Datenschutzerklärung
Stand: 04.03.2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Rafik Halabi, Esmarchstr. 5, 40223 Düsseldorf, Deutschland
E-Mail: legal@flintery.com
2. Übersicht der Datenverarbeitung
flintery ist ein Finanzplanungstool für Fotografen, Videografen, Content Creator und Kreativdienstleister. Wir verarbeiten Ihre Daten zur Bereitstellung unserer Dienste, zur Vertragserfüllung und zur Verbesserung unserer Plattform.
Verarbeitete Datenkategorien:
- Stammdaten (Name, E-Mail-Adresse, Adresse)
- Nutzungsdaten (Zugriffszeiten, genutzte Funktionen)
- Projektdaten (Kalkulationen, Kundendaten, Nutzungsrechte)
- Finanzdaten (Einnahmen, Ausgaben, Bankdaten bei aktivierter Synchronisation)
- Zahlungsdaten (über Stripe verarbeitet)
- Lead-Daten (E-Mail-Adresse, optional Name und Berufsfeld bei Nutzung kostenloser Inhalte wie dem Starter-Guide)
3. Bereitstellung der Plattform
3.1 Nutzerkonten und Authentifizierung
Für die Registrierung und Anmeldung verarbeiten wir: E-Mail-Adresse, Passwort (verschlüsselt gespeichert), Name (optional), Branche und Erfahrungsjahre (optional).
Für die Sitzungsverwaltung nutzen wir die Open-Source-Bibliothek Better Auth. Authentifizierungsdaten werden in unserer PostgreSQL-Datenbank in Deutschland gespeichert. Wir verwenden HTTP-only Session-Cookies zur Sitzungsverwaltung.
Rechtsgrundlage: Die Speicherung dieser technisch notwendigen Informationen auf Ihrem Endgerät erfolgt ohne Einwilligung auf Grundlage von § 25 Abs. 2 TDDDG. Die anschließende Verarbeitung der Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
3.2 Hosting (Hetzner)
Unsere Anwendung wird auf dedizierten Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet.
- Verarbeitete Daten: IP-Adresse, Zugriffszeiten, Browsertyp, Referrer-URL
- Serverstandort: Alle Server befinden sich ausschließlich in Deutschland (Rechenzentren in Nürnberg/Falkenstein). Personenbezogene Daten verlassen zu keinem Zeitpunkt den Europäischen Wirtschaftsraum.
- Drittlandtransfer: Entfällt — Hetzner ist ein deutscher Anbieter mit ausschließlich deutschen Rechenzentren. Kein Transfer in Drittländer.
- Zertifizierungen: ISO/IEC 27001, SOC 1 Type II, SOC 2 Type II
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung)
- Weitere Informationen: https://www.hetzner.com/de/legal/privacy-policy
3.3 CDN und DDoS-Schutz (Cloudflare)
Zum Schutz unserer Plattform vor Angriffen und zur Beschleunigung der Auslieferung nutzen wir Dienste der Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA. Für Kunden in der EU ist verantwortlich: Cloudflare (London) Ltd., County Hall/The Riverside Building, Belvedere Road, London, SE1 7PB.
- Verarbeitete Daten: IP-Adresse, Zugriffszeiten, Browsertyp, Referrer-URL. Der gesamte Datenverkehr wird über das Cloudflare-Netzwerk geleitet.
- Zweck: DDoS-Schutz, Web Application Firewall (WAF), SSL/TLS-Terminierung, CDN-Caching statischer Inhalte.
- Serverstandort: Cloudflare leitet den Datenverkehr über den nächstgelegenen Edge-Standort. Für deutsche Nutzer ist dies in der Regel Frankfurt oder Düsseldorf. Personenbezogene Daten werden nicht dauerhaft in Cloudflare-Systemen gespeichert.
- Drittlandtransfer: Für die Datenübermittlung in das Vereinigte Königreich an die Cloudflare (London) Ltd. liegt ein Angemessenheitsbeschluss der EU-Kommission vor. Eine etwaige Weiterübermittlung in die USA an die Cloudflare, Inc. erfolgt auf Grundlage des EU-US Data Privacy Framework, unter dem Cloudflare zertifiziert ist. Ergänzend wurden EU-Standardvertragsklauseln (SCCs) vereinbart.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Plattform vor Cyberangriffen und an der performanten Bereitstellung)
- Weitere Informationen: https://www.cloudflare.com/de-de/privacypolicy/
3.4 Datenbank (Self-hosted PostgreSQL)
Für die Speicherung von Anwendungsdaten betreiben wir eine selbst gehostete PostgreSQL-Datenbank auf einem dedizierten Server der Hetzner Online GmbH in Deutschland.
- Serverstandort: Deutschland (Nürnberg/Falkenstein). Personenbezogene Daten verlassen zu keinem Zeitpunkt den Europäischen Wirtschaftsraum.
- Sicherheitsmaßnahmen: Verschlüsselung in transit (TLS 1.2+), Zugriff ausschließlich über ein privates Netzwerk, kein öffentlicher Datenbankzugriff
- Backups: Tägliche automatisierte Datenbanksicherungen, Speicherung in Deutschland (Hetzner Object Storage, Nürnberg)
- Drittlandtransfer: Entfällt — vollständig self-hosted in Deutschland.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
3.5 E-Mail-Versand (Resend)
Für den Versand von E-Mails nutzen wir den Dienst Resend der Resend, Inc., San Francisco, CA, USA. Dies umfasst transaktionale E-Mails (z.B. Passwort-Zurücksetzung, E-Mail-Verifizierung), automatisierte Onboarding- und Lifecycle-E-Mails (z.B. Creator Pass Sequenz, Trial-Sequenz) sowie Benachrichtigungen (Lizenz-Ablaufwarnungen, monatliche Finanzberichte).
- Verarbeitete Daten: E-Mail-Adresse, Name, Inhalte der jeweiligen Benachrichtigung.
- Serverstandort: Die Verarbeitung erfolgt primär auf Servern in den USA.
- Zweck: Zuverlässige Zustellung aller kontobezogenen E-Mails, die für den Betrieb des Dienstes und das laufende Vertragsverhältnis erforderlich sind.
- Drittlandtransfer: Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs), die mit dem Anbieter vereinbart wurden, um ein angemessenes Datenschutzniveau zu gewährleisten.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für alle kontobezogenen E-Mails einschließlich Onboarding- und Lifecycle-Sequenzen, da diese unmittelbar mit dem laufenden Vertragsverhältnis (Trial/Abonnement) zusammenhängen; ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Lizenzwarnungen und Finanzberichte.
- Weitere Informationen: https://resend.com/legal/privacy-policy
3.6 Automatisierte Benachrichtigungen
flintery versendet automatisierte E-Mail-Benachrichtigungen, um Sie über relevante Ereignisse in Ihrem Konto zu informieren:
- Lizenz-Ablaufwarnungen: Wenn Nutzungsrechte in Ihren Projekten demnächst ablaufen.
- Monatlicher Finanzbericht: Am letzten Tag eines Monats erhalten Sie eine Zusammenfassung mit aggregierten Finanzkennzahlen.
- Opt-out: Beide Benachrichtigungstypen können jederzeit in den Kontoeinstellungen unter „Benachrichtigungen“ deaktiviert werden.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Information des Nutzers über relevante Vertragsereignisse)
3.7 Lead-Magnet & Starter-Guide
Über unseren Tagessatz-Rechner und ggf. weitere Seiten bieten wir kostenlose Inhalte an (z. B. den „Starter-Guide für Finanzplanung“). Um diese Inhalte bereitzustellen, erheben wir folgende Daten:
- Verarbeitete Daten: E-Mail-Adresse (Pflicht), Name (optional), Berufsfeld (optional, z. B. Fotograf, Videograf).
- Zweck: Zustellung des angeforderten Dokuments per E-Mail sowie — bei erteilter Einwilligung — Versand gelegentlicher Tipps rund um Preisgestaltung und Kalkulation.
- Speicherung: Die Daten werden in unserer Datenbank in Deutschland gespeichert (siehe 3.4) und über Resend zugestellt (siehe 3.5).
- Widerruf & Löschung: Sie können sich jederzeit über den Abmeldelink in jeder E-Mail abmelden. Auf Anfrage an legal@flintery.com löschen wir Ihre Lead-Daten vollständig.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung wird über eine Opt-in-Checkbox vor dem Download erteilt und kann jederzeit widerrufen werden.
4. Bankanbindung (finAPI)
Zur optionalen Anbindung Ihrer Bankkonten nutzen wir die Dienste der finAPI GmbH, Adams-Lehmann-Str. 44, 80797 München. finAPI ist ein von der BaFin lizenzierter Kontoinformations- und Zahlungsauslösedienst gemäß ZAG und PSD2-konform.
- Verarbeitete Daten: Kontoinformationen, Transaktionsdaten, IBAN, Kontostände
- Serverstandort: Deutschland
- Datenspeicherung: Während der Vertragslaufzeit sowie anschließend bis zu 8 Jahre (gesetzliche Aufbewahrungspflichten für Buchungsbelege)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 59 Abs. 2 ZAG
Sie können die Bankverbindung jederzeit in den Einstellungen trennen. Bereits synchronisierte Transaktionen können auf Wunsch gelöscht werden.
5. Zahlungsabwicklung (Stripe)
Für die Zahlungsabwicklung und das Abonnement-Management nutzen wir Stripe. Für Kunden in der EU ist verantwortlich: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland.
- Verarbeitete Daten: Name, E-Mail-Adresse, Transaktionsdaten. Wir speichern Ihre vollständigen Kreditkartendaten nicht auf unseren Systemen. Die Eingabe und Verarbeitung der sensiblen Zahlungsdaten (Kreditkartennummer, CVC, etc.) erfolgt direkt durch Stripe über ein eingebettetes Zahlungsformular. Wir erhalten von Stripe lediglich Informationen über den Zahlungsstatus und eine maskierte Referenz (z. B. die letzten vier Ziffern der Karte).
- Drittlandtransfer: Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend wurden EU-Standardvertragsklauseln vereinbart.
- Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen für regulatorische Pflichten wie Betrugsprävention)
6. Buchhaltungsintegrationen
6.1 sevDesk
Sie können Ihr Konto optional mit sevDesk verbinden. Anbieter ist die sevDesk GmbH, Hauptstr. 115, 77652 Offenburg.
- Übermittelte Daten an sevDesk: Kundendaten, Rechnungsdaten, Projektpositionen
- Empfangene Daten von sevDesk: Rechnungsstatus, Kontaktdaten
- Serverstandort: Deutschland (AWS Frankfurt)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
6.2 lexoffice
Alternativ können Sie Ihr Konto mit lexoffice verbinden. Anbieter ist die Haufe Service Center GmbH, Freiburg.
- Übermittelte und empfangene Daten: Analog zu sevDesk
- Serverstandort: Deutschland (Raum Frankfurt)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
6.3 CSV-Import von Finanzdaten
Sie können Bankauszüge und Finanzdaten als CSV-Datei in flintery importieren.
- Verarbeitete Daten: Transaktionsdatum, Betrag, Verwendungszweck/Beschreibung. Extrahierte Transaktionen werden dauerhaft in Ihrem Konto gespeichert. Die Original-CSV-Datei wird nicht dauerhaft gespeichert.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
7. Benchmark-Funktion
flintery bietet eine optionale Benchmark-Funktion, die anonymisierte Marktdaten zu Honoraren bereitstellt. Wenn Sie diese nutzen, werden Ihre Projektdaten anonymisiert in aggregierte Statistiken einbezogen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Sie können die Benchmark-Teilnahme jederzeit in den Einstellungen deaktivieren.
8. Cookies und ähnliche Technologien
8.1 Technisch notwendige Cookies
Wir verwenden technisch notwendige Cookies, die für den Betrieb der Plattform erforderlich sind (z.B. Session-Cookies für die Anmeldung, CSRF-Tokens).
Rechtsgrundlage: Die Speicherung dieser technisch notwendigen Informationen auf Ihrem Endgerät bzw. der Zugriff darauf erfolgt ohne Einwilligung auf Grundlage von § 25 Abs. 2 TDDDG. Die anschließende Verarbeitung etwaiger personenbezogener Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit der Plattform) bzw. Art. 6 Abs. 1 lit. b DSGVO (soweit für die Vertragserfüllung erforderlich).
8.2 Lokale Browserspeicherung (localStorage)
Zusätzlich zu Cookies nutzen wir den lokalen Browserspeicher (localStorage) Ihres Browsers für die Zwischenspeicherung von Formulareingaben und UI-Präferenzen.
Rechtsgrundlage: Die Speicherung auf Ihrem Endgerät erfolgt ohne Einwilligung auf Grundlage von § 25 Abs. 2 TDDDG. Die anschließende Verarbeitung auf unseren Systemen stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Nutzerfreundlichkeit).
8.3 Google Analytics 4
Wir nutzen Google Analytics 4, einen Webanalysedienst der Google Ireland Limited, Dublin, Irland.
- Verarbeitete Daten: Geräte- und Browserinformationen, Nutzungsverhalten, Referrer-URL.
- IP-Anonymisierung: In Google Analytics 4 werden IP-Adressen standardmäßig anonymisiert und nicht vollständig gespeichert.
- Consent Mode: Wir setzen Google Consent Mode v2 (Advanced) ein. Das bedeutet: Die Google Analytics-Bibliothek wird beim Seitenaufruf geladen, setzt jedoch ohne Ihre ausdrückliche Einwilligung keine Cookies und greift nicht auf den Speicher Ihres Endgeräts zu (§ 25 TDDDG). Stattdessen werden ausschließlich cookielose, stark eingeschränkte Pings (z.B. Verbindungsdaten inkl. kurzzeitig verarbeiteter IP-Adresse) an Google gesendet. Diese Basis-Datenübermittlung stützen wir auf unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an einer rudimentären Reichweitenmessung (Conversion Modeling), um Messlücken auszugleichen. Erst nach Ihrer ausdrücklichen Einwilligung über das Cookie-Banner (Kategorie „Statistiken“) werden Cookies gesetzt, Nutzerkennungen generiert und vollständige Analysedaten erhoben (Art. 6 Abs. 1 lit. a DSGVO).
- Google-Signale: Wir nutzen zusätzlich die Funktion „Google-Signale“. Hierbei werden Sitzungsdaten mit Informationen von Google-Kontonutzern verknüpft, die die Personalisierung von Anzeigen aktiviert haben. Dies ermöglicht uns, aggregierte Berichte über demografische Merkmale und Interessen unserer Nutzer zu erstellen. Diese Funktion wird ausschließlich dann aktiviert, wenn Sie uns über das Cookie-Banner Ihre ausdrückliche Einwilligung zur statistischen Auswertung erteilt haben.
- Drittlandtransfer: Google ist unter dem EU-US Data Privacy Framework zertifiziert.
- Weitere Informationen: https://policies.google.com/privacy
Zusätzlich zu den client-seitigen Erhebungen senden wir über das GA4 Measurement Protocol server-seitige Events an Google Analytics (z. B. nach Abschluss einer Registrierung oder eines Kaufvorgangs). Diese Übermittlung erfolgt ohne Zugriff auf Ihr Endgerät und ohne Einsatz von Cookies. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Nutzung unseres Dienstes und der Werbewirksamkeit).
8.4 Meta Pixel (Facebook/Instagram)
Wir nutzen das Meta Pixel der Meta Platforms Ireland Limited, Dublin, Irland.
- Zweck: Messung der Wirksamkeit von Werbeanzeigen, Optimierung des Angebots.
- Verarbeitete Daten: IP-Adresse, Browserinformationen, Referrer-URL, Aktionen auf der Plattform.
- Drittlandtransfer: Meta ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend wurden EU-Standardvertragsklauseln vereinbart.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) über das Cookie-Banner.
8.5 Consent-Management
Wir setzen zur Einholung und Verwaltung Ihrer Einwilligungen das Consent-Management-Tool Cookiebot der Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark, ein. Cookiebot speichert Ihren Einwilligungsstatus in einem Cookie auf Ihrem Endgerät, um Ihre Präferenzen bei zukünftigen Besuchen zu berücksichtigen.
Rechtsgrundlagen: Die Speicherung auf dem Endgerät erfolgt auf Basis von § 25 Abs. 2 TDDDG (technisch erforderlich). Die Verarbeitung der Daten (inkl. IP-Adresse und Zustimmungsstatus) zur Dokumentation der Einwilligung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Nachweisbarkeit).
Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer unserer Website widerrufen oder anpassen.
8.6 Error Tracking und Performance Monitoring (Sentry)
Zur Erkennung und Behebung technischer Fehler nutzen wir Sentry (Functional Software, Inc., USA).
- Verarbeitete Daten: Anonymisierte Nutzer-ID, technische Fehlerdaten, Browser-Infos, Session Replays (Formulareingaben maskiert). IP-Adressen werden anonymisiert.
- Drittlandtransfer: Sentry ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend wurden EU-Standardvertragsklauseln vereinbart.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Fehlerbehebung)
8.7 Google Ads Conversion-Tracking
Wir nutzen Google Ads Conversion-Tracking, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (nachfolgend „Google“). Wenn Sie über eine Google-Anzeige auf unsere Website gelangen, wird von Google Ads ein Cookie auf Ihrem Endgerät gesetzt (sog. Conversion-Cookie). Dieses Cookie dient der Erfolgsmessung unserer Werbekampagnen und ermöglicht es uns, nachzuvollziehen, ob ein Nutzer nach dem Klick auf eine Anzeige eine bestimmte Aktion auf unserer Website durchgeführt hat (z. B. Registrierung, Abschluss eines Abonnements).
Dabei werden folgende Daten verarbeitet: IP-Adresse (anonymisiert), Informationen zum verwendeten Browser und Betriebssystem, die aufgerufene Seite unserer Website, Referrer-URL, Zeitpunkt des Seitenaufrufs sowie Informationen über die Conversion-Aktion. Google erstellt daraus anonymisierte Statistiken, die keine persönliche Identifizierung einzelner Nutzer ermöglichen.
Darüber hinaus erfassen wir serverseitig über das GA4 Measurement Protocol benutzerdefinierte Conversion-Events (z. B. Registrierung, erster Kalkulationsaufruf, Kaufabschluss). Diese server-seitigen Events werden ohne Cookies und ohne Zugriff auf Ihr Endgerät direkt an Google Analytics übermittelt.
Wir nutzen die Funktion Erweiterte Conversions (Enhanced Conversions) von Google Ads. Dabei wird Ihre bei der Registrierung oder beim Kauf angegebene E-Mail-Adresse serverseitig mittels SHA-256 gehasht (pseudonymisiert) und in dieser Form an Google übermittelt. Google gleicht diesen Hash mit bestehenden Google-Konten ab, um Conversions zuverlässiger dem auslösenden Anzeigenklick zuordnen zu können. Die Übermittlung erfolgt ausschließlich, wenn Sie der Kategorie „Marketing“ zugestimmt haben. Die gehashte E-Mail-Adresse wird von Google nicht für andere Zwecke verwendet und nicht mit Dritten geteilt.
Rechtsgrundlage für den Zugriff auf Ihr Endgerät (Conversion-Cookie) ist Ihre Einwilligung gemäß § 25 Abs. 1 TDDDG. Die anschließende Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Für die server-seitigen Events ohne Endgerätezugriff ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Werbewirksamkeit).
Sie können die Einwilligung jederzeit über unsere Cookie-Einstellungen (Cookiebot-Banner) widerrufen. Das Conversion-Cookie wird nur gesetzt, wenn Sie der Kategorie „Marketing“ zugestimmt haben. Weitere Informationen zum Datenschutz bei Google finden Sie unter: https://policies.google.com/privacy
8.8 Google Ads Remarketing
Wir nutzen die Remarketing-Funktion von Google Ads. Google Ads Remarketing ermöglicht es uns, Besuchern unserer Website auf anderen Websites im Google-Displaynetzwerk gezielt Werbeanzeigen auszuspielen, die auf deren vorherige Interaktionen mit unserer Website abgestimmt sind.
Hierfür wird beim Besuch unserer Website ein Google Ads Remarketing-Tag geladen, das ein Cookie auf Ihrem Endgerät setzt (z. B. _gcl_aw). Anhand dieses Cookies erkennt Google, dass Sie unsere Website besucht haben, und kann Ihnen auf anderen Websites personalisierte Anzeigen anzeigen. Es werden keine personenbezogenen Daten an Dritte weitergegeben; die Zuordnung erfolgt pseudonymisiert.
Rechtsgrundlage für den Zugriff auf Ihr Endgerät ist Ihre Einwilligung gemäß § 25 Abs. 1 TDDDG. Die anschließende Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
Das Remarketing-Tag wird nur geladen, wenn Sie der Kategorie „Marketing” in unserem Consent-Banner (Cookiebot) zugestimmt haben. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen. Zusätzlich können Sie die personalisierte Werbung in Ihren Google-Kontoeinstellungen unter https://adssettings.google.com deaktivieren.
8.9 PostHog (Produktanalyse)
Wir nutzen PostHog, einen Produktanalysedienst der PostHog, Inc. Die Datenverarbeitung erfolgt ausschließlich auf Servern in der EU (Frankfurt, Deutschland).
Funktionen: Wir nutzen PostHog für Event-Tracking (z. B. Registrierung, Seitenaufrufe), Session Replays (Wiedergabe anonymisierter Nutzersitzungen) und Heatmaps (aggregierte Klick- und Scrollanalysen).
Verarbeitete Daten: Anonymisierte Nutzer-ID, Geräte- und Browserinformationen, Nutzungsverhalten, Klickpositionen, Scrolltiefe, Seitenaufrufe.
Session Replays: Formulareingaben und sensible Inhalte werden automatisch maskiert. IP-Adressen werden nicht gespeichert.
Kein Drittlandtransfer: Alle Daten werden auf PostHog EU-Cloud-Servern in Frankfurt (Deutschland) verarbeitet und gespeichert. Es findet keine Übermittlung in Drittländer statt.
Rechtsgrundlage: Die Speicherung auf Ihrem Endgerät bzw. der Zugriff darauf erfolgt nur mit Ihrer ausdrücklichen Einwilligung gemäß § 25 Abs. 1 TDDDG (Kategorie „Statistiken“ im Cookie-Banner). Die anschließende Datenverarbeitung stützt sich auf Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
privacy.s8.s89.moreInfo
9. Speicherdauer und Löschfristen
Wir speichern Ihre Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
- Vertragsdaten: Während der Vertragslaufzeit.
- Gesetzliche Aufbewahrungsfristen:
- Rechnungen und Buchungsbelege: 8 Jahre (§ 147 AO, § 14b UStG)
- Jahresabschlüsse: 10 Jahre
- Nach Kontolöschung: Personenbezogene Daten werden innerhalb von 30 Tagen gelöscht. Aufbewahrungspflichtige Daten werden gesperrt.
- Lead-Daten (Starter-Guide): Bis zum Widerruf der Einwilligung bzw. bis zur Löschungsanfrage.
10. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO): Gegen Verarbeitung auf Basis berechtigter Interessen. Gegen Direktwerbung jederzeit möglich.
- Widerruf von Einwilligungen: Jederzeit mit Wirkung für die Zukunft möglich.
- Beschwerderecht: Bei der zuständigen Aufsichtsbehörde (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf).
11. Datensicherheit
Wir setzen umfangreiche technische und organisatorische Maßnahmen ein: TLS 1.3 Verschlüsselung, bcrypt-Hashing für Passwörter, ISO 27001-zertifiziertes Hosting (Hetzner), tägliche Backups, privates Netzwerk zwischen Anwendungs- und Datenbankserver.
11.1 Missbrauchsschutz (Self-hosted Redis)
Für Rate-Limiting zum Schutz vor Brute-Force-Angriffen betreiben wir einen selbst gehosteten Redis-Server auf unserer Infrastruktur in Deutschland (Hetzner, Nürnberg).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit der Plattform).
11.2 Monitoring (Self-hosted)
Für die Überwachung der Verfügbarkeit und Performance unserer Systeme setzen wir self-hosted Monitoring-Lösungen ein (Uptime Kuma). Diese laufen ausschließlich auf unserer eigenen Infrastruktur in Deutschland.
12. Übermittlung in Drittländer
Einige unserer Dienstleister haben ihren Sitz außerhalb des EWR. Für diese Übermittlungen bestehen folgende Garantien:
| Dienst | Standort | Garantie |
|---|---|---|
| Cloudflare | UK / USA | Angemessenheitsbeschluss (UK) + EU-US Data Privacy Framework (USA) + SCCs |
| Stripe | Irland/USA | EU-US Data Privacy Framework + SCCs |
| Sentry | USA (Server: EU) | EU-US Data Privacy Framework + SCCs |
| Resend | USA | Standardvertragsklauseln (SCCs) |
| Google (Analytics) | USA (EU: Irland) | EU-US Data Privacy Framework + SCCs |
| Meta (Pixel) | USA (EU: Irland) | EU-US Data Privacy Framework + SCCs |
13. Auftragsverarbeitung
Mit allen Dienstleistern, die in unserem Auftrag personenbezogene Daten verarbeiten, haben wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen.
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version finden Sie stets auf unserer Website. Bei wesentlichen Änderungen werden wir Sie per E-Mail informieren.
15. Kontakt
Für Fragen zum Datenschutz erreichen Sie uns unter: legal@flintery.com