Datenschutzerklärung

Informationen gemäß Art. 13 und 14 DSGVO.

1. Verantwortlicher

Rene Hering, nullroutine, Gutenbergplatz 3, 04103 Leipzig, Deutschland — null@nullroutine.de.

2. Verarbeitete Daten

• Konto: E-Mail-Adresse, Anzeigename, Sprache, Passwort-Hash.
• Sicherheitsprotokolle: IP-Adresse, User-Agent und Zeitpunkt von Anmeldeversuchen, Audit-Einträge (Einladungen, Passwort-Änderungen).
• Einwilligungs-Zeitstempel (Art. 7 DSGVO): Annahme von Datenschutzerklärung und Nutzungsbedingungen.
• Organisations-Kontext: Mandanten-Zuordnung, Rolle, Abo-Status je Modul.
• Abrechnungs-Metadaten: Paddle-Kunden-ID, Subscription-ID, Tarif. Eigentliche Zahlungsdaten (Karte, IBAN, Rechnungsanschrift) liegen ausschließlich bei Paddle als Merchant-of-Record.
• Modul-Daten: Bauvorhaben, Buchungen, Belege, Pläne, Wartungsdaten — innerhalb des jeweiligen Mandanten.

3. Zweck und Rechtsgrundlage

• Authentifizierung und Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
• Berechtigtes Interesse an IT-Sicherheit (Art. 6 Abs. 1 lit. f DSGVO): Sperrung nach Fehlversuchen, Audit-Protokoll.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): steuerrelevante Abrechnungsdaten (10 Jahre § 14b UStG).

4. Cookies

Wir setzen ausschließlich funktionale Cookies ein: session (Login-Sitzung, first-party, HttpOnly, SameSite=Lax), uni-lang (Sprache, 1 Jahr), uni-theme (Farbschema, localStorage). Keine Tracking-Cookies und keine Cookies Dritter. Eine Einwilligung nach § 25 Abs. 2 TTDSG ist nicht erforderlich.

4a. Cookieloses Pageview-Tracking

Auf den Sloppy-Modulen läuft ein self-hosted, cookieloses Pageview-Tracking zur internen Erreichbarkeits- und Nutzungsmessung. Pro aufgerufener Seite wird ein 1×1-Pixel an id.sloppyuniverse.com/_stats/p übertragen. Erfasst: Modul-Slug, URL-Pfad, Zeitstempel, User-Agent, Referer, IP-Adresse zum Anfragezeitpunkt sowie eine täglich rotierende, gehashte Visitor-ID (sha256(IP + UA + Datum + Geheimschlüssel)). Die Roh-IP wird nicht persistiert; nur die Visitor-ID bleibt 30 Tage erhalten und erlaubt keine Re-Identifikation. Keine Cookies, kein localStorage, kein Browser-Fingerprinting. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Funktions- und Reichweitenmessung). Widerspruch jederzeit per E-Mail an null@nullroutine.de; Standard-Adblocker (z. B. uBlock Origin) blockieren das Pixel ebenfalls.

5. Empfänger und Auftragsverarbeiter

• Brevo (Sendinblue SAS, Frankreich) — Versand transaktionaler E-Mails. Auftragsverarbeiter gem. Art. 28 DSGVO, AV-Vertrag geschlossen. Server in der EU.
• Paddle.com Market Ltd. (UK) / Paddle Inc. (USA) — Zahlungsabwicklung als Merchant-of-Record. Wir erhalten nur Webhook-Benachrichtigungen mit Abo-Status. Übermittlung UK: UK-Angemessenheitsbeschluss; USA: EU-Standardvertragsklauseln. Paddle-Datenschutz: paddle.com/legal/privacy.
• Hetzner Online GmbH (Deutschland) — Hosting der Server in Falkenstein/Nürnberg. Auftragsverarbeiter gem. Art. 28 DSGVO.
• Module (SloppyFix, SloppyScan, SloppyPlan, SloppyRent, SloppyPay, SloppyTag, SloppyLog) — erhalten Identitätsmerkmale via JWT. Gleicher Verantwortlicher.
• Open-Meteo (Open-Meteo.com, Schweiz) — Wetter-API für SloppyLog (Bautagebuch). Wir rufen die API serverseitig ab; deine IP-Adresse wird NICHT übertragen. Rechtsgrundlage: Art. 6 (1) f DSGVO (berechtigtes Interesse an automatischer Wetterzuordnung für VOB-konforme Bauakten). Open-Meteo-Datenschutz: open-meteo.com/en/terms.
• OpenStreetMap (OpenStreetMap Foundation, UK) — Karten in SloppyLog. Static-Maps werden serverseitig über staticmap.openstreetmap.de gerendert und lokal gecached — deine IP-Adresse wird hierbei NICHT an OSM übertragen. Erst beim aktiven Klick auf „Auf openstreetmap.org öffnen" verlässt deine IP-Adresse unseren Server. UK-Angemessenheitsbeschluss greift. OSM-Datenschutz: osmfoundation.org.
• Browser-Geolocation-API (in SloppyLog) — Beim Tageseintrag kann der Bauleiter „Standort übernehmen" wählen; der Browser fragt explizit nach Erlaubnis (Art. 7 DSGVO Einwilligung). Die GPS-Koordinaten landen NUR in unserer Datenbank, werden nicht an Dritte übermittelt.

5. Stella — virtuelle Sloppy-Guide

„Stella" ist eine illustrative Figur, die in Onboarding, FAQ und Empty-States als didaktische Begleitung erscheint. Stella ist keine reale Person und keine Mitarbeiterin des Anbieters; alle ihr zugeschriebenen Aussagen sind redaktionelle Inhalte des Anbieters. Bei Anliegen, die eine echte Person erfordern (Support, Datenschutz, Vertrag), wende Dich bitte direkt an kontakt@nullroutine.de.

5a. Reichweitenmessung (cookielos)

Zur Verbesserung der Inhalte erheben wir aggregierte Zugriffsstatistik auf eigenen Servern (kein Dritt-Anbieter). Pro Seitenaufruf werden gespeichert: angefragter Pfad, Referrer-Host (ohne Query-Parameter), User-Agent-Familie (z. B. „Chrome/Firefox"), Länderkürzel (z. B. „DE"; ermittelt aus der IP über eine lokale GeoIP-Datenbank, IP wird nicht gespeichert), Zeitstempel und ein kurzlebiger Besucher-Hash (sha256(IP + User-Agent + Tagessalz + Server-Geheimnis)). Die IP wird nicht gespeichert und der Salt rotiert täglich — nach 24 Stunden ist der Hash nicht mehr einer Person zuordenbar. Daten werden nach 180 Tagen automatisch gelöscht. Es werden weder Cookies noch localStorage verwendet, keine Daten an Dritte übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an aggregierter Reichweitenmessung ohne Profilbildung).

6. Keine Drittanbieter-CDNs / Google Fonts

Sämtliche Schriften, Icons und JavaScript-Bibliotheken werden self-hosted ausgeliefert. Es findet kein Aufruf von Google Fonts, Google Analytics oder ähnlichen Drittanbietern statt. Damit werden keine IP-Adressen unserer Besucher an Drittanbieter übermittelt.

7. Speicherdauer

• Kontodaten: bis zur Löschung (Selbstlöschung im Profil oder auf Anforderung).
• Sicherheitsprotokolle: 90 Tage, danach anonymisiert.
• Audit-Ereignisse: bleiben nach Konto-Löschung erhalten (user_id=NULL) zur rechtlichen Dokumentation.
• Abrechnungsdaten (Rechnungen): 10 Jahre gem. § 14b UStG.

8. Ihre Rechte

Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21). Anfragen an null@nullroutine.de oder direkt im Profil unter „DSGVO-Zentrale".

9. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, insbesondere im EU-Mitgliedstaat Ihres Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO). Zuständig für nullroutine ist der Sächsische Datenschutzbeauftragte.

10. Stand

26. April 2026.