Datenschutzerklärung

Der Schutz deiner persönlichen Daten ist uns wichtig. Nachfolgend informieren wir dich darüber, welche Daten bei der Nutzung von plantimes verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Plattform ist:

2. Grundlegendes

plantimes ist eine Anwendung zur Team-Zeiterfassung. Innerhalb von Workspaces erfassen Nutzer ihre Arbeitszeiten, ordnen sie Projekten und Aufgaben zu und werten die erfassten Zeiten aus. Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung der Funktionen erforderlich ist. Eine Weitergabe deiner Daten zu Werbezwecken findet nicht statt. Es werden keine Tracking- oder Analyse-Dienste eingesetzt und keine Profile zu Marketingzwecken gebildet.

3. Hosting und Server-Protokolle

Das Frontend (die Website und die App) wird über die Plattform Cloudflare Pages der Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) bereitgestellt und ausgeliefert. Cloudflare fungiert zugleich als Content-Delivery-Network, verwaltet das DNS der Domain und sichert die Verbindung (TLS). Die Domain selbst ist über die netcup GmbH (Standort Deutschland) registriert. Die Programmierschnittstelle (API) und die Datenbank (PostgreSQL) werden auf einem privaten Server betrieben, der vom Betreiber selbst zuhause in Deutschland gehostet wird (plantimes ist ein kostenloses, privates Projekt) und über einen verschlüsselten Cloudflare-Tunnel erreichbar ist.

Beim Aufruf der Seite und bei API-Anfragen verarbeitet Cloudflare technisch notwendige Verbindungsdaten (insbesondere die IP-Adresse, Datum und Uhrzeit der Anfrage, übertragene Datenmenge, aufgerufene Adresse, Browsertyp). Diese Verarbeitung dient der sicheren und stabilen Bereitstellung sowie der Abwehr von Angriffen.

Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren und funktionsfähigen Betrieb (Art. 6 Abs. 1 lit. f DSGVO). Da Cloudflare Daten auch in den USA verarbeiten kann, erfolgt insoweit eine Übermittlung in ein Drittland. Diese ist durch Standardvertragsklauseln der EU-Kommission abgesichert.

4. Cookies

Wir verwenden ausschließlich ein technisch notwendiges Cookie für die Anmeldung: einen sogenannten „Refresh-Token". Dieses Cookie wird als httpOnly, Secure und SameSite=Strict gesetzt, ist also vor dem Zugriff durch Skripte geschützt und wird nur über eine verschlüsselte Verbindung an unsere eigene Domain gesendet. Es ist 30 Tage gültig und dient dazu, dich angemeldet zu halten, ohne dass du dich ständig neu einloggen musst.

Da dieses Cookie für die von dir ausdrücklich gewünschte Funktion (Anmeldung) unbedingt erforderlich ist, bedarf es keiner Einwilligung (§ 25 Abs. 2 Nr. 2 TDDDG). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Das Access-Token zur Sitzung wird ausschließlich im Arbeitsspeicher deines Browsers gehalten und nicht dauerhaft gespeichert. Es werden keine Cookies zu Werbe- oder Analysezwecken gesetzt.

5. Registrierung und Nutzerkonto

Für die Nutzung legst du ein Konto an. Dabei verarbeiten wir:

• E-Mail-Adresse
• Name (dein angezeigter Name)
• Passwort (ausschließlich als kryptografischer Hash mit BCrypt, niemals im Klartext)
• optional ein Avatar-Bild
• technische Zeitstempel (Zeitpunkt der Erstellung und der letzten Änderung deines Kontos)

Zur Bestätigung deiner E-Mail-Adresse und für die Funktion „Passwort vergessen" versenden wir Links per E-Mail. Zum Schutz vor Missbrauch begrenzen wir die Anzahl bestimmter Anfragen (etwa Anmelde- oder Registrierungsversuche) anhand der IP-Adresse (Rate-Limiting); diese Verarbeitung erfolgt nur vorübergehend. Rechtsgrundlage für die Kontoverwaltung ist die Erfüllung des Nutzungsverhältnisses (Art. 6 Abs. 1 lit. b DSGVO), für die Missbrauchsabwehr unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

6. Inhalte der Zeiterfassung

Innerhalb der App erstellst und verwaltest du gemeinsam mit anderen Mitgliedern Inhalte, etwa Workspaces, Projekte, Aufgaben, Zeiteinträge mit Start- und Endzeiten, zugehörige Notizen sowie Auswertungen. Diese Inhalte werden gespeichert und sind den jeweiligen Mitgliedern des Workspaces sichtbar, um die gemeinsame Arbeit und Auswertung zu ermöglichen. Im Rahmen der Echtzeit-Präsenz ist für Mitglieder eines Workspaces sichtbar, wer gerade an welchem Projekt bzw. welcher Aufgabe arbeitet. Lädst du jemanden in einen Workspace ein, ist dessen Benutzername bzw. E-Mail-Adresse für die Einladung erforderlich.

Rechtsgrundlage ist die Bereitstellung der von dir genutzten Funktionen (Art. 6 Abs. 1 lit. b DSGVO).

7. E-Mail-Versand

Für den Versand von System-E-Mails (Bestätigung der E-Mail-Adresse und Zurücksetzen des Passworts) nutzen wir den Dienst Resend (Resend, Inc., USA) mit Verarbeitung in der EU-Region (Irland) über die verifizierte Absenderdomain mg.plantimes.de. Dabei werden die Empfänger-E-Mail-Adresse und der Inhalt der jeweiligen Nachricht verarbeitet. Soweit dabei eine Übermittlung in die USA erfolgt, ist diese durch Standardvertragsklauseln abgesichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

8. Kontaktformular

Wenn du unser Kontaktformular nutzt, verarbeiten wir die von dir angegebenen Daten (Name, E-Mail-Adresse und Nachricht), um deine Anfrage zu beantworten. Die Übermittlung des Formulars läuft über unsere bei Cloudflare gehostete Website; der Versand an unser Postfach erfolgt per E-Mail über den oben genannten Dienst Resend. Die Nachricht wird nicht dauerhaft in einer Datenbank gespeichert.

Rechtsgrundlage ist unser berechtigtes Interesse an der Beantwortung deiner Anfrage bzw. die Anbahnung oder Erfüllung eines Nutzungsverhältnisses (Art. 6 Abs. 1 lit. f und b DSGVO). Zur Abwehr von automatisiertem Spam setzen wir technische Maßnahmen ein (verstecktes Prüffeld sowie eine Begrenzung der Anfragen).

9. Empfänger und Auftragsverarbeiter

Eine Übermittlung deiner Daten findet nur im beschriebenen Umfang an die genannten Dienstleister statt, die für uns als Auftragsverarbeiter tätig werden (insbesondere Cloudflare für Auslieferung, DNS und den verschlüsselten Tunnel sowie Resend für den E-Mail-Versand). Die API und die Datenbank werden auf einem privaten Server des Betreibers in Deutschland betrieben; netcup ist lediglich die Stelle, über die die Domain registriert ist. Eine darüber hinausgehende Weitergabe an Dritte – etwa zu Werbezwecken – erfolgt nicht.

10. Speicherdauer

Daten deines Nutzerkontos und deiner Inhalte werden gespeichert, solange dein Konto besteht. Du kannst dein Konto jederzeit in den Kontoeinstellungen löschen; dabei werden deine personenbezogenen Daten gelöscht. Nachrichten aus dem Kontaktformular werden nicht in einer Datenbank gespeichert; die per E-Mail eingegangenen Anfragen löschen wir, sobald sie nicht mehr benötigt werden. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

11. Deine Rechte

Dir stehen nach der DSGVO folgende Rechte zu:

• Auskunft über die zu dir gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)

Zur Ausübung deiner Rechte genügt eine Nachricht an die oben genannte Adresse. Zudem hast du das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für uns zuständig ist die Landesbeauftragte für den Datenschutz Niedersachsen.

12. Datensicherheit

Die Übertragung der Daten erfolgt verschlüsselt (TLS). Passwörter werden ausschließlich als sicherer Hash gespeichert. Trotz sorgfältiger technischer und organisatorischer Maßnahmen kann eine absolute Sicherheit bei der Datenübertragung im Internet nicht garantiert werden.

13. Aktualität und Änderung

Diese Datenschutzerklärung hat den Stand Juni 2026. Durch die Weiterentwicklung der Plattform oder aufgrund geänderter rechtlicher Vorgaben kann es notwendig werden, diese Erklärung anzupassen.

Stand: Juni 2026