Datenschutzerklärung — RankingBase

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Metz Media
Jonas Metz
Hertener Straße 86
45892 Gelsenkirchen
Deutschland
Telefon: +49 157 31905013
E-Mail: mail@metz-media.de

Im Folgenden bezeichnen wir uns als „wir" oder „RankingBase". RankingBase wird unter der Domain rankingbase.com betrieben.

2. Datenverarbeitung beim Besuch der Website

2.1 Server-Logfiles

Bei jedem Aufruf werden vom Webserver automatisch folgende technische Daten verarbeitet:

IP-Adresse (gekürzt, sofern technisch möglich)
Datum und Uhrzeit des Zugriffs
HTTP-Methode, aufgerufene URL und Statuscode
Übertragene Datenmenge
Referrer (vorherige Seite, sofern übermittelt)
User-Agent (Browser + Betriebssystem)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb der Anwendung). Die Logs werden nach spätestens 30 Tagen automatisch gelöscht, es sei denn ein Sicherheitsvorfall macht eine längere Speicherung erforderlich.

2.2 Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies und Local-Storage-Einträge. Dazu zählen:

Session-Cookie (Login-Status nach dem Anmelden) — HTTP-Only, läuft nach max. 30 Tagen ab.
Spracheinstellung (Cookie) — speichert die Wahl zwischen Deutsch und Englisch.
Local-Storage — temporärer Zwischenspeicher für laufende Hintergrundjobs (Progress-Anzeige), wird beim Abschluss gelöscht.

Es findet kein Tracking, kein Marketing-Cookie und keine Einbindung von Drittanbieter-Skripten zu Analyse-Zwecken statt. Eine Einwilligung nach § 25 Abs. 1 TTDSG ist daher nicht erforderlich (Ausnahme: § 25 Abs. 2 Nr. 2 TTDSG — unbedingt erforderlich).

3. Konto + Nutzung der Anwendung

3.1 Registrierung

Für die Nutzung von RankingBase ist ein Konto erforderlich. Wir verarbeiten dafür:

Name (anzeigename)
E-Mail-Adresse
Passwort (nur als gesalzener Hash, niemals im Klartext)
Optional ein Profilbild oder eine Avatar-Farbe
Zeitpunkt der Registrierung und der letzten Anmeldungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Daten werden gespeichert, solange das Konto besteht, und nach Kündigung innerhalb von 30 Tagen gelöscht (mit Ausnahme gesetzlicher Aufbewahrungspflichten).

3.2 Projekt- und SEO-Daten

Innerhalb deines Tenants werden die von dir angelegten Projekte (Domains, Keywords, Tracking-Frequenz) sowie die daraus resultierenden Auswertungs-Daten (Rankings, Audits, Berichte, Backlink-Listen, GSC-Daten sofern verbunden) gespeichert. Diese Daten beziehen sich primär auf Websites und sind nur in Ausnahmefällen personenbezogen.

3.3 Audit-Logs

Sicherheits- und Compliance-relevante Aktionen (Login, Anlage eines Tenants, Plan-Wechsel, Schlüssel-Vergabe, Löschung von Projekten) werden in einem Audit-Log mit Aktor, IP-Adresse, User-Agent und Zeitpunkt gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Aufbewahrung bis zu 12 Monate.

4. Bezahlung (Stripe)

Bei einer kostenpflichtigen Buchung erfolgt die Bezahlung über Stripe. Wir selbst speichern keine Zahlungsdaten (keine Kreditkartennummern, keine IBANs). Stripe gibt uns lediglich Status-Informationen (Subscription-ID, Status, Renewal-Datum) zurück.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Externe Schnittstellen + Auftragsverarbeiter

Für den Betrieb der Anwendung setzen wir folgende Auftragsverarbeiter bzw. externe Schnittstellen ein. Mit allen genannten Stellen, soweit sie als Auftragsverarbeiter agieren, sind Verträge nach Art. 28 DSGVO geschlossen.

Hetzner

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland

Zweck: Hosting der Anwendung (Web-Server, Datenbank, Worker)

Datenschutzerklärung: https://www.hetzner.com/de/rechtliches/datenschutz/

Stripe

Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Zweck: Abwicklung von Zahlungen, Verwaltung von Abonnements und Rechnungsstellung

Drittland-Transfer: USA (Konzernmutter). Garantie: EU-Standardvertragsklauseln (SCC) + Stripe ist Data Privacy Framework zertifiziert.

Datenschutzerklärung: https://stripe.com/de/privacy

DataForSEO

DataForSEO LLC, 85 Broad Street, 16-079, New York, NY 10004, USA

Zweck: Abruf von SERP-Daten (Google-Suchergebnissen), Suchvolumen, Search-Intent und Backlink-Informationen für getrackte Keywords und Domains

Drittland-Transfer: USA. Garantie: EU-Standardvertragsklauseln (SCC).

Datenschutzerklärung: https://dataforseo.com/privacy-policy

Anthropic

Anthropic, PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA

Zweck: AI-gestützte Auswertung (Claude). Wird nur aktiv, wenn der jeweilige Tenant das AI-Add-on explizit aktiviert hat. Eingabedaten beschränken sich auf die für das jeweilige Feature notwendigen Inhalte (z. B. Keywords + öffentliche Sitemap-URLs).

Drittland-Transfer: USA. Garantie: EU-Standardvertragsklauseln (SCC); Anthropic trainiert laut eigenen Aussagen keine Modelle mit API-Eingaben..

Datenschutzerklärung: https://www.anthropic.com/legal/privacy

Google Search Console API

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Zweck: Optionale Anbindung: Wenn ein Nutzer ein Projekt mit der Google Search Console verbindet, holt RankingBase mit dem OAuth-Token Performance-Daten (Impressionen, Klicks, CTR, Position) für die verbundene Property. Die Anbindung ist freiwillig und kann jederzeit getrennt werden.

Drittland-Transfer: USA (Konzernmutter). Garantie: EU-Standardvertragsklauseln (SCC) + Data Privacy Framework.

Datenschutzerklärung: https://policies.google.com/privacy

6. AI-Features (optional)

Wenn der Owner eines Tenants das AI-Add-on aktiviert hat, können einzelne AI-gestützte Funktionen genutzt werden (z. B. der Keyword-Gap-Analyzer oder die Content-Brief-Erweiterung). Diese werden über die Claude-API von Anthropic abgewickelt. Übertragen werden nur die für das jeweilige Feature notwendigen Daten (z. B. eine Liste von Keywords plus die öffentlich zugängliche Sitemap der Domain). Personenbezogene Daten werden nicht übertragen.

Anthropic verarbeitet API-Eingaben gemäß eigener Erklärung nicht zum Modell-Training. Verarbeitungsort: USA. Garantie: EU-Standardvertragsklauseln.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Google Search Console (optional)

Die Anbindung an die Google Search Console ist optional. Wird sie aktiviert, fordert RankingBase über Google OAuth 2.0 einen Refresh-Token an, mit dem wir API-Aufrufe gegen die GSC tätigen können (nur lesend, Scope webmasters.readonly). Der Token wird in unserer Datenbank gespeichert und kann jederzeit über den „Trennen"-Button in den Projekt-Einstellungen widerrufen werden — das Token wird dann sofort gelöscht.

8. Speicherdauer

Personenbezogene Daten werden so lange gespeichert wie der Zweck es erfordert bzw. wir gesetzlich (z. B. § 147 AO, § 257 HGB) zur Aufbewahrung verpflichtet sind. Konto-Daten werden nach Kündigung innerhalb von 30 Tagen gelöscht; Rechnungsdaten 10 Jahre.

9. Deine Rechte

Du hast nach der DSGVO unter anderem folgende Rechte:

Auskunft über deine gespeicherten Daten (Art. 15)
Berichtigung unrichtiger Daten (Art. 16)
Löschung („Recht auf Vergessenwerden", Art. 17)
Einschränkung der Verarbeitung (Art. 18)
Datenübertragbarkeit (Art. 20)
Widerspruch gegen Verarbeitungen auf Basis berechtigten Interesses (Art. 21)
Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3)
Beschwerde bei einer Aufsichtsbehörde — zuständig für uns ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Postfach 200444, 40102 Düsseldorf.

Zur Ausübung deiner Rechte genügt eine formlose E-Mail an mail@metz-media.de.

10. Keine automatisierte Entscheidungsfindung

Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO mit rechtlicher Wirkung für dich findet nicht statt. AI-gestützte Empfehlungen sind ausdrücklich Empfehlungen und werden nicht automatisch umgesetzt.

11. Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung an, wenn wir neue Features einführen oder sich Rechtslage / Auftragsverarbeiter ändern. Die jeweils aktuelle Version ist unter /datenschutz abrufbar; das Datum oben zeigt den Stand der letzten Änderung.