ReviewBooster

Diese Erklärung beschreibt, wie die Hypin Kft. (Betreiber von ReviewBooster) personenbezogene Daten verarbeitet — im Einklang mit der Verordnung (EU) 2016/679 (DSGVO), dem ungarischen Informationsgesetz (CXII/2011) sowie mit weiteren einschlägigen Vorschriften.

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

2. Datenschutzbeauftragter

Die Voraussetzungen nach Art. 37 Abs. 1 DSGVO und § 38 BDSG sind nicht erfüllt (keine umfangreiche, regelmäßige und systematische Beobachtung; keine umfangreiche Verarbeitung besonderer Kategorien). Ein Datenschutzbeauftragter wurde daher nicht bestellt und ist nicht erforderlich. Datenschutzanfragen senden Sie bitte an hello@reviewbooster.hu oder per Post an 1133 Budapest, Gogol utca 26., Ungarn.

3. Datenquellen und Rolle

Wir erheben personenbezogene Daten aus folgenden Quellen:

• Direkt vom Abonnenten: Registrierung, Profilangaben, Support-Kommunikation.
• Von Endnutzern (Kunden des Abonnenten) über das Bewertungsformular: optional Name, optional E-Mail, Sterne, Freitext.
• Automatisch, technisch: Server-Logs, IP-Adresse, Geräte- und Browser-Metadaten, Sicherheitsereignisse.
• Von Auftragsverarbeitern: Stripe (Zahlungsereignisse), Resend (Zustellstatus, Bounce/Complaint), Számlázz.hu (Rechnungsnummern, Zeitstempel).

4. Verarbeitete Daten

4.1. Abonnenten

4.2. Endnutzer (Bewerter)

Die Angabe von Name und E-Mail ist ausschließlich optional; sie erfolgt nur, wenn der Endnutzer zusätzlich eine Einwilligungs-Checkbox auf dem Bewertungsformular aktiviert. Ohne diese Einwilligung ist die Rückmeldung anonym.

5. Besondere Datenkategorien, Daten von Minderjährigen

Wir erheben und verarbeiten keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO: Gesundheit, politische Meinungen, Religion, sexuelle Orientierung usw.). Werden solche Daten vom Endnutzer im Freitext ergänzt, wenden wir gemeinsam mit dem Abonnenten Minimierung und Löschung an.

Der Dienst richtet sich nicht an Personen unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass solche Daten erhoben wurden, werden sie binnen 30 Tagen gelöscht.

6. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO mit rechtlicher oder ähnlich erheblicher Wirkung findet nicht statt. Die Sternschwellen-Weiche (z.B. 4–5★ → Google, 1–3★ → privat) beruht ausschließlich auf der selbst abgegebenen Bewertung des Endnutzers und hat keine rechtliche oder ähnlich erhebliche Auswirkung. Kein Profiling zu Marketingzwecken; kein Verkauf von Daten an Dritte.

7. Direkte und transaktionale E-Mail-Kommunikation

• Transaktions-E-Mails (Rechnungen, Kontoaktivität, Sicherheitshinweise): zur Vertragserfüllung erforderlich, im aktiven Konto nicht abbestellbar.
• Onboarding-/Hinweis-E-Mails in den ersten Wochen: gestützt auf unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f), mit Abmeldelink in jeder Nachricht; Widerspruch gem. Art. 21 Abs. 2 DSGVO jederzeit möglich.
• Produkt- und Marketing-E-Mails (neue Funktionen, Angebote): nur mit gesonderter Einwilligung (Art. 6 Abs. 1 lit. a), jederzeit mit einem Klick widerruflich.

8. Datensicherheit (TOM)

• HTTPS (TLS 1.2+) für alle Verbindungen.
• Datenbank-Verschlüsselung im Ruhezustand (AES-256, Supabase Postgres).
• Passwörter als gesalzener Hash (bcrypt) via Supabase Auth.
• Rollenbasierte Zugriffskontrolle (RBAC), Supabase Row-Level Security (RLS).
• Zahlungskartendaten ausschließlich innerhalb von Stripe (PCI DSS Level 1), bei uns nur tokenisierte Referenz.
• Security-Header (CSP, HSTS, X-Frame-Options, Referrer-Policy); API-Rate-Limiting.
• Auditierbares Logging kritischer Aktionen (Anmeldung, Kontoänderung, Paketwechsel, Löschung).
• Vertraulichkeitsverpflichtung des Personals; Zugriff strikt nach Need-to-Know.
• Tägliche automatisierte Datenbank-Sicherungen, 30 Tage Aufbewahrung.
• Mindestens jährliche Sicherheits- und Abhängigkeitsüberprüfung.
• Incident-Response-Plan und 72-Stunden-Eskalations-SLA.

9. Speicherort und internationale Übermittlung

Personenbezogene Daten werden primär in der EU gespeichert (Supabase, Frankfurt, eu-central-1). Einige Unterauftragsverarbeiter können Daten auch in den USA verarbeiten (Stripe, Resend, Vercel Edge). Für diese Übermittlungen stützen wir uns auf die Garantien nach Art. 46 DSGVO:

• Die von der EU-Kommission erlassenen Standardvertragsklauseln (SCC, Durchführungsbeschluss 2021/914) mit jedem betroffenen Unterauftragsverarbeiter;
• Soweit der Anbieter zertifiziert ist, das EU-US Data Privacy Framework (DPF) (Stripe, Vercel, Resend sind DPF-zertifiziert).

Eine Kopie der einschlägigen Garantien ist unter hello@reviewbooster.hu erhältlich.

10. Unterauftragsverarbeiter

11. Ihre Rechte (Art. 15–22 DSGVO)

• Auskunft (Art. 15) — Kopie der zu Ihnen verarbeiteten Daten.
• Berichtigung (Art. 16) — Korrektur unrichtiger oder unvollständiger Daten.
• Löschung (Art. 17, „Recht auf Vergessenwerden") — binnen 30 Tagen.
• Einschränkung der Verarbeitung (Art. 18).
• Datenübertragbarkeit (Art. 20) — in strukturiertem, maschinenlesbarem Format.
• Widerspruch (Art. 21) — gegen Verarbeitungen auf Grundlage berechtigter Interessen; Widerspruch gegen Direktwerbung (Art. 21 Abs. 2) ist jederzeit möglich.
• Widerruf einer Einwilligung (Art. 7 Abs. 3) — jederzeit, ohne Rückwirkung.
• Rechte zu automatisierten Entscheidungen (Art. 22) — siehe § 6.

12. Beschwerden und Rechtsbehelfe

• Beschwerde bei der ungarischen Aufsichtsbehörde (NAIH): 1055 Budapest, Falk Miksa u. 9-11 | naih.hu | ugyfelszolgalat@naih.hu | +36 (1) 391-1400.
• Beschwerde bei der eigenen Aufsichtsbehörde: Betroffene aus anderen EU-Mitgliedstaaten können ihre nationale Behörde anrufen — in Deutschland der/die BfDI bzw. der/die zuständige Landesbeauftragte für Datenschutz; in Österreich die Datenschutzbehörde (DSB); in der Schweiz der EDÖB.
• Gerichtlicher Rechtsschutz: vor dem Gericht Ihres gewöhnlichen Aufenthalts oder am Sitz des Verantwortlichen (Art. 79 DSGVO).

13. Datenschutzverletzungen

Bei Bekanntwerden einer Verletzung melden wir diese binnen 72 Stunden an die NAIH (Art. 33 DSGVO) und informieren Betroffene unverzüglich, wenn die Verletzung ein hohes Risiko darstellt (Art. 34). Betroffene Abonnenten werden über die im Konto hinterlegte E-Mail informiert. Das Vorfallsprotokoll wird 5 Jahre aufbewahrt.

14. Cookies und lokale Speicherung

Den lokalen Speicher (localStorage) können Sie jederzeit über die Browser-Einstellungen löschen; dies wirkt wie eine Abmeldung.

15. Anwendbare Vorschriften

• Verordnung (EU) 2016/679 (DSGVO)
• Ungarisches Gesetz CXII von 2011 (Informationsgesetz)
• Gesetz V von 2013 (HU Zivilgesetzbuch)
• Gesetz C von 2000 (HU Buchhaltungsgesetz) — 8 Jahre Aufbewahrung
• Gesetz CVIII von 2001 (HU E-Commerce-Gesetz)
• Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG, insb. § 25)
• Richtlinie 2002/58/EG (ePrivacy), Art. 5 Abs. 3

16. Änderungen

Wir können diese Erklärung gelegentlich anpassen. Wesentliche Änderungen (neuer Zweck, neuer Unterauftragsverarbeiter, neue Datenquelle) werden mindestens 15 Tage vor Wirksamkeit per E-Mail und via Banner angekündigt. Die aktuelle Fassung ist unter reviewbooster.hu/de/privacy verfügbar.

17. Versionshistorie

• v1.2 (2026-04-18): DPO-Status präzisiert; Datenquellen und Rolle; besondere Kategorien / Minderjährige; automatisierte Entscheidungen; internationale Übermittlung mit SCC + DPF; Számlázz.hu ergänzt; Direkt-/Transaktions-Mail-Abschnitt; TOM ausgebaut; Cookies / localStorage auf reale Technik korrigiert; TTDSG-Bezug; Beschwerderecht bei lokaler Aufsichtsbehörde (BfDI/Landesbeauftragter, DSB, EDÖB); Versionshistorie; Datum angeglichen an AGB.
• v1.0 (2026-03-25): Erstfassung.