Datenschutzerklärung
Informationen zum Umgang mit Ihren Daten
Stand: Januar 2026
1. Datenschutz auf einen Blick
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.
2. Verantwortliche Stelle
Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:
Balane GmbH
Balanstraße 84
81541 München
Deutschland
Geschäftsführer: Jonas David Höttler
E-Mail: contact@balane.tech
3. Hosting
Diese Website wird bei Vercel Inc. (San Francisco, USA) gehostet. Bei der Nutzung der Website werden technische Daten (IP-Adresse, Browsertyp, Zugriffszeitpunkt) in Server-Logs erfasst. Der Datentransfer in die USA erfolgt auf Basis des EU-US Data Privacy Framework, für das Vercel zertifiziert ist.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Website-Bereitstellung).
Server-Log-Dateien
Beim Aufruf dieser Website werden automatisch Daten erfasst, die Ihr Browser übermittelt und in Logfiles unseres Hosting-Anbieters (Vercel) gespeichert werden: IP-Adresse, Datum und Uhrzeit des Zugriffs, Name und URL der abgerufenen Datei, übertragene Datenmenge, HTTP-Statuscode, verwendeter Browser inkl. Version, Betriebssystem, Referrer-URL. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem störungsfreien Betrieb und der IT-Sicherheit). Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Speicherdauer: 14 Tage, danach automatische Löschung. Bei konkreten Anhaltspunkten für missbräuchliche Nutzung (z.B. Brute-Force, DDoS) behalten wir uns vor, einzelne Log-Einträge länger aufzubewahren.
SSL-/TLS-Verschlüsselung
Diese Website nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie am „https://" in der Adresszeile und am Schloss-Symbol Ihres Browsers. Bei aktivierter SSL-/TLS-Verschlüsselung können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.
4. Datenerfassung auf dieser Website
Website-Analyse (Umami)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. § 25 Abs. 1 TTDSG. Das Analyse-Script wird ausschließlich nach Ihrer aktiven Zustimmung über den Cookie-Banner geladen. Zweck: statistische Auswertung der Website-Nutzung zur Verbesserung unseres Angebots (Seitenaufrufe, ungefähre Herkunftsregion, verwendete Browser). Eingesetzte Technologie: Umami (Open-Source-Analyse-Software). Wir betreiben eine eigene Umami-Instanz auf der Plattform Railway Corp. (548 Market St, PMB 80970, San Francisco, CA 94104, USA); die Verarbeitungsserver stehen im Rechenzentrum Amsterdam (Niederlande). Aufgrund des US-Sitzes von Railway besteht eine theoretische Drittland-Relevanz; der Anbieter ist unter dem EU-US Data Privacy Framework zertifiziert und mit uns bestehen ergänzend EU-Standardvertragsklauseln (SCC, 2021/914). Datenkategorien: gekürzte/gehashte IP-Adresse, User-Agent, Referrer, angeforderte URL, Zeitstempel, ungefähre Region. Umami setzt keine persistenten Cookies; ein Session-Identifier wird ausschließlich im Local Storage Ihres Browsers abgelegt. Speicherdauer: 12 Monate aggregiert, danach automatische Löschung. Widerruf: jederzeit mit Wirkung für die Zukunft über den Cookie-Banner möglich. Umami ist so konzipiert, dass:
- personenbezogene Daten auf das technisch notwendige Minimum reduziert werden
- keine persistenten Cookies gesetzt werden
- IP-Adressen nicht im Klartext gespeichert werden (gekürzt/gehasht)
- kein Profiling und kein geräteübergreifendes Tracking stattfindet
Registrierung / Kontaktformular
Wenn Sie sich bei uns registrieren oder uns kontaktieren, werden Ihre Angaben zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen gespeichert. Diese Daten werden nicht ohne Ihre Einwilligung weitergegeben.
Anmeldung mit Apple (Sign in with Apple)
Sie können sich alternativ zur klassischen E-Mail-Anmeldung mit Ihrer Apple-ID anmelden (Sign in with Apple). Dabei authentifiziert Sie Apple, und es werden an uns folgende Daten übermittelt: eine anonymisierte Apple-Benutzerkennung, Ihre E-Mail-Adresse (bzw. eine von Apple generierte Weiterleitungsadresse im Format @privaterelay.appleid.com, falls Sie „E-Mail verbergen" gewählt haben) und — einmalig beim allerersten Anmelden — optional Ihr Vor- und Nachname. Weitere Daten erhalten wir von Apple nicht; insbesondere keine Kontaktdaten, Standort oder Geräte-Kennungen. Anbieter: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung) sowie — soweit Sie der Anmeldung zugestimmt haben — Art. 6 Abs. 1 lit. a DSGVO. Drittlandübermittlung erfolgt auf Basis des EU-US Data Privacy Framework und ergänzender Standardvertragsklauseln. Sie können die Verbindung jederzeit in Ihren Apple-ID-Einstellungen (appleid.apple.com → „Mit Apple anmelden") widerrufen. Details: https://www.apple.com/legal/privacy/de-ww/.
5. Externe Dienste
Supabase (Authentifizierung & Datenbank)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992, mit Konzern-Niederlassung in den USA (Delaware). Die von uns genutzten Verarbeitungsserver stehen ausschließlich in der Region Frankfurt am Main (Deutschland/EU). Datenkategorien: E-Mail, Passwort-Hash (keine Klartext-Speicherung), Profildaten (Name, Firmendaten soweit freiwillig angegeben), Angebots- und Rechnungsinhalte, Kunden- und Positionsdaten. Drittlandrelevanz: Trotz EU-Hosting besteht aufgrund des Konzern-Sitzes in den USA eine theoretische Zugriffsmöglichkeit durch den US-Anteil (insb. CLOUD Act). Ergänzend vereinbart: EU-Standardvertragsklauseln (SCC, 2021/914) sowie Auftragsverarbeitungsvertrag (DPA) nach Art. 28 DSGVO. Speicherdauer: für die Dauer Ihres Accounts; nach Account-Löschung werden personenbezogene Daten innerhalb von 30 Tagen vollständig entfernt (Ausnahme: gesetzliche Aufbewahrungspflichten). Weitere Informationen: https://supabase.com/privacy.
Stripe (Zahlungsabwicklung)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Abonnement-Vertrags). Anbieter: Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA; für EU-Vorgänge Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Datenkategorien: Name, E-Mail-Adresse, Rechnungs- und ggf. Lieferadresse, Zahlungsdaten (die vollständigen Kreditkartennummern werden nicht an uns übermittelt, sondern direkt von Stripe tokenisiert), Transaktions-ID, IP-Adresse. Zweck: Abwicklung Ihrer Zahlung, Betrugsprävention und Erfüllung steuerrechtlicher Pflichten. Drittlandtransfer: Stripe verarbeitet Daten auch in den USA. Grundlage: EU-US Data Privacy Framework (Stripe Inc. ist zertifiziert) sowie ergänzend EU-Standardvertragsklauseln (SCC, 2021/914). Zwischen uns und Stripe besteht ein Auftragsverarbeitungsvertrag (DPA) nach Art. 28 DSGVO. Zertifizierung: Stripe ist nach PCI-DSS Level 1 zertifiziert. Speicherdauer: gesetzliche Aufbewahrungsfristen (bis zu 10 Jahre nach HGB §257, AO §147 für abrechnungsrelevante Daten); nicht-abrechnungsrelevante Daten werden spätestens nach 12 Monaten nach Ende der Geschäftsbeziehung gelöscht. Datenschutzerklärung Stripe: https://stripe.com/de/privacy.
Zammad (Support-System)
Für Support-Anfragen nutzen wir Zammad, ein selbst-gehostetes Ticket-System. Das System läuft auf Servern der Hetzner Online GmbH in Deutschland. Eine Übermittlung in Drittländer findet nicht statt. Bei der Erstellung eines Support-Tickets werden Ihr Name, Ihre E-Mail-Adresse und Ihre Nachricht gespeichert.
Brevo (E-Mail-Versand)
Für den Versand von transaktionalen E-Mails (z.B. Registrierungsbestätigung, Passwort-Reset, Rechnungs- und Abo-Mitteilungen) nutzen wir Brevo (ehemals Sendinblue), Anbieter: Sendinblue SAS, 7 rue de Madrid, 75008 Paris, Frankreich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Kommunikation). Die Verarbeitung erfolgt auf EU-Servern; ein Auftragsverarbeitungsvertrag (DPA) nach Art. 28 DSGVO ist vereinbart. Datenkategorien: E-Mail-Adresse, Name und E-Mail-Inhalt (inkl. Zustell- und Öffnungsstatus zur Zustellbarkeits-Kontrolle). Speicherdauer: Versand- und Zustellprotokolle maximal 12 Monate nach dem letzten Kontakt, abrechnungsrelevante Mails gemäß gesetzlicher Aufbewahrungspflichten (bis 10 Jahre).
Odoo CRM (Lead-Verwaltung)
Für die Verwaltung von Kontaktanfragen nutzen wir Odoo CRM. Das System ist selbst gehostet auf Servern in Deutschland (Hetzner). Es erfolgt keine Übermittlung in Drittländer.
KI-Dienste (Textgenerierung)
Für die optionale KI-gestützte Textgenerierung bei der Angebotserstellung können folgende Dienste genutzt werden: OpenAI (USA), Anthropic (USA) und Mistral AI (Frankreich). Die Nutzung ist freiwillig und erfordert eine aktive Nutzerhandlung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an KI-gestützter Funktionalität). Der Datentransfer in die USA erfolgt auf Basis des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) sowie zusätzlich abgeschlossener EU-Standardvertragsklauseln (SCC, 2021/914). Mit den Anbietern bestehen Auftragsverarbeitungsverträge (DPA). Übermittelt werden ausschließlich die zur jeweiligen Textgenerierung notwendigen Inhalte; die Daten werden von den Anbietern nicht zum Modelltraining verwendet (API-Zugriff).
OpenReplay (Session Replay, selbst gehostet)
Zur Analyse und Verbesserung der Benutzerfreundlichkeit unserer öffentlichen Webseiten setzen wir OpenReplay ein – eine Open-Source-Software für Session Replay. Die OpenReplay-Instanz wird von uns selbst (Balane GmbH) auf eigenen Servern unter der Domain replay.balane.tech betrieben; es findet keine Übermittlung an Dritte und keine Drittlandübermittlung statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDSG – Einwilligung über den Cookie-Banner (separate Kategorie „Session Replay“). Zweck: Fehleranalyse, Verbesserung von Navigation und UX. Aufgezeichnete Datenkategorien: DOM-Veränderungen, Klicks, Mausbewegungen, Scroll-Verhalten, Browser- und Gerätedaten, Netzwerk-Metadaten, gekürzte IP-Adresse, Konsolen-Logs. Formulareingaben, Zahlen und E-Mail-Adressen werden bereits auf dem Client maskiert (Privacy by Default, Art. 25 DSGVO). Der eingeloggte App-Bereich (/app/*) wird nicht aufgezeichnet. Speicherdauer: maximal 30 Tage, danach automatische Löschung. Widerruf: jederzeit mit Wirkung für die Zukunft über den Link „Cookie-Einstellungen“ im Footer. Das „Do Not Track“-Signal Ihres Browsers wird respektiert; in diesem Fall wird OpenReplay auch bei erteilter Einwilligung nicht geladen.
Datenübermittlung in Drittländer
Einige der von uns eingesetzten Dienste (insbesondere die KI-Anbieter sowie Stripe und Brevo) verarbeiten Daten in den USA. Rechtliche Grundlage der Übermittlung: (1) Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF, gültig seit 10.07.2023) für entsprechend zertifizierte Anbieter, und (2) ergänzend EU-Standardvertragsklauseln (SCC) nach Durchführungsbeschluss 2021/914. Wir haben mit allen Dienstleistern Auftragsverarbeitungsverträge (DPA) gemäß Art. 28 DSGVO abgeschlossen. Sie können auf Anfrage Kopien der eingesetzten Garantien erhalten.
Verarbeitung von Kundendaten (B2B-Nutzer als Verantwortliche)
Soweit Sie als gewerblicher Nutzer unserer Software Daten Ihrer eigenen Kunden (Namen, E-Mail, Anschrift, Rechnungsposten) eingeben, fungieren Sie gegenüber diesen Endkunden als datenschutzrechtlich Verantwortlicher (Art. 4 Nr. 7 DSGVO). Wir verarbeiten diese Daten ausschließlich in Ihrem Auftrag und nach Ihren Weisungen (Art. 28 DSGVO). Der Auftragsverarbeitungsvertrag (AVV / DPA) ist Bestandteil unserer Allgemeinen Geschäftsbedingungen und kommt mit Annahme der AGB automatisch zustande. Die eingesetzten technischen und organisatorischen Maßnahmen (TOMs) sind ebenfalls dort dokumentiert. Eine separate Unterzeichnung ist nicht erforderlich; auf Wunsch stellen wir Ihnen eine Kopie im PDF-Format zur Verfügung.
Keine automatisierte Entscheidungsfindung
Wir treffen keine Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen, ausschließlich auf Grundlage einer automatisierten Verarbeitung – einschließlich Profiling – im Sinne des Art. 22 DSGVO.
Schutz Minderjähriger
Unser Angebot richtet sich an Gewerbetreibende, Selbstständige und Unternehmen. Die Website und unsere Dienste sind nicht für Kinder unter 16 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass ein Kind unter 16 Jahren uns personenbezogene Daten übermittelt hat, werden wir diese unverzüglich löschen.
Widerruf Ihrer Einwilligung
Soweit die Datenverarbeitung auf Ihrer Einwilligung beruht (z.B. Analyse per Umami, optionale KI-Funktionen), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt vom Widerruf unberührt (Art. 7 Abs. 3 DSGVO). Den Widerruf der Analyse-Einwilligung können Sie über den Cookie-Banner aussprechen, andere Einwilligungen per E-Mail an contact@balane.tech.
6. Ihre Rechte
Sie haben jederzeit folgende Rechte bezüglich Ihrer personenbezogenen Daten:
Recht auf Auskunft über Ihre gespeicherten Daten
Recht auf Korrektur unrichtiger Daten
Recht auf Löschung Ihrer Daten
Recht auf Übertragung Ihrer Daten (Art. 20)
Recht auf Einschränkung der Verarbeitung (Art. 18)
Recht auf Widerspruch gegen die Verarbeitung (Art. 21)
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: contact@balane.tech
7. Beschwerderecht
Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:
Bayerisches Landesamt für Datenschutzaufsicht
Promenade 18, 91522 Ansbach
www.lda.bayern.de
Fragen? Kontaktieren Sie uns unter contact@balane.tech