Datenschutzerklärung
Diese Datenschutzerklärung gilt für paasbox.com (die öffentliche Website) und für die
Kundenkonsole unter console.paasbox.com (Konto, Team, Abrechnung, Cluster) samt API.
Maßgeblich ist diese deutsche Fassung; die englischsprachige Version dieser Seite ist eine
unverbindliche Übersetzung (convenience translation).
Die Konsole zeigt diese Datenschutzerklärung bei der Registrierung an.
Bei der Nutzung der Konsole ist zu unterscheiden, in welcher Rolle wir verarbeiten: als Verantwortlicher (Konto, Team, Abrechnung, Support) oder als Auftragsverarbeiter (die personenbezogenen Daten innerhalb Ihres Clusters und Ihres Hetzner-Projekts). Für die Auftragsverarbeitung gilt zusätzlich der Vertrag zur Auftragsverarbeitung (AVV); die beiden Dokumente widersprechen sich in der Rollenverteilung nicht.
Verantwortlicher: TODO(owner): Name und Anschrift des Rechtsträgers, wie im Impressum. Kontakt: support@paasbox.com.
Website: Was wir verarbeiten
Abschnitt betitelt „Website: Was wir verarbeiten“Server-Logs
Abschnitt betitelt „Server-Logs“Wie praktisch jeder Webserver protokolliert auch unserer Zugriffe: IP-Adresse, Zeitstempel, aufgerufene URL, Referrer und Browser-Kennung. Wir nutzen diese Logs, um die Website sicher zu betreiben und Störungen zu diagnostizieren (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO). Die Logs werden nur kurzfristig aufbewahrt und nicht mit anderen Daten zusammengeführt.
Analytics – keine Cookies, kein Consent-Banner nötig
Abschnitt betitelt „Analytics – keine Cookies, kein Consent-Banner nötig“Wir verwenden eine selbst betriebene Instanz von umami, einem datenschutzfreundlichen Analytics-Tool. Es setzt keine Cookies, speichert keine dauerhaften Kennungen, verfolgt Sie nicht über andere Websites hinweg und aggregiert Seitenaufrufe anonym. IP-Adressen werden nicht gespeichert. Da weder Cookies noch vergleichbare Kennungen zum Einsatz kommen und keine persönlichen Profile erstellt werden, ist kein Consent-Banner erforderlich; Rechtsgrundlage ist unser berechtigtes Interesse an der aggregierten Auswertung der Website-Nutzung (Art. 6 Abs. 1 lit. f DSGVO). Die Analytics-Daten verlassen unsere eigene Infrastruktur nicht.
Newsletter
Abschnitt betitelt „Newsletter“Wenn Sie den Newsletter abonnieren, verarbeiten wir Ihre E-Mail-Adresse für den Versand – mit Double-Opt-in (Sie bestätigen das Abonnement per E-Mail) und einem Abmeldelink in jeder Mail. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), jederzeit widerrufbar. Der Versand erfolgt über Mailjet (EU-Rechenzentren) als Auftragsverarbeiter. Bis der Newsletter startet, werden keine Abonnementdaten erhoben.
Kontakt per E-Mail
Abschnitt betitelt „Kontakt per E-Mail“Wenn Sie uns eine E-Mail schreiben, verarbeiten wir Ihre Adresse und den Inhalt Ihrer Nachricht, um sie zu beantworten (Art. 6 Abs. 1 lit. b bzw. f DSGVO). Support-Korrespondenz wird so lange aufbewahrt, wie es für die Bearbeitung des Anliegens und etwaiger Rückfragen nötig ist.
Kundenkonsole: Verarbeitung als Verantwortlicher
Abschnitt betitelt „Kundenkonsole: Verarbeitung als Verantwortlicher“Für die folgenden Verarbeitungen sind wir Verantwortlicher. Die Kategorien ergeben sich aus den tatsächlich erhobenen Daten der Konsole.
Konto und Anmeldung
Abschnitt betitelt „Konto und Anmeldung“Für Ihr Nutzerkonto verarbeiten wir Name, E-Mail-Adresse, ein verschlüsselt gespeichertes Passwort, den Bestätigungsstatus Ihrer E-Mail-Adresse sowie optional Profilbild, Sprache und Zeitzone. Rechtsgrundlage ist die Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Wir bewahren diese Daten für die Dauer des Kontos auf und löschen sie danach, soweit keine gesetzliche Aufbewahrungspflicht besteht.
Team und Mitglieder
Abschnitt betitelt „Team und Mitglieder“Konten sind in Teams organisiert. Wir verarbeiten Teamname, Mitgliedschaften und Rollen sowie Einladungen (E-Mail-Adresse der eingeladenen Person und einladende Person). Rechtsgrundlage ist die Vertragserfüllung und unser berechtigtes Interesse an der Verwaltung der Zusammenarbeit im Team (Art. 6 Abs. 1 lit. b und f DSGVO).
Abrechnung über Stripe
Abschnitt betitelt „Abrechnung über Stripe“Die Abrechnung erfolgt über den Zahlungsdienstleister Stripe als Auftragsverarbeiter. Wir verarbeiten die zur Abrechnung nötigen Daten (Kunden- und Abonnementkennungen bei Stripe, Tarif, Währung, Zahlungsstatus, Rechnungs- und Nutzungsdaten, Ausgabelimits und Guthaben). Vollständige Kartendaten verarbeiten wir nicht; diese werden unmittelbar von Stripe erhoben und verarbeitet. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie die Erfüllung gesetzlicher Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO). Rechnungsrelevante Unterlagen bewahren wir nach den handels- und steuerrechtlichen Fristen auf (i. d. R. bis zu zehn Jahre, § 147 AO, § 257 HGB).
Support und Chat
Abschnitt betitelt „Support und Chat“Wenn Sie den Support kontaktieren oder die Chat-/Assistenzfunktion der Konsole nutzen, verarbeiten wir die Inhalte Ihrer Nachrichten, um Ihr Anliegen zu bearbeiten (Art. 6 Abs. 1 lit. b bzw. f DSGVO). Diese Daten werden so lange aufbewahrt, wie es für die Bearbeitung und Nachvollziehbarkeit nötig ist.
Ihr Hetzner-API-Token
Abschnitt betitelt „Ihr Hetzner-API-Token“Um Cluster in Ihrem eigenen Hetzner-Projekt zu verwalten, stellen Sie ein Hetzner-API-Token bereit. Wir speichern es verschlüsselt, zeigen es nach der Validierung nie wieder an (auch nicht im Portal, in der API oder gegenüber dem Support) und nutzen es ausschließlich weisungsgemäß zur Verwaltung Ihrer Cluster-Ressourcen. Sie können es jederzeit rotieren oder bei Hetzner widerrufen. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Cluster-Metadaten und Aktivitätsprotokoll
Abschnitt betitelt „Cluster-Metadaten und Aktivitätsprotokoll“Wir verarbeiten die zur Bereitstellung nötigen Cluster-Metadaten (u. a. Cluster- und Teamname, Region, Kubernetes-Version, Konfiguration, Status) sowie ein Aktivitätsprotokoll der Cluster- und Abrechnungsvorgänge (einschließlich der auslösenden Person und der auditierten Ausstellung kurzlebiger kubeconfig-Zugangsdaten). Rechtsgrundlage ist die Vertragserfüllung und unser berechtigtes Interesse an Sicherheit und Nachvollziehbarkeit (Art. 6 Abs. 1 lit. b und f DSGVO).
API-Schlüssel
Abschnitt betitelt „API-Schlüssel“Programmatische Zugriffe erfolgen über API-Schlüssel, die wir nur als Hash speichern; sie sind an Nutzer und Team gebunden. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Server-Logs der Plattform
Abschnitt betitelt „Server-Logs der Plattform“Wie beim Website-Server protokolliert auch die Plattform Zugriffe (u. a. IP-Adresse, Zeitstempel, Anfrage), um die Konsole und die API sicher zu betreiben und Störungen zu diagnostizieren (Art. 6 Abs. 1 lit. f DSGVO). Die Logs werden nur kurzfristig aufbewahrt.
Kundenkonsole: Verarbeitung als Auftragsverarbeiter
Abschnitt betitelt „Kundenkonsole: Verarbeitung als Auftragsverarbeiter“Für die personenbezogenen Daten innerhalb Ihres Clusters sind Sie verantwortlich; wir verarbeiten sie ausschließlich in Ihrem Auftrag nach dem AVV. Konkret:
- Anwendungs- und Workload-Daten (Inhalte auf Worker-Knoten, in Volumes und Datenbanken) liegen ausschließlich in Ihrem eigenen Hetzner-Projekt. Wir greifen darauf nicht zu.
- Der beim Anbieter gehaltene Steuerungsebenen-Zustand (etcd) samt Sicherungen kann von Ihnen dort abgelegte personenbezogene Daten enthalten (z. B. in Kubernetes-Secrets/-ConfigMaps). Diesen verarbeiten wir nur weisungsgemäß und ausschließlich in der EU; er wird mit Löschung des Clusters bzw. Vertragsende gelöscht. Sie können ihn zuvor jederzeit über kubeconfig/API exportieren.
Welche personenbezogenen Daten dort enthalten sind, bestimmen allein Sie; wir werten die Inhalte nicht aus. Einzelheiten (Kategorien, technische und organisatorische Maßnahmen, Unterauftragsverarbeiter) regelt der AVV.
Empfänger und Auftragsverarbeiter
Abschnitt betitelt „Empfänger und Auftragsverarbeiter“Wir setzen sorgfältig ausgewählte Auftragsverarbeiter ein:
- Stripe — Abrechnung (siehe oben).
- Mailjet — Newsletter-Versand (EU-Rechenzentren; siehe oben).
- Hetzner — Betrieb der Plattform- und Steuerungsebenen-Infrastruktur (Seeds, etcd) in EU-Rechenzentren. Für die Ressourcen in Ihrem eigenen Hetzner-Projekt besteht Ihr eigenständiges Vertragsverhältnis mit Hetzner.
- S3-kompatibler Objektspeicher (EU) — Ablage der etcd-Sicherungen.
Wo die Daten liegen
Abschnitt betitelt „Wo die Daten liegen“Website, Konsole und die von uns betriebenen Steuerungsebenen laufen in Hetzner-Rechenzentren in der Europäischen Union. Analytics-Daten bleiben auf unserer eigenen Infrastruktur; Newsletter-Daten verarbeitet Mailjet in der EU; der Cluster-Zustand (etcd) und dessen Sicherungen liegen in der EU. Ihre Anwendungsdaten liegen in Ihrem eigenen Hetzner-Projekt in der EU. Eine Ausnahme kann die Abrechnung über Stripe darstellen.
Im Übrigen übertragen wir keine Daten in Länder außerhalb der EU/des EWR.
Ihre Rechte als betroffene Person
Abschnitt betitelt „Ihre Rechte als betroffene Person“Nach der DSGVO haben Sie das Recht auf Auskunft über Ihre personenbezogenen Daten, auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit, und Sie können einer Verarbeitung widersprechen, die auf berechtigtem Interesse beruht. Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Außerdem haben Sie das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen. Zur Ausübung dieser Rechte genügt eine E-Mail an support@paasbox.com.
Änderungen
Abschnitt betitelt „Änderungen“Wir aktualisieren diese Datenschutzerklärung, wenn sich die Datenverarbeitung von Website oder Konsole ändert (zum Beispiel, wenn der Newsletter startet oder ein Auftragsverarbeiter hinzukommt). Die jeweils aktuelle Fassung finden Sie stets unter dieser Adresse.
Zuletzt aktualisiert: 2026-07-09.