1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Markus Röhler
Vacher Str. 60A, 90766 Fürth
E-Mail: verwaltung@feed-ai.de
Website: feed-ai.de
2. Allgemeines zur Datenverarbeitung
(1) Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist.
(2) Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.
(3) Feed-AI richtet sich ausschließlich an Unternehmer (B2B) im Sinne des § 14 BGB. Eine Nutzung durch Verbraucher ist nicht vorgesehen.
3. Rechtsgrundlagen der Verarbeitung
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.
Bei der Verarbeitung zur Erfüllung eines Vertrags dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Soweit eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Ist die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.
4. Erhobene Daten und Verarbeitungszwecke
4.1 Registrierung und Nutzerkonto
Bei der Registrierung auf feed-ai.de erheben wir: Name und E-Mail-Adresse, gewählter Tarifplan, Passwort (ausschließlich als kryptographischer Hash mittels bcrypt gespeichert; eine Rekonstruktion des Klartext-Passworts ist technisch nicht möglich), Datum und Uhrzeit der Registrierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Für die Dauer des Vertragsverhältnisses; nach Kündigung Löschung innerhalb von 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
4.2 Kontaktformular
Bei der Nutzung unseres Kontaktformulars werden folgende Daten erhoben: Name, E-Mail-Adresse, Nachrichteninhalt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).
Speicherdauer: Bis zur abschließenden Bearbeitung der Anfrage, spätestens nach 6 Monaten.
4.3 Eintrags-Daten des Kunden
Im Rahmen der Nutzung der Plattform verarbeiten wir Eintrags-Daten (z.B. Artikelbezeichnungen, Beschreibungen, Preise, Bilder-URLs), die der Kunde zur Erstellung von Eintrags-Daten-Feeds hochlädt oder eingibt. Diese Daten sind keine personenbezogenen Daten im Sinne der DSGVO, sofern sie keinen Rückschluss auf natürliche Personen ermöglichen. Soweit sie dennoch personenbezogene Daten Dritter enthalten, ist der Kunde als Verantwortlicher selbst zur DSGVO-Konformität verpflichtet; wir handeln insoweit als Auftragsverarbeiter (siehe Abschnitt 7).
4.4 Zahlungsdaten
Die Zahlungsabwicklung erfolgt ausschließlich über den Zahlungsdienstleister Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland). Wir selbst speichern keine vollständigen Zahlungsdaten (z.B. Kreditkartennummern). Stripe verarbeitet Zahlungsdaten als eigenständig Verantwortlicher gemäß der Stripe-Datenschutzrichtlinie.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Weitere Informationen: stripe.com/de/privacy
4.5 Biometrische Anmeldung (Feed-AI App)
Optional kann in unserer Mobile-App (Android / iOS) eine biometrische Anmeldung (Fingerabdruck oder Gesichtserkennung) aktiviert werden, um zukünftige Anmeldungen ohne Passwort-Eingabe zu ermöglichen.
Wichtig: Biometrische Merkmale (Fingerabdruck, Gesichts-Geometrie) werden ausschließlich vom Betriebssystem des Geräts verarbeitet und verlassen das Gerät zu keinem Zeitpunkt. Wir selbst haben keinen Zugriff auf biometrische Rohdaten.
Beim Aktivieren der biometrischen Anmeldung wird auf dem Gerät ein zufällig erzeugter, opaker Authentifizierungs-Token (256 Bit) generiert. Dieser Token wird verschlüsselt im sicheren Speicher des Betriebssystems (Android Keystore bzw. iOS Keychain) abgelegt. Auf unseren Servern speichern wir ausschließlich einen kryptographischen Hash (SHA-256) dieses Tokens in Verbindung mit der Nutzer-ID, dem Geräte-Typ (z. B. „android") und einem Zeitstempel der letzten Nutzung. Der Klartext-Token verlässt das Gerät zu keinem Zeitpunkt unverschlüsselt.
Verarbeitete Daten (Server): Nutzer-ID, SHA-256-Hash des Geräte-Tokens, Geräte-Typ-Bezeichnung, Zeitstempel (erstellt / zuletzt verwendet / Ablauf), gekürzter User-Agent-String.
Zweck: Komfortable und sichere Wieder-Anmeldung ohne erneute Passwort-Eingabe.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch ausdrückliche Aktivierung in den App-Einstellungen).
Speicherdauer: Automatischer Ablauf nach 90 Tagen ohne Nutzung. Maximal fünf aktive Geräte pro Konto. Bei Deaktivierung in den App-Einstellungen oder Konto-Löschung erfolgt sofortige Entfernung.
Widerruf: Jederzeit über App → Profil → Einstellungen → Biometrie deaktivieren.
4.6 Push-Benachrichtigungen (Feed-AI App)
Sofern in der App ausdrücklich aktiviert (System-Dialog beim ersten Start oder über App-Einstellungen), versenden wir Push-Benachrichtigungen — etwa wenn neue Pflichtfelder für KI-Sichtbarkeit veröffentlicht werden oder ein KI-Sichtbarkeits-Check abgeschlossen wurde.
Die technische Auslieferung erfolgt über Firebase Cloud Messaging (FCM), einen Dienst von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). FCM erhält zur Zustellung den Push-Token Ihres Geräts (anonymer, von Google vergebener Geräte-Identifikator) sowie den Benachrichtigungsinhalt. Inhalte werden so kurz wie möglich gehalten und enthalten keine personenbezogenen Daten Dritter.
Verarbeitete Daten: FCM-Push-Token (gerätegebunden, nicht-rückverfolgbar zu biometrischen Daten oder Inhalten), Nutzer-ID-Verknüpfung in unserer Datenbank, Sendezeitpunkt, Benachrichtigungstyp.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch System-Berechtigung / App-Einstellung).
Speicherdauer: FCM-Token bis zur Deaktivierung von Push oder Deinstallation der App. Versand-Protokolle 90 Tage.
Widerruf: System-Einstellungen des Geräts (Berechtigungen → Benachrichtigungen) oder App → Profil → Einstellungen → Push deaktivieren.
Details zur Auftragsverarbeitung durch Firebase Cloud Messaging siehe Abschnitt 5.7.
4.7 Crawler-Statistik der Eintrags-Seiten
Auf öffentlich erreichbaren Eintrags-Seiten (/produkte/<slug>) protokollieren wir Besuche bekannter KI- und Such-Crawler (z. B. GPTBot, PerplexityBot, ClaudeBot, Googlebot). Diese Statistiken dienen ausschließlich dazu, dem Kunden zu zeigen, ob seine Produkte von KI-Systemen erfasst werden.
Verarbeitete Daten: User-Agent-Kennung des Bots, Produkt-ID, Besuchsdatum (auf den Tag aggregiert).
Keine personenbezogenen Daten: Es werden ausschließlich automatisierte Bots erfasst — IP-Adressen menschlicher Besucher werden nicht gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produkt-Sichtbarkeits-Analytik, kein Personenbezug).
4.8 Kostenloser KI-Sichtbarkeits-Check
Über unseren öffentlichen, kostenlosen KI-Sichtbarkeits-Check können Interessenten prüfen lassen, ob ihr Angebot von KI-Systemen (z. B. ChatGPT, Perplexity, Gemini) genannt wird. Dabei werden die freiwillig eingegebenen Angaben (z. B. Angebot/Branche, Marke- oder Produktname, Ort/Region) verarbeitet. Zur Durchführung der Prüfung übermitteln wir diese Angaben serverseitig an die in Ziffer 5.8 genannten KI-Dienste (standardmäßig Perplexity); zur automatischen Einordnung des Angebots (Erkennung von Branche und passenden Prüf-Fragen) zusätzlich an OpenAI, L.L.C. (USA; Dienst GPT-4o mini). Die IP-Adresse und eine etwaige E-Mail-Adresse des Nutzers werden dabei nicht an die KI-Dienste übermittelt. OpenAI hat Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO implementiert. Zur Missbrauchs- und Kostenvermeidung speichern wir zusätzlich eine gehashte (nicht umkehrbare) Form der IP-Adresse — keine Klartext-IP.
Möchte der Nutzer den vollständigen Report per E-Mail erhalten, verarbeiten wir zusätzlich die angegebene E-Mail-Adresse. Optional kann der Nutzer über eine gesonderte Checkbox einwilligen, gelegentlich Marketing-Informationen (Tipps, Neuigkeiten) zu erhalten.
Double-Opt-In für Marketing: Hat der Nutzer die Marketing-Checkbox angehakt, senden wir zunächst eine neutrale Bestätigungs-E-Mail (ohne Werbeinhalt). Erst mit Klick auf den darin enthaltenen Bestätigungslink wird die Einwilligung wirksam; ohne Bestätigung versenden wir keine Marketing-Informationen. Als Einwilligungsnachweis (Art. 7 Abs. 1 DSGVO) speichern wir den Zeitpunkt der Anforderung und der Bestätigung sowie jeweils eine gehashte (nicht umkehrbare) Form der IP-Adresse — keine Klartext-IP. Ein Widerruf ist jederzeit über den Abmeldelink in jeder Marketing-E-Mail oder formlos per E-Mail möglich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für E-Mail-Versand des Reports und für Marketing-Informationen; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchs-/Kostenschutz) für die gehashte IP.
Speicherdauer: E-Mail-Adressen ohne Marketing-Einwilligung werden spätestens nach 6 Monaten automatisch anonymisiert (die E-Mail wird entfernt, anonyme Auswertungsdaten können verbleiben). E-Mail-Adressen mit Marketing-Einwilligung speichern wir bis zum Widerruf.
Widerruf: Die Marketing-Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden — formlos per E-Mail an support@feed-ai.de oder über den Abmeldelink in jeder Marketing-E-Mail. Auf Wunsch sperren wir eine E-Mail-Adresse dauerhaft für weiteren Versand.
5. Einsatz von Drittanbietern
5.1 Hosting: Netlify
Unsere Website und Plattform wird über Netlify, Inc. (101 2nd Street, San Francisco, CA 94105, USA) gehostet. Netlify betreibt ein globales CDN-Netzwerk; Serveranfragen können über US-amerikanische Server geleitet werden. Netlify hat Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO implementiert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Datenschutzrichtlinie: netlify.com/privacy
5.2 Analytics: Netlify Analytics
Wir nutzen Netlify Analytics zur Auswertung der Websitenutzung. Netlify Analytics arbeitet ausschließlich serverseitig auf Basis von CDN-Logdaten. Es werden keine Cookies gesetzt, kein Client-seitiger Code ausgeführt und keine personenbezogenen Daten erhoben oder gespeichert. Auswertungen erfolgen anonymisiert (Seitenaufrufe, Bandbreite, 404-Fehler). Da keine personenbezogenen Daten verarbeitet werden, ist für Netlify Analytics keine Einwilligung nach Art. 6 DSGVO erforderlich.
5.3 Datenbank und Authentifizierung: Supabase
Zur Speicherung von Nutzerdaten und zur Authentifizierung setzen wir Supabase ein (Supabase, Inc., 970 Trestle Glen Rd, Oakland, CA 94610, USA). Supabase ist in diesem Zusammenhang unser Auftragsverarbeiter gemäß Art. 28 DSGVO. Mit Supabase besteht ein unterzeichneter Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.
Unser Supabase-Projekt ist ausschließlich in der AWS-Region EU Central (Frankfurt, Deutschland) gehostet. Eine Übermittlung personenbezogener Daten außerhalb der EU findet für die Datenbankverarbeitung nicht statt. Passwörter werden ausschließlich als kryptographische Hashes (bcrypt mit individuellem Salt) gespeichert und sind auch bei einem unberechtigten Datenbankzugriff nicht als Klartext rekonstruierbar. Weder Feed-AI noch Supabase haben Zugriff auf das Klartext-Passwort des Nutzers.
Gespeicherte Daten und Löschfristen:
- Account-Daten (E-Mail, Passwort-Hash): bis zur Löschung des Nutzerkontos durch den Nutzer oder auf Anfrage, spätestens 30 Tage nach Vertragsende
- Unternehmensdaten (Firmenname, Adresse, Branche): bis zur Kündigung des Abonnements, spätestens 30 Tage danach
- Eintrags-Daten (Produktbeschreibungen, Eigenschaften): bis zur Löschung durch den Nutzer oder Kündigung des Abonnements
- KI-Sichtbarkeitsprüfungen (Check-Ergebnisse, Zeitstempel): 12 Monate, danach automatische Löschung
- Zahlungsdaten: werden nicht in Supabase gespeichert (ausschließlich bei Stripe)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Datenschutzrichtlinie: supabase.com/privacy
5.4 E-Mail-Versand: Resend
Für den transaktionalen E-Mail-Versand (Bestätigungs-E-Mails, Passwort-Reset, System-Benachrichtigungen) nutzen wir den Dienst Resend (Resend Technologies, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA).
Dabei werden folgende Daten an Resend übermittelt: E-Mail-Adresse des Empfängers, Name (sofern vorhanden), Inhalt der E-Mail. Resend speichert E-Mail-Logs (Metadaten zur Zustellungsprotokollierung) standardmäßig für 30 Tage, anschließend werden sie automatisch gelöscht.
Resend ist nach dem EU-US Data Privacy Framework zertifiziert und hat Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO implementiert, sodass ein angemessenes Datenschutzniveau bei der Übermittlung in die USA gewährleistet ist. Mit Resend besteht ein Data Processing Agreement (DPA) gemäß Art. 28 DSGVO, abrufbar unter resend.com/dpa.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger E-Mail-Zustellung).
Datenschutzrichtlinie: resend.com/privacy
5.5 Sicherheitsverifikation: Cloudflare Turnstile
Zum Schutz unserer Formulare (Login, Registrierung, Kontakt) vor automatisierten Missbrauchsversuchen (Bots, Spam) setzen wir Cloudflare Turnstile ein (Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA).
Cloudflare Turnstile analysiert das Nutzerverhalten im Browser, um zwischen menschlichen Nutzern und Bots zu unterscheiden. Dabei können folgende Daten verarbeitet werden: IP-Adresse, Browser-Informationen (User-Agent, Sprache), Interaktionsdaten (Mausbewegungen, Tipp-Verhalten). Im Gegensatz zu klassischen CAPTCHAs (reCAPTCHA) werden keine sichtbaren Aufgaben gestellt und keine Tracking-Cookies für Werbezwecke gesetzt.
Die Datenverarbeitung findet auf Servern von Cloudflare statt, die sich auch außerhalb der EU befinden können. Cloudflare hat Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO implementiert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit unserer Plattform und dem Schutz vor Missbrauch).
Datenschutzrichtlinie: cloudflare.com/privacypolicy
5.6 Interne Betriebsbenachrichtigungen: Slack (optional)
Für interne Betriebsbenachrichtigungen (z.B. Benachrichtigung bei neuen Registrierungen) kann der Anbieter den Dienst Slack nutzen (Slack Technologies Limited, Salesforce Tower, North Dock, Dublin 1, Irland). Dabei werden ausschließlich interne Betriebsdaten übermittelt, die der Anbieter selbst erhebt (z.B. Zeitpunkt der Registrierung, gewählter Plan). Personenbezogene Daten der Kunden werden nur in dem Umfang übermittelt, wie dies für den Betriebsablauf erforderlich ist (Firmenname, E-Mail-Adresse).
Diese Verarbeitung dient ausschließlich internen Betriebszwecken und findet nur statt, wenn der Dienst vom Anbieter aktiv eingesetzt wird.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter interner Betriebskommunikation).
Datenschutzrichtlinie: slack.com/privacy-policy
5.7 Push-Benachrichtigungen (App): Firebase Cloud Messaging
Für den Versand von Push-Benachrichtigungen in der Feed-AI-App nutzen wir Firebase Cloud Messaging (FCM) der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). FCM verarbeitet ausschließlich den anonymen Push-Token des Geräts sowie den Benachrichtigungsinhalt. Eine Verknüpfung mit anderen Google-Diensten findet auf unserer Seite nicht statt.
Auf Auftragsverarbeitungsebene ist FCM Teil der Google-Cloud-Infrastruktur und unterliegt den entsprechenden Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Nutzers in der App).
Datenschutzrichtlinie Firebase: firebase.google.com/support/privacy
5.8 KI-Sichtbarkeits-Check: OpenAI, Perplexity, Google Gemini
Zur Durchführung des KI-Sichtbarkeits-Checks (Pro- und Business-Tarif) übermitteln wir Eintrags-Daten des Kunden an folgende KI-Dienste:
- OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA — Dienst: GPT-4o. Datenschutzrichtlinie: openai.com/policies/privacy-policy
- Perplexity AI, Inc., 355 Mission Street, San Francisco, CA 94105, USA — Dienst: Perplexity API. Datenschutzrichtlinie: perplexity.ai/privacy
- Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA — Dienst: Gemini API (Google AI Studio). Datenschutzrichtlinie: policies.google.com/privacy
Die übermittelten Daten umfassen ausschließlich die vom Kunden eingetragenen Produktinformationen (Eintragsname, Marke, Kategorie, Beschreibung). Es werden keine personenbezogenen Daten des Endkunden (Name, E-Mail, Adresse) übermittelt. Die Verarbeitung erfolgt ausschließlich auf Servern der jeweiligen Anbieter, die sich außerhalb der EU befinden können. Alle drei Anbieter haben Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO implementiert.
Die KI-Anfragen werden serverseitig über unsere Netlify Functions ausgeführt. API-Schlüssel sind ausschließlich serverseitig gespeichert und werden niemals an den Browser übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — der KI-Check ist Kernbestandteil der gebuchten Leistung).
Unabhängig vom KI-Sichtbarkeits-Check nutzen wir OpenAI auch für die automatische Übersetzung von Eintrags-Inhalten (siehe Ziffer 5.10) sowie für die automatische Einordnung der Angaben im kostenlosen KI-Sichtbarkeits-Check (siehe Ziffer 4.8).
5.9 Reverse-Geocoding: OpenStreetMap Nominatim
Für lokale Anbieter (z.B. Friseur, Restaurant, Handwerk, Gesundheits-Praxen) ist die geografische Auffindbarkeit in KI-Systemen ("Friseur in Fürth", "Restaurant in Berlin") essentiell. Wir wandeln dafür die vom Kunden eingegebene Geschäftsadresse in Geo-Koordinaten (Latitude/Longitude) um und betten diese in das Schema.org-Markup ein, damit ChatGPT, Perplexity, Google Gemini und andere KI-Dienste den Eintrag bei lokalen Suchanfragen korrekt zuordnen können.
Für diese Umwandlung nutzen wir die kostenlose Nominatim-API der OpenStreetMap Foundation Ltd., St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich. Datenschutzrichtlinie: wiki.osmfoundation.org/wiki/Privacy_Policy
Der Aufruf erfolgt ausschließlich server-seitig über unsere Netlify Function /api/geocode. Die IP-Adresse des Endnutzers wird nicht an OpenStreetMap übermittelt. Übermittelt wird ausschließlich die Geschäftsadresse (Straße, PLZ, Ort) — keine personenbezogenen Daten des Endkunden (Name, E-Mail, etc.). Bei reinen Geschäftsadressen handelt es sich i.d.R. nicht um personenbezogene Daten im engeren Sinn der DSGVO.
Drittlandübermittlung: Vereinigtes Königreich (UK). Die EU-Kommission hat mit Angemessenheitsbeschluss vom 28.06.2021 das Schutzniveau in UK als angemessen anerkannt. Eine Übermittlung in unsichere Drittländer findet nicht statt. Standardvertragsklauseln sind daher nicht erforderlich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — lokale KI-Auffindbarkeit ist Bestandteil des gebuchten Service-Tarifs für lokale Anbieter).
Speicherung: Die ermittelten Geo-Koordinaten werden in unserer Supabase-Datenbank (Frankfurt, EU) im Produkteintrag gespeichert. Bei Löschung des Produkts oder Kontos werden auch die Koordinaten gelöscht. OpenStreetMap protokolliert laut eigener Privacy Policy keine dauerhaften Anfrage-Logs.
Anbieter-Wechsel: Sollten wir den Geocoding-Anbieter in Zukunft wechseln (z.B. zu einem self-hosted Nominatim oder einem alternativen DSGVO-konformen Dienst), aktualisieren wir diese Datenschutzerklärung entsprechend.
5.10 Automatische mehrsprachige Übersetzung von Eintrags- und Content-Inhalten: OpenAI
Feed-AI erstellt von Eintrags-Seiten automatisch fremdsprachige Fassungen (Englisch, Französisch, Spanisch), damit Einträge auch in fremdsprachigen KI-Antworten und Suchergebnissen gefunden werden. Hierfür übermitteln wir die vom Kunden eingegebenen Eintragstexte an OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA (Dienst: GPT-4o mini).
Übermittelte Daten: Kurz- und Langbeschreibung des Eintrags sowie Freitext-Eigenschaften (z. B. Alleinstellungsmerkmal, Leistungsbeschreibungen). Nicht übermittelt werden Konto- oder Zahlungsdaten (E-Mail-Adresse, Passwort, Rechnungsdaten). Soweit der Kunde in seinen Eintragstexten selbst personenbezogene Angaben hinterlegt (z. B. den eigenen Namen in einem Freelancer-Profil), werden diese als Bestandteil des Textes mit übermittelt. Dieselbe Übersetzungsfunktion nutzen wir für redaktionelle Inhalte unserer Website (Ratgeber, Vergleiche); diese enthalten keine Kundendaten.
Die Übersetzung erfolgt serverseitig beim Speichern oder Aktualisieren eines Eintrags in Tarifen, die mehrsprachige Eintrags-Seiten umfassen (derzeit Pro und Business sowie individuell freigeschaltete Konten). OpenAI verarbeitet die Daten auf Servern, die sich außerhalb der EU befinden können, und hat Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO implementiert. Nach der API-Vereinbarung mit OpenAI werden über die API übermittelte Inhalte nicht zum Training der Modelle verwendet. Die erzeugten Übersetzungen speichern wir in unserer Datenbank (Supabase, Frankfurt/EU) beim jeweiligen Eintrag; sie werden mit dem Eintrag gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — mehrsprachige, KI-optimierte Eintrags-Seiten sind Bestandteil der gebuchten Leistung).
Datenschutzrichtlinie: openai.com/policies/privacy-policy
6. Cookies und lokale Speicherung
Feed-AI verwendet ausschließlich technisch notwendige lokale Speicherung, die für den Betrieb der Plattform unbedingt erforderlich ist. Eine Einwilligung ist gemäß § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich. Tracking-Cookies oder Speicherung zu Werbezwecken werden nicht eingesetzt.
Lokale Browserspeicherung (localStorage): Unsere Plattform speichert Daten im localStorage des Browsers — nicht als HTTP-Cookie. Diese Daten verlassen das Gerät des Nutzers nicht und werden nicht an Server übermittelt.
| Speicher-Schlüssel | Typ | Zweck | Speicherdauer |
|---|---|---|---|
feedai_session | localStorage | Authentifizierungs-Token (JWT) — Login-Status | Bis zum Logout oder Token-Ablauf |
feedai_theme | localStorage | Farbschema-Präferenz (Hell/Dunkel) | Dauerhaft (bis zur Änderung) |
feedai_lang | localStorage | Sprachpräferenz | Dauerhaft (bis zur Änderung) |
| Sitzungs-Cache | sessionStorage | Temporärer Performance-Cache für API-Antworten | Nur für die aktuelle Browser-Sitzung |
Sicherheitscookies von Drittanbietern: Cloudflare Turnstile (Formularschutz) und Stripe (Zahlungsabwicklung) können im Rahmen ihrer Dienste technisch notwendige Sicherheits-Cookies setzen. Diese dienen ausschließlich der Betrugsprävention und der Sicherheit der Transaktionsabwicklung und unterliegen den Datenschutzrichtlinien der jeweiligen Anbieter (siehe Abschnitt 5). Tracking-Cookies werden von keinem dieser Dienste gesetzt.
7. Auftragsverarbeitung
Soweit der Kunde im Rahmen der Nutzung von Feed-AI personenbezogene Daten Dritter (z.B. seiner eigenen Kunden oder Mitarbeiter) über die Plattform verarbeitet, handeln wir als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. In diesem Fall schließen wir mit dem Kunden einen gesonderten Auftragsverarbeitungsvertrag (AVV) ab, der die Rechte und Pflichten beider Parteien regelt. Der AVV ist Bestandteil des Vertragsverhältnisses und wird auf Anfrage zur Verfügung gestellt.
8. Datensicherheit
Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen. Die Übertragung von Daten zwischen Ihrem Browser und unserer Plattform erfolgt ausschließlich über eine verschlüsselte HTTPS-Verbindung (TLS).
9. Betroffenenrechte
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an: verwaltung@feed-ai.de
Sie haben zudem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18 · 91522 Ansbach
Telefon: +49 (0) 981 180093-0
www.lda.bayern.de
10. Speicherdauer und Löschkonzept
Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften vorgesehen wurde (z.B. steuerrechtliche Aufbewahrungsfristen von 10 Jahren gemäß § 147 AO).
Konkrete Speicherdauern nach Datenkategorie:
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Kontodaten (E-Mail, Firmenname, Plan) | Bis zur Kontolöschung durch den Nutzer | Art. 6 Abs. 1 lit. b DSGVO |
| Produkt- und Eigenschaftsdaten | Bis zur Löschung des Produkts oder des Kontos | Art. 6 Abs. 1 lit. b DSGVO |
| KI-Check-Ergebnisse | Bis zur Kontolöschung | Art. 6 Abs. 1 lit. b DSGVO |
| Stripe-Zahlungsdaten | 10 Jahre (steuerrechtliche Aufbewahrungspflicht, § 147 AO) | Art. 6 Abs. 1 lit. c DSGVO |
| AGB-Einwilligungsprotokoll | 10 Jahre (Nachweispflicht) | Art. 6 Abs. 1 lit. c DSGVO |
| E-Mail-Logs (Resend) | 30 Tage (automatisch durch Resend) | Art. 6 Abs. 1 lit. f DSGVO |
| Kontaktformular-Nachrichten | 6 Monate nach Bearbeitung | Art. 6 Abs. 1 lit. f DSGVO |
Konto-Löschung auf Anfrage des Nutzers: Bei Ausübung des Rechts auf Löschung (Art. 17 DSGVO) — entweder über den „Konto löschen"-Button in den Profileinstellungen oder durch schriftliche Anfrage an verwaltung@feed-ai.de — werden gelöscht: alle Produkt- und Eigenschaftsdaten, alle KI-Check-Ergebnisse, das Nutzerprofil (companies-Datensatz) sowie das Authentifizierungskonto. Hochgeladene Eintrags-Bilder werden aus dem Cloud-Speicher entfernt.
Hinweis zur Affiliate-Betrugsverhinderung: Zum Schutz vor missbräuchlicher Mehrfach-Nutzung von Affiliate-Programmen speichern wir nach Kontolöschung eine normalisierte (anonymisierte) Ableitung der E-Mail-Adresse sowie den Zeitpunkt der Löschung. Diese Daten enthalten nicht die originale E-Mail-Adresse in Klartext, ermöglichen jedoch die Erkennung von Re-Registrierungen mit funktional identischen E-Mail-Adressen. Die Speicherung dieser Minimaldaten erfolgt auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verhinderung von Affiliate-Betrug) und ist auf das technisch notwendige Minimum beschränkt. Eine Zuordnung zu einer natürlichen Person ist durch die Normalisierung und das Fehlen der Klartextadresse erheblich erschwert.
11. Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Mai 2026 (überarbeitet 24.05.2026). Sie wurde zuletzt aktualisiert um den Abschnitt 5.9 zu OpenStreetMap Nominatim (Reverse-Geocoding für lokale KI-Auffindbarkeit) zu ergänzen. Vorherige Anpassungen betrafen Resend (E-Mail-Versand) um Angaben zum Data Processing Agreement (DPA), Biometrie/Push/Crawler. Durch die Weiterentwicklung unserer Plattform oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf feed-ai.de abgerufen werden.