← Zurück

Datenschutzerklärung

Version 1.0 · Stand: 14.05.2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

[Vorname Nachname]
[Straße Hausnummer]
[PLZ Ort], Deutschland
E-Mail: [kontakt@jbtodo.eu]

Hinweis: Bitte vor Live-Schaltung mit echten Kontaktdaten ergänzen (siehe Impressum).

2. Zweck der Verarbeitung und betroffene Daten

jbtodo.eu ist ein webbasiertes Projekt- und Aufgabenmanagement-Tool. Folgende personenbezogene Daten werden verarbeitet:

2.1 Registrierung und Konto

• Name (für Anzeige und Zuweisung von Aufgaben)
• E-Mail-Adresse (für Login, Passwort-Reset und ggf. Kommunikation)
• Passwort (gespeichert ausschließlich als bcrypt-Hash, niemals im Klartext)
• Rolle und Typ (intern/extern, für Berechtigungen)
• Optional: Abteilung
• Datum und Version der Einwilligungen
• Zeitstempel der Registrierung

2.2 Während der Nutzung

• Erstellte Aufgaben, Notizen und Meilensteine inkl. Zeitstempeln
• Aktivitätsprotokoll (z. B. Statusänderungen)
• Letzter Login-Zeitpunkt und IP-Adresse des letzten Logins

2.3 Sicherheits-Logs

• Login-Versuche (E-Mail, IP, Zeitpunkt, Erfolg/Fehlschlag) – zur Brute-Force-Abwehr, max. 30 Tage gespeichert.
• Audit-Log sicherheitsrelevanter Ereignisse (Login, Passwortänderung, Datenexport, Kontolöschung) inkl. IP-Adresse und User-Agent – max. 365 Tage gespeichert.

3. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) – soweit die Verarbeitung zur Bereitstellung der Funktionalität nach Registrierung erforderlich ist.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – für die Verarbeitung, in die du im Rahmen der Registrierung explizit einwilligst.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) – für IT-Sicherheit, Brute-Force-Schutz und das Audit-Log. Unser berechtigtes Interesse ist der Schutz vor unbefugtem Zugriff auf das System und die Konten anderer Nutzer.

4. Speicherdauer

• Konto-Daten: bis zur Löschung des Kontos durch den Nutzer.
• Login-Versuche: 30 Tage.
• Audit-Log: 365 Tage.
• Passwort-Reset-Token: maximal 24 Stunden, danach automatische Löschung.
• Inhalte (Aufgaben, Notizen): bis zur Löschung durch den Nutzer oder Löschung des Kontos.

5. Empfänger der Daten

Eine Weitergabe an Dritte findet nicht statt. Die Anwendung läuft auf einem Webhosting-Server bei der Hostinger International Ltd., mit der ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) besteht. Hostinger verarbeitet die Daten ausschließlich nach Weisung des Verantwortlichen.

6. Cookies

Es werden ausschließlich technisch notwendige Sitzungs-Cookies verwendet, die für den Betrieb der Anmeldung erforderlich sind (jbtodo_sid, HttpOnly, Secure, SameSite=Strict). Diese fallen unter § 25 Abs. 2 Nr. 2 TTDSG und benötigen keine Einwilligung. Tracking- oder Marketing-Cookies werden nicht eingesetzt.

7. Externe Schriften

Es werden Web-Fonts der Schriftart „IBM Plex Sans" von Google Fonts verwendet. Beim Laden einer Seite stellt dein Browser eine Verbindung zu Google-Servern her. Hierbei wird die IP-Adresse übertragen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (einheitliche Darstellung der Anwendung). Auf Wunsch kann die Schriftart lokal eingebunden werden – wende dich hierfür an den Verantwortlichen.

8. JavaScript-Bibliotheken (CDN)

Für Diagramme und Drag-&-Drop werden Chart.js und SortableJS über cdnjs.cloudflare.com nachgeladen. Hierbei wird deine IP-Adresse an Cloudflare übertragen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (technische Bereitstellung der UI).

9. Deine Rechte (Art. 15–22 DSGVO)

Du hast jederzeit das Recht auf:

• Auskunft über deine gespeicherten Daten (Art. 15 DSGVO) – per Self-Service unter „Mein Konto → JSON-Export".
• Berichtigung unrichtiger Daten (Art. 16 DSGVO) – im Profil änderbar.
• Löschung deiner Daten (Art. 17 DSGVO) – per Self-Service unter „Mein Konto → Konto löschen".
• Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Datenübertragbarkeit (Art. 20 DSGVO) – maschinenlesbarer JSON-Export verfügbar.
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO).
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständig in Bayern: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

10. Datensicherheit (TOM)

Wir setzen folgende technische und organisatorische Maßnahmen ein:

• HTTPS-Verschlüsselung (TLS) für alle Verbindungen.
• Passwort-Hashing mit bcrypt (Cost 10).
• Brute-Force-Schutz (Rate-Limiting) bei Login-Versuchen.
• Sichere Sitzungs-Cookies (HttpOnly, Secure, SameSite=Strict).
• CSRF-Schutz bei allen Formularen.
• Content-Security-Policy und weitere Security-Header.
• Prepared Statements gegen SQL-Injection.
• Automatische Bereinigung abgelaufener Token und Logs.

11. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Bei wesentlichen Änderungen informieren wir dich über die Anwendung und bitten gegebenenfalls um eine erneute Einwilligung. Die jeweils gültige Version ist mit einer Versionsnummer und einem Datum am Anfang dieser Seite gekennzeichnet.