Datenschutz
Wie SHIFTDECK mit deinen Daten umgeht — transparent und DSGVO-konform.
1. Verantwortlicher
SHIFTDECK
E-Mail: info@shiftdeck.de
Web: shiftdeck.de
2. Erhobene Daten & Zweck
Wir erheben und verarbeiten folgende personenbezogene Daten:
- Bestelldaten: Name, E-Mail, Adresse, Zahlungsinformationen – zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
- Kundenkonto: Login-Daten, Nutzungshistorie – zur Bereitstellung des Kundenportals
- Kommunikationsdaten: Support-Anfragen, E-Mails – zur Bearbeitung Ihrer Anfragen
- Technische Daten: IP-Adresse, Log-Daten – zur Systemsicherheit (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO)
3. Speicherdauer
Ihre Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt, spätestens jedoch nach Ablauf gesetzlicher Aufbewahrungsfristen (Handelsbriefe: 6 Jahre, Rechnungen: 10 Jahre).
4. Weitergabe an Dritte
Eine Weitergabe Ihrer Daten an Dritte erfolgt nur, soweit dies zur Vertragserfüllung notwendig ist oder gesetzlich vorgeschrieben. Wir verkaufen Ihre Daten nicht.
5. Ihre Rechte (DSGVO)
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
Zur Ausübung Ihrer Rechte: info@shiftdeck.de
6. Cookies & Local Storage
Standardmäßig setzen wir nur technisch notwendige Cookies ein (Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO + § 25 Abs. 2 Nr. 2 TTDSG). Marketing-Cookies von Google Ads (siehe Punkt 8) werden ausschließlich gesetzt, wenn Sie der Kategorie „Marketing" im Cookie-Banner aktiv zustimmen (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG). Ohne Ihre Einwilligung wird kein Google-Script geladen.
| Name | Zweck | Speicherort | Dauer |
|---|---|---|---|
sd_admin_v2 | Admin-Login-Session (HttpOnly, Secure, SameSite=Lax) | Cookie | 8 Stunden |
shiftdeck_cookie_consent | Speichert Cookie-Banner-Entscheidung | Local Storage | 12 Monate |
sd_admin_unlocked | Aktiviert Admin-Sidebar-Rendering (nur nach Login) | Local Storage | unbegrenzt (bis Browser-Cache-Löschung) |
sd_session_token | Kundenkonto-Session (separater Bereich) | Local Storage | 30 Tage |
_gcl_au | Google Ads Conversion-Tracking — nur nach Einwilligung „Marketing" | Cookie (Google) | 90 Tage |
_gcl_aw | Google Ads Klick-Information — nur nach Einwilligung „Marketing" | Cookie (Google) | 90 Tage |
Sie können diese Daten jederzeit über Ihre Browser-Einstellungen löschen.
7. Server-Logs (Apache Access-Log)
Unser Webserver protokolliert technisch notwendige Verbindungsdaten zur Sicherstellung des Betriebs und zur Erkennung von Angriffen (Art. 6 Abs. 1 lit. f DSGVO).
- IP-Adresse (anonymisiert nach 7 Tagen)
- Datum / Uhrzeit / aufgerufene URL
- HTTP-Status / Datenmenge
- Referrer / User-Agent
Speicherdauer: 30 Tage, danach automatische Löschung.
8. Eingesetzte Dienste & Auftragsverarbeiter
Für den Betrieb der Webseite und Software setzen wir folgende Dienste ein. Soweit personenbezogene Daten übermittelt werden, besteht ein Auftragsverarbeitungs-Vertrag (AVV) oder eine Standardvertragsklausel.
- Hosting: Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen — Webserver + Datenbank, Standort Deutschland (AVV gem. Art. 28 DSGVO).
- CDN & DDoS-Schutz: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA — Reverse-Proxy, TLS-Terminierung, Schutz vor DDoS-Angriffen und Bot-Traffic. Verarbeitet IP-Adressen, Request-Header und URL. Datentransfer in die USA erfolgt auf Basis der EU-Standardvertragsklauseln (SCC) und des Data Privacy Framework. Datenschutzerklärung: cloudflare.com/de-de/privacypolicy.
- Zahlungsabwicklung: Wir verarbeiten Zahlungen über folgende Wege: Banküberweisung (direkt zwischen Ihrer Hausbank und unserer Bank, keine Drittpartei), PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg — übermittelt werden Name, E-Mail, Bestellwert, Verwendungszweck; Datenschutzerklärung: paypal.com/de/privacy) und ggf. Kauf auf Rechnung (nach interner Bonitätsprüfung). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Externe Online-Payment-Dienstleister (Mollie, Stripe etc.) setzen wir nicht ein.
- Backup-Storage: Hetzner Storage-Box (Standort Deutschland) — verschlüsselte Backups, AVV.
- E-Mail-Versand: Eigener Postfix-SMTP auf Hetzner-Server.
- Schriftarten: Google Fonts (Inter) — werden bei jedem Seitenaufruf von
fonts.googleapis.com/fonts.gstatic.comgeladen. Dabei wird Ihre IP an Google LLC übermittelt. Hinweis: Wir prüfen aktuell den Wechsel auf lokal gehostete Fonts. - React-Bibliothek (CDN): Einige technische Helper werden über
esm.shgeladen. Dabei wird Ihre IP an den CDN-Betreiber übermittelt. - Video-Embeds: Wenn Videos eingebettet sind, nutzen wir
youtube-nocookie.com(von Google LLC, Datenschutzlink: policies.google.com/privacy) — gesetzt werden nur Cookies bei tatsächlichem Abspielen. - KI-Hilfe im FAQ-Bereich (Claude): Anthropic PBC, 548 Market St, San Francisco, CA 94104, USA. Wenn Sie im „FAQ & Hilfe"-Fenster freiwillig den Knopf „Claude fragen" nutzen, wird ausschließlich Ihr eingegebener Fragetext an die Anthropic-API übermittelt, um eine Antwort rund um SHIFTDECK zu erzeugen (Art. 6 Abs. 1 lit. b/f DSGVO). Es werden keine Konto- oder Bestandsdaten mitgesendet; bitte geben Sie in das Fragefeld keine personenbezogenen Daten ein. Anthropic verwendet über die API übermittelte Daten laut eigener Zusage nicht zum Training seiner Modelle. Datentransfer in die USA auf Basis der EU-Standardvertragsklauseln. Datenschutzerklärung: anthropic.com/privacy.
- Google Ads (Conversion-Tracking): Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Wir messen damit den Erfolg unserer Werbeanzeigen (z. B. ob nach einem Anzeigenklick eine Demo angefragt oder bestellt wird). Verarbeitet werden u. a. eine pseudonyme Kennung, IP-Adresse, Klick-/Conversion-Informationen und Zeitstempel. Die Übermittlung erfolgt nur nach Ihrer ausdrücklichen Einwilligung (Kategorie „Marketing" im Cookie-Banner, Art. 6 Abs. 1 lit. a DSGVO). Wir verwenden den Google Consent Mode v2: ohne Einwilligung wird kein Google-Script geladen und es werden keine Daten übermittelt. Eine Datenübermittlung in die USA kann auf Basis der EU-Standardvertragsklauseln und des EU-US Data Privacy Framework erfolgen. Sie können Ihre Einwilligung jederzeit über den Cookie-Button unten links widerrufen. Datenschutzerklärung: policies.google.com/privacy.
Keine Nutzung von: Google Analytics, Facebook Pixel, Matomo, Hotjar oder sonstigen Trackern. Google Ads (Conversion-Tracking) wird ausschließlich nach Ihrer Einwilligung geladen.
9. Sicherheitsmaßnahmen (Art. 32 DSGVO)
Wir treffen technische und organisatorische Maßnahmen (TOMs) zum Schutz Ihrer Daten:
- TLS 1.2+ verschlüsselte Übertragung (HTTPS-only, HSTS aktiv)
- Passwortlose Login-Methode für Admin-Bereich (Magic-Link per E-Mail, 15 Min gültig)
- Brute-Force-Schutz: 6 Fehlversuche → 30 Min IP-Sperre
- Audit-Log: jede sicherheitsrelevante Aktion wird protokolliert
- Master-Keys werden außerhalb des Webroots auf einer separaten Storage-Box gehalten
- Content-Security-Policy gegen XSS-Angriffe
- Vollständige Sicherheits-Übersicht: /sicherheit.html
- Sicherheitslücken-Meldung (Coordinated Disclosure): /.well-known/security.txt
10. Speicherdauer
- Kundendaten (Bestellung, Konto): solange aktive Geschäftsbeziehung + 10 Jahre nach Ende (gem. § 147 AO / § 257 HGB für Rechnungen)
- Server-Logs: 30 Tage
- Audit-Log: 12 Monate
- Newsletter-Abos: bis zur Abmeldung (Link in jeder Mail)
- Support-Tickets: 24 Monate nach Schließung
- AGB-Änderungs-Benachrichtigungen: einmaliger Versand, kein dauerhafter Verteiler — Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung gem. § 305 ff. BGB).
11. Beschwerderecht
Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren. Zuständig für SHIFTDECK:
Der Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover · lfd.niedersachsen.de
Stand: 28.05.2026 · Änderungen behalten wir uns vor. Aktuelle Version stets unter shiftdeck.de/datenschutz.html.