Skip to content
Zum Inhalt springen

Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

2. Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Verantwortlich für die Datenverarbeitung auf dieser Website ist Fabian Fuchs, Kampenwandstraße 18, 83104 Ostermünchen, Deutschland. Weitere Angaben finden sich im Impressum dieser Website.

Wie werden Ihre Daten erfasst?

Ihre Daten werden zum einen dadurch erhoben, dass Sie diese dem Anbieter mitteilen. Hierbei kann es sich z.B. um Ihre E-Mail-Adresse handeln, die Sie in ein Anmeldeformular eingeben.

Andere Daten werden automatisch beim Besuch der Website durch IT-Systeme erfasst. Das sind vor allem technische Daten (z.B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs).

3. Lokale Datenspeicherung

Ohne Benutzerkonto speichert grafcet.io Ihre erstellten GRAFCET-Diagramme ausschließlich lokal in Ihrem Browser (LocalStorage). Diese Daten werden in diesem Fall nicht an den Anbieter übermittelt. Sie können sie jederzeit durch Löschen des Browser-Caches entfernen. Sobald Sie angemeldet sind, werden Ihre Diagramme in der Cloud gespeichert (siehe Punkt 5).

4. Benutzerkonten und Authentifizierung

Sie können ein kostenloses Benutzerkonto mit E-Mail-Adresse und Passwort erstellen. Ein Konto ermöglicht die Cloud-Speicherung und Synchronisierung Ihrer GRAFCET-Diagramme sowie optional die Pro-Funktionen. Die Authentifizierung erfolgt über Supabase Auth.

Supabase wird auf Servern in der EU (Frankfurt, Deutschland) gehostet.

Gespeicherte Daten: E-Mail-Adresse, gehashtes Passwort, Profildaten und Lizenzstatus.

Sie können Ihr Konto jederzeit löschen lassen, indem Sie den Anbieter unter hi@grafcet.io kontaktieren.

Optional kann der Login über Google erfolgen (OAuth 2.0). Dabei werden Ihre E-Mail-Adresse und Ihre Google-Konto-ID an Google Ireland Ltd. übermittelt; Verarbeitung teilweise in den USA auf Grundlage des EU-US Data Privacy Framework und Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Cloud-Speicherung

Sobald Sie angemeldet sind, werden Ihre GRAFCET-Diagramme automatisch in Supabase auf EU-Servern gespeichert (kostenlose Konten: bis zu 3 Diagramme; Pro: unbegrenzt). Gespeichert werden Name und Inhalt (Knoten und Verbindungen) Ihrer Diagramme.

Ihre gespeicherten Diagramme sind grundsätzlich nur für Sie als authentifizierten Nutzer zugänglich. Wenn Sie für ein Diagramm jedoch aktiv einen Teilen-Link erstellen, kann jede Person mit diesem Link eine Kopie des betreffenden Diagramms ohne Anmeldung öffnen. Solange Sie keinen Teilen-Link erstellen, bleibt das Diagramm privat.

Nach Ablauf Ihrer Lizenz werden Cloud-Daten für 90 Tage aufbewahrt und anschließend automatisch gelöscht.

Sie können Ihre Cloud-Daten jederzeit selbst löschen.

6. Zahlungsabwicklung

Zahlungen werden über Lemon Squeezy (Lemon Squeezy, LLC) als Merchant of Record abgewickelt.

Der Anbieter erhält von Lemon Squeezy ausschließlich: E-Mail-Adresse, Transaktions-ID und Zahlungsstatus.

Kreditkartendaten oder andere Zahlungsinformationen werden vom Anbieter weder empfangen noch gespeichert.

Datenschutzerklärung von Lemon Squeezy: https://www.lemonsqueezy.com/privacy

Bei der Aktivierung eines Lizenzschlüssels im Account-Panel speichert der Anbieter zusätzlich den Zeitpunkt deiner ausdrücklichen Zustimmung (eu_consent_at) sowie die Version des Zustimmungstexts (eu_consent_text_version). Diese Felder sind die Beweisspur für das vorzeitige Erlöschen des Widerrufsrechts nach § 356 Abs. 5 BGB. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. E-Mail-Versand und Kontaktformular

Transaktionale und Authentifizierungs-E-Mails (z.B. Lizenzschlüssel-Zustellung, Kontobenachrichtigungen, Passwort-Zurücksetzen) werden über Resend (Plus Five Five, Inc., USA) versendet. Die Übermittlung in die USA ist durch das EU-US Data Privacy Framework bzw. Standardvertragsklauseln abgesichert.

An Resend wird ausschließlich Ihre E-Mail-Adresse weitergegeben.

Marketing-E-Mails werden nur mit Ihrer ausdrücklichen Einwilligung versendet.

Das Kontaktformular auf der Seite „Kontakt" sowie das Feedback-Formular im Editor werden über Tally (Tally B.V., Belgien, EU) bereitgestellt und als eingebettetes Formular geladen. Die von Ihnen dort eingegebenen Daten (z.B. E-Mail-Adresse und Nachricht) werden von Tally verarbeitet, um Ihre Anfrage zu beantworten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).

8. Cookies und lokale Speicherung

Im Grundbetrieb verwendet diese Website nur technisch notwendige Cookies (z. B. Authentifizierungs-Session). Darüber hinausgehende Cookies werden nur mit Ihrer Einwilligung gesetzt.

Im LocalStorage werden GRAFCET-Diagramme und Editor-Einstellungen gespeichert.

Ohne Ihre Einwilligung werden keine Tracking- oder Marketing-Cookies von Drittanbietern eingesetzt.

Für Nutzungsanalysen setzt der Anbieter PostHog (PostHog Inc., EU-Region eu.i.posthog.com) ein. Die Analyse erfolgt zweistufig: (1) Ohne Ihre Einwilligung wird ausschließlich eine anonyme, cookielose Reichweitenmessung durchgeführt. Dabei werden keine Cookies gesetzt und kein Zugriff auf Ihr Endgerät vorgenommen (kein Cookie-/LocalStorage-Zugriff). Es werden lediglich Seitenaufrufe gezählt; die Schätzung wiederkehrender Besucher erfolgt über einen serverseitig gebildeten, täglich wechselnden Hash-Wert (aus u. a. IP-Adresse und Browserkennung), der nach Tagesende gelöscht wird und keine Identifizierung Ihrer Person ermöglicht. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datensparsamen, anonymen Reichweitenmessung). (2) Nur mit Ihrer ausdrücklichen Einwilligung werden zusätzlich einzelne Ereignisse, persistente Kennungen, Sitzungsaufzeichnungen (Session Replays) und Fehlerberichte erfasst, wobei alle Eingabefelder (z. B. Passwörter und E-Mail-Adressen) maskiert werden. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG. Das Consent-Banner stammt von Cookiebot (Cybot A/S, Dänemark). Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen. Details siehe Cookie-Richtlinie.

Hosting & CDN: Die Website läuft auf Vercel Inc. (USA). Vercel verarbeitet Verbindungs- und Server-Logdaten (u. a. IP-Adresse, User-Agent, Request-URL) zur Auslieferung und Abwehr von Missbrauch. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb). Drittlandtransfer: EU-US Data Privacy Framework und Standardvertragsklauseln.

Amazon-Partnernet (Affiliate-Links): Auf der Seite „Empfehlungen" werden Links zu amazon.de als Werbung gekennzeichnet. Erst beim aktiven Klick auf einen solchen Link erreichen Sie Amazon — bis dahin werden weder Cookies gesetzt noch Daten an Amazon übertragen (kein Preconnect, kein eingebettetes Skript). Sobald Sie auf einen Affiliate-Link klicken, gelten die Datenschutzbestimmungen von Amazon (Amazon Europe Core S.à r.l., Luxemburg): https://www.amazon.de/gp/help/customer/display.html?nodeId=GVP69FUJ48X9DK8X.

Bot- und Spam-Schutz (Cloudflare Turnstile): Zum Schutz der Anmelde-, Registrierungs- und Passwort-Zurücksetzen-Formulare vor automatisiertem Missbrauch wird Cloudflare Turnstile (Cloudflare, Inc., USA) eingesetzt. Dabei werden technische Daten wie IP-Adresse, Browserkennung und Interaktionssignale verarbeitet; Turnstile arbeitet ohne Tracking-Cookies. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr von Bots und Spam). Drittlandtransfer: EU-US Data Privacy Framework und Standardvertragsklauseln. Datenschutzerklärung: https://www.cloudflare.com/turnstile-privacy-policy/.

9. Auftragsverarbeiter (Übersicht)

Die folgenden Dienstleister verarbeiten personenbezogene Daten im Auftrag von grafcet.io (Auftragsverarbeiter nach Art. 28 DSGVO) bzw. sind Empfänger im Sinne von Art. 13 DSGVO. Drittlandübermittlungen in die USA sind durch das EU-US Data Privacy Framework und/oder Standardvertragsklauseln abgesichert.

  • Supabase Inc. — Authentifizierung, Datenbank, Cloud-Speicher. Standort: EU (Frankfurt). Daten: E-Mail, Passwort-Hash, Profil, Lizenzen, gespeicherte GRAFCETs. Keine Drittlandübermittlung.
  • Vercel Inc. — Hosting, CDN, Cron-Jobs. Standort: USA. Daten: Server-/Request-Logs, IP-Adresse (kurzzeitig), User-Agent. Absicherung: DPF + Standardvertragsklauseln.
  • Cloudflare, Inc. — Bot-/Spam-Schutz im Anmelde-Flow (Turnstile). Standort: USA. Daten: IP-Adresse, Browserkennung, Interaktionssignale. Absicherung: DPF + Standardvertragsklauseln.
  • Lemon Squeezy, LLC — Zahlungsabwicklung (Merchant of Record). Standort: USA. Daten: E-Mail, Transaktions-ID, Zahlungsstatus (keine Karteninhaberdaten). Absicherung: DPF + Standardvertragsklauseln.
  • Resend (Plus Five Five, Inc.) — Transaktions- und Authentifizierungs-E-Mails. Standort: USA. Daten: E-Mail-Adresse. Absicherung: DPF + Standardvertragsklauseln.
  • PostHog Inc. — Reichweitenmessung und (nach Einwilligung) Nutzungsanalyse. Standort: EU-Hosting (Frankfurt); Anbieter USA. Daten: ohne Einwilligung anonymer Tages-Hash und Seitenaufrufe; mit Einwilligung Session-ID, Ereignisse, URLs, Session Replays (Passwörter maskiert). Absicherung: EU-Datenhaltung, ergänzend Standardvertragsklauseln.
  • Cybot A/S (Cookiebot) — Consent-Management. Standort: EU (Dänemark). Daten: Consent-Auswahl, Cookie-ID. Keine Drittlandübermittlung.
  • Google Ireland Ltd. — optionaler OAuth-Login und eingebettete YouTube-Videos (Click-to-Load). Standort: EU/USA. Daten: E-Mail und Google-Konto-ID (Login); bei YouTube nach Klick zusätzliche Nutzungsdaten. Absicherung: DPF + Standardvertragsklauseln.
  • Tally B.V. — Kontakt- und Feedback-Formular. Standort: EU (Belgien). Daten: E-Mail-Adresse, Nachrichteninhalt. Keine Drittlandübermittlung.

Auf Wunsch stellt der Anbieter einen Auftragsverarbeitungsvertrag (AVV) bereit: hi@grafcet.io. Eingeloggte Pro-Kunden können dem Einsatz neuer Auftragsverarbeiter binnen 30 Tagen widersprechen.

10. Ihre Rechte

Nach der DSGVO stehen Ihnen folgende Rechte zu:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch (Art. 21 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — zuständig ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA)

Kontakt: hi@grafcet.io

11. Stand

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand vom 31. Mai 2026.

Datenschutz | grafcet.io