Datenschutzerklärung

Informationen gemäß Art. 13 und 14 DSGVO.

1. Verantwortlicher

Rene Hering, nullroutine, Gutenbergplatz 3, 04103 Leipzig, Deutschland — null@nullroutine.de.

2. Verarbeitete Daten

• Konto: E-Mail-Adresse, Anzeigename, Sprache, Passwort-Hash.
• Sicherheitsprotokolle: IP-Adresse, User-Agent und Zeitpunkt von Anmeldeversuchen, Audit-Einträge (Einladungen, Passwort-Änderungen).
• Einwilligungs-Zeitstempel (Art. 7 DSGVO): Annahme von Datenschutzerklärung und Nutzungsbedingungen.
• Organisations-Kontext: Mandanten-Zuordnung, Rolle, Abo-Status je Modul.
• Abrechnungs-Metadaten: Paddle-Kunden-ID, Subscription-ID, Tarif. Eigentliche Zahlungsdaten (Karte, IBAN, Rechnungsanschrift) liegen ausschließlich bei Paddle als Merchant-of-Record.
• Modul-Daten: Bauvorhaben, Buchungen, Belege, Pläne, Wartungsdaten — innerhalb des jeweiligen Mandanten.

3. Zweck und Rechtsgrundlage

• Authentifizierung und Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
• Berechtigtes Interesse an IT-Sicherheit (Art. 6 Abs. 1 lit. f DSGVO): Sperrung nach Fehlversuchen, Audit-Protokoll.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): steuerrelevante Abrechnungsdaten (10 Jahre § 14b UStG).

4. Cookies

Wir setzen ausschließlich funktionale Cookies ein: session (Login-Sitzung, first-party, HttpOnly, SameSite=Lax), uni-lang (Sprache, 1 Jahr), uni-theme (Farbschema, localStorage). Keine Tracking-Cookies, keine Analytics, keine Cookies Dritter. Eine Einwilligung nach § 25 Abs. 2 TTDSG ist nicht erforderlich.

5. Empfänger und Auftragsverarbeiter

• Brevo (Sendinblue SAS, Frankreich) — Versand transaktionaler E-Mails. Auftragsverarbeiter gem. Art. 28 DSGVO, AV-Vertrag geschlossen. Server in der EU.
• Paddle.com Market Ltd. (UK) / Paddle Inc. (USA) — Zahlungsabwicklung als Merchant-of-Record. Wir erhalten nur Webhook-Benachrichtigungen mit Abo-Status. Übermittlung UK: UK-Angemessenheitsbeschluss; USA: EU-Standardvertragsklauseln. Paddle-Datenschutz: paddle.com/legal/privacy.
• Hetzner Online GmbH (Deutschland) — Hosting der Server in Falkenstein/Nürnberg. Auftragsverarbeiter gem. Art. 28 DSGVO.
• Module (SloppyFix, SloppyScan, SloppyPlan, SloppyRent, SloppyPay) — erhalten Identitätsmerkmale via JWT. Gleicher Verantwortlicher.

6. Keine Drittanbieter-CDNs / Google Fonts

Sämtliche Schriften, Icons und JavaScript-Bibliotheken werden self-hosted ausgeliefert. Es findet kein Aufruf von Google Fonts, Google Analytics oder ähnlichen Drittanbietern statt. Damit werden keine IP-Adressen unserer Besucher an Drittanbieter übermittelt.

7. Speicherdauer

• Kontodaten: bis zur Löschung (Selbstlöschung im Profil oder auf Anforderung).
• Sicherheitsprotokolle: 90 Tage, danach anonymisiert.
• Audit-Ereignisse: bleiben nach Konto-Löschung erhalten (user_id=NULL) zur rechtlichen Dokumentation.
• Abrechnungsdaten (Rechnungen): 10 Jahre gem. § 14b UStG.

8. Ihre Rechte

Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21). Anfragen an null@nullroutine.de oder direkt im Profil unter „DSGVO-Zentrale".

9. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, insbesondere im EU-Mitgliedstaat Ihres Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO). Zuständig für nullroutine ist der Sächsische Datenschutzbeauftragte.

10. Stand

26. April 2026.