Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
vdux
Deutschland
Website: vdux.de

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

• Bestandsdaten (z.B. Namen, E-Mail-Adressen)
• Inhaltsdaten (z.B. Texteingaben, Nachrichteninhalte, Dateianhänge)
• Nutzungsdaten (z.B. besuchte Seiten, Zugriffszeiten)
• Meta-/Kommunikationsdaten (z.B. IP-Adressen, Browserinformationen)
• Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit, Kundenkategorie)

Kategorien betroffener Personen

• Nutzer der Plattform (Administratoren, Teammitglieder)
• Kunden, die über Magic Links eingeladen werden
• Besucher der Website

Wir verarbeiten personenbezogene Daten im Einklang mit der DSGVO. Die Rechtsgrundlagen sind:

• Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) – Die betroffene Person hat ihre Einwilligung in die Verarbeitung gegeben (z.B. bei Cookies, Marketing).
• Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) – Die Verarbeitung ist erforderlich für die Erfüllung eines Vertrags (z.B. Nutzung der Plattform).
• Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) – Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen erforderlich (z.B. Sicherheit, Missbrauchsprävention).

4.1 Registrierung und Benutzerkonto

Bei der Registrierung erheben wir:

• Vollständigen Namen
• E-Mail-Adresse
• Passwort (verschlüsselt gespeichert)
• Optionale Zwei-Faktor-Authentifizierung (TOTP-Secret)

Diese Daten sind für die Bereitstellung unseres Dienstes erforderlich. Die Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung).

4.2 Ticketsystem und Kommunikation

Im Rahmen der Nutzung unserer Plattform verarbeiten wir:

• Ticket-Inhalte (Titel, Beschreibung, Status)
• Chat-Nachrichten zwischen Nutzern und Kunden
• Dateianhänge zu Tickets und Nachrichten
• Zeiterfassungsdaten
• Projektinformationen

4.3 Magic Links und Kundeneinladungen

Wenn Sie Kunden über Magic Links einladen, wird die E-Mail-Adresse des Kunden verarbeitet. Ein einmaliger Token wird generiert, der den Zugang zum entsprechenden Ticket ermöglicht. Die Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO.

4.4 Team-Einladungen

Bei Team-Einladungen werden E-Mail-Adressen der eingeladenen Personen verarbeitet und Einladungslinks per E-Mail versandt.

4.5 Dynamic Desk Agent (optionale Desktop-Anwendung)

Zur Erkennung von Benutzeraktivität für die Zeiterfassungs-Idle-Erkennung kann optional der Dynamic Desk Agent installiert werden. Dieser verarbeitet:

• Aktivitätsstatus (aktiv/inaktiv) — es werden keine Tastatureingaben oder Mausbewegungen aufgezeichnet oder übertragen
• Geräte-Identifikation (Hostname, Plattform)
• Heartbeat-Daten für die Online-Präsenz

Die Verarbeitung erfolgt ausschließlich lokal auf dem Gerät des Nutzers. Nur der Aktivitätsstatus (aktiv/inaktiv) wird an den Server übermittelt.

4.6 Push-Benachrichtigungen

Bei Aktivierung von Push-Benachrichtigungen wird ein geräte­spezifisches Abonnement-Token (Web Push Subscription) gespeichert, um Benachrichtigungen zustellen zu können.

Unsere Website verwendet Cookies. Wir unterscheiden zwischen technisch notwendigen Cookies, funktionalen Cookies, Analyse-Cookies und Marketing-Cookies. Sie können Ihre Cookie-Einstellungen jederzeit über unseren Cookie-Banner anpassen.

Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website unerlässlich. Sie ermöglichen grundlegende Funktionen wie Authentifizierung, Session-Verwaltung und Sicherheit.

Funktionale Cookies

Funktionale Cookies speichern Ihre Präferenzen wie Spracheinstellungen und Darstellungsoptionen, um Ihnen ein verbessertes Nutzungserlebnis zu bieten.

Analyse-Cookies

Analyse-Cookies helfen uns zu verstehen, wie Besucher unsere Website nutzen, indem sie anonymisierte Nutzungsdaten sammeln.

Marketing-Cookies

Marketing-Cookies werden eingesetzt, um Ihnen relevante Werbung anzuzeigen und den Erfolg von Werbekampagnen zu messen.

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein:

• Verschlüsselte Übertragung (TLS/SSL)
• Verschlüsselte Passwortspeicherung (bcrypt)
• Optionale Zwei-Faktor-Authentifizierung (TOTP)
• Row Level Security (RLS) auf Datenbankebene
• Rate Limiting zum Schutz vor Brute-Force-Angriffen
• Automatische Session-Timeouts bei Inaktivität
• Content-Moderation für Chat-Nachrichten

Unsere Plattform wird bei Vercel (Vercel Inc., USA) gehostet. Die Datenbank und Authentifizierung wird über Supabase bereitgestellt. Beide Dienste sind DSGVO-konform und haben entsprechende Auftragsverarbeitungsverträge (AVV) abgeschlossen.

Personenbezogene Daten werden nur dann an Dritte weitergegeben, wenn dies für die Vertragserfüllung erforderlich ist oder Sie ausdrücklich eingewilligt haben. Eine Weitergabe erfolgt insbesondere an:

• E-Mail-Dienstleister für den Versand von Benachrichtigungen
• Connector-Dienste (Jira, Trello, Slack, GitHub, Bitbucket, Microsoft Teams) bei aktivierter Integration
• Zahlungsdienstleister (Stripe) für die Abwicklung von Abonnementzahlungen

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO) – Recht auf Auskunft über Ihre gespeicherten Daten
• Berichtigungsrecht (Art. 16 DSGVO) – Recht auf Berichtigung unrichtiger Daten
• Löschungsrecht (Art. 17 DSGVO) – Recht auf Löschung Ihrer Daten
• Einschränkung (Art. 18 DSGVO) – Recht auf Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO) – Recht auf Erhalt Ihrer Daten in einem strukturierten Format
• Widerspruchsrecht (Art. 21 DSGVO) – Recht auf Widerspruch gegen die Verarbeitung
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – Recht auf jederzeitigen Widerruf erteilter Einwilligungen

Für die Abwicklung von Zahlungen und Abonnements nutzen wir den Zahlungsdienstleister Stripe (Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA). Stripe ist als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig und PCI DSS Level 1 zertifiziert.

10.1 Verarbeitete Zahlungsdaten

Im Rahmen der Zahlungsabwicklung werden folgende Daten verarbeitet:

• Name und E-Mail-Adresse des Kontoinhabers
• Gewählter Abo-Plan (Monatlich / Jährlich)
• Stripe-Kunden-ID und Stripe-Abonnement-ID
• Abonnementstatus (Testphase, Aktiv, Gekündigt, Abgelaufen)
• Ablaufdatum der Testphase

Wichtig: Kreditkartennummern, Bankverbindungen und andere sensible Zahlungsinformationen werden ausschließlich von Stripe verarbeitet und niemals auf unseren Servern gespeichert.

10.2 Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung) zur Abwicklung des Abonnementvertrags.

10.3 Datenweitergabe an Stripe

Mit Stripe besteht ein Auftragsverarbeitungsvertrag (AVV). Stripe kann Daten in die USA übermitteln und stützt sich dabei auf die EU-US Data Privacy Framework-Zertifizierung sowie Standardvertragsklauseln. Weitere Informationen: Stripe Datenschutzerklärung.

10.4 Speicherdauer der Zahlungsdaten

Abonnementbezogene Daten (Kunden-ID, Plan, Status) werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Kündigung und Ablauf des Abrechnungszeitraums werden die Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z.B. steuerrechtlich 10 Jahre gemäß §§ 147 AO, 257 HGB) entgegenstehen.

Personenbezogene Daten werden nur so lange gespeichert, wie es für die Erfüllung des Verarbeitungszwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Nach Löschung Ihres Kontos werden Ihre Daten innerhalb von 30 Tagen vollständig entfernt, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version ist stets auf dieser Seite abrufbar.

Bei Fragen zum Datenschutz wenden Sie sich bitte an:
vdux
Website: vdux.de