PlanWell
Anmelden
Kostenlos starten

Rechtliches

Datenschutzerklärung

Zuletzt aktualisiert: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist der Betreiber der Plattform PlanWell unter der Domain planwell.space.

Bei Fragen zum Datenschutz wenden Sie sich bitte per E-Mail an: support@planwell.space

2. Geltungsbereich

Diese Datenschutzerklärung gilt für alle Verarbeitungstätigkeiten im Zusammenhang mit der Nutzung der PlanWell-Plattform unter planwell.space sowie aller dazugehörigen Subdomain und API-Endpunkte. Sie richtet sich an alle registrierten Nutzer, Organisationsadministratoren sowie Besucher der öffentlich zugänglichen Bereiche.

3. Erhobene Daten

Wir erheben und verarbeiten folgende Kategorien personenbezogener Daten:

3.1 Kontodaten (bei Registrierung)

  • Name (Vor- und Nachname)
  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert, kein Klartextzugriff)
  • Profilbild (optional, sofern vom Nutzer hochgeladen)

3.2 Nutzungsdaten innerhalb der Anwendung

  • Projektanträge, Beschreibungen, Bewertungen und Kommentare
  • Fortschritts-Updates und Statusmeldungen zu Projekten
  • Rollenzuweisungen und Organisationsmitgliedschaften
  • Einladungstoken und Onboarding-Aktivitäten

3.3 Technische Daten

  • IP-Adresse bei Zugriffen (in Server-Logs, kurzfristig gespeichert)
  • Browser-Typ und -Version, Betriebssystem
  • Zugriffszeitpunkte und aufgerufene URLs
  • Referrer-URL (sofern vorhanden)

3.4 Sitzungs- und Authentifizierungsdaten

  • Sitzungstoken (Session Cookies) zur Aufrechterhaltung der Anmeldung
  • JWT-Tokens zur sicheren Kommunikation zwischen Diensten

4. Cookies und lokale Speicherung

PlanWell verwendet Cookies und vergleichbare Technologien ausschließlich, soweit sie für den Betrieb des Dienstes technisch notwendig sind. Es werden keine Werbe-Cookies, Tracking-Cookies oder Cookies von Werbenetzwerken Dritter eingesetzt.

Eingesetzte Cookie-Typen:

  • Authentifizierungs-Cookies (Clerk): Technisch notwendig zur Verwaltung der Nutzersitzung. Ohne diese Cookies ist eine Anmeldung nicht möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • CSRF-Schutz-Cookies: Schützen vor Cross-Site-Request-Forgery-Angriffen. Technisch notwendig. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).

Da ausschließlich technisch notwendige Cookies eingesetzt werden, ist kein Cookie-Consent-Banner erforderlich. Sie können Cookies in Ihrem Browser deaktivieren, die Nutzung des Dienstes ist dann jedoch nicht möglich.

5. Tracking und Analyse

PlanWell verwendet kein Web-Analytics, kein Conversion-Tracking und keine Remarketing-Pixel (z. B. kein Google Analytics, kein Meta Pixel, kein Hotjar o. ä.). Es erfolgt keine Profilerstellung zu Werbezwecken.

Technische Logs (siehe Abschnitt 3.3) dienen ausschließlich der Fehlerbehebung und dem sicheren Betrieb. Sie werden nicht mit externen Analyse-Diensten geteilt.

6. Zweck der Verarbeitung

Ihre Daten werden ausschließlich für folgende Zwecke verarbeitet:

  • Bereitstellung, Betrieb und Weiterentwicklung der PlanWell-Plattform
  • Authentifizierung, Sitzungsverwaltung und Zugriffskontrolle
  • Erfüllung des Nutzungsvertrags (Projektmanagement-Funktionen)
  • Technische Sicherheit und Schutz vor Missbrauch
  • Beantwortung von Support- und Kontaktanfragen
  • Einhaltung gesetzlicher Verpflichtungen

7. Rechtsgrundlagen der Verarbeitung

  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Verarbeitung zur Erbringung der mit Ihnen vereinbarten Dienstleistung (Plattformbetrieb, Kontoverwaltung)
  • Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: z. B. gesetzliche Aufbewahrungspflichten
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Technische Sicherheit, Betrieb und Schutz der Plattform vor Angriffen und Missbrauch
  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Soweit Sie optional Daten angeben (z. B. Profilbild), erfolgt dies auf Basis Ihrer freiwilligen Einwilligung

8. Drittanbieter und Auftragsverarbeitung

Wir setzen folgende Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit allen Anbietern bestehen entsprechende Auftragsverarbeitungsverträge (AVV):

Clerk, Inc. (Authentifizierung)

  • Zweck: Nutzerregistrierung, Anmeldung, Sitzungsverwaltung
  • Sitz: USA – Datenübermittlung auf Basis von Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO
  • Datenschutzinformationen: clerk.com/privacy

Convex, Inc. (Datenbank & Backend)

  • Zweck: Speicherung aller Anwendungsdaten (Projekte, Organisationen, Nutzerdaten)
  • Sitz: USA – Datenübermittlung auf Basis von SCCs gem. Art. 46 Abs. 2 lit. c DSGVO
  • Datenschutzinformationen: convex.dev/privacy

Vercel, Inc. (Hosting & CDN)

  • Zweck: Hosting der Webanwendung, Auslieferung von Inhalten über CDN
  • Sitz: USA – Vercel betreibt auch EU-Infrastruktur; Datenübermittlung auf Basis von SCCs gem. Art. 46 Abs. 2 lit. c DSGVO
  • Datenschutzinformationen: vercel.com/legal/privacy-policy

Alle genannten Anbieter sind vertraglich verpflichtet, personenbezogene Daten ausschließlich nach unserer Weisung und DSGVO-konform zu verarbeiten. Eine Weitergabe an weitere Dritte oder eine Nutzung zu eigenen Zwecken erfolgt nicht.

9. Drittlandübermittlung

Die unter Abschnitt 8 genannten Anbieter haben ihren Sitz in den USA. Bei Drittlandübermittlungen in die USA stützen wir uns auf die von der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO genehmigten Standardvertragsklauseln (SCCs) sowie – soweit zutreffend – auf das EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795).

Trotz dieser Schutzmaßnahmen weisen wir darauf hin, dass das Datenschutzniveau in den USA vom europäischen Standard abweichen kann. Durch die genannten Instrumente wird ein angemessenes Schutzniveau sichergestellt.

10. Speicherdauer

  • Kontodaten: Für die Dauer der aktiven Kontonutzung. Nach Kontolöschung werden Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Projektdaten (Anträge, Updates, Kommentare): Für die Dauer der Organisationsmitgliedschaft des Nutzers. Organisationsdaten werden bei Auflösung der Organisation vollständig gelöscht.
  • Server-Logs (technische Daten): In der Regel 7–30 Tage, danach automatische Löschung.
  • Einladungstoken: Automatische Löschung nach 7 Tagen oder bei Verwendung.
  • Gesetzliche Aufbewahrungspflichten: Soweit gesetzliche Pflichten (z. B. handels- oder steuerrechtliche Aufbewahrungsfristen) bestehen, werden betroffene Daten für die gesetzlich vorgeschriebene Dauer aufbewahrt.

11. Ihre Rechte

Als betroffene Person stehen Ihnen folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten, deren Herkunft, Empfänger und Verarbeitungszwecke verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten oder direkt an einen anderen Verantwortlichen übermitteln lassen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) jederzeit widersprechen.
  • Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf Ihrer Einwilligung basiert, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Zur Ausübung Ihrer Rechte wenden Sie sich per E-Mail an: support@planwell.space. Wir bearbeiten Ihre Anfrage innerhalb von 30 Tagen.

12. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich jederzeit bei einer zuständigen Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist in der Regel die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Eine Liste aller deutschen Datenschutz-Aufsichtsbehörden finden Sie auf der Website der Datenschutzkonferenz (DSK) unter datenschutzkonferenz-online.de.

13. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz Ihrer Daten gemäß Art. 32 DSGVO. Hierzu gehören insbesondere:

  • Verschlüsselte Übertragung aller Daten via TLS/HTTPS
  • Verschlüsselte Speicherung von Passwörtern (kein Klartextzugriff)
  • Rollenbasierte Zugriffskontrolle innerhalb der Anwendung
  • Mandantentrennung (Multi-Tenancy): Organisationsdaten sind strikt voneinander isoliert
  • Regelmäßige Sicherheitsupdates der eingesetzten Infrastruktur

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, um sie an geänderte rechtliche Anforderungen oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Version ist stets auf dieser Seite verfügbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.

Nutzungsbedingungen