Datenschutzerklärung

Stand: TODO: Datum der letzten Aktualisierung

Verantwortlicher im Sinne der DSGVO ist die Smart As Apps GmbH (Kontaktdaten siehe Impressum).

1. Überblick und Zwecke der Verarbeitung

Diese Microsite ermöglicht es App-Inhabern, eine kostenlose KI-gestützte Analyse ihrer App-Reviews anzufordern. Dabei verarbeiten wir folgende personenbezogene Daten:

• App-Identifikator (App-ID / URL): von Ihnen eingegeben, um die zu analysierende App zu identifizieren. Wird in der Datenbank gespeichert, um den Analyseprozess zu koordinieren.
• App-Store-Reviews (Drittdaten): werden transient im Arbeitsspeicher verarbeitet und erzeugen den Analyse-Report. Reviews werden nie dauerhaft gespeichert — nur der abgeleitete Report (keine personenbezogenen Review-Inhalte) bleibt in der Datenbank.
• E-Mail-Adresse: wird erhoben, wenn Sie die vollständige Analyse anfordern. Dient zur Zustellung des Analyse-Reports und — bei optionaler Zustimmung — zur Zusendung weiterer kostenloser Inhalte.
• Telefonnummer (optional): kann freiwillig angegeben werden. Dient ausschließlich zur telefonischen Beratung (Rückruf), sofern Sie separat in die telefonische Kontaktaufnahme eingewilligt haben. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, jederzeit widerrufbar). Wird nur verarbeitet, wenn die entsprechende Einwilligung erteilt wurde.
• Einwilligungsnachweis: Zeitpunkt, IP-Adresse und User-Agent der Einwilligung sowie des Double-Opt-In-Bestätigung (Art. 7 DSGVO – Nachweispflicht).
• IP-Adresse: zur Missbrauchsprävention (Rate-Limiting); wird nicht für Profilbildung oder Werbezwecke genutzt.

2. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): für die Zusendung der Analyse-E-Mail nach Double-Opt-In, für optionale Marketing-Kommunikation sowie für die telefonische Beratung/Rückruf (sofern Telefonnummer und Telefon-Einwilligung angegeben wurden).
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen): Durchführung der angefragten Analyse (Kerndienst).
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Missbrauchsprävention (Rate-Limiting, Honeypot, Zeit-Falle), Systemstabilität und Protokollierung für technische Zwecke.

3. Double-Opt-In, Einwilligungsnachweis und Dashboard-Link

Double-Opt-In

Die vollständige Analyse wird erst nach Bestätigung durch einen Bestätigungslink (Double-Opt-In) freigeschaltet. Der Bestätigungslink wird von unserem E-Mail-Dienstleister Brevo versendet. Erst nach Klick auf diesen Link wird der Zugang zur Analyse gewährt. Damit stellen wir sicher, dass nur Personen die Analyse erhalten, die die eingegebene E-Mail-Adresse kontrollieren.

Einwilligungen sind separat für (a) den Empfang der Analyse, (b) telefonische Kontaktaufnahme zur Beratung (Rückruf, sofern Telefonnummer angegeben) und (c) weitere Marketing-Kommunikation erteilt. Alle Einwilligungen können jederzeit per E-Mail an steven.mohr@smartasapps.de widerrufen werden.

Dashboard-Link / Capability-URL

Nach Bestätigung des Double-Opt-In wird die vollständige Analyse über einen persönlichen Dashboard-Link zugänglich gemacht (/report/{token}). Dieser Link funktioniert nach dem sogenannten Capability-URL-Prinzip: Der lange, zufällig generierte Zugriffsschlüssel im Link ist das einzige Zugangsmerkmal — es ist kein Login erforderlich.

• Nicht indiziert: Die Dashboard-Seite ist mit noindex-Anweisungen (HTTP-Header und Meta-Tag) versehen und erscheint daher nicht in Suchmaschinen.
• Kein Referrer-Leak: Der HTTP-Header Referrer-Policy: no-referrer verhindert, dass der Zugriffsschlüssel beim Klick auf externe Links übermittelt wird.
• Teilbar: Der Link kann innerhalb des Gültigkeitszeitraums geteilt werden. Behandeln Sie ihn wie ein Passwort.
• Webhook-Datenstrom: Brevo sendet uns eine Benachrichtigung (Webhook), sobald der Bestätigungslink geklickt wurde. Wir spiegeln diesen Bestätigungsstatus in unserer Datenbank, um den Einwilligungsnachweis zu komplettieren (Art. 7 DSGVO). Dabei verarbeiten wir die E-Mail-Adresse und die IP-Adresse der Webhook-Anfrage.

4. Cookies und Tracking

Kein Cookie-Banner erforderlich: Diese Seite verwendet ausschließlich ein streng notwendiges, signiertes Session-Cookie zur Zuordnung des Analyse-Prozesses zu Ihrem Browser. Dieses Cookie enthält keine personenbezogenen Daten, wird nicht an Dritte weitergegeben und fällt unter § 25 Abs. 2 TTDSG (keine Einwilligung erforderlich). Es läuft nach 24 Stunden ab.

Anonyme Besuchsstatistiken (Plausible Analytics): Wir nutzen Plausible Analytics (EU-gehostet, Hetzner DE) zur cookielosen, DSGVO-konformen Reichweitenmessung. Plausible setzt keine Cookies, erhebt keine IP-Adressen im Klartext und erzeugt keine individuellen Profile. Das Tracking-Script wird über unsere eigene Domain ausgeliefert (kein Third-Party-Origin). Plausible ist ein Auftragsverarbeiter (AVV abgeschlossen). Weitere Informationen: plausible.io/data-policy.

Fonts und Skripte: Alle Schriften (DM Sans, General Sans, JetBrains Mono) und JavaScript-Bibliotheken (htmx) werden von unseren eigenen Servern geladen. Es findet kein Datentransfer zu Google Fonts, jsDelivr, cdnjs oder anderen externen CDNs statt.

5. Auftragsverarbeiter (EU-Basis)

Wir setzen ausschließlich EU-ansässige Auftragsverarbeiter ein (AVV abgeschlossen):

• Nebius AI Studio ([TODO Operator: Nebius-Rechtsträger + Anschrift eintragen]) — KI-Inferenz für die Review-Analyse. Verarbeitung erfolgt in der EU (Nebius, Rechenzentren in Finnland/Frankreich); kein Training auf Kundendaten; Datenexport in die USA findet nicht statt. [TODO Operator: AVV/DPA-Link bestätigen]
• Brevo (Sendinblue SAS, Paris/EU) — übernimmt vollständig den Double-Opt-In-Prozess (Versand des Bestätigungslinks, Protokollierung des Opt-in), die Kontaktspeicherung/CRM sowie die E-Mail-Automatisierung (z. B. Zusendung des Dashboard-Links nach Bestätigung). An Brevo werden übermittelt: E-Mail-Adresse, ggf. Telefonnummer, App-Name, Dashboard-URL und Consent-Merkmale. EU-Rechenzentren; AVV abgeschlossen.
• Plausible Analytics (Plausible Insights OÜ, Tallinn / gehostet auf Hetzner DE) — cookielose Besuchsstatistiken. AVV abgeschlossen. Keine IP-Adressen im Klartext, keine Cross-Site-Tracker.
• Hosting-Anbieter: TODO: Hosting-Anbieter + Standort + AVV-Hinweis eintragen

6. Speicherdauer und Löschung

• Analyse-Sessions (unbestätigt): werden 30 Tage nach Erstellung automatisch gelöscht (inkl. App-Identifier, Analyse-Report, IP-Adresse), sofern kein Double-Opt-In erfolgt ist.
• Bestätigte Analyse-Dashboards (Capability-URL): nach DOI-Bestätigung wird die Zugangsdauer auf ca. 90 Tage verlängert (konfigurierbar). Danach ist der Dashboard-Link nicht mehr abrufbar und die Session-Daten werden gelöscht. Eine frühere Löschung kann jederzeit per E-Mail beantragt werden.
• Unbestätigte Leads: werden 7 Tage nach der Analyse-Anfrage automatisch gelöscht, wenn der Double-Opt-In-Link nicht geklickt wurde.
• Bestätigte Einwilligungen (Consent-Proof): werden für die Dauer der Einwilligung und darüber hinaus für die gesetzlich vorgesehene Nachweisfrist gespeichert (Art. 7 DSGVO). TODO: legal review — konkrete Aufbewahrungsfrist festlegen

7. Betroffenenrechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie das Recht, eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO, ohne Auswirkung auf die Rechtmäßigkeit der bisherigen Verarbeitung).

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: steven.mohr@smartasapps.de

Sie haben außerdem das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzureichen. Die zuständige Aufsichtsbehörde für Berlin ist: TODO: legal review — zuständige Aufsichtsbehörde (BlnBDI oder nach Sitz der GmbH)

8. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen (z. B. bei neuen Diensten oder geänderten Rechtsgrundlagen). Die aktuelle Fassung ist stets unter dieser URL abrufbar.