Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

2. Kontakt zum Datenschutz

Für Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder bei Beschwerden wenden Sie sich bitte an: datenschutz@pandadev.de.

Ein gesetzlich vorgeschriebener Datenschutzbeauftragter ist aufgrund der Unternehmensgröße nicht bestellt.

3. Allgemeine Hinweise zur Datenverarbeitung

3.1 Umfang der Verarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Dienstleistungen (nachfolgend „WebGuard“) und zur Abwicklung unserer vertraglichen Leistungen erforderlich ist.

3.2 Rechtsgrundlagen der Verarbeitung

Die Rechtsgrundlagen der Verarbeitung ergeben sich insbesondere aus:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung der betroffenen Person
• Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder vorvertragliche Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung (z. B. handels- und steuerrechtliche Aufbewahrungspflichten)
• Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen, sofern Ihre Grundrechte und Grundfreiheiten nicht überwiegen

3.3 Datenlöschung und Speicherdauer

Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung darüber hinaus erfolgt nur, wenn dies durch europäische oder nationale Gesetzgeber in EU-Verordnungen, Gesetzen oder sonstigen Vorschriften, denen wir unterliegen, vorgesehen wurde (z. B. 6 bzw. 10 Jahre handels- und steuerrechtliche Aufbewahrung nach HGB / AO).

4. Hosting und Bereitstellung der Website

4.1 IONOS SE (Webhosting)

Wir hosten unsere Website sowie die WebGuard-Anwendung bei der IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland („IONOS“). Bei jedem Aufruf werden durch IONOS automatisiert technische Daten in Server-Logfiles erfasst:

• IP-Adresse des zugreifenden Geräts
• Datum und Uhrzeit des Zugriffs
• aufgerufene URL, übertragene Datenmenge und HTTP-Statuscode
• Referrer-URL (zuvor besuchte Seite)
• verwendeter Browser, Betriebssystem und dessen Version

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im stabilen, sicheren und effizienten Betrieb unseres Angebots. Die Daten werden zur Abwehr von Angriffen und zur Fehleranalyse verwendet und in der Regel nach 14 Tagen gelöscht, sofern kein sicherheitsrelevanter Vorfall vorliegt.

Mit IONOS besteht ein Vertrag über die Auftragsverarbeitung gemäß Art. 28 DSGVO. Der Serverstandort befindet sich in Deutschland. Datenschutzhinweise von IONOS: https://www.ionos.de/terms-gtc/terms-privacy.

4.2 TLS/SSL-Verschlüsselung

Die Verbindung zu unserer Website und API ist durchgehend via TLS/SSL verschlüsselt (erkennbar am Schloss-Symbol in Ihrem Browser sowie am Präfix „https://“).

5. Registrierung und Nutzerkonto

Zur Nutzung unserer Monitoring-Dienste ist die Erstellung eines Nutzerkontos erforderlich. Hierbei verarbeiten wir:

• Vorname und Nachname
• E-Mail-Adresse
• Passwort (ausschließlich als gesalzener Bcrypt-Hash gespeichert)
• Zugeordnete Organisation und Rolle
• Zeitstempel von Erstellung und letzter Aktualisierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen). Die Daten werden für die Dauer der Kontonutzung gespeichert und nach Kontolöschung entsprechend den gesetzlichen Aufbewahrungsfristen archiviert bzw. unwiderruflich gelöscht.

5.1 Organisationsdaten

Sofern Sie eine Organisation anlegen, verarbeiten wir zusätzlich den Organisationsnamen, Kontakt-E-Mail, Telefonnummer, Anschrift (Straße, PLZ, Stadt, Land), Website-Adresse und ggf. eine Logo-URL. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

5.2 Authentifizierung (JWT)

Die Authentifizierung erfolgt über ein zustandsloses JSON Web Token (JWT). Nach erfolgreichem Login erhalten Sie ein signiertes Token mit einer Gültigkeit von ca. 12 Stunden, das im localStorage Ihres Browsers unter dem Schlüssel sg-auth-token gespeichert wird. Das Token enthält Ihre Benutzer-ID sowie Ihre Rollen und wird bei jeder API-Anfrage im HTTP-Header Authorization übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie § 25 Abs. 2 Nr. 2 TDDDG (für die Funktion des Dienstes unbedingt erforderlich — keine Einwilligung nötig).

6. Nutzung der WebGuard-Dienste

Im Rahmen der Nutzung unserer Monitoring-Funktionen verarbeiten wir folgende durch Sie eingegebene Daten:

• URLs und Domains der von Ihnen überwachten Websites
• Ergebnisse automatisierter Prüfungen (SEO-Audits, Accessibility-Checks, Performance-Messungen, Uptime-Daten, Security-Checks, Visual-Regression-Screenshots, WordPress-Plugin-Daten)
• Konfigurierte Alarme und Empfängeradressen (E-Mail, Slack-Webhooks)
• Generierte Reports und zugehörige Metadaten
• URLs, Bezeichnungen und aus diesen Quellen abgeleitete Analysedaten von Mitbewerber-Websites, die Sie im Rahmen der Funktion „Mitbewerberradar“ hinterlegen (siehe ausführlich Abschnitt 7)
• Bei Verbindung eines GitHub-Repositories: Repository-URL, Commit-Daten und Abhängigkeitsinformationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7. Mitbewerberradar — Wettbewerbsanalyse durch Web-Crawling

Mit der Funktion „Mitbewerberradar“ können Sie öffentlich zugängliche Websites von Wettbewerbern, deren URLs Sie selbst hinterlegen, durch unseren Server automatisiert abrufen und in aggregierter Form auswerten lassen (sogenanntes Web-Crawling). Aufgrund der besonderen rechtlichen Sensibilität dieser Verarbeitung — die Drittwebsiten betrifft, deren Betreiberinnen und Betreiber uns gegenüber nicht in einem Vertragsverhältnis stehen — informieren wir nachfolgend ausführlich über Inhalt, Umfang und Rechtsgrundlage.

7.1 Beschreibung des Verfahrens

Sobald Sie eine Mitbewerber-URL hinzufügen, ruft unser Server die unter dieser URL öffentlich abrufbare Seite einmalig sowie — bei aktivierter Option „In tägliche Analyse einbeziehen“ — täglich um 02:00 Uhr (MEZ/MESZ) erneut auf. Es werden ausschließlich öffentlich abrufbare Inhalte verarbeitet. Nicht öffentlich zugängliche, mit Login, Bezahlschranke, IP-Sperre, Captcha oder vergleichbaren technischen Schutzmaßnahmen versehene Inhalte werden nicht abgerufen, und entsprechende Schutzmechanismen werden nicht umgangen.

Parallel führen wir dieselbe Analyse für Ihre eigene, in WebGuard hinterlegte Website durch, um den Vergleich zu ermöglichen. Eine manuelle Auslösung („Jetzt neu analysieren“) ist jederzeit über die Anwendung möglich.

7.2 Verarbeitete Datenkategorien

Aus den abgerufenen HTML-Dokumenten extrahieren und speichern wir ausschließlich die für die Wettbewerbsanalyse erforderlichen Metadaten und aggregierten Textinformationen:

• die analysierte URL und Domain
• den Inhalt des HTML-<title>-Tags
• den Inhalt des meta description-Tags
• den Text der ersten H1-Überschrift
• die Gesamtwortanzahl der Seite
• statistisch ausgewertete Begriffshäufigkeiten (einzelne Keywords sowie Wortpaare/„Bigrams“) inklusive der Information, ob ein Begriff im Titel oder in einer Überschrift vorkommt
• einen optionalen Anzeige-Namen (Label), den Sie selbst vergeben
• Zeitstempel der jeweiligen Analyse

Volltexte des Seiteninhalts, Bilder, Videos, Skripte, Cookies, Formularinhalte oder geschützte Mediendateien werden nicht dauerhaft gespeichert. Während der Verarbeitung können sie kurzzeitig im Arbeitsspeicher unseres Servers vorhanden sein und werden nach Abschluss der Auswertung verworfen. Es findet keine Volltextarchivierung statt.

7.3 Identifikation des Crawlers, robots.txt und Crawl-Frequenz

Unser Crawler identifiziert sich gegenüber dem abgerufenen Server eindeutig durch einen sprechenden User-Agent-String, der WebGuard als Absender ausweist und eine Kontaktmöglichkeit für Drittseiten-Betreiber enthält. Wir respektieren die robots.txt-Direktiven der jeweiligen Website (Robots Exclusion Standard) und brechen den Abruf ab, sofern dort ein Verbot für unseren Crawler oder allgemein für automatisierte Zugriffe hinterlegt ist. Pro Mitbewerber-URL erfolgt maximal ein Abruf je 24 Stunden zu nächtlicher, lastschwacher Zeit; bei manueller Auslösung gilt eine zusätzliche serverseitige Begrenzung. Wir prüfen weder URL-Parameter durch („Crawler-Tarnung“) noch versuchen wir, Bot-Erkennungen zu umgehen.

7.4 Rechtsgrundlage und Interessenabwägung

Soweit beim Crawling personenbezogene Daten von Inhaberinnen und Inhabern, Beschäftigten oder sonstigen mit der Drittwebsite verbundenen natürlichen Personen inzident verarbeitet werden (z. B. ein Personenname in einer Überschrift), stützen wir diese Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Soweit Sie als Nutzer ausschließlich Ihre eigene Website analysieren lassen, gilt zusätzlich Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Berechtigtes Interesse

Unser Interesse sowie das unserer Nutzerinnen und Nutzer liegt in der zulässigen Markt- und Wettbewerbsbeobachtung sowie in der Optimierung der eigenen Online-Präsenz auf Grundlage öffentlich verfügbarer Informationen (vgl. Erwägungsgrund 47 DSGVO, Wettbewerbsfreiheit nach Art. 12 GG, § 1 UWG).

Erforderlichkeit

Eine valide Wettbewerbsanalyse setzt die strukturierte Auseinandersetzung mit konkreten Wettbewerbern voraus. Eine rein manuelle, nicht-automatisierte Sichtung wäre weder skalierbar noch ergäbe sie standardisiert vergleichbare Ergebnisse; ein milderes, gleich geeignetes Mittel ist daher nicht ersichtlich.

Interessenabwägung

Verarbeitet werden ausschließlich Inhalte, die der oder die Verantwortliche der Drittwebsite selbst öffentlich zugänglich gemacht hat. Wir speichern weder Volltexte noch personenbezogene Inhalte als solche, sondern ganz überwiegend technische Metadaten (Title-, Meta- und Heading-Tags) sowie aggregierte Begriffshäufigkeiten. Ein Profiling, eine Re-Identifikation oder eine individuelle Bewertung natürlicher Personen findet nicht statt; es werden auch keine Kontaktdaten, Bilddateien oder Bewerberinformationen gezielt erhoben oder verknüpft. Die Eingriffsintensität ist daher gering. Wir respektieren den erkennbaren Willen des oder der Verantwortlichen (robots.txt) und halten die Crawl-Frequenz auf das erforderliche Mindestmaß. Vor diesem Hintergrund überwiegen die berechtigten Interessen die schutzwürdigen Interessen der Drittseiten-Verantwortlichen.

7.5 KI-gestützte Auswertung (Google Gemini)

Auf ausdrückliche manuelle Anforderung durch unsere Nutzer („Empfehlungen anfordern“) erstellen wir mithilfe der Gemini API von Google (siehe Abschnitt 8.4) Empfehlungen für Inhaltslücken („Content Gap“). Hierbei übermitteln wir an Google ausschließlich aggregierte Keyword- und Wortpaar-Listen mit Häufigkeitswerten sowie die Domains der einbezogenen Websites — keinen Volltext, keine Bilder und keine personenbezogenen Inhalte. Nach Angaben von Google werden Eingaben der Gemini API nicht zum Training der Modelle verwendet. Eine automatische, ungewollte KI-Auswertung findet nicht statt; jede Anfrage wird durch den Nutzer manuell ausgelöst.

7.6 Speicherdauer

Mitbewerber-URLs, Bezeichnungen sowie das jeweils zuletzt erstellte Analyseergebnis werden für die Dauer der Aktivierung des Mitbewerberradars in Ihrem Konto gespeichert. Bei Löschung eines einzelnen Mitbewerber-Eintrags werden alle zugehörigen Analyseergebnisse, KI-Empfehlungen und Verlaufsdaten innerhalb von 30 Tagen unwiderruflich gelöscht; redundante Sicherungskopien werden spätestens 35 Tage nach der Löschung überschrieben. Historische Analysen, die älter als zwölf Monate sind, werden zudem automatisch gelöscht.

7.7 Verantwortlichkeit unserer Nutzer

Die Auswahl und Eingabe von Mitbewerber-URLs liegen ausschließlich in der Verantwortung unserer Nutzer. Diese sichern uns gegenüber zu, dass das Hinzufügen einer URL rechtmäßig ist und keine Rechte Dritter verletzt — insbesondere keine vertraglichen Beschränkungen, Geheimhaltungspflichten, Wettbewerbsverbote oder Sonderrechte (z. B. Datenbankhersteller-Rechte gemäß §§ 87a ff. UrhG) entgegenstehen. Eine inhaltliche Vorabprüfung der hinterlegten URLs durch uns erfolgt nicht. Bei begründeten Hinweisen auf rechtswidrige Nutzung oder bei Beschwerden Dritter behalten wir uns die Sperrung einzelner Einträge oder der Funktion insgesamt vor.

7.8 Information und Rechte der Inhaberinnen und Inhaber von Drittwebsites (Art. 14 DSGVO)

Sofern Sie Inhaberin oder Inhaber bzw. Beschäftigte einer Website sind, deren URL als Mitbewerber-Eintrag in WebGuard analysiert wird, gelten die Angaben dieser Datenschutzerklärung — insbesondere die Abschnitte 1 (Verantwortlicher), 2 (Kontakt zum Datenschutz), dieser Abschnitt 7 sowie Abschnitt 11 (Ihre Rechte) — Ihnen gegenüber als Information im Sinne von Art. 14 DSGVO. Da uns in der Regel keine Kontaktdaten der Drittwebsite-Inhaber vorliegen und eine Recherche Ihrer Kontaktdaten ihrerseits einen erheblichen Eingriff darstellen würde, ist eine individuelle Direkt-Information mit unverhältnismäßigem Aufwand verbunden (Art. 14 Abs. 5 lit. b DSGVO); die öffentlich abrufbare Datenschutzerklärung tritt an deren Stelle.

Ihnen stehen uns gegenüber insbesondere folgende Rechte zu:

• Widerspruch nach Art. 21 DSGVO — Sie können der Verarbeitung jederzeit widersprechen. Wir stellen die Verarbeitung dann unverzüglich ein, sofern wir keine zwingenden schutzwürdigen Gründe nachweisen können, die Ihre Interessen, Rechte und Freiheiten überwiegen.
• Auskunft, Berichtigung, Löschung, Einschränkung nach Art. 15–18 DSGVO.
• Aufnahme in unsere Crawl-Sperrliste — Auf formlosen Wunsch tragen wir die betreffende Domain in eine interne Negativliste ein und schließen sie technisch dauerhaft von zukünftigen Crawls aus, unabhängig davon, ob ein Nutzer sie erneut hinterlegen sollte.
• Beschwerde bei einer Aufsichtsbehörde (vgl. Abschnitt 12).

Zur Geltendmachung dieser Rechte genügt eine formlose Nachricht an datenschutz@pandadev.de unter Angabe der betroffenen Domain. Wir bestätigen den Eingang unverzüglich und nehmen die betroffene URL bis zur abschließenden Bearbeitung vorsorglich aus dem aktiven Crawl-Lauf. Alternativ können Sie unseren Crawler bereits präventiv über die robots.txt Ihrer Website ausschließen (vgl. Abschnitt 7.3).

7.9 Keine automatisierte Einzelfallentscheidung

Die durch den Mitbewerberradar gewonnenen Analysen und KI-Empfehlungen dienen ausschließlich der inhaltlichen Optimierung der eigenen Website unserer Nutzer und stellen keine automatisierte Entscheidung im Einzelfall mit Rechtswirkung gegenüber Dritten im Sinne von Art. 22 DSGVO dar.

8. Einsatz von Drittanbietern / Auftragsverarbeitern

Zur Bereitstellung unserer Dienste setzen wir sorgfältig ausgewählte Dienstleister ein. Mit allen Dienstleistern bestehen – soweit erforderlich – Verträge nach Art. 28 DSGVO bzw. Standardvertragsklauseln gemäß Art. 46 DSGVO für Drittlandübermittlungen.

8.1 Stripe (Zahlungsabwicklung)

Zahlungen werden über Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland abgewickelt. Übermittelt werden Organisationsname, E-Mail-Adresse, Organisation-ID sowie Abo-Metadaten. Zahlungsdaten (Kreditkarte, SEPA) werden ausschließlich direkt bei Stripe erhoben und verarbeitet; wir erhalten hiervon nur eine Stripe-Kunden-ID und den Status des Abonnements.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Bei Übermittlungen in die USA nutzt Stripe Standardvertragsklauseln und ist nach dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: https://stripe.com/de/privacy.

8.2 SendGrid (Transaktionale E-Mails)

Den Versand transaktionaler E-Mails (Kontobestätigung, Einladungen, Alarm-Benachrichtigungen) wickeln wir über Twilio Sendgrid (Twilio Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105, USA) ab. Übertragen werden die Empfänger-E-Mail sowie der jeweilige E-Mail-Inhalt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO. Für die Drittlandübermittlung in die USA liegen Standardvertragsklauseln vor; Twilio ist nach dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: https://www.twilio.com/legal/privacy.

8.3 Google PageSpeed Insights API

Zur Durchführung von Performance-Messungen übermitteln wir die von Ihnen hinterlegten Website-URLs an die PageSpeed-Insights-API von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Dabei werden keine Nutzerdaten, sondern ausschließlich die zu analysierende URL übertragen. Bei der Analyse greift Google von eigenen Servern auf die öffentlich erreichbare URL zu.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutzhinweise: https://policies.google.com/privacy.

8.4 Google Gemini API (KI-gestützte Analysen)

Wir nutzen die Gemini API der Google Ireland Limited für mehrere KI-gestützte Funktionen innerhalb von WebGuard:

• Erläuterung von Security-Findings — übertragen werden Befund-Metadaten (Kategorie, Typ, Schweregrad, Beschreibung, betroffene Ressource sowie Name und URL der Website).
• SEO-Auto-Fix-Vorschläge — übertragen werden Audit-Befunde sowie kurze Code- bzw. Textausschnitte der betroffenen Seiten.
• Mitbewerberradar-/Content-Gap-Empfehlungen — übertragen werden ausschließlich aggregierte Keyword- und Wortpaar-Häufigkeiten sowie die Domains der einbezogenen Websites (siehe Abschnitt 7).
• KI-gestützte Themen- und Blogvorschläge — übertragen werden Site-Metadaten und durch Sie vorgegebene Themen.

Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Bei US-Übermittlungen greift Google auf EU-Standardvertragsklauseln zurück und ist nach dem EU-US Data Privacy Framework zertifiziert. Nach Angaben von Google werden Eingaben der Gemini API nicht zum Training verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der automatisierten Aufbereitung technischer Analyseergebnisse zur besseren Verständlichkeit und Anwendbarkeit für unsere Nutzer.

8.5 GitHub (Repository-Integration)

Sofern Sie ein GitHub-Repository mit WebGuard verknüpfen, erfolgt der Zugriff über die API von GitHub Inc., 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA. Im Rahmen des OAuth-Flows übermitteln wir den temporären Kontext github_connect_site_id über den sessionStorage Ihres Browsers.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutz bei GitHub: https://docs.github.com/privacy.

8.6 MinIO / S3-Objektspeicher

Generierte PDF-Reports, Screenshots und Blog-Medien werden in einem S3-kompatiblen Objektspeicher (MinIO) innerhalb der EU gespeichert. Der Zugriff erfolgt ausschließlich über signierte URLs mit begrenzter Gültigkeit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

8.7 Playwright / axe-core (lokale Prüfung)

Accessibility- und Visual-Regression-Checks werden mittels Playwright und axe-core auf unseren eigenen Servern durchgeführt. Dabei werden keine Daten an Dritte übermittelt; gerendert werden ausschließlich die von Ihnen hinterlegten öffentlichen URLs. Die gleiche Engine kommt auch beim Mitbewerberradar zum Einsatz (vgl. Abschnitt 7).

8.8 Microsoft Clarity (Nutzungsanalyse – nur mit Einwilligung)

Zur Analyse der Nutzung unserer Website setzen wir – ausschließlich nach Ihrer ausdrücklichen Einwilligung – Microsoft Clarity der Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland ein. Microsoft Clarity erstellt unter anderem Heatmaps sowie pseudonyme Sitzungs-Aufzeichnungen (Klick-, Scroll- und Mausbewegungsverhalten), um die Nutzerfreundlichkeit unserer Website zu verbessern. Die Inhalte von Eingabefeldern werden dabei standardmäßig maskiert.

Geltungsbereich: Microsoft Clarity wird ausschließlich auf unseren öffentlich zugänglichen Seiten geladen (Startseite, Blog, rechtliche Hinweise, Login-, Registrierungs- und Einladungs-Seiten). In den eingeloggten Bereichen unserer Anwendung (Dashboard, Websites, Berichte, Organisations- und Nutzerverwaltung etc.) findet keine Analyse durch Microsoft Clarity statt.

Dabei werden insbesondere folgende Daten verarbeitet:

• IP-Adresse (durch Microsoft gekürzt)
• Geräte-, Browser- und Betriebssystem-Informationen
• Referrer-URL, aufgerufene Seiten, Verweildauer
• Interaktionsdaten (Klicks, Scroll-Tiefe, Mausbewegungen)
• Pseudonyme Nutzer-/Sitzungs-Kennungen in Cookies wie _clck, _clsk, MUID, ANONCHK und SM

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG (Einwilligung). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die „Cookie-Einstellungen“ im Footer unserer Website öffnen.

Eine Übermittlung personenbezogener Daten in die USA (Microsoft Corporation) kann nicht ausgeschlossen werden. Microsoft Corporation ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen EU-Standardvertragsklauseln gemäß Art. 46 DSGVO. Die maximale Speicherdauer beträgt ein Jahr. Weitere Informationen: https://clarity.microsoft.com/ sowie https://privacy.microsoft.com/privacystatement.

8.9 Meta Pixel (Reichweitenmessung – nur mit Einwilligung)

Zur Messung der Wirksamkeit unserer Online-Werbung und zur Ausspielung zielgerichteter Werbeanzeigen auf Facebook und Instagram setzen wir – ausschließlich nach Ihrer ausdrücklichen Einwilligung – den Meta Pixel der Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland ein. Dabei werden insbesondere Informationen zu Seitenaufrufen sowie Conversion-Ereignisse (z. B. eine erfolgreiche Registrierung) erfasst.

Geltungsbereich: Der Meta Pixel wird ausschließlich auf der Startseite sowie im Registrierungs-Funnel (Registrierungsseite und E-Mail-Bestätigungs-Seite) geladen. In sämtlichen übrigen Bereichen unserer Website und Anwendung findet keine Datenerhebung durch Meta statt.

Verarbeitet werden unter anderem folgende Daten:

• IP-Adresse
• Geräte- und Browser-Informationen
• Besuchte URL sowie Referrer
• Cookie- und Gerätekennungen
• Event-Daten (z. B. PageView, Registrierung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG (Einwilligung). Für die Erhebung und Weitergabe an Meta sind wir gemeinsam mit Meta Platforms Ireland Limited im Sinne von Art. 26 DSGVO verantwortlich; die zugehörige Vereinbarung ist abrufbar unter https://www.facebook.com/legal/controller_addendum.

Eine Übermittlung in die USA (Meta Platforms, Inc.) erfolgt gestützt auf das EU-US Data Privacy Framework sowie ergänzend auf EU-Standardvertragsklauseln gemäß Art. 46 DSGVO. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft über die „Cookie-Einstellungen“ im Footer widerrufen. Weitere Informationen finden Sie in der Datenrichtlinie von Meta: https://www.facebook.com/privacy/policy sowie in der Cookie-Richtlinie.

9. Cookies, lokale Speicherung und Einwilligung

9.1 Einwilligungsmanagement

Beim ersten Besuch unserer Website zeigen wir Ihnen einen Cookie-Banner, in dem wir Sie über nicht notwendige Cookies und vergleichbare Technologien informieren und in dem Sie eine differenzierte Auswahl treffen können. Ihre Entscheidung wird in Ihrem Browser unter dem Schlüssel sg-cookie-consent im localStorage gespeichert (ohne Rückübertragung an unsere Server). Sie können Ihre Auswahl jederzeit mit Wirkung für die Zukunft widerrufen oder anpassen – klicken Sie dazu auf „Cookie-Einstellungen“ im Footer.

Rechtsgrundlage für die Speicherung der Einwilligungsentscheidung selbst: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich zum Nachweis und zur Umsetzung Ihrer Einwilligung).

9.2 Technisch notwendige Speicherung

Für den Betrieb des Dienstes kommen folgende Einträge im localStorage bzw. sessionStorage Ihres Browsers zum Einsatz. Sie sind für die von Ihnen angeforderten Funktionen unbedingt erforderlich:

sg-auth-token

JWT-Authentifizierungs-Token (Ablauf ca. 12 h)

sg-theme

Gewählter Farbmodus (Hell/Dunkel)

sg-cookie-consent

Ihre Cookie-Auswahl samt Zeitpunkt der Entscheidung (Ablauf nach spätestens 12 Monaten bzw. bis zum Widerruf)

onboarding_dismissed_*

Status des Onboarding-Hinweises je Organisation

github_connect_site_id

Temporäre ID während eines GitHub-OAuth-Flows

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO. Eine Einwilligung ist nicht erforderlich, da diese Speicherung für die Erbringung des ausdrücklich von Ihnen gewünschten Dienstes unbedingt erforderlich ist.

9.3 Einwilligungsbasierte Cookies und Technologien

Sofern Sie im Cookie-Banner die entsprechende Kategorie aktivieren, setzen wir zusätzlich die folgenden Dienste ein, die eigene Cookies und vergleichbare Technologien verwenden (siehe Abschnitte 8.8 und 8.9 für Details zu Datenumfang, Zwecken und Drittlandübermittlung):

• Statistik / Nutzungsanalyse: Microsoft Clarity
• Marketing: Meta Pixel

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Ihre Einwilligung ist freiwillig; ohne Erteilung sind keine Nachteile bei der Nutzung unseres Dienstes zu befürchten. Sie können sie jederzeit mit Wirkung für die Zukunft über die „Cookie-Einstellungen“ im Footer widerrufen.

Sie können darüber hinaus sämtliche Einträge jederzeit über die Einstellungen Ihres Browsers löschen; in der Folge werden Sie abgemeldet und müssen Ihre Cookie-Auswahl erneut treffen.

10. Kontaktaufnahme

Bei Kontaktaufnahme per E-Mail oder über unser Kontaktformular werden die übermittelten Angaben (Name, E-Mail-Adresse, Nachricht) zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO. Die Daten werden gelöscht, sobald sie für den Zweck der Erhebung nicht mehr erforderlich sind, spätestens jedoch nach Ablauf gesetzlicher Aufbewahrungsfristen.

11. Ihre Rechte

Ihnen stehen als betroffene Person folgende Rechte gegenüber der P&A Development GmbH zu:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO). Die Löschung Ihres Kontos und aller damit verknüpften Daten (Organisation, Sites, Checks, Reports, Alarme, Mitbewerber-Einträge) können Sie direkt in Ihrem Profil beantragen; Stripe-Kundendaten werden gleichzeitig gelöscht bzw. laufende Abonnements beendet.
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO) — dies betrifft insbesondere auch die Verarbeitung im Rahmen des Mitbewerberradars (vgl. Abschnitt 7.8)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an datenschutz@pandadev.de.

12. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Zuständig für die P&A Development GmbH ist:

13. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Ihre Daten vor Verlust, Manipulation und unberechtigtem Zugriff zu schützen. Hierzu zählen u. a. durchgängige TLS-Verschlüsselung, Bcrypt-Passwort-Hashing, Jasypt-verschlüsselte Konfigurationsgeheimnisse, rollenbasierte Zugriffskontrollen, regelmäßige Sicherheitsupdates sowie ein Auftragsverarbeitungsvertrag mit unserem Hoster IONOS.

14. Automatisierte Entscheidungsfindung / Profiling

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO (einschließlich Profiling mit rechtlicher Wirkung) findet nicht statt. Dies gilt insbesondere auch für KI-gestützte Auswertungen wie SEO-Auto-Fix-Vorschläge, Security-Erläuterungen oder Mitbewerberradar-Empfehlungen: Sie sind unverbindliche, durch unsere Nutzer manuell zu prüfende Hinweise und entfalten keine Rechtswirkung gegenüber den betroffenen Personen.

15. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Die jeweils aktuelle Fassung ist stets auf dieser Seite abrufbar.

Stand: 30. April 2026