Datenschutzerklärung
Stand: 27.04.2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Rafik Halabi, Esmarchstr. 5, 40223 Düsseldorf, Deutschland
E-Mail: legal@flintery.com
2. Übersicht der Datenverarbeitung
flintery ist ein Finanzplanungstool für Fotografen, Videografen, Content Creator und Kreativdienstleister. Wir verarbeiten Ihre Daten zur Bereitstellung unserer Dienste, zur Vertragserfüllung und zur Verbesserung unserer Plattform.
Verarbeitete Datenkategorien:
- Stammdaten (Name, E-Mail-Adresse, Adresse)
- Nutzungsdaten (Zugriffszeiten, genutzte Funktionen)
- Projektdaten (Kalkulationen, Kundendaten, Nutzungsrechte)
- Finanzdaten (Einnahmen, Ausgaben, Bankdaten bei aktivierter Synchronisation)
- Zahlungsdaten (über Stripe verarbeitet)
- Lead-Daten (E-Mail-Adresse, optional Name und Berufsfeld bei Nutzung kostenloser Inhalte wie dem Starter-Guide)
3. Bereitstellung der Plattform
3.1 Nutzerkonten und Authentifizierung
Für die Registrierung und Anmeldung verarbeiten wir: E-Mail-Adresse, Passwort (verschlüsselt gespeichert), Name (optional), Branche und Erfahrungsjahre (optional).
Für die Sitzungsverwaltung nutzen wir die Open-Source-Bibliothek Better Auth. Authentifizierungsdaten werden in unserer PostgreSQL-Datenbank in Deutschland gespeichert. Wir verwenden HTTP-only Session-Cookies zur Sitzungsverwaltung.
Rechtsgrundlage: Die Speicherung dieser technisch notwendigen Informationen auf Ihrem Endgerät erfolgt ohne Einwilligung auf Grundlage von § 25 Abs. 2 TDDDG. Die anschließende Verarbeitung der Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
3.2 Hosting (Hetzner)
Unsere Anwendung wird auf dedizierten Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet.
- Verarbeitete Daten: IP-Adresse, Zugriffszeiten, Browsertyp, Referrer-URL
- Serverstandort: Alle Server befinden sich ausschließlich in Deutschland (Rechenzentren in Nürnberg/Falkenstein). Personenbezogene Daten verlassen zu keinem Zeitpunkt den Europäischen Wirtschaftsraum.
- Drittlandtransfer: Entfällt — Hetzner ist ein deutscher Anbieter mit ausschließlich deutschen Rechenzentren. Kein Transfer in Drittländer.
- Zertifizierungen: ISO/IEC 27001, SOC 1 Type II, SOC 2 Type II
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung)
- Weitere Informationen: https://www.hetzner.com/de/legal/privacy-policy
3.3 CDN und DDoS-Schutz (Cloudflare)
Zum Schutz unserer Plattform vor Angriffen und zur Beschleunigung der Auslieferung nutzen wir Dienste der Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA. Für Kunden in der EU ist verantwortlich: Cloudflare (London) Ltd., County Hall/The Riverside Building, Belvedere Road, London, SE1 7PB.
- Verarbeitete Daten: IP-Adresse, Zugriffszeiten, Browsertyp, Referrer-URL. Der gesamte Datenverkehr wird über das Cloudflare-Netzwerk geleitet.
- Zweck: DDoS-Schutz, Web Application Firewall (WAF), SSL/TLS-Terminierung, CDN-Caching statischer Inhalte.
- Serverstandort: Cloudflare leitet den Datenverkehr über den nächstgelegenen Edge-Standort. Für deutsche Nutzer ist dies in der Regel Frankfurt oder Düsseldorf. Personenbezogene Daten werden nicht dauerhaft in Cloudflare-Systemen gespeichert.
- Drittlandtransfer: Für die Datenübermittlung in das Vereinigte Königreich an die Cloudflare (London) Ltd. liegt ein Angemessenheitsbeschluss der EU-Kommission vor. Eine etwaige Weiterübermittlung in die USA an die Cloudflare, Inc. erfolgt auf Grundlage des EU-US Data Privacy Framework, unter dem Cloudflare zertifiziert ist. Ergänzend wurden EU-Standardvertragsklauseln (SCCs) vereinbart.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Plattform vor Cyberangriffen und an der performanten Bereitstellung)
- Weitere Informationen: https://www.cloudflare.com/de-de/privacypolicy/
3.4 Datenbank (Self-hosted PostgreSQL)
Für die Speicherung von Anwendungsdaten betreiben wir eine selbst gehostete PostgreSQL-Datenbank auf einem dedizierten Server der Hetzner Online GmbH in Deutschland.
- Serverstandort: Deutschland (Nürnberg/Falkenstein). Personenbezogene Daten verlassen zu keinem Zeitpunkt den Europäischen Wirtschaftsraum.
- Sicherheitsmaßnahmen: Verschlüsselung in transit (TLS 1.2+), Zugriff ausschließlich über ein privates Netzwerk, kein öffentlicher Datenbankzugriff
- Backups: Tägliche automatisierte Datenbanksicherungen, Speicherung in Deutschland (Hetzner Object Storage, Nürnberg)
- Drittlandtransfer: Entfällt — vollständig self-hosted in Deutschland.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
3.5 E-Mail-Versand (Resend)
Für den Versand transaktionaler E-Mails nutzen wir den Dienst Resend der Resend, Inc., San Francisco, CA, USA. Dies umfasst ausschließlich kontobezogene E-Mails wie Passwort-Zurücksetzung, E-Mail-Verifizierung, Stripe-Zahlungsbestätigungen, Faktura-PDF-Versand sowie Account- und Sicherheits-Benachrichtigungen (Lizenz-Ablaufwarnungen, monatliche Finanzberichte). Marketing-, Newsletter- und Lifecycle-E-Mails werden ausschließlich über Brevo versendet (siehe 3.8).
- Verarbeitete Daten: E-Mail-Adresse, Name, Inhalte der jeweiligen Benachrichtigung.
- Serverstandort: Die Verarbeitung erfolgt primär auf Servern in den USA.
- Zweck: Zuverlässige Zustellung aller kontobezogenen E-Mails, die für den Betrieb des Dienstes und das laufende Vertragsverhältnis erforderlich sind.
- Drittlandtransfer: Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs), die mit dem Anbieter vereinbart wurden, um ein angemessenes Datenschutzniveau zu gewährleisten.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für alle kontobezogenen transaktionalen E-Mails, da diese unmittelbar mit dem laufenden Vertragsverhältnis (Trial/Abonnement) zusammenhängen; ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Lizenzwarnungen und Finanzberichte.
- Weitere Informationen: https://resend.com/legal/privacy-policy
3.6 Automatisierte Benachrichtigungen
flintery versendet automatisierte E-Mail-Benachrichtigungen, um Sie über relevante Ereignisse in Ihrem Konto zu informieren:
- Lizenz-Ablaufwarnungen: Wenn Nutzungsrechte in Ihren Projekten demnächst ablaufen.
- Monatlicher Finanzbericht: Am letzten Tag eines Monats erhalten Sie eine Zusammenfassung mit aggregierten Finanzkennzahlen.
- Opt-out: Beide Benachrichtigungstypen können jederzeit in den Kontoeinstellungen unter „Benachrichtigungen“ deaktiviert werden.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Information des Nutzers über relevante Vertragsereignisse)
3.7 Lead-Magnet & Starter-Guide
Über unseren Tagessatz-Rechner und ggf. weitere Seiten bieten wir kostenlose Inhalte an (z. B. den „Starter-Guide für Finanzplanung“). Um diese Inhalte bereitzustellen, erheben wir folgende Daten:
- Verarbeitete Daten: E-Mail-Adresse (Pflicht), Name (optional), Berufsfeld (optional, z. B. Fotograf, Videograf).
- Zweck: Zustellung des angeforderten Dokuments per E-Mail sowie — bei erteilter Einwilligung — Versand gelegentlicher Tipps rund um Preisgestaltung und Kalkulation.
- Speicherung: Die Daten werden in unserer Datenbank in Deutschland gespeichert (siehe 3.4) und über Resend zugestellt (siehe 3.5).
- Widerruf & Löschung: Sie können sich jederzeit über den Abmeldelink in jeder E-Mail abmelden. Auf Anfrage an legal@flintery.com löschen wir Ihre Lead-Daten vollständig.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung wird über eine Opt-in-Checkbox vor dem Download erteilt und kann jederzeit widerrufen werden.
3.8 Marketing-, Newsletter- und Lifecycle-E-Mails (Brevo)
Für den Versand von Newsletter, Lifecycle-Sequenzen (z. B. Trial-Reminder, Onboarding, Creator Pass, Win-Back) und sonstigen Marketing-E-Mails nutzen wir den Dienst Brevo der Sendinblue SAS, 7 rue de Madrid, 75008 Paris, Frankreich. Versendet wird ausschließlich von der Subdomain news.flintery.com.
- Verarbeitete Daten: E-Mail-Adresse, Vor- und Nachname, Plan-Status (Trial, Pro, Premium), Sprachpräferenz, Branche, weitere Custom-Felder zur Personalisierung sowie Verhaltensdaten (Öffnungen, Klicks, Bounces, Abmeldungen).
- Serverstandort: Frankreich (EU). Die Daten verlassen den Europäischen Wirtschaftsraum nicht.
- Zweck: Versand von Newsletter, Lifecycle-Sequenzen, Onboarding-E-Mails, Win-Back- und Re-Engagement-Kampagnen sowie Versand-Tracking (Öffnungen, Klicks) zur Verbesserung der Kommunikation.
- Drittlandtransfer: Nein. Sendinblue SAS ist ein französisches Unternehmen und verarbeitet die Daten ausschließlich auf Servern innerhalb der EU.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für kontobezogene Lifecycle-Mails (Trial, Onboarding, Plan-Wechsel-Hinweise); Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Newsletter und reine Marketing-Mails. Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist Bestandteil der Brevo-Nutzungsbedingungen, abgeschlossen am 26.04.2026 in elektronischer Form (Art. 28 Abs. 9 DSGVO).
- Weitere Informationen: https://www.brevo.com/de/legal/privacypolicy/
4. Bankanbindung (BanksAPI)
Zur optionalen Anbindung Ihrer Bankkonten nutzen wir die Dienste der BANKSapi Technology GmbH, Pettenkoferstr. 35, 80336 München. BANKSapi ist ein von der BaFin lizenzierter Kontoinformationsdienst (KID) gemäß ZAG und PSD2-konform.
- Verarbeitete Daten: Kontoinformationen, Transaktionsdaten, IBAN, Kontostände
- Serverstandort: Deutschland
- Datenspeicherung: Bankdaten unterliegen den gesetzlichen Aufbewahrungspflichten (siehe Abschnitt 9 — Speicherdauer und Löschfristen). Auf Wunsch werden synchronisierte Transaktionen früher gelöscht, soweit keine Aufbewahrungspflicht entgegensteht.
- Abgeleitete Buchungen: Im Rahmen der Bank-Anbindung werden Geldbewegungen optional als eigenständige Einnahme- und Ausgabe-Buchungen übernommen. Diese Buchungen unterliegen den steuerlichen Aufbewahrungspflichten (§ 147 AO) und sind unabhängig von der Aufbewahrungsdauer der Bank-Rohdaten.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 59 Abs. 2 ZAG
- Umfang der Anbindung: Es werden ausschließlich Kontoumsätze und Salden gelesen. flintery kann über BANKSapi keine Überweisungen auslösen oder andere Zahlungen veranlassen — der Zahlungsauslösedienst (ZAD) ist im Vertrag mit BANKSapi explizit nicht gebucht.
- Starke Kundenauthentifizierung (SCA): Die Anbindung erfolgt PSD2-konform mit Zwei-Faktor-Authentifizierung Ihrer Bank. flintery speichert keine Anmeldedaten Ihrer Bank — die Authentifizierung läuft direkt zwischen Ihrer Bank und BANKSapi über die REG/Protect-Webform.
- Auftragsverarbeitung: Mit BANKSapi besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Sie können die Bankverbindung jederzeit in den Einstellungen trennen. Bereits synchronisierte Transaktionen können auf Wunsch gelöscht werden.
5. Zahlungsabwicklung (Stripe)
Für die Zahlungsabwicklung und das Abonnement-Management nutzen wir Stripe. Für Kunden in der EU ist verantwortlich: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland.
- Verarbeitete Daten: Name, E-Mail-Adresse, Transaktionsdaten. Wir speichern Ihre vollständigen Kreditkartendaten nicht auf unseren Systemen. Die Eingabe und Verarbeitung der sensiblen Zahlungsdaten (Kreditkartennummer, CVC, etc.) erfolgt direkt durch Stripe über ein eingebettetes Zahlungsformular. Wir erhalten von Stripe lediglich Informationen über den Zahlungsstatus und eine maskierte Referenz (z. B. die letzten vier Ziffern der Karte).
- Drittlandtransfer: Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend wurden EU-Standardvertragsklauseln vereinbart.
- Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen für regulatorische Pflichten wie Betrugsprävention)
6. Buchhaltungsintegrationen
6.1 sevDesk
Sie können Ihr Konto optional mit sevDesk verbinden. Anbieter ist die sevDesk GmbH, Hauptstr. 115, 77652 Offenburg.
- Übermittelte Daten an sevDesk: Kundendaten, Rechnungsdaten, Projektpositionen
- Empfangene Daten von sevDesk: Rechnungsstatus, Kontaktdaten
- Serverstandort: Deutschland (AWS Frankfurt)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
6.2 lexoffice
Alternativ können Sie Ihr Konto mit lexoffice verbinden. Anbieter ist die Haufe Service Center GmbH, Freiburg.
- Übermittelte und empfangene Daten: Analog zu sevDesk
- Serverstandort: Deutschland (Raum Frankfurt)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
6.3 CSV-Import von Finanzdaten
Sie können Bankauszüge und Finanzdaten als CSV-Datei in flintery importieren.
- Verarbeitete Daten: Transaktionsdatum, Betrag, Verwendungszweck/Beschreibung. Extrahierte Transaktionen werden dauerhaft in Ihrem Konto gespeichert. Die Original-CSV-Datei wird nicht dauerhaft gespeichert.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
7. Benchmark-Funktion
flintery bietet eine optionale Benchmark-Funktion, die anonymisierte Marktdaten zu Honoraren bereitstellt. Wenn Sie diese nutzen, werden Ihre Projektdaten anonymisiert in aggregierte Statistiken einbezogen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Sie können die Benchmark-Teilnahme jederzeit in den Einstellungen deaktivieren.
8. Cookies und ähnliche Technologien
8.1 Technisch notwendige Cookies
Wir verwenden technisch notwendige Cookies, die für den Betrieb der Plattform erforderlich sind (z.B. Session-Cookies für die Anmeldung, CSRF-Tokens).
Rechtsgrundlage: Die Speicherung dieser technisch notwendigen Informationen auf Ihrem Endgerät bzw. der Zugriff darauf erfolgt ohne Einwilligung auf Grundlage von § 25 Abs. 2 TDDDG. Die anschließende Verarbeitung etwaiger personenbezogener Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit der Plattform) bzw. Art. 6 Abs. 1 lit. b DSGVO (soweit für die Vertragserfüllung erforderlich).
8.2 Lokale Browserspeicherung (localStorage)
Zusätzlich zu Cookies nutzen wir den lokalen Browserspeicher (localStorage) Ihres Browsers für die Zwischenspeicherung von Formulareingaben und UI-Präferenzen.
Rechtsgrundlage: Die Speicherung auf Ihrem Endgerät erfolgt ohne Einwilligung auf Grundlage von § 25 Abs. 2 TDDDG. Die anschließende Verarbeitung auf unseren Systemen stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Nutzerfreundlichkeit).
8.3 Google Analytics 4
Wir nutzen Google Analytics 4, einen Webanalysedienst der Google Ireland Limited, Dublin, Irland.
- Verarbeitete Daten: Geräte- und Browserinformationen, Nutzungsverhalten, Referrer-URL.
- IP-Anonymisierung: In Google Analytics 4 werden IP-Adressen standardmäßig anonymisiert und nicht vollständig gespeichert.
- Consent Mode: Wir setzen Google Consent Mode v2 (Advanced) ein. Das bedeutet: Die Google Analytics-Bibliothek wird beim Seitenaufruf geladen, setzt jedoch ohne Ihre ausdrückliche Einwilligung keine Cookies und greift nicht auf den Speicher Ihres Endgeräts zu (§ 25 TDDDG). Stattdessen werden ausschließlich cookielose, stark eingeschränkte Pings (z.B. Verbindungsdaten inkl. kurzzeitig verarbeiteter IP-Adresse) an Google gesendet. Diese Basis-Datenübermittlung stützen wir auf unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an einer rudimentären Reichweitenmessung (Conversion Modeling), um Messlücken auszugleichen. Erst nach Ihrer ausdrücklichen Einwilligung über das Cookie-Banner (Kategorie „Statistiken“) werden Cookies gesetzt, Nutzerkennungen generiert und vollständige Analysedaten erhoben (Art. 6 Abs. 1 lit. a DSGVO).
- Google-Signale: Wir nutzen zusätzlich die Funktion „Google-Signale“. Hierbei werden Sitzungsdaten mit Informationen von Google-Kontonutzern verknüpft, die die Personalisierung von Anzeigen aktiviert haben. Dies ermöglicht uns, aggregierte Berichte über demografische Merkmale und Interessen unserer Nutzer zu erstellen. Diese Funktion wird ausschließlich dann aktiviert, wenn Sie uns über das Cookie-Banner Ihre ausdrückliche Einwilligung zur statistischen Auswertung erteilt haben.
- Drittlandtransfer: Google ist unter dem EU-US Data Privacy Framework zertifiziert.
- Weitere Informationen: https://policies.google.com/privacy
Zusätzlich zu den client-seitigen Erhebungen senden wir über das GA4 Measurement Protocol server-seitige Events an Google Analytics (z. B. nach Abschluss einer Registrierung oder eines Kaufvorgangs). Diese Übermittlung erfolgt ohne Zugriff auf Ihr Endgerät und ohne Einsatz von Cookies. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Nutzung unseres Dienstes und der Werbewirksamkeit).
8.4 Meta Pixel (Facebook/Instagram)
Wir nutzen das Meta Pixel der Meta Platforms Ireland Limited, Dublin, Irland (nachfolgend „Meta“). Wenn Sie über eine Meta-Anzeige auf unsere Website gelangen, wird von Meta ein Cookie (sog. Click-ID-Cookie) auf Ihrem Endgerät gesetzt. Dieses Cookie dient der Erfolgsmessung unserer Werbekampagnen und ermöglicht es uns nachzuvollziehen, ob ein Nutzer nach dem Klick auf eine Anzeige eine bestimmte Aktion auf unserer Website durchgeführt hat (z. B. Registrierung, Abschluss eines Abonnements).
Zweck: Reichweitenmessung, Conversion-Tracking, Optimierung von Werbeanzeigen sowie das Bilden von Lookalike-Audiences.
Verarbeitete Daten: IP-Adresse, Browser- und Geräteinformationen, Referrer-URL, Aktionen auf der Plattform, Click-ID (fbc), Browser-ID (fbp) sowie eine pseudonymisierte (SHA-256-gehashte) E-Mail-Adresse und User-ID, sofern Sie eingeloggt sind oder sich registrieren.
Darüber hinaus erfassen wir serverseitig über die Meta Conversions API (CAPI) Conversion-Events (z. B. Registrierung, Trial-Start, Abschluss eines Abonnements, Lead-Anfrage). Diese server-seitigen Events werden ohne Cookies und ohne Zugriff auf Ihr Endgerät direkt an Meta übermittelt. Browser- und Server-Events werden über eine gemeinsame Event-ID dedupliziert, sodass eine Conversion höchstens einmal gezählt wird.
Wir nutzen die Funktion Erweitertes Abgleichen (Advanced Matching) der Meta Conversions API. Dabei werden Ihre bei der Registrierung oder beim Kauf angegebenen Identifikatoren (E-Mail-Adresse, ggf. externe User-ID) serverseitig mittels SHA-256 gehasht (pseudonymisiert) und in dieser Form an Meta übermittelt. Meta gleicht diese Hashes mit bestehenden Meta-Konten ab, um Conversions zuverlässiger dem auslösenden Anzeigenklick zuordnen zu können. Die Übermittlung erfolgt ausschließlich, wenn Sie der Kategorie „Marketing“ zugestimmt haben. Die gehashten Identifikatoren werden von Meta laut Vertrag nicht für andere Zwecke verwendet.
Drittlandtransfer: Meta ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend wurden EU-Standardvertragsklauseln vereinbart.
Rechtsgrundlage für den Zugriff auf Ihr Endgerät (Click-ID-Cookie, Browser-ID, Pixel) ist Ihre Einwilligung gemäß § 25 Abs. 1 TDDDG. Die anschließende Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Für die server-seitigen Events ohne Endgerätezugriff ist die Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — ohne Marketing-Einwilligung erfolgt keine Übermittlung über die Conversions API.
Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer widerrufen. Bei Widerruf werden gesetzte Click-ID- und Browser-ID-Cookies gelöscht und keine weiteren Browser- oder Server-Events an Meta übermittelt.
8.5 Consent-Management
Wir setzen zur Einholung und Verwaltung Ihrer Einwilligungen das Consent-Management-Tool Cookiebot der Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark, ein. Cookiebot speichert Ihren Einwilligungsstatus in einem Cookie auf Ihrem Endgerät, um Ihre Präferenzen bei zukünftigen Besuchen zu berücksichtigen.
Rechtsgrundlagen: Die Speicherung auf dem Endgerät erfolgt auf Basis von § 25 Abs. 2 TDDDG (technisch erforderlich). Die Verarbeitung der Daten (inkl. IP-Adresse und Zustimmungsstatus) zur Dokumentation der Einwilligung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Nachweisbarkeit).
Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer unserer Website widerrufen oder anpassen.
8.6 Error Tracking und Performance Monitoring (Sentry)
Zur Erkennung und Behebung technischer Fehler nutzen wir Sentry (Functional Software, Inc., USA).
- Verarbeitete Daten: Anonymisierte Nutzer-ID, technische Fehlerdaten, Browser-Infos, Session Replays (Formulareingaben maskiert). IP-Adressen werden anonymisiert.
- Drittlandtransfer: Sentry ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend wurden EU-Standardvertragsklauseln vereinbart.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Fehlerbehebung)
8.7 Google Ads Conversion-Tracking
Wir nutzen Google Ads Conversion-Tracking, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (nachfolgend „Google“). Wenn Sie über eine Google-Anzeige auf unsere Website gelangen, wird von Google Ads ein Cookie auf Ihrem Endgerät gesetzt (sog. Conversion-Cookie). Dieses Cookie dient der Erfolgsmessung unserer Werbekampagnen und ermöglicht es uns, nachzuvollziehen, ob ein Nutzer nach dem Klick auf eine Anzeige eine bestimmte Aktion auf unserer Website durchgeführt hat (z. B. Registrierung, Abschluss eines Abonnements).
Dabei werden folgende Daten verarbeitet: IP-Adresse (anonymisiert), Informationen zum verwendeten Browser und Betriebssystem, die aufgerufene Seite unserer Website, Referrer-URL, Zeitpunkt des Seitenaufrufs sowie Informationen über die Conversion-Aktion. Google erstellt daraus anonymisierte Statistiken, die keine persönliche Identifizierung einzelner Nutzer ermöglichen.
Darüber hinaus erfassen wir serverseitig über das GA4 Measurement Protocol benutzerdefinierte Conversion-Events (z. B. Registrierung, erster Kalkulationsaufruf, Kaufabschluss). Diese server-seitigen Events werden ohne Cookies und ohne Zugriff auf Ihr Endgerät direkt an Google Analytics übermittelt.
Wir nutzen die Funktion Erweiterte Conversions (Enhanced Conversions) von Google Ads. Dabei wird Ihre bei der Registrierung oder beim Kauf angegebene E-Mail-Adresse serverseitig mittels SHA-256 gehasht (pseudonymisiert) und in dieser Form an Google übermittelt. Google gleicht diesen Hash mit bestehenden Google-Konten ab, um Conversions zuverlässiger dem auslösenden Anzeigenklick zuordnen zu können. Die Übermittlung erfolgt ausschließlich, wenn Sie der Kategorie „Marketing“ zugestimmt haben. Die gehashte E-Mail-Adresse wird von Google nicht für andere Zwecke verwendet und nicht mit Dritten geteilt.
Rechtsgrundlage für den Zugriff auf Ihr Endgerät (Conversion-Cookie) ist Ihre Einwilligung gemäß § 25 Abs. 1 TDDDG. Die anschließende Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Für die server-seitigen Events ohne Endgerätezugriff ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Werbewirksamkeit).
Sie können die Einwilligung jederzeit über unsere Cookie-Einstellungen (Cookiebot-Banner) widerrufen. Das Conversion-Cookie wird nur gesetzt, wenn Sie der Kategorie „Marketing“ zugestimmt haben. Weitere Informationen zum Datenschutz bei Google finden Sie unter: https://policies.google.com/privacy
8.8 Google Ads Remarketing
Wir nutzen die Remarketing-Funktion von Google Ads. Google Ads Remarketing ermöglicht es uns, Besuchern unserer Website auf anderen Websites im Google-Displaynetzwerk gezielt Werbeanzeigen auszuspielen, die auf deren vorherige Interaktionen mit unserer Website abgestimmt sind.
Hierfür wird beim Besuch unserer Website ein Google Ads Remarketing-Tag geladen, das ein Cookie auf Ihrem Endgerät setzt (z. B. _gcl_aw). Anhand dieses Cookies erkennt Google, dass Sie unsere Website besucht haben, und kann Ihnen auf anderen Websites personalisierte Anzeigen anzeigen. Es werden keine personenbezogenen Daten an Dritte weitergegeben; die Zuordnung erfolgt pseudonymisiert.
Rechtsgrundlage für den Zugriff auf Ihr Endgerät ist Ihre Einwilligung gemäß § 25 Abs. 1 TDDDG. Die anschließende Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
Das Remarketing-Tag wird nur geladen, wenn Sie der Kategorie „Marketing” in unserem Consent-Banner (Cookiebot) zugestimmt haben. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen. Zusätzlich können Sie die personalisierte Werbung in Ihren Google-Kontoeinstellungen unter https://adssettings.google.com deaktivieren.
8.9 PostHog (Produktanalyse)
Wir nutzen PostHog, einen Produktanalysedienst der PostHog, Inc. Die Datenverarbeitung erfolgt ausschließlich auf Servern in der EU (Frankfurt, Deutschland).
Funktionen: Wir nutzen PostHog für Event-Tracking (z. B. Registrierung, Seitenaufrufe), Session Replays (Wiedergabe anonymisierter Nutzersitzungen) und Heatmaps (aggregierte Klick- und Scrollanalysen).
Verarbeitete Daten: Anonymisierte Nutzer-ID, Geräte- und Browserinformationen, Nutzungsverhalten, Klickpositionen, Scrolltiefe, Seitenaufrufe.
Session Replays: Formulareingaben und sensible Inhalte werden automatisch maskiert. IP-Adressen werden nicht gespeichert.
Kein Drittlandtransfer: Alle Daten werden auf PostHog EU-Cloud-Servern in Frankfurt (Deutschland) verarbeitet und gespeichert. Es findet keine Übermittlung in Drittländer statt.
Rechtsgrundlage: Die Speicherung auf Ihrem Endgerät bzw. der Zugriff darauf erfolgt nur mit Ihrer ausdrücklichen Einwilligung gemäß § 25 Abs. 1 TDDDG (Kategorie „Statistiken“ im Cookie-Banner). Die anschließende Datenverarbeitung stützt sich auf Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Weitere Informationen: PostHog Datenschutzerklärung
8.10 Affiliate-Tracking (FirstPromoter)
Wir nutzen den Affiliate-Tracking-Dienst FirstPromoter der Igil Webs SRL, Rumänien (nachfolgend „FirstPromoter“). Wenn Sie über einen Affiliate-Link (Parameter ?via=, ?ref= oder ?aff=) auf unsere Website gelangen, wird ein Cookie auf Ihrem Endgerät gesetzt, das den werbenden Partner (Affiliate) speichert. Bei einer späteren Registrierung wird Ihre E-Mail-Adresse an FirstPromoter übermittelt, damit die Vermittlung dem zugehörigen werbenden Partner zugeordnet werden kann.
Zweck: Provisionsberechnung für werbende Partner, Attribution von Registrierungen und Abonnements zum werbenden Partner.
Verarbeitete Daten: IP-Adresse, Browser- und Geräteinformationen, Vermittlungs-Cookie-ID, Affiliate-Kennung sowie Ihre E-Mail-Adresse bei Registrierung. Bei Abschluss eines Abonnements werden zusätzlich abonnementbezogene Daten (Status, Betrag, Währung) über die Stripe-Integration des Anbieters verarbeitet.
Drittlandtransfer: Es findet kein Drittlandtransfer statt. FirstPromoter wird ausschließlich in der Europäischen Union (Rumänien) betrieben.
Rechtsgrundlage für den Zugriff auf Ihr Endgerät (Setzen des Vermittlungs-Cookies) ist Ihre Einwilligung gemäß § 25 Abs. 1 TDDDG. Die anschließende Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
Speicherdauer: Die übermittelten Daten werden für die Dauer der Vertragsbeziehung mit dem werbenden Partner und für gesetzliche Aufbewahrungsfristen gespeichert.
Auftragsverarbeitung: Mit FirstPromoter besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Widerruf: Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer widerrufen. Bei Widerruf werden gesetzte Vermittlungs-Cookies gelöscht und keine weiteren Daten an FirstPromoter übermittelt.
9. Speicherdauer und Löschfristen
Wir speichern Ihre Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
- Vertragsdaten: Während der Vertragslaufzeit.
- Gesetzliche Aufbewahrungsfristen:
- Rechnungen und Buchungsbelege: 8 Jahre (§ 147 AO, § 14b UStG)
- Jahresabschlüsse: 10 Jahre
- Nach Kontolöschung: Personenbezogene Daten werden innerhalb von 30 Tagen gelöscht. Aufbewahrungspflichtige Daten werden gesperrt.
- Newsletter- und Marketing-E-Mails (Brevo): Bis zum Widerruf der Einwilligung. Der Widerruf ist jederzeit über den Unsubscribe-Link in jeder Marketing-E-Mail oder per E-Mail an hello@flintery.com möglich.
- Lead-Daten (Starter-Guide): Bis zum Widerruf der Einwilligung bzw. bis zur Löschungsanfrage.
10. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO): Gegen Verarbeitung auf Basis berechtigter Interessen. Gegen Direktwerbung jederzeit möglich.
- Widerruf von Einwilligungen: Jederzeit mit Wirkung für die Zukunft möglich.
- Beschwerderecht: Bei der zuständigen Aufsichtsbehörde (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf).
11. Datensicherheit
Wir setzen umfangreiche technische und organisatorische Maßnahmen ein: TLS 1.3 Verschlüsselung, bcrypt-Hashing für Passwörter, ISO 27001-zertifiziertes Hosting (Hetzner), tägliche Backups, privates Netzwerk zwischen Anwendungs- und Datenbankserver.
11.1 Missbrauchsschutz (Self-hosted Redis)
Für Rate-Limiting zum Schutz vor Brute-Force-Angriffen betreiben wir einen selbst gehosteten Redis-Server auf unserer Infrastruktur in Deutschland (Hetzner, Nürnberg).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit der Plattform).
11.2 Monitoring (Self-hosted)
Für die Überwachung der Verfügbarkeit und Performance unserer Systeme setzen wir self-hosted Monitoring-Lösungen ein (Uptime Kuma). Diese laufen ausschließlich auf unserer eigenen Infrastruktur in Deutschland.
12. Übermittlung in Drittländer
Einige unserer Dienstleister haben ihren Sitz außerhalb des EWR. Für diese Übermittlungen bestehen folgende Garantien:
| Dienst | Standort | Garantie |
|---|---|---|
| Cloudflare | UK / USA | Angemessenheitsbeschluss (UK) + EU-US Data Privacy Framework (USA) + SCCs |
| Stripe | Irland/USA | EU-US Data Privacy Framework + SCCs |
| Sentry | USA (Server: EU) | EU-US Data Privacy Framework + SCCs |
| Resend | USA | Standardvertragsklauseln (SCCs) |
| Google (Analytics) | USA (EU: Irland) | EU-US Data Privacy Framework + SCCs |
| Meta (Pixel) | USA (EU: Irland) | EU-US Data Privacy Framework + SCCs |
13. Auftragsverarbeitung
Mit allen Dienstleistern, die in unserem Auftrag personenbezogene Daten verarbeiten, haben wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen.
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version finden Sie stets auf unserer Website. Bei wesentlichen Änderungen werden wir Sie per E-Mail informieren.
15. Kontakt
Für Fragen zum Datenschutz erreichen Sie uns unter: legal@flintery.com