Datenschutzerklärung
Stand: 2026-06-04. Diese Erklärung beschreibt, welche personenbezogenen Daten GEO.GG (im Folgenden „wir“) im Rahmen des Betriebs dieser Website und unseres SEO-Audit-Dienstes verarbeitet, zu welchem Zweck und auf welcher Rechtsgrundlage. Maßgeblich sind die EU-Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG).
1. Verantwortlicher
conflict.industries digital GmbH
Neukrapohl 5
41236 Moenchengladbach
Deutschland
E-Mail: contact@geo.gg
Bei Fragen zum Datenschutz wenden Sie sich an dieselbe Adresse. Ein Datenschutzbeauftragter ist gemäß § 38 BDSG nicht bestellt (Voraussetzungen nicht erfüllt).
2. Verarbeitungstätigkeiten im Überblick
| Zweck | Daten | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Webseitenbetrieb (Logfiles) | IP, Zeitstempel, User-Agent, angeforderte URL | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit, Fehleranalyse) | bis zu 4 Monate (interne Bereinigung in der Regel früher) |
| Fehlerprotokollierung (abgefangene Server-Fehler) | HTTP-Methode, Pfad, übermittelte Formular-/Anfrageparameter und Fehlertext (jeweils gekürzt; keine IP-Adresse) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Stabilität und Fehlerbehebung) | 30 Tage, dann automatische Löschung |
| Magic-Link-Login | E-Mail-Adresse, IP, Zeitstempel, Login-Token | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | 15 Min Token-Gültigkeit, 12 Monate Login-Historie |
| Free-Audit (kostenlos) | eingegebene URL, Formularfelder, IP, Audit-Ergebnis | Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/Dienstleistung) ggf. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung China-Anbieter) | 7 Tage, dann automatische Löschung |
| Bezahltes Audit | Name, E-Mail, Rechnungsadresse, eingegebene URL, Formularfelder, Audit-Ergebnis, PayPal-Transaktions-ID | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO (Aufbewahrung Rechnungen) | Audit-Inhalt 12 Monate (jederzeit kundenlöschbar); Rechnungen 10 Jahre (§ 147 AO, § 257 HGB) |
| LLM-Anfragen-Log (intern) | Inhalte der LLM-Aufrufe, Tokens, Kosten | Art. 6 Abs. 1 lit. f DSGVO (Qualitätssicherung, Kostenkontrolle) | 12 Monate |
| Anonyme Reichweitenmessung (selbst gehostete PostHog-Instanz) | Pfad, Referrer, UTM-Parameter — keine IP-Speicherung, keine Geo-IP-Auflösung, keine User-Identifikation | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: statistische Auswertung des Webseitenverkehrs) | nach Default-Retention der selbst betriebenen PostHog-Instanz |
| E-Mail-Erfassung beim Free-Audit (Lead-Capture) | E-Mail-Adresse, Verifizierungsstatus, optionales Marketing-Consent-Flag, Site-Bezug, Zeitstempel | Art. 6 Abs. 1 lit. b DSGVO (Versand der angeforderten Bestätigungs-E-Mail im Rahmen der Leistung); Art. 6 Abs. 1 lit. a DSGVO (Marketing-Einwilligung, sofern erteilt) | nicht verifiziert: max. 30 Tage; verifiziert ohne Marketing-Consent: bis Widerspruch; mit Marketing-Consent: bis zum Widerruf |
3. Auftragsverarbeiter und Empfänger
Für die Erbringung unserer Dienstleistung setzen wir externe Anbieter als Auftragsverarbeiter (Art. 28 DSGVO) bzw. eigenständige Verantwortliche ein. Mit allen in der EU oder im DSGVO-Geltungsbereich tätigen Empfängern bestehen entsprechende Verträge zur Auftragsverarbeitung.
3.1 Empfänger innerhalb der EU
| Empfänger | Sitz | Zweck | Daten-Art |
|---|---|---|---|
| Mistral AI | Frankreich | LLM-Anfragen für Audit-Analyse | Audit-Eingaben (URL, Brand, Markttext) |
| T-Systems / Deutsche Telekom (LLM Hub) | Deutschland | optional: LLM-Anfragen über T-Cloud | Audit-Eingaben |
| TurboSMTP S.R.L. | Catania, Italien | SMTP-Smarthost für ausgehenden transaktionalen Mailversand (Verifizierungs-Mails, Magic-Link-Login, Rechnungen, Widerrufsbestätigungen) | E-Mail-Adresse des Empfängers, Mail-Body inkl. ggf. Magic-Link-Token, Rechnungs-PDF-Anhang, Widerrufsbestätigung |
Hinweis zum Mailversand: Wir betreiben einen eigenen Mailserver (MTA), der ausgehende Nachrichten per TLS-gesichertem SMTP-Smarthost-Relay an TurboSMTP S.R.L. übergibt. TurboSMTP hat seinen Sitz in Catania, Italien (EU); ein Drittlandtransfer auf Provider-Ebene findet nicht statt. Empfänger-Mailserver außerhalb der EU können bei der Auslieferung adressbedingt zustande kommen — das ist eine Eigenschaft des E-Mail-Protokolls und liegt außerhalb unseres Einflusses.
3.2 Empfänger in den USA (Drittland)
Übermittlungen in die USA stützen sich entweder auf den EU-US Data Privacy Framework (DPF) gemäß Art. 45 DSGVO oder auf Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO mit ergänzendem Auftragsverarbeitungsvertrag (DPA). Wir prüfen den DPF-Status der genutzten Anbieter quartalsweise gegen die offizielle Liste unter dataprivacyframework.gov/list. Stand der Prüfung: 2026-06-04.
| Empfänger | Zweck | Daten-Art | Garantie |
|---|---|---|---|
| Anthropic, PBC | LLM-Anfragen (Claude) | Audit-Eingaben | SCC + DPA (nicht DPF-zertifiziert) |
| OpenAI, L.L.C. | LLM-Anfragen (GPT) | Audit-Eingaben | SCC + DPA (US-Mutter nicht DPF-zertifiziert; Vertragspartner für EWR-Nutzer ist OpenAI Ireland Ltd.) |
| Google LLC | LLM-Anfragen (Gemini) | Audit-Eingaben | DPF (aktiv) + SCC als Backup + Google Cloud DPA |
| Groq, Inc. | LLM-Anfragen (schnelle Inferenz) | Audit-Eingaben | SCC + DPA (nicht DPF-zertifiziert) |
| Perplexity AI | LLM-Anfragen (sonar) | nur Brand-Name + öffentliche Suchbegriffe | SCC; siehe Hinweis unten |
| Serper | SERP-Daten von Google für Brand-Recherche | nur Brand-Name + öffentliche Suchbegriffe | SCC; siehe Hinweis unten |
| PayPal (Europe) S.à r.l. | Zahlungsabwicklung | Name, Adresse, E-Mail, Zahlungsdaten | EU-Sitz (Luxemburg); Merchant-DPA |
Hinweis zu Perplexity und Serper: An diese Anbieter übermitteln wir ausschließlich öffentlich verfügbare Informationen (Brand-Name der zu auditierenden Website, allgemeine Such- und Wettbewerbsbegriffe). Es werden keine personenbezogenen Daten unserer Nutzerinnen und Nutzer übertragen. Die Übermittlung stützt sich auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO; ein Auftragsverarbeitungsvertrag ist nicht zwingend erforderlich, da der Anbieter hinsichtlich Ihrer Personendaten nicht als Auftragsverarbeiter agiert.
3.3 Empfänger in China (Drittland ohne Angemessenheitsbeschluss) — nur bei ausdrücklicher Einwilligung
Bei aktivierter Opt-in-Checkbox im Audit-Formular werden Brand-Name und Audit-Anfrage zusätzlich an folgende Anbieter in der Volksrepublik China übermittelt. Für China besteht kein DSGVO-Angemessenheitsbeschluss. Die Übermittlung erfolgt ausschließlich auf Basis Ihrer ausdrücklichen Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO und ist freiwillig — das Audit funktioniert auch ohne diese Einwilligung.
| Empfänger | Zweck | Daten-Art | Garantie / Risiko |
|---|---|---|---|
| DeepSeek | LLM-Anfragen für Surface-Coverage | Brand-Name, kurze Audit-Anfrage | SCC + DPA; kein Adäquanzbeschluss, höheres Risiko (chinesische Zugriffsbefugnisse staatlicher Stellen) |
| MiniMax | LLM-Anfragen für Surface-Coverage | Brand-Name, kurze Audit-Anfrage | SCC + DPA; kein Adäquanzbeschluss, höheres Risiko (chinesische Zugriffsbefugnisse staatlicher Stellen) |
3.4 Selbst betriebene Infrastruktur
Folgende Komponenten betreiben wir auf eigener Infrastruktur in Deutschland; eine Übermittlung an Dritte findet nicht statt:
- Web-Frontend, Datenbank, Master-Daemon
- Crawl4AI (Webseiten-Crawler) — das Abrufen Ihrer angegebenen URL erfolgt durch unseren eigenen Crawler
- SearxNG (Such-Metasuchmaschine) — nur Brand-Name und öffentliche Suchbegriffe; keine personenbezogenen Daten an Dritte
- Zitadel (Authentifizierung)
3.5 E-Mail-Erfassung beim Free-Audit (Lead-Capture, Double-Opt-In)
Wenn Sie im Rahmen des kostenlosen Audits Ihre E-Mail-Adresse angeben, speichern wir diese zusammen mit einem Verifizierungs-Token, dem Site-Bezug, dem Zeitpunkt der Anforderung und — falls Sie die separate Marketing-Checkbox aktiv ankreuzen — einem Marketing-Einwilligungs-Flag. Wir senden Ihnen anschließend eine Bestätigungs-E-Mail mit einem einmalig verwendbaren Link zur Verifizierung Ihrer Adresse (Double-Opt-In).
Rechtsgrundlage: Der Versand der Bestätigungs-E-Mail und die zugehörige Verarbeitung Ihrer Adresse stützt sich auf Art. 6 Abs. 1 lit. b DSGVO, weil der Versand integraler Bestandteil der von Ihnen angeforderten Leistung ist. Soweit Sie zusätzlich der Nutzung Ihrer Adresse für Produkt-Informationen zugestimmt haben, erfolgt diese auf Basis Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Die Marketing-Einwilligung ist freiwillig und vom Audit-Versand unabhängig — ohne sie erhalten Sie ausschließlich die Bestätigungs-E-Mail.
Speicherdauer: nicht verifizierte Adressen werden nach maximal 30 Tagen automatisch gelöscht. Verifizierte Adressen ohne Marketing-Einwilligung werden gespeichert, bis Sie der Speicherung widersprechen. Verifizierte Adressen mit Marketing-Einwilligung verbleiben bis zum Widerruf der Einwilligung; nach Widerruf wird die Adresse in eine Suppression-Liste überführt, um künftige ungewollte Kontakte zu unterbinden.
Empfänger: Die Daten werden nicht an Dritte weitergegeben. Die Bestätigungs- und ggf. späteren Produkt-Informations-Mails werden ausschließlich über unseren eigenen Mailserver mit SMTP-Smarthost-Relay an TurboSMTP S.R.L. (Catania, Italien) als Auftragsverarbeiter (Art. 28 DSGVO) zugestellt — siehe Abschnitt 3.1.
Widerruf: Sie können Ihre Marketing-Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — entweder über den Abmelde-Link in jeder Marketing-E-Mail oder formlos per E-Mail an contact@geo.gg.
3.6 Interne Störungs-Benachrichtigungen (Telegram)
Zur zeitnahen Behebung von Betriebsstörungen senden wir bei fehlgeschlagenen Audit-Läufen oder abgefangenen Server-Fehlern eine interne Benachrichtigung an einen privaten, nicht öffentlichen Chat unseres Betriebsteams über die Telegram-Bot-Schnittstelle. Diese Benachrichtigung enthält ausschließlich interne Referenz-Codes ohne Personenbezug (z. B. ein zufälliger Vorgangs-Code, ein Fehler-Datensatz-Verweis, der betroffene Verarbeitungsschritt). Es werden weder Fehlertexte noch Pfade noch Formulareingaben noch sonstige personenbezogene Daten übertragen – die eigentlichen Diagnosedaten verbleiben in unserer Datenbank. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit des Dienstes).
4. Speicherdauer im Detail
- Free-Audit-Daten: nach 7 Tagen automatische, vollständige Löschung. Wir behalten das Audit-Ergebnis nicht für Marketing- oder Trainingszwecke.
- Fehlerprotokolle (abgefangene Server-Fehler): 30 Tage, danach automatische, vollständige Löschung. Ohne IP-Adresse, mit gekürzten Parametern und Fehlertexten.
- Bezahlte Audits: 12 Monate Standardaufbewahrung. Ihr Konto können Sie jederzeit selbst über Konto löschen in Ihrem Account-Bereich löschen; dabei werden Ihre personenbezogenen Daten anonymisiert (Rechnungs-Stammdaten bleiben gemäß gesetzlicher Aufbewahrungspflicht erhalten, siehe unten).
- Rechnungen: 10 Jahre Aufbewahrungspflicht (§ 147 AO, § 257 HGB). Auch bei Account-Löschung werden Rechnungs-Stammdaten anonymisiert beibehalten.
- Logfiles (Webserver, Anwendung): bis zu 4 Monate, in der Regel früher — interne Rotation alle 3 Monate setzt sämtliche Logdaten zurück.
- LLM-Aufrufe (intern): 12 Monate für Qualitäts- und Kostenkontrolle.
- Magic-Link-Token: 15 Minuten Gültigkeit, anschließend invalidiert.
- E-Mail-Lead-Capture (Free-Audit): nicht verifizierte Adressen max. 30 Tage; verifizierte Adressen ohne Marketing-Einwilligung bis Widerspruch; mit Marketing-Einwilligung bis Widerruf, danach Aufnahme in Suppression-Liste.
5. Keine automatisierte Entscheidungsfindung
Wir setzen keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO ein, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Die von unserem Audit erzeugten Bewertungen und Berichte beziehen sich auf Websites und Marken — nicht auf einzelne Personen.
6. Cookies und Tracking
Wir verwenden keine Drittanbieter-Werbecookies und keine Analyse-Cookies. Technisch erforderliche Cookies werden ausschließlich zur Sitzungsverwaltung gesetzt (§ 25 Abs. 2 TDDDG, technisch notwendig).
Anonyme Reichweitenmessung: Wir betreiben eine selbst gehostete, anonyme Reichweitenmessung mit PostHog auf eigener Infrastruktur. Es werden keine personenbezogenen Daten erhoben:
- keine Speicherung Ihrer IP-Adresse (das Feld
$ipwird vor dem Schreiben verworfen); - keine User-Identifikation — auch eingeloggte Nutzer werden nicht auf ihre Account-ID gemappt;
- keine Cookies und kein
localStorage-Eintrag im Browser — § 25 TTDSG/TDDDG ist daher nicht einschlägig, eine Einwilligung ist nicht erforderlich; - kein client-seitiges JavaScript-SDK; die Erfassung erfolgt server-seitig auf unserer eigenen Infrastruktur.
Erfasst werden ausschließlich der aufgerufene Pfad, der Referrer und ggf.
UTM-Parameter. Eine Geo-IP-Auflösung findet nicht statt
($geoip_disable ist gesetzt), es wird kein Herkunftsland
bestimmt. Bots werden anhand des
User-Agents herausgefiltert. Zweck ist ausschließlich die aggregierte
statistische Auswertung des Webseitenverkehrs — keine Verknüpfung
mit Käufen, Conversions oder Account-Vorgängen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes
Interesse an der statistischen Auswertung des Webseitenverkehrs).
7. Ihre Rechte
Sie haben gegenüber uns als Verantwortlichem folgende Rechte:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit in einem strukturierten, gängigen Format (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Anfragen richten Sie bitte an contact@geo.gg. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).
8. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Postfach 20 04 44, 40102 Düsseldorf
Kavalleriestraße 2-4, 40213 Düsseldorf
Telefon: 0211/38424-0
E-Mail: poststelle@ldi.nrw.de
Web: www.ldi.nrw.de
Wenn Sie sich in einem anderen Bundesland oder außerhalb Deutschlands aufhalten, können Sie sich auch an die dortige Datenschutzbehörde wenden.
9. Änderungen dieser Datenschutzerklärung
Wir passen diese Erklärung an, wenn sich Verarbeitungstätigkeiten oder rechtliche Anforderungen ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar; das Datum am Anfang verweist auf die letzte Aktualisierung.