrijfsnaam, eventueel adres bij betaalde abonnementen
• Aanmeldings- en authenticatiegegevens: bcrypt-hash van het wachtwoord (kostenfactor 12), JWT-authenticatietoken, sessie-cookie
• Gebruiksgegevens: gescande domeinen en URL's, gevonden claims, scanresultaten, compliancescore, AI-herformuleringen
• Communicatiegegevens: inhoud van het contactformulier (naam, e-mail, onderwerp, bericht), ondersteuningscorrespondentie
• Betalingsgegevens: Stripe-klant-ID, Stripe-abonnements-ID, factuurnummer, factuurbedrag, betalingsstatus. Creditcard- of SEPA-gegevens worden uitsluitend door Stripe verwerkt en zijn voor ons niet inzichtelijk.
• Scangegevens van derden: openbaar toegankelijke inhoud van de door u opgegeven website (metatags, teksten, reclame-uitingen). Op gescande websites kunnen incidenteel persoonsgegevens van derden staan (bijv. namen van medewerkers op teampagina's, impressumgegevens). De volledige ruwe HTML van de gescande pagina's wordt onmiddellijk na afronding van de analyse verwijderd en niet permanent opgeslagen. Uitsluitend de geïdentificeerde reclame-uitingen ("claims"), hun beoordeling en een verwijzing naar de bron-URL worden persistent opgeslagen — deze gegevens worden 24 maanden na uitvoering van de scan bewaard en daarna automatisch verwijderd. Er vindt geen verrijking met aanvullende gegevens van derden plaats.
• Logbestandgegevens: IP-adres, tijdstempel, user-agent, referrer, opgevraagde URL, HTTP-statuscode

5. Bewaartermijnen

Wij bewaren uw gegevens uitsluitend zolang als noodzakelijk voor de respectieve doeleinden of wettelijk voorgeschreven:

• Account- en stamgegevens: tot verwijdering van uw account, daarna anonimisering resp. verwijdering binnen 30 dagen
• Scanresultaten: 24 maanden na uitvoering van de scan, daarna automatische verwijdering
• Facturen en fiscaal relevante stukken: 10 jaar conform § 147 AO en § 14b UStG
• Logbestanden: 30 dagen ter voorkoming van misbruik, daarna automatische verwijdering
• Contactverzoeken: tot definitieve afhandeling van uw verzoek, daarna verwijdering tenzij wettelijke bewaarverplichtingen van toepassing zijn
• Authenticatie-cookie: rolafhankelijk — 24 uur na aanmelding voor reguliere gebruikers (rollen user, support), 7 dagen voor beheerders (rol admin). Het bijbehorende refresh-token vervalt in elk geval na 7 dagen. Bij uitloggen worden beide cookies onmiddellijk verwijderd.
• Cloudflare-beveiligingscookies: __cf_bm 30 minuten, _cfuvid sessie, cf_clearance tot 30 dagen (zie paragraaf 8b)

6. Verwerkers en ontvangers

Wij maken gebruik van zorgvuldig geselecteerde verwerkers, met wie wij verwerkersovereenkomsten conform art. 28 AVG hebben gesloten. De volgende dienstverleners verwerken persoonsgegevens in onze opdracht:

Databases (PostgreSQL, Redis) worden uitsluitend op onze servers bij Hetzner in Duitsland beheerd. Er vindt geen overdracht aan derden plaats die niet in deze lijst zijn opgenomen.

6a. Verwerking als verwerker

Voor zover u als gebruiker domeinen laat scannen waarvan de inhoud persoonsgegevens van derden bevat (bijv. namen van bestuurders in het impressum, namen van medewerkers op teampagina's, contactgegevens), treden wij ten aanzien van deze gegevens op als verwerker in de zin van art. 28 AVG en bent u de verwerkingsverantwoordelijke. Wij zetten in deze verwerking de volgende subverwerkers in, waarvan een deel gevestigd is in de VS (doorgifte aan derde landen op basis van de EU-standaardcontractbepalingen conform art. 46 lid 2 sub c AVG): Anthropic PBC (VS, AI-herformulering), Cloudflare Inc. (VS, CDN/WAF) en Hetzner Online GmbH (Duitsland, hosting). Uw verplichtingen als verwerkingsverantwoordelijke conform art. 28 lid 2 en art. 44 e.v. AVG blijven onverlet. Een overeenkomstige verwerkersovereenkomst inclusief subverwerkerlijst stellen wij op verzoek individueel beschikbaar — neem hiervoor contact met ons op via ons contactformulier.

7. Doorgifte aan derde landen

Doorgifte van uw persoonsgegevens aan derde landen buiten de EER vindt uitsluitend plaats voor zover dit noodzakelijk is voor de levering van onze diensten. Concreet vindt doorgifte aan de VS plaats bij:

• Anthropic PBC (VS): doorgifte van claimteksten aan de Claude API voor AI-gestuurde herformulering. Uitsluitend tekstfragmenten zonder persoonsbetrekking worden doorgegeven. De verwerking vindt plaats met geactiveerde "disable training"-vlag, zodat uw gegevens niet worden gebruikt voor het trainen van de modellen.
• Cloudflare Inc. (VS): routering van webaanvragen, DNS-resolutie, bescherming tegen aanvallen.
• Stripe Payments Europe Ltd. (Amerikaanse moedermaatschappij): bij betalingsverwerking kan er technisch een gegevensoverdracht aan de Amerikaanse moedermaatschappij Stripe Inc. plaatsvinden.

De doorgifte vindt telkens plaats op basis van de standaardcontractbepalingen van de Europese Commissie (SCC's conform art. 46 lid 2 sub c AVG) en aanvullende technische en organisatorische maatregelen. Een kopie van de respectieve SCC's stellen wij u op verzoek ter beschikking.

7a. Transfer Impact Assessment (TIA)

In het licht van de Schrems-II-jurisprudentie van het HvJEU (C-311/18) hebben wij voor elke doorgifte naar de VS een Transfer Impact Assessment (TIA) uitgevoerd en komen tot de volgende conclusie:

• Anthropic PBC: uitsluitend reclameteksten zonder persoonsbetrekking (bijv. "klimaatneutraal geproduceerd") worden aan de API doorgegeven. Anthropic publiceert transparantierapporten over overheidsverzoeken. De "disable training"-vlag verhindert het gebruik van de gegevens voor modeltraining. Het risico van toegang door Amerikaanse autoriteiten (FISA 702) wordt geminimaliseerd doordat er geen persoonsbetrekking bestaat.
• Cloudflare Inc.: Cloudflare exploiteert EU-datacenters en biedt de "Data Localization Suite", waardoor IP-adressen en verbindingsgegevens primair in de EU blijven. Voor backbone-routering kan een vluchtig US-transit plaatsvinden. SCC's zijn afgesloten.
• Stripe Payments Europe Ltd.: contractpartner is de Ierse Stripe-dochtermaatschappij met EU-servers. Doorgifte naar de VS aan de moedermaatschappij Stripe Inc. vindt uitsluitend in nauw omschreven gevallen plaats (anti-witwascontrole, overheidsverzoeken). Stripe is PCI-DSS-gecertificeerd; kaarthoudergegevens worden niet door ons opgeslagen.

De volledige TIA-documentatie stellen wij op schriftelijk verzoek beschikbaar.

8. Cookies

Wij gebruiken uitsluitend technisch noodzakelijke cookies. Deze zijn absoluut vereist voor de werking van de aanmelding, het betalingsproces en de bescherming tegen geautomatiseerde aanvallen (§ 25 lid 2 nr. 2 TDDDG):

8a. Eigen cookies

• empcora_token · Domein: empcora.de · Looptijd: 24 uur voor reguliere gebruikers (rollen user, support), 7 dagen voor beheerders · HttpOnly, SameSite=Lax · Doel: authenticatie van aangemelde gebruikers via een ondertekend JSON-webtoken (JWT). Inhoud: uitsluitend de gebruikers-ID (geen leesbare persoonsgegevens, geen e-mail, geen naam). Aanvullend bestaat er een empcora_refresh-cookie met een looptijd van 7 dagen voor stille sessieverlenging zonder opnieuw het wachtwoord in te voeren.

8b. Cookies van Cloudflare (beveiliging/botbeveiliging)

Cloudflare beschermt onze infrastructuur tegen geautomatiseerde aanvallen (DDoS, bots, scraping). Hiervoor worden bij elke aanroep de volgende cookies op het domein geplaatst — allemaal geclassificeerd als "strictly necessary":

• __cf_bm · Cloudflare · Looptijd: 30 minuten · Doel: botbeheer, onderscheid tussen menselijke en geautomatiseerde aanroepen. Stelt een anonieme botscore in, geen persoonsbetrekking.
• cf_clearance · Cloudflare · Looptijd: tot 30 dagen · Doel: slaat het resultaat van een doorstane beveiligingscontrole op (bijv. captcha bij verdacht verkeer), zodat de gebruiker niet bij elke aanroep opnieuw hoeft te controleren. Wordt uitsluitend geplaatst wanneer de beveiligingscontrole actief is.
• _cfuvid · Cloudflare · Looptijd: sessie · Doel: koppeling aan de rate-limit-regels, verhindert omzeiling van de beveiliging door cookie-wisseling. Geen reclame- of trackingdoel.

De juridische grondslag voor deze cookies is § 25 lid 2 nr. 2 TDDDG (absolute noodzaak voor de door de gebruiker gewenste telemediadienstprestatie) in samenhang met art. 6 lid 1 sub f AVG (gerechtvaardigd belang bij bescherming tegen aanvallen).

8c. Cookies bij het betalingsproces (Stripe)

Opmerking over Stripe-cookies: bij het overstappen naar de Stripe-checkoutpagina (betalingsproces) plaatst Stripe eigen cookies op checkout.stripe.com voor fraudepreventie en sessiebeheer. Deze cookies zijn technisch vereist voor de betalingsverwerking. Privacybeleid van Stripe: stripe.com/de/privacy.

Op onze pagina's worden geen tracking-, analyse- of marketingcookies geplaatst. Een toestemmingsbanner is daarom niet vereist (§ 25 lid 2 nr. 2 TDDDG).

8d. Bereiksmeting met Umami (zelf gehost, cookieloos)

Voor de statistische analyse van het websitegebruik zetten wij de open-sourcesoftware Umami in, zelfstandig gehost op eigen infrastructuur in Duitsland (Hetzner Online GmbH). Er vindt geen overdracht aan derden plaats.

Umami werkt cookieloos: er worden geen cookies geplaatst en er wordt geen informatie in de eindeinrichting opgeslagen of uitgelezen. Daardoor is geen toestemming op grond van § 25 TDDDG vereist.

Er worden uitsluitend geaggregeerde, niet tot identificatie geschikte gegevens vastgelegd: bezochte pagina's (pad), referrer-domein, globale herkomst op landniveau, browser-/apparaattype, datum en tijdstip. Het IP-adres wordt uitsluitend transiënt verwerkt en niet permanent opgeslagen; een eventuele bezoekerssleutel wordt serverzijdig berekend uit IP-adres en browserkenmerken, gehasht en dagelijks gerouleerd — geen duurzaam of apparaatoverschrijdend tracking.

Rechtsgrondslag: gerechtvaardigd belang bij een dataspaarza­me, geanonimiseerde bereiksmeting (art. 6 lid 1 sub f AVG).

Browser-"Do Not Track"-signalen worden gerespecteerd; bij ingeschakelde DNT vindt geen meting plaats.

9. Logbestanden

Bij elke aanroep van onze website worden de volgende gegevens in logbestanden vastgelegd:

• IP-adres
• Datum en tijdstip van het verzoek
• User-agent (browser, besturingssysteem)
• Referrer-URL
• Opgevraagde URL en HTTP-statuscode

De juridische grondslag is art. 6 lid 1 sub f AVG; ons gerechtvaardigde belang ligt in misbruikpreventie, foutopsporing en IT-beveiliging. De logbestanden worden na 30 dagen automatisch verwijderd.

10. Crawlergegevens

Wanneer u een URL invoert voor compliancecontrole, roept onze crawler de openbaar toegankelijke website op en analyseert de inhoud (metatags, teksten, reclame-uitingen). Hierbij hanteren wij de volgende principes:

• Wij crawlen uitsluitend openbaar toegankelijke gedeelten van het door u opgegeven domein
• Wij respecteren robots.txt en crawlvertragingen
• Wij omzeilen geen authenticatie of betaalmuren
• U bevestigt als gebruiker dat u gerechtigd bent het opgegeven domein te crawlen (eigendom, mandaat e.d.)
• Op de gescande pagina's kunnen incidenteel persoonsgegevens van derden staan (verplichte impressumgegevens, namen van bestuurders/eigenaars, team-/medewerkersprofielen, contactgegevens). Deze gegevens worden uitsluitend verwerkt voor de uitvoering van de door u opgedragen scan, niet verrijkt en — voor zover het ruwe HTML betreft — onmiddellijk na afronding van de analyse verwijderd. Geïdentificeerde claims worden 24 maanden bewaard (paragraaf 5). De verantwoordelijkheid voor gegevensbescherming jegens de betrokken derden berust conform art. 4 nr. 7 AVG bij u als gebruiker (verwerkingsverantwoordelijke); wij treden in zoverre op als verwerker (zie paragraaf 6a).

11. Contactformulier

Wanneer u ons contactformulier gebruikt, verwerken wij de door u ingevoerde gegevens (naam, e-mail, onderwerp, bericht, optioneel telefoonnummer) voor de beantwoording van uw verzoek. De juridische grondslag is art. 6 lid 1 sub b AVG (precontractuele maatregelen) resp. art. 6 lid 1 sub f AVG (gerechtvaardigd belang bij de afhandeling van uw verzoek).

Ter bescherming tegen spambots gebruiken wij een honeypot-veld en een IP-gebaseerde rate-limiting (max. 3 verzoeken per uur per IP). Uw verzoeken worden bewaard tot definitieve afhandeling en daarna verwijderd, tenzij wettelijke bewaarverplichtingen van toepassing zijn.

12. Nieuwsbrief

Wij versturen ca. 1× per maand een nieuwsbrief met EmpCo-updates, BGH-/OLG-uitspraken en compliancewenken. De verzending vindt uitsluitend plaats na uitdrukkelijke toestemming via de dubbele opt-in-procedure (bevestiging van de aanmelding via een link in een aparte bevestigings-e-mail).

• Juridische grondslag: art. 6 lid 1 sub a AVG (toestemming) in samenhang met § 7 lid 2 nr. 3 UWG.
• Verwerkte gegevens: e-mailadres, bevestigingsstatus (in behandeling / actief / afgemeld), DOI-token (24 u geldig), permanente afmeldtoken, aanmeldingsbron, IP-hash (SHA-256-verkort, ter voorkoming van spam, niet herleidbaar tot het IP-adres), user-agent (max. 200 tekens), tijdstempel.
• Doel: verzending van de nieuwsbrief; bewijs van toestemming (art. 7 lid 1 AVG); spam-/misbruikbeveiliging.
• Bewaartermijn: actieve abonnementen onbeperkt (tot afmelding). Na afmelding wordt de status "afgemeld" met tijdstempel minimaal 12 maanden bewaard als bewijs van herroeping; daarna anonimisering of verwijdering. Onbevestigde DOI-verzoeken worden na tokenverloop (24 u) automatisch verwijderd.
• Herroeping (art. 7 lid 3 AVG): u kunt uw toestemming te allen tijde en zonder opgave van redenen herroepen — hetzij via de persoonlijke afmeldlink in elke nieuwsbrief-e-mail, hetzij per e-mail aan [email protected]. De herroeping heeft onmiddellijk effect; reeds verzonden e-mails vallen hier buiten.
• Verzendingsdienstverlener: verzending verloopt via onze eigen mailserver (Mailcow, gehost in Duitsland). Geen doorgifte aan derden of aan derde landen.

13. Betalingsverwerking via Stripe

Voor de verwerking van betaalde abonnementen maken wij gebruik van de betalingsdienstverlener Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Ierland. Stripe is een PCI-DSS-gecertificeerde betalingsdienstverlener.

Bij betaling worden de betalingsgegevens (creditcardnummer, IBAN enz.) rechtstreeks aan Stripe doorgegeven en uitsluitend daar verwerkt. Wij hebben geen toegang tot uw kaartgegevens of IBAN. Wij slaan uitsluitend de door Stripe toegewezen klant-ID, abonnements-ID, factuurnummer en de betalingsstatus op.

De juridische grondslag is art. 6 lid 1 sub b AVG (uitvoering van een overeenkomst). De privacyverklaring van Stripe is te vinden op: https://stripe.com/de/privacy

14. AI-analyse via Anthropic Claude API

Voor de AI-gestuurde herformulering van problematische reclame-uitingen maken wij gebruik van de Claude API van Anthropic PBC, San Francisco, VS. Uitsluitend de volgende gegevens worden doorgegeven:

• de te herformuleren reclametekst (bijv. "klimaatneutraal", "duurzaam")
• de context van de reclame-uiting (bijv. branche, paginatype)

Uitsluitend de reclame-uiting en een beknopte vakinhoudelijke context (branche, paginatype) worden doorgegeven. Wij geven actief geen stam- of contactgegevens door (geen e-mail, geen account-ID, geen IP-adres, geen naam). Voor zover een reclametekst eigennamen van een natuurlijke persoon zou bevatten (bijv. naam van eigenaar of bestuurder in een slogan), kan een indirecte persoonsbetrekking in de zin van art. 4 nr. 1 AVG niet volledig worden uitgesloten — de doorgifte vindt in dat geval plaats op basis van de verwerkersovereenkomst conform art. 28 AVG alsmede de EU-standaardcontractbepalingen (art. 46 lid 2 sub c AVG). De "disable training"-vlag is geactiveerd, zodat uw teksten niet worden gebruikt voor het trainen van de Claude-modellen. Voor zover u als gebruiker reclameteksten van derden laat scannen, treedt Empcora in zoverre op als verwerker (zie paragraaf 6a) en Anthropic als subverwerker.

Privacyverklaring Anthropic: https://www.anthropic.com/legal/privacy

Geen geautomatiseerde individuele besluitvorming (art. 22 AVG): noch de algoritmische compliancebeoordeling (ampelstatus ROOD/GEEL/GROEN, score A tot F, compliancebadge) noch de AI-gestuurde herformulering vormt een geautomatiseerde beslissing in individuele gevallen in de zin van art. 22 lid 1 AVG.

Motivering: (i) De beoordelingen hebben geen rechtsgevolg voor de gebruiker of derden — het zijn technische aanwijzingen op basis van openbare rechtsbronnen. (ii) Uit een score of een herformulering vloeien geen automatische sancties, blokkades of andere vergelijkbaar ingrijpende nadelen voort; in het bijzonder heeft de compliancebadge geen externe werking met rechtsgevolg. (iii) De uiteindelijke beslissing over het gebruik van een reclame-uiting of een herformuleringsvoorstel berust uitsluitend bij de gebruiker; een menselijke toetsing — bij voorkeur door een toegelaten advocaat — blijft vereist.

In dit verband verwijzen wij aanvullend naar de RDG-opmerking in § 1 lid 5 AV alsmede de verduidelijking over het karakter van de toolresultaten in § 10 AV (compliancebeoordeling: karakter, grenzen en uitsluiting van aansprakelijkheid).

Recht op menselijke tussenkomst: mocht u een beoordeling toch als vergelijkbaar ingrijpend nadeel ervaren, kunt u te allen tijde contact opnemen met [email protected]. Wij zullen uw geval handmatig beoordelen en u het resultaat schriftelijk meedelen (art. 22 lid 3 AVG).

14a. Audit-rapport-PDF

Na afronding van een betaalde scan genereren wij een auditrapport in PDF-formaat, dat via het accountdashboard beschikbaar is voor download en op verzoek per e-mail naar het in uw account geregistreerde adres wordt verstuurd. Het rapport bevat de gescande URL, de geïdentificeerde reclame-uitingen met beoordeling, AI-herformuleringsvoorstellen alsmede in de voettekst een aanmaaktijdstempel en de scan-ID ter identificatie. Doorgifte aan derden vindt niet plaats; het PDF-bestand wordt samen met de scandataset 24 maanden opgeslagen en daarna automatisch verwijderd (zie paragraaf 5). De juridische grondslag is art. 6 lid 1 sub b AVG (uitvoering van een overeenkomst).

14b. Greenwashing-check-widget (embed)

Wij stellen een insluitbaar miniwidget ("Greenwashing-check-widget") beschikbaar dat door derden via <iframe> kan worden ingesloten via de URL https://empcora.de/embed/widget. Wanneer u dit widget gebruikt, gelden de volgende privacymededelingen:

• Verwerkingsverantwoordelijke: Marcel Schlüter IT-Services (Empcora), Kollwitzstraße 76, 10435 Berlin (zie paragraaf 1).
• Verzamelde gegevens: de door u in het widget ingevoerde URL alsmede uw IP-adres, dat bij het aanroepen van het widget en bij het starten van een scan technisch wordt doorgegeven. De communicatie verloopt via onze tRPC-API op empcora.de.
• Doel: uitvoering van de greenwashingscan voor de door u ingevoerde URL alsmede toepassing van een IP-gebaseerde rate-limiting ter bescherming tegen geautomatiseerd misbruik (denial-of-service-beveiliging).
• Juridische grondslag: art. 6 lid 1 sub b AVG (uitvoering van een overeenkomst / levering van de door de gebruiker gevraagde scandienst) alsmede art. 6 lid 1 sub f AVG (gerechtvaardigd belang bij bescherming van onze infrastructuur tegen DoS-/misbruikaanvallen).
• Bewaartermijn: het IP-adres wordt voor de rate-limiting maximaal 24 uur in een vluchtige cache bewaard en daarna automatisch verwijderd. De scangegevens (ingevoerde URL, geïdentificeerde claims, beoordeling) worden conform de regels in paragraaf 5 van deze privacyverklaring ("Scanresultaten", 24 maanden) opgeslagen.
• Doorgifte aan derde landen: geen doorgifte aan derde landen in het kader van het widgetgebruik zelf. De verwerking vindt plaats op onze servers bij Hetzner in Duitsland; Cloudflare wordt eventueel ingezet zoals beschreven in paragraaf 16. Voor zover voor de AI-gestuurde claimherformulering de Claude API van Anthropic wordt gebruikt, gelden aanvullend de mededelingen uit paragraaf 7 en paragraaf 14.
• Ontvangers: er vindt geen doorgifte aan derden plaats die verder gaat dan de in paragraaf 6 genoemde verwerkers.
• Bezwaar- en inzagerecht: u kunt te allen tijde bezwaar maken tegen de verwerking van uw gegevens en uw rechten als betrokkene uitoefenen (inzage, verwijdering, beperking enz., zie paragraaf 17) — neem hiervoor contact op met [email protected].

Opmerking over ingesluiten widgets op websites van derden: wanneer het widget is ingebed op de website van een derde, is aanvullend de privacyverklaring van de betreffende derdenbeheerder van toepassing. De derdenbeheerder is zelfstandig verwerkingsverantwoordelijke voor de gegevensverwerking op zijn site (art. 4 nr. 7 AVG) en dient zijn gebruikers dienovereenkomstig te informeren.

15. Hosting bij Hetzner

Onze servers, de database (PostgreSQL) en de cache (Redis) worden gehost bij Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Duitsland. De servers bevinden zich uitsluitend in Duitse datacenters. Met Hetzner is een verwerkersovereenkomst conform art. 28 AVG gesloten.

16. Cloudflare (DNS, CDN, DDoS-beveiliging)

Wij maken gebruik van Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, VS voor DNS-resolutie, content delivery, DDoS-beveiliging en web application firewall. Cloudflare verwerkt bij elke aanroep van onze website het IP-adres en verbindingsgegevens om de bereikbaarheid te waarborgen en aanvallen af te weren.

De juridische grondslag is art. 6 lid 1 sub f AVG; ons gerechtvaardigde belang ligt in de bescherming tegen misbruik en het waarborgen van de beschikbaarheid. Met Cloudflare zijn een verwerkersovereenkomst en EU-standaardcontractbepalingen afgesloten. Privacyverklaring Cloudflare: https://www.cloudflare.com/de-de/privacypolicy/

17. Uw rechten als betrokkene

U heeft jegens ons de volgende rechten met betrekking tot de u betreffende persoonsgegevens:

• Recht op inzage (art. 15 AVG)
• Recht op rectificatie (art. 16 AVG)
• Recht op verwijdering ("recht op vergetelheid", art. 17 AVG)
• Recht op beperking van de verwerking (art. 18 AVG)
• Recht op gegevensoverdraagbaarheid (art. 20 AVG)
• Recht van bezwaar tegen de verwerking (art. 21 AVG)
• Recht om een gegeven toestemming te herroepen (art. 7 lid 3 AVG) — de herroeping geldt uitsluitend voor de toekomst
• Recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerde beslissing (art. 22 AVG)
• Recht om een klacht in te dienen bij een toezichthoudende autoriteit (art. 77 AVG) — zie paragraaf 18 voor de bevoegde autoriteit

Om uw rechten uit te oefenen, kunt u contact opnemen via [email protected].

17a. Gegevensexport (art. 20 AVG)

U heeft het recht de aan ons verstrekte gegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen. Wij stellen de export beschikbaar als JSON of CSV en sturen deze op verzoek binnen zeven werkdagen kosteloos per e-mail of via het accountdashboard. De export omvat accountstamgegevens, domeinen, scanresultaten, claims, geüploade bewijsstukken en PDF-rapporten. Het verzoek kan informeel worden gericht aan [email protected].

18. Recht om een klacht in te dienen bij een toezichthoudende autoriteit

U heeft conform art. 77 AVG het recht een klacht in te dienen bij een gegevensbeschermingsautoriteit indien u van mening bent dat de verwerking van uw gegevens in strijd is met de AVG. Bevoegd is de toezichthoudende autoriteit van de deelstaat waar de verwerkingsverantwoordelijke zijn woonplaats heeft:

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59-61
10555 Berlin
Telefon: +49 30 13889-0
E-Mail: [email protected]
Web: www.datenschutz-berlin.de

Opmerking: de bevoegde toezichthoudende autoriteit wordt bepaald door de vestigingsplaats van de verwerkingsverantwoordelijke (10435 Berlin). Onverminderd dit recht kunt u ook een klacht indienen bij de toezichthoudende autoriteit van de lidstaat van uw gewone verblijfplaats of werkplek (art. 77 lid 1 AVG).

Een overzicht van alle Duitse toezichthoudende autoriteiten vindt u op: Adressen van de deelstatelijke gegevensbeschermingsautoriteiten

19. SSL-/TLS-versleuteling

Deze website maakt gebruik van SSL- resp. TLS-versleuteling ter bescherming van uw gegevens en ter waarborging van de overdracht van vertrouwelijke inhoud (bijv. verzoeken, aanmeldgegevens, betalingsinformatie). Een versleutelde verbinding herkent u aan "https://" in de adresbalk van uw browser.

20. Actualiteit en wijziging van deze privacyverklaring

Deze privacyverklaring is momenteel van kracht en heeft de stand 15 mei 2026. Wij behouden ons het recht voor de privacyverklaring aan te passen om deze voortdurend in overeenstemming te houden met de actuele wettelijke vereisten of wijzigingen in onze diensten. De actuele versie is beschikbaar op /nl/datenschutz.