Datenschutzerklärung

Informationen gemäß Art. 13 und 14 DSGVO.

1. Verantwortlicher

Rene Hering, nullroutine, Hans-Sachs-Str. 41, 04425 Taucha, Deutschland — null@nullroutine.de.

2. Verarbeitete Daten

  • Konto: E-Mail-Adresse, Anzeigename, Sprache, Passwort-Hash.
  • Sicherheitsprotokolle: IP-Adresse, User-Agent und Zeitpunkt von Anmeldeversuchen (erfolgreich + fehlgeschlagen), Audit-Einträge (Einladungen, Passwort-Änderungen, Einwilligungen).
  • Einwilligungs-Zeitstempel (Art. 7 DSGVO): Zeitpunkt der Annahme von Datenschutzerklärung und Nutzungsbedingungen.
  • Organisations-Kontext: Zuordnung zu Organisationen (Mandanten), Rolle im Mandanten, Abo-Status je Modul.
  • Abrechnungs-Metadaten: Paddle-Kunden-ID, Subscription-ID, Tarif und Abrechnungs-Intervall, Abrechnungsstatus. Eigentliche Zahlungsdaten (Karte, IBAN, Rechnungsanschrift, USt-ID) werden ausschließlich von Paddle als Merchant-of-Record erhoben und gespeichert und sind für uns nicht einsehbar.

3. Zweck und Rechtsgrundlage

  • Authentifizierung und Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
  • Berechtigtes Interesse an IT-Sicherheit (Art. 6 Abs. 1 lit. f DSGVO): Sperrung nach Fehlversuchen, Audit-Protokoll.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): steuerrelevante Abrechnungsdaten (6 Jahre gem. § 147 AO, 10 Jahre bei Rechnungen gem. § 14b UStG).

4. Cookies

Wir setzen ausschließlich funktionale Cookies ein: session (Login-Sitzung, first-party, HttpOnly, SameSite=Lax, Lebensdauer 8 Stunden), uni-lang (Sprach-Präferenz, 1 Jahr), uni-theme (Farbschema, localStorage). Keine Tracking-Cookies, keine Analytics, keine Cookies Dritter. Eine Einwilligung nach § 25 Abs. 2 TTDSG ist nicht erforderlich.

5. Empfänger und Auftragsverarbeiter

  • Brevo (Sendinblue SAS, Frankreich) — Versand transaktionaler E-Mails (Bestätigungs-Codes, Passwort-Reset, Einladungen). Auftragsverarbeiter gem. Art. 28 DSGVO, AV-Vertrag geschlossen. Server in der EU.
  • Paddle.com Market Ltd. (UK) / Paddle Inc. (USA) — Zahlungsabwicklung und Rechnungsstellung als Merchant-of-Record. Paddle ist vertraglicher Verkäufer gegenüber zahlenden Kunden und wickelt Checkout, Umsatzsteuer, Rechnungsstellung und Chargebacks eigenständig ab. Wir erhalten lediglich Webhook-Benachrichtigungen mit Abo-Status, Tarif und Kunden-ID; keine Kartendaten, keine vollständige Rechnungsanschrift. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Übermittlung ins UK ist durch den UK-Angemessenheitsbeschluss, in die USA durch EU-Standardvertragsklauseln abgesichert. Paddle-Datenschutz: paddle.com/legal/privacy.
  • jsDelivr CDN (StackPath / EU-PoPs) — Auslieferung gängiger Bibliotheken (Bootstrap CSS/JS). Technisch wird der Browser-Fingerprint (IP, User-Agent) sichtbar.
  • Google Fonts (Google LLC, USA) — Inter-Font via fonts.googleapis.com. Gleiche technische Sichtbarkeit wie beim CDN. Garantien: EU-Standardvertragsklauseln.
  • Module (SloppyFix, SloppyScan, SloppyPlan, SloppyRent) — erhalten Identitätsmerkmale via JWT (E-Mail, Anzeigename, Organisations-Rolle, aktive Modul-Slugs). Gleicher Verantwortlicher.

6. Speicherdauer

  • Kontodaten: bis zur Löschung (Selbstlöschung im Profil oder auf Anforderung).
  • Sicherheitsprotokolle: 90 Tage, danach anonymisiert.
  • Audit-Ereignisse: bleiben nach Konto-Löschung erhalten (user_id=NULL) zur rechtlichen Dokumentation.
  • Abrechnungsdaten (Rechnungen): 10 Jahre gem. § 14b UStG.

7. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21). Anfragen an null@nullroutine.de oder — für das eigene Konto — direkt über die Profil-Seite („DSGVO-Zentrale").

8. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, insbesondere im EU-Mitgliedstaat Ihres Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO). Zuständig für nullroutine ist der Sächsische Datenschutzbeauftragte, Devrientstr. 1, 01067 Dresden.

9. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling, die rechtliche Wirkung entfaltet oder den Betroffenen in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt.

Stand: 2026-04-25