Datenschutzerklärung

Stand: 29. Mai 2026 · gilt für die Plattform smawax.app

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

SMAWAX GmbH
Salzufer 8, 10587 Berlin
Telefon: +49 (0) 30 577 008 123
E-Mail: info@smawax.com

Weitere Angaben findest du in unserem Impressum.

2. Geltungsbereich

Diese Datenschutzerklärung gilt ausschließlich für die SaaS-Plattform unter der Domain smawax.app sowie alle dort angebotenen Funktionen (AI Visibility Check, Prompt Studio, Knowledge Hub, Blog, Dashboard, Tool-Center). Für die Marketing-Website unter smawax.com gilt eine eigene Datenschutzerklärung.

3. Server-Logfiles und Hosting

Bei jedem Aufruf von smawax.app werden durch unseren Hosting-Anbieter automatisch technische Informationen verarbeitet, die der Browser deines Endgeräts übermittelt:

• Browsertyp und -version
• Betriebssystem
• Referrer-URL (zuvor besuchte Seite)
• aufgerufene Unterseiten
• Datum und Uhrzeit der Anfrage
• IP-Adresse in gekürzter, pseudonymisierter Form

Diese Daten werden zur Sicherstellung des Betriebs, zur Abwehr von Angriffen und zur Performance-Optimierung verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen und sicheren Betrieb).

4. Cookies und vergleichbare Technologien

Wir setzen Cookies (HTTP-Cookies) sowie vergleichbare Browser-Speicher-Technologien (sessionStorage und, im eingebetteten WordPress-Widget, je nach Konfiguration auch localStorage) ein. Die folgende Auflistung ist nach den Kategorien unseres Cookie-Banners gegliedert. Technisch notwendige Cookies und Speicherwerte werden für Login, Zugriffsschutz, Rate-Limits und Formularfunktionen verwendet. Statistik- und Marketing-Technologien werden nur nach deiner Auswahl im Cookie-Banner geladen.

4.1 Notwendige Cookies

Diese Cookies sind für den Betrieb der Plattform unbedingt erforderlich. Sie speichern u. a. deine Anmeldung, schützen Login-Flows und sichern passwortgeschützte Bereiche ab. Eine Einwilligung ist hierfür nicht erforderlich. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. b und f DSGVO.

• sb-nrjjwthvxfjvignewdmt-auth-token* — Anbieter: Supabase Inc. · Zweck: Anmelde-Session inkl. Auth-Token, Token-Refresh und Expiry-Tracking (SameSite=Lax, ggf. in mehrere Cookie-Teile aufgeteilt) · Dauer: bis zu 400 Tage oder bis zum Logout
• sb-nrjjwthvxfjvignewdmt-auth-token-code-verifier — Anbieter: Supabase Inc. · Zweck: temporärer PKCE-Code-Verifier während Magic-Link- oder OAuth-Anmeldung · Dauer: kurzzeitig während des Login-Flows
• smawax-auth — Anbieter: SMAWAX GmbH (eigen) · Zweck: HMAC-signiertes Token für Zugriff auf passwortgeschützte Bereiche bei aktiver Site-Protection (HTTPOnly, Secure, SameSite=Lax) · Dauer: 30 Tage
• CookieConsent — Anbieter: Cookiebot (Cybot A/S, Kopenhagen) · Zweck: Speicherung deiner Cookie-Entscheidung sowie pseudonymisierter Consent-ID gemäß § 25 TDDDG · Dauer: bis zu 12 Monate
• OAuth-Cookies bei Google-Anmeldung (APISID, HSID, SAPISID u. a.) — Anbieter: Google Ireland Ltd. · Zweck: Durchführung des OAuth-2.0-Flows bei Login mit Google bzw. Verbindung der Google Search Console. Diese Cookies werden auf Google-Domains gesetzt und von Google verwaltet; wir haben darauf keinen Einfluss.

4.2 Funktionale Browser-Speicherung (sessionStorage)

Zusätzlich zu Cookies nutzen wir sessionStorage, eine Browser-API zur kurzfristigen Speicherung im Endgerät. Die Daten verbleiben grundsätzlich lokal in deinem Browser und werden nur dann an unsere Server übermittelt, wenn sie für eine konkrete Funktion erforderlich sind (z. B. Token-Login oder Start eines Checks). Beim Schließen des Tabs werden sie automatisch gelöscht. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. b und f DSGVO.

• Rate-Limit-Tracking auf der Check-Seite — Tagesdatum und Zählwert zur Begrenzung anonymer Checks (max. 3 kostenlose Checks/Tag), zum Schutz vor Missbrauch

In nicht-öffentlich zugänglichen Mitarbeiter- und Partnerbereichen (Admin-, Intern- und Group-Portal der Smarketer Group) werden zusätzlich technisch notwendige Auth-Tokens und Workflow-Status im sessionStorage abgelegt. Da diese Bereiche ausschließlich eingeloggten Smarketer-Mitarbeitenden und vertraglich angebundenen Partnern offenstehen, werden die Details dort separat im internen Datenschutzhinweis erläutert und sind nicht Gegenstand dieser öffentlichen Datenschutzerklärung.

4.3 Kein localStorage

Die SaaS-App unter smawax.app verwendet im Anwendungscode kein localStorage. Das separat eingebettete WordPress-Widget kann für die Rate-Limit-Anzeige je nach Konfiguration localStorage verwenden (saic_check_count, saic_check_date); bei Session-Konfiguration nutzt es stattdessen sessionStorage.

4.4 Statistik und Marketing nach Einwilligung

Analyse- und Marketing-Tracking erfolgt ausschließlich nach deiner expliziten Einwilligung über unseren Cookie-Banner. Vor der Einwilligung werden die entsprechenden Dienste nicht geladen.

Google Tag Manager und Google Analytics 4 (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) werden ausschließlich nach deiner ausdrücklichen Einwilligung in die Kategorie „Statistik“ geladen. Über GTM und GA4 erfolgt vor deiner Statistik-Einwilligung keine Datenübermittlung an Google. GA4 verwendet IP-Anonymisierung und überträgt aggregierte Nutzungsdaten in die USA an Google LLC. Die Übermittlung erfolgt auf Basis der Standardvertragsklauseln gemäß Art. 46 DSGVO sowie ergänzend auf Grundlage der Zertifizierung von Google LLC unter dem EU-US Data Privacy Framework (Art. 45 DSGVO). Verwendete Container-ID: GTM-PMW4VQWR, Measurement-ID: G-HSGETFR92Z. Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Du kannst deine Einwilligung jederzeit über das Cookie-Icon unten rechts widerrufen.

Vercel Speed Insights (Vercel Inc., USA) wird erst nach Einwilligung in die Kategorie „Statistik“ geladen. Der Dienst misst technische Web-Vital-Metriken (z. B. LCP, INP, CLS) und setzt in der App keine Cookies. Rechtsgrundlage: § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO.

Auf /knowledge ist ein YouTube-Nocookie-Video eingebettet. YouTube kann beim Laden oder Abspielen eigene Cookies oder vergleichbare Speichertechnologien verwenden. Dieser Dienst gehört zur Kategorie „Marketing“.

Weitere Werbe- und Tracking-Dienste (z. B. Meta Pixel, LinkedIn Insight Tag, TikTok Pixel) sind aktuell nicht eingebunden. Falls solche Dienste künftig hinzukommen, werden sie hier dokumentiert und über den Cookie-Banner gesteuert.

4.5 Aktuelle Cookie-Liste

Eine jeweils tagesaktuelle, von Cookiebot automatisch gepflegte Liste aller bei deinem aktuellen Besuch erkannten Cookies findest du in Abschnitt 16 dieser Datenschutzerklärung.

5. Cookie-Consent-Management (Cookiebot)

Zur Verwaltung von Cookie-Einwilligungen setzen wir das Tool Cookiebot der Cybot A/S, Havnegade 39, 1058 Kopenhagen, Dänemark ein. Cookiebot ist Auftragsverarbeiter und speichert deine Cookie-Entscheidung sowie eine pseudonymisierte ID bis zu 12 Monate lang. Die konkrete Cookie-Liste findest du am Ende dieser Erklärung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung aus Art. 7 DSGVO und § 25 TDDDG zur Dokumentation der Einwilligung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an rechtssicherer Einwilligungsverwaltung).

6. Nutzerkonto und Anmeldung

Für die Nutzung der kostenpflichtigen und Lead-gegateten Funktionen (Check Unlock, Check GEO, Pro, Dashboard) musst du dich mit deiner E-Mail-Adresse registrieren. Die Anmeldung erfolgt passwortlos über einen Magic Link, der per E-Mail versendet wird.

Verarbeitete Daten: E-Mail-Adresse, gewählter Tarif, Anmeldezeitpunkt, IP-Adresse beim Login, Browser-User-Agent.

Bei der Registrierung über /signup erfassen wir zusätzlich Vor- und Nachname sowie deine Website (Pflichtfelder). Optional kannst du angeben, woher du SMAWAX kennst und uns eine Nachricht hinterlassen — diese Angaben sind freiwillig. Du kannst alle Profilangaben jederzeit unter /dashboard/settings einsehen und ändern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), für die Lead-Erfassung bei Check Unlock zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

6a. Newsletter (optional)

Bei der Registrierung kannst du dich freiwillig für unseren Newsletter eintragen. Wir versenden in unregelmäßigen Abständen Informationen zu KI-Sichtbarkeit, Produkt-Updates und Veröffentlichungen. Verarbeitet werden dafür deine E-Mail-Adresse und — soweit angegeben — dein Vor- und Nachname.

Versanddienstleister: Brevo SAS, Paris, Frankreich (siehe Abschnitt 8.4). Du kannst dich jederzeit über den Abmelde-Link in jeder Newsletter-Mail oder über den Newsletter-Schalter unter /dashboard/settings abmelden. Den Zeitpunkt deiner Einwilligung und jeden Widerruf protokollieren wir zum Nachweis.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

7. AI Visibility Checks und Domain-Analysen

Wenn du eine Domain in unsere Plattform eingibst, werden zur Analyse der KI-Sichtbarkeit verschiedene öffentlich zugängliche Datenquellen abgefragt (Suchmaschinen, KI-Systeme, SEO-Drittanbieter). Dabei werden ausschließlich die eingegebene Domain sowie generische Such- bzw. Eingabeprompts verarbeitet — keine personenbezogenen Daten.

Die Ergebnisse werden in unserer Datenbank gespeichert und mit deinem Nutzerkonto verknüpft, sofern du angemeldet bist. Anonyme Checks werden über eine pseudonymisierte IP-Hash zur Rate-Limit-Kontrolle erfasst, ohne Zuordnung zu deiner Person.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Missbrauchsschutz).

8. Eingesetzte Dienstleister (Auftragsverarbeiter)

Wir setzen für den Betrieb von smawax.app folgende Dienstleister ein. Mit allen außereuropäischen Anbietern bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO.

8.1 Hosting und Infrastruktur

• Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA — Hosting der Web-Plattform in der EU-Region Frankfurt (fra1) sowie Vercel Speed Insights nach Statistik-Einwilligung (anonyme, Cookie-lose Erfassung technischer Web-Vital-Metriken zur Performance-Optimierung; siehe Abschnitt 4.4). Datenübermittlung in die USA möglich, gesichert durch SCC.
• Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992 — Datenbank, Auth, Storage. Hosting in der EU-Region Frankfurt (eu-central-1). Datenübermittlung in Drittländer möglich, gesichert durch SCC.

8.2 Zahlungsabwicklung

• Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland — Abwicklung kostenpflichtiger Tarife, sobald der Stripe-Checkout in der Plattform aktiviert ist. Stripe verarbeitet Zahlungsinformationen eigenverantwortlich. Datenschutzerklärung: stripe.com/de/privacy.

8.3 KI-Verarbeitung

• Anthropic PBC, 548 Market St PMB 90375, San Francisco, CA 94104, USA — Bereitstellung von Claude-LLMs für unsere Analyse- und Auswertungs-Pipelines. Datenübermittlung in die USA, gesichert durch SCC.
• OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, Irland — Bereitstellung von GPT-Modellen für die Auswertung. Verarbeitung in der EU; Datenübermittlung in die USA durch OpenAI möglich, gesichert durch SCC.

Wir übermitteln an die KI-Anbieter ausschließlich Such-Prompts und Domain-Strings, keine personenbezogenen Daten unserer Nutzer.

8.4 E-Mail-Versand und Lead-Management

• Brevo SAS, 106 boulevard Haussmann, 75008 Paris, Frankreich — Versand transaktionaler E-Mails (Magic Links, Bestätigungen), Lead-Management (Check-Unlock- und Signup-Leads) sowie — bei expliziter Einwilligung — Versand des SMAWAX-Newsletters.

In deinem Brevo-Kontaktprofil pflegen wir zwei separate Wahr/Falsch-Attribute, um Pflicht- und Einwilligungs-Zweck klar zu trennen:

• DSGVO_ZUSTIMMUNG — dokumentiert, dass du die Datenschutzerklärung zur Kenntnis genommen hast (Art. 6 Abs. 1 lit. b DSGVO, Vertragserfüllung). Wird einmalig beim ersten Signup oder Magic-Link-Klick auftrue gesetzt.
• MARKETING_CONSENT — dokumentiert deine Newsletter-Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Steuerbar über den Newsletter-Toggle unter /dashboard/settings oder den Abmelde-Link in jeder Newsletter-E-Mail. Unabhängig vom Dashboard-Zugang — Abbestellen sperrt nicht das Konto.

8.5 Workflow-Orchestrierung

• n8n GmbH, Tempelhofer Ufer 11, 10963 Berlin, Deutschland — Workflow Engine für Hintergrund-Verarbeitung (Check-Ausführung, KI-Auswertungen).

8.6 SEO- und Daten-Drittanbieter

Für die Anreicherung der Analyse-Ergebnisse rufen wir öffentlich zugängliche Daten Dritter ab. Dabei wird die eingegebene Domain als Suchparameter übermittelt — keine personenbezogenen Daten.

• SerpApi (Serp Inc., USA) — Abruf von Suchmaschinen-Rankings. Datenübermittlung in die USA, gesichert durch SCC.
• Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland — PageSpeed Insights API, Chrome UX Report, Google Knowledge Graph, Search Console und Google Ads (jeweils per User-OAuth, wenn aktiv verbunden) sowie — ausschließlich nach Statistik-Einwilligung über den Cookie-Banner — Google Tag Manager (Container-ID GTM-PMW4VQWR) und Google Analytics 4 (Measurement-ID G-HSGETFR92Z) für Reichweiten- und Nutzungsanalyse.
• Sistrix GmbH, Humboldtstraße 32, 53115 Bonn, Deutschland — Abruf von SEO-Sichtbarkeitsdaten.
• Seobility GmbH, Würzburger Straße 8, 90766 Fürth, Deutschland — Abruf technischer SEO-Kennzahlen.
• SimilarWeb Ltd., 8 Hatzoran Street, Netanya 4250602, Israel — Abruf aggregierter Traffic-Schätzungen. Israel ist von der EU-Kommission als sicheres Drittland anerkannt (Angemessenheitsbeschluss).
• Microlink Tech S.L., Madrid, Spanien — Screenshot-Rendering der eingegebenen Domain für die Darstellung in Check-Reports. Verarbeitung innerhalb der EU.

8.7 Google Search Console (optional, per User-OAuth)

Wenn du im Dashboard deine Google Search Console verbindest, speichern wir einen mit AES-256-GCM verschlüsselten Refresh-Token in unserer Datenbank. Eine Trennung der GSC-Daten vom übrigen Nutzerkonto erfolgt über strikte Row-Level-Security. Beim Disconnect oder bei der Kontolöschung wird der Token vollständig entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung).

9. Weitergabe an Unternehmen der Smarketer Group

Soweit für die Erbringung interner Dienstleistungen (Kundenbetreuung, Vertriebs-Vorgänge, gruppenweites Reporting) erforderlich, geben wir Daten innerhalb der Smarketer Group weiter. Empfänger sind insbesondere:

• Smarketer Holding GmbH
• Smarketer GmbH
• Amzell GmbH
• WLO.social GmbH
• adsxpress GmbH
• summ-it GmbH

Alle Gruppenunternehmen unterliegen demselben Datenschutzniveau. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Konzernverwaltung) sowie ggf. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

10. Datenübermittlung in Drittländer

Soweit Daten an Auftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums übermittelt werden (insbesondere USA), erfolgt dies auf Basis von Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO. Für Anbieter, die unter dem EU-US Data Privacy Framework zertifiziert sind, gilt ergänzend Art. 45 DSGVO (Angemessenheitsbeschluss).

11. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten (z. B. Steuer- und Handelsrecht) eine längere Speicherung verlangen.

• Nutzerkonten: bis zur Löschung durch dich oder Inaktivität ab 24 Monaten
• Check-Ergebnisse: 24 Monate, Pro-Tarif unbegrenzt während der Vertragslaufzeit
• Server-Logfiles: maximal 30 Tage
• Zahlungsbelege: 10 Jahre gemäß § 147 AO
• Lead-Daten (Check Unlock): bis zum Widerruf der Einwilligung

Du kannst dein Konto jederzeit selbst über Einstellungen → Sicherheit vollständig löschen lassen. Mit der Löschung werden alle zugeordneten Daten kaskadierend entfernt.

12. SSL-/TLS-Verschlüsselung

smawax.app wird ausschließlich über verschlüsselte HTTPS-Verbindungen ausgeliefert. Du erkennst die Verschlüsselung am Schloss-Symbol in deinem Browser.

13. Deine Rechte als betroffene Person

Du hast nach der DSGVO insbesondere folgende Rechte:

• Auskunft über die zu deiner Person verarbeiteten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
• Löschung deiner Daten (Recht auf Vergessenwerden, Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit in einem strukturierten Format (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung aus berechtigtem Interesse (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung deiner Rechte genügt eine formlose Mitteilung per E-Mail an info@smawax.com.

14. Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für die SMAWAX GmbH ist insbesondere zuständig:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59–61, 10555 Berlin
www.datenschutz-berlin.de

15. Aktualität und Änderung dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich technische Gegebenheiten oder Verarbeitungszwecke ändern. Es gilt jeweils die aktuelle, auf dieser Seite veröffentlichte Fassung.

16. Cookie-Übersicht

Die folgende Übersicht basiert auf der aktuellen technischen Prüfung der App. Die automatisch gepflegte Cookiebot-Erklärung darunter ergänzt diese Liste anhand des laufenden Cookie-Scans.

Impressum · AGB