Mit dieser Datenschutzerklärung informieren wir dich über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen unseres Dienstes konfora (im Folgenden „der Dienst“). konfora prüft Websites auf datenschutz- und compliancerelevante Hinweise und stellt das Ergebnis als Report bereit; optional überwacht das Abo konfora Watch eine Website fortlaufend auf Änderungen.
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Fabio BlankenhornHeppstraße 17
72760 Reutlingen
Deutschland
E-Mail: hallo@konfora.de
Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt. Bei Fragen zum Datenschutz kannst du dich jederzeit direkt an die oben genannte Adresse wenden.
2. Hosting
Der Dienst wird bei der Vercel Inc. (Unternehmenssitz USA) gehostet. Die serverseitige Verarbeitung erfolgt in der Region Frankfurt am Main (eu-central-1); die Auslieferung statischer Inhalte erfolgt über das weltweite Content-Delivery-Network von Vercel. Vercel verarbeitet in unserem Auftrag die technisch erforderlichen Verbindungs- und Server-Logdaten (z. B. IP-Adresse, Zugriffszeitpunkt, angefragte Ressource). Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren und stabilen Betrieb (Art. 6 Abs. 1 lit. f DSGVO).
3. Welche Daten wir verarbeiten
a) Beim Aufruf der Website
Beim Besuch der Website werden technisch notwendige Zugriffsdaten verarbeitet (Server-Logdaten). Diese sind für die Auslieferung und Sicherheit der Seite erforderlich (Art. 6 Abs. 1 lit. f DSGVO).
b) Beim Kauf und Start eines Scans
- Zu prüfende Domain (URL): Die von dir eingegebene Internetadresse, die geprüft werden soll.
- E-Mail-Adresse: Im Bestellvorgang über unseren Zahlungsdienstleister erhoben, zur Zustellung des Reports und zum Zugang zu deinem Konto.
- Konto- und Vorgangsdaten: Eine Nutzerkennung, die Vorgangskennung der Zahlung sowie Status und Zeitpunkte des Scans.
Diese Verarbeitung dient der Erbringung des von dir beauftragten Dienstes und damit der Erfüllung des Vertrags (Art. 6 Abs. 1 lit. b DSGVO).
c) Durchführung des Scans
Zur Erstellung des Reports rufen wir die von dir angegebene Website automatisiert auf und werten öffentlich zugängliche technische Merkmale aus (z. B. eingesetzte Skripte, Cookies, eingebundene Drittdienste sowie die Texte von Impressum und Datenschutzerklärung der geprüften Seite). Soweit dabei personenbezogene Daten Dritter anfallen (etwa eine im Impressum genannte E-Mail-Adresse), werden diese vor einer weitergehenden Analyse automatisiert unkenntlich gemacht (siehe Ziffer 4). Für den Prüfpunkt „Server-Standort & Drittland“ ermitteln wir per DNS-Abfrage die IP-Adresse des Servers der geprüften Website sowie der dort eingebundenen Drittdienste und fragen deren ungefähren Standort (Land, Netzbetreiber) beim Geolokalisierungs-Dienst ipwho.is ab (siehe Ziffer 10).
d) Monitoring-Abo „konfora Watch“
Hast du das optionale Abo konfora Watch gebucht, prüfen wir die von dir angegebene Domain in regelmäßigen Abständen automatisiert erneut und benachrichtigen dich per E-Mail über festgestellte Änderungen. Dafür verarbeiten wir die abonnierte Domain, deine E-Mail-Adresse sowie die Vorgangs- und Abrechnungsdaten des Abos. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die wiederkehrende Abrechnung wickeln wir über unseren Zahlungsdienstleister Stripe ab (siehe Ziffer 6).
e) Sicherheit und Missbrauchsvermeidung
Zur Begrenzung von Anfragen (Rate-Limiting) und zur Abwehr von Missbrauch verarbeiten wir kurzzeitig deine IP-Adresse. Bei Funktionen, die eine E-Mail an eine angegebene Adresse auslösen (Anmeldung/Login, kostenloser Schnellcheck, Kündigung), beziehen wir zusätzlich die jeweilige E-Mail-Adresse in die Begrenzung ein, um gezielten Missbrauch — etwa das Zustellen unerwünschter E-Mails an fremde Adressen — zu unterbinden. Die zugehörigen Zählerstände werden nach Ablauf des jeweiligen Zeitfensters zurückgesetzt und in der Regel innerhalb weniger Stunden automatisch gelöscht. Rechtsgrundlage ist unser berechtigtes Interesse an der Sicherheit und Verfügbarkeit des Dienstes (Art. 6 Abs. 1 lit. f DSGVO).
f) Kostenloser Schnellcheck (Free-Scan)
- Zu prüfende Domain (URL): Die von dir für den kostenlosen Schnellcheck eingegebene Website.
- E-Mail-Adresse: Zur Zustellung des Ergebnisses des von dir angeforderten Schnellchecks über einen persönlichen Ergebnis-Link (ohne Konto und ohne Anmeldung).
- Vorgangsdaten: Ein zufälliger Zugangstoken für den Ergebnis-Link sowie Status und Zeitpunkte des Scans.
Den kostenlosen Schnellcheck führen wir auf deine ausdrückliche Anfrage durch; die Verarbeitung deiner E-Mail-Adresse dient ausschließlich der Zustellung des von dir angeforderten Ergebnisses. Rechtsgrundlage ist unser berechtigtes Interesse daran, dir das von dir selbst angeforderte Ergebnis zustellen zu können (Art. 6 Abs. 1 lit. f DSGVO); dieses Interesse deckt sich mit deinem eigenen. Eine werbliche Nutzung deiner E-Mail-Adresse findet nicht statt; ohne deine gesonderte Einwilligung erhältst du keine Marketing-Nachrichten. Den Versand des Ergebnisses wickeln wir über Resend ab (siehe Ziffer 7).
g) Kündigung, Kontakt und Support
Nutzt du die login-freie Kündigungsfunktion oder wendest du dich mit einer Support-Anfrage an uns, verarbeiten wir die dabei angegebenen Daten — insbesondere deine E-Mail-Adresse, die betroffene Domain bzw. das betroffene Abo sowie eine optionale Freitext-Nachricht. Diese Angaben nutzen wir, um deine Kündigung zu bearbeiten bzw. dein Anliegen zu beantworten. Dazu versenden wir über unseren Dienstleister Resend (siehe Ziffer 7) eine interne Benachrichtigung an uns sowie eine Bestätigung an deine E-Mail-Adresse. Rechtsgrundlage ist die Vertragserfüllung bzw. die Durchführung vorvertraglicher oder vertragsbezogener Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse an der Bearbeitung und Dokumentation von Anfragen (Art. 6 Abs. 1 lit. f DSGVO). Wir bewahren diese Kommunikation nur so lange auf, wie es zur Bearbeitung deines Anliegens und zur Erfüllung etwaiger gesetzlicher Aufbewahrungspflichten erforderlich ist.
h) Reichweiten- und Funnel-Messung
Um zu verstehen, wie unsere Website genutzt wird und an welchen Stellen Besucher den Prüf- bzw. Bestellprozess abbrechen, führen wir eine eigene, datenschutzfreundliche Reichweitenmessung durch. Sie läuft vollständig auf unserer eigenen Infrastruktur in der EU; wir setzen dafür keine Dienste Dritter und keine Tracking-, Analyse- oder Marketing-Cookies ein und speichern hierfür nichts auf deinem Endgerät. Eine Einwilligung nach § 25 TDDDG ist daher nicht erforderlich.
Erfasst werden ausschließlich anonyme Ereignisdaten (z. B. „Schnellcheck gestartet“, „Ergebnis angesehen“, „Kauf abgeschlossen“) sowie technische Rahmendaten wie die aufgerufene Seite, eine grobe Herkunftskategorie (etwa Suchmaschine, soziales Netzwerk oder Direktaufruf) und etwaige Kampagnenparameter (UTM). Deine IP-Adresse speichern wir nicht. Um zusammengehörige Ereignisse näherungsweise zusammenzufassen, bilden wir aus IP-Adresse und Browserkennung eine täglich wechselnde, nicht umkehrbare Prüfsumme; diese erlaubt keinen Rückschluss auf deine Person und wird über den Tag hinaus nicht zusammengeführt. Rechtsgrundlage ist unser berechtigtes Interesse an einer bedarfsgerechten Gestaltung und der wirtschaftlichen Auswertung unseres Angebots (Art. 6 Abs. 1 lit. f DSGVO). Diese Ereignisdaten werden automatisiert nach 180 Tagen gelöscht.
4. KI-gestützte Analyse
Zur Bewertung der Prüfergebnisse und zur Auswertung der vorgefundenen Rechtstexte setzen wir KI-Sprachmodelle des Anbieters Anthropic über AWS Bedrock ein. Die Verarbeitung erfolgt in einer Region innerhalb der EU. Die an die Modelle übermittelten Inhalte werden zuvor auf das erforderliche Maß reduziert; potenziell personenbeziehbare Angaben (z. B. E-Mail-Adressen, Telefonnummern, IBAN, lange Kennnummern) werden dabei automatisiert entfernt bzw. ersetzt.
Die KI-Analyse bezieht sich auf die geprüfte Website, nicht auf dich als Nutzer. Eine automatisierte Entscheidung im Einzelfall mit rechtlicher Wirkung dir gegenüber im Sinne des Art. 22 DSGVO findet nicht statt. Rechtsgrundlage für den Einsatz ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
5. Fehler- und Stabilitätsüberwachung
Zur Überwachung der technischen Stabilität und zur Diagnose von Fehlern setzen wir den Dienst Sentry der Functional Software, Inc. ein. Tritt im Betrieb der Anwendung ein technischer Fehler auf, übermittelt Sentry automatisiert eine Fehlermeldung mit technischen Kontextinformationen — etwa Art und Zeitpunkt des Fehlers, die technische Fehlerspur (Stack-Trace), die aufgerufene Seite sowie Browser- und Gerätetyp. Die Verarbeitung erfolgt in der EU-Region von Sentry (Rechenzentrum in Deutschland).
Wir haben die Erfassung bewusst datensparsam konfiguriert: Die IP-Adresse wird nicht gespeichert, und potenziell personenbeziehbare Angaben in Fehlermeldungen (z. B. E-Mail-Adressen, lange Kennnummern) werden bereits vor der Übermittlung automatisiert unkenntlich gemacht. Sentry setzt hierfür keine Cookies und speichert nichts auf deinem Gerät; eine Aufzeichnung deiner Sitzung (Session Replay) findet nicht statt. Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren, stabilen und fehlerfreien Betrieb des Dienstes (Art. 6 Abs. 1 lit. f DSGVO).
6. Zahlungsabwicklung
Die Zahlung wird über die Stripe Payments Europe, Ltd. (Irland) abgewickelt. Die Eingabe der Zahlungsdaten erfolgt ausschließlich auf einer von Stripe bereitgestellten Bezahlseite; wir erhalten und speichern keine Kreditkarten- oder Kontodaten. An Stripe werden insbesondere deine E-Mail-Adresse und die zu prüfende Domain als Vorgangsdaten übermittelt. Beim Abo konfora Watch verwaltet Stripe zusätzlich die wiederkehrende Abrechnung, bis du das Abo kündigst. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
7. E-Mail-Versand und -Empfang
Für den Versand transaktionsbezogener E-Mails (z. B. Bereitstellung des Reports nebst Anmeldelink, Mitteilung über einen fehlgeschlagenen Scan oder — bei konfora Watch — Hinweise auf festgestellte Änderungen) sowie für die Zustellung des kostenlosen Schnellchecks nutzen wir den Dienst Resend. Der Versand erfolgt über eine Absende-Domain, die wir in der EU-Region (Irland) von Resend konfiguriert haben; Resend, Inc. mit Sitz in den USA bleibt Vertragspartner (zur etwaigen Drittlandübermittlung siehe Ziffer 11). Übermittelt werden deine E-Mail-Adresse, die geprüfte Domain sowie der Anmelde- bzw. Ergebnis-Link. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. — bei der Zustellung des selbst angeforderten Schnellcheck-Ergebnisses — unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Schreibst du uns an eine unserer E-Mail-Adressen (z. B. hallo@konfora.de), wird deine Nachricht über das E-Mail-Hosting der IONOS SE empfangen und in unserem dortigen Postfach gespeichert; die Verarbeitung erfolgt auf Servern in Deutschland. Verarbeitet werden dabei die von dir in der E-Mail angegebenen Daten — insbesondere deine E-Mail-Adresse, der Nachrichteninhalt sowie technische Kopf- und Verbindungsdaten. Rechtsgrundlage ist unser berechtigtes Interesse an einer zuverlässigen Erreichbarkeit und der Bearbeitung von Anfragen (Art. 6 Abs. 1 lit. f DSGVO); dient deine Nachricht der Anbahnung oder Durchführung eines Vertrags, ist Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO.
8. Datenbank und Speicherung der Reports
Konto-, Scan- und Reportdaten sowie die erzeugten PDF-Reports werden bei der Supabase, Inc. (USA) gespeichert; die Datenhaltung erfolgt in einer Region innerhalb der EU (Frankfurt). Supabase stellt zugleich die Anmeldung über einen Anmeldelink bereit. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
9. Cookies und lokale Speicherung
Wir setzen ausschließlich technisch notwendige Cookies ein, insbesondere die von unserer Anmelde-Infrastruktur (Supabase) gesetzten Authentifizierungs- bzw. Sitzungs-Cookies zur Aufrechterhaltung deiner Anmeldung. Eine Einwilligung ist hierfür nach § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich. Tracking-, Analyse- oder Marketing-Cookies verwenden wir nicht.
Zusätzlich speichert dein Browser im Bestell- bzw. Prüf-Funnel die von dir eingegebene Domain vorübergehend lokal (sessionStorage), damit sie zwischen den Schritten vorausgefüllt bleibt; dieser Eintrag wird beim Schließen des Tabs gelöscht und nicht eigenständig an uns übertragen. Auch dies ist nach § 25 Abs. 2 Nr. 2 TDDDG technisch erforderlich. Weitere Details findest du in unseren Cookie-Hinweisen.
10. Empfänger / Auftragsverarbeiter
Wir setzen sorgfältig ausgewählte Dienstleister ein, die personenbezogene Daten in unserem Auftrag und nach unseren Weisungen verarbeiten. Mit diesen Dienstleistern bestehen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO.
| Dienst | Zweck | Anbieter / Region |
|---|---|---|
| Supabase | Konto, Datenbank, Report-Speicherung, Anmeldung | Supabase, Inc., USA – Datenhaltung in der EU (Frankfurt) |
| Stripe | Zahlungsabwicklung | Stripe Payments Europe, Ltd., Irland |
| Resend | Versand transaktionsbezogener E-Mails | Resend, Inc., USA – Versand über EU-Region (Irland) |
| IONOS | E-Mail-Hosting (Posteingang unserer Kontaktadressen) | IONOS SE, Montabaur (Deutschland) |
| AWS Bedrock (Anthropic) | KI-gestützte Auswertung der Prüfergebnisse | Amazon Web Services EMEA SARL, Luxemburg – Verarbeitung in EU-Region |
| Vercel | Hosting der Website | Vercel, Inc., USA |
| Sentry | Fehler- und Stabilitätsüberwachung (Error-Monitoring) | Functional Software, Inc. (Sentry), USA – Verarbeitung in der EU-Region (Deutschland) |
Darüber hinaus rufen wir beim Prüfpunkt „Server-Standort & Drittland“ den Geolokalisierungs-Dienst ipwho.is (ipwhois.io) auf. Übermittelt wird dabei ausschließlich die per DNS ermittelte IP-Adresse des Servers der geprüften Website bzw. der dort eingebundenen Drittdienste — keine Daten über dich als Nutzer. Solche Server-IP-Adressen sind in der Regel keine personenbezogenen Daten; soweit sie im Einzelfall einer Person zuordenbar sind (etwa bei einem selbst betriebenen Server), beruht die Verarbeitung auf der Erbringung des von dir beauftragten Prüfdienstes (Art. 6 Abs. 1 lit. b DSGVO) bzw. unserem berechtigten Interesse an der Durchführung der Prüfung (Art. 6 Abs. 1 lit. f DSGVO). Der Anbieter kann seinen Sitz außerhalb der EU haben (siehe Ziffer 11).
11. Übermittlung in Drittländer
Einzelne der genannten Anbieter haben ihren Sitz außerhalb der EU bzw. gehören US-Konzernen an. Soweit dabei personenbezogene Daten in ein Drittland übermittelt werden, ist ein angemessenes Datenschutzniveau durch geeignete Garantien sichergestellt – insbesondere durch Standardvertragsklauseln der EU-Kommission (Art. 46 DSGVO) und/oder, soweit die Anbieter entsprechend zertifiziert sind, durch den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (Art. 45 DSGVO). Die KI-Auswertung und die Datenhaltung führen wir bewusst in EU-Regionen aus. Beim Geolokalisierungs-Dienst ipwho.is (siehe Ziffer 10) beschränkt sich eine etwaige Übermittlung in ein Drittland auf die IP-Adresse des Servers der geprüften Website bzw. ihrer Drittdienste.
12. Speicherdauer
- Scans, Findings und Reports werden in der Regel 180 Tage nach Erstellung des Scans automatisiert gelöscht; maßgeblich ist der Zeitpunkt, zu dem der Scan-Datensatz angelegt wurde.
- Daten des kostenlosen Schnellchecks (Domain, E-Mail-Adresse, Zugangstoken) werden in der Regel automatisiert 30 Tage nach Erstellung des Schnellchecks gelöscht. Wandelst du den Schnellcheck in einen kostenpflichtigen Report um, verarbeiten wir die zugehörigen Daten als Teil dieses Auftrags weiter; in diesem Fall erfolgt die Löschung automatisiert in der Regel 180 Tage nach der ursprünglichen Erstellung.
- konfora Watch: Solange ein Monitoring-Abo aktiv ist, bewahren wir den jeweils letzten Vergleichs-Scan (Baseline) über die genannte Frist hinaus auf, weil er die Grundlage für die Änderungserkennung bildet. Nach Kündigung des Abos unterliegt auch diese Baseline wieder der regulären Löschfrist.
- Anonyme Ereignisdaten der Reichweiten- und Funnel-Messung (siehe Ziffer 3 h) werden automatisiert in der Regel 180 Tage nach ihrer Erhebung gelöscht.
- Kontodaten verarbeiten wir, bis du dein Konto löschst (siehe Ziffer 13).
- Rechnungs- und zahlungsbezogene Daten werden, soweit gesetzliche Aufbewahrungspflichten bestehen (z. B. nach Handels- und Steuerrecht), für die Dauer dieser Fristen aufbewahrt.
13. Deine Rechte
Dir stehen nach der DSGVO insbesondere folgende Rechte zu:
- Auskunft über die zu dir gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen, die auf einem berechtigten Interesse beruhen (Art. 21 DSGVO)
In deinem Konto unter /account kannst du die dort gespeicherten App-Daten — insbesondere deine Scans, Findings, Reports und Abo-Daten — jederzeit selbst als Datei (JSON) exportieren sowie dein Konto samt aller Scans, Findings und Reports löschen. Dieser Self-Service-Export umfasst die bei uns gespeicherten Anwendungsdaten; weitergehende Auskünfte, etwa zu bei unseren Dienstleistern gespeicherten Zahlungsdaten (z. B. Stripe) oder zu technischen Logdaten, stellen wir dir auf Anfrage per E-Mail bereit. Darüber hinaus kannst du dich jederzeit an hallo@konfora.de wenden.
14. Beschwerderecht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für uns zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Du kannst dich aber auch an die Aufsichtsbehörde deines Wohnorts wenden.
15. Aktualität und Änderungen
Wir passen diese Datenschutzerklärung an, sobald Änderungen unserer Verarbeitung dies erforderlich machen. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.