Datenschutzerklärung
Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 DSGVO im Rahmen des Online-Angebots von Clariseo.
1. Verantwortlicher
Appwood UG (haftungsbeschränkt)Breite Str. 98
38640 Goslar
Deutschland
Geschäftsführer: Steve Attwood
E-Mail: info@appwood.de
Telefon: 0172/4082070
2. Kontakt in Datenschutzfragen
Für Anfragen zum Datenschutz und zur Ausübung Ihrer Betroffenenrechte erreichen Sie uns unter:
E-Mail: datenschutz@clariseo.com
Eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht derzeit nicht.
3. Verarbeitete Daten, Zwecke und Rechtsgrundlagen
| Verarbeitung | Daten | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Bestellung eines SEO-Audits | E-Mail-Adresse, Ziel-URL, optional Wettbewerber-URLs, Branche, Geschäftsdaten, Sprache | Vertragserfüllung – Anlage und Abwicklung der Bestellung | Art. 6 Abs. 1 lit. b DSGVO |
| E-Mail-Verifizierung | E-Mail-Adresse, Hash des Bestätigungscodes, Zeitstempel | Schutz vor missbräuchlichen Bestellungen, IT-Sicherheit | Art. 6 Abs. 1 lit. b und f DSGVO |
| Kaufabwicklung über Paddle (Merchant of Record) | E-Mail (von uns an Paddle übergeben); Name, Anschrift, ggf. USt-ID und Zahlungsdaten erhebt Paddle direkt im Checkout | Abschluss und Abwicklung des Kaufs (Vertragsschluss, Zahlung, Steuerberechnung, Rechnungsstellung, Erstattungen) über Paddle als Merchant of Record, Betrugsprävention | Art. 6 Abs. 1 lit. b und f DSGVO |
| Durchführung des Audits | Ziel-URL und öffentlich zugängliche Inhalte der zu prüfenden Website, ggf. Geschäftsdaten | Erstellung des SEO-Reports | Art. 6 Abs. 1 lit. b DSGVO |
| Report-Zugriffsprotokoll | IP-Adresse, User-Agent, Zeitstempel, Zugriffsart (Ansicht/PDF-Download) | Missbrauchsschutz, Nachvollziehbarkeit, statistische Auswertung | Art. 6 Abs. 1 lit. f DSGVO |
| Anwendungs-Protokolle (Log-Datenbank) | Zeitstempel, Log-Level, technische Nachricht (kann im Fehlerfall Eingabedaten wie Ziel-URLs oder E-Mail-Adressen enthalten), Codestelle, Stacktraces, interne Request- und Auftrags-IDs, Prozesskennung. Keine IP-Adressen, keine User-Agents. | Fehleranalyse, Nachvollziehbarkeit von Aufträgen, Betrieb | Art. 6 Abs. 1 lit. f DSGVO |
| Webserver-Zugriffslogs (Reverse Proxy / Hosting) | IP-Adresse, Zeitstempel, Request-Pfad, HTTP-Status, User-Agent | IT-Sicherheit, Schutz vor automatisierten Angriffen, Betrieb | Art. 6 Abs. 1 lit. f DSGVO |
| Reichweitenmessung öffentlicher Seiten | IP-Adresse, User-Agent, aufgerufene URL, Herkunft | Statistische Auswertung der Inhaltsnutzung | Art. 6 Abs. 1 lit. f DSGVO |
| Warteliste / Pre-Launch-Anmeldung | E-Mail-Adresse, optional Website-URL, IP-Adresse, UTM-Parameter | Information über den Produkt-Launch | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
Bestätigungen, Zahlungsbelege und ähnliche transaktionale E-Mails versenden wir an die im Bestellprozess angegebene E-Mail-Adresse (Art. 6 Abs. 1 lit. b DSGVO). Newsletter oder Werbe-E-Mails versenden wir nicht.
4. Empfänger und Übermittlung in Drittländer
Zur Erbringung unserer Leistungen setzen wir sorgfältig ausgewählte Auftragsverarbeiter (Art. 28 DSGVO) sowie eigenständige Vertragspartner ein, die teils ihren Sitz außerhalb der EU haben. Drittlandtransfers werden – soweit kein Angemessenheitsbeschluss greift – auf Grundlage der EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 abgesichert. Für das Vereinigte Königreich besteht ein eigener Angemessenheitsbeschluss (Durchführungsbeschluss (EU) 2021/1772), für Kanada der Angemessenheitsbeschluss für kommerzielle Organisationen unter PIPEDA (Entscheidung 2002/2/EG); für die USA ergänzend das EU-US Data Privacy Framework, soweit der empfangende Anbieter darunter zertifiziert ist.
Hosting
OVHcloud (OVH SAS, Frankreich; Standort innerhalb der EU). Hosting des Produktionsservers, der Datenbank und der Hintergrunddienste. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen. Hierbei findet kein Drittlandtransfer statt.
Kaufabwicklung über Paddle (Merchant of Record)
Der Kauf des ClariSEO-Services erfolgt über die Paddle-Unternehmensgruppe als Merchant of Record. Paddle ist gegenüber dem Käufer Vertragspartner des Kaufs und wickelt in eigener Verantwortung Vertragsschluss, Zahlung, Steuerberechnung, Rechnungsstellung sowie etwaige Erstattungen ab. Die im Checkout erhobenen Vertrags- und Zahlungsdaten verarbeitet Paddle als eigenständig Verantwortlicher; eine Auftragsverarbeitung nach Art. 28 DSGVO liegt insoweit nicht vor.
Beim Übergang in den Paddle-Checkout übermitteln wir die E-Mail-Adresse an Paddle, damit Paddle die Bestellung dem Käufer zuordnen kann. Weitere für den Kauf erforderliche Angaben (insbesondere Name, Anschrift, ggf. USt-ID sowie Zahlungsdaten) gibt der Käufer direkt bei Paddle im Checkout ein; Appwood erhebt und übermittelt diese Daten nicht. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (Betrugsprävention und Sicherstellung des Zahlungsverkehrs).
Paddle betreibt Konzerngesellschaften unter anderem in der EU, im Vereinigten Königreich, den USA und Kanada. Übermittlungen in Drittländer erfolgen — je nach Empfängerland — auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission oder auf Basis der EU-Standardvertragsklauseln. Die jeweils aktuellen Empfänger, Verarbeitungszwecke und Transfer-Instrumente ergeben sich aus der Paddle-Datenschutzerklärung.
KI-gestützte Auswertung
Anthropic, PBC, USA. Zur Erstellung der KI-gestützten Zusammenfassungen, technischen Empfehlungen und Inhaltsbewertungen werden Audit-Daten (insbesondere Ziel-URL und Auswertungsergebnisse) an die Anthropic-API übermittelt. Anthropic verwendet API-Eingaben gemäß seinen Commercial Terms standardmäßig nicht zum Training von Modellen und löscht Eingaben nach 7 Tagen. Standardvertragsklauseln werden eingesetzt.
Performance- und Standortdaten
Google Ireland Ltd. bzw. Google LLC, USA. Für Performance-Messungen verwenden wir die PageSpeed-Insights-API, für die Validierung von Geschäftsstandorten die Places-API. Übermittelt werden hier die Ziel-URL bzw. Name und Ort des Unternehmens. Standardvertragsklauseln werden eingesetzt.
SEO-Datenbankanbieter
DataForSEO LLC, USA. Für Backlink-, Keyword- und Sichtbarkeitsdaten übermitteln wir die Ziel-Domain und ggf. Wettbewerberdomains. Standardvertragsklauseln werden eingesetzt.
E-Mail-Versand
Transaktionale E-Mails werden über einen SMTP-Server versendet, der über das Hosting eingebunden ist (siehe oben).
Trotz vertraglicher Schutzmaßnahmen kann insbesondere bei US-Anbietern nicht vollständig ausgeschlossen werden, dass US-Behörden im Rahmen ihrer Befugnisse auf Daten zugreifen. Mit der Nutzung unseres Dienstes nehmen Sie diese Datenübermittlungen zur Kenntnis.
5. Rollenverteilung: Kein Auftragsverarbeitungsvertrag (AVV) erforderlich
Für die Nutzung von Clariseo ist kein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen. Clariseo verarbeitet personenbezogene Daten nicht im Auftrag und nach Weisung des Kunden, sondern als eigenständiger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO:
- Die Analyse erfolgt ausschließlich auf Grundlage öffentlich zugänglicher Website-Inhalte. Wir erhalten keinen Zugang zu internen Datenbeständen des Kunden — insbesondere keinen Zugriff auf die Google Search Console, Analytics-Konten, Server-Logs oder Bereiche hinter einem Login.
- Zweck und Mittel der Verarbeitung — Auswahl der Prüfmodule, der analysierten Seiten und der eingesetzten Dienstleister — bestimmen wir selbst. Geschuldet ist der SEO-Report als Ergebnis, nicht eine weisungsgebundene Datenverarbeitung.
- Die Bestell- und Kontaktdaten unserer Kunden verarbeiten wir zur Erfüllung unseres eigenen Vertrags (Art. 6 Abs. 1 lit. b DSGVO) — ebenfalls in eigener Verantwortung.
Soweit bei der Analyse öffentlich zugänglicher Inhalte inzident personenbezogene Daten verarbeitet werden (etwa Namen im Impressum, auf Team-Seiten oder in öffentlichen Rezensionen), geschieht dies in unserer eigenen datenschutzrechtlichen Verantwortung auf Grundlage von Art. 6 Abs. 1 lit. b und f DSGVO. Die von uns selbst eingesetzten Auftragsverarbeiter und Dienstleister sind in Abschnitt 4 aufgeführt.
6. Speicherdauer
- Abgebrochene Bestellungen (nicht bezahlt): 30 Tage
- Bezahlte Aufträge — analytische Daten: 30 Tage nach Abschluss
- Bezahlte Aufträge — buchhalterische Daten: 10 Jahre (§ 147 AO)
- Verifizierungs-Sitzungen: 7 Tage nach Ablauf
- Transaktionale E-Mails im Versand-Postausgang: 90 Tage
- Anwendungs-Protokolle in der Log-Datenbank: 30 Tage, anschließend automatische Löschung
- Webserver-Zugriffslogs des Reverse Proxy / Hosting-Anbieters: gemäß Konfiguration des Hosters, regelmäßig wenige Tage bis Wochen
- IP-Adressen in Zugriffsprotokollen für Reports, Inhaltsseiten und Warteliste: nach 30 Tagen automatische Kürzung (IPv4 auf /24, IPv6 auf /48); danach kein Personenbezug mehr im Sinne von Art. 4 Nr. 1 DSGVO. Der Datensatz selbst bleibt zur weiteren statistischen Auswertung bis zur regulären Löschung erhalten.
7. Ihre Rechte
Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich Sie betreffender personenbezogener Daten:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Anfragen richten Sie bitte an datenschutz@clariseo.com. Wir werden Ihre Anfrage innerhalb der gesetzlich vorgesehenen Fristen beantworten.
Sie haben außerdem das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Für uns zuständig ist die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover.
8. Cookies und lokale Speicherung
Unsere Website verwendet ausschließlich ein technisch notwendiges Sitzungs-Cookie (Flask-Session, signiert), das für den Bestellprozess und den Schutz vor Cross-Site-Request-Forgery erforderlich ist. Eine Einwilligung nach § 25 Abs. 2 TTDSG ist hierfür nicht erforderlich.
Wir setzen keine Tracking-Cookies und keine Webanalyse-Werkzeuge wie Google Analytics, Hotjar oder Matomo ein.
9. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt. Die KI-gestützten Empfehlungen im Report sind reine Optimierungsvorschläge und haben keine rechtliche Wirkung für Sie als betroffene Person.
10. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die rechtlichen Rahmenbedingungen oder unsere Verarbeitungstätigkeiten ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.
Version: 1.4
Stand: Juli 2026