Datenschutzerklärung

Stand: 18.05.2026

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:
Lucas Würms (GrowResonance)
Lindenstraße 15, 88699 Frickingen, Deutschland
E-Mail: home@growresonance.ai

2. Allgemeine Informationen zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage gesetzlicher Bestimmungen, insbesondere der DSGVO und des TTDSG. Soweit möglich werden Subprozessoren mit Hosting in der EU bevorzugt; nicht-europäische Anbieter sind unter Abschnitt 5 ausgewiesen. Mit allen Subprozessoren bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO — entweder als Bestandteil der Standard-Terms des jeweiligen Anbieters, durch aktive Akzeptanz im Anbieter-Dashboard oder per separat geschlossenem Vertrag. Signierte Belege stellen wir Geschäftskunden auf Anfrage zur Verfügung.

3. Datenverarbeitung bei Nutzung unserer Website

3.1 Server-Logs

Beim Besuch unserer Website werden Logs durch unseren Hosting-Anbieter Vercel (EU-Region) gespeichert: IP-Adresse (anonymisiert), Datum/Zeit, Referrer, User-Agent. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität + Sicherheit). Löschung nach 30 Tagen.

3.2 Cookies und lokale Speicherung

Wir nutzen technisch notwendige Cookies für Login-Sessions (Supabase Auth) und einen anonymen Session-Identifier für die Cookie-Consent-Speicherung. Optional und nur nach aktiver Einwilligung (Kategorie „Analyse"): Plausible Analytics (gehostet durch Plausible Insights OÜ in Estland/EU, IP-anonymisierend, kein Cross-Site-Tracking), Vercel Web Analytics (anonyme, cookielose Reichweitenmessung, first-party über unsere eigene Domain ausgeliefert; Anbieter Vercel Inc., EU-Region) sowie Sentry zur Fehlerdiagnose im Browser (EU-Region Frankfurt). Die Einwilligung kann jederzeit über den Footer-Link „Cookie-Einstellungen" widerrufen werden.

4. Datenverarbeitung beim Account + Service-Nutzung

4.1 Registrierung + Authentifizierung

Bei Registrierung werden E-Mail-Adresse + (optional) Name verarbeitet. Authentifizierung erfolgt über Supabase (Frankfurt, EU). Bei Nutzung von "Sign in with Google" wird Ihre Google-ID + E-Mail vom Google-OAuth-Service übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.2 Article-Generation + LLM-Visibility-Tracking

Inhalte, die Sie zur Generation einsenden, werden an unsere AI-Provider (Anthropic Claude, OpenAI, Perplexity) übermittelt. Diese Anbieter verarbeiten Daten ggf. ausserhalb der EU. Bei Nutzung der LLM-Visibility-Engine werden zusätzlich Brand-bezogene Prompts an die genannten Provider gesendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Artikel können generierte Visuals enthalten. Infografiken sowie der Titel-Text auf dem Titelbild werden ausschließlich auf unseren eigenen Servern (EU) mit der Open-Source-Bibliothek Satori erzeugt. Für das Titelbild und ein optionales Inline-Bild kann zusätzlich ein Bild-Hintergrund per generativer KI über Google Cloud Vertex AI (Imagen, Belgien/europe-west4) erzeugt werden — derselbe bereits gelistete EU-Subprozessor wie für unsere Textanalyse, es kommt also kein neuer Subprozessor und kein Drittland-Transfer für die Bildgenerierung hinzu. Die Bild-Prompts enthalten nur das Artikel-Thema, keine personenbezogenen Daten. Optional vom Nutzer hochgeladene Produktbilder und Website-Screenshots werden in unserem EU-Speicher (Supabase, Frankfurt) abgelegt. YouTube-Videos werden — sofern konfiguriert — datenschutz­freundlich als anklickbare Vorschau eingebunden (kein Player-Aufruf und kein Cookie vor einem aktiven Klick). Es werden keine Gesichter erkannt oder biometrischen Daten verarbeitet.

4.3 SEO-Daten + Search-Console

Bei Verbindung mit Google Search Console werden Ihre SEO-Daten (Klicks, Impressionen, Positionen) abgerufen und in Supabase zwischengespeichert. DataForSEO wird für Keyword-Recherche genutzt (EU-Region, location_code 2276 Germany). Für das Keyword-Clustering werden anonymisierte Embeddings (reine Keyword-Strings ohne Workspace-Identifier oder personenbezogene Daten) an Voyage AI (USA) übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.4 Publishing nach WordPress

Bei Anbindung Ihres WordPress-Blogs werden Application-Passwords verschlüsselt (AES-256 mit pgcrypto) gespeichert. Diese werden ausschließlich für das Auto-Publishing der von Ihnen freigegebenen Artikel genutzt.

5. Eingesetzte Subprozessoren

Wir nutzen folgende Dienstleister zur Bereitstellung des Service. Für Anbieter mit Sitz oder Datenverarbeitung außerhalb der EU weisen wir den jeweiligen Übermittlungsmechanismus nach Art. 44 ff. DSGVO aus:

  • Supabase (USA, mit EU-Region Frankfurt) — Datenbank, Authentication, Storage. Übermittlungsmechanismus: EU-Standardvertragsklauseln (SCCs, Modul 2) zwischen Supabase Inc. und dem Verantwortlichen. AVV gemäß Art. 28 DSGVO via Dashboard-Akzept geschlossen, signierter Beleg auf Anfrage.
  • Vercel (USA, mit EU-Region Frankfurt) — Hosting der Web-Anwendung. Server-Functions sind auf die Region Frankfurt (fra1) gepinnt. Übermittlungsmechanismus: SCCs (Modul 2). AVV gemäß Art. 28 DSGVO via Standard-Terms geschlossen, signierter Beleg auf Anfrage. Optional gehostete Kunden-Blogs (Funktion „Hosted-Blog", eigene Subdomain) werden über dieselbe Vercel-Infrastruktur in der EU-Region ausgeliefert — es entsteht kein zusätzlicher Subprozessor. KI-Crawler (z. B. GPTBot, ClaudeBot, PerplexityBot) sind auf diesen Blogs ausdrücklich erlaubt. Für die Inhalte sowie für Impressum und Datenschutz eines gehosteten Blogs ist die jeweilige Kundin/der jeweilige Kunde als Publisher selbst verantwortlich. Ferner setzen wir Vercel Web Analytics ein — eine anonyme, cookielose Reichweitenmessung, die first-party über unsere eigene Domain ausgeliefert wird (kein zusätzlicher Drittanbieter-Script-Host) und im Browser erst nach Cookie-Consent (Kategorie Analyse) aktiviert wird.
  • Stripe Payments Europe Ltd. (Irland) — Zahlungsabwicklung. Verarbeitung innerhalb der EU; ergänzende SCCs für etwaige US-Komponenten der Mutter Stripe Inc. AVV gemäß Art. 28 DSGVO via Standard-Terms (Stripe Data Processing Agreement) geschlossen, signierter Beleg auf Anfrage.
  • Anthropic (USA) — AI-Provider für Article-Generation. Übermittlungsmechanismus: SCCs (Modul 2); Anthropic ist zudem unter dem EU-US Data Privacy Framework (DPF) zertifiziert. AVV gemäß Art. 28 DSGVO via Standard-Terms (Commercial Terms) geschlossen, signierter Beleg auf Anfrage.
  • OpenAI (USA) — AI-Provider (Fallback / LLM-Visibility). Übermittlungsmechanismus: SCCs (Modul 2); OpenAI ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. AVV gemäß Art. 28 DSGVO via Standard-Terms (Business Terms) geschlossen, signierter Beleg auf Anfrage.
  • Perplexity (USA) — LLM-Visibility-Tracking. Aktuell ohne EU-Datenresidenz. Übermittlungsmechanismus: SCCs (Modul 2). Nutzung nur auf ausdrücklichen Wunsch. AVV gemäß Art. 28 DSGVO per separat geschlossenem Email-Vertrag, signierter Beleg auf Anfrage.
  • Resend (USA, mit EU-Region) — Transaktionale E-Mails (Login, Trial-Reminder, Rechnungen). Sender-Domain growresonance.ai ist in der EU-Region verifiziert. Übermittlungsmechanismus: SCCs (Modul 2). AVV gemäß Art. 28 DSGVO via Dashboard-Akzept geschlossen, signierter Beleg auf Anfrage.
  • Sentry (USA, mit EU-Region Frankfurt) — Error-Tracking. Wir nutzen die EU-Region; die Mutter Functional Software Inc. sitzt in den USA. Übermittlungsmechanismus: SCCs (Modul 2). Sentry wird im Browser erst nach Cookie-Consent (Kategorie Analyse) aktiviert. AVV gemäß Art. 28 DSGVO via Dashboard-Akzept geschlossen, signierter Beleg auf Anfrage.
  • Plausible Insights OÜ (Estland, EU) — Webanalyse, IP-anonymisierend, kein Cross-Site-Tracking. Hosting innerhalb der EU, kein Drittlandtransfer. Nur nach Einwilligung. AVV gemäß Art. 28 DSGVO per separat gegengezeichnetem Email-Vertrag geschlossen, signierter Beleg auf Anfrage.
  • DataForSEO (USA) — Keyword-Recherche. Es werden ausschließlich Keyword-Strings und Domain-Namen ohne Personenbezug übermittelt. Übermittlungsmechanismus: SCCs (Modul 2). AVV gemäß Art. 28 DSGVO via Standard-Terms geschlossen, signierter Beleg auf Anfrage.
  • Google Ireland Ltd. / Google LLC (Irland / USA) — OAuth-Login und Google Search Console Integration (nur falls von Ihnen aktiv verbunden). Übermittlungsmechanismus: SCCs (Modul 2); Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. AVV gemäß Art. 28 DSGVO via Standard-Terms (Google Cloud Data Processing Addendum) geschlossen, signierter Beleg auf Anfrage.
  • Google Cloud Vertex AI (Belgien, europe-west4) — AI-Provider Gemini für LLM-Visibility-Tracking. Verarbeitung erfolgt ausschließlich in der EU-Region europe-west4. Es gelten die Google Cloud Standard-Terms inklusive Cloud Data Processing Addendum (CDPA). AVV gemäß Art. 28 DSGVO via Standard-Terms geschlossen, signierter Beleg auf Anfrage.
  • Google Maps Platform — Places API (Irland / USA) — Abruf der öffentlichen Google-Business-Profildaten für die Local-SEO-Profil-Optimierung (nur falls Sie eine Place ID hinterlegen und einen Scan auslösen). Übermittelt wird ausschließlich die öffentliche Place ID; es werden keine Bewertungs-Texte oder Bewerter-Namen abgerufen oder gespeichert. Übermittlungsmechanismus: SCCs (Modul 2); Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. AVV gemäß Art. 28 DSGVO via Standard-Terms (Google Maps Platform Terms / Data Processing Terms) geschlossen, signierter Beleg auf Anfrage.
  • Inngest (USA) — Background-Job-Orchestrierung. An Inngest werden ausschließlich Job-IDs, Workspace-IDs und technische Metadaten übergeben — keine Artikel-Inhalte, keine Keywords, keine E-Mail-Adressen oder sonstigen personenbezogenen Daten. Übermittlungsmechanismus: SCCs (Modul 2). AVV gemäß Art. 28 DSGVO via Standard-Terms geschlossen, signierter Beleg auf Anfrage.
  • Voyage AI (USA) — Embedding-Berechnung für Keyword-Clustering. Übermittelt werden Keyword-Strings ohne Workspace-Identifier oder Personenbezug. Übermittlungsmechanismus: SCCs (Modul 2). AVV gemäß Art. 28 DSGVO per separat geschlossenem Email-Vertrag, signierter Beleg auf Anfrage.
  • Friendly Captcha (Frosthaus GmbH) (Deutschland, EU) — Bot- und Spam-Schutz auf dem öffentlichen LLM-Sichtbarkeits-Check (/check). Verarbeitung erfolgt innerhalb der EU, kein Drittlandtransfer; das Verfahren arbeitet ohne personenbezogenes Tracking. AVV gemäß Art. 28 DSGVO via Standard-Terms (Data Processing Addendum), signierter Beleg auf Anfrage.

Die genannten Drittland-Anbieter stellen die EU-Standardvertrags­klauseln (SCCs) der Europäischen Kommission vom 04.06.2021 als Übermittlungs­mechanismus nach Art. 46 Abs. 2 lit. c DSGVO zur Verfügung. Soweit Anbieter unter dem EU-US Data Privacy Framework (DPF) zertifiziert sind, ist dies oben zusätzlich ausgewiesen.

6. Speicherdauer

Account-Daten werden gespeichert, solange Ihr Account aktiv ist plus gesetzliche Aufbewahrungsfristen (Rechnungen 10 Jahre nach UStG). Cookie-Consent-Logs werden 3 Jahre nach Erteilung gelöscht. Server-Logs nach 30 Tagen. Anfragen und nicht bestätigte Kontaktdaten aus dem öffentlichen LLM-Sichtbarkeits-Check (/check) sowie aus der Whitepaper-Anforderung (/whitepaper) werden nach 30 Tagen automatisch gelöscht; bestätigte Kontaktanfragen verarbeiten wir auf Grundlage Ihrer Einwilligung bis zu deren Widerruf.

6.1 Whitepaper-Lead-Daten (PROJ-124)

Wenn Sie unter /whitepaperdas Whitepaper „GEO & AI-Search verstehen" anfordern, verarbeiten wir Ihre E-Mail-Adresse, optional eine angegebene Firmen-Domain, den exakten Wortlaut Ihrer Einwilligung mit Zeitstempel, einen mit Salt versehenen Hash Ihrer IP-Adresse und Ihren User-Agent. Die Verarbeitung erfolgt zur Versendung der angeforderten Bestätigungs- und Download-Mail (Double-Opt-In). Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie eine kurze E-Mail an home@growresonance.ai senden — wir löschen Ihre Daten dann umgehend. Unbestätigte Anforderungen werden automatisch nach 30 Tagen gelöscht; bestätigte Leads bleiben gespeichert bis zum Widerruf.

7. Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Anfragen bitte an: home@growresonance.ai.

8. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, insbesondere bei rechtlichen oder funktionalen Änderungen. Die jeweils aktuelle Version finden Sie immer auf dieser Seite.