// legal

Datenschutz

Stand: Juni 2026

§1 Verantwortlicher

Verantwortlich im Sinne der DSGVO:
pixelcase Webdesign & Software
Eva Winzen
Kapellenstraße 3, 41569 Rommerskirchen
E-Mail: mail@pixelcase.de
Tel: 02183-2338883

§2 Arten der verarbeiteten Daten

Wir verarbeiten folgende Kategorien personenbezogener Daten:

  • Stammdaten: Name, Unternehmensname, E-Mail-Adresse, Telefonnummer
  • Zugangsdaten: E-Mail und verschlüsseltes Passwort für den Dashboard-Login
  • Google-Daten: Google-Account-ID, Google Business Location-ID, OAuth-Zugriffstoken (verschlüsselt)
  • Bewertungsdaten: Texte und Metadaten von Google-Bewertungen (Sternanzahl, Datum, Reviewer-Name)
  • KI-generierte Daten: Von uns erstellte Antwortvorschläge und veröffentlichte Antworten
  • Zahlungsdaten: Werden ausschließlich von Stripe verarbeitet — wir speichern keine Kreditkartendaten
  • Nutzungsdaten: IP-Adresse, Browsertyp, Zugriffszeiten (Server-Logs)
  • KI-Verarbeitungsdaten: Bewertungstexte und Unternehmensprofilinformationen, die zur KI-Antwortgenerierung an Google Gemini übermittelt werden
  • Protokolldaten: Zeitpunkt der Auto-Pilot-Aktivierung inkl. IP-Adresse (rechtliche Dokumentation)

§3 Zweck & Rechtsgrundlage der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der ReviewDirector-Plattform, Verarbeitung von Bewertungen und Erstellung von Antworten
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherheit der Plattform, Missbrauchsprävention, Server-Logs
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Geschäftsdaten gemäß HGB/AO, Protokollierung der Auto-Pilot-Aktivierung
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Cookies, die nicht technisch notwendig sind

§4 KI-Verarbeitung & automatisierte Entscheidungen

ReviewDirector nutzt KI-Sprachmodelle (aktuell: Google Gemini über die Google AI API) zur Analyse von Bewertungstexten und Generierung von Antwortvorschlägen. Dabei werden Bewertungstexte und unternehmensspezifische Profilinformationen an den KI-Anbieter übermittelt. Der verwendete KI-Anbieter kann sich ändern; es werden ausschließlich Anbieter eingesetzt, die eine DSGVO-konforme Verarbeitung gewährleisten.

Im Co-Pilot-Modus (Standard) ist keine vollständig automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO gegeben, da der Kunde jeden Vorschlag vor der Veröffentlichung prüft und freigibt.

Im Auto-Pilot-Modus werden Antworten ohne menschliche Zwischenprüfung veröffentlicht. Dies stellt eine automatisierte Verarbeitung dar. Der Kunde aktiviert diesen Modus freiwillig und nach ausdrücklicher Bestätigung. Die KI-Verarbeitung dient ausschließlich dem berechtigten Interesse des Kunden an einer effizienten Reputationsverwaltung.

§5 Google OAuth & Google Business Profile

Zur Nutzung von ReviewDirector verbindet der Kunde sein Google-Konto via OAuth 2.0. Dabei werden folgende Berechtigungen angefordert:

  • Zugriff auf Google Business Profile (Bewertungen lesen und beantworten)
  • Lesen der Google-Konto-E-Mail-Adresse (zur Identifikation)

Die OAuth-Tokens werden verschlüsselt in unserer Datenbank gespeichert. Der Kunde kann die Verknüpfung jederzeit in seinem Google-Konto unter myaccount.google.com/connections widerrufen. Google's Datenschutzerklärung gilt ergänzend: policies.google.com/privacy

§6 Zahlungsabwicklung via Stripe

Zahlungen werden über Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Dublin 2, Irland abgewickelt. Wir übermitteln dazu Name, E-Mail und Rechnungsbetrag. Stripe verarbeitet Zahlungsdaten nach eigener Datenschutzerklärung: stripe.com/de/privacy. Stripe kann Cookies setzen — wir haben keinen Einfluss darauf.

§7 Cookies

Wir setzen folgende Cookies ein:

  • Session-Cookie (PHPSESSID): Technisch notwendig für den Dashboard-Login. Kein Consent erforderlich. Wird beim Schließen des Browsers gelöscht.
  • Cookie-Consent (localStorage): Speichert deine Cookie-Entscheidung lokal im Browser. Kein serverseitiges Tracking.
  • Stripe-Cookies: Werden durch den Zahlungsdienstleister gesetzt. Dienen der Betrugsprävention.

§8 Server-Logs & Hosting

ReviewDirector wird auf Servern der Lima-City GmbH in Deutschland gehostet. Bei jedem Seitenzugriff werden automatisch folgende Daten in Server-Logs gespeichert: IP-Adresse, Datum/Uhrzeit, aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge, Referrer, Browser/Betriebssystem. Diese Daten werden nach 7 Tagen automatisch gelöscht und nicht mit anderen Daten zusammengeführt.

§9 Datenweitergabe & Dritte

Wir geben Daten nur in folgenden Fällen weiter:

  • Google: Veröffentlichung von Antworten auf Google Business Profile
  • Google Gemini (KI-Verarbeitung): Übermittlung von Bewertungstexten zur KI-Verarbeitung. Es gilt die Datenschutzerklärung von Google: policies.google.com/privacy
  • Stripe: Zahlungsabwicklung
  • Behörden: Bei gesetzlicher Verpflichtung

Eine Weitergabe zu Werbezwecken findet nicht statt.

§10 Speicherdauer

  • Kundendaten: Für die Dauer des Vertragsverhältnisses + gesetzliche Aufbewahrungsfristen (6-10 Jahre)
  • Bewertungen & Antworten: Für die Dauer des Vertragsverhältnisses, danach Löschung binnen 30 Tagen
  • Server-Logs: 7 Tage
  • OAuth-Tokens: Bis zur Deaktivierung oder Löschung des Kontos
  • Auto-Pilot-Protokoll: 10 Jahre (rechtliche Dokumentation)

§11 Deine Rechte

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Welche Daten wir über dich speichern
  • Berichtigung (Art. 16 DSGVO): Korrektur falscher Daten
  • Löschung (Art. 17 DSGVO): Löschung deiner Daten ("Recht auf Vergessenwerden")
  • Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO): Export deiner Daten in maschinenlesbarem Format
  • Widerspruch (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung

Zur Ausübung deiner Rechte wende dich an: mail@pixelcase.de

Du hast außerdem das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen:
Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Kavalleriestraße 2-4, 40213 Düsseldorf

§12 Datensicherheit

Wir verwenden SSL/TLS-Verschlüsselung für alle Datenübertragungen. Passwörter werden mit bcrypt (cost 12) gehasht gespeichert. OAuth-Tokens werden verschlüsselt gespeichert. Zugriffsrechte sind auf das notwendige Minimum beschränkt.