Datenschutzerklärung

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie die Website rfplan.de und die zugehörige SaaS-Anwendung RFplan nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

2. Verantwortliche Stelle

Verantwortlich im Sinne der DSGVO:

RaumFaktum Rheinland GmbH
Kohlenstraße 1
42555 Velbert, Deutschland
E-Mail: info@raumfaktum.de
Geschäftsführer: Dennis Jan Ott

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen) entscheidet.

3. Datenerfassung auf dieser Website

3.1 Welche Daten werden erfasst?

Bei der Registrierung (Pflichtangaben):

• E-Mail-Adresse
• Passwort (wird ausschließlich als bcrypt-Hash gespeichert, nie im Klartext)
• Vollständiger Name
• Firmenname und Gewerk

Optionale Angaben im Profil:

• Telefonnummer, Position, Wetter-PLZ

Nutzungsdaten (automatisch im Rahmen der Vertragserfüllung):

• Projektdaten, Zeiterfassungen, Berichte, Angebote, Rechnungen
• Hochgeladene Dateien und Fotos
• Chat-Nachrichten innerhalb von Projekten
• Zeitstempel von Anmeldungen und Aktivitäten

Bei Terminbuchung über die Website:

• Name, E-Mail-Adresse, Telefonnummer (optional)
• Firmenname, Teamgröße, Gewerk (optional)
• IP-Adresse (zur Missbrauchsverhinderung)
• UTM-Parameter (falls über Marketinglinks zugegriffen)

3.2 Wofür nutzen wir Ihre Daten?

• Bereitstellung und Betrieb der SaaS-Plattform RFplan
• Benutzerverwaltung, Authentifizierung und Autorisierung
• E-Mail-Benachrichtigungen (Registrierung, Passwort-Reset, Terminbestätigung)
• Rechnungserstellung und Abonnement-Verwaltung
• Datensicherung (automatische verschlüsselte Backups)
• Technische Fehleranalyse und Systemstabilität
• Bearbeitung von Support-Anfragen und Bug-Reports

3.3 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Bereitstellung der Software)
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (Systemsicherheit, Fehleranalyse)
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (bei optionalen Integrationen wie Lexoffice, Todoist)
• Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung (steuerliche Aufbewahrungspflichten)

4. Hosting und technische Infrastruktur

Die Website und die SaaS-Anwendung werden auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet.

• Standort: Rechenzentrum in Deutschland (Falkenstein/Nürnberg)
• Datenbank: PostgreSQL auf demselben Server
• Backups: Verschlüsselt, täglich automatisch
• SSL/TLS: Sämtliche Verbindungen sind HTTPS-verschlüsselt (Let's Encrypt)

Datenschutzerklärung von Hetzner: hetzner.com/datenschutz

5. Drittanbieter-Integrationen

Die folgenden Integrationen werden nur auf ausdrücklichen Wunsch des Firmen-Administrators aktiviert. Ohne Aktivierung werden keine Daten an Dritte übermittelt.

5.1 Lexware Office (lexoffice)

Bei Aktivierung werden Kundendaten (Name, Adresse, Kontaktdaten) über die Lexoffice-API synchronisiert. Der API-Schlüssel wird AES-256-verschlüsselt gespeichert. Anbieter: Haufe-Lexware GmbH, Munzinger Str. 9, 79111 Freiburg.

5.2 Todoist

Bei Aktivierung werden Aufgaben bidirektional zwischen RFplan und Todoist synchronisiert. Der API-Schlüssel wird verschlüsselt gespeichert. Anbieter: Doist Inc.

5.3 TimeTrack

Bei Aktivierung werden Zeiterfassungsdaten mit TimeTrack synchronisiert. Zugangsdaten werden verschlüsselt gespeichert.

5.4 Nextcloud

Bei Aktivierung werden Dateien und Backups auf dem vom Kunden konfigurierten Nextcloud-Server synchronisiert. Die Zugangsdaten werden verschlüsselt gespeichert. Der Server wird vom Kunden selbst betrieben.

5.5 OpenStreetMap / Nominatim

Für die Projektkarte und Adress-Geocodierung wird die Nominatim-API (OpenStreetMap) genutzt. Es werden Adressen (Straße, PLZ, Ort) ohne Personenbezug übertragen. Keine personenbezogenen Daten.

5.6 Open-Meteo (Wetterdaten)

Für die Wetteranzeige wird die Open-Meteo API genutzt. Es wird lediglich die konfigurierte Postleitzahl oder Koordinate übertragen. Keine personenbezogenen Daten.

6. Passwort-Sicherheit und Authentifizierung

• Passwörter werden niemals im Klartext gespeichert — es wird bcrypt mit 12 Runden Salting verwendet
• Passwort-Reset-Tokens sind zeitlich begrenzt (1 Stunde Gültigkeit)
• Login-Versuche sind auf 5 pro 15 Minuten begrenzt (Rate-Limiting)
• Sessions nutzen JWT-Token mit begrenzter Gültigkeit (8 Stunden)
• Mobile App: Bearer-Token-Authentifizierung mit Token-Rotation
• Automatischer Logout bei Inaktivität

7. Cookies und Sessions

RFplan verwendet ausschließlich technisch notwendige Session-Cookies zur Authentifizierung (NextAuth.js JWT-Token, Theme-Einstellungen). Es werden keine Tracking-, Analyse-, Retargeting- oder Werbe-Cookies eingesetzt.

Eine Cookie-Einwilligung (Cookie-Banner) ist daher gemäß § 25 Abs. 2 TDDDG nicht erforderlich, da die Cookies für die Bereitstellung des Dienstes unbedingt erforderlich sind.

Eingesetzte Cookies:

• next-auth.session-token — Authentifizierung (Session, HttpOnly, Secure)
• rfplan-theme — Lokale Theme-Einstellung (localStorage, kein Cookie)

8. E-Mail-Kommunikation

RFplan versendet E-Mails ausschließlich für:

• Registrierungsbestätigung und E-Mail-Verifizierung
• Passwort-Zurücksetzen
• Team-Einladungen
• Terminbuchungs-Bestätigungen
• Tagesberichte und Rechnungen per E-Mail (nur auf Nutzerwunsch)
• Trial-Erinnerungen (Ende der Testphase)

Der E-Mail-Versand erfolgt über den vom Administrator konfigurierten SMTP-Server oder über die System-Mail-Warteschlange. Es werden keine Newsletter, Werbe-E-Mails oder Marketing-E-Mails versendet.

9. Kundenportal

RFplan bietet ein optionales Kundenportal für Bauherren. Bei Einladung zum Portal werden folgende Daten erhoben:

• Name und E-Mail-Adresse des Bauherrn
• Vom Handwerksbetrieb freigegebene Projektdaten (Status, Fotos, Pläne)
• Vom Bauherrn erstellte Tickets und Nachrichten

Bauherren sehen ausschließlich Daten, die der Handwerksbetrieb explizit freigegeben hat. Keine internen Daten, Preise oder Berichte sind sichtbar.

10. Mobile App (iOS)

Die RFplan iOS-App nutzt dieselben API-Endpunkte wie die Web-Anwendung. Zusätzlich werden folgende Daten lokal auf dem Gerät gespeichert:

• Authentifizierungs-Token (im iOS SecureStore, verschlüsselt)
• Offline-Datenbank (SQLite) für Projekte, Aufgaben, Zeiteinträge
• Push-Notification-Token (für Benachrichtigungen)

Fotos werden nur mit expliziter Kamera-Berechtigung aufgenommen. GPS-Daten werden nur für die Projektkarte verwendet, wenn der Nutzer die Standort-Berechtigung erteilt.

11. Bug-Reports und Support

Bei Nutzung des Bug-Hunters oder Support-Ticket-Systems werden folgende Daten erfasst:

• Fehlerbeschreibung, betroffene Seite, Browser und Bildschirmgröße
• Konsolen-Fehlermeldungen (optional, nur mit Zustimmung)
• Support-Nachrichten und Ticket-Verlauf

Diese Daten dienen ausschließlich der technischen Fehleranalyse und Qualitätsverbesserung. Sie werden nicht an Dritte weitergegeben.

12. Ihre Rechte (DSGVO)

Sie haben jederzeit folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten — "Recht auf Vergessenwerden" (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit — Export Ihrer Daten in maschinenlesbarem Format (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung jederzeit (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@raumfaktum.de

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4, 40213 Düsseldorf
www.ldi.nrw.de

13. Datenspeicherung und Löschung

• Ihre Daten werden gespeichert, solange Ihr Benutzerkonto aktiv ist
• Bei Kontolöschung werden alle personenbezogenen Daten innerhalb von 30 Tagen unwiderruflich gelöscht
• Automatische Backups werden nach 7 Tagen automatisch überschrieben
• Gesetzliche Aufbewahrungspflichten (z.B. steuerrechtlich 10 Jahre für Rechnungen) bleiben unberührt
• Nach Ablauf der Testphase bleiben Daten für 90 Tage erhalten, um eine Reaktivierung zu ermöglichen

14. SSL/TLS-Verschlüsselung

Sämtliche Verbindungen zu rfplan.de und der API sind durch SSL/TLS (HTTPS) verschlüsselt. Eine verschlüsselte Verbindung erkennen Sie am Schloss-Symbol und "https://" in der Adresszeile Ihres Browsers. Bei aktiver Verschlüsselung können Dritte die Daten, die Sie an uns übermitteln, nicht mitlesen.

15. Kein Tracking, keine Analyse-Tools

RFplan setzt keine der folgenden Dienste ein:

• Google Analytics, Matomo oder andere Web-Analyse-Tools
• Facebook Pixel, Google Ads oder andere Werbe-Tracker
• Hotjar, Crazy Egg oder andere Heatmap-/Session-Recording-Tools
• Drittanbieter-Schriftarten (Google Fonts) — alle Fonts werden lokal geladen

Es findet keinerlei Profiling oder automatisierte Entscheidungsfindung statt.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.