Datenschutzhinweise

1. Verantwortlicher und Kontakt

Verantwortlicher: Lukas Dienst, handelnd unter "DevBrew Development", Am Holzweg 11, 35789 Weilmünster, Deutschland.

Allgemeiner Kontakt: kontakt@devbrew.dev. Datenschutzkontakt: kontakt@devbrew.dev.

2. Welche Daten wir verarbeiten

• Konto- und Identitätsdaten wie Name, E-Mail-Adresse, Profilbild, Google-Kennungen und Sitzungsdaten.
• Verschlüsselte Google-Provider-Tokens, Ablaufdaten der Tokens und Google-Lokalisierungsdaten, die für den Zugriff auf Search Console und Analytics erforderlich sind.
• Google Search Console Kennzahlen wie Klicks, Impressionen, CTR, Position, Queries und seitenbezogene Performancewerte.
• Google Analytics 4 Kennzahlen wie Sitzungen, Nutzer, neue Nutzer, Traffic-Quellen, Landingpages und weitere Snapshot-Eingaben zur gewählten Property.
• Crawl- und Auditdaten öffentlich erreichbarer Seiten, einschließlich defekter Links, fehlender Metadaten und sonstiger technischer Auffälligkeiten.
• Workspace-Einstellungen, Snapshot-Verlauf, Abrechnungsstatus, Feature-Flags und Nutzungsdaten zum gebuchten Plan.
• Support- und Feedbackdaten, einschließlich Nachrichteninhalt und den an die Anfrage angehängten Kontodaten.
• Sicherheits- und Auditdaten wie IP-Adresse, User-Agent, Admin-/Systemlog-Einträge und operative Fehlermeldungen.
• Browser- und Gerätespeicher, einschließlich Authentifizierungs-Cookies, UI-State-Cookies und Local-Storage-Einträgen für Onboarding oder ausstehende Aktionen.

3. Zwecke und Rechtsgrundlagen

• Bereitstellung des Dienstes, Authentifizierung und Erstellung angeforderter Snapshots: Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen.
• Automatische Synchronisierung verfügbarer Google-Properties nach der Anmeldung: Vertragserfüllung und unser berechtigtes Interesse an einer einfachen Einrichtung.
• Verarbeitung von Abonnements, Belegen, Kündigungen und Planlimits: Vertragserfüllung sowie gesetzliche Aufbewahrungspflichten.
• Betrieb von Snapshot-Exporten, Live-Dashboards, Datenaktualisierungen und Property-Refreshes: Vertragserfüllung.
• Bearbeitung von Supportanfragen, Feedback und accountbezogener Kommunikation: Vertragserfüllung und berechtigtes Interesse an Support.
• Missbrauchsverhinderung, Sicherheit, Incident-Untersuchungen und Audit-Trails: berechtigte Interessen an Sicherheit, Betrugsprävention und zuverlässigem Betrieb.
• Messung der Websitenutzung mit Google Analytics 4 und PostHog-Browser-Analytics nach Ihrer Einwilligung in Analytics-Cookies: Einwilligung.

4. Google-API-Zugriff und Funktionsweise

Bei der Anmeldung mit Google fordern wir nur lesenden Zugriff auf Google Search Console und Google Analytics 4 sowie grundlegende Identitätsscopes an. Schreibzugriff auf Ihr Google-Konto wird nicht angefordert.

Nach der ersten Google-Anmeldung kann die App automatisch erreichbare Search-Console- und GA4-Properties in Ihren Workspace synchronisieren. Für die Snapshot-Erstellung wird anschließend die ausgewählte verbundene Property samt erforderlicher Kontextdaten verwendet.

Wir verwenden aus Google stammende Daten ausschließlich zur Bereitstellung, Absicherung und Verbesserung der angeforderten Snapshot- und Dashboard-Funktionen. Wir verkaufen keine Google-Nutzerdaten und verwenden sie nicht zu fremden Werbezwecken.

5. Google Analytics 4 und PostHog für Website-Tracking

Wir verwenden Google Analytics 4 und PostHog-Browser-Analytics, um die Nutzung der Website zu messen. Dabei können insbesondere Seitenaufrufe, Navigations- und Interaktionsereignisse, ungefähre Geräte- und Browserinformationen sowie Referrer-Daten verarbeitet werden.

Google Analytics 4 und PostHog-Browser-Analytics werden erst aktiviert, nachdem Sie im Consent-Banner Analytics-Cookies akzeptiert haben. Wenn Sie ablehnen, werden diese Browser-Analytics-Tags nicht geladen. Ihre Auswahl können Sie später jederzeit über die Cookie-Einstellungen im Footer ändern.

PostHog-Browser-Traffic wird über unseren verwalteten Reverse Proxy an die PostHog-EU-Instanz weitergeleitet.

6. Vercel Analytics

Wir verwenden Vercel Analytics zur Messung der Websitenutzung. Dabei können Seitenaufrufe, Referrer, Gerätetyp, Browsertyp sowie das Herkunftsland (abgeleitet aus der IP-Adresse) verarbeitet werden. Vercel Analytics setzt keine Cookies und verwendet keine persistenten Identifier.

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der Messung der Websitenutzung (Art. 6 Abs. 1 lit. f DSGVO). Da keine Cookies oder clientseitiger Speicher eingesetzt werden, findet § 25 TDDDG keine Anwendung. Sie können der Verarbeitung widersprechen.

7. Empfänger und Auftragsverarbeiter

• Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Irland) bzw. Google LLC für OAuth-Anmeldung, als verbundene Datenquelle für Search Console und GA4 sowie als Anbieter von Google Analytics 4 für Website-Analysen nach Einwilligung.
• OpenAI, L.L.C. (San Francisco, USA) zur Erzeugung der KI-gestützten Snapshot-Empfehlungen sowie zur Verarbeitung importierter Abrechnungsdaten, sofern konfiguriert. Es ist ein Auftragsverarbeitungsvertrag (Data Processing Addendum) abgeschlossen.
• Stripe Payments Europe Ltd. (Dublin, Irland) bzw. Stripe Inc. (USA) zur Anlage von Kundenprofilen, Abwicklung von Abonnements, Bereitstellung des Billing-Portals und Versand der transaktionalen Zahlungs- und Beleg-E-Mails.
• Vercel Inc. (San Francisco, USA) zum Hosting und Ausliefern der Webanwendung; das Frontend wird in der Vercel-Region Frankfurt (EU) betrieben.
• Hetzner Online GmbH (Industriestraße 25, 91710 Gunzenhausen, Deutschland) für den Betrieb der selbst verwalteten PostgreSQL-Datenbank und der Worker-Infrastruktur im Rechenzentrum Nürnberg (EU). Es besteht ein Auftragsverarbeitungsvertrag mit Hetzner.
• GlitchTip zur Erfassung operativer Fehler und sicherheitsrelevanter Ausnahmen — selbst gehostet auf Hetzner-Infrastruktur in Nürnberg, ohne Übermittlung an Dritte.
• PostHog Inc. (San Francisco, USA), betrieben über die EU-Instanz in Frankfurt, für serverseitige Produktanalyse und einwilligungsbasierte Browser-Analytics über unseren verwalteten Reverse Proxy. Es ist ein Auftragsverarbeitungsvertrag abgeschlossen.
• Vercel Analytics zur cookielosen Messung von Seitenaufrufen, Referrern, Gerätetyp und Herkunftsland. Vercel verarbeitet diese Daten auf eigener Infrastruktur; IP-Adressen werden nicht dauerhaft gespeichert.

8. Auftragsverarbeitung für Kunden-Datenquellen (GSC & GA4)

Wenn Sie als Geschäftskunde Ihre Google-Search-Console- oder Google-Analytics-4-Property mit Webhealth verbinden, werden die zu Ihrer Property gehörenden Such-, Klick-, Impressions- und Nutzungsdaten in Ihrem Auftrag verarbeitet. Soweit diese Daten personenbezogene Daten Ihrer Endnutzer enthalten, sind Sie Verantwortlicher im Sinne der DSGVO und Webhealth handelt als Auftragsverarbeiter nach Art. 28 DSGVO.

Einen Auftragsverarbeitungsvertrag (AVV) stellen wir auf Anfrage zur Verfügung. Wenden Sie sich hierfür an die unter „Verantwortlicher und Kontakt“ genannte E-Mail-Adresse. Die Liste der eingesetzten Unterauftragsverarbeiter entspricht den oben unter „Empfänger und Auftragsverarbeiter“ genannten Anbietern.

9. Datensicherheit

• Der gesamte Netzwerkverkehr zwischen Ihrem Browser, unseren Servern und Auftragsverarbeitern wird per TLS (HTTPS) transportverschlüsselt.
• Google-OAuth-Tokens — einschließlich Access-Tokens, Refresh-Tokens und ID-Tokens — werden vor der Speicherung in der Datenbank mit AES-256-GCM und individuellen Initialisierungsvektoren verschlüsselt.
• Über die Search-Console- und Analytics-APIs bezogene Google-Nutzerdaten werden in einer verschlüsselten Datenbank gespeichert und unterliegen denselben Zugangskontrollen wie alle übrigen Anwendungsdaten.
• Die Anwendungsdatenbank wird auf vom Betreiber verwalteter PostgreSQL-Infrastruktur in der EU mit eingeschränkter Netzfreigabe und authentifiziertem Administrationszugang betrieben.
• Der Zugang zur Produktionsinfrastruktur, zur Datenbank und zu Verschlüsselungsschlüsseln ist auf den Betreiber beschränkt und durch starke Authentifizierung geschützt.
• Wir unterhalten Verfahren zur Erkennung, Untersuchung und Reaktion auf Sicherheitsvorfälle, einschließlich der Benachrichtigung betroffener Personen und Aufsichtsbehörden, soweit gesetzlich vorgeschrieben.
• Auftragsverarbeiter werden unter Berücksichtigung ihrer technischen und organisatorischen Sicherheitsmaßnahmen ausgewählt und durch Auftragsverarbeitungsverträge gebunden.

10. Internationale Datenübermittlungen

Einige Auftragsverarbeiter können Daten außerhalb der EU/des EWR verarbeiten oder zugänglich machen, insbesondere in den Vereinigten Staaten. Dies kann je nach Servicefluss und eingesetzten Unterauftragsverarbeitern vor allem Google, OpenAI, Stripe, Vercel und GlitchTip betreffen.

Soweit erforderlich, stützen wir solche Übermittlungen auf Angemessenheitsbeschlüsse, das EU-U.S. Data Privacy Framework, Standardvertragsklauseln oder vergleichbare Schutzmechanismen.

11. Speicherdauer

• Konto- und Workspace-Daten werden grundsätzlich solange gespeichert, wie das Konto aktiv ist, sofern keine längere gesetzliche Aufbewahrungspflicht besteht.
• Snapshots, generierte Erkenntnisse und zugehörige Kennzahlen bleiben grundsätzlich verfügbar, solange das Konto aktiv ist, vorbehaltlich Löschanfragen und operativer Aufbewahrungsfristen.
• Wenn Sie eine Google-Datenquelle trennen oder den Zugriff widerrufen, werden die zugehörigen Tokens umgehend gelöscht. Bei Löschung Ihres Kontos werden sämtliche gespeicherten Google-Nutzerdaten — einschließlich Tokens, synchronisierter Properties und Snapshot-Daten — gelöscht.
• Feedback, Audit-Logs und Sicherheitsevents werden solange gespeichert, wie dies für Support, Missbrauchsverhinderung und Nachvollziehbarkeit erforderlich ist; anschließend werden sie gelöscht oder anonymisiert.
• Abrechnungs- und Buchhaltungsunterlagen können aufgrund steuer- oder handelsrechtlicher Vorgaben länger aufbewahrt werden.

12. Erforderliche Daten und automatisierte Entscheidungen

Bestimmte Daten sind erforderlich, um ein Konto anzulegen, Google-Datenquellen zu verbinden, einen kostenpflichtigen Plan zu kaufen oder Snapshots zu erzeugen. Wenn Sie die dafür erforderlichen Daten nicht bereitstellen, können wir den jeweiligen Teil des Dienstes möglicherweise nicht anbieten.

Wir verwenden keine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling, die im Sinne von Artikel 22 DSGVO rechtliche Wirkungen oder vergleichbar erhebliche Beeinträchtigungen entfaltet.

13. Cookies und sonstiger Gerätespeicher

Wir verwenden Cookies und sonstigen Gerätespeicher, die für den Betrieb des Dienstes und die Speicherung einfacher UI-Zustände erforderlich sind. Dazu zählen Authentifizierungs-/Sitzungs-Cookies, ein Sidebar-State-Cookie sowie Local-Storage-Einträge für Onboarding, ausstehende UI-Aktionen und Ihre gespeicherte Analytics-Einwilligung.

Wenn Sie Analytics-Cookies akzeptieren, laden wir zusätzlich das Google-Tag für Google Analytics 4 zur Reichweitenmessung der Website und PostHog-Browser-Analytics über unseren verwalteten Reverse Proxy. Wenn Sie ablehnen, bleiben diese Browser-Analytics-Tags deaktiviert.

14. Ihre Rechte

• Sie können nach Maßgabe der gesetzlichen Voraussetzungen Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch verlangen.
• Soweit eine Verarbeitung auf Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen oder ändern, insbesondere über die Cookie-Einstellungen im Footer.
• Sie können sich bei einer zuständigen Aufsichtsbehörde beschweren. Für Hessen ist dies derzeit Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Wiesbaden.

15. Änderungen dieser Hinweise

Wir können diese Hinweise anpassen, wenn sich Produkt, Auftragsverarbeiter oder rechtliche Anforderungen ändern. Wesentliche Änderungen kommunizieren wir, soweit erforderlich, im Dienst oder per E-Mail.