Datenschutzerklärung

1. Verantwortliche Stelle (Art. 13 Abs. 1 lit. a DSGVO)

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG) ist:

Es besteht keine gesetzliche Verpflichtung zur Bestellung eines Datenschutzbeauftragten (§ 38 BDSG). Bei Datenschutzfragen wenden Sie sich bitte direkt an die oben genannte verantwortliche Stelle.

1b. Rolle nach DSGVO (Verantwortlicher / Auftragsverarbeitung)

Rankmio ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Verarbeitung Ihrer Stamm-, Zugangs- und Nutzungsdaten (z. B. Registrierung, Login, Aboverwaltung).

Soweit wir personenbezogene Daten im Rahmen der Nutzung unserer Plattform im Auftrag unserer Nutzer verarbeiten (z. B. bei der Analyse von Webseiteninhalten, der Nutzung von KI-Funktionen oder dem Abruf von Google-Search-Console-Daten), handeln wir als Auftragsverarbeiter gemäß Art. 28 DSGVO. Der jeweilige Nutzer bleibt in diesen Fällen Verantwortlicher für die von ihm eingebrachten Daten.

2. Erhobene Daten, Verarbeitungszwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Erbringung unserer Leistungen erforderlich ist oder Sie uns hierfür Ihre Einwilligung erteilt haben.

2.1 Registrierung und Login

Beim Anlegen eines Nutzerkontos verarbeiten wir folgende Daten:

• Vorname und Nachname
• E-Mail-Adresse (dient gleichzeitig als Login-Name)
• Passwort — wird ausschließlich als kryptografischer Einweg-Hash (bcrypt, Cost-Faktor 12) gespeichert; das Klartext-Passwort ist dem Anbieter zu keinem Zeitpunkt bekannt
• IP-Adresse bei Registrierung und Login (zur Missbrauchserkennung und für Rate-Limiting)
• Session-Cookie zur Authentifizierung (siehe § 6)

Zweck: Erstellung und Verwaltung des Nutzerkontos, Authentifizierung, Kontaktaufnahme bei technischen oder vertraglichen Mitteilungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 Nutzungsdaten

Bei jedem Seitenaufruf werden technische Zugriffsdaten erhoben:

• IP-Adresse des zugreifenden Geräts — wird nach spätestens 30 Tagen automatisch anonymisiert und kann danach nicht mehr einer Person zugeordnet werden
• Seitenzugriffe, Zeitstempel, verwendeter Browser und Betriebssystem
• Session-Daten über ein technisch notwendiges Sitzungs-Cookie

Zweck: Sicherstellung des technischen Betriebs, Erkennung von Missbrauch und Angriffen (Rate-Limiting), Fehlerbehebung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

2.3 Projekte und Domains

Zur Erbringung der Analysefunktionen verarbeiten wir projektbezogene Daten:

• Projektname und zugehörige Domain (URL)
• Projekteinstellungen (z. B. Conversion Rate, durchschnittlicher Bestellwert)
• Google Search Console Property (bei aktiver GSC-Verbindung, siehe § 2.6)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.4 Website-Analyse

Zur Erbringung der SEO-Analysefunktionen verarbeiten wir:

• Von Ihnen eingegebene URLs, die zur Analyse an externe APIs übermittelt werden (Google PageSpeed Insights API)
• PageSpeed-Ergebnisse: Performance-, SEO-, Accessibility- und Best-Practices-Scores (mobil und desktop), Core Web Vitals (LCP, FCP, TBT, CLS, SI, TTI, TTFB), Seitengewicht, Optimierungspotenziale
• Crawler-Daten: Title-Tag, Meta-Description, H1-H6-Überschriften, HTTP-Status, Redirect-Chain, finale URL, robots.txt-Status, Schema.org-Markup
• Berechneter Sichtbarkeitsindex der Website
• KI-generierte Handlungsempfehlungen (optional, auf Anforderung — technische Messwerte werden an die OpenAI API übermittelt; es werden grundsätzlich keine personenbezogenen Nutzerdaten wie Name oder E-Mail-Adresse übermittelt, siehe Hinweis in § 3)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.5 Unterseiten-Analyse

Die Unterseiten-Analyse ermöglicht die gezielte Prüfung einzelner Seiten einer Website auf Performance, SEO und Technik:

• Die vollständige URL der zu analysierenden Unterseite
• PageSpeed-Ergebnisse (Mobile & Desktop): Performance-, SEO-, Accessibility- und Best-Practices-Scores, Core Web Vitals, Optimierungspotenziale
• Crawler-Daten: Title-Tag, Meta-Description, H1-H6-Überschriften, HTTP-Status, Redirect-Chain, finale URL, robots.txt-Status
• Berechneter Sichtbarkeitsindex der Unterseite
• Optionale KI-Analyse: Technische Messwerte werden an die OpenAI API übermittelt (grundsätzlich keine personenbezogenen Nutzerdaten, siehe Hinweis in § 3)

Die Ergebnisse werden in der Datenbank gespeichert und nach 90 Tagen automatisch gelöscht. Bei Konto- oder Projekt-Löschung werden alle Daten sofort entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.6 Keyword-Hub und Google Search Console (optional)

Nur wenn Sie die Google Search Console-Verbindung aktiv herstellen (über Google OAuth 2.0), verarbeiten wir:

• OAuth-Zugangsdaten zur Google-Verbindung — werden mit AES-256-CBC verschlüsselt gespeichert
• Google Search Console Property (Ihre zugewiesene Website-Adresse)
• Aggregierte Suchanfragen-Daten: Suchbegriff (Query), Seiten-URL, Klicks, Impressionen, CTR, durchschnittliche Position — dabei handelt es sich ausschließlich um anonymisierte, von Google aggregierte Messwerte ohne Rückschluss auf einzelne Suchende
• Tagesgenaue Metriken (Klicks, Impressionen, Ø Position) der letzten 90 Tage für Verlaufsgraph und Trend-Erkennung (Rising/Falling-Badges)
• Kannibalisierungs-Erkennung: Automatische Identifikation von Queries, die auf mehreren Seiten ranken

Keyword-Enrichment (optional): Wenn Sie die DataForSEO-Anreicherung nutzen, werden Keywords an die DataForSEO API übermittelt, um Suchvolumen, Wettbewerb und CPC-Daten zu ergänzen (siehe § 3.5). Es werden dabei grundsätzlich keine personenbezogenen Nutzerdaten übermittelt.

Sie können die GSC-Verbindung jederzeit unter Google Search Console → Verbindung trennen aufheben, woraufhin alle OAuth-Tokens sofort und unwiderruflich gelöscht werden. Bereits synchronisierte Suchanfragen-Daten werden nach 90 Tagen automatisch gelöscht oder bei Konto-Löschung sofort entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für die GSC-Analysefunktion).

2.7 Opportunity-Analyse und KI-Aktionsplan

Nach jedem GSC-Datenabruf berechnet Rankmio automatisch Traffic-Potenziale für Ihre Keywords. Dazu werden die aggregierten GSC-Suchanfragen-Daten (§ 2.6) lokal ausgewertet. Es findet dabei keine Übermittlung an externe Dienste statt.

KI-Aktionsplan (optional): Auf Anforderung werden folgende Daten an die OpenAI API übermittelt — grundsätzlich keine personenbezogenen Nutzerdaten (siehe § 3):

• Die Domain Ihres Projekts
• Top-10-Keywords der Opportunity-Analyse mit: Suchbegriff, Ø Position, erwartetem Traffic-Gewinn (inkl. Konfidenzintervall), Konfidenz-Score, Intent-Typ und automatisch generierter Empfehlung
• Conversion Rate und Ø Bestellwert (sofern eingetragen, rein numerisch)

CTR-Snippet-Optimierung (optional): Auf Anforderung werden Keyword, Domain, Ø Position, CTR-Werte und Intent-Typ an die OpenAI API übermittelt. Die Ergebnisse werden nicht serverseitig gespeichert (nur im Browser).

Content-Brief (optional): Auf Anforderung werden Keyword, Domain, Ø Position, Impressionen und Intent-Typ an die OpenAI API übermittelt. Die Ergebnisse werden nicht serverseitig gespeichert (nur im Browser).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auslösung der jeweiligen KI-Funktion, z. B. Klick auf „Analyse starten") sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.8 Wettbewerber-Analyse

Im Bereich Wettbewerber-Analyse stehen mehrere Funktionen zur Verfügung:

a) Schnellvergleich: Vergleich Ihrer Website mit einer Wettbewerber-URL anhand öffentlich zugänglicher Daten (PageSpeed, Sichtbarkeit, technische Metriken). Die Wettbewerber-URL wird an die Google PageSpeed Insights API übermittelt.

b) Tiefenanalyse: Auf Anforderung werden bis zu 3 Wettbewerber-Domains gecrawlt (bis zu 50–100 Seiten pro Domain). Pro gecrawlter Seite werden Seitentitel, H1-H6-Überschriften, bereinigter Textauszug (max. 300 Zeichen), HTTP-Status und URL-Pfad erfasst. Technische Seitendaten werden an die OpenAI API übermittelt zur vergleichenden Analyse. Es werden grundsätzlich keine personenbezogenen Nutzerdaten übermittelt (siehe § 3). Pro Projekt wird maximal eine Tiefenanalyse aufbewahrt.

c) Battle: Direkter SEO- und KI-Vergleich zwischen Ihrer Website und einer Wettbewerber-URL mit Fokus-Keyword und optionalem Ort. Gecrawlte Seitendaten werden an die OpenAI API übermittelt. Max. 10 Battles pro Nutzer.

d) Sitemap-Monitor: Regelmäßige Überwachung der Wettbewerber-Sitemaps auf Änderungen (neue/entfernte Seiten). Es werden nur öffentlich zugängliche sitemap.xml-Dateien abgerufen.

Es werden bei keiner der Wettbewerber-Funktionen grundsätzlich personenbezogene Nutzerdaten an externe Dienste übermittelt (siehe § 3).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

2.9 GEO-Modul — KI-Sichtbarkeitsanalyse (optional)

Das GEO-Modul (Generative Engine Optimization) bietet mehrere KI-gestützte Analysefunktionen zur Optimierung Ihrer Website für KI-Suchmaschinen. AI-Sichtbarkeitsdaten (z. B. Citability Score, Entity Coverage, KI-Sichtbarkeitsvergleich) werden lokal auf Basis öffentlich zugänglicher Website-Daten berechnet — dabei werden grundsätzlich keine personenbezogenen Nutzerdaten an KI-Dienste übermittelt (siehe § 3). Folgende Daten werden verarbeitet:

• AI Visibility Audit: Ihre Domain wird gecrawlt. Für jede Seite werden URL, Titel, H1, Textauszug, HTTP-Status, Schema.org-Daten und Freshness-Signale (Last-Modified, dateModified) erfasst. Technische Seitendaten werden an die OpenAI API übermittelt zur Bewertung der Themenabdeckung und KI-Tauglichkeit.
• Link-Analyse: Interne Verlinkungsstruktur wird lokal analysiert — keine externe Datenübermittlung.
• Zitierbarkeits-Check: Seitentext wird an die OpenAI API übermittelt zur Prüfung der KI-Zitierfähigkeit anhand einer mehrstufigen Checkliste. Ergebnis wird nicht persistent gespeichert.
• Entity-Gap Analyse: Eigene Entitäten und bis zu 3 Wettbewerber-URLs werden gecrawlt und an die OpenAI API übermittelt. Ergebnis wird nicht persistent gespeichert.
• Schema.org Generator: Seitendaten (URL, Titel, H1, Textauszug) werden an die OpenAI API übermittelt — generiertes JSON-LD wird in der Datenbank gespeichert.
• AI Citation Tracking: Keywords werden an die DataForSEO API übermittelt zur Prüfung von Google AI Overview-Zitierungen. Ergebnisse werden in der Datenbank gespeichert und nach 90 Tagen gelöscht.

Die robots.txt der Domain wird zur Prüfung des KI-Crawler-Zugangs analysiert. Max. 5 Audits pro Projekt; ältere werden automatisch gelöscht. Alle GEO-Daten werden spätestens nach 90 Tagen bereinigt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auslösung der jeweiligen GEO-Funktion) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

2.10 Sitemap-Hub (optional)

Auf Anforderung können Sie eine KI-gestützte Sitemap-Analyse für ein Projekt durchführen lassen:

• Ihre Domain wird per Spider-Crawl intern durchsucht (nur interne Seiten)
• Pro URL: HTTP-Status, Seitentitel (max. 80 Zeichen), H1 (max. 80 Zeichen), bereinigter Textauszug (max. 300 Zeichen), SHA1-Hash des Textauszugs
• Bestehende sitemap.xml (URL-Liste und lastmod-Daten) — nur lesend

KI-Verarbeitung: Technische Seitendaten (URL-Pfad, Titel, H1, Textauszug) werden in Batches an die OpenAI API (GPT-4o-mini) übermittelt. Die KI bewertet jede URL als wertvoll oder minderwertig. Zusätzlich wird ein KI-Audit-Summary erstellt. Es werden grundsätzlich keine personenbezogenen Nutzerdaten übermittelt (siehe § 3).

Pro Projekt wird maximal eine Analyse aufbewahrt. Alle Sitemap-Daten werden spätestens nach 90 Tagen bereinigt. Bei Konto- oder Projekt-Löschung werden alle Daten sofort entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auslösung der KI-Analyse) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

2.11 robots.txt-Tool (optional)

Im robots.txt-Tool werden folgende Daten verarbeitet:

• Editor: Der Inhalt Ihrer robots.txt-Datei wird als Versionshistorie gespeichert (technische Konfigurationsdaten ohne Personenbezug)
• Monitoring: Bei aktivierter Überwachung wird Ihre Domain regelmäßig (per Cron alle 30 Minuten) auf Änderungen der robots.txt-Datei geprüft. Gespeichert werden: Domain-URL, Prüfintervall, Zeitstempel, SHA256-Hash des Inhalts
• KI-Analyse (optional): Der robots.txt-Inhalt wird an die OpenAI API übermittelt zur Bewertung und Regelgenerierung — grundsätzlich keine personenbezogenen Nutzerdaten (siehe § 3)

Bei erkannten Änderungen erhalten Sie eine Plattform-Benachrichtigung. Alle robots.txt-Daten werden bei Projekt- oder Konto-Löschung sofort entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auslösung der KI-Analyse) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

2.12 Content Optimizer und Seiten-Analyse (optional)

Auf Anforderung können Sie bestehende Texte oder URLs analysieren und optimieren lassen:

• Die vollständige URL der zu analysierenden Seite (URL-Modus) oder ein eingegebener Text (Text-Modus)
• Gecrawlte Seitendaten: Titel, Meta-Description, H1-H6-Überschriften, Wortanzahl, Schema.org-Markup, Bilder (nur alt-Attribute und Anzahl)
• Strukturierter Seitentext für die Zitierbarkeitsanalyse (Überschriften, Absätze, Listen)
• Optional ein Ziel-Keyword

KI-Verarbeitung: Technische Seitendaten werden an die OpenAI API übermittelt. Die KI erstellt SEO-Optimierungsvorschläge (Titel, Meta-Description, Überschriftenstruktur, Content-Strategie) sowie eine Zitierbarkeits-Bewertung anhand einer 12-Punkte-Checkliste. Optional kann ein HTML-Optimierungsvorschlag generiert werden. Es werden grundsätzlich keine personenbezogenen Nutzerdaten übermittelt (siehe § 3).

Die Ergebnisse werden in der Datenbank gespeichert und nach 90 Tagen automatisch gelöscht. Bei Konto- oder Projekt-Löschung werden alle Daten sofort entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auslösung der KI-Optimierung) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

2.13 KI-Antwort-Simulation (optional)

Auf Anforderung können Sie simulieren lassen, wie KI-Systeme (z. B. ChatGPT, Google AI) Ihre Website-Inhalte als Quelle zitieren würden. Anfragen werden je nach Konfiguration an die OpenAI API oder die Claude API (Anthropic) übermittelt. Dabei werden ausschließlich Domain-bezogene Daten (URLs, Keywords, Seitentitel, Textauszüge) übertragen — keine personenbezogenen Nutzerdaten.

• Die vollständige URL der zu prüfenden Seite
• Gecrawlte Seitendaten: Titel, H1-H6-Überschriften, Textauszug, Schema.org-Markup, Wortanzahl
• Eine Nutzerfrage (eingegeben oder automatisch generiert)
• Optional: Stadt und/oder Region für lokale Relevanzbewertung

Echte Web-Suche: Zusätzlich kann über die OpenAI Responses API eine echte Web-Suche durchgeführt werden. Dabei wird die Nutzerfrage an die API übermittelt, die eigenständig eine Web-Suche durchführt und Quellen (URLs, Titel) aus dem öffentlichen Internet zitiert. Die Zitations-URLs werden lokal mit Ihrer URL verglichen.

Automatische Fragengenerierung: Optional können 5 passende Nutzerfragen aus Titel und H1-Überschrift generiert werden (OpenAI API, ohne personenbezogene Daten).

Die Ergebnisse werden in der Datenbank gespeichert (max. 10 pro Projekt, einzeln löschbar) und nach 90 Tagen automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auslösung der KI-Simulation) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

2.14 Team Builder (optional)

Wenn Sie die Team-Funktion nutzen, verarbeiten wir:

• Team-Zugehörigkeit: Zuordnung zwischen Team-Lead und Team-Mitgliedern (User-IDs, Team-Name, Einladungszeitpunkt, Status)
• E-Mail-Einladungen: Einladungs-E-Mails werden über unseren SMTP-Dienst (Strato) an die vom Lead angegebene E-Mail-Adresse versendet
• Projekt-Zuordnung: Welche Mitglieder auf welche Projekte zugreifen dürfen (User-ID, Project-ID, Zeitstempel)
• Credit-Pool: Alle Credit-Abbuchungen eines Mitglieds werden vom Guthaben des Team-Leads abgezogen. In der Transaktion wird gespeichert, welches Mitglied die Aktion ausgelöst hat (triggered_by)
• Lead/Member-Rollen: Der Lead verwaltet Branding, GSC/GMB-Tokens und Credits. Mitglieder nutzen automatisch die OAuth-Verbindungen des Leads — es werden keine eigenen Tokens des Mitglieds erstellt

Das Mitglied sieht lediglich, ob Credits verfügbar sind, nicht den Kontostand des Leads. Bei Entfernung eines Mitglieds durch den Lead wird dessen Konto einschließlich aller personenbezogenen Daten, Projekte und Analyseergebnisse vollständig gelöscht. Deaktivierte Accounts werden nach 30 Tagen automatisch entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Leads an der Nachvollziehbarkeit).

2.15 Credits und Paddle-Zahlungen

Zur Abrechnung der plattforminternen Credits verarbeiten wir:

• Aktuelles Credit-Guthaben in Ihrem Nutzerkonto
• Transaktionshistorie: Zeitstempel, Betrag (Credits), Verwendungsgrund, Referenz-ID (z. B. Paddle-Transaction-ID oder Projekt-ID), Kontostand nach Buchung

Paddle-Zahlungen: Paddle.com Market Ltd agiert als Merchant of Record (MoR). Bei Zahlungsvorgängen verarbeiten wir auf unserer Seite ausschließlich:

• Paddle-Transaktions-IDs (zur Zuordnung von Zahlungen)
• Zahlungsbetrag, Währung, Datum und Status der Transaktion
• Abonnement-Status (aktiv, gekündigt, pausiert) und Laufzeitinformationen bei Credit-Abonnements

Sensible Zahlungsdaten (Kreditkartennummern, Bankverbindungen etc.) werden von uns zu keinem Zeitpunkt erhoben oder gespeichert. Diese verbleiben bei Paddle als Merchant of Record. Paddle wickelt die gesamte Zahlungsabwicklung ab und tritt gegenüber dem Käufer als Verkäufer auf.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Aufbewahrungspflichten gemäß § 147 AO).

2.16 E-Mail-Versand

Für den Versand von E-Mails (Rank-Alerts, Team-Einladungen, Passwort- Zurücksetzung, System-Benachrichtigungen) nutzen wir den SMTP-Dienst von Strato (smtp.strato.de). Dabei werden verarbeitet:

• Empfänger-E-Mail-Adresse
• Betreff und Inhalt der E-Mail
• Absender: noreply@rankmio.de

Der E-Mail-Transport erfolgt verschlüsselt (STARTTLS). E-Mails werden nach dem Versand nicht zusätzlich auf unserem Server gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.18 Whitelabel-Branding (optional)

Nur wenn Sie die Whitelabel-Funktion einrichten, verarbeiten wir:

• Logo-Datei (PNG oder JPEG, max. 2 MB) — wird als Base64 kodiert und verschlüsselt in der Datenbank gespeichert
• Firmenname / Footer-Text (max. 30 Zeichen)
• Adresse, Ort und Land Ihres Unternehmens (für PDF-Berichte)
• Darstellungspräferenz (ob Ihr Anmeldename im PDF erscheinen soll)
• Zeitstempel der Einwilligungserteilung als Nachweis gemäß Art. 7 Abs. 1 DSGVO

Widerruf: Sie können Ihre Branding-Daten jederzeit unter Profil → Branding → Branding deaktivieren und Daten löschen vollständig entfernen. Bei Konto-Löschung werden alle Branding-Daten automatisch und sofort gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

2.19 Kostenloser SEO-Check (öffentlich, ohne Registrierung)

Sie können ohne Registrierung einen kostenlosen SEO- und KI-Sichtbarkeits-Check durchführen:

• IP-Adresse: Wird zur Nutzungsbegrenzung gespeichert (max. 1 Check pro IP pro Tag)
• URL: Die zu analysierende Website-Adresse
• Analyse-Ergebnisse: SEO-Score, KI-Sichtbarkeits-Score, 16 Einzelprüfungen, Meta-Informationen

Der kostenlose Check arbeitet rein algorithmisch — es werden keine Daten an externe KI-Dienste übermittelt. Die Analyse erfolgt über den internen Crawler und die Google PageSpeed Insights API. Die Daten werden nach 30 Tagen automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Missbrauchsprävention durch IP-basierte Rate-Limitierung).

2.20 Rank-Alerts und E-Mail-Benachrichtigungen

Bei aktivierten Rank-Alerts werden verarbeitet:

• Keyword (Suchanfrage), aktuelle und vorherige Google-Position
• Konfigurierte Schwellenwerte und Zeitstempel der Änderung
• E-Mail-Benachrichtigungen bei signifikanten Ranking-Veränderungen (Versand über SMTP-Dienst Strato, siehe § 2.16)

Die Auswertung findet vollständig lokal statt — keine Übermittlung an externe Dienste. Bei Konto-Löschung werden alle Rank-Alert-Daten unwiderruflich entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.21 Keyword-Cluster KI und Featured-Snippet-Optimizer

Bei der Nutzung dieser KI-Funktionen werden an die OpenAI API übermittelt:

• Keywords (Suchanfragen) und deren Positionen
• Domain der analysierten Website
• Impressionen und Klickdaten (aggregiert)

Keyword-Cluster-Ergebnisse werden nur in der Session gespeichert (nicht persistent). Featured-Snippet-Ergebnisse werden ebenfalls nicht serverseitig gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auslösung der jeweiligen KI-Funktion) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

2.22 Site-Audit (Handlungsbedarf)

Das Site-Audit aggregiert Befunde aus allen Analysetools zu einer priorisierten Handlungsliste (kritisch / mittel / längerfristig). Dabei werden ausschließlich bereits erhobene Daten aus den jeweiligen Modulen (§ 2.4–2.11) zusammengefasst. Es findet keine zusätzliche Datenerhebung oder externe Übermittlung statt.

Optional können KI-generierte Zusammenfassungen und Maßnahmenvorschläge angefordert werden (OpenAI API, nur technische Befunddaten).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.23 Benachrichtigungssystem

Rankmio verfügt über ein internes Benachrichtigungssystem (z. B. Ranking-Veränderungen, robots.txt-Änderungen):

• Benachrichtigungstyp, Titel und optionaler Nachrichtentext
• Zeitstempel der Erstellung und Lese-Status
• Optionaler Link zur betroffenen Seite innerhalb der Plattform

Info-Benachrichtigungen werden nach 15 Minuten ausgeblendet. Persistente Benachrichtigungen bleiben sichtbar, bis als gelesen markiert. Es erfolgt keine Übermittlung an externe Dienste. Bei Konto-Löschung werden alle Benachrichtigungen sofort entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

2.24 KI-Provider-Einstellungen

Sie können in Ihren Profileinstellungen festlegen, welche KI-Provider (z. B. Claude, ChatGPT, Gemini, Perplexity, Google AI Overview) als aktiv angezeigt werden. Gespeichert wird eine JSON-Konfiguration in Ihrem Nutzerprofil.

Es werden grundsätzlich keine personenbezogenen Nutzerdaten an die KI-Provider übermittelt (siehe § 3), nur weil ein Provider aktiviert ist. Die Datenübermittlung erfolgt ausschließlich bei aktiver Nutzung einer KI-Funktion.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.25 Asynchrone Verarbeitung (Background Jobs)

Einige Funktionen werden asynchron im Hintergrund verarbeitet. Dabei werden temporär gespeichert:

• Job-Typ, Status (laufend / fertig / fehlgeschlagen), Eingabedaten und Ergebnisreferenz
• Zufällig generierter Sicherheitstoken
• Zuordnung zum Nutzerkonto und Projekt

Die temporären Job-Daten werden automatisch nach 1 Stunde gelöscht. Es erfolgt keine Übermittlung der Job-Metadaten an externe Dienste.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an performanter Verarbeitung).

2.26 KI-Assistent (Chat-Agent)

Rankmio bietet einen KI-gestützten Chat-Assistenten, der Ihre SEO- und GEO-Analysedaten interpretiert und datenbasierte Empfehlungen gibt. Dabei werden verarbeitet:

• Chat-Nachrichten: Ihre Fragen und die KI-generierten Antworten
• Kontext-Daten: Projekt-ID, ausgewählte Seiten-URL, vorhandene Analysedaten (werden aus der Datenbank geladen, nicht erneut erhoben)
• Briefing-Daten: Automatisch zusammengestellte Zusammenfassung Ihrer aktuellen SEO-/GEO-Befunde

Datenübermittlung: Chat-Nachrichten und Kontext-Daten werden an die OpenAI API (Modell gpt-4o-mini) übermittelt, um die Antworten zu generieren. Es werden keine personenbezogenen Daten wie Name oder E-Mail-Adresse an OpenAI übermittelt — nur technische Analysedaten und Ihre Frage.

Speicherung: Der Chat-Verlauf wird verschlüsselt in der Datenbank gespeichert und nach 90 Tagen automatisch gelöscht. Pro Gespräch werden maximal die letzten 20 Nachrichten als Kontext mitgesendet. Jede Chat-Sitzung wird mit Titel, Erstellungszeitpunkt und letztem Zugriff gespeichert. Einzelne Sitzungen und Nachrichten können vom Nutzer jederzeit manuell gelöscht werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auslösung des KI-Assistenten) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.27 Spracheingabe (Voice-to-Text)

Der KI-Assistent bietet optional eine Spracheingabe-Funktion. Dabei werden verarbeitet:

• Audio-Aufnahme: Temporäre Aufnahme über das Browser-Mikrofon (nur nach aktiver Betätigung des Mikrofon-Buttons)
• Transkribierter Text: Das Ergebnis der Spracherkennung

Datenübermittlung: Die Audio-Daten werden an die OpenAI Whisper API zur Transkription übermittelt. Dabei findet eine Übermittlung in die USA statt (siehe § 8 — Drittstaaten-Übermittlung).

Speicherung: Die Audio-Aufnahme wird sofort nach der Transkription gelöscht und zu keinem Zeitpunkt dauerhaft auf unserem Server gespeichert. Es verbleibt ausschließlich der transkribierte Text als Chat-Nachricht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auslösung der Spracheingabe-Funktion).

2.28 Website-Crawling und Headless-Browser

Für die technische SEO-Analyse crawlt Rankmio die vom Nutzer registrierten Websites. Dabei werden verarbeitet:

• HTML-Inhalte: Seitenquelltext der gecrawlten URLs
• HTTP-Header: Statuscodes, Weiterleitungen, Content-Type
• Performance-Daten: Ladezeiten, Seitengewicht
• Strukturierte Daten: Meta-Tags, Überschriften, interne Links

Technologie: Für Websites mit erhöhtem Schutz (z. B. Cloudflare) wird ein serverseitiger Headless-Browser (Puppeteer) eingesetzt. Es werden vom Nutzer registrierte eigene Domains sowie öffentlich zugängliche Wettbewerber-Websites im Rahmen der Wettbewerber-Analyse (§ 2.8) gecrawlt.

Speicherung: Extrahierte Analysedaten werden als Analyseergebnisse gespeichert und unterliegen der regulären Aufbewahrungsfrist (180 Tage, siehe § 5). Rohe HTML-Inhalte werden nach Extraktion der relevanten Daten verworfen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.29 Semantische Inhaltssuche (Embeddings)

Für die kontextbasierte Suche des KI-Assistenten werden Website-Inhalte in numerische Vektoren (Embeddings) umgewandelt:

• Eingabe: Textabschnitte aus gecrawlten Website-Inhalten (grundsätzlich keine personenbezogenen Nutzerdaten, siehe § 3)
• Ausgabe: Numerische Vektoren (1.536 Dimensionen), die die semantische Bedeutung des Textes repräsentieren

Datenübermittlung: Textabschnitte werden an die OpenAI Embeddings API übermittelt. Es werden grundsätzlich keine personenbezogenen Nutzerdaten übermittelt (siehe § 3).

Speicherung: Vektoren werden in einer pgvector-Datenbank gespeichert und bei Konto-Löschung vollständig entfernt. Die Vektoren sind nicht rückwärts in lesbaren Text umwandelbar.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.30 Feature-Nutzungsprotokoll

Zur Missbrauchsprävention, Kreditabrechnung und Rate-Limitierung protokollieren wir die Nutzung einzelner Plattform-Funktionen:

• Funktions-Kennung: Interner Bezeichner der genutzten Funktion (z. B. „SEO-Analyse", „Keyword-Suche")
• IP-Adresse: Zur Rate-Limitierung und Missbrauchserkennung
• Nutzer-ID und Projekt-ID: Zuordnung der Aktion zum Nutzerkonto
• Zeitstempel: Datum und Uhrzeit der Nutzung
• Credit-Kosten: Anzahl der für die Aktion abgebuchten Credits

Die Nutzungsprotokolle werden nach 90 Tagen automatisch gelöscht. Bei Konto-Löschung werden alle Einträge sofort entfernt. Es erfolgt keine Übermittlung dieser Daten an externe Dienste.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsprävention und korrekter Abrechnung) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.31 Automatische Hintergrundverarbeitung (Cron-Jobs)

Zur Aufrechterhaltung des Plattformbetriebs werden regelmäßig automatisierte Hintergrundprozesse ausgeführt:

• GSC-Datensynchronisation: Täglicher Abruf aktueller Google Search Console-Daten für verbundene Properties (§ 2.6)
• robots.txt-Monitoring: Regelmäßige Prüfung (alle 30 Minuten) auf Änderungen der robots.txt-Datei überwachter Domains (§ 2.11)
• Datenbereinigung: Tägliche Löschung abgelaufener Daten gemäß den Speicherfristen in § 4 (täglich um 02:00 Uhr)
• Job-Bereinigung: Erkennung und Bereinigung hängengebliebener Hintergrundprozesse (alle 15 Minuten)
• Embedding-Synchronisation: Automatische Aktualisierung semantischer Vektoren für den KI-Assistenten (§ 2.29)
• API-Gesundheitsprüfung: Regelmäßige Verfügbarkeitsprüfung externer Schnittstellen

Alle Cron-Job-Ausführungen werden intern protokolliert (Start, Ende, Status, Zusammenfassung). Diese Protokolle enthalten keine personenbezogenen Nutzerdaten und dienen ausschließlich der Betriebsüberwachung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Plattformbetrieb) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.32 Eigene Notizen und Aufgaben

Sie können innerhalb Ihrer Projekte eigene Notizen und Aufgaben (Todos) anlegen:

• Titel, Beschreibung und Status der Aufgabe (offen / erledigt)
• Zuordnung zu einem Projekt und optional zu einer URL
• Zeitstempel der Erstellung und Aktualisierung

Diese Daten werden ausschließlich lokal in der Datenbank gespeichert und nicht an externe Dienste übermittelt. Bei Projekt- oder Konto-Löschung werden alle Notizen sofort entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.33 Keyword-Tracking (manuell)

Neben den automatisch aus der Google Search Console importierten Keywords können Sie manuell Keywords für ein Projekt anlegen und deren SERP-Position verfolgen:

• Keyword (Suchbegriff), Ziel-URL, aktuelle und historische Google-Position
• Suchvolumen und Wettbewerbsdaten (über DataForSEO-Anreicherung, § 3.5)
• Zuordnung zum Projekt und Zeitstempel

Bei Projekt- oder Konto-Löschung werden alle Keyword-Tracking-Daten sofort entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3. Externe Dienstleister und Auftragsverarbeiter

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur in den nachfolgend beschriebenen Fällen. Eine Weitergabe zu Werbezwecken findet nicht statt. In keinem Fall werden Nutzeridentifikatoren (Name, E-Mail, IP-Adresse) an die nachfolgenden KI-Dienstleister übermittelt. Sämtliche KI-Anfragen erfolgen über sogenannte No-Training-API-Endpunkte — die übermittelten Daten werden von den Anbietern nicht zum Training ihrer Modelle verwendet.

3.1 Google (PageSpeed API, OAuth 2.0, Search Console, Gemini)

a) PageSpeed Insights API: Eingegebene URLs werden zur Performance-Analyse übermittelt. Es werden grundsätzlich keine personenbezogenen Nutzerdaten weitergegeben (siehe Hinweis oben).

b) Google OAuth 2.0: Nur wenn Sie eine Google-Verbindung (Search Console) aktiv herstellen, findet eine Kommunikation mit den Google-OAuth-Diensten statt. Es werden nur die für die gewählte Funktion notwendigen Berechtigungen angefordert.

c) Google Search Console API: Abruf von Suchanfragen-Daten (Queries, Klicks, Impressionen, CTR, Position) für die Keyword-Analyse.

• Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
• Datenschutzrichtlinie: policies.google.com/privacy
• Datentransfer: USA/EU; EU-US Data Privacy Framework + Standardvertragsklauseln

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.1b Google Gemini (eigenständiger KI-Provider)

Neben den oben genannten Google-Diensten wird Google Gemini als eigenständiger KI-Provider für Analysefunktionen eingesetzt. Gemini ist ein generatives KI-Modell, das über die Google AI API angebunden ist und unabhängig von den Google-Such- und OAuth-Diensten arbeitet.

Betroffene Funktionen: KI-Antwort-Simulation (§ 2.13), GEO-Modul (§ 2.9), Content Optimizer (§ 2.12), Wettbewerber-Analyse (§ 2.8) — jeweils nur, wenn Gemini als aktiver Provider konfiguriert ist.

Übermittelte Daten: Ausschließlich technische Seitendaten (URLs, Titel, Überschriften, Textauszüge, Schema.org-Markup), SEO-Kennzahlen, Keywords und Domain-Namen. Es werden grundsätzlich keine personenbezogenen Nutzerdaten (Name, E-Mail, IP-Adresse) an Google Gemini übermittelt.

• Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
• Gemini-spezifische Datenschutzrichtlinie: ai.google.dev/terms
• Datentransfer: USA/EU; EU-US Data Privacy Framework + Standardvertragsklauseln
• Google Gemini API nutzt Eingaben standardmäßig nicht zum Training von Modellen (gemäß Google API Terms of Service, Paid Services)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auslösung der jeweiligen KI-Funktion) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

3.2 OpenAI (GPT-4o-mini, Responses API)

Die OpenAI API wird für zahlreiche KI-Funktionen genutzt. In keinem Fall werden personenbezogene Daten (Name, E-Mail, IP-Adresse, Logo etc.) übermittelt. Übermittelt werden ausschließlich:

• Technische Seitendaten (URLs, Titel, Überschriften, Textauszüge, Schema.org-Markup)
• SEO-Kennzahlen (Performance-Scores, Core Web Vitals, Positionen, Impressionen)
• Keywords und Domain-Namen (ohne Nutzeridentifikatoren)
• Branchennamen (für Relevanz-Einschätzungen)
• robots.txt-Inhalte (reine Konfigurationsdaten)

Betroffene Funktionen: KI-Handlungsempfehlungen, KI-Aktionsplan, CTR-Snippet-Optimierung, Content-Brief, Sitemap-Hub, Keyword-Cluster, Featured-Snippet- Optimizer, GEO-Modul (Schema-Generator, Zitierbarkeits-Check, Entity-Gap), Seiten-Analyse, Content Optimizer, KI-Antwort-Simulation (inkl. Web-Suche über Responses API), Wettbewerber- Tiefenanalyse, Wettbewerber-Battle, robots.txt KI-Analyse, Branchenbewertung.

• Empfänger: OpenAI, Inc., 3180 18th Street, San Francisco, CA 94110, USA
• Datenschutzrichtlinie: openai.com/privacy
• Datentransfer: USA; Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO
• OpenAI nutzt API-Eingaben standardmäßig nicht zum Training von Modellen (gemäß OpenAI API-Nutzungsbedingungen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

3.3 Anthropic (Claude)

Für ausgewählte KI-Funktionen (z. B. Wettbewerber-Insights, GEO-Modul, Sitemap-Audit, KI-Antwort-Simulation) kann alternativ oder ergänzend die Claude API von Anthropic genutzt werden. Es werden ausschließlich technische Seitendaten, aggregierte SEO-Kennzahlen oder Konfigurationsdaten übermittelt — identisch zu den bei OpenAI beschriebenen Datenkategorien. Personenbezogene Daten werden nicht übermittelt.

• Empfänger: Anthropic, PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA
• Datenschutzrichtlinie: anthropic.com/privacy
• Datentransfer: USA; Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO
• Anthropic nutzt API-Eingaben standardmäßig nicht zum Training von Modellen (gemäß Anthropic Commercial Terms of Service)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

3.4 Perplexity (KI mit Web-Suche)

Für ausgewählte KI-Funktionen (z. B. KI-Antwort-Simulation, Recherche) kann die Perplexity API als alternativer KI-Provider genutzt werden. Übermittelt werden ausschließlich technische Seitendaten und Suchanfragen — keine personenbezogenen Nutzerdaten.

Betroffene Funktionen: KI-Antwort-Simulation (§ 2.13), GEO-Modul (§ 2.9), Content Optimizer (§ 2.12) — jeweils nur, wenn Perplexity als aktiver Provider konfiguriert ist.

• Empfänger: Perplexity AI, Inc., San Francisco, CA, USA
• Datenschutzrichtlinie: perplexity.ai/privacy
• Datentransfer: USA; Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO
• Perplexity nutzt API-Eingaben gemäß den Perplexity API Terms of Service

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auslösung der jeweiligen KI-Funktion) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

3.5 DataForSEO

Die DataForSEO API wird für zwei Funktionen genutzt:

a) Keyword-Enrichment: Keywords werden übermittelt, um Suchvolumen, Wettbewerb und CPC-Daten abzurufen. Es werden grundsätzlich keine personenbezogenen Nutzerdaten übermittelt.

b) AI Citation Tracking: Keywords werden übermittelt zur Prüfung von Google AI Overview-Zitierungen. Standort (Deutschland) und Sprache (Deutsch) werden als Suchparameter mitgesendet. Ergebnisse werden in der Datenbank gespeichert und nach 90 Tagen gelöscht.

• Empfänger: DataForSEO, Inc., 1100 NE 213th Street, Miami Shores, FL 33179, USA (Entwicklung: Ukraine/EU)
• Datenschutzrichtlinie: dataforseo.com/privacy-policy
• Datentransfer: USA/EU; Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.6 Paddle (Zahlungsabwicklung)

Für die Abwicklung von Credit-Käufen nutzen wir Paddle.com Market Ltd als Merchant of Record (MoR). Paddle tritt als Verkäufer auf und wickelt die gesamte Zahlungsabwicklung (Kreditkarte, lokale Zahlungsmethoden) ab.

• Empfänger: Paddle.com Market Ltd, Judd House, 18-29 Mora Street, London EC1V 8BT, UK
• Datenschutzerklärung: paddle.com/legal/privacy
• Datentransfer: UK; Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich gemäß Art. 45 DSGVO

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.7 Hetzner (Hosting)

Die Plattform wird auf Servern der Hetzner Online GmbH gehostet:

• Empfänger: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
• Rechenzentrumsstandort: Nürnberg, Deutschland
• Datenschutzrichtlinie: hetzner.com/privacy-policy

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet. Es findet keine Übermittlung in Drittstaaten durch den Hosting-Dienstleister statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 28 DSGVO (Auftragsverarbeitung).

3.8 Strato (E-Mail-SMTP)

Für den E-Mail-Versand nutzen wir den SMTP-Dienst von Strato:

• Empfänger: STRATO AG, Pascalstraße 10, 10587 Berlin, Deutschland
• Datenschutzrichtlinie: strato.de/datenschutz

Der E-Mail-Transport erfolgt verschlüsselt (STARTTLS). Alle Daten verbleiben in Deutschland.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) in Verbindung mit Art. 28 DSGVO (Auftragsverarbeitung).

3.9 Wechsel von Unterauftragsverarbeitern

4. Datenspeicherung und Löschfristen

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Die automatische Datenbereinigung erfolgt über einen täglichen Cron-Job (02:00 Uhr).

Nach Ablauf der Speicherfristen werden die Daten automatisch gelöscht oder unwiderruflich anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Ihre Rechte als betroffene Person (Art. 15–22 DSGVO)

5.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, jederzeit Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten wir über Sie gespeichert haben, zu welchem Zweck diese verarbeitet werden, an wen sie weitergegeben wurden und wie lange sie gespeichert bleiben.

5.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Ihre Profildaten können Sie direkt unter Profil bearbeiten.

5.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht auf Löschung („Recht auf Vergessenwerden"), sofern kein Aufbewahrungsgrund entgegensteht. Die Löschung Ihres Nutzerkontos und aller damit verbundenen Daten können Sie direkt unter Profil → Konto löschen vornehmen. Dabei werden sämtliche personenbezogenen Daten, Projekte, Analyseergebnisse, OAuth-Tokens, Team-Zugehörigkeiten, Branding-Daten und Benachrichtigungen sofort und unwiderruflich gelöscht.

5.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird, z. B. während der Prüfung eines Widerspruchs oder wenn Sie die Richtigkeit der Daten bestreiten.

5.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre personenbezogenen Daten in einem gängigen, maschinenlesbaren Format zu erhalten. Den Export aller Ihrer gespeicherten Daten können Sie direkt unter Profil → Daten exportieren als JSON-Datei herunterladen.

5.6 Widerspruchsrecht (Art. 21 DSGVO)

5.7 Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf Ihrer Einwilligung beruht (z. B. Google Search Console-Verbindung, optionale KI-Funktionen, Spracheingabe), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen — direkt in Ihren Profileinstellungen, durch Nichtnutzung der jeweiligen Funktion oder per E-Mail an kontakt@rankmio.de.

5.8 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist:

5.9 Meldepflicht bei Datenpannen (Art. 33 und 34 DSGVO)

Im Falle einer Verletzung des Schutzes personenbezogener Daten (Datenpanne) handeln wir wie folgt:

• Meldung an die Aufsichtsbehörde (Art. 33 DSGVO): Binnen 72 Stunden nach Bekanntwerden der Datenpanne melden wir diese an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit — es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für Ihre Rechte und Freiheiten.
• Benachrichtigung betroffener Personen (Art. 34 DSGVO): Wenn die Datenpanne voraussichtlich ein hohes Risiko für Ihre Rechte und Freiheiten zur Folge hat, benachrichtigen wir Sie unverzüglich per E-Mail über Art und Umfang der Verletzung, mögliche Folgen und ergriffene Gegenmaßnahmen.
• Dokumentation: Jede Datenpanne wird intern dokumentiert (Art, Umfang, betroffene Daten, ergriffene Maßnahmen, Zeitverlauf) und für die Nachweispflicht gemäß Art. 33 Abs. 5 DSGVO aufbewahrt.

Sollten Sie einen Verdacht auf eine Datenpanne haben (z. B. unbefugter Zugriff auf Ihr Konto), kontaktieren Sie uns bitte umgehend unter kontakt@rankmio.de.

6. Cookies und Session-Verwaltung

Wir setzen auf dieser Plattform ausschließlich technisch notwendige Cookies ein, die für den Betrieb der Plattform zwingend erforderlich sind. Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt.

6.1 Verwendete Cookies

Da nach unserer Auffassung ausschließlich technisch notwendige Cookies eingesetzt werden, ist eine Cookie-Consent-Abfrage gemäß § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TTDSG.

7. Technische und organisatorische Maßnahmen (TOMs)

Wir setzen gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen ein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

• Transportverschlüsselung: Alle Datenübertragungen erfolgen über HTTPS/TLS (TLS 1.2/1.3). HTTP-Anfragen werden automatisch auf HTTPS umgeleitet.
• Passwortsicherheit: Passwörter werden ausschließlich als kryptografischer Einweg-Hash (bcrypt, Cost-Faktor 12) gespeichert — das Klartextpasswort ist uns zu keinem Zeitpunkt bekannt.
• Verschlüsselung sensibler Daten: API-Tokens (Google OAuth, Drittanbieter-Keys) werden mit AES-256-CBC verschlüsselt in der Datenbank gespeichert.
• SQL-Injection-Schutz: Ausschließliche Verwendung von PDO Prepared Statements für alle Datenbankabfragen.
• CSRF-Schutz: Jedes Formular wird durch ein kryptografisch sicheres CSRF-Token geschützt, das bei jeder Anfrage validiert wird.
• Rate-Limiting: Schutz gegen Brute-Force-Angriffe und Missbrauch durch IP-basierte Anfragebegrenzung.
• IP-Anonymisierung: Automatische Anonymisierung aller gespeicherten IP-Adressen nach 30 Tagen.
• Automatische Datenlöschung: Täglicher Cron-Job zur fristgerechten Löschung abgelaufener Daten (90-Tage-Frist für Analyseergebnisse).
• Firewall: Server-Firewall (UFW) mit Whitelist-Prinzip — ausschließlich notwendige Dienste (HTTP/HTTPS) sind freigegeben.
• Zugriffskontrollen: Rollenbasiertes Berechtigungssystem (Visitor, Basis, Pro, Admin, Credits) mit Middleware-Absicherung.
• Webhook-Verifizierung: Eingehende Paddle-Webhooks werden über kryptografische Signaturprüfung (HMAC) verifiziert, um Manipulation und unbefugte Zugriffe auszuschließen.
• Serverstandort: Alle Daten werden auf Servern der Hetzner Online GmbH in Nürnberg, Deutschland, gespeichert und verarbeitet.
• Zugriffsbeschränkung: Zugang zu personenbezogenen Daten haben ausschließlich zur Verschwiegenheit verpflichtete, autorisierte Personen, die den Zugriff zur Erfüllung ihrer Aufgaben benötigen (Need-to-know-Prinzip).

8. Datenübermittlung in Drittstaaten (Art. 44 ff. DSGVO)

Für einige der eingesetzten Dienste werden Daten in Länder außerhalb der EU/des EWR übermittelt (insbesondere USA). Wir stellen sicher, dass diese Übermittlungen auf geeigneten Garantien beruhen:

Auf Anfrage stellen wir Ihnen gerne Informationen zu den konkreten Garantiemechanismen und unserer Risikobewertung zur Verfügung.

9. Kontakt bei Datenschutzfragen

Für Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder bei sonstigen datenschutzrechtlichen Anliegen wenden Sie sich bitte an:

Wir beantworten Ihre Anfragen in der Regel innerhalb von 30 Tagen. Bei komplexen oder mehrfachen Anfragen kann diese Frist um weitere zwei Monate verlängert werden (Art. 12 Abs. 3 DSGVO). Zur eindeutigen Zuordnung Ihrer Anfrage geben Sie bitte Ihre registrierte E-Mail-Adresse an.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen unserer Dienste oder bei neuen rechtlichen Anforderungen anzupassen. Die jeweils aktuelle Fassung ist unter rankmio.de/privacy abrufbar. Wesentliche Änderungen teilen wir registrierten Nutzern per E-Mail mit.

Letzte Aktualisierung: April 2026