Rechtliches

Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten bei der Nutzung von CNTPLNR.IO (nachfolgend „Dienst") gemäß Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG).

Inhalt
  1. Verantwortlicher
  2. Allgemeines zur Datenverarbeitung
  3. Hosting & Infrastruktur
  4. Server-Logfiles
  5. Registrierung & Benutzerkonto (Supabase)
  6. CDN, Medien & Video-Streaming (Cloudflare)
  7. Zahlungsabwicklung (Stripe)
  8. Webanalyse (Google Analytics)
  9. Cookies & Consent
  10. E-Mail-Kommunikation
  11. Datenübermittlung in Drittländer
  12. Ihre Rechte
  13. Speicherdauer
  14. Aufbewahrungs-Policy für Slot-Inhalte
  15. Datensicherheit
  16. Änderungen dieser Erklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
Patrick Sladeczek
Cannabichstraße 12
81543 München
Deutschland

E-Mail:

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich und wurde nicht bestellt.

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung eines funktionsfähigen Dienstes sowie unserer Inhalte und Leistungen erforderlich ist. Rechtsgrundlagen sind insbesondere:

3. Hosting & Infrastruktur

Die Anwendung wird in Kombination mehrerer Dienstleister bereitgestellt. Das Frontend (statische HTML-, CSS- und JavaScript-Dateien) wird über ein Content Delivery Network ausgeliefert. Backend-Funktionen, Datenbank und Authentifizierung werden über Supabase betrieben. Siehe die jeweiligen Abschnitte unten.

4. Server-Logfiles

Bei jedem Aufruf des Dienstes werden durch unsere Infrastruktur-Anbieter automatisch Daten in Server-Logfiles verarbeitet:

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit des Dienstes, Missbrauchserkennung).
Speicherdauer: in der Regel maximal 30 Tage, danach werden die Logs gelöscht oder anonymisiert.

5. Registrierung & Benutzerkonto (Supabase)

Zur Nutzung des Dienstes ist die Anlage eines Benutzerkontos erforderlich. Wir setzen hierfür Supabase (Supabase, Inc., 970 Toa Payoh North, #07-04, Singapore 318992) als Auftragsverarbeiter ein. Die genutzten Server und Datenbanken befinden sich in der EU-Region (Frankfurt, Deutschland).

Folgende Daten werden im Rahmen der Registrierung und Nutzung verarbeitet:

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) mit Supabase wurde abgeschlossen. Weitere Informationen: supabase.com/privacy.

6. CDN, Medien & Video-Streaming (Cloudflare)

Wir nutzen Dienste von Cloudflare, Inc. (101 Townsend Street, San Francisco, CA 94107, USA) als Content Delivery Network und zum Ausliefern und Transkodieren hochgeladener Videos (Cloudflare Stream). Dabei werden technisch notwendige Daten verarbeitet (IP-Adresse, User-Agent, angefragte Ressourcen, Zeitstempel), um die Inhalte auszuliefern und Angriffe abzuwehren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer, performanter Auslieferung).
Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert. Zusätzlich wurden Standardvertragsklauseln (SCC) abgeschlossen. Weitere Informationen: cloudflare.com/privacypolicy.

Sicherungskopien (Cloudflare R2): Zur Erfüllung unserer Pflicht aus Art. 32 DSGVO (Sicherheit der Verarbeitung) erstellen wir tägliche redundante Sicherungskopien der Anwendungs-Datenbank sowie der hochgeladenen Asset-Dateien (Bilder, Dokumente). Diese werden in einem Cloudflare-R2-Bucket mit ausschließlicher EU-Jurisdiktion gespeichert — die Daten verlassen die EU nicht. Die Sicherungskopien sind serverseitig verschlüsselt und der Zugriff ist auf einen einzelnen, schreibgeschützten API-Token mit Bucket-Scope beschränkt. Die Aufbewahrungsfrist beträgt 90 Tage für Datenbank-Dumps; gelöschte oder geänderte Asset-Dateien werden weitere 90 Tage als Versions-Kopie vorgehalten und danach automatisch entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 32 Abs. 1 lit. b DSGVO. Eine Übermittlung in Drittländer findet für die Sicherungskopien nicht statt.

7. Zahlungsabwicklung (Stripe)

Für die Abwicklung kostenpflichtiger Abonnements nutzen wir Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland) sowie deren Konzerngesellschaften. Bei Abschluss eines Abonnements werden folgende Daten an Stripe übermittelt bzw. bei Stripe durch Sie eingegeben:

Die vollständigen Zahlungsdaten werden direkt bei Stripe eingegeben und nicht auf unseren Servern gespeichert. Wir erhalten von Stripe lediglich eine Kunden- und Abo-ID sowie Status-Informationen (z. B. „bezahlt", „Trial läuft", „gekündigt").

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für Betrugsprävention Art. 6 Abs. 1 lit. f DSGVO.
Weitere Informationen: stripe.com/de/privacy.

8. Webanalyse (Google Analytics)

Soweit Sie eingewilligt haben, nutzen wir Google Analytics 4, einen Webanalysedienst von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) bzw. Google LLC (USA). Google Analytics verwendet Cookies und ähnliche Technologien, um die Nutzung des Dienstes zu analysieren.

Dabei verarbeitete Daten können insbesondere sein:

Wir haben IP-Anonymisierung aktiviert. Ein Auftragsverarbeitungsvertrag mit Google wurde abgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG (Einwilligung). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen anpassen oder das Browser-Add-on von Google installieren: tools.google.com/dlpage/gaoptout.
Weitere Informationen: policies.google.com/privacy.

9. Cookies & Consent

Unser Dienst verwendet Cookies und ähnliche Technologien im lokalen Speicher (Local Storage / Session Storage) des Browsers. Wir unterscheiden:

TypZweckRechtsgrundlage
Technisch notwendig Authentifizierung, Session, Workspace-Auswahl, Spracheinstellungen Art. 6 Abs. 1 lit. b DSGVO; § 25 Abs. 2 TDDDG
Analyse (optional) Google Analytics – Nutzungsstatistik Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG
Zahlung Stripe – Betrugsprävention beim Checkout Art. 6 Abs. 1 lit. b/f DSGVO

Nicht notwendige Cookies werden nur nach aktiver Einwilligung gesetzt. Sie können Ihre Einwilligung jederzeit über den Cookie-Banner oder in den Einstellungen Ihres Browsers widerrufen bzw. anpassen.

10. E-Mail-Kommunikation

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben (E-Mail-Adresse, Name, Nachricht) zur Bearbeitung der Anfrage gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (wenn Anfrage vertragsbezogen) oder Art. 6 Abs. 1 lit. f DSGVO (Beantwortung allgemeiner Anfragen).
Speicherdauer: bis zur vollständigen Klärung Ihres Anliegens und Ablauf gesetzlicher Aufbewahrungsfristen.

Transaktionale E-Mails (z. B. Passwort zurücksetzen, Rechnungen, Trial-Erinnerungen) werden über die o. g. Dienstleister (Supabase, Stripe) versendet.

11. Datenübermittlung in Drittländer

Einzelne der eingesetzten Dienste (insbesondere Cloudflare, Google) verarbeiten Daten auch außerhalb der EU/des EWR, insbesondere in den USA. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und – soweit die Anbieter zertifiziert sind – auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss gemäß Art. 45 DSGVO).

12. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an die oben genannte E-Mail-Adresse.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig in Bayern ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach – lda.bayern.de.

13. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten (z. B. aus HGB oder AO, in der Regel 6 bzw. 10 Jahre für Rechnungs- und Geschäftsunterlagen) dies vorsehen.

Ihr Benutzerkonto und zugehörige Inhalte werden bei Kündigung des Vertrags in der Regel innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

14. Aufbewahrungs-Policy für Slot-Inhalte

Inhalte, die Sie in cntplnr für die Content-Planung anlegen, werden in zwei Kategorien unterschiedlich behandelt — entsprechend dem Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO:

14.1 Asset-Dateien (Videos, Bilder, Dokumente)
Hochgeladene Dateien werden 12 Monate nach dem geplanten Veröffentlichungsdatum des zugehörigen Slots automatisch gelöscht. Konkret bedeutet das: ein Slot mit Datum 2. Mai 2025 verliert seine Asset-Dateien automatisch zum 2. Mai 2026.

Slots ohne Datum (Ideen-Status) sowie Block-/Drehtag-Marker fallen nicht unter diese Frist, weil bei ihnen kein Bezugszeitpunkt existiert. Sie bleiben bis zur manuellen Löschung oder Workspace-Kündigung erhalten.

14.2 Verlängerungs-Möglichkeit
Sie können die Aufbewahrungsfrist eines Slots im Workspace manuell um jeweils 12 Monate verlängern (maximal drei Verlängerungen pro Slot, also höchstens vier Jahre Gesamt-Lifetime). Diese Funktion ist im Slot-Detail erreichbar.

14.3 Vorwarnung
Vor jeder automatischen Löschung erhalten Sie als Workspace-Owner eine E-Mail-Vorwarnung 30 Tage vor dem Löschtermin sowie eine zweite Erinnerung 7 Tage vorher. Beide Mails enthalten einen direkten Link zum vollständigen Datenexport gemäß Art. 20 DSGVO und zur Verlängerungs-Funktion.

14.4 Was dauerhaft erhalten bleibt
Folgende Daten bleiben unabhängig von der Asset-Löschung dauerhaft im Workspace verfügbar (sie verbrauchen nur minimalen Speicherplatz und bilden Ihr institutionelles Gedächtnis):

Damit können Sie auch nach der Datei-Löschung weiterhin nachvollziehen, welcher Inhalt zu welchem Datum geplant war, was im Skript stand und welche Diskussionen es dazu gab — ohne dass die volumenintensiven Mediendateien dauerhaft Speicherplatz und Energie binden.

14.5 Backup-Aufbewahrung
Sicherungskopien der Asset-Dateien werden gemäß Abschnitt 6 (Cloudflare R2) maximal 90 Tage vorgehalten und danach automatisch gelöscht. Eine bereits ausgeführte Asset-Löschung führt deshalb spätestens nach weiteren 90 Tagen auch zur endgültigen Entfernung aus den Sicherungskopien.

14.6 Hinweis zur Endgültigkeit
Eine automatisch durchgeführte Asset-Löschung ist nicht reversibel. Wir halten keinen „Papierkorb" für gelöschte Asset-Dateien vor — die Vorwarnungs-E-Mails und die Verlängerungs-Funktion stellen die alleinige Möglichkeit dar, eine Löschung zu verhindern.

15. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen (TOM) ein, um Ihre Daten vor unberechtigtem Zugriff, Verlust oder Manipulation zu schützen. Dazu gehören insbesondere TLS-Verschlüsselung der Übertragung, gehashte Passwortspeicherung, Zugriffskontrollen auf Basis von Row-Level-Security sowie regelmäßige Überprüfung unserer Sicherheitsvorkehrungen.

Zusätzlich erstellen wir tägliche, redundante Sicherungskopien (Backups) der Datenbank und des Datei-Speichers in einem zweiten, geografisch getrennten Speicherort innerhalb der EU (siehe Abschnitt 6, Cloudflare R2). Backups werden serverseitig verschlüsselt vorgehalten und nach maximal 90 Tagen automatisch gelöscht. Bei Lösch-Anfragen nach Art. 17 DSGVO werden die betroffenen Daten unverzüglich aus den Live-Systemen entfernt; aus den Backup-Kopien verschwinden sie spätestens nach Ablauf der Aufbewahrungsfrist von 90 Tagen — eine im Sinne von Art. 17 Abs. 3 lit. b DSGVO technisch begründete Verzögerung.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, soweit dies aufgrund neuer Technologien oder rechtlicher Änderungen erforderlich wird. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.

Stand: Mai 2026