Datenschutzhinweise

1. Verantwortlicher und Kontakt

Verantwortlicher: Lukas Dienst, handelnd unter "DevBrew Development", Am Holzweg 11, 35789 Weilmünster, Deutschland.

Allgemeiner Kontakt: kontakt@devbrew.dev. Datenschutzkontakt: kontakt@devbrew.dev.

2. Welche Daten wir verarbeiten

• Konto- und Identitätsdaten wie Name, E-Mail-Adresse, Profilbild, Google-Kennungen und Sitzungsdaten.
• Verschlüsselte Google-Provider-Tokens, Ablaufdaten der Tokens und Google-Lokalisierungsdaten, die für den Zugriff auf Search Console und Analytics erforderlich sind.
• Google Search Console Kennzahlen wie Klicks, Impressionen, CTR, Position, Queries und seitenbezogene Performancewerte.
• Google Analytics 4 Kennzahlen wie Sitzungen, Nutzer, neue Nutzer, Traffic-Quellen, Landingpages und weitere Report-Eingaben zur gewählten Property.
• Crawl- und Auditdaten öffentlich erreichbarer Seiten, einschließlich defekter Links, fehlender Metadaten und sonstiger technischer Auffälligkeiten.
• Workspace-Einstellungen, Report-Verlauf, Abrechnungsstatus, Feature-Flags und Nutzungsdaten zum gebuchten Plan.
• Support- und Feedbackdaten, einschließlich Nachrichteninhalt und den an die Anfrage angehängten Kontodaten.
• Sicherheits- und Auditdaten wie IP-Adresse, User-Agent, Admin-/Systemlog-Einträge und operative Fehlermeldungen.
• Browser- und Gerätespeicher, einschließlich Authentifizierungs-Cookies, UI-State-Cookies und Local-Storage-Einträgen für Onboarding oder ausstehende Aktionen.

3. Zwecke und Rechtsgrundlagen

• Bereitstellung des Dienstes, Authentifizierung und Erstellung angeforderter Reports: Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen.
• Automatische Synchronisierung verfügbarer Google-Properties nach der Anmeldung: Vertragserfüllung und unser berechtigtes Interesse an einer einfachen Einrichtung.
• Verarbeitung von Abonnements, Belegen, Kündigungen und Planlimits: Vertragserfüllung sowie gesetzliche Aufbewahrungspflichten.
• Betrieb der Report-Pipeline einschließlich KI-gestützter Analyse: Vertragserfüllung.
• Bearbeitung von Supportanfragen, Feedback und accountbezogener Kommunikation: Vertragserfüllung und berechtigtes Interesse an Support.
• Missbrauchsverhinderung, Sicherheit, Incident-Untersuchungen und Audit-Trails: berechtigte Interessen an Sicherheit, Betrugsprävention und zuverlässigem Betrieb.
• Messung der Websitenutzung mit Google Analytics 4 nach Ihrer Einwilligung in Analytics-Cookies: Einwilligung.

4. Google-API-Zugriff und Funktionsweise

Bei der Anmeldung mit Google fordern wir nur lesenden Zugriff auf Google Search Console und Google Analytics 4 sowie grundlegende Identitätsscopes an. Schreibzugriff auf Ihr Google-Konto wird nicht angefordert.

Nach der ersten Google-Anmeldung kann die App automatisch erreichbare Search-Console- und GA4-Properties in Ihren Workspace synchronisieren. Für die Report-Erstellung wird anschließend die ausgewählte verbundene Property samt erforderlicher Kontextdaten verwendet.

Wir verwenden aus Google stammende Daten ausschließlich zur Bereitstellung, Absicherung und Verbesserung der angeforderten Reporting-Funktionen. Wir verkaufen keine Google-Nutzerdaten und verwenden sie nicht zu fremden Werbezwecken.

5. Google Analytics 4 für Website-Tracking

Wir verwenden Google Analytics 4, um die Nutzung der Website zu messen. Dabei können insbesondere Seitenaufrufe, Navigations- und Interaktionsereignisse, ungefähre Geräte- und Browserinformationen sowie Referrer-Daten verarbeitet werden.

Google Analytics 4 wird erst aktiviert, nachdem Sie im Consent-Banner Analytics-Cookies akzeptiert haben. Wenn Sie ablehnen, wird das Google-Tag nicht geladen. Ihre Auswahl können Sie später jederzeit über die Cookie-Einstellungen im Footer ändern.

6. Vercel Analytics

Wir verwenden Vercel Analytics zur Messung der Websitenutzung. Dabei können Seitenaufrufe, Referrer, Gerätetyp, Browsertyp sowie das Herkunftsland (abgeleitet aus der IP-Adresse) verarbeitet werden. Vercel Analytics setzt keine Cookies und verwendet keine persistenten Identifier.

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der Messung der Websitenutzung (Art. 6 Abs. 1 lit. f DSGVO). Da keine Cookies oder clientseitiger Speicher eingesetzt werden, findet § 25 TDDDG keine Anwendung. Sie können der Verarbeitung widersprechen.

7. Empfänger und Auftragsverarbeiter

• Google für OAuth-Anmeldung, als verbundene Datenquelle für Search Console und GA4 sowie als Anbieter von Google Analytics 4 für Website-Analysen nach Einwilligung.
• OpenAI zur Verarbeitung ausgewählter Report-Kontexte, URLs, Kennzahlen und strukturierter Auditdaten zur Erzeugung KI-gestützter Ausgaben.
• Stripe zur Anlage von Kundenprofilen, Abwicklung von Abonnements und Bereitstellung des Billing-Portals.
• Vercel zum Hosting und Ausliefern der Webanwendung.
• Hetzner/PostgreSQL zum Hosting der Anwendungsdatenbank und Worker-Infrastruktur in der EU.
• GlitchTip zur Erfassung operativer Fehler und sicherheitsrelevanter Ausnahmen.
• Vercel Analytics zur cookielosen Messung von Seitenaufrufen, Referrern, Gerätetyp und Herkunftsland. Vercel verarbeitet diese Daten auf eigener Infrastruktur; IP-Adressen werden nicht dauerhaft gespeichert.

8. Datensicherheit

• Der gesamte Netzwerkverkehr zwischen Ihrem Browser, unseren Servern und Auftragsverarbeitern wird per TLS (HTTPS) transportverschlüsselt.
• Google-OAuth-Tokens — einschließlich Access-Tokens, Refresh-Tokens und ID-Tokens — werden vor der Speicherung in der Datenbank mit AES-256-GCM und individuellen Initialisierungsvektoren verschlüsselt.
• Über die Search-Console- und Analytics-APIs bezogene Google-Nutzerdaten werden in einer verschlüsselten Datenbank gespeichert und unterliegen denselben Zugangskontrollen wie alle übrigen Anwendungsdaten.
• Die Anwendungsdatenbank wird auf vom Betreiber verwalteter PostgreSQL-Infrastruktur in der EU mit eingeschränkter Netzfreigabe und authentifiziertem Administrationszugang betrieben.
• Der Zugang zur Produktionsinfrastruktur, zur Datenbank und zu Verschlüsselungsschlüsseln ist auf den Betreiber beschränkt und durch starke Authentifizierung geschützt.
• Wir unterhalten Verfahren zur Erkennung, Untersuchung und Reaktion auf Sicherheitsvorfälle, einschließlich der Benachrichtigung betroffener Personen und Aufsichtsbehörden, soweit gesetzlich vorgeschrieben.
• Auftragsverarbeiter werden unter Berücksichtigung ihrer technischen und organisatorischen Sicherheitsmaßnahmen ausgewählt und durch Auftragsverarbeitungsverträge gebunden.

9. Internationale Datenübermittlungen

Einige Auftragsverarbeiter können Daten außerhalb der EU/des EWR verarbeiten oder zugänglich machen, insbesondere in den Vereinigten Staaten. Dies kann je nach Servicefluss und eingesetzten Unterauftragsverarbeitern vor allem Google, OpenAI, Stripe, Vercel und GlitchTip betreffen.

Soweit erforderlich, stützen wir solche Übermittlungen auf Angemessenheitsbeschlüsse, das EU-U.S. Data Privacy Framework, Standardvertragsklauseln oder vergleichbare Schutzmechanismen.

10. Speicherdauer

• Konto- und Workspace-Daten werden grundsätzlich solange gespeichert, wie das Konto aktiv ist, sofern keine längere gesetzliche Aufbewahrungspflicht besteht.
• Reports, generierte Erkenntnisse und zugehörige Kennzahlen bleiben grundsätzlich verfügbar, solange das Konto aktiv ist, vorbehaltlich Löschanfragen und operativer Aufbewahrungsfristen.
• Wenn Sie eine Google-Datenquelle trennen oder den Zugriff widerrufen, werden die zugehörigen Tokens umgehend gelöscht. Bei Löschung Ihres Kontos werden sämtliche gespeicherten Google-Nutzerdaten — einschließlich Tokens, synchronisierter Properties und Report-Daten — gelöscht.
• Feedback, Audit-Logs und Sicherheitsevents werden solange gespeichert, wie dies für Support, Missbrauchsverhinderung und Nachvollziehbarkeit erforderlich ist; anschließend werden sie gelöscht oder anonymisiert.
• Abrechnungs- und Buchhaltungsunterlagen können aufgrund steuer- oder handelsrechtlicher Vorgaben länger aufbewahrt werden.

11. Erforderliche Daten und automatisierte Entscheidungen

Bestimmte Daten sind erforderlich, um ein Konto anzulegen, Google-Datenquellen zu verbinden, einen kostenpflichtigen Plan zu kaufen oder Reports zu erzeugen. Wenn Sie die dafür erforderlichen Daten nicht bereitstellen, können wir den jeweiligen Teil des Dienstes möglicherweise nicht anbieten.

Wir verwenden keine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling, die im Sinne von Artikel 22 DSGVO rechtliche Wirkungen oder vergleichbar erhebliche Beeinträchtigungen entfaltet.

12. Cookies und sonstiger Gerätespeicher

Wir verwenden Cookies und sonstigen Gerätespeicher, die für den Betrieb des Dienstes und die Speicherung einfacher UI-Zustände erforderlich sind. Dazu zählen Authentifizierungs-/Sitzungs-Cookies, ein Sidebar-State-Cookie sowie Local-Storage-Einträge für Onboarding, ausstehende UI-Aktionen und Ihre gespeicherte Analytics-Einwilligung.

Wenn Sie Analytics-Cookies akzeptieren, laden wir zusätzlich das Google-Tag für Google Analytics 4 zur Reichweitenmessung der Website. Wenn Sie ablehnen, bleibt das Google-Tag deaktiviert.

13. Ihre Rechte

• Sie können nach Maßgabe der gesetzlichen Voraussetzungen Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch verlangen.
• Soweit eine Verarbeitung auf Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen oder ändern, insbesondere über die Cookie-Einstellungen im Footer.
• Sie können sich bei einer zuständigen Aufsichtsbehörde beschweren. Für Hessen ist dies derzeit Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Wiesbaden.

14. Änderungen dieser Hinweise

Wir können diese Hinweise anpassen, wenn sich Produkt, Auftragsverarbeiter oder rechtliche Anforderungen ändern. Wesentliche Änderungen kommunizieren wir, soweit erforderlich, im Dienst oder per E-Mail.