Zum Hauptinhalt springen
← Zurück

Datenschutzerklärung

Hinweis: Stammdaten Verantwortlicher unvollständig

In Abschnitt 1 fehlen noch Postanschrift und Telefonnummer. Inhaltlich (Drittdienste, Rechtsgrundlagen, Betroffenenrechte) ist die Erklärung vollständig und passt zum aktuellen Funktionsstand des CRM. Vor Go-Live: Stammdaten ergänzen, optional zusätzlich durch Datenschutzanwalt prüfen lassen.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Maron Kornath (Einzelunternehmen, Energieberater)
[Straße Hausnummer — bitte eintragen]
[PLZ Ort — bitte eintragen]
Deutschland
Telefon: [bitte eintragen]
E-Mail: maronrusty377@gmail.com

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist nicht erforderlich. Die gesetzlichen Schwellen nach § 38 BDSG (in der Regel mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind) sind nicht erreicht. Datenschutzanfragen richten Sie bitte direkt an den Verantwortlichen (siehe Abschnitt 1).

3. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Anwendung sowie unserer vertraglichen Leistungen erforderlich ist. Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

4. Hosting, Datenbank, Authentifizierung — Firebase / Google Cloud

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (für Nutzer im EWR), zugehörig zu Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Zweck: Bereitstellung der Webanwendung („dersieber CRM"), Speicherung von CRM-Daten, Nutzerauthentifizierung, Datei-Speicher, serverseitige Verarbeitung (Cloud Functions), Push-Benachrichtigungen (Firebase Cloud Messaging) sowie Schutz der Backend-APIs vor Missbrauch (Firebase App Check). Die Anwendung wird primär in der Region europe-west3 (Frankfurt am Main) betrieben.

Datenarten: E-Mail-Adresse, verschlüsseltes Passwort, Anmeldezeitpunkte, eindeutige Nutzer-ID, vom Nutzer eingestellte CRM-Daten (Kundendaten, Projekte, Aufgaben, Notizen, Termine, Anhänge), Geräte-IDs für Push-Benachrichtigungen, IP-Adresse, technische Logdaten.

Empfänger / Sitz: Google Ireland Limited (Irland) und verbundene Unternehmen der Google-Gruppe; Datenübermittlung in die USA möglich.

Drittlandtransfer: Google LLC (USA) ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Ergänzend werden Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Verarbeitung ist zur Bereitstellung des Dienstes erforderlich); für App-Check und Sicherheits-Logs zusätzlich Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Missbrauchsschutz).

Speicherdauer: CRM-Daten bis zur Vertragsbeendigung zuzüglich 30 Tage Export-Frist (siehe AGB § 7); technische Logs i. d. R. 30 Tage; Authentifizierungsdaten bis zur Account-Löschung.

Datenschutzerklärung Google: https://policies.google.com/privacy

5. Zahlungsabwicklung — Stripe

Anbieter: Stripe Payments Europe Ltd, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland; technisch verbunden mit Stripe Inc., 510 Townsend Street, San Francisco, CA 94103, USA.

Zweck: Abwicklung von Abonnementzahlungen (Tarifgebühren), Verwaltung der Kundenstammdaten für die Rechnung, Betrugsprävention.

Datenarten: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsmittel-Daten (Kreditkarte oder SEPA — werden ausschließlich an Stripe übermittelt und nicht bei uns gespeichert), Workspace-ID, Stripe-Customer-ID, Abonnement- und Rechnungshistorie.

Empfänger / Sitz: Stripe Payments Europe Ltd (Irland), Stripe Inc. (USA).

Drittlandtransfer: Stripe Inc. (USA) ist nach dem EU-U.S. Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Zahlungsabwicklung ist Voraussetzung für die kostenpflichtige Nutzung).

Speicherdauer: Zahlungs- und Rechnungsdaten werden entsprechend handels- und steuerrechtlicher Aufbewahrungsfristen (§ 257 HGB, § 147 AO — i. d. R. 10 Jahre) aufbewahrt.

Datenschutzerklärung Stripe: https://stripe.com/de/privacy

6. Transaktions-E-Mails

Aktueller Status: Es ist derzeit kein externer Mailversand-Auftragsverarbeiter aktiv. Transaktionale E-Mails (Workspace- und Termin-Einladungen, Termin-Erinnerungen, RSVP-Bestätigungen, System-Benachrichtigungen, Passwort-Resets) werden aktuell nicht versendet; der entsprechende Versand-Pfad läuft seit dem 03.05.2026 im Stub-Modus.

Sobald ein Mailversand-Anbieter aktiviert wird, wird diese Datenschutzerklärung um den Anbieter (Sitz, Datenarten, Rechtsgrundlage, Drittlandtransfer-Hinweis, Speicherdauer) ergänzt — vor Inbetriebnahme des Versands.

7. KI-Funktionen — Google Gemini API

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Google AI / Gemini API).

Zweck: KI-gestützte Funktionen innerhalb des CRM — KI-Assistent (Chat-Widget), KI-Import von CSV- und Screenshot-Daten, KI-Diktat-Strukturierung, Smart Autofill für Formularfelder.

Datenarten: Vom Nutzer eingegebene Texte und Inhalte (Chat-Anfragen, hochgeladene CSV-Inhalte, Screenshots, Diktate), zugehörige Workspace- und Nutzer-IDs.

Empfänger / Sitz: Google Ireland Limited (Irland), Google LLC (USA). Eingaben werden gemäß Google-AI-Nutzungsbedingungen für die zahlungspflichtige API nicht zum Training der allgemeinen Modelle verwendet.

Drittlandtransfer: Google LLC (USA) ist nach dem EU-U.S. Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — KI-Funktionen sind ab Tarif „Starter" Bestandteil des gebuchten Leistungsumfangs). KI-Funktionen sind im Free-Tarif standardmäßig deaktiviert.

Speicherdauer: Anfragen werden bei Google im Rahmen der API-Verarbeitung temporär gespeichert (Caching, Missbrauchsanalyse) und nach maximal 55 Tagen gelöscht.

Hinweis: Geben Sie über KI-Funktionen keine besonders sensiblen personenbezogenen Daten Dritter ein (z. B. Gesundheitsdaten), sofern hierfür keine Rechtsgrundlage besteht.

8. Karten-Tiles — OpenFreeMap (über Cloudflare)

Anbieter: OpenFreeMap (kostenfreie Open-Source-Tiles auf Basis von OpenStreetMap-Daten), ausgeliefert über die Cloudflare Inc. Edge-Infrastruktur, 101 Townsend St, San Francisco, CA 94107, USA.

Zweck: Anzeige von Vertriebsgebieten und Standorten auf interaktiven Karten innerhalb des CRM.

Datenarten: IP-Adresse des Endgeräts (technisch zwingend für die Auslieferung), aufgerufene Kartenausschnitte (Tile-URLs), Browser-Header, Zeitstempel.

Empfänger / Sitz: Cloudflare Inc. (USA / globales Edge-Netz, Auslieferung typischerweise vom geografisch nächsten Rechenzentrum innerhalb der EU).

Drittlandtransfer: Möglich. Cloudflare ist nach dem EU-U.S. Data Privacy Framework zertifiziert; ergänzend werden Standardvertragsklauseln eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer performanten und kostengünstigen Karten-Darstellung ohne Aufbau eines Tracking-Profils).

Speicherdauer: Cloudflare-seitige Edge-Logs werden i. d. R. nach wenigen Stunden bis Tagen anonymisiert oder gelöscht. Wir selbst speichern keine Karten-Aufrufe.

9. Bot-Schutz — Cloudflare Turnstile

Anbieter: Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA.

Zweck: Schutz der Login- und Signup-Formulare vor automatisierten Angriffen (Credential-Stuffing, Bot-Anmeldungen). Turnstile arbeitet ohne sichtbares CAPTCHA-Rätsel und nutzt nicht-invasive Browser-Signale.

Datenarten: IP-Adresse, Browser-Header, eingeschränkte Browser-Telemetrie (z. B. Hardware-Concurrency, Bildschirmauflösung, Verhaltensmuster). Es werden keine Cookies zur nutzerübergreifenden Wiedererkennung gesetzt.

Empfänger / Sitz: Cloudflare Inc. (USA / globales Edge-Netz).

Drittlandtransfer: Cloudflare ist nach dem EU-U.S. Data Privacy Framework zertifiziert; ergänzend werden Standardvertragsklauseln eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Authentifizierung und am Schutz vor Missbrauch). Da Turnstile keine optionalen Cookies setzt und für die Sicherheit unverzichtbar ist, ist keine separate Einwilligung nach § 25 TTDSG erforderlich.

Speicherdauer: Sicherheits-Token sind nur wenige Minuten gültig; Cloudflare löscht zugehörige Telemetriedaten nach kurzer Frist.

10. Optional: Google Calendar API (nur bei aktiver Verbindung)

Sofern Sie als Nutzer Ihren Google-Kalender freiwillig mit dem CRM verbinden, verarbeiten wir Kalenderdaten zusätzlich über die Google Calendar API.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Google LLC, USA.

Zweck: Bidirektionaler Termin-Sync zwischen Ihrem Google-Kalender und dem CRM-Kalender (Lesen, Anlegen, Aktualisieren, Löschen von Terminen im verbundenen Kalender).

Datenarten: OAuth-Access- und Refresh-Token, Kalender-IDs, Termine (Titel, Zeitraum, Teilnehmer, Beschreibung, Ort), Aktualisierungs-Tokens für Webhook-Benachrichtigungen.

Empfänger / Sitz: Google Ireland Limited (Irland), Google LLC (USA).

Drittlandtransfer: Google LLC (USA) ist nach dem EU-U.S. Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — erteilt durch den OAuth-Consent-Dialog von Google). Die Einwilligung ist jederzeit widerrufbar, indem Sie die Verbindung in den CRM-Einstellungen trennen oder die Berechtigung im Google-Konto entziehen.

Speicherdauer: Tokens und Termin-Spiegelung bestehen, bis Sie die Verbindung trennen oder den Account löschen.

11. Cookies und lokaler Speicher

Essenzielle Cookies / Speicher (ohne Einwilligung)

Firebase Authentication und unsere Anwendung setzen technisch notwendige Cookies und nutzen den lokalen Browser-Speicher (localStorage / IndexedDB) zur Aufrechterhaltung Ihrer Anmeldung sowie für CSRF-Schutz und Workspace-Zuordnung. Diese sind technisch erforderlich und können nicht deaktiviert werden, ohne die Funktionsfähigkeit zu zerstören.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich); Verarbeitung gem. Art. 6 Abs. 1 lit. b DSGVO.

Sicherheits-Token (Cloudflare Turnstile)

Turnstile setzt keine nutzerübergreifenden Tracking-Cookies. Siehe Abschnitt 9.

Optionale Cookies (nur mit Einwilligung)

Statistik- und Marketing-Cookies werden nur nach Ihrer ausdrücklichen Einwilligung gesetzt. Aktuell sind keine solchen Cookies aktiv. Sollten zukünftig Statistik- oder Marketing-Cookies eingesetzt werden, erfolgt dies nur über den Cookie-Banner („Cookie-Einstellungen" im Footer); Ihre Einwilligung können Sie dort jederzeit widerrufen.

Rechtsgrundlage (sofern eingesetzt): § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

12. Server-Logs

Google Cloud Logging erfasst technische Log-Daten (IP-Adresse, User-Agent, Zeitstempel, aufgerufene URL, HTTP-Statuscode). Diese werden zur Fehlerbehebung und Sicherheitsüberwachung genutzt und nach spätestens 30 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Stabilität).

13. Auftragsverarbeiter (Übersicht)

Mit folgenden Dienstleistern bestehen Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO bzw. werden über deren Standardbedingungen (Data Processing Addendum, Standardvertragsklauseln) geregelt:

  • Google Ireland Limited / Google LLC (Firebase, Firestore, Auth, Storage, Functions, Cloud Messaging, App Check, Gemini API, Calendar API) — Irland / USA, DPF-zertifiziert
  • Stripe Payments Europe Ltd / Stripe Inc. (Zahlungsabwicklung) — Irland / USA, DPF-zertifiziert
  • Cloudflare Inc. (Karten-Tile-Auslieferung, Turnstile-Bot-Schutz) — USA, DPF-zertifiziert

14. Speicherdauer (allgemeiner Überblick)

  • Account- und CRM-Daten: bis zur Beendigung der Vertragsbeziehung zuzüglich 30 Tagen Export-Frist (siehe AGB § 7)
  • Rechnungs- und Zahlungsdaten: 10 Jahre (handels-/steuerrechtliche Aufbewahrungsfristen, § 257 HGB, § 147 AO)
  • Server-Logs: 30 Tage
  • KI-API-Verarbeitungsspeicher (Google): bis zu 55 Tage

15. Ihre Rechte als betroffene Person

Sie haben jederzeit folgende Rechte:

  • Auskunft über Ihre verarbeiteten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) — insbesondere bei Verarbeitungen auf Grundlage berechtigter Interessen
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: maronrusty377@gmail.com

16. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem der Verantwortliche seinen Sitz hat. Eine Liste aller Aufsichtsbehörden finden Sie auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI): www.bfdi.bund.de.

17. Automatisierte Entscheidungsfindung

Eine vollautomatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO (mit rechtlicher Wirkung Ihnen gegenüber) findet nicht statt. KI-Funktionen unterstützen lediglich die Eingabe und Strukturierung von Daten und treffen keine bindenden Entscheidungen.

18. Stand dieser Datenschutzerklärung

Stand: 03.05.2026. Wir behalten uns vor, diese Erklärung bei Änderungen der Datenverarbeitung oder der Rechtslage anzupassen. Über wesentliche Änderungen informieren wir Sie aktiv per E-Mail.