Datenschutzerklärung

1. Verantwortlicher

Ohja.ai GmbH
Ritterstraße 8, c/o Pioneers Club
33602 Bielefeld, Deutschland
E-Mail: datenschutz@ohja.ai

Die Ohja.ai GmbH ist als Betreiber von Rezensu verantwortlich für die in dieser Datenschutzerklärung beschriebene Verarbeitung personenbezogener Daten.

2. Welche Daten wir erheben und verarbeiten

a) Zugriff auf die Website (Server-Logs)

Beim Aufrufen unserer Website überträgt Ihr Browser automatisch Daten, die von unserem Hosting-Dienstleister in Server-Logdateien gespeichert werden:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• Name und URL der aufgerufenen Datei
• Referrer-URL (zuvor besuchte Seite)
• Browsertyp, Version und Betriebssystem

Diese Daten verarbeiten wir zur Sicherstellung der Stabilität, Sicherheit und Funktionsfähigkeit unserer Website (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO).

b) Registrierung, Authentifizierung und Kommunikation

Bei der Registrierung (z.B. über „Magic Link") erheben wir Ihre E-Mail-Adresse und verarbeiten Profildaten zur Bereitstellung Ihres Accounts (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung). Die Authentifizierung erfolgt über Supabase. Der Versand von systemrelevanten E-Mails (Logins, Alerts) erfolgt über Resend.

c) Zahlungsabwicklung (Stripe)

Die Zahlungsabwicklung für unsere Abonnements erfolgt ausschließlich über Stripe. Wir erheben und speichern selbst keine Zahlungsdaten (wie Kreditkartennummern) auf unseren Servern. Diese Daten werden direkt vom Kunden in die Schnittstelle von Stripe eingegeben und dort verarbeitet. Wir erhalten von Stripe lediglich einen Status zur Zahlung und eine Rechnungs-/Kunden-ID zur Zuordnung (Art. 6 Abs. 1 lit. b DSGVO).

d) Kerndienstleistung: Datenverarbeitung im Dashboard (Scraping & KI-Analyse)

Bei der vertragsgemäßen Nutzung von Rezensu verarbeiten wir folgende Daten:

• Google Maps URL / Standortdaten Ihres Unternehmens
• Öffentlich zugängliche Google-Rezensionen Ihres Standorts (welche Namen, Profilbilder und Klartexte der Rezensenten enthalten können)
• Analyseergebnisse der KI-gestützten Richtlinienprüfung (Gemini API)
• Log-Daten zum Status von verarbeiteten und gemeldeten Rezensionen

Rechtliche Einordnung: Wir rufen diese Daten automatisiert über Crawler-Dienste (z.B. Apify) ab und übergeben sie zur linguistischen Auswertung an die Google Gemini API. Da es sich hierbei um Daten Ihrer Kunden bzw. der Allgemeinheit handelt, agieren wir in diesem Kontext als Ihr Auftragsverarbeiter (Art. 28 DSGVO). Die Speicherung der analysierten Daten erfolgt mandantenisoliert (Row Level Security) in unserer Supabase-Datenbank in Frankfurt.

e) Webanalyse (Google Analytics 4)

Sofern Sie über unser Cookie-Banner ausdrücklich Ihre Einwilligung erteilt haben (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG), setzen wir Google Analytics 4 (GA4) der Google Ireland Limited ein, um das Nutzerverhalten auf unserer Website anonymisiert zu analysieren. Dabei können Cookies auf Ihrem Gerät gespeichert und Informationen (inkl. gekürzter IP-Adresse) an Server von Google, ggf. auch in den USA, übertragen werden. Sie können Ihre Einwilligung jederzeit widerrufen: Cookie-Einstellungen ändern.

f) Notwendige Cookies & Local Storage

Für die Bereitstellung des Logins und zur Session-Verwaltung setzen wir technisch zwingend erforderliche Cookies und Local-Storage-Technologien ein (Rechtsgrundlage: § 25 Abs. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. f DSGVO). Eine Einwilligung ist hierfür nicht erforderlich.

3. Auftragsverarbeiter und Datenübermittlung in Drittländer

Für den performanten und sicheren Betrieb unserer SaaS-Lösung setzen wir spezialisierte Drittanbieter ein:

Drittlandtransfer: Einige unserer Partner (z.B. Stripe, Resend, Google, Vercel) sind US-Unternehmen. Soweit personenbezogene Daten in die USA oder andere unsichere Drittländer übertragen werden, stellen wir sicher, dass dies auf Basis angemessener Garantien erfolgt. Dies geschieht in der Regel durch Zertifizierungen nach dem EU-US Data Privacy Framework (DPF) oder durch den Abschluss von EU-Standardvertragsklauseln (SCCs).

4. Speicherdauer

Ihre Daten werden nur so lange gespeichert, wie dies für die Vertragserfüllung notwendig ist. Wenn Sie Ihr Abonnement kündigen und die Löschung Ihres Kontos anfordern, werden Ihre Account-Daten sowie die abgerufenen Rezensionen unwiderruflich gelöscht, sofern dem keine gesetzlichen Aufbewahrungsfristen (z.B. steuerrechtliche Pflichten gem. AO für Rechnungsdaten) entgegenstehen.

5. Ihre Rechte als betroffene Person

Gemäß der DSGVO haben Sie (und im Rahmen der Auftragsverarbeitung ggf. Ihre Endkunden) folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerruf bzw. Widerspruch (Art. 7 Abs. 3 / Art. 21 DSGVO): Sie können der Verarbeitung bei berechtigten Interessen widersprechen und Einwilligungen (z.B. für GA4) jederzeit widerrufen.
• Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Art. 77 DSGVO).

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: datenschutz@ohja.ai

6. Datensicherheit

Wir schützen Ihre Daten durch moderne technische und organisatorische Maßnahmen (TOMs). Die gesamte Datenübertragung erfolgt verschlüsselt (SSL/TLS). Der Zugriff auf Kundendaten in der Datenbank ist durch strikte Row Level Security (RLS) mandantenfähig abgeschottet.

7. Datenschutzbeauftragter

Die Ohja.ai GmbH erfüllt derzeit nicht die Voraussetzungen zur gesetzlichen Pflichtbestellung eines externen/internen Datenschutzbeauftragten, da wir in der Regel weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Ihre datenschutzrechtlichen Anliegen bearbeiten wir zentral über das Postfach datenschutz@ohja.ai (inkl. dsgvo@ohja.ai), welches durch die Geschäftsführung direkt überwacht wird.

8. Änderungen dieser Erklärung

Wir passen diese Erklärung gelegentlich an, um sie an technische oder rechtliche Änderungen anzugleichen. Die jeweils aktuelle Version ist dauerhaft auf dieser Website abrufbar.