← Zurück

Datenschutzerklärung


2.1 Verantwortlicher

Mersier GmbH
Glescher Weg 5–7
50181 Bedburg
Deutschland
E-Mail: kontakt@bewertungsbase.de

Datenschutzbeauftragter: Die Mersier GmbH ist nach Art. 37 DSGVO nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen. Bei datenschutzrechtlichen Anfragen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.


2.2 Begriffe

Im Sinne dieser Datenschutzerklärung gelten die Begriffsbestimmungen des Art. 4 DSGVO. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Verarbeitung ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Erheben, Speichern, Verwenden, Übermitteln, Löschen etc.).


2.3 Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen:

Die jeweils einschlägige Rechtsgrundlage wird bei den einzelnen Verarbeitungen genannt.


2.4 Datenerhebung beim Besuch der Website

Beim Aufruf unserer Website übermittelt Ihr Browser automatisch technische Daten an unsere Server:

Diese Daten werden durch Vercel Inc. (Hosting, Region Frankfurt/fra1) verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb und Sicherheit der Website). Die Logs werden nach spätestens 30 Tagen gelöscht. Vercel ist als Auftragsverarbeiter nach Art. 28 DSGVO eingebunden (siehe 2.13).


2.5 Cookies

Unsere Website verwendet ausschließlich technisch notwendige Cookies (z. B. Session-Token nach Login). Wir setzen keine Werbe-Cookies, keine Tracking-Pixel und keine Third-Party-Marketing-Cookies. Eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist für technisch notwendige Cookies nicht erforderlich. Ein Cookie-Banner wird deshalb nicht eingeblendet.


2.6 Vercel Analytics

Wir nutzen Vercel Analytics zur Messung von Seitenaufrufen und Performance-Kennzahlen. Vercel Analytics arbeitet cookielos und ohne Fingerprinting. Es werden keine personenbezogenen Profile erstellt und keine Daten an Werbenetzwerke übermittelt. Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots). Da keine personenbezogenen Daten im Sinne eines Nutzerprofils gespeichert werden, ist kein Cookie-Opt-in erforderlich.


2.7 Kontaktformular und Demo-Termin via Cal.com

Wenn Sie über unser Kontaktformular oder die Termin-Buchungsfunktion (Cal.com) Kontakt aufnehmen, verarbeiten wir:

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO. Cal.com (Niederlande, EU) ist als Auftragsverarbeiter eingebunden. Die Daten werden nach Abschluss des Vorgangs und Ablauf gesetzlicher Aufbewahrungsfristen gelöscht, spätestens nach 12 Monaten.


2.8 Newsletter

Wir versenden derzeit keinen Newsletter. Sollten wir dies in Zukunft einführen, werden wir diese Datenschutzerklärung entsprechend aktualisieren und eine gesonderte Einwilligung einholen.


2.9 Doppelrolle bei SaaS-Nutzung

Bei der Nutzung der Bewertungsbase-Plattform treten wir je nach Datenart in unterschiedlichen datenschutzrechtlichen Rollen auf:

Verarbeitung als Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Für Daten unserer Kunden (Vertragspartner) sind wir Verantwortlicher. Welche Daten dies konkret betrifft und wozu wir sie verarbeiten, beschreibt Abschnitt 2.10.

Verarbeitung als Auftragsverarbeiter (Art. 4 Nr. 8, Art. 28 DSGVO)

Für Daten der Endkunden unserer Kunden (z. B. Funnel-Feedback-Daten, Reviewer-Daten aus Google) sind wir Auftragsverarbeiter — unser Kunde ist insoweit Verantwortlicher. Welche Daten dies konkret betrifft und wozu wir sie verarbeiten, beschreibt Abschnitt 2.11. Die Grundlage hierfür bildet der mit dem Kunden geschlossene Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.


2.10 Datenverarbeitung als Verantwortlicher (Kundendaten)

Kontodaten des Kunden: Name, E-Mail-Adresse, Telefonnummer (optional), Passwort (nur als Hash gespeichert), Unternehmensname, Unternehmensanschrift, Umsatzsteuer-Identifikationsnummer.

Zahlungsdaten: Werden direkt durch Stripe Payments Europe Ltd. verarbeitet; wir speichern keine vollständigen Kartendaten, sondern nur einen Zahlungsmittel-Verweis.

Nutzungs- und Zugangsdaten: Login-Zeitpunkte, IP-Adresse beim Login (zur Missbrauchserkennung), genutzte Features.

KI-Stil-Einstellungen des Kunden: Anrede-Präferenz, Tonfall, Länge, Branche, Signatur, hinterlegte Beispielantworten. Diese Daten dienen der Personalisierung der KI-Antwortvorschläge auf den individuellen Sprachstil des Kunden.

Meldeanfragen-Daten: Wenn der Kunde im Rahmen der Strategieberatung eine Bewertung zur Meldung vorbereitet, speichern wir Vor- und Nachname des Kunden als Kontaktperson, Telefonnummer (optional), Liste der gemeldeten Bewertungen mit Text, Sternebewertung und Begründung. Diese Daten dienen der internen Nachvollziehbarkeit des Beratungsprozesses und der Dokumentation der Fälle.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).


2.11 Datenverarbeitung als Auftragsverarbeiter (Endkundendaten unserer Kunden)

Reviewer-Daten aus Google-Bewertungen

Im Rahmen der Nutzung der Google Business Profile API werden Bewertungsdaten zum Google-Profil unseres Kunden abgerufen. Diese können enthalten: Reviewer-Pseudonym (z. B. „Sandra K."), Bewertungsinhalt (Freitext), Sternebewertung, Datum der Bewertung. Die Daten werden in der Plattform-Datenbank gespeichert, um dem Kunden ein Bewertungs-Management zu ermöglichen.

Rechtsgrundlage für die Verarbeitung durch unseren Kunden als Verantwortlichen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Unternehmens an der Verwaltung öffentlich zugänglicher Bewertungen seines eigenen Geschäfts).

Auskunfts- und Löschanfragen von Reviewern werden an den Kunden als Verantwortlichen weitergeleitet. Reviewer können sich auch direkt an uns wenden (kontakt@bewertungsbase.de); wir leiten die Anfrage dann an den zuständigen Kunden weiter und unterstützen diesen bei der Erfüllung der Anfrage gemäß Art. 28 Abs. 3 lit. e DSGVO.

KI-Antwortgenerierung

Bewertungstexte werden zur Generierung von Antwortvorschlägen an die Claude API von Anthropic PBC (USA) übermittelt. Personennamen werden dabei soweit technisch möglich entfernt oder pseudonymisiert. Anthropic verarbeitet API-Daten gemäß seinen Geschäftsbedingungen standardmäßig nicht zum Training seiner KI-Modelle. Näheres zum internationalen Datentransfer in die USA siehe Abschnitt 2.14.

Funnel-Konfiguration

Der Kunde konfiguriert seinen öffentlichen Bewertungs-Funnel (Unternehmensname, Logo, Farbgebung, Funnel-Typ, öffentliche URL). Die Funnel-Seite selbst enthält keine personenbezogenen Daten von Endkunden, solange diese nichts eingeben.

Anonyme Funnel-Aufrufe und -Ereignisse

Beim Besuch eines Funnels werden anonymisierte Ereignisdaten erfasst: Zeitstempel, Klick auf „Zu Google", Modul-Typ. Keine Speicherung der IP-Adresse, kein Name, keine E-Mail. Diese Daten dienen ausschließlich der Statistik für den Kunden (Aufrufe, Konversionsrate). Der Kunde ist verpflichtet, auf seiner Funnel-Seite einen entsprechenden Datenschutzhinweis bereitzustellen (vgl. AGB § 6 Abs. 6).

Funnel-Feedback-Daten

Falls Endkunden über den Funnel internes Feedback geben (anstatt zu Google zu gehen), erheben wir: Bewertungs-Score (1–10), Freitext-Feedback, optionaler Name, optionale E-Mail-Adresse. Die Verarbeitung erfolgt auf Basis der Einwilligung des Endkunden durch freiwillige Eingabe sowie des berechtigten Interesses des Kunden an Geschäftsverbesserung. Diese Daten gehören dem Kunden; wir verarbeiten sie ausschließlich in dessen Auftrag.


2.12 E-Mail-Kommunikation (Resend)

Transaktionale E-Mails (z. B. „neue Bewertung eingegangen", „KI-Antwort bereit", Passwort-Reset, Meldeanfrage-Bestätigungen) werden über Resend Inc. (EU) versendet. Verarbeitete Daten: Empfänger-E-Mail-Adresse, Betreff, Inhalt der E-Mail. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Resend ist als Auftragsverarbeiter eingebunden.


2.13 Auftragsverarbeitung

Wir setzen folgende Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit jedem Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV):

| Anbieter | Zweck | Standort | Besonderheit |
|---|---|---|---|
| Vercel Inc. | Hosting der Plattform | Frankfurt (fra1), EU | US-Muttergesellschaft, SCCs |
| Supabase Inc. | Datenbank, Authentifizierung | Frankfurt, EU | US-Muttergesellschaft, SCCs |
| Anthropic PBC | KI-Antwortgenerierung (Claude API) | USA | SCCs erforderlich, kein Modelltraining auf API-Daten |
| Google Ireland Limited | Google Business Profile API | EU/Irland | DPA über Google Cloud Terms |
| Cal.com Inc. | Demo-Terminbuchung | Niederlande, EU | DPA verfügbar |
| Resend Inc. | Transaktionale E-Mails | EU | DPA verfügbar |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | EU/Irland | DPA über Stripe Standard |

Einen vollständigen Auftragsverarbeitungsvertrag stellen wir Ihnen als Kunden gemäß Art. 28 DSGVO zur Verfügung. Er ist unter [bewertungsbase.de/avv] abrufbar bzw. wird bei Vertragsschluss akzeptiert.


2.14 Internationaler Datentransfer in die USA

Für die KI-gestützte Antwortgenerierung übermitteln wir Bewertungstexte an Anthropic PBC mit Sitz in den USA. Die USA gelten nach DSGVO als Drittland ohne angemessenes Datenschutzniveau im Sinne des Art. 45 DSGVO.

Die Übermittlung erfolgt auf Basis von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO in der von der EU-Kommission zuletzt aktualisierten Fassung. Wir haben zusätzlich geprüft, ob die SCCs im konkreten Fall ausreichend sind (Transfer Impact Assessment, TIA).

Personennamen in Bewertungstexten werden vor der Übermittlung soweit möglich entfernt oder pseudonymisiert. Anthropic verarbeitet API-Daten gemäß seinen Geschäftsbedingungen standardmäßig nicht zum Training seiner KI-Modelle.

Auch Vercel Inc. und Supabase Inc. haben US-Muttergesellschaften; die Verarbeitung erfolgt jedoch ausschließlich in EU-Rechenzentren (Frankfurt), ebenfalls abgesichert durch SCCs.


2.15 Speicherdauer

| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Geschäfts- und Vertragsdaten (Rechnungen, Stammdaten, Zahlungsbelege) | 10 Jahre nach Vertragsende | §§ 147 AO, 257 HGB |
| Bewertungstexte, Antwortdaten, KI-Stil-Einstellungen, Meldeanfragen-Historie | Für Dauer des Kundenverhältnisses; Löschung 30 Tage nach Vertragsende | Art. 6 Abs. 1 lit. b DSGVO |
| Reviewer-Daten aus Google | Solange der Kunde sein Google-Profil mit der Plattform verbunden hat; Löschung 30 Tage nach Trennung/Vertragsende | Art. 6 Abs. 1 lit. f DSGVO |
| Kommunikationsdaten (E-Mail, Kontaktformular) | 12 Monate nach Abschluss des Vorgangs | Art. 6 Abs. 1 lit. f DSGVO |
| Funnel-Feedback-Daten (Endkunden-Eingaben) | Bis Widerruf der Einwilligung, max. 24 Monate | Art. 6 Abs. 1 lit. a DSGVO |
| Server-Logs (Vercel) | Max. 30 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Zahlungsdaten (Stripe) | Gemäß gesetzlicher Aufbewahrungspflichten | §§ 147 AO, 257 HGB |


2.16 Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte gegenüber uns:

Konto-Löschung: Sie können die Löschung Ihres Kontos und aller damit verbundenen Inhaltsdaten jederzeit per E-Mail an kontakt@bewertungsbase.de beantragen. Die Löschung erfolgt innerhalb von 30 Tagen, vorbehaltlich gesetzlicher Aufbewahrungspflichten (vgl. 2.15).

Anfragen von Reviewern: Sind Sie Verfasser einer Google-Bewertung, die wir in unserer Plattform für ein Unternehmen verarbeiten, können Sie uns ebenfalls kontaktieren. Wir leiten Ihre Anfrage dann an das verantwortliche Unternehmen weiter und unterstützen bei der Bearbeitung.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: kontakt@bewertungsbase.de


2.17 Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Postfach 20 04 44
40102 Düsseldorf
Tel.: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: https://www.ldi.nrw.de


2.18 Datensicherheit / SSL-Verschlüsselung

Unsere Website und Plattform nutzen aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an dem Präfix „https://" in der Adresszeile Ihres Browsers sowie dem Schloss-Symbol. Daten in unserer Datenbank (Supabase, Frankfurt) werden zusätzlich at rest verschlüsselt. Passwörter werden ausschließlich als Hash gespeichert, niemals im Klartext.


2.19 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, neue Produkt-Features oder geänderte Verarbeitungsvorgänge anzupassen. Die jeweils aktuelle Version ist unter [bewertungsbase.de/datenschutz] abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.


2.20 Stand und Version

Stand: Mai 2026 — Version 1.2