Datenschutzerklärung

Plan2Done — betrieben von der Jan Hamsch und Kai Hamsch GbR

Stand: 15. März 2026

Hinweis: Diese deutsche Fassung ist die rechtlich maßgebliche und vor Gericht geltende Version. Die englische Übersetzung dient ausschließlich zu Informationszwecken.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:

Jan Hamsch und Kai Hamsch GbR
Schutternstr. 23a
77974 Kürzell, Deutschland
E-Mail: hello@fade.de

Bei Fragen zum Datenschutz wenden Sie sich bitte an: hello@fade.de

2. Geltungsbereich

Diese Datenschutzerklärung gilt für alle personenbezogenen Daten, die im Zusammenhang mit der Nutzung des Dienstes Plan2Done (erreichbar über plan2done.app und zugehörige Subdomains, mobile Anwendungen und APIs) verarbeitet werden, sowie für den Besuch unserer Website plan2done.app.

3. Arten der verarbeiteten Daten

Wir verarbeiten folgende Kategorien personenbezogener Daten:

3.1 Registrierungs- und Kontodaten

Name, E-Mail-Adresse, Passwort (verschlüsselt / via Authentifizierungsdienstleister)
Profilbild (optional)
Organisationsname und -einstellungen

3.2 Nutzungsdaten

Log-Daten (IP-Adresse, Browser-Typ, Betriebssystem, Zugriffszeiten, aufgerufene URLs)
Gerätekennungen
Interaktionsdaten innerhalb der Plattform (z. B. erstellte Boards, Aufgaben, Kommentare)

3.3 Kommunikationsdaten

Inhalte von Support-Anfragen und E-Mails
In-App-Nachrichten zwischen Nutzern

3.4 Zahlungsdaten

Abrechnungsadresse
Zahlungsmethode (Kreditkarte, SEPA-Lastschrift etc. — Kartendaten werden ausschließlich durch Stripe verarbeitet und nie auf unseren Servern gespeichert)
Transaktionshistorie, Abonnementstatus

3.5 Kundendaten (Auftragsverarbeitung)

Alle Inhalte, die Sie und Ihre Nutzer im Dienst eingeben (Projekte, Aufgaben, Dokumente, Dateien, Kommentare etc.) — diese werden im Rahmen der Auftragsverarbeitung gem. Art. 28 DSGVO für Sie verarbeitet. Sie sind für diese Daten als Verantwortlicher allein zuständig.

4. Zwecke und Rechtsgrundlagen der Verarbeitung

| Verarbeitungszweck | Rechtsgrundlage | | -------------------------------------------------------- | ------------------------------------------------------------ | | Bereitstellung, Betrieb und Verbesserung des Dienstes | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | | Kontoerstellung und Authentifizierung | Art. 6 Abs. 1 lit. b DSGVO | | Zahlungsabwicklung und Abonnementverwaltung | Art. 6 Abs. 1 lit. b DSGVO | | Kundensupport und Kommunikation | Art. 6 Abs. 1 lit. b DSGVO / lit. f (berechtigtes Interesse) | | Sicherheit, Missbrauchs- und Betrugsprävention | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | | Analyse zur Serviceverbesserung (anonymisiert) | Art. 6 Abs. 1 lit. f DSGVO | | Erfüllung gesetzlicher Aufbewahrungs- und Meldepflichten | Art. 6 Abs. 1 lit. c DSGVO | | Versand von Produkt- und Marketingkommunikation | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | | Auftragsverarbeitung von Kundendaten | Art. 28 DSGVO (AVV) |

5. Auftragsverarbeitung

Soweit wir personenbezogene Daten verarbeiten, die Sie als Verantwortlicher in den Dienst eingeben (z. B. Daten Ihrer Mitarbeiter, Kunden oder Kontakte), handeln wir als Auftragsverarbeiter gem. Art. 28 DSGVO. Sie bleiben für diese Daten allein rechtlich verantwortlich. Auf Anfrage schließen wir mit Ihnen einen Auftragsverarbeitungsvertrag (AVV) ab.

6. Empfänger und Unterauftragsverarbeiter

Wir arbeiten mit sorgfältig ausgewählten Dienstleistern zusammen, die als Unterauftragsverarbeiter personenbezogene Daten in unserem Auftrag verarbeiten können. Wir stellen sicher, dass diese Dienstleister das erforderliche Datenschutzniveau einhalten (Art. 28 Abs. 2–4 DSGVO).

6.1 Authentifizierung — Clerk

Für die Benutzerverwaltung und Authentifizierung nutzen wir Clerk, Inc. (USA). Die Datenübertragung in die USA erfolgt auf der Grundlage des EU-U.S. Data Privacy Frameworks bzw. geeigneter Standardvertragsklauseln (Art. 46 DSGVO).
Datenschutzinformationen: https://clerk.com/privacy

6.2 Zahlungsabwicklung — Stripe

Zahlungen werden von Stripe Payments Europe, Ltd. (Irland, EU) abgewickelt. Kartendaten gelangen zu keinem Zeitpunkt auf unsere Server. Stripe verarbeitet Zahlungsdaten nach PCI-DSS-Standard.
Datenschutzinformationen: https://stripe.com/de/privacy

6.3 Hosting und Infrastruktur

Der Dienst wird auf Servern von Hetzner Cloud GmbH (Rechenzentren in Deutschland) betrieben. Die Datenspeicherung erfolgt, soweit möglich, innerhalb der Europäischen Union. Bei Übertragungen in Drittländer werden geeignete Garantien (Standardvertragsklauseln) verwendet.

6.4 E-Mail-Versand

Account-bezogene E-Mails (wie z. B. Bestätigungen, Passwort-Zurücksetzen) werden über unseren Authentifizierungsanbieter Clerk, Inc. (unter Nutzung von Diensten wie Sendgrid) versendet. Einladungen und sonstige System-E-Mails werden über Mailjet SAS versendet.

Wir geben personenbezogene Daten nur dann an staatliche Behörden oder Dritte weiter, wenn wir dazu gesetzlich verpflichtet sind oder Sie ausdrücklich eingewilligt haben.

7. Übermittlung in Drittländer

Soweit wir Dienstleister einsetzen, die Daten außerhalb des Europäischen Wirtschaftsraums (EWR) verarbeiten, stellen wir durch geeignete Garantien sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist (Art. 44–49 DSGVO):

Standardvertragsklauseln (SCC) gem. Durchführungsbeschluss der EU-Kommission 2021/914
EU-U.S. Data Privacy Framework (DPF), sofern der Empfänger zertifiziert ist
Weitere geeignete Schutzmaßnahmen

Auf Anfrage stellen wir Ihnen weitere Informationen zu den eingesetzten Garantien zur Verfügung.

8. Cookies und Tracking

8.1 Notwendige Cookies

Wir setzen technisch notwendige Cookies ein, die für den Betrieb des Dienstes, die Authentifizierung und die Sicherheit erforderlich sind. Diese Cookies können nicht deaktiviert werden, ohne die Funktionsfähigkeit des Dienstes wesentlich zu beeinträchtigen.

8.2 Analyse- und Performance-Cookies

Mit Ihrer Einwilligung setzen wir Analyse-Cookies ein, um zu verstehen, wie der Dienst genutzt wird (z. B. Seitenaufrufe, Nutzerpfade). Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

8.3 Cookie-Verwaltung

Über das Cookie-Einstellungs-Banner auf unserer Website können Sie nicht notwendige Cookies akzeptieren oder ablehnen. Weitere Einstellungen sind in den Browser-Einstellungen möglich.

8.4 Keine Tracking-Werbung

Wir verkaufen keine personenbezogenen Daten an Dritte und setzen keine Cookies für gezieltes Werbetracking ein.

9. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die Erfüllung der Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.

| Datenkategorie | Speicherdauer | | ----------------------------- | ------------------------------------------------------------------------ | | Kontodaten | Bis zur Kontoauflösung + 90 Tage | | Zahlungsdaten und Rechnungen | 10 Jahre (steuerrechtliche Aufbewahrungspflicht gem. §§ 147 AO, 257 HGB) | | Support-Kommunikation | 3 Jahre (Verjährungsfrist) | | Log-Daten | 90 Tage | | Backup-Daten | Max. 90 Tage nach Löschaufforderung | | Kundendaten nach Vertragsende | 30 Tage im schreibgeschützten Modus, dann Löschung |

Nach Ablauf der Speicherfrist werden die Daten sicher gelöscht oder anonymisiert.

10. Rechte der betroffenen Personen

Sie haben das Recht, folgende Rechte gegenüber uns geltend zu machen:

10.1 Auskunftsrecht (Art. 15 DSGVO)

Sie können Auskunft darüber verlangen, welche personenbezogenen Daten wir von Ihnen verarbeiten, zu welchen Zwecken und auf welcher Rechtsgrundlage dies erfolgt.

10.2 Berichtigungsrecht (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten verlangen.

10.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen, wenn die Voraussetzungen des Art. 17 DSGVO erfüllt sind (z. B. Daten nicht mehr erforderlich, Einwilligung widerrufen, keine vorrangige Rechtsgrundlage).

10.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können in bestimmten Situationen die Einschränkung der Verarbeitung verlangen (z. B. bei Bestreiten der Richtigkeit der Daten oder Widerspruch gegen die Verarbeitung).

10.5 Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übertragen, sofern die Verarbeitung auf Einwilligung oder Vertrag basiert und automatisiert erfolgt.

10.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer Daten, die auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) gestützt wird, Widerspruch einzulegen. Wir werden die Verarbeitung einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.

10.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.

10.8 Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde richtet sich nach Ihrem Aufenthaltsort oder Arbeitsort. Für uns zuständig ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Lautenschlagerstraße 20, 70173 Stuttgart

10.9 Geltendmachung Ihrer Rechte

Zur Geltendmachung Ihrer Rechte senden Sie eine E-Mail an hello@fade.de. Zur Identitätsprüfung können wir geeignete Nachweise anfordern. Wir beantworten Anfragen grundsätzlich innerhalb von einem Monat (Art. 12 DSGVO), bei komplexen Anfragen innerhalb von bis zu drei Monaten mit zeitnaher Zwischenbenachrichtigung.

11. Datensicherheit

Wir setzen technische und organisatorische Schutzmaßnahmen ein, um Ihre Daten gegen zufälligen oder vorsätzlichen Verlust, Zerstörung, Veränderung oder unbefugten Zugriff zu schützen. Unsere Sicherheitsmaßnahmen umfassen unter anderem:

Verschlüsselung der Datenübertragung via TLS/HTTPS
Verschlüsselung gespeicherter Daten (Data at Rest)
Zugriffskontrollen und Rechteverwaltung
Regelmäßige Sicherheitsüberprüfungen
Datenschutz durch Technik (Privacy by Design)

Da keine vollständige Sicherheit gewährleistet werden kann, empfehlen wir Ihnen, ebenfalls eigene Sicherheitsmaßnahmen zu ergreifen.

12. Minderjährige

Der Dienst richtet sich nicht an Personen unter 16 Jahren. Wir erfassen wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten Sie feststellen, dass ein Kind uns Daten ohne elterliche Zustimmung übermittelt hat, bitten wir um Kontaktaufnahme unter hello@fade.de, damit wir diese Daten löschen können.

13. Automatisierte Entscheidungsfindung und Profiling

Wir treffen keine automatisierten Entscheidungen im Sinne des Art. 22 DSGVO, die rechtliche oder ähnlich bedeutsame Auswirkungen für Sie haben. Wir führen kein auf Ihren persönlichen Merkmalen basierendes Profiling durch.

14. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung aus sachlich gerechtfertigten Gründen anpassen, insbesondere bei Änderungen des Dienstes, neuen gesetzlichen Anforderungen oder Änderungen in der Datenverarbeitungspraxis. Wesentliche Änderungen kündigen wir Ihnen mindestens 30 Tage vor Inkrafttreten per E-Mail oder über den Dienst an. Das Datum der letzten Aktualisierung befindet sich stets am Anfang dieser Erklärung.

15. Kontakt

Für Datenschutzanfragen aller Art wenden Sie sich bitte an:

Jan Hamsch und Kai Hamsch GbR — Datenschutz
Schutternstr. 23a
77974 Kürzell, Deutschland
E-Mail: hello@fade.de

Stand: 15. März 2026 — Die deutsche Fassung ist die rechtlich maßgebliche Version.