Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Allgemeines zur Datenverarbeitung

2.1 Umfang der Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Anwendung sowie unserer Inhalte und Leistungen erforderlich ist.

2.2 Rechtsgrundlage

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Bereitstellung der Zeiterfassungsfunktionen
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Sicherheit und Stabilität der Anwendung
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Wo explizit eingeholt (z.B. Newsletter, sofern angeboten)

3. Erhebung und Speicherung personenbezogener Daten

3.1 Registrierung und Nutzerkonto

Bei der Registrierung werden folgende Daten erhoben und gespeichert:

• Name (Vor- und Nachname)
• E-Mail-Adresse
• Passwort (verschlüsselt mit bcrypt)
• Registrierungsdatum und -zeitpunkt
• IP-Adresse bei Registrierung (zur Missbrauchsprävention)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Bis zur Löschung des Nutzerkontos

3.2 Zeiteinträge und Projektdaten

Bei der Nutzung der Anwendung werden folgende Daten gespeichert:

• Projektinformationen (Name, Beschreibung, Kundenname, Status, Farbe)
• Zeiteinträge (Datum, Stunden, Beschreibung, Abrechnungsstatus)
• Ausgaben und Aufwendungen (Beschreibung, Betrag, Datum, Abrechnungsstatus)
• Abrechnungsdaten (Rechnungsnummern, Beträge, Zeiträume)
• Benutzereinstellungen (Ansichtspräferenzen, Dark Mode, Standardwerte)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Bis zur manuellen Löschung durch den Nutzer oder Löschung des Kontos

3.3 Protokolldaten

Bei jedem Zugriff auf die Anwendung werden automatisch Informationen in Server-Logfiles gespeichert:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Seite
• Übertragene Datenmenge
• Meldung über erfolgreichen Abruf (HTTP-Status-Code)
• Browser-Typ und -Version
• Betriebssystem
• Referrer-URL (zuvor besuchte Seite)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an Sicherheit und Stabilität)
Speicherdauer: 30 Tage, danach automatische Löschung

4. Cookies und lokale Speicherung

4.1 Technisch notwendige Cookies

Wir verwenden Cookies, die für den Betrieb der Anwendung erforderlich sind:

• Session-Cookie: Speichert Ihre Anmeldung (Laravel Session)
• CSRF-Token: Schützt vor Cross-Site-Request-Forgery-Angriffen
• Dark-Mode-Präferenz: Speichert Ihre Anzeigeeinstellung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)
Speicherdauer: Session-Ende oder bis zu 30 Tage

4.2 Local Storage

Zur Verbesserung der Nutzererfahrung speichern wir bestimmte Einstellungen lokal in Ihrem Browser:

• Letztes geöffnetes Projekt (für automatisches Zentrieren)
• UI-Zustandsinformationen (z.B. geöffnete/geschlossene Panels)

Diese Daten werden ausschließlich lokal auf Ihrem Gerät gespeichert und nicht an unsere Server übertragen.

5. Weitergabe von Daten an Dritte

5.1 E-Mail-Versand (Resend)

Für den Versand von E-Mails (Registrierungsbestätigung, Passwort-Reset, Willkommens-E-Mail) nutzen wir den Dienst Resend (Resend, Inc., USA).

Dabei werden folgende Daten übermittelt:

• E-Mail-Adresse des Empfängers
• Name des Empfängers
• E-Mail-Inhalt

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Datenschutz: Resend ist GDPR-konform. Weitere Informationen: Resend Privacy Policy

5.2 CAPTCHA (Cloudflare Turnstile)

Zur Spam- und Missbrauchsprävention bei der Registrierung verwenden wir Cloudflare Turnstile, eine datenschutzfreundliche CAPTCHA-Alternative.

Dabei werden folgende Daten an Cloudflare übermittelt:

• IP-Adresse (anonymisiert)
• Browser- und Geräteinformationen
• Verhaltensbasierte Challenge-Daten

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an Spam-Schutz)
Datenschutz: Cloudflare ist GDPR-konform mit EU-Standardvertragsklauseln. Weitere Informationen: Cloudflare Privacy Policy

5.3 Hosting (Hetzner)

Unsere Anwendung wird gehostet bei:

Alle Daten werden ausschließlich in einem Rechenzentrum in Nürnberg, Deutschland, gespeichert. Es erfolgt keine Datenübermittlung außerhalb der Europäischen Union.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)
Auftragsverarbeitung: Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

6. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen:

• SSL/TLS-Verschlüsselung: Alle Datenübertragungen erfolgen verschlüsselt (HTTPS)
• Passwort-Verschlüsselung: Passwörter werden mit bcrypt (Kosten-Faktor 12) gehasht
• CSRF-Schutz: Schutz vor Cross-Site-Request-Forgery-Angriffen
• XSS-Schutz: Input-Sanitization und Content Security Policy (CSP)
• SQL-Injection-Schutz: Prepared Statements und Parameter Binding
• Rate Limiting: Schutz vor Brute-Force-Angriffen (60 Anfragen/Minute)
• Tägliche Backups: Automatische Datensicherung um 3:00 Uhr, Aufbewahrung für 30 Tage
• Firewall: Serverbasierte Firewall-Konfiguration
• Regelmäßige Updates: Zeitnahe Sicherheitsupdates für alle Komponenten

7. Ihre Rechte als betroffene Person

Sie haben gemäß der DSGVO folgende Rechte:

7.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen.

7.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen. Dies können Sie direkt in Ihren Profil-Einstellungen vornehmen.

7.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen. Dies können Sie über die Konto-Löschfunktion in Ihren Profil-Einstellungen vornehmen. Bei der Löschung werden alle Ihre Daten unwiderruflich entfernt.

7.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

7.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Kontaktieren Sie uns hierfür unter [email protected].

7.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen.

7.7 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

Zuständige Aufsichtsbehörde für Bayern:

8. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist:

• Nutzerkonto und Nutzdaten: Bis zur Konto-Löschung durch den Nutzer
• Server-Logs: 30 Tage
• Backups: 30 Tage, danach automatische Löschung
• Abgerechnete Zeiteinträge: Gemäß gesetzlicher Aufbewahrungspflichten (10 Jahre für steuerrelevante Daten nach § 147 AO)

9. Keine automatisierte Entscheidungsfindung

Wir verwenden keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen.

Für Ihren nächsten Besuch gilt dann die neue Datenschutzerklärung. Wesentliche Änderungen werden wir Ihnen per E-Mail mitteilen.

11. Kontakt für Datenschutzfragen

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte können Sie uns unter folgender Adresse erreichen: