Zurück zur App
Stand: 28. Juni 2026DSGVO · BDSG

Datenschutzerklärung

Wir freuen uns über Ihr Interesse an unserer Anwendung Meistron. Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Nachfolgend informieren wir Sie umfassend über die Verarbeitung Ihrer Daten bei der Nutzung unserer Webanwendung, iOS-App und Android-App gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO:

Verantwortliche Stelle

Hephatron UG (haftungsbeschränkt)

Geschäftsanschrift

Propsteistraße 55
90455 Nürnberg
Deutschland

Registereintrag

Amtsgericht Nürnberg · HRB 46068

Kontakt

E-Mail
info@hephatron.com
Telefon
+49 151 64929870

Vertretung

Geschäftsführer Malik Erdem und Ekrem Bayram
jeweils einzelvertretungsberechtigt

Der unter der Marke „Meistron“ bereitgestellte Dienst wird von der oben genannten Hephatron UG (haftungsbeschränkt) betrieben.

2. Allgemeine Hinweise

Meistron ist eine SaaS-Anwendung (Software as a Service) für Handwerksbetriebe zur Verwaltung von Aufträgen, Terminen, Kunden, Rechnungen und Team-Kommunikation. Die Anwendung ist als Webanwendung, iOS-App und Android-App verfügbar.

Meistron arbeitet mandantenfähig (Multi-Tenant): Jedes Unternehmen (Mandant) hat einen eigenen, strikt getrennten Datenbereich. Innerhalb eines Mandanten gibt es die Rollen Inhaber, Büro und Mitarbeiter mit unterschiedlichen Zugriffsrechten.

Rollen im Datenschutzsinn: Für die Daten, die ein Mandant über seine eigenen Endkunden und Mitarbeiter verarbeitet, ist der jeweilige Mandant Verantwortlicher und die Hephatron UG Auftragsverarbeiter (Art. 28 DSGVO). Den entsprechenden Auftragsverarbeitungsvertrag stellen wir unter meistron.app/legal/avvbereit. Für die Verarbeitung der Konto- und Abrechnungsdaten des Mandanten selbst ist die Hephatron UG Verantwortlicher.

3. Zwecke und Rechtsgrundlagen der Verarbeitung

3.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Verarbeitung erfolgt zur Erfüllung des Nutzungsvertrages: Registrierung und Kontoverwaltung, Auftrags- und Terminverwaltung, Kundenverwaltung, Rechnungserstellung und -versand, Zeiterfassung, Dokumentenerstellung und -archivierung, Team-Kommunikation sowie Zahlungsabwicklung.

3.2 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Für Push-Benachrichtigungen (Web, iOS, Android), die optionale Synchronisierung mit externen Kalendern (iCal), die optionale Anbindung an Lexware Office oder DATEV sowie den optionalen Versand von Rechnungen per Post (Pingen). Die Einwilligung kann jederzeit widerrufen werden.

3.3 Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Technische Bereitstellung und Sicherheit der Anwendung, Fehleranalyse, Schutz vor Missbrauch und Rate Limiting.

3.4 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Steuer- und handelsrechtliche Aufbewahrungspflichten für Rechnungen und Geschäftsunterlagen (6–10 Jahre gemäß HGB/AO).

4. Verarbeitete Datenkategorien

4.1 Bestandsdaten (Nutzerkonto)

  • E-Mail-Adresse, Anzeigename
  • Zugehörigkeit zu einem Mandanten (Unternehmen)
  • Rolle im Unternehmen (Inhaber, Büro, Mitarbeiter)
  • Profilbild (optional)

4.2 Firmendaten

  • Firmenname, Adresse, Telefon, E-Mail, Website
  • USt-IdNr., Steuernummer
  • Bankverbindung (IBAN, BIC, Kontoinhaber)
  • Firmenlogo, Briefkopf
  • Steuerberater-Kontaktdaten (Name, E-Mail, Beraternummer, Mandantennummer)
  • Bundesland (für Feiertagsberechnung)

4.3 Kundendaten

  • Kundenname, Adresse, Telefon, E-Mail
  • Interne Notizen zu Kunden

4.4 Auftragsdaten

  • Auftragsnummer, Titel, Beschreibung
  • Ausführungsort (Adresse)
  • Status, Termine (Datum, Uhrzeit, Dauer)
  • Mitarbeiterzuweisungen
  • Interne Notizen und Checklisten
  • Fotos und Dokumente zur Auftragsdokumentation
  • Skizzen und Zeichnungen
  • Sprachnachrichten (optional)
  • Unterschriften zur Auftragsbestätigung (Name, Zeitstempel, Signatur-Daten)

4.5 Rechnungs- und Zahlungsdaten

  • Rechnungsnummer, Positionen, Beträge, Steuersätze
  • Angebote (Angebotsnummer, Positionen, Gültigkeitsdauer)
  • Zahlungsstatus, Zahlungsmethode
  • Stripe Payment Intent ID (bei Kartenzahlung)
  • Rechnungs-PDFs, Auftragsnachweis-PDFs

4.6 Zeiterfassungsdaten

  • Arbeitszeiteinträge (Beginn, Ende, Dauer)
  • Zuordnung zu Aufträgen und Mitarbeitern
  • Arbeitszeiten und Pausenregelungen

4.7 Technische Daten

  • IP-Adresse, Browsertyp, Betriebssystem (bei Webzugriff)
  • Push-Token (bei aktivierten Benachrichtigungen)
  • Session- und Authentifizierungs-Token
  • Geräte-Informationen bei Unterschriften (Betriebssystem, Browser)

5. Empfänger und Auftragsverarbeiter

Wir setzen folgende Dienstleister als Auftragsverarbeiter ein. Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO bzw. EU-Standardvertragsklauseln.

5.1 Hosting – Vercel Inc.

Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Hosting der Webanwendung, Edge Functions und API-Routen. Verarbeitet: IP-Adressen, Browsertyp, Zeitstempel. Drittlandübermittlung USA auf Grundlage von EU-Standardvertragsklauseln.

5.2 Datenbank und Authentifizierung – Supabase Inc.

Supabase Inc., 970 Toa Payoh North, #07-04, Singapore 318992. Datenbankhosting (PostgreSQL), Authentifizierung, Echtzeit-Funktionalität, Dateispeicherung. Speichert alle anwendungsbezogenen Daten. Datenverarbeitung erfolgt in EU-Rechenzentren (Region eu-west-1). Drittlandübermittlung nach Singapur (Unternehmenssitz) auf Grundlage von Standardvertragsklauseln.

5.3 Zahlungsabwicklung – Stripe Inc.

Stripe Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA. Abonnementverwaltung, Online-Zahlungen und Vor-Ort-Kartenzahlungen (Tap to Pay). Verarbeitet: Zahlungsbeträge, Rechnungsreferenzen, Karteninformationen (tokenisiert – keine Speicherung von Kartennummern bei uns). Drittlandübermittlung USA auf Grundlage von Standardvertragsklauseln. Stripe ist als Zahlungsdienstleister PCI-DSS-zertifiziert.

Bei Nutzung von Tap to Pay (Kartenzahlung per iPhone oder Android-Smartphone) wird zusätzlich der Standort des Geräts verarbeitet (regulatorische Anforderung von Stripe für Kartenzahlungen vor Ort). NFC und Bluetooth werden für die kontaktlose Kartenlesung genutzt.

5.4 E-Mail-Versand – Resend

Resend (Plus Five Five, Inc.), USA. Versand transaktionaler E-Mails: Rechnungsversand an Kunden (inkl. PDF-Anlage), Abo-Bestätigungen, Zahlungsbenachrichtigungen, Magic-Link-Anmeldungen, Team-Einladungen, DATEV-Exporte an Steuerberater. Verarbeitet: Empfänger-E-Mail, Betreff, E-Mail-Inhalt, PDF-Anlagen. Drittlandübermittlung USA auf Grundlage von Standardvertragsklauseln. DPA verfügbar unter resend.com/legal/dpa.

5.5 Briefversand – Pingen GmbH (optional)

Pingen GmbH, Badenerstrasse 47, CH-8004 Zürich, Schweiz. Optionaler Versand von Rechnungen per Brief. Verarbeitet: Empfängeradresse (Name, Straße, PLZ, Ort, Land), Rechnungs-PDF. Pingen druckt und versendet über lokale Druckpartner. Die Schweiz verfügt über ein von der EU anerkanntes angemessenes Datenschutzniveau. Keine Drittlandübermittlung erforderlich.

5.6 Push-Benachrichtigungen – Firebase (Google)

Firebase Cloud Messaging (Google LLC), 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Technischer Versand von Push-Benachrichtigungen an iOS, Android und Web-Browser. Verarbeitet: Push-Token (Gerätekennung), Nachrichteninhalt (Titel, Text). Push-Benachrichtigungen sind optional und erfordern Ihre Einwilligung. Drittlandübermittlung USA auf Grundlage von Standardvertragsklauseln.

5.7 Lexware Office (optional)

Haufe-Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg, Deutschland. Optionale Synchronisierung von Kunden und Rechnungen mit Lexware Office. Verarbeitet: Kundennamen, Adressen, Telefonnummern, E-Mail-Adressen, Rechnungspositionen und -beträge. Die Synchronisierung wird vom Nutzer aktiv eingerichtet und kann jederzeit deaktiviert werden. Verarbeitung in Deutschland/EU.

5.8 DATEV-Export (optional)

Optionaler Export von Rechnungsdaten im DATEV-Buchungsstapelformat (CSV). Der Export wird lokal generiert und kann an die E-Mail-Adresse des Steuerberaters versendet werden (über Resend). Der Export enthält: Rechnungsdaten, Beträge, Steuersätze, Debitorennummern. DATEV selbst erhält keine direkten Daten von uns – die Übermittlung erfolgt durch den Nutzer an seinen Steuerberater.

5.9 Externer Kalenderimport (optional)

Optionale Synchronisierung externer Kalender über ICS-/iCal-Links (z.B. von Google Calendar, Microsoft Outlook, ToolTime). Dabei ruft unser Server den vom Nutzer bereitgestellten Kalender-Link ab und liest Termindaten (Titel, Zeitraum, Ort, Teilnehmer). Die Synchronisierung wird vom Nutzer aktiv eingerichtet und kann jederzeit deaktiviert werden.

5.10 OpenAI – Website-Chatbot und KI-gestützte Angebotserstellung (optional)

OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA. Für unseren optionalen Website-Chatbot nutzen wir das Sprachmodell gpt-4o-mini von OpenAI. Der Chatbot beantwortet Fragen zu Meistron, hilft bei der Orientierung auf der Website und kann eingeloggten Nutzern bestimmte freigegebene Kontodaten anzeigen (nur lesend).

Verarbeitet werden: Ihre Chatnachrichten (Texteingaben), der Verlauf der aktuellen Konversation (wird nicht dauerhaft gespeichert) sowie bei eingeloggten Nutzern die Rolle (Inhaber/Büro/Mitarbeiter). Der Chatbot hat ausschließlich lesenden Zugriff auf freigegebene Datenklassen und kann keine Daten verändern, erstellen oder löschen.

Es werden keine Passwörter, Zahlungsdaten, API-Schlüssel oder vollständige Kundendatensätze an OpenAI übermittelt. Die Nutzung des Chatbots ist freiwillig. Drittlandübermittlung USA auf Grundlage von EU-Standardvertragsklauseln. DPA verfügbar unter openai.com/policies/data-processing-addendum. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines KI-gestützten Kundensupports).

KI-gestützte Angebotserstellung: Innerhalb der App können Inhaber und Büro optional ein Foto, eine Sprachaufnahme oder einen Text erfassen, um daraus automatisch Angebotspositionen vorschlagen zu lassen. Die erfassten Inhalte (Bild, Audio bzw. Text) werden hierfür an OpenAI übermittelt und dort verarbeitet (Bildanalyse bzw. Sprach-Transkription). Es werden nur die zur Positions-Erkennung nötigen Inhalte gesendet; die Rohdaten (Foto/Audio) werden bei uns nicht für KI-Trainingszwecke gespeichertund die Verwendung ist freiwillig (die Positionen können auch manuell erfasst werden). OpenAI nutzt über die API übermittelte Daten gemäß DPA nicht zum Training eigener Modelle. Drittlandübermittlung USA auf Grundlage von EU-Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Angebotserstellung); soweit dabei personenbezogene Daten Dritter auf einem Foto erkennbar sind, liegt die Verantwortung für deren Erfassung beim Mandanten.

5.11 hCaptcha – Missbrauchsschutz (nur „Passwort vergessen“)

Intuition Machines, Inc. (hCaptcha), San Francisco, USA. Zum Schutz der Funktion „Passwort vergessen“ vor automatisiertem Missbrauch kann bei wiederholten Anfragen eine Captcha-Prüfung erforderlich werden. Die Validierung erfolgt serverseitig über die hCaptcha-Schnittstelle; dabei wird das gelöste Captcha-Token an hCaptcha übermittelt. Es werden keine Konto- oder Inhaltsdaten an hCaptcha weitergegeben. Drittlandübermittlung USA auf Grundlage von EU-Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz vor Missbrauch).

5.12 Upstash – Rate-Limiting

Upstash, Inc., USA. Zum Schutz vor Missbrauch (z. B. automatisierte Anfragen, Brute-Force) speichern wir kurzlebige Zugriffszähler in einem Redis-Speicher von Upstash. Verarbeitet werden dabei IP-Adressen bzw. pseudonymisierte Kennungen (z. B. gehashte E-Mail-Adressen) mit automatischen Ablauffristen von wenigen Sekunden bis maximal 24 Stunden. Drittlandübermittlung ggf. USA auf Grundlage von EU-Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit und Missbrauchsschutz).

5.13 Google Maps / OpenStreetMap – Karten und Geocoding

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Auf Auftragsdetailseiten und in der optionalen Tourenplanung binden wir Kartenansichten von Google Maps ein. Beim Laden einer Karte werden Ihre IP-Adresse und die dargestellte Adresse bzw. Koordinate an Google übermittelt. Zusätzlich geocodieren wir Auftragsadressen serverseitig über die Google Geocoding API (übermittelt wird die Auftragsadresse, keine Nutzerkennung). Ergänzend bzw. als Fallback nutzen wir Kartenkacheln und Ortssuche von OpenStreetMap/Nominatim (OpenStreetMap Foundation, Vereinigtes Königreich). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Darstellung von Einsatzorten); Drittlandübermittlung ggf. auf Grundlage von EU-Standardvertragsklauseln bzw. Angemessenheitsbeschluss (UK).

5.14 CDN-Abruf für Audio-Konvertierung (unpkg)

Bei Nutzung der Sprachnotiz-Funktion in der Web-App wird eine Konvertierungs-Bibliothek (FFmpeg WebAssembly) einmalig vom CDN unpkg.com (betrieben von Cloudflare, Inc., USA) geladen; dabei wird Ihre IP-Adresse an das CDN übermittelt. Die Audio-Verarbeitung selbst findet vollständig lokal in Ihrem Browser statt — die Aufnahme verlässt dabei nicht Ihr Gerät. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

5.15 Kostenlose Online-Werkzeuge (ohne Anmeldung)

Auf meistron.app/werkzeuge bieten wir kostenlose Hilfsmittel an (Rechnungs-, Angebots- und Mahnungs-Generator, GiroCode-Generator, Stundenzettel-Vorlage). Diese Werkzeuge laufen vollständig in Ihrem Browser. Die von Ihnen eingegebenen Daten (z. B. Firmen-, Kunden- und Rechnungsangaben, IBAN) werden nicht an unsere Server übertragen und nicht gespeichert; das erzeugte PDF bzw. der QR-Code entsteht lokal auf Ihrem Gerät. Lediglich der Briefkopf wird auf Wunsch in Ihrem lokalen Browser-Speicher (localStorage) gemerkt, damit Sie ihn nicht erneut eingeben müssen — er verlässt Ihr Gerät nicht. Es findet insoweit keine Verarbeitung personenbezogener Daten durch uns statt.

5.16 E-Mail-Versand über Ihr eigenes Konto (Google / Microsoft / SMTP) (optional)

Sie können optional Ihr eigenes E-Mail-Konto verbinden, damit Rechnungen, Angebote und Mahnungen über Ihre eigene Absenderadresse (statt über unseren System-Absender, siehe 5.4) versendet werden. Dafür stehen drei Wege zur Verfügung: Google (Gmail) über Google OAuth 2.0 mit der Berechtigung gmail.send (ausschließlich Senden, kein Lesen Ihres Postfachs); Microsoft (Outlook/Microsoft 365) über Microsoft OAuth 2.0 mit der Berechtigung Mail.Send; oder SMTP über die Zugangsdaten Ihres eigenen Mailservers.

Verarbeitet werden: die zur Verbindung erforderlichen OAuth-Zugriffs-/Aktualisierungs-Token bzw. SMTP-Zugangsdaten (verschlüsselt gespeichert, AES-256-GCM), Ihre E-Mail-Adresse und Ihr Anzeigename als Absender sowie der jeweils versendete E-Mail-Inhalt (Empfänger, Betreff, Text, PDF-Anlage). Wir lesen Ihr Postfach nicht und greifen ausschließlich sendend zu. Die Verbindung ist freiwillig und kann jederzeit in den Einstellungen getrennt werden (Widerruf der Token).

Google API Services – eingeschränkte Nutzung (Limited Use): Die Nutzung und Weitergabe der von Google-APIs empfangenen Informationen durch Meistron hält die Google API Services User Data Policy ein, einschließlich der Anforderungen zur eingeschränkten Nutzung (Limited Use). Die über gmail.send erhaltene Berechtigung wird ausschließlich zum Versand der von Ihnen veranlassten E-Mails genutzt — nicht für Werbung, nicht zur Profilbildung und nicht zum Training von KI-Modellen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO (Versand über die von Ihnen gewünschte Absenderidentität). Drittlandübermittlung (Google LLC bzw. Microsoft Corporation, USA) ggf. auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

6. Cookies und Speichertechnologien

Unsere Anwendung verwendet ausschließlich technisch notwendige Cookies und lokale Speichermechanismen:

  • Authentifizierungs-Cookies (sb-*): Sitzungsverwaltung nach dem Login. Technisch erforderlich für die Nutzung der Anwendung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
  • Cookie-Einwilligung (localStorage: plannercal_cookie_consent): Speicherung Ihrer Cookie-Einstellungen zur Vermeidung wiederholter Hinweise.
  • UI-Einstellungen (localStorage: tour-*, edu-dismissed-*): Speicherung von Einführungs-/Hilfe-Einstellungen zur Verbesserung der Nutzererfahrung.

Es werden keine Tracking-Cookies, Analyse-Cookies, Werbe-Cookies oder Social-Media-Plugins eingesetzt. Es werden keine Daten an Werbedienstleister oder Analysedienste übermittelt. Weiterführende Informationen finden Sie auf unserer Cookie-Informationsseite.

7. Mobile Apps (iOS und Android)

Unsere iOS- und Android-Apps verarbeiten die gleichen Datenkategorien wie die Webanwendung. Zusätzlich werden folgende Gerätefunktionen genutzt (jeweils nur mit Ihrer ausdrücklichen Erlaubnis):

  • Kamera: Für die Foto-Dokumentation von Aufträgen.
  • Fotobibliothek: Zum Hochladen und Speichern von Fotos.
  • Mikrofon: Für optionale Sprachnachrichten.
  • NFC / Bluetooth / Standort: Für Tap-to-Pay-Kartenzahlungen (Stripe Terminal). Der Standort wird nur während der Zahlungsabwicklung abgefragt und nicht gespeichert.
  • Push-Benachrichtigungen: Terminhinweise, Auftragsbenachrichtigungen, Team-Nachrichten. Optional und jederzeit deaktivierbar.

Die Apps verwenden keine Werbe-/Analyse-SDKs und kein App-Tracking (kein IDFA/Advertising ID); Firebase Analytics ist deaktiviert. Die Android-App nutzt Firebase Crashlytics (Google) ausschließlich zur Stabilitäts- und Absturzdiagnose. Dabei werden ausschließlich technische Diagnosedaten übermittelt: Absturz-Stacktrace, Gerätemodell/-hersteller, Android-Version und – im Fehlerfall einer Kartenzahlung – eine Stripe-Transaktionsreferenz (z. B. pi_…). KeineKartendaten, Kundennamen oder E-Mail-Adressen. Rechtsgrundlage ist unser berechtigtes Interesse an der Stabilität und Sicherheit der Bezahlfunktion (Art. 6 Abs. 1 lit. f DSGVO). Die iOS-App verwendet kein Crash-Reporting. Firebase wird im Übrigen nur für Push-Benachrichtigungen genutzt.

Authentifizierungs-Token werden verschlüsselt gespeichert (iOS: Keychain, Android: EncryptedSharedPreferences). Offline-Daten werden in einer lokalen Datenbank zwischengespeichert und bei Verbindung synchronisiert.

8. Drittlandübermittlungen

Bei folgenden Dienstleistern erfolgt eine Datenübermittlung in Drittländer außerhalb des EWR:

  • USA: Vercel (Hosting), Stripe (Zahlungen), Resend (E-Mail), Firebase/Google (Push & Android-Absturzdiagnose/Crashlytics), Google (Karten/Geocoding, siehe 5.13), Intuition Machines/hCaptcha (Missbrauchsschutz, siehe 5.11), Upstash (Rate-Limiting, siehe 5.12), Cloudflare/unpkg (CDN, siehe 5.14) – jeweils auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
  • Schweiz: Pingen (Briefversand) – Angemessenheitsbeschluss der EU-Kommission vorhanden.
  • Singapur: Supabase (Unternehmenssitz; Datenverarbeitung in EU-Rechenzentren) – Standardvertragsklauseln.

9. Speicherdauer und Löschung

  • Nutzerkontodaten: Bis zur Kontolöschung. Nach Kündigung und Ablauf der Kündigungsfrist (30 Tage) werden Daten gelöscht, sofern keine Aufbewahrungspflichten entgegenstehen.
  • Auftrags- und Kundendaten: 3 Jahre nach Auftragsabschluss (dann archivierbar). Archivierte Aufträge werden nach Bestätigung durch den Inhaber gelöscht.
  • Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht gemäß § 147 AO, § 257 HGB).
  • Fotos und Dokumente: Folgen der Aufbewahrungs-frist des zugehörigen Auftrags.
  • Push-Token: Bis zur Deaktivierung der Benachrichtigungen oder Kontolöschung.
  • Server-Logfiles: Maximal 30 Tage (Vercel-Standard).
  • Inaktive Konten: 30 Tage nach Inaktivierung wird das Konto archiviert. Nach weiteren 30 Tagen Löschung, sofern keine Aufbewahrungspflichten bestehen.

10. Ihre Rechte

Sie haben folgende Rechte gemäß DSGVO:

  • Auskunft (Art. 15): Über die Sie betreffenden personenbezogenen Daten.
  • Berichtigung (Art. 16): Korrektur unrichtiger oder unvollständiger Daten.
  • Löschung (Art. 17): Löschung Ihrer Daten, sofern keine Aufbewahrungspflichten bestehen.
  • Einschränkung (Art. 18): Einschränkung der Verarbeitung unter bestimmten Voraussetzungen.
  • Datenübertragbarkeit (Art. 20): Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format.
  • Widerspruch (Art. 21): Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen. Insbesondere können Sie der KI-gestützten Bearbeitung Ihrer Support-Anfragen widersprechen (siehe 5.10); Ihre Anfrage wird dann ausschließlich durch einen Menschen bearbeitet. Den Widerspruch richten Sie an info@meistron.de – es entsteht kein Nachteil.
  • Widerruf der Einwilligung (Art. 7 Abs. 3): Jederzeit mit Wirkung für die Zukunft.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@meistron.de

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder unseres Unternehmenssitzes (Bayerisches Landesamt für Datenschutzaufsicht, Promenade 18, 91522 Ansbach).

11. Technische Sicherheitsmaßnahmen

  • Verschlüsselte Datenübertragung (TLS/HTTPS) auf allen Plattformen
  • Row-Level Security (RLS) in der Datenbank für strikte Mandantentrennung
  • Rollenbasierte Zugriffskontrolle (Inhaber, Büro, Mitarbeiter)
  • Verschlüsselte Token-Speicherung auf mobilen Geräten (iOS Keychain, Android EncryptedSharedPreferences)
  • Rate Limiting auf API-Endpunkten
  • Webhook-Signaturverifikation (Stripe)
  • Idempotenz-Schutz bei Zahlungsverarbeitung
  • Auftragsverarbeitungsverträge mit allen Dienstleistern

12. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt.

13. Änderungen

Diese Datenschutzerklärung wird bei Bedarf angepasst. Die aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir Sie gesondert.

Diese Datenschutzerklärung wird laufend an die tatsächlich eingesetzten Dienste und Datenverarbeitungen angepasst.

Stand: 10. Juni 2026

    Tron

    Dein Meistron-Assistent

    Willkommen! Ich bin Tron, dein Meistron-Assistent. Wie kann ich dir helfen?