Datenschutz

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf benchverdict ist Kevin Stowasser, KEVIN_TODO_ADDRESS, Deutschland. Die Anschrift ist sichtbar als Platzhalter markiert, bis vor der vollständigen Live-Nutzung eine ladungsfähige Adresse eingetragen wurde. Für Datenschutzanfragen, Auskunftsersuchen, Löschanfragen, Widersprüche und sonstige Anliegen erreichst du benchverdict per E-Mail unter kevin@benchverdict.com. Bitte schreibe möglichst konkret in den Betreff, worum es geht, zum Beispiel Datenschutz-Auskunft, Konto-Löschung oder Cookie-Einwilligung.

benchverdict ist aktuell ein von einer Einzelperson betriebenes Tech- und Benchmark-Portal. Es verbindet redaktionelle Produktbewertungen, strukturierte Produktdaten, eigene BenchVerdict-Werte, Membership-Funktionen, Affiliate-Angebote und interne Admin-Workflows. Diese Datenschutzerklärung beschreibt deshalb nicht nur eine statische Webseite, sondern auch Datenbankfunktionen, Login, Zahlungsabwicklung, Fehler-Monitoring, Bildgestaltung, Redaktions-Workflows und geplante Erweiterungen wie Newsletter oder zusätzliche Redaktionsfunktionen. Wenn sich Rechtsform, Betreiber, Adresse oder Dienstleister ändern, wird diese Erklärung angepasst.

2. Begriffe und Geltungsbereich

Diese Datenschutzerklärung gilt für die Webseite benchverdict.com, für Subdomains, für API-Endpunkte, für Admin- und Account-Bereiche sowie für alle Funktionen, die unter der Marke benchverdict angeboten werden. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu können E-Mail-Adresse, Name, IP-Adresse, Login-Status, Stripe-Kunden-ID, Session-Token, Nutzungszeitpunkte, Support-Anfragen und freiwillige Inhalte gehören.

Nicht jede Zahl in der Produktdatenbank ist personenbezogen. Benchmark-Werte, Produktnamen, Spezifikationen, redaktionelle Texte, Produktbilder und Messdaten über Laptops, Smartphones oder Smartwatches sind grundsätzlich Sachdaten. Personenbezug entsteht erst, wenn solche Daten mit einem Nutzerkonto, einer Zahlung, einem Kontaktformular, einem Admin-Account, einem Affiliate-Klick eines eingeloggten Nutzers oder einer Support-Anfrage verbunden werden. Diese Trennung ist wichtig, weil BenchVerdict-Daten dauerhaft für Vergleichbarkeit erhalten bleiben sollen, während personenbezogene Account-Daten löschbar bleiben.

3. Datenverarbeitung im Überblick

Beim normalen Seitenaufruf werden technische Logdaten verarbeitet: IP-Adresse oder gekürzte IP, Datum, Uhrzeit, URL, Referrer, User-Agent, HTTP-Status, Region des Edge-Standorts und technische Header. Wenn du dich anmeldest, verarbeitet benchverdict zusätzlich Kontodaten wie Name, E-Mail, Rolle, Membership-Tier, Subscription-Status, Login-Zeitpunkte und Session-Informationen. Wenn du bezahlte Funktionen nutzt, entstehen Zahlungsreferenzen wie Stripe Customer ID, Subscription ID und Abonnementstatus.

Weitere Daten entstehen durch freiwillige Eingaben. Dazu gehören Review-Entwürfe, Admin-Notizen, Produktdatenpflege, Affiliate-Angebote, Support-E-Mails, spätere Newsletter-Anmeldungen oder Anfragen zu Betroffenenrechten. Für Affiliate-Klicks speichert benchverdict zur Missbrauchsvermeidung und anonymen Statistik Offer-ID, Zeitpunkt, Referrer, User-Agent, eine gehashte IP und, falls du eingeloggt bist, optional die User-ID. Nicht notwendige Cookies und vergleichbare Speicherungen werden erst nach Einwilligung aktiviert.

4. Rechtsgrundlagen

Die Verarbeitung stützt sich je nach Zweck auf unterschiedliche Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO. Art. 6 Abs. 1 lit. a DSGVO gilt, wenn du eine Einwilligung gibst, etwa für Statistik-Cookies, Marketing-Cookies oder spätere Newsletter. Art. 6 Abs. 1 lit. b DSGVO gilt, wenn Daten für Konto, Login, Membership, Stripe-Checkout, Kundenportal oder Bereitstellung bezahlter Inhalte notwendig sind.

Art. 6 Abs. 1 lit. c DSGVO gilt, wenn gesetzliche Pflichten bestehen, vor allem steuerliche und handelsrechtliche Aufbewahrungspflichten für Zahlungs- und Rechnungsdaten. Art. 6 Abs. 1 lit. f DSGVO gilt für berechtigte Interessen wie sicheren Webseitenbetrieb, Angriffserkennung, Fehlerbehebung, Missbrauchsvermeidung, anonymisierte Affiliate-Statistik, technische Admin-Logs und Wahrung redaktioneller Integrität. Wo berechtigte Interessen genutzt werden, wird geprüft, ob deine Interessen oder Grundrechte überwiegen.

5. Hosting bei Vercel Inc.

benchverdict wird über Vercel bereitgestellt. Vercel verarbeitet technische Zugriffsdaten, um Seiten, API-Routen, Edge-Funktionen und OG-Bilder auszuliefern. Anbieter ist Vercel Inc. mit Sitz in den USA. Je nach Route können Daten an Edge-Standorten in der EU oder außerhalb der EU verarbeitet werden. Für internationalen Übermittlungen kommen Standardvertragsklauseln nach Art. 46 DSGVO und ergänzende technische Massnahmen zum Einsatz. Die Privacy Policy von Vercel ist unter https://vercel.com/legal/privacy-policy abrufbar.

Die geplante Log-Retention für Vercel-Edge-Logs beträgt 7 Tage. Diese kurze Frist soll technische Fehlersuche und Sicherheitsanalyse erlauben, ohne langfristige Surfprofile zu erzeugen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in stabiler, schneller und sicherer Auslieferung. Die Aktivierung der 7-Tage-Retention muss im Vercel-Dashboard nachvollziehbar dokumentiert werden; die interne Anleitung liegt in docs/dsgvo/log-retention.md.

6. Datenbank bei Neon Tech, Inc.

Die Produktionsdatenbank ist für Neon Postgres vorgesehen, bevorzugt in der EU-Region Frankfurt. Neon speichert Produktdaten, Messwerte, Accounts, Sessions, Reviews, Affiliate-Angebote, Affiliate-Klicks, Stripe-Referenzen, Parse-Jobs und Admin-Daten. Benchmark- und Produktdaten sind meist nicht personenbezogen. Personenbezogene Daten entstehen bei Nutzerkonten, Sessions, Zahlungsreferenzen, Admin-Reviews und Klickdaten, soweit sie einem Nutzer zugeordnet werden können.

Kontodaten werden gespeichert, solange dein Konto besteht. Messwerte und Produktdaten können dauerhaft gespeichert werden, weil sie keine personenbezogenen Daten darstellen oder nach Löschung eines Kontos anonymisiert fortbestehen. Affiliate-Klickdaten werden nach 90 Tagen anonymisiert, indem User-ID, User-Agent und Referrer entfernt werden. Technische Logs in der Datenbank werden grundsätzlich auf rolling 90 Tage begrenzt, sofern keine Sicherheits- oder Rechtsgründe dagegen sprechen. Neon Privacy: https://neon.tech/privacy-policy.

7. Zahlungsabwicklung mit Stripe

Bezahlte Membership-Funktionen werden über Stripe Payments Europe Ltd. abgewickelt. Stripe sitzt in Irland; der Mutterkonzern hat Bezug zu den USA. Für Transfers werden Standardvertragsklauseln genutzt. benchverdict speichert nicht deine Kartennummer und verarbeitet keine vollständigen Zahlungsdaten selbst. Stripe verarbeitet Zahlungsmittel, Rechnungsdaten, Betrugspräventionsdaten und Zahlungsstatus. benchverdict speichert Customer ID, Subscription ID, Subscription-Status, Laufzeitende und Webhook-Ereignisse.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, weil die Zahlungsabwicklung für die Membership erforderlich ist. Für Rechnungs- und Buchhaltungsdaten gilt Art. 6 Abs. 1 lit. c DSGVO; solche Daten können nach HGB und AO bis zu 10 Jahre aufzubewahren sein. Stripe-Checkout- und Portal-Cookies gelten als unbedingt erforderlich, weil sichere Zahlung und Abonnementverwaltung sonst nicht funktionieren. Sie werden daher nicht durch den Marketing- oder Statistik-Consent blockiert. Stripe Privacy: https://stripe.com/privacy.

8. Fehler-Monitoring mit Sentry

Sentry wird für Server-seitige Fehleranalyse und, nach Statistik-Einwilligung, für Client-seitige Fehleranalyse eingesetzt. Server-seitige Verarbeitung betrifft Fehler in API-Routen, Importen, Stripe-Webhooks und Admin-Funktionen. Client-seitige Verarbeitung wird erst nach aktiver Einwilligung in die Kategorie Statistik gestartet. Ohne Einwilligung initialisiert benchverdict Sentry im Browser nicht. Bei Widerruf wird Client-Sentry geschlossen.

Sentry-Ereignisse werden vor Versand redigiert. E-Mail-Muster werden durch [email-redacted] ersetzt, Request-Cookies, Authorization-Header, Cookie-Header, Request-Body, User-E-Mail, Username und IP-Adresse werden entfernt. Erhalten bleiben können technische Informationen wie Route, Stacktrace, Browser, Release und eine interne User-ID, wenn sie für Audit und Fehlerbehebung erforderlich ist. Rechtsgrundlage ist für Server-Fehler Art. 6 Abs. 1 lit. f DSGVO und für Browser-Fehler Art. 6 Abs. 1 lit. a DSGVO.

9. Bildgenerierung für Produktillustrationen mit Higgsfield

Wir generieren Produktdarstellungen über den Dienst Higgsfield. Die übermittelten Daten enthalten keinen Personenbezug, sondern nur Produktname, Produktkategorie und Stil-Parameter. Es werden keine Nutzerprofile, keine Accountdaten, keine E-Mail-Adressen und keine personenbezogenen Inhalte an Higgsfield gesendet. Ziel ist die Erzeugung eigener Bildassets, nicht die Analyse von Nutzerverhalten. Die Ergebnisse werden im Admin-System dokumentiert, inklusive Prompt-Version, Status, Modell und Generierungszeitpunkt.

Higgsfield hat nach aktuellem Plan Sitz oder relevante Verarbeitung in den USA. Soweit personenbezogene Daten betroffen wären, kämen Standardvertragsklauseln und ein AVV/DPA in Betracht. Da der aktuelle Datenfluss nur Sachdaten über Produkte enthält, ist das Risiko geringer, wird aber dennoch in der Dienstleisterliste dokumentiert. Rechtsgrundlage für die Verarbeitung produktbezogener Prompts ist Art. 6 Abs. 1 lit. f DSGVO: redaktionelle Gestaltung und visuelle Qualität der Webseite.

10. Rate-Limiting mit Upstash

Bestimmte API-Routen sind gegen Missbrauch durch Rate-Limits geschützt. Dafür kann Upstash Redis eingesetzt werden. Der Rate-Limit-Schlüssel wird aus Scope und IP-Adresse oder einem vergleichbaren technischen Merkmal abgeleitet. Ziel ist nicht Profiling, sondern Schutz vor Spam, Credential-Stuffing, Webhook-Missbrauch, Import-Missbrauch und übermäßiger Last. Wenn Upstash nicht konfiguriert ist, nutzt benchverdict eine temporäre In-Memory-Variante ohne dauerhafte Speicherung.

Für den produktiven Einsatz soll Upstash in einer EU-Region laufen. Die Speicherdauer für Rate-Limit-Einträge ist kurz und orientiert sich am jeweiligen Fenster, typischerweise eine Stunde oder weniger. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO, weil die Plattform vor Missbrauch geschützt werden muss. Upstash Privacy: https://upstash.com/privacy.

10a. Newsletter mit Resend

Wenn du dich für den benchverdict Newsletter anmeldest, verarbeiten wir deine E-Mail-Adresse, die Anmeldeseite der Anmeldung, einen Double-Opt-In-Token, einen Abmeldetoken, Zeitpunkte der Anmeldung und Bestätigung sowie einen Hash der IP-Adresse bei der Bestätigung. Der IP-Hash wird mit einem geheimen Salt gebildet und dient nur dem Nachweis der Einwilligung. Ohne Klick auf den Bestätigungslink bekommst du keinen Newsletter.

Der Versand erfolgt über Resend, Inc. mit möglicher Verarbeitung in den USA. Für internationalen Übermittlungen kommen Standardvertragsklauseln und ein Data Processing Addendum in Betracht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO. Du kannst die Einwilligung jederzeit über den Abmeldelink in jeder E-Mail oder per E-Mail an kevin@benchverdict.com widerrufen. Nach Abmeldung speichern wir den Datensatz nur noch zur Sperr- und Nachweislogik; operative Versandlisten werden nicht weiter genutzt.

11. Affiliate-Tracking

Affiliate-Links werden klar als Angebote oder Partnerlinks gekennzeichnet. Beim Klick speichert benchverdict serverseitig Offer-ID, Zeitpunkt, gehashte IP, Referrer, User-Agent und, falls du eingeloggt bist, optional deine User-ID. Die IP wird mit SHA-256 und Secret-Salt gehasht. Das dient Anti-Fraud, Plausibilitätsprüfung, Merchant-Auswertung und anonymer Statistik. Es wird kein personenbezogenes Werbeprofil erstellt und keine Klickhistorie an Partneranbieter weitergegeben.

Ein zusätzlicher Browser-Cookie für Affiliate-Sessions wird nur gesetzt, wenn du Marketing-Consent erteilt hast. Ohne Marketing-Consent bleibt es bei serverseitiger, minimierter Klickprotokollierung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Nach 90 Tagen anonymisiert ein Cron die Klickdaten, indem User-ID, Referrer und User-Agent entfernt werden. Der IP-Hash bleibt für aggregierte Missbrauchsanalyse erhalten, ohne dass benchverdict die ursprüngliche IP rekonstruieren kann.

12. Cookies und vergleichbare Technologien

benchverdict nutzt ein zentrales Cookie-Inventar. Notwendige Cookies betreffen Consent-Speicherung, Login, CSRF-Schutz, Callback-URL und Stripe-Zahlung. Sie sind nach TTDSG erforderlich und können nicht abgewählt werden. Präferenzen, Statistik und Marketing sind standardmäßig aus und werden nur nach Opt-in aktiviert. Die Consent-Entscheidung selbst wird für 12 Monate im Cookie bv_consent_v1 gespeichert.

Theme- und Sprachwahl sind Präferenzspeicherungen. Wenn du eine solche Funktion aktiv nutzt, werten wir die konkrete Handlung als Einwilligung für genau diese einzelne Präferenz, weil du die Speicherung selbst auslöst. Das ist kein Freibrief für Statistik oder Marketing. Die vollständige Tabelle steht auf der Seite /cookies und wird aus dem technischen Inventar gerendert. Über den Footer-Link Cookie-Einstellungen kannst du deine Entscheidung jederzeit ändern oder alle optionalen Kategorien widerrufen.

13. Account, Sessions und Membership

Wenn du ein Konto nutzt, verarbeitet benchverdict Name, E-Mail-Adresse, Passwort-Hash bei Credentials-Login, Rolle, Membership-Tier, Subscription-Status, Stripe-IDs, Sessions, OAuth-Accounts, Erstellungs- und Aktualisierungszeitpunkte. Passwort-Hashes werden nie im Klartext gespeichert. Session-Cookies sind technisch notwendig, weil ohne sie keine Anmeldung, kein Accountbereich und kein Adminschutz möglich wären.

Im Accountbereich gibt es eine Datenschutz-Sektion mit Self-Service für Datenauskunft, Datenexport und Konto-Löschung. Der Export liefert die zu deinem Konto gespeicherten Daten als JSON, ohne Passwort-Hash. Bei Löschung werden öffentliche Reviews nicht gelöscht, sondern anonymisiert, damit redaktionelle Inhalte und Produktvergleiche konsistent bleiben. Der Autor wird auf Gelöschter Nutzer gesetzt, Affiliate-Klicks werden entkoppelt und der User-Datensatz wird entfernt.

13a. Produkt-Finder und gespeicherte Präferenzen

Der Produkt-Finder kann ohne Login im Browser genutzt werden. In diesem Fall werden die Auswahlwerte nur im laufenden Seitenzustand verarbeitet: Gerätekategorie, Einsatzprofile, Budget, Größenwunsch, Akku-Priorität, Gewichtslimit und Markenpräferenzen. Diese Werte dienen ausschließlich dazu, passende Produkte aus der BenchVerdict-Datenbank zu sortieren und Top-Empfehlungen anzuzeigen.

Wenn du eingeloggt bist und dein Finder-Profil aktiv speicherst, werden diese Präferenzen deinem Nutzerkonto zugeordnet in der Datenbank gespeichert. Zweck ist, spätere Empfehlungen schneller wiederherzustellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bei Account-Funktionen und Art. 6 Abs. 1 lit. f DSGVO für die Verbesserung der Produktauswahl. Du kannst gespeicherte Präferenzen durch Überschreiben oder Konto-Löschung entfernen lassen.

13b. Preisalarme

Preisalarme sind eine optionale Account-Funktion für Mitglieder. Wenn du einen Zielpreis speicherst, verarbeitet benchverdict deine User-ID, das ausgewählte Produkt, Zielpreis, Währung, Erstellungszeitpunkt und gegebenenfalls den Auslösezeitpunkt. Diese Daten werden nicht für Werbeprofile genutzt, sondern nur, um Preisentwicklungen gegen deinen gespeicherten Zielwert zu prüfen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, weil Preisalarme eine angeforderte Member-Funktion sind. Die Daten bleiben gespeichert, bis du den Alarm löschst oder dein Konto gelöscht wird. Solange noch keine echten Preisadapter aktiv sind, zeigt benchverdict nur den vorbereiteten Verlauf und löst keine Partnerhändler-Abfragen aus.

14. Deine Rechte als betroffene Person

Du hast nach der DSGVO das Recht auf Auskunft nach Art. 15, Berichtigung nach Art. 16, Löschung nach Art. 17, Einschränkung der Verarbeitung nach Art. 18, Datenübertragbarkeit nach Art. 20, Widerspruch nach Art. 21 und Widerruf einer Einwilligung nach Art. 7 Abs. 3. Wenn du eingeloggt bist, findest du Self-Service-Buttons unter /account/privacy. Alternativ kannst du dich per E-Mail an kevin@benchverdict.com wenden.

Anfragen werden grundsätzlich innerhalb eines Monats beantwortet. Wenn eine Anfrage besonders komplex ist oder viele Datensätze betrifft, kann die Frist nach DSGVO verlängert werden; dann wirst du informiert. Bei Löschung können bestimmte Daten weiterhin gespeichert werden, wenn gesetzliche Pflichten, Rechtsansprüche, Betrugsprävention oder technische Backups dies erfordern. Backups werden nach der regulären Frist überschrieben; produktive Daten werden sofort gelöscht oder anonymisiert, soweit rechtlich möglich.

15. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig kann die Behörde deines Aufenthaltsortes, Arbeitsplatzes oder des Ortes des mutmaßlichen Verstosses sein. Für Bremen ist die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen zuständig. Die Kontaktdaten müssen vor finaler Live-Schaltung durch den Betreiber geprüft und in der internen Incident-Dokumentation aktuell gehalten werden.

Eine Beschwerde bei der Behörde ist unabhängig davon möglich, ob du vorher Kontakt mit benchverdict aufgenommen hast. Praktisch ist es oft sinnvoll, zuerst direkt eine E-Mail zu schreiben, damit Fehler schnell korrigiert werden können. Das schränkt dein Beschwerderecht nicht ein. benchverdict dokumentiert Datenschutzprozesse intern in docs/dsgvo, damit Anfragen, Vorfälle und Dienstleisterwechsel nachvollziehbar bleiben.

16. Speicherdauer und Löschkonzept

Kontodaten bleiben bis zur Löschung des Kontos gespeichert. Sessions laufen technisch aus oder werden bei Logout ungültig. Stripe-Referenzen bleiben so lange erhalten, wie sie für Vertrag, Zahlung, Steuerrecht oder Streitbeilegung notwendig sind. Rechnungsdaten können 10 Jahre aufzubewahren sein. Affiliate-Klickdaten werden nach 90 Tagen anonymisiert. Vercel-Edge-Logs sollen 7 Tage gespeichert werden. Sentry-Events sollen kurz gehalten werden, typischerweise 30 Tage, sofern die Projektkonfiguration nichts anderes verlangt.

Produktdaten, Messwerte, BenchVerdict-Normalisierungen, anonyme Statistiken und redaktionelle Reviews können dauerhaft gespeichert werden, weil sie das öffentliche Produkt bilden und in der Regel keinen Personenbezug haben. Wenn ein Nutzerkonto gelöscht wird, werden seine personenbezogenen Verknüpfungen entfernt. Backups können für kurze Zeit noch Kopien enthalten; sie werden nicht für den normalen Betrieb genutzt und nach dem Backup-Zyklus überschrieben.

17. Sicherheit und Änderungen

benchverdict nutzt HTTPS, rollenbasierte Admin-Bereiche, Auth.js, CSRF-Schutz, Stripe-Signaturprüfung, Rate-Limits, Sentry-Redaction, getrennte Admin-Endpunkte, Prisma-Schema-Kontrollen und dokumentierte Incident-Prozesse. Absolute Sicherheit gibt es nicht, aber Datenschutz und Sicherheit werden als Produktbestandteil behandelt. Bei einem Verdacht auf Datenpanne gilt ein internes 72-Stunden-Runbook nach Art. 33 und 34 DSGVO.

Diese Datenschutzerklärung wird aktualisiert, wenn neue Dienstleister, Tracking-Tools, Newsletter, AdSense, Funding Choices, Kommentare, Community-Funktionen oder neue personenbezogene Produktdatenbereiche hinzukommen. Jede neue PII-Verarbeitung muss im selben Pull Request in Privacy, Cookie-Inventar, VVT und AVV-Dokumentation nachgezogen werden. Stand: 05.05.2026. Diese Erklärung ersetzt keine individuelle Rechtsberatung, sie bildet aber den aktuellen technischen und organisatorischen Stand von benchverdict ab.

18. Produktdaten und manuelle Redaktion

Viele Inhalte auf benchverdict entstehen durch redaktionelle Recherche, manuelle Datenpflege und strukturierte Redaktionsprozesse. Produktdaten, Spezifikationen, Benchmarks, Preise, Affiliate-Angebote und Review-Entwürfe werden im Admin-Bereich strukturiert verarbeitet. Diese Daten betreffen in der Regel Produkte und Unternehmen, nicht einzelne Nutzer. Personenbezug kann aber entstehen, wenn ein Admin als Autor gespeichert wird, wenn ein Review-Entwurf einem Nutzerkonto zugeordnet ist oder wenn ein Affiliate-Klick einem eingeloggten Nutzer gehört.

Interne Admin-Aktivitäten werden nicht dazu genutzt, persönliche Leistungsprofile über einzelne Redakteure oder Nutzer zu erstellen. Der Zweck liegt in Nachvollziehbarkeit, Qualitätssicherung, Sicherheit und Korrekturfähigkeit. Wenn benchverdict später mehrere Mitarbeitende, freie Autoren oder Lab-Tester außerhalb des Kernteams einbindet, muss diese Datenschutzerklärung erweitert werden. Dann sind Rollen, Zugriffskonzepte, Autorenprofile, Rechte an Inhalten und Löschpfade gesondert zu dokumentieren.

19. Minderjährige und sensible Daten

benchverdict richtet sich nicht gezielt an Kinder oder Minderjährige. Die Inhalte betreffen Technikprodukte, Kaufberatung, Benchmarks, Membership und redaktionelle Reviews. Ein Konto sollte nur angelegt werden, wenn du selbst wirksam einwilligen oder Vertrage abschliessen kannst oder eine entsprechende Zustimmung vorliegt. Wenn bekannt wird, dass ein Konto ohne erforderliche Zustimmung angelegt wurde, kann es gelöscht werden.

Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, etwa Gesundheitsdaten, politische Meinungen, Religion, Gewerkschaftszugehörigkeit oder biometrische Daten, sollen nicht verarbeitet werden. Bitte sende solche Daten nicht per E-Mail, nicht in Support-Anfragen und nicht in späteren Community-Funktionen. Falls solche Daten versehentlich eingehen, werden sie gelöscht oder geschwärzt, soweit keine rechtlichen Gründe entgegenstehen.

20. Backups, Wiederherstellung und Datenpannen

Backups sind für einen sicheren Betrieb notwendig. Sie können kurzfristig Daten enthalten, die im Produktivsystem bereits gelöscht wurden. benchverdict nutzt Backups nicht für normale Auswertungen und stellt gelöschte Kontodaten nicht ohne Rechtsgrund wieder her. Die geplante Karenz für Backups im Account-Hinweis beträgt 7 Tage; danach sollen gelöschte personenbezogene Daten durch den regulären Backup-Zyklus überschrieben sein.

Bei einem Datenschutzvorfall wird zunächst der technische Umfang ermittelt: Welche Systeme sind betroffen, welche Datenkategorien, wie viele Personen, welcher Zeitraum, welche Folgen? Wenn ein Risiko für Betroffene besteht, erfolgt eine Meldung an die zuständige Aufsichtsbehörde innerhalb der gesetzlichen Frist. Bei hohem Risiko werden Betroffene direkt informiert. Das interne Incident-Response-Runbook dokumentiert die Schritte, Verantwortlichkeiten und vorbereitete Kommunikationswege.

21. Internationale Übermittlungen und Schutzmassnahmen

Einige Dienstleister sitzen in den USA oder haben US-Muttergesellschaften. Das betrifft insbesondere Vercel, Sentry, Higgsfield, Upstash, GitHub und später möglicherweise Google AdSense. Internationale Übermittlungen werden nicht leichtfertig eingesetzt. Wenn ein EU-Standort verfügbar ist, soll er bevorzugt werden. Wo ein internationale Übermittlung stattfindet, werden Standardvertragsklauseln, Data Processing Agreements, kurze Speicherdauern, Datenminimierung und technische Redaction kombiniert.

Das Risiko internationaler Datenverarbeitung kann nie vollständig ausgeschlossen werden. Deshalb werden personenbezogene Daten nicht unnötig an solche Anbieter gesendet. Bei Produktillustrationen bleiben übermittelte Daten produktbezogen. Bei Sentry werden PII-Muster entfernt. Bei Upstash sollen kurze Fenster und EU-Regionen genutzt werden. Bei AdSense darf eine Aktivierung erst erfolgen, wenn Consent, Funding Choices, AVV-Status und Privacy-Update abgeschlossen sind.

Wenn ein Dienstleister seine Bedingungen, Region, Unterauftragnehmer oder Speicherdauer wesentlich ändert, muss benchverdict die Folgen prüfen. Das kann bedeuten, den Anbieter neu zu bewerten, Datenflüsse zu stoppen, eine Alternative zu suchen oder diese Erklärung zu aktualisieren. internationale Übermittlung ist kein einmaliger Haken, sondern ein laufender Kontrollpunkt, der bei jedem neuen Tool erneut dokumentiert und technisch begründet werden muss.

Cookie-Kurzliste aus dem Inventar