1. Verantwortlicher im Sinne der DSGVO
- Verantwortlicher
- Helminger GmbH
Neubodendorf 52
4223 Katsdorf · Österreich - Vertretung
- Philipp Helminger, MA (Geschäftsführer)
- datenschutz@seolyze.com
- Telefon
- +43 676 9545751
- Aufsichtsbehörde
- Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
www.dsb.gv.at
Du kannst dich jederzeit mit einer Beschwerde an die österreichische Datenschutzbehörde wenden, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt.
2. Welche Daten wir verarbeiten
2.1 Beim Besuch der Website (ohne Anmeldung)
- Server-Log-Daten: IP-Adresse (gekürzt nach 7 Tagen), Browser-Typ, Referrer, Aufrufzeit, aufgerufene URL — für Sicherheit + Fehlerdiagnose.
- Technisch notwendige Cookies (Session, CSRF-Token, Sprache).
- Statistik (nur mit deinem Consent — siehe Abschnitt 6).
2.2 Bei Account-Anlage & Nutzung
- Stammdaten: E-Mail-Adresse, Name (optional), Sprache.
- Zahlungsdaten: nur bei kostenpflichtigen Abos. Verarbeitung über unseren Zahlungsdienstleister Stripe (Stripe Payments Europe, Ltd., Irland); für Bestandskunden mit laufenden Verträgen weiterhin über Frisbii Germany GmbH (siehe Abschnitt 4). Wir selbst speichern keine Kreditkarten- oder SEPA-Daten.
- Rechnungsdaten: Firmenname, Adresse, UID, Rechnungs-Nummern.
- Nutzungsdaten: Anzahl Analysen, durchgeführte AI-Generierungen, Credits-Verbrauch.
- Inhalte: Keywords, URLs, Texte und Dokumente die du in SEOlyze anlegst.
2.3 Bei Google-OAuth-Login (optional)
- Google-Account-ID, E-Mail-Adresse, Profilbild-URL — nur die Daten die du im Google-Consent-Screen freigibst.
- Bei Anbindung der Google Search Console: read-only Zugriff auf deine Site-Properties + Search-Performance-Daten. Diese Daten werden temporär gecached, niemals an Dritte weitergegeben.
3. Zwecke & Rechtsgrundlagen
Wir verarbeiten deine Daten auf folgenden Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO):
- Art. 6 (1) b — Vertragserfüllung: Account-Anlage, Nutzung der Software, Rechnungslegung, Support.
- Art. 6 (1) c — Rechtliche Verpflichtung: Aufbewahrungspflichten (z.B. Rechnungen 7 Jahre gem. § 132 BAO/§ 212 UGB).
- Art. 6 (1) f — Berechtigtes Interesse: Server-Logs für Sicherheit + Missbrauchs-Prävention, IT-Sicherheit, Service-Verbesserung in aggregierter Form.
- Art. 6 (1) a — Einwilligung: Statistik-Cookies, Marketing-Cookies, Newsletter, Beta-Wait-List für Public-Launch-Benachrichtigung (jederzeit widerrufbar — siehe Abschnitt 6a).
4. Auftragsverarbeiter (Sub-Prozessoren)
Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen jeweils ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO besteht:
- Hosting
- Server-Provider in Österreich/EU. Sitz EU — keine Drittlandübermittlung.
- E-Mail-Versand
- Brevo / Sendinblue SAS, Frankreich. Transaktionale E-Mails (Account-Bestätigung, Passwort-Reset, Rechnungen). EU-Server.
- Zahlungsabwicklung
- Stripe Payments Europe, Ltd., Irland (neue Abonnements) — Datenverarbeitung ggf. durch Stripe, Inc., USA, auf Basis EU-Standardvertragsklauseln (SCC). Für Bestandskunden mit laufenden Verträgen: Frisbii Germany GmbH (ehem. Billwerk), Deutschland. Jeweils Abo-Verwaltung, Rechnungsstellung, SEPA-/Kreditkarten-Verarbeitung.
- KI-Verarbeitung
- Google LLC (Gemini API), USA — siehe Abschnitt 5. Daten-Transfer auf Basis EU-Standardvertragsklauseln (SCC) + Data Privacy Framework.
- KI-Recherche / Citations
- Perplexity AI, Inc., USA. Übermittelt werden Recherche-/Such-Anfragen zur Quellen- und Zitat-Prüfung (keine Kunden-Stammdaten). Daten-Transfer auf Basis EU-Standardvertragsklauseln (SCC).
- SERP-Daten
- DataForSEO LLC, USA. Wir übermitteln nur Keywords (keine personenbezogenen Daten) zur Abfrage von Google-Suchergebnissen. SCC.
- Fact-Checking
- Semantic Scholar (Allen Institute for AI), USA. Übermittelt werden nur kurze Text-Snippets aus generierten Artikeln zur Quellen-Verifizierung.
- Web-Analytics
- Plausible Analytics — gehostet in Deutschland/EU. Cookie-frei, IP wird gehasht, keine personenbezogenen Profile.
- Bot-Schutz
- Cloudflare Turnstile (Cloudflare, Inc., USA) — Spam-/Bot-Abwehr bei Formularen (Registrierung, Kontakt, kostenloser KI-Check). Cookie-frei, wertet nur technische Signale des Browsers aus, kein personenbezogenes Tracking. Übermittlung auf Basis EU-Standardvertragsklauseln (SCC). Rechtsgrundlage: Art. 6 (1) f DSGVO (IT-Sicherheit).
- Web-Schriften
- Alle Schriftarten werden lokal von unseren eigenen Servern ausgeliefert. Es besteht keine Verbindung zu Google Fonts oder anderen externen CDN — es werden keine IP-Adressen an Dritte zur Schrift-Auslieferung übermittelt.
5. KI-Verarbeitung (Google Gemini, Perplexity)
Wichtig zu wissen
SEOlyze nutzt KI-Modelle (Google Gemini 2.5 Flash und vergleichbare) zur Generierung, Optimierung und Analyse von Texten. Wenn du in SEOlyze einen Text eingibst, eine Outline generierst oder eine WDF/IDF-Analyse startest, werden diese Inhalte an die KI-API gesendet.
Die Inhalte werden nicht für das Training der KI-Modelle verwendet (Google Cloud Customer Data Policy, Stand 2026). Übertragung erfolgt verschlüsselt (HTTPS/TLS). Server-Standort: USA — Übermittlung auf Basis EU-Standardvertragsklauseln (SCC) und EU-US Data Privacy Framework.
Falls du keine KI-Verarbeitung möchtest, kannst du KI-gestützte Features (AI Creation, Existing Content Refresh, Auto-Insights) einfach nicht nutzen — der Rest von SEOlyze (Rank Tracker, WDF/IDF-Analyse) funktioniert auch ohne KI-Calls.
6. Cookies & Tracking
Wir nutzen drei Kategorien von Cookies:
6.1 Technisch notwendig (kein Consent erforderlich)
- Session-Cookie (PHPSESSID) — Login-Status, Warenkorb. Lebensdauer: Browser-Session.
- CSRF-Token — Schutz vor Cross-Site-Request-Forgery-Angriffen.
- Sprach-Cookie — gewählte Oberflächen-Sprache. Lebensdauer: 1 Jahr.
- Cookie-Consent-Cookie — speichert deine Cookie-Wahl. Lebensdauer: 12 Monate.
Rechtsgrundlage: Art. 6 (1) f DSGVO (berechtigtes Interesse) bzw. § 96 (3) TKG 2003 (technisch erforderlich).
6.2 Statistik (Opt-in)
- Plausible Analytics — anonymisierte Besucher-Zahlen. Cookie-frei, IP wird gehasht. Datenverarbeitung in Deutschland/EU.
Rechtsgrundlage: Art. 6 (1) a DSGVO (Einwilligung).
6.3 Marketing (Opt-in)
Aktuell verwenden wir keine Marketing-Cookies oder Retargeting-Pixel.
Du kannst deine Cookie-Einstellungen jederzeit über den Link "Cookie-Einstellungen" im Footer ändern.
6a. Beta-Wait-List & Launch-Benachrichtigung
Wenn du dich auf unserer Vorlaunch-Seite für die Public-Launch-Benachrichtigung einträgst, verarbeiten wir folgende Daten:
- Daten
- Name + E-Mail-Adresse
- Zweck
- Einmalige Benachrichtigung wenn wir SEOlyze öffentlich starten (One-Time-Mail)
- Rechtsgrundlage
- Art. 6 (1) a DSGVO (deine ausdrückliche Einwilligung)
- Speicherdauer
- Bis zum Widerruf oder 12 Monate nach Public Launch (je nachdem was früher eintritt)
- Empfänger
- Brevo SAS (Transaktions-Mail-Versand), Sitz in der EU. Auftragsverarbeitungsvertrag (Art. 28 DSGVO) liegt vor.
Double-Opt-In-Verfahren
Nach Absenden des Formulars senden wir dir eine Bestätigungs-Mail. Erst wenn du auf den Bestätigungs-Link klickst, wird deine Adresse für den späteren Launch-Versand aktiviert. Ohne Bestätigung löschen wir den vorläufigen Eintrag nach 30 Tagen.
Widerrufsrecht
Du kannst deine Einwilligung jederzeit widerrufen — auf zwei Wegen:
- Klick auf den Abmelde-Link in jeder Mail die wir dir schicken
- E-Mail an datenschutz@seolyze.com
Nach Widerruf werden deine Daten innerhalb von 7 Tagen gelöscht.
Gespeicherte Daten zum Nachweis (Art. 7 DSGVO)
Zur Nachweispflicht nach Art. 7 (1) DSGVO speichern wir zusätzlich:
- Zeitpunkt des Formular-Submits
- Zeitpunkt des Bestätigungs-Klicks (DOI)
- IP-Adresse und Browser-User-Agent zum Zeitpunkt des Submits
- Genauer Wortlaut des Einwilligungs-Textes den du akzeptiert hast
Diese Daten dienen ausschließlich dem Nachweis, dass deine Einwilligung tatsächlich erfolgt ist — falls eine Behörde nachfragt.
7. Speicherdauer
- Account-Daten: solange du einen Account hast + 30 Tage Grace-Period nach Kündigung.
- Rechnungen + Buchhaltungsdaten: 7 Jahre (§ 132 BAO).
- Server-Logs: 30 Tage (IP nach 7 Tagen gekürzt).
- Inhalte (Artikel, Analysen): bis du sie selbst löschst oder dein Account gelöscht wird.
- E-Mail-Marketing: bis Widerruf.
- Beta-Wait-List: bis Widerruf oder 12 Monate nach Public Launch (je nachdem was früher eintritt). Bei Widerruf Löschung innerhalb von 7 Tagen.
8. Deine Rechte als Betroffener
Du hast jederzeit folgende Rechte gemäß DSGVO:
- Auskunft (Art. 15) — welche Daten wir über dich haben.
- Berichtigung (Art. 16) — falsche Daten korrigieren lassen.
- Löschung (Art. 17) — „Recht auf Vergessenwerden" (soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen).
- Einschränkung (Art. 18) — Verarbeitung pausieren.
- Datenübertragbarkeit (Art. 20) — Daten in maschinenlesbarem Format (JSON/CSV) erhalten.
- Widerspruch (Art. 21) — gegen Verarbeitung auf Basis berechtigten Interesses.
- Widerruf der Einwilligung (Art. 7 Abs. 3) — für alle Opt-in-Verarbeitungen jederzeit mit Wirkung für die Zukunft.
- Beschwerde bei Aufsichtsbehörde (Art. 77) — Österreichische Datenschutzbehörde (Adresse siehe oben).
Für die Ausübung deiner Rechte schreib einfach an datenschutz@seolyze.com. Wir antworten innerhalb von 30 Tagen (gesetzliche Frist).
9. Sicherheit der Datenverarbeitung
- HTTPS/TLS-Verschlüsselung für alle Verbindungen (mind. TLS 1.2).
- Passwörter werden gesalzen + gehasht gespeichert (bcrypt).
- Sensitive Daten (WordPress-API-Tokens etc.) AES-256-GCM-verschlüsselt at-rest.
- Rollen- und Berechtigungs-System (Owner/Admin/Editor/Viewer).
- Audit-Log über alle relevanten Datenänderungen.
- CSRF-Schutz auf allen schreibenden Endpoints.
- Schutz gegen Brute-Force-Login-Versuche.
- Regelmäßige Sicherheits-Reviews und Updates.
10. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage ändert oder wir neue Features einführen. Über wesentliche Änderungen informieren wir dich per E-Mail an deine hinterlegte Adresse.
Schneller Kontakt bei Datenschutz-Fragen
datenschutz@seolyze.com — wir antworten in der Regel innerhalb von 48 Stunden, spätestens innerhalb der gesetzlichen Frist von 30 Tagen.