Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

red root GmbH
Max-Schnös-Weg 17
96148 Baunach
Deutschland

Vertreten durch: Julian von Westberg
E-Mail: redrootinnovations@gmail.com

2. Allgemeine Hinweise zur Datenverarbeitung

2.1 Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

2.2 Rechtsgrundlagen

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei Verarbeitungen zur Erfüllung eines Vertrags dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Soweit eine Verarbeitung zur Wahrung eines berechtigten Interesses erforderlich ist, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

3. Benutzerkonto und Authentifizierung (Magic Link)

Um die Stakeholder Map geräteübergreifend nutzen zu können, ist ein Benutzerkonto erforderlich. Die Anmeldung erfolgt ausschließlich über einen sogenannten Magic Link – ein passwortloses Verfahren, bei dem Ihnen ein einmaliger Login-Link per E-Mail zugesendet wird.

Bei der Registrierung und Anmeldung verarbeiten wir folgende Daten:

• E-Mail-Adresse – zur Zustellung des Login-Links und als eindeutige Kennung Ihres Kontos.
• Name, Wohnort, Arbeitsort (freiwillige Angabe) – zur Personalisierung Ihres Profils innerhalb der App.
• Session-Token – ein zufällig generierter Schlüssel, der nach erfolgreicher Anmeldung in Ihrem Browser (localStorage) und in unserer Datenbank gespeichert wird. Dieser Token ermöglicht die Zuordnung Ihrer Sitzung zu Ihrem Konto für die Dauer von 30 Tagen.
• Zeitstempel der Anmeldung – zur Verwaltung der Sitzungsgültigkeit.

Der Magic Link ist 15 Minuten gültig und kann nur einmal verwendet werden. Es werden keine Passwörter gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des Dienstes) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, passwortlosen Anmeldeverfahren).

4. Serverseitige Datenspeicherung

Ab Version 1.1 werden Ihre Stakeholder-Daten serverseitig in einer Datenbank gespeichert, um die geräteübergreifende Nutzung zu ermöglichen. Folgende Daten werden in der Datenbank verarbeitet:

• Kontaktdaten Ihrer Stakeholder – Name, Firma, Rolle, E-Mail, Telefon, LinkedIn-Profil, Wohnort, Arbeitsort, Tags, Beziehungsstärke, Priorität, Notizen, nächster Schritt und Verbindungen zu anderen Kontakten.
• Aktivitätsdaten – monatliche Statistiken (Anzahl neu angelegter und gepflegter Kontakte) zur Darstellung im Dashboard.

Sämtliche Daten sind Ihrem Benutzerkonto zugeordnet und für andere Nutzer nicht einsehbar. Zusätzlich wird eine lokale Kopie im Browser-Cache (localStorage) als Fallback gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des Dienstes).

4.1 Lokaler Browser-Cache

Zur Verbesserung der Ladezeit und als Offline-Fallback wird eine Kopie Ihrer Stakeholder-Daten im localStorage Ihres Browsers zwischengespeichert. Die verwendeten Schlüssel sind: sm_session_token, stakeholders_v1, sm_queries_v1, sm_activity_v1.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch unbedingt erforderliche Speicherung) bzw. Art. 6 Abs. 1 lit. f DSGVO.

5. Bereitstellung der Website und Server-Logfiles (Strato)

Diese Website wird über Strato AG (Pascalstraße 10, 10587 Berlin, Deutschland) gehostet. Bei jedem Aufruf werden durch den Webserver automatisch Daten wie IP-Adresse, User-Agent, Datum und Uhrzeit des Zugriffs sowie die aufgerufene Seite in Server-Logfiles erfasst.

Die Datenbank (MariaDB) wird ebenfalls auf Servern der Strato AG in Deutschland betrieben. Strato unterliegt als deutsches Unternehmen unmittelbar der DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen und sicheren Betrieb der Website). Weitere Informationen: https://www.strato.de/datenschutz/.

5.1 E-Mail-Versand (Magic Links)

Der Versand der Login-Links erfolgt über die PHP-Mailfunktion des Strato-Webservers. Dabei wird Ihre E-Mail-Adresse verarbeitet. Es werden keine externen E-Mail-Dienste (z. B. SendGrid, Mailchimp) eingesetzt. Der Versand erfolgt ausschließlich über Server in Deutschland.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des Anmeldevorgangs).

6. Eingesetzte Drittanbieter-Dienste

6.1 Google Fonts

Wir binden die Schriftart „Inter" über Google Fonts ein (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Beim Aufruf der Website wird eine Verbindung zu den Servern von Google hergestellt, wodurch Ihre IP-Adresse an Google übertragen wird. Google erhält dadurch Kenntnis darüber, dass über Ihre IP-Adresse unsere Website aufgerufen wurde.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen, ansprechenden Darstellung unserer Inhalte). Weitere Informationen: https://policies.google.com/privacy.

6.2 Lucide Icons über unpkg (Cloudflare / Cloudflare CDN)

Wir verwenden die Icon-Bibliothek Lucide, die wir über den CDN-Dienst unpkg.com einbinden. Dabei wird Ihre IP-Adresse an den CDN-Anbieter übertragen. Wir setzen dies aus technischen Gründen zur performanten Darstellung der Benutzeroberfläche ein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

6.3 OpenStreetMap / Nominatim (nur in der App)

Innerhalb der Web-App wird zur optionalen Umwandlung von Städtenamen in Koordinaten (Geocoding) der Dienst Nominatim der OpenStreetMap Foundation (St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, UK) verwendet. Dabei wird der von Ihnen eingegebene Städtename sowie Ihre IP-Adresse an die Server der OSMF übertragen.

Die Übertragung erfolgt ausschließlich, wenn Sie die Karten-Funktion aktiv nutzen und einen Ort eingeben. Es werden keine Namen, Bewertungen oder sonstige personenbezogene Stakeholder-Daten übertragen – nur der Städtename.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktion der Karten-Visualisierung). Weitere Informationen: https://osmfoundation.org/wiki/Privacy_Policy.

6.4 OpenStreetMap Kartenkacheln (Leaflet)

Zur Darstellung der Karte werden Kartenkacheln von den Servern von OpenStreetMap geladen. Hierbei wird ebenfalls Ihre IP-Adresse an OpenStreetMap übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

6.5 Tailwind CSS (CDN)

Zur Darstellung nutzen wir das Tailwind-CSS-Framework via CDN. Hierbei kann Ihre IP-Adresse an den CDN-Anbieter übertragen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

6.6 Werbung (Google AdSense – geplant)

Auf dieser Website ist die Einbindung von Werbeanzeigen über Google AdSense (Google Ireland Limited) vorgesehen. Derzeit werden lediglich Platzhalter angezeigt; eine tatsächliche Auslieferung von AdSense-Werbung erfolgt erst nach Freischaltung. Sobald Werbeanzeigen aktiv ausgeliefert werden, wird diese Datenschutzerklärung um die entsprechenden Hinweise (Cookies, Gerätekennungen, personalisierte Werbung) ergänzt und es wird ein Consent-Banner eingeholt, soweit gesetzlich erforderlich.

7. Cookies und lokale Speicherung

Diese Website setzt keine Tracking-Cookies und keine Cookies zu Marketingzwecken. Die in Abschnitt 4.1 beschriebene localStorage-Nutzung (Session-Token, Cache) ist technisch erforderlich, um die App-Funktionalität bereitzustellen, und stellt nach § 25 Abs. 2 Nr. 2 TTDSG keine einwilligungspflichtige Speicherung dar.

8. Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben zum Zwecke der Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung).

9. Dauer der Speicherung

Personenbezogene Daten werden gelöscht, sobald der Zweck ihrer Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen:

• Benutzerkonto-Daten (E-Mail, Profil, Stakeholder-Daten) – werden gespeichert, solange Ihr Konto besteht. Bei Löschung Ihres Kontos werden alle zugehörigen Daten unverzüglich und vollständig aus der Datenbank entfernt.
• Session-Tokens – verfallen automatisch nach 30 Tagen und werden bei Logout sofort gelöscht.
• Magic Links – verfallen nach 15 Minuten und werden nach einmaliger Verwendung als ungültig markiert.
• Kontaktanfragen per E-Mail – werden spätestens nach Abschluss der Bearbeitung und Ablauf etwaiger Aufbewahrungsfristen gelöscht.

10. Rechte der betroffenen Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)
• Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung dieser Rechte wenden Sie sich bitte an: redrootinnovations@gmail.com.

11. Beschwerderecht bei der Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Für uns zuständig ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 (0) 981 180093-0
E-Mail: poststelle@lda.bayern.de
Web: www.lda.bayern.de

12. Datensicherheit

Wir verwenden innerhalb des Website-Besuchs das verbreitete SSL/TLS-Verfahren (HTTPS) in Verbindung mit der jeweils höchsten Verschlüsselungsstufe, die von Ihrem Browser unterstützt wird. Die .app-Top-Level-Domain erzwingt HTTPS über HSTS-Preloading. Zusätzlich treffen wir technische und organisatorische Sicherheitsmaßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Dazu zählen insbesondere:

• Verschlüsselte Datenbankverbindungen und parametrisierte SQL-Abfragen (Prepared Statements) gegen SQL-Injection.
• Kryptographisch sichere, zufällig generierte Tokens für Sessions und Magic Links.
• Strikte Benutzertrennung – jeder Nutzer hat ausschließlich Zugriff auf seine eigenen Daten.
• Konfigurationsdateien und Datenbankschema sind durch .htaccess-Regeln vor direktem Zugriff geschützt.

13. Datenschutzbeauftragter

Die gesetzlichen Voraussetzungen zur Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO i.V.m. § 38 BDSG liegen derzeit nicht vor. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an den Verantwortlichen (siehe Ziffer 1).

14. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.

15. Löschung des Benutzerkontos

Sie können jederzeit die vollständige Löschung Ihres Benutzerkontos und aller damit verbundenen Daten verlangen, indem Sie uns per E-Mail an redrootinnovations@gmail.com kontaktieren. Nach Bestätigung Ihrer Identität werden Ihr Konto, alle gespeicherten Stakeholder-Daten, Sessions und Magic Links unverzüglich und unwiderruflich aus unserer Datenbank gelöscht (CASCADE-Löschung). Dies betrifft keine lokalen Kopien in Ihrem Browser – diese können Sie selbst über die Browsereinstellungen entfernen.

16. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand April 2026. Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf dieser Seite abgerufen werden.

Stand: April 2026 · v1.1