ecom[reviews]

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

ecom reviews GmbH
Mozartstraße 14
28203 Bremen
Deutschland

E-Mail: info@ecom-reviews.de

2. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z.B. Namen, Adressen)
  • Kontaktdaten (z.B. E-Mail, Telefonnummern)
  • Inhaltsdaten (z.B. Eingaben in Formularen, Bewertungstexte)
  • Nutzungsdaten (z.B. besuchte Seiten, Zugriffszeiten)
  • Meta-/Kommunikationsdaten (z.B. IP-Adressen, Geräte-Informationen)
  • Zahlungsdaten (z.B. Bankverbindungen, Rechnungen — über Stripe)

Kategorien betroffener Personen

  • Besucher der Website
  • Registrierte Nutzer (Verkäufer und Anbieter)
  • Geschäftspartner

Zwecke der Verarbeitung

  • Bereitstellung des Onlineangebotes und Nutzerfreundlichkeit
  • Registrierung und Nutzerkontenverwaltung
  • Erbringung vertraglicher Leistungen und Kundenservice
  • Abwicklung von Zahlungsvorgängen
  • Kommunikation (E-Mail-Benachrichtigungen)
  • Sicherheitsmaßnahmen (Fraud Detection)
  • Reichweitenmessung und Analyse

3. Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO): Die betroffene Person hat ihre Einwilligung in die Verarbeitung gegeben (z.B. Cookie-Consent, Newsletter).
  • Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO): Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich (z.B. Nutzerkonto, Abo-Verwaltung).
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO): Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich (z.B. Sicherheit, Missbrauchsprävention).

4. Hosting und Content Delivery

Vercel

Wir hosten unsere Website bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Beim Besuch unserer Website erfasst Vercel automatisch Server-Log-Files, die Ihr Browser übermittelt. Dazu gehören:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit der Serveranfrage
  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Vercel ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

5. Registrierung und Nutzerkonto

Clerk

Für die Registrierung und Authentifizierung nutzen wir den Dienst Clerk (Clerk, Inc., San Francisco, CA, USA). Bei der Registrierung werden folgende Daten verarbeitet:

  • E-Mail-Adresse
  • Name (Vor- und Nachname)
  • Profilbild (optional, von Clerk bereitgestellt)
  • Authentifizierungsdaten (verschlüsselt bei Clerk gespeichert)

Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Datenschutzerklärung von Clerk finden Sie unter: https://clerk.com/privacy

6. Zahlungsabwicklung

Stripe

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe (Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA). Beim Abschluss eines Pro-Abonnements werden Zahlungsdaten direkt an Stripe übermittelt. Wir selbst speichern keine Kreditkarten- oder Bankdaten.

Bei Stripe gespeicherte Daten: Zahlungsmethode, Transaktionshistorie, Kundennummer (Stripe Customer ID). Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Die Datenschutzerklärung von Stripe finden Sie unter: https://stripe.com/de/privacy

Mit Stripe besteht ein Auftragsverarbeitungsvertrag (Data Processing Agreement) gemäß Art. 28 DSGVO. Details zum DPA von Stripe: https://stripe.com/de/legal/dpa

7. E-Mail-Versand

SendGrid (Twilio)

Für den Versand von transaktionalen E-Mails (Registrierungsbestätigungen, Benachrichtigungen, Passwort-Resets) nutzen wir SendGrid, einen Dienst der Twilio Inc., 101 Spear Street, Suite 500, San Francisco, CA 94105, USA.

Dabei werden E-Mail-Adressen und E-Mail-Inhalte an SendGrid übermittelt. Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Die Datenschutzerklärung von Twilio/SendGrid finden Sie unter: https://www.twilio.com/en-us/legal/privacy

8. Datenbank

Neon (PostgreSQL)

Unsere Anwendungsdaten werden in einer PostgreSQL-Datenbank bei Neon Inc. gespeichert. Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b und f DSGVO. Neon betreibt Server in der EU (AWS eu-central-1, Frankfurt).

9. Echtzeit-Benachrichtigungen

Pusher

Für Echtzeit-Funktionen (z.B. neue Nachrichten, Aktivitäts-Updates) nutzen wir Pusher (Pusher Ltd., Lenta Business Centre, 7-12 Tavistock Square, London WC1H 9BQ, Vereinigtes Königreich). Pusher baut beim Öffnen des Dashboards eine WebSocket-Verbindung auf und verarbeitet dabei Ihre IP-Adresse sowie eine pseudonyme User-Channel-ID. Nachrichteninhalte werden nicht dauerhaft bei Pusher gespeichert, sondern nur kurzzeitig zur Auslieferung zwischengespeichert.

Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und auf Grundlage berechtigter Interessen an einer funktionsfähigen Echtzeitkommunikation (Art. 6 Abs. 1 lit. f DSGVO). Das Vereinigte Königreich gilt durch einen Angemessenheitsbeschluss der EU-Kommission vom 28. Juni 2021 als sicheres Drittland.

Die Datenschutzerklärung von Pusher finden Sie unter: https://pusher.com/privacy

10. Caching und Rate Limiting

Upstash Redis

Für Caching und API-Rate-Limiting nutzen wir Upstash (Upstash, Inc.). Dabei werden temporär IP-Adressen und Anfragedaten gespeichert, um die Plattform vor Missbrauch zu schützen. Die Verarbeitung erfolgt auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

11. Fehlerüberwachung

Sentry

Zur Erkennung und Behebung technischer Fehler nutzen wir Sentry (Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA). Dabei können technische Daten wie Browser-Informationen, Fehlermeldungen und IP-Adressen (anonymisiert) an Sentry übermittelt werden.

Die Verarbeitung erfolgt auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO). Die Datenschutzerklärung von Sentry finden Sie unter: https://sentry.io/privacy/

12. Bewertungen und nutzergenerierte Inhalte

Auf unserer Plattform können registrierte Verkäufer Bewertungen zu E-Commerce-Dienstleistern abgeben. Dabei werden folgende Daten verarbeitet:

  • Bewertungstexte (Pro, Contra, Ergebnis)
  • Einzelbewertungen (4 Kategorien: Ergebnis, Fachkompetenz, Kommunikation, Preis-Leistung)
  • NPS-Score (0-10)
  • Kontextdaten (Budget-Range, Projektdauer, Shopsystem — optional)
  • Anonymitätslevel (sichtbar, nur Kontext, pseudonymisiert — die Identität des Verfassers bleibt uns intern zur Missbrauchsprävention bekannt)
  • IP-Adresse (für Fraud Detection)

IP-Adressen werden ausschließlich zur Missbrauchserkennung gespeichert und nicht öffentlich angezeigt. Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO — Plattformintegrität).

13. Nachrichten zwischen Nutzern

Registrierte Verkäufer können über die Plattform Nachrichten an Anbieter senden. Nachrichteninhalte werden verschlüsselt in unserer Datenbank gespeichert. Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

14. Cookies

Wir verwenden Cookies und ähnliche Technologien, um unsere Website bereitzustellen und zu verbessern. Details zu den eingesetzten Cookies finden Sie in unserer Cookie-Richtlinie.

Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website erforderlich (z.B. Session-Cookies, Authentifizierung über Clerk). Sie werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gesetzt.

Analyse-Cookies

Für die Reichweitenmessung setzen wir Google Analytics 4 ein. Diese Cookies werden nur mit Ihrer Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit über den Cookie-Banner widerrufen.

15. Analyse und Reichweitenmessung

Google Analytics 4

Wir nutzen Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Google Analytics verwendet Cookies, die eine Analyse der Benutzung der Website ermöglichen. Google Analytics 4 verarbeitet die IP-Adresse ausschließlich zur Geolokalisierung und verwirft sie unmittelbar danach; eine Speicherung vollständiger IP-Adressen findet nicht statt.

Die Nutzung erfolgt nur mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die über unseren Cookie-Banner (Cookiebot) eingeholt wird. Sie können Ihre Einwilligung jederzeit über den Cookie-Banner widerrufen. Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

Die Datenschutzerklärung von Google finden Sie unter: https://policies.google.com/privacy

16. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder wir gesetzlich dazu verpflichtet sind. Im Einzelnen gelten folgende Aufbewahrungsfristen:

  • Nutzerkonto-Stammdaten (Name, E-Mail, Passwort-Hash): Für die Dauer der aktiven Nutzung zzgl. 3 Jahre nach Kontolöschung für die Geltendmachung zivilrechtlicher Ansprüche (§§ 195, 199 BGB — regelmäßige Verjährungsfrist).
  • Rechnungen, Zahlungsdaten und steuerlich relevante Unterlagen: 10 Jahre ab Ende des jeweiligen Geschäftsjahres (§ 147 Abs. 3 AO, § 257 HGB).
  • Bewertungen und zugehörige Inhalte: Unbefristet während des Plattformbetriebs im Interesse der Informationsfunktion der Plattform. Auf begründeten Antrag der betroffenen Person erfolgt Löschung oder Anonymisierung gemäß Art. 17 DSGVO, sofern keine überwiegenden Interessen entgegenstehen.
  • Nachrichten zwischen Nutzern: Für die Dauer der aktiven Nutzerkonten beider Kommunikationsparteien zzgl. 6 Monate.
  • Server-Logfiles (IP-Adressen, Access-Logs): 14 Tage, danach Löschung bzw. Anonymisierung. Bei Sicherheitsvorfällen kann die Speicherdauer im Einzelfall verlängert werden.
  • Fraud-Detection-Daten (IP-Adressen bei Bewertungen, Device-Fingerprints):Bis zu 12 Monate zur Missbrauchsanalyse, danach Löschung.
  • Analytics-Daten (Google Analytics 4): Gemäß GA4-Retention-Setting maximal 14 Monate auf User-Level, aggregierte Statistiken unbefristet.
  • Support-/Moderations-Kommunikation: 3 Jahre nach letzter Interaktion.

Soweit gesetzliche Aufbewahrungspflichten bestehen, werden die betroffenen Daten für deren Dauer gesperrt und erst nach Ablauf gelöscht.

17. Automatisierte Entscheidungsfindung und Fraud-Detection

Wir setzen automatisierte Verfahren ein, um die Plattformintegrität sicherzustellen, insbesondere zur Erkennung von Fake-Bewertungen, Spam, Missbrauch und rechtswidrigen Inhalten. Diese Verfahren umfassen:

  • Plausibilitätsprüfung von Bewertungen (z.B. IP-Muster, Zeitmuster, Textanalyse)
  • Rate-Limiting und Bot-Erkennung zum Schutz vor automatisierten Angriffen
  • Automatisiertes Blockieren von Nutzern bei schwerwiegenden oder wiederholten Verstößen

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an einer vertrauenswürdigen Plattform sowie zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1 lit. b und f DSGVO).

Recht auf menschliche Überprüfung (Art. 22 Abs. 3 DSGVO): Sofern eine automatisierte Entscheidung rechtliche Wirkung für Sie entfaltet (z.B. Sperrung Ihres Kontos oder Entfernung einer Bewertung), haben Sie das Recht, eine Überprüfung durch einen Menschen zu verlangen, Ihren Standpunkt darzulegen und die Entscheidung anzufechten. Wenden Sie sich dazu an moderation@ecom-reviews.de.

18. Datenübermittlung in Drittländer

Einige der von uns eingesetzten Dienste (siehe Abschnitte 4 bis 10) verarbeiten personenbezogene Daten in den USA oder anderen Ländern außerhalb des Europäischen Wirtschaftsraums. Für diese Übermittlungen greifen folgende Schutzmechanismen:

  • EU-U.S. Data Privacy Framework (DPF): Vercel, Google (Analytics), Clerk und Stripe sind unter dem DPF zertifiziert und bieten dadurch ein angemessenes Datenschutzniveau (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023).
  • Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO): Mit Dienstleistern, die nicht unter dem DPF zertifiziert sind (z.B. Twilio/SendGrid, Sentry, Upstash), haben wir die aktuellen Standardvertragsklauseln der EU-Kommission abgeschlossen. Zusätzlich haben wir eine Transfer Impact Assessment (TIA) durchgeführt, um das Schutzniveau im Empfängerland zu bewerten.
  • Auftragsverarbeitungsverträge (Art. 28 DSGVO): Mit allen genannten Dienstleistern bestehen Auftragsverarbeitungsverträge, die den Anforderungen des Art. 28 DSGVO entsprechen.

Neon (Datenbank) betreibt ausschließlich Server in der EU (AWS eu-central-1, Frankfurt) — eine Drittlandübermittlung findet für unsere Anwendungsdaten nicht statt.

19. SSL-/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

20. Rechte der betroffenen Personen

Ihnen stehen als betroffene Person folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu erhalten.
  • Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unrichtige Daten berichtigen zu lassen.
  • Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
  • Widerspruch (Art. 21 DSGVO): Sie haben das Recht, der Verarbeitung Ihrer Daten jederzeit zu widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, eine erteilte Einwilligung jederzeit zu widerrufen.
  • Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständige Aufsichtsbehörde: Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen

21. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.