Werkzeu.ge

Datenschutzerklärung

Stand: 23. Februar 2026

Wir nehmen den Schutz deiner Daten ernst. Diese Datenschutzerklärung informiert dich darüber, welche Daten wir erheben, warum wir sie erheben, wie wir sie schützen und welche Rechte du hast. Kurzfassung: Alle Server stehen in Deutschland, wir verwenden keine Tracking-Cookies, keine Google-Dienste, keine KI-Verarbeitung, und wir verkaufen keine Daten.

1. Verantwortlicher (Art. 4 Nr. 7, Art. 13 Abs. 1 lit. a DSGVO)

Cryon UG (haftungsbeschränkt)
Landsberger Str. 35
04157 Leipzig
Deutschland

Geschäftsführer: Jonas Kutavicius
E-Mail: info@werkzeu.ge

Einen gesonderten Datenschutzbeauftragten haben wir derzeit nicht bestellt, da wir die Voraussetzungen des Art. 37 DSGVO / § 38 BDSG nicht erfüllen. Für alle datenschutzrechtlichen Anliegen wende dich bitte an die oben genannte E-Mail-Adresse.

2. Grundsätze der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich nach folgenden Grundsätzen:

  • Datenminimierung: Wir erheben nur die Daten, die für den jeweiligen Zweck tatsächlich erforderlich sind.
  • Zweckbindung: Daten werden nur für den Zweck verwendet, für den sie erhoben wurden.
  • Transparenz: Du erfährst in dieser Erklärung genau, was wir tun und warum.
  • Speicherbegrenzung: Wir löschen Daten, sobald der Verarbeitungszweck entfällt.
  • Kein Datenverkauf: Wir verkaufen, vermieten oder handeln niemals mit deinen Daten.
  • Keine KI-Verarbeitung: Deine Daten werden nicht an KI-Systeme, LLMs oder Dritte zur automatisierten Verarbeitung übermittelt.

3. Hosting & Serverstandort

Unsere gesamte Infrastruktur wird auf dedizierten Servern der Hetzner Online GmbH in Deutschland (Rechenzentren in Nürnberg und Falkenstein) betrieben. Hetzner ist ein deutsches Unternehmen mit Sitz in Gunzenhausen und unterliegt vollständig dem deutschen und europäischen Datenschutzrecht.

Wir nutzen ausdrücklich keine der folgenden Dienste:

  • Amazon Web Services (AWS)
  • Google Cloud Platform
  • Microsoft Azure
  • Cloudflare
  • Vercel

DNS-Auflösung erfolgt über Hetzner DNS (EU). E-Mail-Versand erfolgt über unseren selbst gehosteten SMTP-Server (Postal), ebenfalls auf Hetzner-Servern in Deutschland.

Es findet kein Transfer personenbezogener Daten in Drittländer außerhalb des EWR statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen und sicheren Bereitstellung unserer Dienste).

Auftragsverarbeitung: Hetzner verarbeitet Daten als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

4. Erhobene Daten nach Nutzungsstufe

4.1 Gast (ohne Registrierung)

Wenn du Werkzeu.ge ohne Anmeldung nutzt, erheben wir keine personenbezogenen Daten. Unsere Gast-Werkzeuge laufen vollständig in deinem Browser (clientseitig). Eingaben, Berechnungen und Ergebnisse verlassen deinen Computer nicht.

Beim reinen Seitenaufruf werden folgende technische Daten kurzfristig verarbeitet:

  • IP-Adresse (für den Verbindungsaufbau technisch notwendig)
  • Browsertyp und -version
  • Betriebssystem
  • Referrer-URL
  • Zeitpunkt des Zugriffs

Diese Daten werden in Server-Logfiles gespeichert und nach 7 Tagen automatisch gelöscht. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung und Absicherung der Website).

4.2 Kostenloser Account (Free)

Bei der Registrierung speichern wir:

  • E-Mail-Adresse
  • Anzeigename (frei gewählt)
  • Spracheinstellung (Deutsch, Englisch oder Ukrainisch)
  • Abonnement-Status
  • Registrierungsdatum

Passwörter: Wenn du dich per Magic Link anmeldest, speichern wir kein Passwort. Wenn du optional ein Passwort setzt, speichern wir ausschließlich einen kryptographischen Hash (bcrypt/argon2) — das Klartext-Passwort wird nie gespeichert und ist nicht rekonstruierbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.3 Plus-Abonnement

Zusätzlich zu den Free-Daten:

  • Dateien: Hochgeladene und erstellte Dateien werden auf Hetzner Object Storage (S3-kompatibel) in Deutschland gespeichert.
  • Amtsprofil (Identitätstresor): Deine persönlichen Daten im Amtsprofil (Name, Adresse, Steuer-ID, etc.) werden clientseitig verschlüsselt, bevor sie unseren Server erreichen. Wir speichern ausschließlich den verschlüsselten Chiffretext (Zero-Knowledge-Architektur). Wir können diese Daten weder lesen noch entschlüsseln.
  • Zahlungsdaten: Siehe Abschnitt 8 (Zahlungsabwicklung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.4 Pro-Abonnement

Zusätzlich zu den Plus-Daten:

  • Community-Inhalte: Beiträge, Kommentare und Chat-Nachrichten werden in unserer PostgreSQL-Datenbank auf deutschen Servern gespeichert.
  • Team-Daten: Bei Team-Nutzung speichern wir die Zuordnung von Mitgliedern zu Teams und deren Berechtigungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Cookies & Local Storage

5.1 Cookies

Wir verwenden ausschließlich technisch notwendige Cookies für die Sitzungsverwaltung. Diese Cookies enthalten keine Tracking-Informationen und dienen allein dazu, dich nach dem Login eingeloggt zu halten.

CookieZweckDauerEigenschaften
session_tokenAuthentifizierung & Sitzung30 Tage (sliding)HTTPOnly, Secure, SameSite=Lax
localeSpracheinstellung1 JahrSecure, SameSite=Lax

Wir setzen keine Tracking-Cookies, keine Werbe-Cookies und keine Cookies von Drittanbietern. Technisch notwendige Cookies werden ohne Einwilligung gesetzt (§ 25 Abs. 2 Nr. 2 TDDDG). Für optionale Kategorien (funktionaler Speicher, Analytik) fragen wir über unser Cookie-Banner um deine Einwilligung. Details findest du in unserer Cookie-Richtlinie.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Funktionsfähigkeit); § 25 Abs. 2 Nr. 2 TDDDG (technische Erforderlichkeit).

5.2 Local Storage

Wir nutzen die Local-Storage-Funktion deines Browsers, um Entwurfsdaten (z. B. halb ausgefüllte Formulare) zwischenzuspeichern, damit du bei einem versehentlichen Schließen des Tabs nichts verlierst. Diese Daten:

  • Verlassen deinen Browser nicht
  • Werden nach 30 Minuten Inaktivität automatisch gelöscht
  • Werden mit einem werkzeugspezifischen Schlüssel gespeichert (werkzeuge:draft:*)
  • Können von dir jederzeit über die Browser-Einstellungen gelöscht werden

Zusätzlich speichern wir Desktop-Einstellungen (Fensterpositionen, Theme-Auswahl, Hintergrundbild) im Local Storage, damit dein Arbeitsplatz beim nächsten Besuch wiederhergestellt wird.

6. Webanalyse (Plausible Analytics)

Wir nutzen Plausible Analytics in einer selbst gehosteten Instanz auf unseren eigenen Servern in Deutschland. Plausible ist eine datenschutzfreundliche Analysesoftware, die:

  • Keine Cookies setzt
  • Keine personenbezogenen Daten erhebt
  • Keine IP-Adressen speichert oder an Dritte weitergibt
  • Keine nutzerspezifischen Profile erstellt
  • Keine geräteübergreifende Verfolgung ermöglicht

Plausible erstellt ausschließlich aggregierte Statistiken (Seitenaufrufe, Referrer, Gerätekategorien) ohne Rückschluss auf einzelne Besucher.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Websitenutzung zur Verbesserung des Angebots).

7. Authentifizierung

Die Anmeldung erfolgt primär über Magic Links: Du gibst deine E-Mail-Adresse ein und erhältst einen einmaligen Anmeldelink per E-Mail. Dabei wird kein Passwort gespeichert.

Optional kannst du zusätzlich ein Passwort setzen. Dieses wird als kryptographischer Hash gespeichert und ist nicht rekonstruierbar.

Wir verwenden keinen Drittanbieter-Login (kein „Login mit Google/Facebook/Apple“). Deine Authentifizierungsdaten werden ausschließlich auf unseren eigenen Servern verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. Zahlungsabwicklung

Für kostenpflichtige Abonnements (Plus, Pro) nutzen wir folgende Zahlungsdienstleister:

8.1 PayPal

PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxemburg.
Datenschutzerklärung: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

8.2 Klarna

Klarna Bank AB (publ), Sveavägen 46, 111 34 Stockholm, Schweden.
Datenschutzerklärung: https://www.klarna.com/de/datenschutz/

Bei einer Zahlung werden folgende Daten an den jeweiligen Zahlungsdienstleister übermittelt:

  • E-Mail-Adresse
  • Abonnement-Art und Betrag
  • Transaktions-ID

Wir speichern keine Kreditkartendaten, keine Bankverbindungen und keine Zahlungsmittel-Details. Die vollständige Zahlungsabwicklung und Speicherung sensibler Zahlungsdaten erfolgt ausschließlich durch den jeweiligen Dienstleister. Wir speichern lediglich die Transaktions-ID, den Zahlungsstatus und den Zahlungszeitpunkt zur Zuordnung der Buchung.

Mit beiden Zahlungsdienstleistern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO. PayPal und Klarna haben ihren Sitz im EWR. Es findet kein Datentransfer in Drittländer statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Aufbewahrungspflichten für Rechnungsdaten).

9. Dateispeicherung

Dateien, die du als Plus- oder Pro-Nutzer erstellst oder hochlädst, werden auf Hetzner Object Storage (S3-kompatibel) in Deutschland gespeichert. Die Speicherung umfasst:

  • Die Datei selbst
  • Metadaten (Dateiname, Größe, Erstellungsdatum, zugeordnetes Werkzeug)
  • Zugriffsberechtigung (welchem Nutzer die Datei gehört)

Dateien werden bei Kontolöschung vollständig entfernt (siehe Abschnitt 13).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

10. Amtsprofil (Identitätstresor)

Das Amtsprofil ist ein verschlüsselter Identitätstresor, der persönliche Daten (Name, Adresse, Steuer-ID, Familienstand, etc.) speichert, um Formulare automatisch auszufüllen.

Zero-Knowledge-Architektur: Alle Daten im Amtsprofil werden clientseitig in deinem Browser verschlüsselt, bevor sie unsere Server erreichen. Der Schlüssel wird aus deinem Passwort/Token abgeleitet und verlässt deinen Browser nie. Auf unseren Servern liegt ausschließlich verschlüsselter Chiffretext, den wir nicht entschlüsseln können.

Das bedeutet: Selbst bei einem hypothetischen Servereinbruch wären deine Amtsprofil-Daten für Angreifer unbrauchbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für besondere Datenkategorien, sofern du diese freiwillig einträgst).

11. Community-Funktionen

Wenn du Community-Funktionen nutzt (Beiträge, Kommentare, Chat, Gruppen), werden folgende Daten gespeichert:

  • Der Inhalt deiner Beiträge und Kommentare
  • Chat-Nachrichten
  • Gruppenmitgliedschaften
  • Zeitstempel der Aktivitäten
  • Dein öffentlich sichtbarer Anzeigename

Diese Daten werden in unserer PostgreSQL-Datenbank auf Hetzner-Servern in Deutschland gespeichert. Community-Beiträge sind je nach Einstellung öffentlich oder gruppenbeschränkt sichtbar.

Du kannst deine Beiträge jederzeit bearbeiten oder löschen. Bei Kontolöschung werden deine Community-Inhalte anonymisiert oder auf Wunsch vollständig gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

12. E-Mail-Kommunikation

Wir senden dir E-Mails in folgenden Fällen:

  • Magic Links zur Anmeldung — technisch erforderlich, keine Einwilligung nötig
  • Transaktions-E-Mails — Zahlungsbestätigungen, Rechnungen, Abonnement-Änderungen
  • Fristenwarnungen — Erinnerungen an behördliche Fristen, die du selbst eingetragen hast
  • Sicherheitshinweise — ungewöhnliche Anmeldeaktivitäten, Passwortänderungen

Wir versenden keinen Newsletter ohne deine ausdrückliche Einwilligung. Der E-Mail-Versand erfolgt über unseren selbst gehosteten SMTP-Server (Postal) auf Hetzner-Servern in Deutschland. Es wird kein externer E-Mail-Dienstleister genutzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale E-Mails; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für einen eventuellen Newsletter.

13. Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)

VerarbeitungRechtsgrundlage
Server-Logfiles (IP, Browser-Daten)Art. 6 Abs. 1 lit. f (berechtigtes Interesse)
Session-CookieArt. 6 Abs. 1 lit. f (berechtigtes Interesse); § 25 Abs. 2 Nr. 2 TDDDG
Registrierung & Account-DatenArt. 6 Abs. 1 lit. b (Vertragserfüllung)
ZahlungsabwicklungArt. 6 Abs. 1 lit. b (Vertragserfüllung)
Rechnungen & BuchhaltungArt. 6 Abs. 1 lit. c (rechtliche Verpflichtung, § 147 AO, § 257 HGB)
DateispeicherungArt. 6 Abs. 1 lit. b (Vertragserfüllung)
Amtsprofil (verschlüsselt)Art. 6 Abs. 1 lit. b (Vertragserfüllung); Art. 6 Abs. 1 lit. a (Einwilligung) für besondere Kategorien
Community-InhalteArt. 6 Abs. 1 lit. b (Vertragserfüllung)
E-Mail-Versand (transaktional)Art. 6 Abs. 1 lit. b (Vertragserfüllung)
Plausible AnalyticsArt. 6 Abs. 1 lit. f (berechtigtes Interesse)
Sicherheitsmaßnahmen (WAF, Rate Limiting)Art. 6 Abs. 1 lit. f (berechtigtes Interesse)

14. Aufbewahrungsfristen

DatenAufbewahrungGrundlage
Server-Logfiles7 TageBerechtigtes Interesse
Session-Daten30 Tage (oder bis zum Logout)Technische Notwendigkeit
Account-DatenBis zur KontolöschungVertragserfüllung
Dateien (Plus/Pro)Bis zur Löschung durch den Nutzer oder KontolöschungVertragserfüllung
Community-InhalteBis zur Löschung durch den Nutzer oder KontolöschungVertragserfüllung
Rechnungsdaten10 Jahre nach Ende des Kalenderjahres§ 147 AO, § 257 HGB
Zahlungsbelege10 Jahre nach Ende des Kalenderjahres§ 147 AO, § 257 HGB
Local-Storage-Entwürfe30 Minuten (clientseitig, automatisch)Berechtigtes Interesse

Nach Ablauf der gesetzlichen Aufbewahrungsfristen werden die Daten automatisch gelöscht. Bei Kontolöschung werden alle nicht gesetzlich aufbewahrungspflichtigen Daten innerhalb von 30 Tagen gelöscht.

15. Deine Rechte

Du hast gemäß der DSGVO folgende Rechte:

15.1 Auskunftsrecht (Art. 15 DSGVO)

Du hast das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten von dir verarbeitet werden, und gegebenenfalls Auskunft über diese Daten sowie eine Kopie zu erhalten.

15.2 Recht auf Berichtigung (Art. 16 DSGVO)

Du hast das Recht, die Berichtigung unrichtiger Daten und die Vervollständigung unvollständiger Daten zu verlangen. Die meisten Daten kannst du direkt in deinen Profileinstellungen ändern.

15.3 Recht auf Löschung (Art. 17 DSGVO)

Du hast das Recht, die Löschung deiner personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Du kannst dein Konto jederzeit in den Einstellungen löschen. Eine Löschung ist auch per E-Mail an info@werkzeu.ge möglich.

15.4 Recht auf Einschränkung (Art. 18 DSGVO)

Du hast das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn du die Richtigkeit der Daten bestreitest, die Verarbeitung unrechtmäßig ist, wir die Daten nicht mehr benötigen oder du Widerspruch eingelegt hast.

15.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Du hast das Recht, deine Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Wir bieten einen Datenexport in den Profileinstellungen an.

15.6 Widerspruchsrecht (Art. 21 DSGVO)

Du hast das Recht, gegen die Verarbeitung deiner Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) Widerspruch einzulegen. Wir stellen die Verarbeitung dann ein, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.

15.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf deiner Einwilligung beruht, kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen.

Ausübung deiner Rechte: Schreib uns einfach an info@werkzeu.ge. Wir antworten innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO). In den allermeisten Fällen geht es schneller.

16. Beschwerderecht bei einer Aufsichtsbehörde

Du hast gemäß Art. 77 DSGVO das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Sächsischer Datenschutz- und Transparenzbeauftragter
Devrientstraße 5
01067 Dresden
Website: https://www.datenschutz.sachsen.de

17. Sicherheitsmaßnahmen

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um deine Daten zu schützen:

  • Transportverschlüsselung: Alle Verbindungen sind TLS-verschlüsselt (HTTPS). Interne Kommunikation zwischen Servern nutzt eine eigene Zertifizierungsstelle (Private CA).
  • Web Application Firewall: CrowdSec und Coraza WAF schützen gegen gängige Angriffsvektoren (SQL Injection, XSS, CSRF, etc.) — selbst gehostet, keine Drittanbieter.
  • Rate Limiting: Schutz gegen Brute-Force-Angriffe und Missbrauch.
  • Zero-Knowledge-Verschlüsselung: Besonders sensible Daten (Amtsprofil) werden clientseitig verschlüsselt. Wir können den Klartext nicht einsehen.
  • Passwort-Hashing: Optionale Passwörter werden mit bcrypt/argon2 gehasht.
  • HTTPOnly-Cookies: Session-Cookies sind nicht per JavaScript auslesbar.
  • Regelmäßige Backups: Verschlüsselte Backups auf separaten Servern.
  • Verschlüsselte Secrets: Alle Zugangsdaten und Schlüssel werden verschlüsselt gespeichert (SOPS).
  • Zugriffsbeschränkung: Zugriff auf Produktivserver nur über verschlüsseltes VPN (WireGuard).

18. Kein Datentransfer in Drittländer

Alle personenbezogenen Daten werden ausschließlich auf Servern in Deutschland bzw. innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet und gespeichert. Es findet kein Transfer in Länder außerhalb des EWR statt. Unsere Zahlungsdienstleister PayPal (Luxemburg) und Klarna (Schweden) haben ebenfalls ihren Sitz im EWR.

19. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt. Wir nutzen keine KI-Systeme oder maschinelles Lernen zur Verarbeitung deiner Daten.

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Die aktuelle Version findest du immer auf dieser Seite. Bei wesentlichen Änderungen, die deine Rechte betreffen, informieren wir registrierte Nutzer per E-Mail.

21. Kontakt

Bei Fragen zum Datenschutz, zur Ausübung deiner Rechte oder zu dieser Datenschutzerklärung erreichst du uns unter:

Cryon UG (haftungsbeschränkt)
Landsberger Str. 35
04157 Leipzig
E-Mail: info@werkzeu.ge