Datenschutzerklärung

Stand: 17. Mai 2026 · Version 2.0 · gilt für alle Besucherinnen und Besucher von geoquality.ai

1. Verantwortliche Stelle und Geltungsbereich

Diese Datenschutzerklärung gilt für die Website www.geoquality.ai sowie alle damit verbundenen Online-Dienste unter der Marke geoquality.ai.

Verantwortliche Stelle im Sinne der DSGVO und des revDSG:

Safe In Krypto GmbH
Grundbielstrasse 20
3902 Glis, Schweiz
E-Mail: [email protected]

Diese Erklärung erfüllt die Informationspflichten nach Art. 13 und 14 der Datenschutz-Grundverordnung der EU (DSGVO) sowie nach Art. 19 ff. des revidierten Schweizer Datenschutzgesetzes (revDSG, in Kraft seit 1. September 2023).

2. Grundsätze unserer Datenverarbeitung

geoquality.ai folgt einer bewusst datensparsamen Architektur. Wir möchten Vertrauen aufbauen — nicht nur in der Methodik, mit der wir KI-Sichtbarkeit messen, sondern auch in der Art, wie wir mit Ihren Daten umgehen.

Konkret bedeutet das:

Reichweitenmessung nur mit Ihrer Einwilligung. Wir nutzen Google Analytics, aber nur dann, wenn Sie über unseren Cookie-Banner ausdrücklich zustimmen.
Keine Werbe-Cookies. Wir nutzen keine Werbenetzwerke, keine Retargeting-Pixel, keine Drittanbieter-Werbeskripte.
Keine Datenweitergabe an Marketing-Drittanbieter. Ihre Daten werden nicht für Werbe- oder Marktforschungszwecke an Dritte übermittelt.
Minimal-Set externer Dienstleister. Wir nutzen nur jene Drittanbieter, die für den Betrieb unserer Plattform technisch notwendig sind.
Transparenz über LLM-Anbieter. Da unser Kern-Service auf KI-Sprachmodellen aufbaut, übermitteln wir bestimmte Daten an US-amerikanische KI-Anbieter. Wir nennen jeden dieser Anbieter ausdrücklich und erklären, was übermittelt wird.

3. Übersicht der Verarbeitungen

Zweck	Daten	Rechtsgrundlage	Speicherdauer
Bereitstellung der Website	IP-Adresse, User-Agent, Zeitstempel	Berechtigtes Interesse	Server-Logs max. 30 Tage
Reichweitenmessung (Google Analytics)	Pseudonyme Nutzungsstatistiken, Geräte- und Browserdaten	Einwilligung	14 Monate (GA4-Standard)
Free-Analyzer	Eingegebene URL, IP für Rate-Limiting	Berechtigtes Interesse	URL-Tracking 12 Monate
Registrierung und Login (Supabase, EU-Region Paris)	E-Mail, Auth-Token, ggf. OAuth-Profil	Vertragsanbahnung	Solange Konto besteht
Pro-/Pro-Plus-Nutzung	Profil-Daten, Analyse-Historie	Vertragserfüllung	Solange Konto besteht
KI Prompt Analyzer	Domain, Brand, generierte Fragen, LLM-Antworten	Vertragserfüllung	Cache 24h, Historie 24 Monate
AI GEO-Berater	Chat-Eingaben, Analyse-Kontext	Vertragserfüllung	Siehe 7.7
Zahlungsabwicklung	Stripe Customer-ID, Abo-Daten	Vertragserfüllung + gesetzliche Aufbewahrung	10 Jahre (OR)

4. Rechtsgrundlagen

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO / Art. 31 Abs. 2 lit. a revDSG): Bei Registrierung, Abonnement-Abschluss und Nutzung kostenpflichtiger Funktionen.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO / Art. 31 Abs. 2 lit. d revDSG): Für Sicherheit, Missbrauchsabwehr (Rate-Limiting) und Bereitstellung des Free-Analyzers.
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / Art. 31 Abs. 1 revDSG): Für die Reichweitenmessung mit Google Analytics, die Sie über unseren Cookie-Banner aktiv erteilen oder ablehnen können. Beim Login via Google OAuth willigen Sie zusätzlich in die Verarbeitung Ihrer Google-Profildaten ein. Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Für die handels- und steuerrechtliche Aufbewahrung von Zahlungs- belegen (10 Jahre nach Schweizer OR Art. 957a).

5. Sicherheitsmassnahmen

Wir treffen technische und organisatorische Massnahmen entsprechend dem Stand der Technik:

Transportverschlüsselung: Sämtliche Verbindungen ausschliesslich über HTTPS/TLS.
Sicherheits-Header: Strict-Transport-Security (HSTS), Content-Security-Policy, X-Frame-Options und weitere gegen gängige Web-Angriffe.
Authentifizierung: JSON Web Tokens (JWT) mit serverseitiger Verifikation bei jedem geschützten Aufruf.
Datenbankzugriff: Row Level Security (RLS) in unserer Datenbank stellt sicher, dass jede Nutzerin und jeder Nutzer ausschliesslich eigene Daten sehen kann.
Zahlungs-Webhook: Signatur-Verifikation jeder Stripe-Benachrichtigung vor jeder weiteren Verarbeitung.
Schutz vor Missbrauch: Rate-Limiting (5 Anfragen pro Stunde anonym, 60 pro Stunde authentifiziert).
Trennung von Geheimnissen: API-Schlüssel liegen ausschliesslich im geschützten Backend.

6. Übermittlung in Drittländer (insbesondere USA)

Mehrere unserer Dienstleister haben ihren Sitz in den Vereinigten Staaten von Amerika oder verarbeiten Daten dort. Eine Daten- übermittlung in die USA findet daher regelmässig statt — insbesondere bei den KI-Anbietern (Sektion 7.6) und beim Hosting (Sektion 7.1). Die rechtliche Grundlage ist:

EU-US Data Privacy Framework (EU-US DPF), in Kraft seit 10. Juli 2023: Für Anbieter, die unter diesem Rahmen zertifiziert sind (z.B. Stripe, Google). Stand der Zertifizierung jeweils einsehbar unter dataprivacyframework.gov.
Standardvertragsklauseln der EU-Kommission (Beschluss 2021/914): Für alle übrigen US-Anbieter, mit denen wir Auftragsverarbeitungsverträge abgeschlossen haben.
Schweizer Anerkennung des Swiss-US DPF seit 14. Juli 2024: Für Schweizer Nutzerinnen und Nutzer analog gültig.

Klarstellung Supabase (EU-Verarbeitung): Unsere Datenbank und Authentifizierung laufen bei Supabase Inc., einem US-Unternehmen. Die Datenverarbeitung selbst erfolgt aber ausschliesslich in der EU-Region (Paris, Frankreich, AWS eu-west-3). Für die in Supabase gespeicherten Konto- und Anwendungsdaten findet daher keine USA-Übermittlung statt. Eine US-Konzernzugehörigkeit des Anbieters bleibt bestehen — die operative Datenverarbeitung ist von DSGVO-Schutzniveau abgedeckt, ohne dass es einer Drittland-Übermittlungs- Rechtsgrundlage bedürfte.

Wichtig: Die USA bieten kein Datenschutzniveau, das demjenigen der EU oder der Schweiz vollständig entspricht. US-Behörden können in Einzelfällen auf bei US-Anbietern gespeicherte Daten zugreifen. Wenn Sie diese Datenübermittlung nicht wünschen, können Sie unsere KI-gestützten Funktionen (KI Prompt Analyzer, AI GEO-Berater) nicht nutzen — diese sind ohne externe LLM-Anbieter technisch nicht möglich.

7. Verarbeitungen im Detail

7.1 Hosting und Bereitstellung der Website

Die Website wird gehostet bei Railway Corporation (USA). Beim Aufruf einer Seite werden technisch erforderliche Daten verarbeitet: IP-Adresse, User-Agent, angeforderte URL, Zeitstempel, HTTP-Statuscode.

Zweck: Bereitstellung der Website, Schutz vor Angriffen, Fehleranalyse.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Speicherdauer: Server-Logs maximal 30 Tage.
Datenübermittlung in die USA: Ja, abgesichert durch Standardvertragsklauseln.

7.2 Reichweitenmessung mit Google Analytics

Wir nutzen Google Analytics 4 (Google Ireland Ltd., Dublin / Google LLC, USA) zur statistischen Auswertung der Website-Nutzung. Google Analytics setzt Cookies und ähnliche Identifier ein, um die Nutzung unserer Website zu analysieren.

Erhoben werden insbesondere:

Pseudonyme Nutzungsstatistiken (Pageviews, Sitzungsdauer, Klickpfade)
Geräteinformationen (Browser-Typ, Betriebssystem, Bildschirmgrösse)
Ungefährer Standort (Land, ggf. Region) basierend auf der IP-Adresse
Referrer-URL (über welche Seite Sie zu uns gekommen sind)

Die IP-Adresse wird von Google standardmässig anonymisiert (IP-Anonymisierung aktiv). Die erhobenen Daten werden in zusammengefasster, pseudonymer Form ausgewertet.

Google Consent Mode v2 — Schutz durch Default-Denied: Google Analytics lädt zwar mit jedem Seitenaufruf, sendet aber keine Analyse-Daten an Google, solange Sie unserem Cookie-Banner nicht ausdrücklich zugestimmt haben. Erst nach Ihrer Einwilligung beginnt die Übermittlung.

Zweck: Verstehen, welche Inhalte für unsere Besucherinnen und Besucher relevant sind, und unsere Plattform kontinuierlich verbessern.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / Art. 31 Abs. 1 revDSG), die Sie über unseren Cookie-Banner erteilen.
Speicherdauer: Google Analytics 4 speichert Ereignisdaten standardmässig 14 Monate.
Datenübermittlung in die USA: Ja, an Google LLC, abgesichert durch EU-US DPF (Google ist zertifiziert).

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie im Footer auf "Cookie-Einstellungen ändern" klicken oder die LocalStorage-Einträge in Ihrem Browser löschen. Detaillierte Informationen zur Datenverarbeitung von Google Analytics finden Sie unter policies.google.com/privacy.

7.3 Registrierung und Anmeldung

Für die Nutzung kostenpflichtiger Funktionen ist eine Registrierung erforderlich. Wir nutzen Supabase Inc. als Authentifizierungs- und Datenbank-Provider. Supabase ist zwar ein US-Unternehmen (Konzernzugehörigkeit), unsere konkrete Daten- verarbeitung läuft jedoch ausschliesslich in der EU-Region Paris, Frankreich (AWS-Region eu-west-3). Eine Übermittlung von Konto- oder Anwendungsdaten in die USA findet daher bei dieser Verarbeitung nicht statt.

Folgende Login-Methoden stehen zur Verfügung:

E-Mail + Passwort: E-Mail-Adresse und Passwort-Hash (gesalzen, bcrypt-verschlüsselt).
Magic Link: Anmeldung per Klick auf einen per E-Mail zugesandten Link.
Google OAuth: Anmeldung mit Ihrem Google-Konto. Übermittelt werden ausschliesslich die Standard-Scopes email, profile und openid (E-Mail-Adresse, Google-User-ID, ggf. Vorname/Nachname).

Zusätzlich speichern wir bei der ersten Anmeldung eine Profil-Zeile in unserer Datenbank (Supabase, EU-Region Paris) mit Ihrer Supabase-User-UUID und Ihrer bevorzugten Sprache.

Zweck: Authentifizierung und Vertragsdurchführung.
Rechtsgrundlage: Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO); bei Google OAuth zusätzlich Einwilligung.
Speicherdauer: Solange Ihr Konto besteht. Bei Konto-Löschung werden Ihre Auth-Daten innert 30 Tagen entfernt.
Datenübermittlung in die USA: Bei Supabase findet keine USA-Übermittlung statt (Verarbeitung in EU-Region Paris). Bei Login via Google OAuth werden Ihre Authentifizierungsdaten an Google LLC (USA) übermittelt; abgesichert durch EU-US DPF.

7.4 Free-Analyzer (Nutzung ohne Login)

Unser kostenloser Analyzer unter /analyze kann ohne Registrierung genutzt werden. Folgende Daten werden dabei verarbeitet:

Die von Ihnen eingegebene URL (kann personen- bezogen sein, wenn es sich um eine private Domain handelt).
Ihre IP-Adresse ausschliesslich für Rate-Limiting auf maximal 5 Anfragen pro Stunde — verarbeitet im Server-Speicher, nicht in der Datenbank gespeichert.
Das Analyseergebnis (SEAKT-Score, Sub-Checks) wird pseudonymisiert in einer Tracking-Tabelle gespeichert, ohne Verknüpfung zu Ihrer Identität.
Für die SEAKT-Dimensionen «Entity-Klarheit» (E) und «Content-Qualität» (K) wird der öffentlich abrufbare Inhalt der analysierten Website an Anthropic PBC (USA) zur semantischen Bewertung übermittelt.

Zweck: Bereitstellung des kostenlosen Analyzers, Missbrauchsschutz, anonyme Erfolgsmetrik.
Rechtsgrundlage: Berechtigtes Interesse.
Speicherdauer: URL-Tracking 12 Monate.
Datenübermittlung in die USA: Ja, an Anthropic PBC.

7.5 Pro- und Pro-Plus-Abonnement

Mit einem Pro- oder Pro-Plus-Abonnement nutzen Sie erweiterte Funktionen. Folgende Daten werden zusätzlich verarbeitet:

Profil-Daten (freiwillig): Vorname, Nachname, Firma, Website-URL, Branche.
Analyse-Historie: Alle von Ihnen durchgeführten Analysen mit URL, Domain, Score, Bewertung und Detail-Daten.
Plan-Status: Free, Pro oder Pro Plus, sowie Aktivierungs- und Kündigungsstatus.

Zweck: Vertragsdurchführung, Bereitstellung Ihrer persönlichen Analyse-Historie.
Rechtsgrundlage: Vertragserfüllung.
Speicherdauer: Solange Ihr Konto besteht.

7.6 KI Prompt Analyzer (Pro-Plus-Funktion)

Ausdrücklicher Hinweis: Bei Nutzung des KI Prompt Analyzers werden Daten an fünf verschiedene US-amerikanische KI-Anbieter übermittelt.

Übermittelt werden ausschliesslich:

Die von Ihnen eingegebene Domain
Ihr Brand-Label oder Markenname
Das gewählte Themenfeld
Automatisch generierte Suchanfragen (vom System aus den obigen Angaben erzeugt)

Es werden keine Account- oder Profil-Daten an die LLM-Anbieter übermittelt. Folgende Anbieter erhalten die genannten Daten:

OpenAI, LLC (USA) — ChatGPT-Modelle. Datenschutz: openai.com/policies/api-data-usage-policies
Anthropic, PBC (USA) — Claude. Datenschutz: anthropic.com/legal/commercial-terms
Perplexity AI, Inc. (USA) — Perplexity Sonar API. Datenschutz: perplexity.ai/hub/legal/privacy-policy
Google LLC (USA) — Gemini API. Datenschutz: ai.google.dev/gemini-api/terms
xAI Corp. (USA) — Grok API. Datenschutz: x.ai/legal/privacy-policy

Die LLM-Antworten werden in unserer Datenbank (Supabase, EU-Region Paris) gespeichert (24 Stunden als Cache zur Vermeidung von Doppel-Scans, sowie als Teil Ihrer Analyse-Historie für Verlaufs-Charts).

Hinweis zur Trainingsverwendung: Wir nutzen die kommerziellen API-Tarife der genannten Anbieter. Nach den jeweils aktuellen API-Nutzungsbedingungen dieser Anbieter werden API-Eingaben in den kommerziellen Tarifen nicht standardmässig zum Modell-Training verwendet. Da sich diese Bedingungen ändern können, empfehlen wir, die oben verlinkten Datenschutzerklärungen der Anbieter regelmässig zu prüfen.

Zweck: Messung der Marken-Sichtbarkeit in KI-Suchsystemen — Kernfunktion des Pro-Plus-Abonnements.
Rechtsgrundlage: Vertragserfüllung.
Speicherdauer: 24h Cache, 24 Monate Historie.
Datenübermittlung in die USA: Ja, an fünf Anbieter, abgesichert durch Standardvertragsklauseln bzw. EU-US DPF.

Sie können auf die Nutzung dieser Funktion verzichten, ohne dass Ihr Pro-Plus-Abonnement insgesamt eingeschränkt wird.

7.7 AI GEO-Berater (Pro-Plus-Funktion)

Der AI GEO-Berater ist ein KI-gestützter Chat-Assistent, der zu Ihrer Analyse Fragen beantwortet und Optimierungsvorschläge liefert. Folgende Daten werden dabei verarbeitet:

Ihre Chat-Eingaben (Fragen und Antworten, die Sie tippen)
Der Kontext der aktuell betrachteten SEAKT-Analyse (Domain, Score, Dimensions-Details, Sub-Checks)

Diese Daten werden in Echtzeit an Anthropic, PBC (USA, Claude API) übermittelt. Die Antworten werden in Ihrem Browser angezeigt.

Zweck: Bereitstellung des AI GEO-Beraters als Pro-Plus-Funktion.
Rechtsgrundlage: Vertragserfüllung.
Datenübermittlung in die USA: Ja, an Anthropic PBC, abgesichert durch Standardvertragsklauseln.

7.8 Zahlungsabwicklung über Stripe

Bei kostenpflichtigen Abonnements wird der Bezahlvorgang über Stripe Payments Europe, Limited (Irland) sowie Stripe, Inc. (USA) abgewickelt. Stripe verarbeitet Ihre Zahlungsdaten (Kreditkartennummer, IBAN, etc.) eigenverantwortlich. Wir selbst sehen und speichern Ihre Zahlungsdaten nicht.

Von Stripe an uns weitergegeben werden:

Stripe Customer-ID und Subscription-ID
Plan-Status (active, past_due, cancelled)
Ihre an Stripe übermittelte E-Mail-Adresse
Webhook-Events zu Vertragsänderungen

Wir speichern Stripe-Webhook-Payloads in unserer Datenbank für Audit-Zwecke und Idempotenz-Sicherung.

Zweck: Vertragsdurchführung, Buchhaltung, Audit-Trail.
Rechtsgrundlage: Vertragserfüllung sowie gesetzliche Verpflichtung zur Buchführung (Art. 957a OR).
Speicherdauer: 10 Jahre.
Datenübermittlung in die USA: Ja, an Stripe Inc., abgesichert durch EU-US DPF und Standardvertragsklauseln.

Stripes eigene Datenschutzerklärung: stripe.com/privacy.

7.9 Kommunikation per E-Mail

Wir versenden E-Mails (Magic Links, Passwort-Reset, Support-Antworten) über den Mailservice unseres Authentifizierungsanbieters. Ihre E-Mail-Adresse wird dabei ausschliesslich zur Zustellung verwendet.

Wir versenden keine Marketing-E-Mails ohne Ihre ausdrückliche Einwilligung.

8. Cookies und LocalStorage

Wir nutzen technisch notwendige LocalStorage-Einträge sowie Cookies für die Reichweitenmessung mit Google Analytics (nur bei Ihrer ausdrücklichen Zustimmung über den Cookie-Banner).

Technisch notwendige LocalStorage-Einträge

Diese werden in jedem Fall gespeichert, da sie für die Funktion der Website erforderlich sind:

gq_access_token — Ihr aktueller JWT-Token
gq_email — Ihre E-Mail-Adresse
gq_plan — Ihr aktueller Tarif
gq_pending — Pending-Status während Stripe-Aktivierung
gq_is_pro, gq_is_pro_plus — Cache der Plan-Flags
gq_refresh, gq_expires_at — Refresh-Token und Ablaufzeit
gq_lang — Ihre bevorzugte Sprache (de/fr/it/en)
gq_cookie_consent, gq_cookie_consent_until — Ihre Cookie-Entscheidung

Da diese Einträge ausschliesslich technisch erforderlich sind, ist nach Schweizer Recht und ePrivacy-Richtlinie (Art. 5 Abs. 3) für sie keine vorgängige Einwilligung erforderlich.

Analyse-Cookies (nur mit Ihrer Einwilligung)

Wenn Sie unserem Cookie-Banner zustimmen, setzt Google Analytics folgende Cookies und Identifier:

_ga — Eindeutige User-ID (2 Jahre Gültigkeit)
_ga_<container-id> — Session-Status (2 Jahre Gültigkeit)

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie im Footer auf "Cookie-Einstellungen ändern" klicken.

9. Speicherdauer und Löschung

Wir speichern Ihre Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder wir gesetzlich dazu verpflichtet sind:

Server-Logs: maximal 30 Tage
Google-Analytics-Daten: 14 Monate (GA4-Standard)
Free-Analyzer-URL-Tracking: 12 Monate
Konto- und Profildaten: solange Konto besteht
Analyse-Historie: solange Konto besteht
KI-Prompt-Analyzer-Cache: 24 Stunden
KI-Prompt-Analyzer-Historie: 24 Monate
Stripe-Webhook-Audit: 10 Jahre (Art. 957a OR)
Cookie-Consent-Entscheidung: 12 Monate, danach erneute Abfrage

Sie können die Löschung Ihres Kontos jederzeit unter [email protected] beantragen. Wir löschen Ihre Daten innert 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (insbesondere bei Zahlungsbelegen die 10-jährige Frist nach OR Art. 957a).

10. Ihre Rechte

Ihnen stehen folgende Rechte zu, die Sie jederzeit unter [email protected] ausüben können:

Auskunft (Art. 15 DSGVO / Art. 25 revDSG)

Sie können eine kostenlose Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.

Berichtigung (Art. 16 DSGVO / Art. 32 Abs. 1 revDSG)

Sie können die Berichtigung unrichtiger Daten verlangen.

Löschung (Art. 17 DSGVO / Art. 32 Abs. 2 lit. c revDSG)

Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können verlangen, dass wir Ihre Daten nur eingeschränkt verarbeiten.

Datenübertragbarkeit (Art. 20 DSGVO / Art. 28 revDSG)

Sie können Ihre Daten in einem maschinenlesbaren Format anfordern.

Widerspruch (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten auf Grundlage des berechtigten Interesses jederzeit widersprechen.

Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Bei Verarbeitungen auf Basis Ihrer Einwilligung (insbesondere Google Analytics) können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen — entweder über den Cookie-Banner oder per E-Mail an uns.

Beschwerde bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig sind insbesondere:

Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), edoeb.admin.ch
Deutschland: die jeweilige Landesdatenschutz- behörde Ihres Wohnsitzes (bfdi.bund.de)
Österreich: Österreichische Datenschutzbehörde, dsb.gv.at

11. Aktualisierung dieser Erklärung

Wir aktualisieren diese Datenschutzerklärung, wenn sich unsere Datenverarbeitung wesentlich ändert. Die jeweils aktuelle Version finden Sie immer unter geoquality.ai/datenschutz.

Wesentliche Änderungen kommunizieren wir aktiv per E-Mail an eingeloggte Nutzerinnen und Nutzer.