Datenschutzerklärung
Last updated 2026-06-17
Stand: Juni 2026 · Unverbindliche Arbeitsfassung — eine finale anwaltliche/Datenschutz-Prüfung wird empfohlen.
Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten Benjamin Hellmich („plus×plus“, „wir“) im Rahmen der Nutzung von getadvantage.app verarbeitet, zu welchem Zweck, auf welcher Rechtsgrundlage und welche Rechte Sie als betroffene Person haben. Wir sind auf Klarheit und Ehrlichkeit bedacht: plus×plus misst, wie KI-Systeme eine Website zum Zeitpunkt eines Scans lesen — die resultierenden Bewertungen sind Messwerte, keine Garantien.
Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist Benjamin Hellmich. Kontakt für Datenschutzanfragen: legal@getadvantage.app. Das vollständige Impressum (§ 5 DDG) ist unter /impressum abrufbar.
Welche Daten wir erheben und warum
| Datenkategorie | Verarbeitungszweck | Rechtsgrundlage (Art. 6 DSGVO) |
|---|---|---|
| E-Mail-Adresse und bcrypt-gehashtes Passwort des Kontos | Einrichtung, Absicherung und Betrieb Ihres Nutzerkontos | Vertragserfüllung — Art. 6 Abs. 1 lit. b DSGVO |
| E-Mail-Adresse, die beim Bericht-Freischalten („E-Mail-Gate“) angegeben wird | Freischalten des vollständigen Berichts und ggf. Versand per E-Mail auf Wunsch | Einwilligung — Art. 6 Abs. 1 lit. a DSGVO |
| Feedback über das In-App-Feedback-Widget (Ihre Nachricht und optionale E-Mail-Adresse) | Produktverbesserung und ggf. Rückmeldung an Sie bei hinterlassener E-Mail | Einwilligung — Art. 6 Abs. 1 lit. a DSGVO |
| Von Ihnen zur Analyse eingegebene URLs und die resultierenden Scan-Ergebnisse | Durchführung des Scans sowie Bereitstellung von Verlaufs- und Benchmark-Funktionen (ausschließlich öffentlich abrufbare Fakten) | Vertragserfüllung — Art. 6 Abs. 1 lit. b DSGVO |
| Abrechnungsdaten (werden von Stripe verarbeitet — Ihre Kartendaten gelangen nie auf unsere Server) | Abwicklung von Abonnements und Rechnungen | Vertragserfüllung — Art. 6 Abs. 1 lit. b DSGVO |
| Erstparteige, serverseitige Funnel-Events (kein Cookie, kein Gerätespeicher, keine personenbezogenen Daten im Event) | Verstehen und Verbessern des Produktfunnels | Berechtigtes Interesse — Art. 6 Abs. 1 lit. f DSGVO (Verbesserung und Sicherung des Dienstes) |
Session-Cookie aboard_session (genau ein Cookie; signiertes JWT mit Ihrer Konto-ID und E-Mail) | Aufrechterhaltung der Anmeldung — technisch zwingend erforderlich, kein Tracking- oder Werbe-Cookie | Vertragserfüllung — Art. 6 Abs. 1 lit. b DSGVO |
| Client-IP-Adresse (wird flüchtig im Arbeitsspeicher verarbeitet, nie dauerhaft gespeichert) | Rate-Limiting und Missbrauchs-/Betrugsprävention | Berechtigtes Interesse — Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsabwehr und Schutz des Dienstes) |
Wir verkaufen Ihre Daten nicht, setzen keine Werbe-Tracker ein und erstellen keine seitenübergreifenden Profile. Eine Code-Prüfung hat bestätigt, dass die Website keinerlei Drittanbieter-Tracker lädt. Scan-Ergebnisse enthalten ausschließlich öffentlich beobachtbare Fakten über die von Ihnen übermittelten Seiten.
Cookies und Einwilligung
Wir setzen genau ein Cookie — aboard_session — das technisch zwingend erforderlich ist, um Sie angemeldet zu halten (httpOnly, Secure in der Produktionsumgebung, SameSite=Lax, 30 Tage Laufzeit). Unsere Analyse ist cookielos und serverseitig: Wir messen Funnel-Events auf unseren eigenen Servern, ohne dabei Informationen auf Ihrem Gerät zu speichern oder auszulesen. Da wir keine nicht-essenziellen Informationen auf Ihrem Gerät speichern oder abrufen, ist die Einwilligungspflicht nach § 25 TDDDG nicht ausgelöst — es ist daher kein Cookie-Einwilligungsbanner erforderlich.
Automatisierte Entscheidungsfindung
Wir führen keine automatisierte Entscheidungsfindung durch, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlich erheblicher Weise beeinträchtigt (Art. 22 DSGVO). Der KI-Lesbarkeits-Score ist eine Messung, wie KI-Systeme eine öffentliche Seite zum Zeitpunkt des Scans lesen können — er hat keine rechtliche oder ähnlich bedeutsame Wirkung für betroffene Personen.
Ist die Bereitstellung von Daten verpflichtend?
Die Angabe Ihrer E-Mail-Adresse ist eine vertragliche Anforderung zur Kontoerstellung: Ohne diese können wir das Konto nicht einrichten und den Dienst nicht bereitstellen. Alle übrigen Verarbeitungen sind entweder zur Erbringung einer von Ihnen angeforderten Funktion erforderlich oder beruhen auf Ihrer Einwilligung, die Sie jederzeit mit Wirkung für die Zukunft widerrufen können.
Auftragsverarbeiter (Sub-Processor-Liste)
Wir geben Daten nur an die Auftragsverarbeiter weiter, die zum Betrieb des Dienstes notwendig sind. Jeder Auftragsverarbeiter handelt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO. Die aktuelle Liste ist auch unter /subprocessors einsehbar; unser Auftragsverarbeitungsvertrag (DPA) steht unter /dpa bereit.
| Auftragsverarbeiter | Zweck | Region | Übermittlungsgarantie |
|---|---|---|---|
| Vercel Inc. | Application hosting & content delivery | USA (EU region pinned: fra1) | EU Standard Contractual Clauses / EU-US Data Privacy Framework where certified |
| Neon Inc. | Managed PostgreSQL database (accounts, scans, billing mirror) | EU (Frankfurt) | EU — no third-country transfer |
| Stripe Payments Europe, Ltd. (with Stripe, Inc., USA) | Subscription billing & payment processing | EU / USA | EU Standard Contractual Clauses / EU-US Data Privacy Framework |
| OpenAI, L.L.C. | AI perception & copy generation on scanned content (API; not used to train models) | USA | EU Standard Contractual Clauses |
| Resend (Plus Five Five, Inc.) | Transactional email delivery | USA | EU Standard Contractual Clauses |
| ImprovMX SAS | Inbound email forwarding for getadvantage.app | EU / USA | EU Standard Contractual Clauses |
| Advantage Studio (Mission Control) | Internal operations console operated by the platform operator — receives a captured lead email + domain for founder operations | EU / USA | Intra-operator; EU Standard Contractual Clauses where applicable |
Wenn Sie eine E-Mail-Adresse über das Bericht-Freischalt-Formular einreichen, werden diese Lead-E-Mail sowie die gescannte Domain auch an unsere interne Betriebskonsole (Advantage Studio / Mission Control) weitergeleitet, die vom Betreiber von plus×plus betrieben wird, damit wir auf Gründeranfragen reagieren können. Keine weiteren personenbezogenen Daten werden dorthin übermittelt.
Internationale Datenübermittlungen
Unsere Datenbank (Neon, Frankfurt) hält Konto-, Scan- und Abrechnungsdaten in der EU. Einige Auftragsverarbeiter sind in den USA ansässig — insbesondere Vercel (Hosting, EU-Region fest eingestellt), OpenAI (KI-Wahrnehmung und Textentwurf; die API wird nicht zum Modelltraining verwendet), Resend (transaktionale E-Mails) sowie die US-Gesellschaft von Stripe. Soweit Daten außerhalb des EWR übermittelt werden, sind sie durch EU-Standardvertragsklauseln (2021/914) und, sofern ein Anbieter zertifiziert ist, durch das EU-US-Datenschutzrahmen (Data Privacy Framework) geschützt. Eine Kopie der maßgeblichen Schutzgarantien wird auf Anfrage zur Verfügung gestellt.
Speicherdauer
Wir speichern Konto- und Scan-Daten, solange Ihr Konto aktiv ist. Nach der Kontolöschung werden Konto- und Scan-Daten binnen ca. 30 Tagen gelöscht, soweit keine längere gesetzliche Aufbewahrungspflicht besteht. Abrechnungsunterlagen werden für den gesetzlich vorgeschriebenen Zeitraum nach deutschem Steuer- und Handelsrecht aufbewahrt (§ 147 AO / § 257 HGB — in der Regel 8–10 Jahre). Gate-Capture-E-Mails (Leads) werden gespeichert, bis Sie uns um deren Löschung bitten. Die für das Rate-Limiting verwendete Client-IP-Adresse existiert nur flüchtig im Arbeitsspeicher (Zeitfenster von Minuten) und wird niemals dauerhaft gespeichert.
Sicherheit
Wir ergreifen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO: bcrypt (Cost-12) Passwort-Hashing; signierte JWT-Sessions in httpOnly+Secure-Cookies; strikte Mandantentrennung (jede Datenbankabfrage ist auf Ihre Konto-ID beschränkt); TLS bei der Datenübertragung; eine Postgres-Datenbank in der EU (Neon, Frankfurt); SSRF-gesicherte ausgehende Anfragen mit DNS/IP-Neuvalidierung und Sperrung privater IP-Bereiche; eine globale Content-Security-Policy, HSTS und Sicherheits-Header; IP-basiertes Rate-Limiting; Secrets ausschließlich in Umgebungsvariablen (nie im Repository) und Signaturprüfung bei Abrechnungs-Webhooks. Die gleichen Maßnahmen sind in unserem DPA zusammengefasst.
Ihre Rechte als betroffene Person
Sie haben nach Art. 15–21 DSGVO folgende Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird. Zur Ausübung dieser Rechte wenden Sie sich bitte per E-Mail an legal@getadvantage.app. Sie haben außerdem das Recht, sich bei Ihrer zuständigen Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).
Kinder
plus×plus ist ein Werkzeug für Entwicklerinnen und Entwickler und richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern.
Widerrufsrecht & Verbraucherrechte
Wenn Sie Verbraucher sind, steht Ihnen möglicherweise ein gesetzliches Widerrufsrecht für kostenpflichtige Abonnements zu. Wie dieses Recht funktioniert und das amtliche Muster-Widerrufsformular finden Sie unter /widerruf.
Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung im Zuge der Weiterentwicklung des Dienstes aktualisieren; das oben angegebene Datum der letzten Aktualisierung gibt stets die aktuelle Fassung wieder.