Datenschutzerklärung
Stand: 28.04.2026
1. Verantwortlicher
Pascal Jordin
Maarstraße 41
52499 Baesweiler
Deutschland
E-Mail: hallo@saasrebels.de
Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen des Art. 37 DSGVO und § 38 BDSG nicht vorliegen. Bei Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte E-Mail-Adresse.
2. Erhebung und Verarbeitung personenbezogener Daten
2.1 Hosting (Hetzner)
Diese Website und die Plattform werden auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet (Standort: Deutschland). Beim Aufruf werden automatisch Server-Logfiles erfasst (gekürzte IP-Adresse, Zeitpunkt, aufgerufene URL, Browser-Typ und -Version, Betriebssystem, Referrer). Die Logfiles dienen der Sicherheit, Stabilität und Fehleranalyse und werden nach spätestens 7 Tagen automatisch gelöscht oder anonymisiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb).
2.2 Warteliste
Bei Eintragung in die Warteliste speichern wir Ihre E-Mail-Adresse, den Eintragungs-Zeitpunkt und Ihren Status (eingetragen, eingeladen, registriert) zum Zweck der Benachrichtigung über den Plattform-Launch und Funktions-Updates. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie uns eine E-Mail an hallo@saasrebels.de senden.
2.3 Magic-Link-Verifizierung
Wenn Sie sich auf unsere Warteliste eintragen, senden wir Ihnen einen Bestätigungslink per E-Mail. Bei Klick auf den Link wird ein Sitzungs-Cookie gesetzt, das Ihre Mitgliedschaft in der Warteliste bestätigt und Ihnen Zugang zu Feature-Voting und Ideen-Einreichung ermöglicht. Das Cookie ist 30 Tage gültig. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Klicken des Links).
2.4 Feature-Voting und Ideen-Einreichung
Als verifiziertes Wartelisten-Mitglied können Sie Feature-Vorschläge einreichen und für bestehende Vorschläge abstimmen. Wir speichern dabei Ihre Wartelisten-ID, Ihre Stimmen, eingereichte Ideen und Kommentare. Titel, Beschreibung und Stimmenzahl sind öffentlich einsehbar; Ihre E-Mail-Adresse wird nicht öffentlich angezeigt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), für die freiwillige Einreichung zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
2.5 Registrierung und Authentifizierung (Auth0 / Okta)
Für Benutzerregistrierung und Anmeldung nutzen wir den Dienst Auth0 von Okta, Inc., 100 First Street, San Francisco, CA 94105, USA (Vertragspartner für EU-Kunden: Auth0 EMEA Limited, Dublin, Irland). Verarbeitet werden E-Mail-Adresse, Passwort-Hash, Login-Zeitpunkte, IP-Adresse, Geräte- und Browser-Informationen sowie eindeutige Nutzer-IDs. Wir nutzen einen Auth0-Tenant in der EU-Region (Frankfurt); die laufende Verarbeitung findet damit grundsätzlich in der EU statt. Zusätzlich verwenden wir die Auth0 Management API zur Verwaltung von Nutzerkonten (z. B. Account-Lösch-Funktion gemäß Art. 17 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Soweit es im Rahmen von Konzern-Support oder Backup zu einer Übermittlung in die USA kommt, ist Okta, Inc. unter dem EU-US Data Privacy Framework zertifiziert (Aktualität siehe dataprivacyframework.gov); ergänzend gelten die EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914.
2.6 Zahlungsabwicklung (Stripe)
Für die Zahlungsabwicklung nutzen wir Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland. Stripe verarbeitet Ihre Zahlungsdaten (insbesondere Kartendaten, IBAN bei SEPA-Lastschrift, Rechnungs- und ggf. Lieferanschrift, Steuer-ID) eigenverantwortlich; wir selbst speichern keine vollständigen Zahlungsdaten, sondern nur eine Stripe-Kunden-ID, eine Subscription-ID, Zahlungsstatus und Rechnungsbelege. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Soweit Stripe Daten an die US-Mutter Stripe, Inc. übermittelt, ist Stripe, Inc. unter dem EU-US Data Privacy Framework zertifiziert; ergänzend gelten Standardvertragsklauseln (SCC 2021/914).
2.7 Kostenlose Testphase
Bei Aktivierung der 14-tägigen kostenlosen Testphase wird ein Stripe-Kundenkonto angelegt. Während der Testphase werden keine Zahlungen eingezogen. Nach Ablauf können Sie einen kostenpflichtigen Plan wählen. Ohne aktive Zahlungsmethode endet der Zugang nach Testphasen-Ende automatisch. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.8 Datenbank und Backend (Supabase)
Die Plattform-Datenbank — Nutzerprofile, Wartelisten-Einträge, sowie sämtliche Tool-Daten (Zeiterfassung, Rechnungen und Rechnungspositionen, Kontakte, Notizen, Aufgaben, Budget-Daten, Ideen, Kommentare, Badges, Referrals) — wird auf Supabase betrieben. Anbieter ist Supabase Inc., registriert in Delaware, USA; operativer Sitz: 970 Toa Payoh North #07-04, Singapore 318992. Wir nutzen die EU-Region (Frankfurt am Main, Deutschland); die Datenresidenz liegt damit innerhalb der EU. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Soweit es im Rahmen von Support, Logging oder organisatorischen Prozessen zu einer Übermittlung in Drittländer (insbesondere USA) kommen kann, sichern wir den Transfer durch die EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 (Modul 2) sowie ergänzende technische und organisatorische Maßnahmen ab (Verschlüsselung in Transit und at-rest, EU-Datenresidenz für die Hauptverarbeitung).
2.9 E-Mail-Versand (SendGrid / Twilio)
Für den Versand transaktionaler E-Mails — insbesondere Magic-Link- Bestätigungen, Einladungs-Mails, Onboarding- und Automations-Mails, Rechnungs- und Erinnerungs-Mails sowie Antworten auf Kontaktanfragen — nutzen wir SendGrid, einen Dienst der Twilio Ireland Limited, 25-28 North Wall Quay, Dublin 1, D01 H104, Irland (Mutter: Twilio Inc., 101 Spear Street, Suite 500, San Francisco, CA 94105, USA). Verarbeitet werden Empfänger-E-Mail-Adresse, Inhalt der Nachricht, Versand- und Zustell-Status sowie Öffnungs- und Klick-Ereignisse, soweit technisch erfasst. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale Mails, Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation) für Antworten auf Kontaktanfragen.
Mit Twilio besteht ein Auftragsverarbeitungsvertrag. Twilio Inc. ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend gelten die EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914.
2.10 Web-Analyse (Plausible Analytics)
Zur Reichweiten- und Nutzungsanalyse setzen wir Plausible Analytics ein, eine cookie-freie Analysesoftware. Der Dienst läuft auf unserem eigenen Server (analytics.saasrebels.de) bei der Hetzner Online GmbH, Deutschland. Plausible setzt keine Cookies und speichert keine IP-Adressen oder sonstigen direkt personenbeziehbaren Identifier; Wiedererkennung erfolgt ausschließlich über tageweise rotierende, gehashte Visitor-IDs aus IP-Adresse und User-Agent. Eine Einwilligung nach § 25 TDDDG ist daher nicht erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse zur Verbesserung des Angebots).
2.11 Öffentliches Community-Profil
Sie können freiwillig ein öffentliches Community-Profil anlegen (Username, optional Anzeigename, Avatar, Kurz-Bio, verliehene Badges). Diese Inhalte sind unter /community/<username> öffentlich abrufbar. Sie entscheiden selbst, welche Felder Sie ausfüllen, und können jederzeit zurücknehmen oder das Profil löschen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), soweit das Profil zur Plattform-Nutzung gehört.
2.12 Kommentare auf Feature-Ideen
Beim Verfassen eines Kommentars zu einer Feature-Idee speichern wir den Inhalt, Ihren Username, Ihre Nutzer-ID und den Zeitstempel. Kommentar und Username sind öffentlich sichtbar. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i. V. m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Community-Funktionen). Sie können eigene Kommentare jederzeit löschen.
2.13 Badge-System
Auf Basis Ihrer Plattform-Nutzung (z. B. erstellte Rechnungen, vergangene Vertragsdauer, Beiträge zur Community) verleiht das System automatisch Badges. Wir verarbeiten dafür aggregierte Nutzungs-Metriken. Es findet keine Profilbildung im Sinne des Art. 22 DSGVO statt; eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung wird nicht getroffen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Gamification und Nutzer-Bindung).
2.14 Referral-Programm
Jedem registrierten Nutzer wird ein persönlicher Empfehlungs-Code zugeordnet. Klickt ein Besucher auf einen Empfehlungs-Link (/r/<code>), wird ein Cookie referral_code mit einer Laufzeit von 30 Tagen gesetzt, das beim späteren Vertragsabschluss die Zuordnung zum werbenden Nutzer ermöglicht. Bei erfolgreicher Werbung wird über Stripe ein Rabatt-Coupon ausgelöst. Wir speichern Empfehlungs-Code, geworbene Nutzer-IDs, Zeitstempel und Status der Belohnung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionierenden Empfehlungsprogramm).
2.15 Kontaktformular und Kontakt-E-Mail
Wenn Sie uns über das Kontaktformular oder per E-Mail erreichen, speichern wir Ihre Angaben (Name, E-Mail-Adresse, Inhalt der Nachricht, optional weitere von Ihnen angegebene Daten) zur Bearbeitung Ihrer Anfrage. Der Versand der Antworten erfolgt über SendGrid (siehe 2.9). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
2.16 Auftragsverarbeitung für Kunden-Daten
Soweit Sie als Kunde der Plattform personenbezogene Daten Dritter (z. B. Ihrer eigenen Kontakte, Rechnungsempfänger, Mitarbeiter) in den Tools verarbeiten, sind Sie selbst Verantwortlicher im Sinne der DSGVO; der Anbieter ist insoweit Auftragsverarbeiter. Die Bedingungen ergeben sich aus dem Auftragsverarbeitungsvertrag (AVV), der mit Vertragsschluss wirksam wird.
3. Cookies und vergleichbare Technologien
Diese Website verwendet ausschließlich technisch notwendige Cookies und Cookies, die Sie durch eine bewusste Handlung (z. B. Klick auf einen Magic-Link, Klick auf einen Empfehlungs-Link) auslösen. Tracking- oder Marketing-Cookies werden nicht eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG). Folgende Cookies kommen zum Einsatz:
- csrf_token — Schutz vor Cross-Site-Request-Forgery. Laufzeit: bis zu 24 Stunden. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig).
- __a0_session.0, __a0_session.1 — Login-Status und Authentifizierung über Auth0 (EU-Tenant Frankfurt). Aufgrund der Größe der signierten Sitzungs-Daten wird das Cookie auf zwei Teil-Cookies aufgeteilt (Chunking). Laufzeit: Sitzungsdauer bzw. bis zum Logout. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig).
- waitlist_session — Bestätigung der Wartelisten- Mitgliedschaft. Laufzeit: 30 Tage. Wird ausschließlich nach aktiver Bestätigung per Magic-Link gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung).
- referral_code — Zuordnung des werbenden Nutzers im Rahmen des Empfehlungsprogramms. Laufzeit: 30 Tage. Wird nur nach aktivem Klick auf einen Empfehlungs-Link gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TDDDG.
4. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten dies vorschreiben.
| Datenkategorie | Speicherdauer | Grundlage |
|---|---|---|
| Server-Logfiles (gekürzte IP, User-Agent, URL) | max. 7 Tage | berechtigtes Interesse / Sicherheit |
| Wartelisten-E-Mail-Adresse | bis Widerruf, längstens 24 Monate Inaktivität | Einwilligung |
| Account-Stammdaten | bis Account-Löschung, danach 30 Tage Wiederherstellungs-Fenster | Vertragserfüllung |
| Tool-Daten (Zeiterfassung, CRM, Notizen, Aufgaben, Budget) | bis 30 Tage nach Vertragsende; danach Löschung | Vertragsabwicklung |
| Rechnungen, Buchungsbelege, Rechnungspositionen | 10 Jahre | § 147 AO, § 14b UStG, GoBD |
| Geschäftsbriefe (auch E-Mail) | 6 Jahre | § 257 HGB |
| Stripe-Zahlungsdaten / Belege | 10 Jahre | gesetzliche Buchhaltungspflicht |
| Auth0-Audit-Logs | 30 Tage Standard, in Backups bis zu 90 Tagen | berechtigtes Interesse / Sicherheit |
| Plausible-Aggregate | unbestimmt (anonymisiert) | berechtigtes Interesse |
| Community-Profil, Kommentare, Badges | bis Widerruf bzw. Account-Löschung | Einwilligung / Vertrag |
| Referral-Daten | bis Account-Löschung; bei Auszahlung+10 Jahre für Belege | Vertrag / § 147 AO |
5. Empfänger / Empfänger-Kategorien
Wir geben personenbezogene Daten an folgende Kategorien von Empfängern weiter, jeweils im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO:
| Empfänger | Sitz | Zweck | Drittlandtransfer | Garantie |
|---|---|---|---|---|
| Hetzner Online GmbH | Deutschland | Hosting, Server-Betrieb | nein | — |
| Supabase Inc. | USA / Singapur (EU-Region Frankfurt) | Datenbank, Backend | möglich (Support) | SCC 2021/914 + TOMs |
| Auth0 / Okta, Inc. | USA (EU-Tenant Frankfurt) | Authentifizierung, Identity | möglich (Support / Backup) | DPF + SCC 2021/914 |
| Stripe Payments Europe, Limited | Irland | Zahlungsabwicklung | ggf. via Stripe, Inc. (USA) | DPF + SCC 2021/914 |
| Twilio Ireland Limited (SendGrid) | Irland (Mutter Twilio Inc., USA) | E-Mail-Versand | ja | DPF + SCC 2021/914 |
Darüber hinaus geben wir Daten weiter, wenn wir gesetzlich dazu verpflichtet sind (z. B. an Finanzbehörden, Strafverfolgungsbehörden) oder Sie ausdrücklich eingewilligt haben.
6. Drittlandtransfer
Soweit personenbezogene Daten in Drittländer übermittelt werden, sichern wir den Transfer ab durch (a) das EU-US Data Privacy Framework bei zertifizierten US-Empfängern, (b) ergänzend bzw. ausschließlich durch die EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sowie (c) ergänzende technische und organisatorische Maßnahmen (Verschlüsselung in Transit und at-rest, EU-Datenresidenz, Zugriffs kontrollen). Eine Übersicht der Empfänger und der jeweiligen Grundlage finden Sie in der Tabelle unter Ziffer 5.
7. Ihre Rechte
Sie haben folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen, die auf berechtigtem Interesse beruhen (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Eine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO findet nicht statt. Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an hallo@saasrebels.de.
Eine maschinenlesbare Kopie Ihrer Einwilligungs-Historie (z. B. Widerrufs-Verzicht beim Checkout) können Sie als angemeldeter Nutzer jederzeit selbst unter Einstellungen → Datenexport als JSON oder CSV herunterladen.
8. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständige Aufsichtsbehörde für den Verantwortlichen ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
https://www.ldi.nrw.de
9. Pflicht zur Bereitstellung
Die Bereitstellung der für die Vertragsabwicklung erforderlichen Daten (insb. E-Mail-Adresse, Authentifizierungs- und Zahlungsdaten) ist für den Abschluss und die Durchführung des Vertrags erforderlich. Ohne diese Daten können wir den Vertrag nicht abschließen oder durchführen. Alle übrigen Angaben sind freiwillig.
10. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Verarbeitung ändert oder rechtliche Anforderungen dies erfordern. Die jeweils aktuelle Fassung ist unter /datenschutz abrufbar.