Allgemeine Geschäftsbedingungen

§ 1 Geltungsbereich und Anbieter

(1) Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für die Nutzung des kostenlosen Online-Dienstes „DSGVO Scanner" (nachfolgend „Dienst"), bereitgestellt von:

Die Gesellschaft befindet sich in Gründung (i. G.) und ist noch nicht im Handelsregister eingetragen.

Eine Umsatzsteuer-Identifikationsnummer gemäß § 27a UStG liegt derzeit nicht vor.

(2) Der Dienst ermöglicht die automatisierte Prüfung von Websites auf DSGVO-Compliance, Cookie-Verstöße, Third-Party-Tracker und andere datenschutzrelevante Probleme.

(3) Abweichende oder entgegenstehende Bedingungen des Nutzers werden nicht anerkannt, es sei denn, der Anbieter stimmt ihrer Geltung ausdrücklich schriftlich zu.

§ 2 Leistungsbeschreibung

(1) Der DSGVO Scanner ist ein kostenloser Compliance-Dienst, der Websites auf DSGVO-Verstöße und datenschutzrelevante Probleme untersucht.

(2) Der Dienst umfasst je nach gewähltem Scan-Profil insbesondere folgende Prüfungen:

• Tracking & Cookies: Erkennung von Trackern, Cookies und Analytics vor und nach Einwilligung
• Consent-Banner: Analyse auf Dark Patterns, vorausgewählte Checkboxen, fehlende oder versteckte Ablehnen-Buttons sowie Reject-Test (Verhalten nach „Alle ablehnen")
• TLS- und Security-Header (Art. 32 DSGVO): HTTPS-Konfiguration, HSTS, CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy, Mixed-Content
• Cookie-Attribute: SameSite/Secure/HttpOnly-Analyse, 1st-/3rd-Party-Klassifizierung, übergroße Cookies
• Drittdienste: Erkennung von Chat-/Support-Widgets, Customer Data Platforms, Werbe-/RTB-Plattformen (inkl. IAB TCF) sowie A/B-Testing-Tools
• Browser-Fingerprinting & CNAME-Cloaking: Canvas, WebGL, AudioContext, Font-Enumeration sowie DNS-Analyse auf getarnte Third-Party-Tracker
• Pay-or-Consent-Modelle und Captcha-Anbieter: Erkennung von „PUR"-Abos, reCAPTCHA, hCaptcha und DSGVO-freundlichen Alternativen
• Mobile-Banner-Test: Wiederholte Banner-Analyse mit mobilem Viewport (375x667)
• Multi-Page-Crawl: Automatisierte Erkennung von Unterseiten (sitemap.xml, robots.txt, Hauptnavigation, Footer, BFS-Crawl) und Anwendung der DSGVO-Checks (Tracker, Cookies, Embeds, Formulare, Mixed-Content) auf bis zu 65 Seiten je nach Profil
• Hosting-Standort & IP-Geolocation: Reverse-DNS- und ASN-/Geo-Lookups
• Barrierefreiheit (BFSG): Heuristische Prüfung gemäß WCAG-Kriterien
• Newsletter & Formulare: Double-Opt-In-Hinweise, Captcha- und Pflichtfeld-Analyse
• Rechtliche Seiten: Erkennung und Inhaltsprüfung von Datenschutzerklärung und Impressum auf Pflichtangaben
• WordPress-spezifische Sicherheitschecks: User-Enumeration, offene .git/.env, aktiv gelassene xmlrpc-Endpunkte
• Compliance-Report: Zusammenfassung der Findings nach Schweregrad inkl. Handlungsempfehlungen, Aufwandsschätzungen und Rechtsgrundlagen
• Scan-Historie / Verlaufs-Timeline: Domain-bezogene Anzeige aller bisherigen Scans dieser Website mit Datum, Uhrzeit, Scan-Profil, Compliance-Score und Anzahl der Findings je Schweregrad. Detail-Findings älterer Scans werden über die Timeline nicht ausgeliefert. Die zugrunde liegenden Snapshots werden gemäß Datenschutzerklärung verschlüsselt at rest in unserer Datenbank gespeichert.

(3) Der Dienst stellt drei Scan-Profile zur Auswahl:

• Schnell-Scan (~20 Sekunden): nur Startseite - Tracking, Cookies, Consent-Banner, TLS und Security-Header
• Standard-Scan (~60 Sekunden): bis zu 10 wichtigste Unterseiten (priorisiert via Hauptnavigation, Footer und Standardpfade wie /datenschutz, /impressum, /kontakt) - zusätzlich Reject-Test, Cookie-Attribute, Drittdienste (Chat/CDP/Ads/A/B), Pay-or-Consent, Formulare, Embeds, Fingerprinting, CNAME-Cloaking sowie Inhaltsprüfung rechtlicher Seiten
• Tiefen-Scan (~3 Minuten): bis zu 65 Unterseiten (Sitemap-Index, robots.txt, Smart-Crawl Tiefe 2) - zusätzlich Hosting-/IP-Geolocation, Barrierefreiheit, Newsletter, WordPress-Sicherheit und Mobile-Banner-Test

(4) Der Anbieter behält sich vor, den Funktionsumfang einzelner Profile sowie den Dienst insgesamt jederzeit zu ändern, zu erweitern oder einzustellen.

§ 2a Kostenpflichtige Zusatzleistungen und Zahlung

(1) Zusätzlich zum kostenlosen Prüfumfang können Sie gesondert kostenpflichtige Zusatzleistungen erwerben (z. B. vollständiger DSGVO-Report als PDF, Freischaltung des Archiv-Detail-Reports, Freischaltung der Scan-Historie für eine Domain). Vertragspartner und Abwicklung richten sich nach der jeweils im Bestellvorgang angezeigten Leistung und dem dann gültigen Preis (einschließlich Mehrwertsteuer, soweit ausgewiesen).

(1a) Der Zugang zur Archiv-Übersicht (aggregierte Metadaten) setzt eine vorherige Bestätigung der angegebenen E-Mail-Adresse voraus (Zustellung eines persönlichen Links und eines zusätzlichen Codes). Der kostenpflichtige vollständige Archiv-Detail-Report wird erst danach wie im Bestellvorgang beschrieben angeboten und über Stripe abgerechnet.

(2) Die Zahlung wird über den externen Zahlungsdienstleister Stripe abgewickelt. Durch Anklicken des Zahlungsbuttons bzw. Fortfahren im Stripe-Checkout geben Sie ein verbindliches Angebot ab; der Vertrag kommt mit erfolgreicher Zahlungsbestätigung (Zahlungseingang) zustande, soweit nicht gesetzlich anderes vorgesehen ist.

(3) Ihre Bestell- bzw. Zugangsnummer dient im vereinbarten Umfang (siehe Datenschutzhinweise) als Nachweis und Freischalteinformation. Ohne Kundenkonto obliegt es Ihnen, diese Nummer und ggf. die von Ihnen im Checkout eingegebene E-Mail zu sichern; die Speicherfristen ergeben sich aus unserer Datenschutzerklärung.

(4) Soweit Partner- oder Aktionsgutscheine (z. B. 100% Rabatt) in Stripe hinterlegt sind, gelten deren in Stripe hinterlegte Bedingungen (Gültigkeit, Einlösungslimits). Missbräuchliche Nutzung oder die mehrfache kostenlose Einlösung unter Umgehung der Bedingungen ist untersagt; der Anbieter kann kostenpflichtige Freischaltungen sperren oder beenden, sofern ein berechtigter Grund vorliegt.

(5) Es wird kein dauerhaftes Nutzerkonto mit dauerhafter Bestell- oder Rechnungssicht (Login-Portal) geführt. Die Kaufbestätigung per E-Mail und die Bestell- bzw. Zugangsnummer sind der maßgebliche technische Beleg in Verbindung mit unserer Verarbeitung in den Systemen des Anbieters und des Zahlungsdienstleisters. Ob Ihre kostenpflichtige Freischaltung in der Anwendung noch technisch anerkannt wird, erkennen Sie daran, ob der jeweils kostenpflichtige Inhalt (z. B. vollständiger Archiv-Report, PDF-Download, Historie) wie vorgesehen im Dienst zugänglich ist. Auskünfte dazu erteilt der Anbieter auf Anfrage an hello@kreuzertec.de unter Angabe Ihrer Bestell- bzw. Zugangsnummer und, soweit erforderlich, der bei Stripe hinterlegten E-Mail. Eine den steuer- oder kaufmännischen Bescheid ersetzende, jederzeit in einem gesonderten Webportal einsehbare Daueraufzeichnung Ihrer Einzelkäufe wird derzeit nicht angeboten, soweit nicht gesetzlich anderes vorgeschrieben ist.

§ 3 Nutzungsbedingungen

(1) Der Nutzer darf den Dienst ausschließlich für eigene Websites oder Websites, für die er eine ausdrückliche Berechtigung hat, verwenden.

(2) Es ist untersagt:

• Websites Dritter ohne deren Einwilligung zu scannen
• Den Dienst für illegale Zwecke zu nutzen
• Angriffe auf die Infrastruktur des Anbieters durchzuführen
• Automatisierte Massenabfragen (Scraping) ohne Genehmigung durchzuführen
• Die Scan-Ergebnisse für Erpressung, Nötigung oder sonstige rechtswidrige Handlungen zu missbrauchen

(3) Der Anbieter ist berechtigt, Nutzer bei Verstoß gegen diese Bedingungen vom Dienst auszuschließen und gegebenenfalls rechtliche Schritte einzuleiten.

§ 4 Keine Garantie und Haftungsbeschränkung

(1) Der Dienst wird „wie besehen" (as is) ohne jegliche Garantie oder Gewährleistung bereitgestellt. Der Anbieter übernimmt insbesondere keine Garantie dafür, dass:

• alle DSGVO-Verstöße einer Website gefunden werden
• die Scan-Ergebnisse fehlerfrei oder vollständig sind
• der Dienst ununterbrochen verfügbar ist
• die Ergebnisse eine rechtliche Beratung ersetzen

(2) Der Dienst stellt keine Rechtsberatung dar. Die Scan-Ergebnisse sind als technische Hinweise zu verstehen. Für eine verbindliche rechtliche Bewertung wenden Sie sich bitte an einen Rechtsanwalt oder Datenschutzbeauftragten.

(3) Der Anbieter haftet nicht für Schäden, die aus der Nutzung oder Nichtnutzung des Dienstes entstehen, es sei denn, diese beruhen auf vorsätzlichem oder grob fahrlässigem Verhalten des Anbieters.

(4) Die Haftung für leichte Fahrlässigkeit ist ausgeschlossen, soweit keine vertragswesentlichen Pflichten (Kardinalpflichten) verletzt werden oder Schäden an Leben, Körper oder Gesundheit betroffen sind.

(5) Der Nutzer ist selbst für die Behebung identifizierter Compliance-Probleme verantwortlich.

§ 5 Rate-Limiting und Fair Use

(1) Um Missbrauch zu verhindern und die Verfügbarkeit für alle Nutzer sicherzustellen, setzen wir technische Drosseln (Rate-Limits) ein, die der Anbieter anpassen kann. Maßgeblich ist der zum jeweiligen Zeitpunkt implementierte Stands zuletzt u. a.:

• Scan-Start: begrenzte Anzahl von Scan-Anfragen pro Minute und IP-Adresse (technische Obergrenze)
• API insgesamt: begrenzte Anzahl von Anfragen pro Minute und IP-Adresse für die API, innerhalb derer u. a. auch Scanstarts fallen

Die konkreten Höchstwerte hängen von der Serverkonfiguration ab und können angepasst werden. Die öffentlich eingestellte Beispiel-Standardkonfiguration sieht u. a. zehn Scan-Starts und bis zu 60 API-Anfragen je Minute und IP vor (einschließlich sonstiger API-Nutzung).

(2) Zum Schutz vor automatisiertem Missbrauch setzen wir u. a. Cloudflare Turnstile ein, sofern in der Anwendung aktiviert. Eine Sicherheitsprüfung kann vor dem Scan vorgesehen sein.

(3) Weitere technische Regeln (u. a. parallele Nutzung von Serverressourcen, Wiederholungsabstände, temporäre Sperrungen bei wiederholtem Regelverstoß) behält sich der Anbieter vor. Bei Überschreitung geltender Limits oder bei Missbrauchsverdacht kann der Zugang vorübergehend eingeschränkt werden.

§ 6 Geistiges Eigentum

(1) Alle Rechte am Dienst, einschließlich Design, Quellcode und Logos, liegen beim Anbieter.

(2) Der Nutzer erhält ein nicht-exklusives, nicht-übertragbares Recht zur Nutzung des Dienstes gemäß diesen AGB.

(3) Eine Vervielfältigung, Dekompilierung oder Reverse Engineering des Dienstes ist ohne schriftliche Genehmigung untersagt.

§ 7 Datenschutz

Die Verarbeitung personenbezogener Daten erfolgt gemäß unserer Datenschutzerklärung.

§ 8 Änderungen der AGB

(1) Der Anbieter behält sich vor, diese AGB jederzeit mit Wirkung für die Zukunft zu ändern.

(2) Die aktuelle Fassung der AGB ist stets auf dieser Seite einsehbar.

(3) Durch die fortgesetzte Nutzung des Dienstes nach einer Änderung stimmt der Nutzer den geänderten AGB zu.

§ 9 Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

(2) Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesen AGB ist Stuttgart, sofern der Nutzer Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

(3) Sollten einzelne Bestimmungen dieser AGB unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.