Diese Datenschutzerklärung gilt für die Nutzung der Web-Anwendung von Citatron unter app.citatron.de (nachfolgend „der Dienst"). Sie beschreibt, wie personenbezogene Daten im Rahmen der Bereitstellung und Nutzung des Dienstes verarbeitet werden. Für die Marketing-Website citatron.de gilt eine gesonderte Datenschutzerklärung.
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Andreas Bernhardt Suttkamp 13 59229 Ahlen Deutschland E-Mail: hallo@citatron.de
Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt, da die Voraussetzungen des § 38 BDSG nicht vorliegen.
2. Gegenstand und Umfang der Verarbeitung
Citatron ist ein autonomer SEO-Content-Agent, der für seine Kunden (Unternehmer im Sinne des § 14 BGB) Keyword-Chancen recherchiert, Suchergebnisse analysiert und deutschsprachige Artikel erstellt und zur Veröffentlichung übergibt. Im Rahmen dieser Leistungserbringung verarbeitet der Anbieter überwiegend Sach- und Vertragsdaten des Kundenunternehmens. Personenbezogene Daten fallen an in Bezug auf die für den Kunden handelnden Personen (Kontostammdaten, Nutzungs- und Protokolldaten) sowie – soweit vom Kunden bereitgestellt oder in Recherche-/Veröffentlichungsinhalten enthalten – auf weitere betroffene Personen.
3. Kategorien verarbeiteter Daten
- Kontostammdaten: Name, geschäftliche E-Mail-Adresse, Anmeldedaten (Authentifizierung), Zugehörigkeit zu einem Mandanten (Tenant).
- Vertrags- und Nutzungsdaten: gewählter Tarif, Zustimmungsnachweise (akzeptierte Fassung von AGB/AVV/Datenschutzerklärung nebst Zeitstempel, IP-Adresse und User-Agent), Nutzungshistorie des Dienstes.
- Zugangs- und Konfigurationsdaten: vom Kunden hinterlegte Zugangsdaten zu Zielsystemen (z. B. CMS-API-Schlüssel, Repository-Zugänge) sowie – bei Nutzung eigener Schlüssel (BYOK) – Zugangsschlüssel zu Drittdiensten. Diese werden verschlüsselt gespeichert (siehe Ziffer 10).
- Inhalts- und Recherchedaten: Brand-Profile, Themen, Keywords sowie die im Auftrag des Kunden erstellten Inhalte.
- Server-Protokolldaten: technisch notwendige Zugriffsdaten (IP-Adresse, Zeitpunkt, aufgerufene Ressource, Statuscode, User-Agent).
4. Hosting (Auftragsverarbeitung)
Der Dienst wird auf Servern in Deutschland betrieben. Hosting-Dienstleister ist:
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.
Hetzner verarbeitet die im Rahmen des Betriebs anfallenden Daten ausschließlich weisungsgebunden im Auftrag des Anbieters auf Grundlage eines Vertrags zur Auftragsverarbeitung nach Art. 28 DSGVO. Ein Drittlandtransfer findet insoweit nicht statt (Serverstandort Deutschland).
5. Authentifizierung (Supabase)
Für die Registrierung, Anmeldung und Kontoverwaltung setzt der Anbieter den Dienst Supabase (Supabase Inc.) als Auftragsverarbeiter ein. Dabei werden Kontostammdaten (insbesondere E-Mail-Adresse und Anmeldeinformationen) verarbeitet. Soweit hierbei eine Verarbeitung in einem Drittland (USA) erfolgt, stützt sich der Anbieter auf die EU-Standardvertragsklauseln (Art. 46 DSGVO; siehe Ziffer 7). Einzelheiten und der jeweils aktuelle Sitz ergeben sich aus der Subunternehmer-Liste.
6. Verarbeitung durch Subunternehmer / Drittlandtransfer
Zur Erbringung der inhaltlichen Leistung (Recherche, Analyse, Text- und Bildgenerierung, Veröffentlichung) setzt der Anbieter spezialisierte Dienste ein, die als Auftragsverarbeiter tätig werden. Ein Teil dieser Dienste verarbeitet Daten in den USA:
- DataForSEO – Suchvolumen- und SERP-Daten,
- Perplexity – KI-gestützte Recherche,
- Google (Gemini) – KI-gestützte Text- und Bildgenerierung,
- OpenRouter – Routing von KI-Modell-Anfragen.
Für Übermittlungen in die USA und andere Drittländer besteht kein Angemessenheitsbeschluss, der ohne Weiteres alle Empfänger erfasst. Der Anbieter stützt solche Übermittlungen daher auf die EU-Standardvertragsklauseln (Standard Contractual Clauses, Art. 46 Abs. 2 lit. c DSGVO). Sofern der jeweilige Empfänger zusätzlich unter dem EU-US Data Privacy Framework zertifiziert ist, erfolgt die Übermittlung ergänzend auf dieser Grundlage (Art. 45 DSGVO). Eine vollständige, gepflegte Übersicht der eingesetzten Dienste mit Zweck, Sitz und Transfergrundlage findet sich in der Subunternehmer-Liste.
Mit der Übermittlung in Drittländer sind Restrisiken verbunden (z. B. Zugriffsmöglichkeiten dortiger Behörden), die durch die vorgenannten Garantien und ergänzende Maßnahmen soweit möglich reduziert werden.
7. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen): Bereitstellung des Dienstes, Kontoverwaltung, Erbringung der beauftragten Leistungen einschließlich der Einbindung erforderlicher Dienstleister.
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Gewährleistung des sicheren und stabilen Betriebs, Protokollierung zur Abwehr von Angriffen und zur Fehleranalyse, Nachweis erteilter Zustimmungen. Das berechtigte Interesse liegt im ordnungsgemäßen und sicheren Betrieb des Dienstes.
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten.
Soweit der Anbieter im Auftrag eines Kunden personenbezogene Daten verarbeitet, für die der Kunde Verantwortlicher ist, erfolgt dies weisungsgebunden auf Grundlage des Auftragsverarbeitungsvertrags (Art. 28 DSGVO).
8. Server-Protokolldaten
Beim Aufruf des Dienstes werden technisch notwendige Zugriffsdaten in Server-Protokolldateien verarbeitet. Diese Daten sind zur Auslieferung, zur Gewährleistung der Systemsicherheit und zur Fehleranalyse erforderlich (Art. 6 Abs. 1 lit. f DSGVO). Protokolldaten werden nach 7 Tagen gelöscht, soweit sie nicht zur Aufklärung eines konkreten Sicherheitsvorfalls ausnahmsweise länger benötigt werden.
9. Speicherdauer und Löschung
Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist:
- Konto- und Vertragsdaten für die Dauer des Vertragsverhältnisses.
- Vom Kunden hinterlegte Zugangsdaten zu Zielsystemen und Drittdiensten werden nach Vertragsende gelöscht; der Kunde kann hinterlegte Zugänge zudem jederzeit selbst widerrufen bzw. entfernen.
- Zustimmungsnachweise werden zum Nachweis erteilter Einwilligungen und zur Erfüllung von Rechenschaftspflichten für die Dauer des Vertragsverhältnisses und darüber hinaus im Rahmen der gesetzlichen Verjährungs- und Aufbewahrungsfristen aufbewahrt.
- Server-Protokolldaten nach 7 Tagen (Ziffer 8).
Nach Ablauf der jeweiligen Fristen werden die Daten gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
10. Datensicherheit
Der Anbieter trifft technische und organisatorische Maßnahmen zum Schutz der Daten. Insbesondere werden hinterlegte Zugangsdaten und Dienst-Schlüssel mit AES-256-GCM verschlüsselt gespeichert, die Datenübertragung erfolgt transportverschlüsselt (TLS), Inbound-API-Schlüssel werden ausschließlich als Hash gespeichert, und der Zugriff auf Daten ist auf das notwendige Maß beschränkt. Der Betrieb erfolgt auf Servern in Deutschland. Eine ausführliche Darstellung enthält der Anhang zu den technischen und organisatorischen Maßnahmen im Auftragsverarbeitungsvertrag.
11. Kontaktaufnahme
Bei einer Kontaktaufnahme über das Kontaktformular oder per E-Mail werden die mitgeteilten Angaben (z. B. Name, E-Mail-Adresse, Nachrichtentext) zur Bearbeitung der Anfrage verarbeitet (Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO). Diese Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
12. Rechte der betroffenen Personen
Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen das Recht auf:
- Auskunft über die verarbeiteten Daten (Art. 15 DSGVO),
- Berichtigung unrichtiger Daten (Art. 16 DSGVO),
- Löschung (Art. 17 DSGVO),
- Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Datenübertragbarkeit (Art. 20 DSGVO),
- Widerspruch gegen eine auf Art. 6 Abs. 1 lit. f DSGVO gestützte Verarbeitung (Art. 21 DSGVO).
Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Zur Ausübung dieser Rechte genügt eine Nachricht an die unter Ziffer 1 genannten Kontaktdaten. Betroffene Personen, deren Daten der Anbieter im Auftrag eines Kunden verarbeitet, wenden sich vorrangig an den jeweiligen Kunden als Verantwortlichen.
13. Beschwerderecht bei der Aufsichtsbehörde
Betroffene Personen haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständige Aufsichtsbehörde für den Anbieter ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Kavalleriestraße 2–4 40213 Düsseldorf Deutschland