Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und sonstiger nationaler Datenschutzgesetze ist:

Buzzmatic
[ergänzen: Anschrift]
E-Mail: amine@buzzmatic.com

2. Zweck der Datenverarbeitung

Vericlaim ist ein KI-gestützter Dienst zur Vorabprüfung von Gesundheits- und Kosmetikaussagen auf Konformität mit der europäischen Health-Claims-Verordnung (EG 1924/2006), der Kosmetikverordnung (EG 1223/2009) und den gemeinsamen Kriterien nach EU 655/2013. Wir verarbeiten personenbezogene Daten zur Bereitstellung des Nutzerkontos, zur Durchführung der beauftragten Prüfungen und zur Abrechnung der genutzten Prüfkredite.

3. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und funktionsfähigen Dienst).

4. Welche Daten wir verarbeiten

• Kontodaten: E-Mail-Adresse, verschlüsseltes Passwort, Rolle (Nutzer, Organisations-Admin, Plattform-Admin), Organisationszuordnung.
• Nutzungsinhalte: Produkttexte, Beschreibungen, Etikettentexte und hochgeladene Tabellen, die zur Prüfung übermittelt werden. Diese Inhalte werden an externe KI-Dienstleister weitergegeben (siehe Ziffer 6).
• Nutzungsmetadaten: Prüfkredit-Historie, Zeitstempel, Klassifikationsergebnisse.
• Technische Daten: IP-Adresse, Browsertyp, Zugriffszeit, aufgerufene Seite — gespeichert in den Server-Logs unseres Reverse-Proxys zur Abwehr von Missbrauch.

5. Cookies

Diese Website verwendet ausschließlich technisch notwendige Cookies. Konkret setzen wir nach dem Anmeldevorgang ein verschlüsseltes Sitzungs-Cookie (Name: refresh_token), um Ihre Anmeldung über mehrere Seitenaufrufe hinweg aufrecht zu erhalten. Dieses Cookie ist für den Betrieb des Dienstes unerlässlich (§ 25 Abs. 2 Nr. 2 TTDSG) und bedarf keiner Einwilligung. Marketing-, Analyse- oder Drittanbieter-Cookies werden nicht gesetzt.

6. Empfänger und Drittlandübermittlung

Zur Erbringung der Prüfleistungen geben wir Produkt- und Textinhalte an folgende Auftragsverarbeiter weiter:

• Amazon Web Services EMEA SARL (Luxemburg) — Hosting der Anwendung in der Region eu-central-1 (Frankfurt am Main, Deutschland). Die Daten verlassen das Gebiet der Europäischen Union für diesen Zweck nicht.
• Anthropic PBC (San Francisco, USA) — Betrieb der KI-Klassifikations- und Umformulierungs-Engine (Modell: Claude). Die zu prüfenden Textinhalte werden zur Klassifikation an die Anthropic-API übermittelt. Die Übermittlung in die USA erfolgt auf Grundlage der Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Anthropic verarbeitet die Daten ausschließlich im Rahmen der API-Anfrage und verwendet sie nach eigener Angabe nicht zum Training von Modellen.
• OpenAI, LLC (San Francisco, USA) — Erstellung von Text-Embeddings zur semantischen Suche in unserer EU-Rechtsdatenbank sowie als Fallback-Klassifikator. Die Übermittlung in die USA erfolgt ebenfalls auf Grundlage der Standardvertragsklauseln.

Weitere Empfänger (z.B. Zahlungsdienstleister) werden ergänzt, sobald entsprechende Funktionen live sind.

7. Speicherdauer

Kontodaten werden für die Dauer des Nutzungsverhältnisses gespeichert und nach Kündigung innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z.B. handels- und steuerrechtliche Pflichten nach § 147 AO, 6 Jahre bzw. 10 Jahre) entgegenstehen. Hochgeladene Prüfinhalte und Scan-Ergebnisse werden bis zur aktiven Löschung durch den Nutzer oder bis zum Ende des Vertragsverhältnisses aufbewahrt. Server-Logs werden nach spätestens 30 Tagen anonymisiert oder gelöscht.

8. Ihre Rechte

Sie haben jederzeit folgende Rechte:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)
• Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an amine@buzzmatic.com.

9. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für die Region des Anbieters: [ergänzen: zuständige Landesdatenschutzbehörde, z.B. Bayerisches Landesamt für Datenschutzaufsicht].

10. Sicherheit

Die Kommunikation zwischen Ihrem Browser und unseren Servern erfolgt ausschließlich verschlüsselt über TLS 1.2 oder höher. Anmeldedaten und Sitzungstoken werden als HttpOnly; Secure-Cookies gesetzt und sind für JavaScript nicht zugänglich. Passwörter werden ausschließlich als gesalzene Hashes gespeichert.