Datenschutzerklärung
Stand: 14. Juni 2026
1. Verantwortlicher
BeyondWega UG (haftungsbeschränkt)Auf dem Kamp 74
28865 Lilienthal
Deutschland
E-Mail: datenschutz@gantt400.com
Telefon: +49 163 2580889
Website / App: https://gantt400.com
Ein Datenschutzbeauftragter ist aufgrund der Unternehmensgröße (weniger als 20 Personen ständig mit automatisierter Verarbeitung beschäftigt) nach § 38 Abs. 1 BDSG derzeit nicht gesetzlich erforderlich und nicht bestellt.
2. Überblick der Verarbeitungen
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Plattform „gantt400" und der zugehörigen Website erforderlich ist. gantt400 ist ein Werkzeug zur Projekt- und Zeitplanung (Gantt-/Chronik-Daten). Es werden keine Finanz-, Zahlungs- oder Käuferdaten verarbeitet.
| Datenkategorie | Betroffene | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|---|
| Server-Logfiles | Website-Besucher | Betrieb, Sicherheit | Art. 6 Abs. 1 lit. f | Spätestens 30 Tage (inkl. IP-Adresse) |
| Account-Daten (E-Mail, gehashtes Passwort, Registrierungszeitpunkt) | Registrierte Nutzer | Vertragserfüllung | Art. 6 Abs. 1 lit. b | Kontolaufzeit + 30 Tage |
| Projekt-/Chronik-Daten (vom Nutzer eingegebene Projektpläne, Gantt-/Chronik-Einträge) | Registrierte Nutzer | Bereitstellung der Plattformfunktionen | Art. 6 Abs. 1 lit. b | Kontolaufzeit + 30 Tage |
| Team-/Mandanten-Daten (Mitgliedschaften, Einladungs-E-Mail-Adressen) | Registrierte Nutzer, eingeladene Team-Mitglieder | Team-Zusammenarbeit | Art. 6 Abs. 1 lit. b | Kontolaufzeit + 30 Tage |
| Session-Cookie | Registrierte Nutzer | Authentifizierung | Art. 6 Abs. 1 lit. f / § 25 Abs. 2 TDDDG | Siehe Cookie-Richtlinie |
3. Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten im Einklang mit der DSGVO. Es kommen folgende Rechtsgrundlagen in Betracht:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — z. B. für die Bereitstellung des Nutzeraccounts, der Projekt-/Planungsfunktionen und der Team-Zusammenarbeit.
- Gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO) — soweit künftig steuer- und handelsrechtliche Aufbewahrungspflichten greifen (z. B. bei Einführung einer kostenpflichtigen Variante).
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — z. B. für den Betrieb der Website, Sicherheitsmaßnahmen und Missbrauchsprävention.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — derzeit nicht erforderlich, da keine einwilligungsbedürftigen Analyse- oder Marketing-Technologien eingesetzt werden.
4. Erhobene Daten bei Nutzung der Website
4.1 SSL-/TLS-Verschlüsselung
Die Kommunikation zwischen Deinem Browser und unseren Servern erfolgt über HTTPS (TLS-Verschlüsselung). Dies schützt die übertragenen Daten vor dem Zugriff Dritter.
4.2 Server-Logfiles
Bei jedem Aufruf unserer Website erfasst der Webserver automatisch:
- IP-Adresse
- Datum und Uhrzeit der Anfrage
- Aufgerufene Seite / URL
- Referrer-URL
- Browser-Typ und Version
- Betriebssystem
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Die Daten werden zur Sicherstellung des Betriebs und zur Abwehr von Angriffen genutzt. Logfiles werden durch automatische Rotation spätestens 30 Tage nach ihrer Erfassung gelöscht.
4.3 Hosting
Unsere Website und Plattform werden gehostet bei:
Hetzner Online GmbHIndustriestr. 25
91710 Gunzenhausen, Deutschland
Rechenzentrum: Falkenstein/Vogtl. (Deutschland, EU)
AV-Vereinbarung: https://www.hetzner.com/rechtliches/auftragsdatenverarbeitung
Es liegt ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) vor. Alle Daten werden ausschließlich auf Servern in Deutschland verarbeitet. Ein CDN oder WAF (z. B. Cloudflare) wird nicht eingesetzt; der Reverse-Proxy (Caddy) wird auf demselben Server betrieben und übernimmt die TLS-Terminierung.
5. Nutzerkonto & Plattform
5.1 Registrierung und Login
Bei der Registrierung für gantt400 verarbeiten wir:
- E-Mail-Adresse
- Passwort (mit bcrypt serverseitig gehasht gespeichert, nie im Klartext)
- Zeitpunkt der Registrierung
Die Authentifizierung erfolgt über ein eigenes, serverseitiges Authentifizierungssystem von gantt400. Das Passwort-Hashing erfolgt mit bcrypt auf unseren Servern. Es werden keine Drittanbieter-Authentifizierungsdienste (kein Supabase, kein Social-/Google-Login) und keine im Browser-Local-Storage abgelegten Authentifizierungs-Tokens verwendet.
Nach erfolgreichem Login setzen wir ein HMAC-signiertes Session-Cookie
(gantt400_session). Das Cookie ist HttpOnly (nicht per JavaScript
auslesbar), SameSite=Lax und — bei HTTPS-Betrieb — Secure. Es
enthält serverseitig signiert die Nutzer-ID, die aktive Team-/Mandanten-ID sowie Ausstellungs-
und Ablaufzeitpunkt; es läuft nach 30 Tagen ab. Details in unserer
Cookie-Richtlinie.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Hinweis: Ein Passwort-Reset- und E-Mail-Verifizierungs-Flow ist in Vorbereitung und wird zum Launch über den unter § 5.3 beschriebenen E-Mail-Dienstleister bereitgestellt. Diese Erklärung wird bei Aktivierung entsprechend präzisiert.
5.2 Projekt-, Planungs- und Team-Daten
Im Rahmen der Nutzung von gantt400 verarbeiten wir die von Dir eingegebenen Projekt- und Planungsdaten (Projektpläne, Aufgaben, Gantt-/Chronik-Einträge, Zeitangaben). Diese Inhalte sind in der Regel keine besonderen Kategorien personenbezogener Daten; sie können jedoch personenbezogene Angaben enthalten, soweit Du selbst solche eingibst.
gantt400 unterstützt Team-Zusammenarbeit über Mandanten (Tenants): Konto-Inhaber können andere Personen per E-Mail in ein Team einladen. Dabei verarbeiten wir die E-Mail-Adressen eingeladener Mitglieder sowie die Mitgliedschafts- und Rollenzuordnung. Die Daten innerhalb eines Teams sind durch eine mandantenfähige Datentrennung (Row-Level Security auf Datenbankebene) logisch voneinander isoliert.
Für die von Dir eingegebenen Inhalte bist Du verantwortlich; soweit Du personenbezogene Daten Dritter eingibst oder Teammitglieder hinzufügst, agieren wir insoweit als Auftragsverarbeiter in Deinem Auftrag (siehe AVV). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
5.3 Transaktionale E-Mails
Für den Versand transaktionaler E-Mails (z. B. Registrierungsbestätigung, Passwort-Reset, Team-Einladungen) nutzen wir — sobald dieser Versand aktiviert ist:
Resend, Inc.San Francisco, CA, USA
Resend verarbeitet in unserem Auftrag Deine E-Mail-Adresse sowie den E-Mail-Inhalt zum Zweck der Zustellung. Es liegt ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) vor. Die Datenübermittlung in die USA erfolgt auf Basis des EU-US Data Privacy Framework (Art. 45 DSGVO). Weitere Informationen: https://resend.com/legal/privacy-policy
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
6. Cookies und Tracking
6.1 Technisch notwendige Cookies
Wir setzen ausschließlich ein technisch notwendiges Cookie ein: das Session-Cookie
gantt400_session (siehe § 5.1). Es wird ohne Einwilligung gesetzt, da es für den
Betrieb der Plattform (Aufrechterhaltung der Anmeldung) erforderlich ist.
Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch erforderlich), Art. 6 Abs. 1 lit. f DSGVO. Details in unserer Cookie-Richtlinie.
6.2 Analyse und Marketing
Wir setzen keine Analyse-, Tracking- oder Marketing-Technologien ein (kein PostHog, kein Google Analytics, keine Retargeting-Pixel). Es ist daher kein Cookie-Consent-Banner erforderlich. Sollten wir künftig einwilligungsbedürftige Technologien einsetzen, werden wir diese Erklärung und die Cookie-Richtlinie entsprechend ergänzen und vorab eine Einwilligung einholen.
7. Drittanbieter und Auftragsverarbeiter
| Anbieter | Zweck | Standort | Rolle | AV-Vertrag |
|---|---|---|---|---|
| Hetzner Online GmbH | Webhosting, Server-Infrastruktur, Datenbank | Falkenstein, Deutschland (EU) | Auftragsverarbeiter | Ja |
| Resend, Inc. (ab Aktivierung transaktionaler E-Mails) | Transaktionale E-Mails | USA (DPF-zertifiziert) | Auftragsverarbeiter | Ja |
Alle Auftragsverarbeiter wurden sorgfältig ausgewählt. Es bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
8. Datenübermittlung in Drittstaaten
Hetzner Online GmbH betreibt alle Server in Deutschland. Ein Drittstaaten-Transfer findet insoweit nicht statt.
Resend, Inc. hat seinen Sitz in den USA. Die Datenübermittlung erfolgt — ab Aktivierung des transaktionalen E-Mail-Versands — auf Basis des EU-US Data Privacy Framework (Art. 45 DSGVO, Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023), ergänzt durch TLS-Verschlüsselung in Transit.
9. Automatisierte Entscheidungsfindung
Wir setzen keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO ein.
10. Deine Rechte
Du hast folgende Rechte bezüglich Deiner personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO) — Welche Daten wir über Dich gespeichert haben.
- Recht auf Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten.
- Recht auf Löschung (Art. 17 DSGVO) — Löschung Deiner Daten, sofern keine Aufbewahrungspflichten bestehen.
- Recht auf Einschränkung (Art. 18 DSGVO) — Einschränkung der Verarbeitung unter bestimmten Voraussetzungen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt Deiner Daten in einem strukturierten, maschinenlesbaren Format.
- Widerspruchsrecht (Art. 21 DSGVO) — Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Du kannst eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Zur Ausübung Deiner Rechte wende Dich an: datenschutz@gantt400.com
Besonderer Hinweis zum Widerspruchsrecht (Art. 21 DSGVO)
Du hast das Recht, aus Gründen, die sich aus Deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung Deiner personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) erfolgt, Widerspruch einzulegen. Wir verarbeiten Deine Daten dann nicht mehr zu diesem Zweck, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Den Widerspruch richtest Du an: datenschutz@gantt400.com
Recht auf Beschwerde
Du hast das Recht, Dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Die/Der Landesbeauftragte für den Datenschutz NiedersachsenPrinzenstraße 5, 30159 Hannover
https://www.lfd.niedersachsen.de
Du kannst Dich auch an die Aufsichtsbehörde Deines Wohn- oder Arbeitsortes wenden.
11. Änderungen dieser Datenschutzerklärung
Wir aktualisieren diese Datenschutzerklärung bei Bedarf, insbesondere bei Änderungen unserer Datenverarbeitungen oder gesetzlicher Vorgaben. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail. Die aktuelle Fassung ist jederzeit auf dieser Seite abrufbar.
12. Sprachversionen
Im Falle von Abweichungen zwischen der deutschen und einer etwaigen englischen Fassung dieser Datenschutzerklärung ist die deutsche Fassung maßgeblich.