Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Allgemeines zur Datenverarbeitung

2.1 Umfang der Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Anwendung sowie unserer Inhalte und Leistungen erforderlich ist.

2.2 Rechtsgrundlage

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Bereitstellung der Zeiterfassungsfunktionen
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Sicherheit und Stabilität der Anwendung
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Wo explizit eingeholt (z.B. für optionale Benachrichtigungen)

3. Erhebung und Speicherung personenbezogener Daten

3.1 Registrierung und Nutzerkonto

Bei der Registrierung werden folgende Daten erhoben und gespeichert:

• Name (Vor- und Nachname)
• E-Mail-Adresse
• Passwort (verschlüsselt mit bcrypt)
• Registrierungsdatum und -zeitpunkt
• IP-Adresse bei Registrierung (zur Missbrauchsprävention)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Bis zur Löschung des Nutzerkontos

3.2 Zeiteinträge und Projektdaten

Bei der Nutzung der Anwendung werden folgende Daten gespeichert:

• Projektinformationen (Name, Beschreibung, Kundenname, Status, Farbe)
• Zeiteinträge (Datum, Stunden, Beschreibung, Abrechnungsstatus)
• Ausgaben und Aufwendungen (Beschreibung, Betrag, Datum, Abrechnungsstatus)
• Abrechnungsdaten (Rechnungsnummern, Beträge, Zeiträume)
• Benutzereinstellungen (Ansichtspräferenzen, Dark Mode, Standardwerte)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Bis zur manuellen Löschung durch den Nutzer oder Löschung des Kontos

3.3 Protokolldaten

Bei jedem Zugriff auf die Anwendung werden automatisch Informationen in Server-Logfiles gespeichert:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Seite
• Übertragene Datenmenge
• Meldung über erfolgreichen Abruf (HTTP-Status-Code)
• Browser-Typ und -Version
• Betriebssystem
• Referrer-URL (zuvor besuchte Seite)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an Sicherheit und Stabilität)
Speicherdauer: 30 Tage, danach automatische Löschung

4. Cookies und lokale Speicherung

4.1 Technisch notwendige Cookies

Wir verwenden Cookies, die für den Betrieb der Anwendung erforderlich sind:

• Session-Cookie: Speichert Ihre Anmeldung (Laravel Session)
• CSRF-Token: Schützt vor Cross-Site-Request-Forgery-Angriffen
• Dark-Mode-Präferenz: Speichert Ihre Anzeigeeinstellung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)
Speicherdauer: Session-Ende oder bis zu 30 Tage

4.2 Local Storage

Zur Verbesserung der Nutzererfahrung speichern wir bestimmte Einstellungen lokal in Ihrem Browser:

• Letztes geöffnetes Projekt (für automatisches Zentrieren)
• UI-Zustandsinformationen (z.B. geöffnete/geschlossene Panels)

Diese Daten werden ausschließlich lokal auf Ihrem Gerät gespeichert und nicht an unsere Server übertragen.

5. Weitergabe von Daten an Dritte

5.1 E-Mail-Versand (Resend)

Für den Versand von E-Mails (Registrierungsbestätigung, Passwort-Reset, Willkommens-E-Mail) nutzen wir den Dienst Resend (Resend, Inc., USA).

Dabei werden folgende Daten übermittelt:

• E-Mail-Adresse des Empfängers
• Name des Empfängers
• E-Mail-Inhalt

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Datenschutz: Resend ist GDPR-konform. Weitere Informationen: Resend Privacy Policy

5.2 CAPTCHA (Cloudflare Turnstile)

Zur Spam- und Missbrauchsprävention bei der Registrierung verwenden wir Cloudflare Turnstile, eine datenschutzfreundliche CAPTCHA-Alternative.

Dabei werden folgende Daten an Cloudflare übermittelt:

• IP-Adresse (anonymisiert)
• Browser- und Geräteinformationen
• Verhaltensbasierte Challenge-Daten

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an Spam-Schutz)
Datenschutz: Cloudflare ist GDPR-konform mit EU-Standardvertragsklauseln. Weitere Informationen: Cloudflare Privacy Policy

5.3 Social Login (Google, Facebook, Apple)

Wir bieten Ihnen die Möglichkeit, sich optional über die OAuth-Dienste von Google, Facebook oder Apple zu registrieren und anzumelden (Social Login). Die Nutzung von Social Login ist freiwillig — eine reguläre Registrierung per E-Mail und Passwort steht jederzeit zur Verfügung.

Wenn Sie Social Login nutzen, erhalten wir vom jeweiligen Anbieter folgende Daten:

• Name (Vor- und Nachname)
• E-Mail-Adresse
• Profilbild (sofern verfügbar)
• Anbieterspezifische Nutzer-ID

Diese Daten werden ausschließlich verwendet, um Ihr Nutzerkonto zu erstellen oder mit einem bestehenden Konto zu verknüpfen. Eine weitergehende Verarbeitung findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Sie klicken aktiv auf den Social-Login-Button)
Drittlandtransfer: Google LLC und Meta Platforms, Inc. (USA) — Datenübermittlung auf Grundlage von EU-Standardvertragsklauseln. Apple Inc. (USA) — Datenübermittlung auf Grundlage von EU-Standardvertragsklauseln.
Datenschutz der Anbieter:

• Google: policies.google.com/privacy
• Facebook: facebook.com/privacy/policy
• Apple: apple.com/legal/privacy

5.4 Hosting (Hetzner)

Unsere Anwendung wird gehostet bei:

Alle Daten werden ausschließlich in einem Rechenzentrum in Nürnberg, Deutschland, gespeichert. Es erfolgt keine Datenübermittlung außerhalb der Europäischen Union.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)
Auftragsverarbeitung: Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

5.5 CDN und Sicherheit (Cloudflare)

Diese Website nutzt Cloudflare (Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA) als Content Delivery Network (CDN) und Sicherheits-Proxy. Sämtliche HTTP-Anfragen an unsere Anwendung werden über Cloudflare-Server (EU) geleitet, wodurch die IP-Adressen der Besucher von Cloudflare verarbeitet werden.

Cloudflare bietet folgende Schutz- und Optimierungsmaßnahmen:

• DDoS-Schutz (Abwehr von Distributed-Denial-of-Service-Angriffen)
• Web Application Firewall (WAF)
• Performance-Optimierung durch Caching und Komprimierung

Zusätzlich nutzen wir Cloudflare Web Analytics zur anonymen Performance-Überwachung. Dieser Dienst setzt keine Cookies und erhebt keine personenbezogenen Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Sicherheit und Verfügbarkeit der Anwendung)
Auftragsverarbeitung: Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum) gemäß Art. 28 DSGVO. Cloudflare verarbeitet Daten primär auf EU-Servern. Soweit eine Übermittlung in die USA stattfindet, erfolgt dies auf Grundlage von EU-Standardvertragsklauseln.
Datenschutz: Weitere Informationen: Cloudflare Privacy Policy

6. Webanalyse (Rybbit Analytics)

Diese Anwendung nutzt Rybbit Analytics, einen datenschutzfreundlichen, selbst-gehosteten Webanalysedienst. Rybbit ist vollständig cookieless und DSGVO-konform. Es werden keine personenbezogenen Daten gesammelt und keine Cookies gesetzt. Die Analyse erfolgt vollständig anonymisiert ohne Tracking einzelner Nutzer.

Gemäß § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ist für diese Art der Analyse keine Einwilligung erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Analyse des Nutzerverhaltens zur Optimierung der Anwendung)
Datenschutz: Weitere Informationen finden Sie unter: rybbit.com

7. Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe (Stripe Technology Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland).

Bei Abschluss eines kostenpflichtigen Abonnements werden folgende Daten an Stripe übermittelt:

• E-Mail-Adresse
• Zahlungsinformationen (Kreditkartendaten, SEPA-Bankverbindung o.ä.)
• Rechnungsadresse (sofern angegeben)
• Abonnement-Details (gewählter Tarif, Laufzeit)
• IP-Adresse (zur Betrugsprävention und steuerlichen Zuordnung)

Zahlungsdaten (z.B. Kreditkartennummern) werden ausschließlich von Stripe verarbeitet und gespeichert. Wir haben zu keinem Zeitpunkt Zugriff auf vollständige Zahlungsdaten. Stripe ist nach dem Payment Card Industry Data Security Standard (PCI DSS) Level 1 zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Auftragsverarbeitung: Mit Stripe besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Stripe verarbeitet Daten innerhalb der EU (Irland). Soweit eine Datenübermittlung in Drittländer (z.B. USA) stattfindet, erfolgt diese auf Grundlage von EU-Standardvertragsklauseln.
Datenschutz: Weitere Informationen: Stripe Datenschutzerklärung

8. Fehler-Monitoring (Sentry)

Zur Erkennung und Behebung technischer Fehler nutzen wir den Dienst Sentry (Functional Software, Inc. dba Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA). Sentry verarbeitet Daten auf Servern in der EU (Frankfurt, Deutschland).

Im Fehlerfall werden folgende Daten automatisch übermittelt:

• Technische Fehlermeldung und Stack Trace
• Anonyme Benutzer-ID (keine E-Mail-Adresse oder Name)
• Zeitpunkt und betroffene URL des Fehlers
• Browsertyp und Betriebssystem

Persönliche Daten wie E-Mail-Adressen, Namen oder Passwörter werden nicht übermittelt. Die Daten werden ausschließlich zur Fehlerbehebung verwendet und nicht für Werbezwecke genutzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Systemstabilität)
Auftragsverarbeitung: Mit Sentry besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die Datenverarbeitung erfolgt ausschließlich auf EU-Servern in Frankfurt.
Datenschutz: Weitere Informationen: Sentry Datenschutzerklärung

9. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen:

• SSL/TLS-Verschlüsselung: Alle Datenübertragungen erfolgen verschlüsselt (HTTPS)
• Passwort-Verschlüsselung: Passwörter werden mit bcrypt (Kosten-Faktor 12) gehasht
• CSRF-Schutz: Schutz vor Cross-Site-Request-Forgery-Angriffen
• XSS-Schutz: Input-Sanitization und Content Security Policy (CSP)
• SQL-Injection-Schutz: Prepared Statements und Parameter Binding
• Rate Limiting: Schutz vor Brute-Force-Angriffen (60 Anfragen/Minute)
• Tägliche Backups: Automatische Datensicherung um 3:00 Uhr, Aufbewahrung für 30 Tage
• Firewall: Serverbasierte Firewall-Konfiguration
• Regelmäßige Updates: Zeitnahe Sicherheitsupdates für alle Komponenten

10. Ihre Rechte als betroffene Person

Sie haben gemäß der DSGVO folgende Rechte:

10.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen.

10.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen. Dies können Sie direkt in Ihren Profil-Einstellungen vornehmen.

10.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen. Dies können Sie über die Konto-Löschfunktion in Ihren Profil-Einstellungen vornehmen. Bei der Löschung werden alle Ihre Daten unwiderruflich entfernt.

10.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

10.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Nutzen Sie hierfür die Datenexport-Funktion in Ihren Profil-Einstellungen unter dem Tab "Konto". Dort können Sie alle Ihre Daten als JSON-Datei herunterladen. Zusätzlich stehen CSV-Exporte für Projekte, Zeiteinträge, Ausgaben und Finanzübersichten zur Verfügung.

10.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen.

10.7 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

Zuständige Aufsichtsbehörde für Bayern:

11. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist:

• Nutzerkonto und Nutzdaten: Bis zur Konto-Löschung durch den Nutzer
• Server-Logs: 30 Tage
• Backups: 30 Tage, danach automatische Löschung
• Abgerechnete Zeiteinträge: Gemäß gesetzlicher Aufbewahrungspflichten (10 Jahre für steuerrelevante Daten nach § 147 AO)

12. Keine automatisierte Entscheidungsfindung

Wir verwenden keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen.

Für Ihren nächsten Besuch gilt dann die neue Datenschutzerklärung. Wesentliche Änderungen werden wir Ihnen per E-Mail mitteilen.

14. Kontakt für Datenschutzfragen

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte können Sie uns unter folgender Adresse erreichen: