Datenschutz

Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten die Anwendung PflichtPilot verarbeitet, zu welchen Zwecken dies geschieht und welche Rechte Sie als betroffene Person haben. PflichtPilot ermöglicht das Anlegen und Dokumentieren von Pflichten sowie das Hochladen von Nachweisen.

Andreas Fetscher

Sauggarter Str. 33

88524 Uttenweiler

Deutschland

PflichtPilot verarbeitet personenbezogene Daten zur Bereitstellung der Anwendung, insbesondere zum Betrieb von Benutzerkonten, zum Anlegen und Verwalten von Pflichten, zum Upload von Nachweisen sowie zum Versand notwendiger E-Mails (z. B. Login-Links).

Rechtsgrundlagen sind in der Regel Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung zur Erfüllung eines Vertrags bzw. vorvertraglicher Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, z. B. Betrieb und Sicherheit des Dienstes). Für ggf. erforderliche Einwilligungen (z. B. für optionale Funktionen) wird gesondert um Zustimmung gebeten.

Accountdaten

E-Mail-Adresse, Login-Session-Token und Profilangaben (z. B. Pro-Status).

Pflichten

Titel, Beschreibung, Fälligkeit, Risiko, Archiv-Kennzeichen und zugehörige Metadaten.

Nachweise (Uploads)

Hochgeladene Dateien (Fotos, PDFs, Screenshots) sowie Dateiname, Upload-Zeitpunkt und ggf. vom Nutzer angegebene Metadaten.

Protokolldaten

Verbindungsdaten (z. B. IP-Adresse), Zeitstempel, Nutzeragent — zu Sicherheits- und Analysezwecken in pseudonymisierter Form.

Zahlungsdaten

Nur soweit erforderlich: Zahlungsbestätigungen/Transaktionskennungen, verarbeitet durch den von Ihnen gewählten Zahlungsdienstleister (PflichtPilot speichert keine vollständigen Zahlungsdaten wie Karten-PANs).

Zur Bereitstellung des Dienstes setzt PflichtPilot technische Dienstleister ein. Aktuelle Partner sind u. a.:

Supabase

Datenbank, Authentifizierung und Objektspeicher (Dateien). Supabase wird als Auftragsverarbeiter eingesetzt; Serverstandorte können innerhalb der EU liegen.

Brevo (Sendinblue SAS)

Versand von Login-Magic-Links, transaktionalen System-E-Mails (Account-Bestätigung, Hinweise) und der Belegmappen-Vorlage. Anbieter: Sendinblue SAS, 106 boulevard Haussmann, 75008 Paris, Frankreich. Übermittelt werden ausschließlich die für den Versand erforderlichen Felder (E-Mail-Adresse, Sprache, Anlass). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) bzw. lit. f (berechtigtes Interesse an verlässlichem Login). Auftragsverarbeitung gemäß Art. 28 DSGVO. Datenschutzerklärung Brevo: brevo.com/legal/privacypolicy.

Hosting / Webhosting (Netcup)

Die öffentliche Website wird bei netcup GmbH (Daimlerstraße 25, 76185 Karlsruhe, Deutschland) gehostet. Dabei können technische Zugriffsdaten (IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Ressource, User-Agent) in Server-Logs erfasst werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Verfügbarkeit und Sicherheit). Auftragsverarbeitung gemäß Art. 28 DSGVO. Datenschutzerklärung netcup: netcup.de/kontakt/datenschutzerklaerung.

Cloudflare

PflichtPilot nutzt Dienste von Cloudflare, Inc. (101 Townsend St., San Francisco, CA 94107, USA) als CDN (Content Delivery Network), DDoS-Schutz und Reverse Proxy. Dabei können technische Zugriffsdaten (insbesondere IP-Adresse, HTTP-Header, Zeitstempel) durch Cloudflare verarbeitet werden, bevor Anfragen den Hosting-Server erreichen. Die Nutzung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Verfügbarkeit und Sicherheit des Dienstes). Für Datenübermittlungen in die USA stützt sich Cloudflare auf Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO. Datenschutzerklärung Cloudflare: cloudflare.com/privacypolicy.

Stripe (Zahlungsabwicklung)

Für die Abwicklung kostenpflichtiger Abonnements und Einmalzahlungen setzt PflichtPilot Stripe Payments Europe, Limited (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland) ein. Wenn Sie ein zahlungspflichtiges Angebot buchen, werden Ihre Zahlungsdaten (Karteninformationen, Bankverbindung, Name, Rechnungsadresse, ggf. USt-IdNr., E-Mail) direkt an Stripe übermittelt und dort verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) sowie Art. 6 Abs. 1 lit. f DSGVO (Betrugsprävention). Stripe ist als Zahlungsdienstleister selbst verantwortlich für die Zahlungsverarbeitung; PflichtPilot erhält von Stripe lediglich Status-Informationen (Zahlung erfolgreich/fehlgeschlagen, Abo-Status). Datenübermittlungen außerhalb der EU stützt Stripe auf Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO. Datenschutzerklärung Stripe: stripe.com/de/privacy.

Mit allen Dienstleistern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Hochgeladene Dateien werden im Objektspeicher der Plattform gehalten. Bei Löschung des zugehörigen Eintrags wird die Bereinigung der Speicherobjekte automatisch eingeleitet; in seltenen technischen Ausnahmefällen kann eine Nachbereinigung erforderlich sein.

Regelmäßige Backups werden angelegt; Kopien aus Backups können für einen begrenzten Zeitraum (z. B. zur Wiederherstellung) vorgehalten werden. Wenn Sie die Löschung Ihrer Daten wünschen, kontaktieren Sie bitte die unten angegebene E-Mail-Adresse.

Die folgende Übersicht fasst die Speicherdauer je Datenkategorie zusammen. Maßgeblich bleibt im Einzelfall der konkrete Verarbeitungszweck und die Rechtsgrundlage nach Abschnitt 5; die Tabelle dient der Orientierung.

Gesetzliche Lösch-, Einschränkungs- und Widerspruchsrechte nach Art. 15 ff. DSGVO bleiben unberührt. Die Produktlogik der „Archivierung" gilt nur innerhalb eines aktiven Kontos und schränkt diese Rechte nicht ein.

Archivierung im Produkt bedeutet: Innerhalb eines aktiven Kontos werden abgeschlossene Pflicht-Iterationen nicht ausgeblendet, sondern als Teil der Historie sichtbar gehalten. Dadurch bleiben vorhandene Nachweise, Lücken und Zeitpunkte nachvollziehbar. Es handelt sich um eine reine Produkt- und Anzeigelogik, nicht um eine rechtliche oder revisionssichere Archivierung im Sinne separater Vertrauensdienste.

Davon unberührt bleiben die gesetzlichen Lösch-, Einschränkungs- und Widerspruchsrechte nach der DSGVO. Bei Account-Löschung löschen oder anonymisieren wir personenbezogene Anwendungsdaten nach unserer Löschlogik (siehe Abschnitt 5a). Daten, die wir aus gesetzlichen Gründen, zur Abrechnung, Sicherheit oder Rechtsverteidigung benötigen, speichern wir nur für den jeweils erforderlichen Zeitraum.

Vor einer Account-Löschung sollten Nutzer ihre Nachweise exportieren. Nach Löschung kann die gehostete Nachweisstruktur einschließlich Verify-Links nicht wiederhergestellt werden.

Bei einer Account-Löschung wird neben der Bereinigung der Anwendungsdaten auch die Verbindung zum Zahlungsdienstleister Stripe aufgelöst: Ein aktives Abonnement wird zunächst gekündigt und anschließend das in Stripe geführte Kunden-Objekt (Customer ID) per Stripe-API gelöscht. Beide Schritte erfolgen im selben Lösch-Vorgang als Best-Effort; das Ergebnis jedes Teilschritts wird protokolliert.

Stripe selbst unterliegt als eigenverantwortlicher Zahlungsdienstleister gesetzlichen Aufbewahrungspflichten. Bereits ausgestellte Rechnungen und die zugehörigen Zahlungs-Stammdaten verbleiben bei Stripe für die gesetzlich vorgeschriebene Dauer (in der Regel zehn Jahre gemäß § 147 AO; Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO). Diese Aufbewahrung liegt außerhalb des Einflussbereichs von PflichtPilot und ist Bestandteil des zwischen Stripe und dem Kunden bestehenden Vertragsverhältnisses über die Zahlungsabwicklung.

Sollte die Customer-Löschung bei Stripe technisch nicht möglich sein (zum Beispiel bei offenem Saldo oder vorübergehendem API-Fehler), wird der Vorgang im Lösch-Protokoll vermerkt. Die Verknüpfung zwischen PflichtPilot-Konto und Stripe-Customer wird in diesem Fall lokal entfernt; die Stammdaten bei Stripe können auf Wunsch direkt über das Stripe-Kundenportal oder den Stripe-Support entfernt werden.

PflichtPilot verwendet notwendige Cookies für die Sitzungsverwaltung (Login).

Zur anonymisierten Reichweitenmessung auf öffentlichen Seiten (Marketing, Wissens-Artikel, Pricing, Roadmap, Manifest sowie den rechtlichen Seiten Impressum, AGB und dieser Datenschutzerklärung) wird Plausible Analytics eingesetzt — eine datenschutzfreundliche, in der EU gehostete Analyse-Lösung, die keine Cookies setzt, keine personenbezogenen Daten erhebt und keine Geräte-IDs speichert. Erfasst werden nur aggregierte Zugriffszahlen (Seitenaufrufe, Referrer, Land, Browsertyp) ohne Rückverweis auf Einzelpersonen. Eine Einwilligung ist daher nach § 25 Abs. 2 TTDSG nicht erforderlich. Anbieter: Plausible Insights OÜ, Tallinn, Estland (Datenrichtlinie). Innerhalb der App (Bereich /app/) wird keine Reichweitenmessung durchgeführt.

Es werden technische und organisatorische Maßnahmen angewendet, um personenbezogene Daten gegen unbeabsichtigten Verlust, unberechtigten Zugriff und Missbrauch zu schützen. Dazu gehören Zugangsbeschränkungen, verschlüsselte Übertragung (TLS) und begrenzte Zugriffsrechte.

Sie haben das Recht auf Auskunft über die verarbeiteten Daten, Berichtigung unrichtiger Daten, Löschung, Einschränkung der Verarbeitung sowie Datenübertragbarkeit. Zudem können Sie eine erteilte Einwilligung jederzeit widerrufen und der Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.

Zur Ausübung Ihrer Rechte kontaktieren Sie bitte den Datenschutz-Kontakt (siehe unten).

Bei Fragen zum Datenschutz wenden Sie sich bitte an:

[email protected]