Datenschutzerklärung

Mit dieser Datenschutzerklärung informieren wir, die baltic pixels UG (haftungsbeschränkt), Gärtnerwinkel 8, 24943 Flensburg („baltic pixels", „wir" oder „uns"), Sie über die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung dieser Website (aktuator.app) sowie unserer mobilen App „aktuator" (nachfolgend „App").

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, E-Mail-Adresse, Nutzer-ID).

I. Verantwortlicher für die Datenverarbeitung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

baltic pixels UG (haftungsbeschränkt)
Gärtnerwinkel 8
24943 Flensburg
Deutschland

E-Mail: datenschutz@balticpixels.de

II. Datenverarbeitung beim Besuch dieser Website

1. Hosting

Diese Website wird bei IONOS SE (Elgendorfer Str. 57, 56410 Montabaur) gehostet. Beim Aufruf der Website werden automatisch Server-Log-Dateien erfasst, die Ihr Browser übermittelt (IP-Adresse, Zeitpunkt, aufgerufene Seite, Browser-Typ, Betriebssystem). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb). Daten werden nach 7 Tagen gelöscht.

2. Webanalyse (Plausible Analytics)

Wir nutzen Plausible Analytics, einen datenschutzfreundlichen Analysedienst der Plausible Insights OÜ (Estland). Plausible erhebt keine personenbezogenen Daten, setzt keine Cookies und erstellt keine Nutzerprofile. Es werden ausschließlich aggregierte Daten erfasst (z. B. Seitenaufrufe, Verweisquelle, Gerätetyp). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Reichweitenmessung). Eine Einwilligung ist nicht erforderlich, da keine personenbezogenen Daten verarbeitet werden.

3. Cookies

Diese Website verwendet keine Cookies und kein weiteres Tracking.

III. Datenverarbeitung bei Nutzung der App

Wir verarbeiten Ihre Daten zu verschiedenen Zwecken und auf Basis unterschiedlicher Rechtsgrundlagen. Im Folgenden geben wir Ihnen einen Überblick über die Datenkategorien:

1. Bestandsdaten (Registrierung und Account)

Sie können sich zur Nutzung der App registrieren. Hierbei verarbeiten wir folgende Daten:

  • E-Mail-Adresse (für Login, Identifikation und Einladungen)
  • Firebase User-ID (automatisch generierte Kennung)
  • Anzeigename (optional, falls von Ihnen vergeben)

Bei Nutzung von „Anmelden mit Apple" oder „Anmelden mit Google" erhalten wir von dem jeweiligen Anbieter Ihre E-Mail-Adresse sowie eine eindeutige Identifikations-ID. Ihr Passwort verbleibt beim Anbieter und wird uns nicht mitgeteilt.

Zweck: Nutzerauthentifizierung, Verwaltung des Nutzerkontos, Ermöglichung der Team-Funktionen (Collaboration).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags).

Die Bereitstellung der E-Mail-Adresse und der eindeutigen Identifikations-ID des gewählten Anmelde-Anbieters ist zur Erfüllung des Nutzungsvertrags erforderlich. Ohne diese Daten ist eine Nutzung der Cloud-gestützten Funktionen der App technisch nicht möglich.

2. Analyse und Absturzberichte (nur mit Einwilligung)

Wir nutzen die Dienste „Firebase Analytics" und „Firebase Crashlytics" der Google Ireland Limited, um die Nutzung der App statistisch auszuwerten und technische Fehler zu erkennen.

Firebase Analytics erfasst: App-Nutzungsereignisse, Sitzungsdauer, Geräteinformationen, Betriebssystem-Version. Es werden keine personenbezogenen Nutzungsprofile erstellt.

Firebase Crashlytics erfasst: Absturzberichte mit technischen Informationen (Stack-Traces, Gerätetyp, Betriebssystem-Version, App-Version). Diese Daten dienen ausschließlich der Fehlerbehebung.

Beide Dienste werden erst nach Ihrer ausdrücklichen Einwilligung aktiviert (Opt-in beim ersten App-Start). Sie können Ihre Einwilligung jederzeit in den App-Einstellungen unter „Datenschutz" widerrufen.

Zweck: Verbesserung der App-Qualität und Fehlerbehebung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Drittlandtransfer: siehe Abschnitt IV.1 (Google Firebase).

3. Inhaltsdaten (Nutzung der Kernfunktionen)

Im Rahmen der Nutzung der App geben Sie verschiedene Inhalte ein, die wir auf Wunsch speichern und synchronisieren, damit Sie diese auf verschiedenen Geräten nutzen können. Dazu gehören:

  • Projektnamen
  • Aufgaben, Notizen und Beschreibungen
  • Termine und Fristen
  • Mitgliederlisten in Projekten

Wenn Sie andere Personen zu einem Projekt einladen, verarbeiten wir deren E-Mail-Adresse, um die Einladung zuzustellen und die Zusammenarbeit zu ermöglichen. Bitte stellen Sie sicher, dass Sie die Einwilligung der eingeladenen Person haben, deren E-Mail-Adresse in der App zu verwenden.

Zweck: Bereitstellung der Kernfunktionalitäten der App; Speicherung und Synchronisation Ihrer Daten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4. Nutzungs- und Metadaten (automatisch erfasst)

Bei der Nutzung der App werden automatisch technische Daten erfasst, die für den Betrieb notwendig sind:

  • IP-Adresse
  • Gerätetyp (z. B. iPhone, Android-Gerät)
  • Betriebssystem-Version

Zweck: Sicherstellung der Stabilität des Dienstes, Fehleranalyse (Logging), Prävention von Missbrauch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem technisch fehlerfreien und sicheren Betrieb der App).

5. Push-Benachrichtigungen

Wir nutzen Push-Benachrichtigungen, um Sie über fällige Aufgaben oder Einladungen zu informieren. Hierzu wird ein anonymisierter Device-Token an den Push-Dienst (Firebase Cloud Messaging) übertragen. Pro Konto werden maximal 10 Geräte-Tokens gespeichert; ältere Tokens werden automatisch entfernt. Sie können Push-Benachrichtigungen jederzeit in den App-Einstellungen deaktivieren.

Zugestellte Benachrichtigungen werden zusätzlich serverseitig persistiert (Inhalt: Titel, Kurzbeschreibung, Absender-ID, Projekt-Referenz), damit Sie diese auch nach späterem Geräte-Wechsel im App-eigenen Postfach einsehen können. Die persistierten Benachrichtigungen werden mit dem Konto gelöscht oder können über die App entfernt werden.

Zweck: Bereitstellung der Kernfunktionalität der App.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Kalender-Synchronisation

Sofern Sie die Kalender-Synchronisation aktivieren, greift die App auf den lokalen Kalender Ihres Geräts zu, um Termine zu exportieren. Diese Daten werden nur lokal verarbeitet und nicht an unsere Server übertragen.

Zweck: Bereitstellung der Kernfunktionalität der App.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Aktivitäts-Log in Projekten

Innerhalb eines geteilten Projekts wird zur Team-Transparenz protokolliert, welche Mitglieder welche Aktionen vorgenommen haben (z. B. „Aufgabe X angelegt von Y am Z"). Erfasst werden: Nutzer-ID des Handelnden, Anzeigename, Art und Zeitpunkt der Aktion sowie eine kurze Beschreibung.

Zweck: Nachvollziehbarkeit von Änderungen im Team-Kontext.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung der Team-Funktionen).

8. Promo-Code-Einlösungen

Wenn Sie einen Promo-Code (Aktions- oder Partner-Code) einlösen, speichern wir diese Einlösung mit folgenden Daten: Nutzer-ID, E-Mail-Adresse, Code, gewährtes Premium-Tier sowie Einlösungszeitpunkt. Diese Daten dienen dem Missbrauchsschutz (Verhinderung der Mehrfach-Einlösung), der Abrechnung gegenüber Partnern sowie zur Auditierung der Code-Vergabe.

Zweck: Vertragserfüllung (Aktivierung von Premium-Funktionen) und berechtigtes Interesse an Missbrauchsschutz.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); ergänzend Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsschutz).

9. Audit-Logs für Mitgliedschafts-Mutationen

Änderungen an Projekt- und Team-Mitgliedschaften (Einladungen, Annahme/Ablehnung, Entfernung, Rollenänderung, Verlassen eines Projekts) werden protokolliert. Erfasst werden: handelnde Nutzer-ID, betroffene Nutzer-ID bzw. -E-Mail, Art der Änderung, Zeitpunkt und ggf. alte/neue Rolle.

Zweck: Sicherheits- und Compliance-Nachvollziehbarkeit; Nachweisbarkeit administrativer Vorgänge (Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Nachvollziehbarkeit).

IV. Weitergabe von Daten und Drittanbieter

Für den Betrieb der App und die Abwicklung von Zahlungen nutzen wir spezialisierte Dienstleister. Mit den nachfolgend genannten Auftragsverarbeitern haben wir Verträge zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen, um den Schutz Ihrer Daten zu gewährleisten. Die Vertragsdokumente halten wir auf Anfrage zur Einsicht durch die zuständige Aufsichtsbehörde oder betroffene Personen bereit (Anfragen an die im Impressum genannte Adresse).

1. Google Firebase (Backend & Hosting)

Wir nutzen folgende Dienste der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland:

  • Firebase Authentication — für die Anmeldung und Identifikation der Nutzenden.
  • Cloud Firestore — als Datenbank für die Speicherung und Echtzeit-Synchronisation Ihrer Inhaltsdaten.
  • Firebase Cloud Messaging (FCM) — für die Zustellung von Push-Benachrichtigungen. Hierzu wird ein anonymisierter Device-Token an Google übertragen.
  • Cloud Functions for Firebase — für serverseitige Logik (Validierung von In-App-Käufen, Datenexport, Konto-Löschung, Verwaltung von Team- und Projekt-Mitgliedschaften, geplante Bereinigungs-Jobs gemäß unserem Löschkonzept).
  • Firebase App Check — zur Absicherung der serverseitigen Schnittstellen vor Missbrauch durch nicht-autorisierte Apps. App Check verifiziert, dass Anfragen aus einer echten, unveränderten Installation der aktuator-App stammen. Hierzu werden technische Geräte-Attribute über die Schnittstellen Apple App Attest bzw. DeviceCheck (auf iOS) und Google Play Integrity (auf Android) an Apple bzw. Google übermittelt. Es werden dabei keine personenbezogenen Daten ausgewertet, sondern ausschließlich die Authentizität der App-Installation bestätigt.

Zweck: Diese Dienste stellen gemeinsam die technische Infrastruktur für Authentifizierung, Datenbank, Push-Benachrichtigungen, serverseitige Logik und den Schutz der Schnittstellen bereit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die zur Bereitstellung der App erforderlichen Dienste; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch und an einem stabilen Betrieb) für App Check und die Schutz-Mechanismen der Cloud Functions.

Drittlandtransfer: Da Google ein globales Unternehmen ist, können Daten an die Google LLC in die USA übertragen werden. Die Datenübermittlung in die USA wird auf den Angemessenheitsbeschluss der EU-Kommission für das EU-U.S. Data Privacy Framework gestützt, unter dem die Google LLC zertifiziert ist. Dadurch wird ein angemessenes Datenschutzniveau garantiert. Im Rahmen von App Check kann zusätzlich die Apple Inc. (One Apple Park Way, Cupertino, CA 95014, USA) Empfänger technischer Geräte-Attribute werden; auch Apple ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

2. Apple App Store & Google Play Store (In-App-Käufe)

Für die Abwicklung von Abonnements nutzen wir die Infrastruktur der App-Store-Betreiber (Apple Inc. und Google LLC). Die Zahlungsabwicklung erfolgt ausschließlich über den jeweiligen Store. Zur Verifizierung Ihres Abonnement-Status nutzen wir serverseitige Cloud Functions (gehostet auf Google Firebase), die den Kauf-Beleg (Receipt) mit den Servern von Apple bzw. Google validieren.

Verarbeitete Daten: Anonymisierte Kauf-IDs (Transaktionsnummern), Abonnement-Status (z. B. „Premium aktiv"), Ablaufdatum. Wir erhalten und speichern keine direkten Zahlungsdaten.

Zweck: Freischaltung von Premium-Funktionen, Verwaltung von Abonnements.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

V. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die Erreichung der oben genannten Zwecke erforderlich ist (Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1 lit. e DSGVO). Im Einzelnen gelten folgende Fristen:

  • Bestands- und Inhaltsdaten (aktives Konto): werden so lange gespeichert, wie Ihr Nutzerkonto aktiv ist.
  • Aktivitäts-/Verlaufsdaten in Projekten („Activity-Log"): werden automatisch nach 12 Monaten gelöscht. Der Activity-Log dient der Team-Transparenz; ein Jahr Rückblick ist ausreichend.
  • Promo-Code-Einlösungen: werden nach 12 Monaten anonymisiert (E-Mail und Nutzer-ID werden entfernt; Code, Tier und Zeitpunkt bleiben für Audit-Zwecke erhalten).
  • Apple-/Google-Kaufbelege („Receipts") inaktiver Abonnements: werden 6 Monate nach Ende des Abonnements entfernt. Die Audit-Felder zum Abonnement (Typ, Ablaufdatum, Beendigungsgrund) bleiben für die Buchhaltung erhalten.
  • Push-Benachrichtigungs-Tokens (FCM): werden auf maximal 10 Tokens pro Nutzerkonto begrenzt; ältere Tokens werden automatisch entfernt. Ungültige Tokens werden sofort bereinigt.
  • Nicht angenommene Projekt-Einladungen: werden nach 30 Tagen aus dem jeweiligen Projekt entfernt, sofern das Projekt seitdem nicht aktiv genutzt wurde.
  • Inaktive Konten: Konten, mit denen seit 24 Monaten keine Anmeldung mehr erfolgt ist und für die kein aktives Abonnement besteht, werden zur Löschung markiert. Sie erhalten in diesem Fall eine Vorwarnung per E-Mail. Erfolgt innerhalb von 30 Tagen keine Anmeldung, werden das Konto und alle damit verknüpften Daten unwiderruflich gelöscht. Eine Anmeldung innerhalb dieser Frist hebt die Löschungsmarkierung automatisch auf.
  • Löschung auf Antrag: Sie können Ihr Konto und alle damit verknüpften Daten jederzeit in der App selbst löschen (siehe Abschnitt VI).
  • Server-Log-Dateien (Cloud Functions): werden für 30 Tage aufbewahrt; in diesen Logs werden Nutzer-IDs gekürzt erfasst (Pseudonymisierung).
  • Gesetzliche Aufbewahrungspflichten: Daten, die wir aufgrund handels- oder steuerrechtlicher Vorschriften aufbewahren müssen (z. B. Rechnungsbelege bei Käufen), werden erst nach Ablauf der gesetzlichen Fristen (in der Regel 6 bzw. 10 Jahre) gelöscht oder gesperrt.

VI. Ihre Rechte als Betroffener

Ihnen stehen gemäß der DSGVO folgende Rechte zu:

  1. Auskunft (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns zu Ihrer Person gespeicherten Daten zu verlangen. Sie können diese Auskunft direkt in der App über die Funktion Einstellungen → Konto & Daten → Datenexport selbst abrufen — Sie erhalten dabei einen vollständigen Export Ihrer bei uns gespeicherten Daten als JSON-Datei. Auf Anfrage stellen wir zusätzlich einen Auszug aus unseren Audit-Protokollen bereit, aus dem hervorgeht, ob und wann administrativ auf Ihre verschlüsselten Inhaltsdaten zugegriffen wurde (siehe Abschnitt VII).
  2. Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten Daten verlangen. Anzeigename und E-Mail-Adresse können Sie direkt in den App-Einstellungen ändern.
  3. Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. In der App können Sie über Einstellungen → Konto & Daten → Konto dauerhaft löschen die vollständige Löschung Ihres Kontos und aller damit verknüpften Daten selbst auslösen. Aus Sicherheitsgründen ist hierfür eine erneute Anmeldung erforderlich. Alternativ können Sie uns eine E-Mail an die im Impressum genannte Adresse senden.
  4. Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  5. Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Die unter Punkt 1 genannte Datenexport-Funktion in der App liefert eine maschinenlesbare JSON-Datei und erfüllt damit zugleich Ihren Anspruch auf Datenübertragbarkeit.
  6. Widerspruchsrecht (Art. 21 DSGVO): Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeitet werden, haben Sie das Recht, Widerspruch gegen die Verarbeitung einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.
  7. Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf Ihrer Einwilligung beruht (z. B. für Firebase Analytics und Crashlytics), können Sie diese jederzeit mit Wirkung für die Zukunft in den App-Einstellungen unter Datenschutz widerrufen.

Beschwerderecht: Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO). Die für uns zuständige Behörde ist das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.

VII. Datensicherheit

Wir verwenden innerhalb der App Verschlüsselungsverfahren (SSL/TLS), um Ihre Daten während der Übertragung zu schützen. Wir bedienen uns im Übrigen geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um Ihre Daten gegen Manipulationen, Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen.

Zusätzlich werden besonders sensible Inhaltsfelder — insbesondere Projektnamen, Aufgabenbeschreibungen, Notizen sowie sämtliche Strategie-Inhalte (Visionen, Strategien, Objectives, Key Results) — auch auf unseren Servern verschlüsselt abgelegt. Der zugehörige Schlüssel liegt im Schlüsselverwaltungsdienst von Google Cloud (Cloud KMS) und wird automatisch alle 90 Tage rotiert. Klartext-Zugriff auf diese Felder ist ausschließlich über authentifizierte Aufrufe aus der App möglich; jede Entschlüsselung wird automatisch in unveränderbaren Audit-Protokollen erfasst und dort 400 Tage vorgehalten. Damit ist auch ein administrativer Zugriff von unserer Seite technisch eingegrenzt und nachvollziehbar.

VIII. Weitere Hinweise

1. Keine automatisierte Entscheidungsfindung

Es findet keine ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhende Entscheidung im Sinne des Art. 22 Abs. 1 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

2. Datenschutzbeauftragter

Aufgrund der Größe unseres Unternehmens sind wir nach § 38 BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Datenschutzbezogene Anfragen erreichen uns direkt unter datenschutz@balticpixels.de.

3. Keine Marketing-Kommunikation

Wir versenden keine Marketing-E-Mails, Newsletter oder werbliche Push-Benachrichtigungen. Über die im Konto hinterlegte E-Mail-Adresse bzw. den Push-Kanal erreichen Sie ausschließlich transaktionale Nachrichten (z. B. Hinweis auf eine bevorstehende Konto-Löschung wegen langer Inaktivität, sicherheitsrelevante Hinweise).

Stand: Mai 2026 (überarbeitet)