Privacy Policy

Last updated: 1 May 2025 · Effective: 1 May 2025

1. Controller

The controller responsible for the processing of personal data on this website and through the Vindaris platform is:

[COMPANY NAME]
[Street and Number]
[Postcode] [City], Germany
E-mail: privacy@vindaris.com
Commercial Register: [Amtsgericht …], HRB [……]

For all data protection enquiries please contact us at privacy@vindaris.com.

2. Scope and purpose of this policy

This Privacy Policy explains what personal data we collect when you visit our website (vindaris.com) and when you use the Vindaris platform (app.vindaris.com), why we collect it, the legal basis for doing so, and your rights as a data subject under the General Data Protection Regulation (GDPR / Regulation (EU) 2016/679) and the German Federal Data Protection Act (BDSG).

3. Hosting and infrastructure

The Vindaris platform and all associated data are hosted exclusively on servers operated by:

Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen, Germany
Data centre: Nuremberg, Germany (EU/EEA)

Hetzner processes personal data on our behalf as a data processor pursuant to Art. 28 GDPR. A Data Processing Agreement (DPA) in accordance with Art. 28 GDPR is in place. All data remain within the European Union. No transfers to third countries (outside the EU/EEA) take place in connection with our core hosting.

4. Data we collect and how we use it

4.1 Website visits (vindaris.com)

When you visit our website, our web server automatically records the following data in server log files:

IP address (anonymised after 24 hours)
Date and time of the request
URL requested and HTTP status code
Referring URL (if any)
Browser type and version, operating system

Legal basis: Art. 6(1)(f) GDPR — our legitimate interest in maintaining the security and technical operation of the website. Log files are deleted after 7 days.

4.2 Account registration and platform use

When you register for a Vindaris account we collect:

Name and e-mail address
Company name (optional at registration)
Password (stored as a bcrypt hash; we never store plaintext passwords)
Billing address and VAT number (for invoicing)

Legal basis: Art. 6(1)(b) GDPR — performance of the contract (provision of the Vindaris service).

We also process platform usage data (feature interactions, page views within the application, error logs) to operate and improve the service.

Legal basis: Art. 6(1)(f) GDPR — our legitimate interest in the stable, secure, and improved operation of the platform.

4.3 Integration data

When you connect a third-party tool (e.g. HubSpot, Microsoft Planner, Google Tasks), Vindaris reads and synchronises task and project data from those tools to provide the alignment service. This data is processed on your behalf as described in your contract with us and is subject to the Data Processing Agreement.

Legal basis: Art. 6(1)(b) GDPR — performance of the contract.

4.4 Communication

When you contact us by e-mail or via the contact form, we process your name, e-mail address, and the content of your message to respond to your enquiry.

Legal basis: Art. 6(1)(f) GDPR — our legitimate interest in responding to enquiries; Art. 6(1)(b) GDPR where the communication is pre-contractual or contractual in nature.

4.5 Cookies and similar technologies

Our website uses technically necessary cookies (session cookie, CSRF token) to operate the site. We do not use tracking, advertising, or analytics cookies without your explicit consent.

If you consent to optional analytics cookies, we process pseudonymous usage data to understand how visitors interact with the website. You may withdraw this consent at any time via our cookie settings.

Legal basis: Art. 6(1)(c) GDPR for strictly necessary cookies; Art. 6(1)(a) GDPR for all others.

5. Disclosure to third parties

We do not sell personal data. We share data only where necessary:

Hetzner Online GmbH — hosting and infrastructure (DPA in place, EU data centre)
Payment processor — billing and invoicing (details disclosed at checkout; DPA in place)
Law, safety, and fraud — where required by applicable law or to protect the rights and safety of Vindaris or others

6. Retention periods

We retain personal data only as long as necessary for the purpose for which it was collected:

Server logs: 7 days
Account data: For the duration of the contract, plus 30 days after termination to allow data export, then deleted
Invoice data: 10 years (§ 147 AO — German tax retention obligation)
Support correspondence: 3 years from last contact

7. Your rights as a data subject

Under GDPR, you have the following rights. To exercise any of them, contact us at privacy@vindaris.com:

Right of access (Art. 15 GDPR) — to obtain a copy of the personal data we hold about you
Right to rectification (Art. 16 GDPR) — to have inaccurate data corrected
Right to erasure (Art. 17 GDPR) — to have data deleted where the legal basis no longer applies
Right to restriction (Art. 18 GDPR) — to restrict processing in certain circumstances
Right to data portability (Art. 20 GDPR) — to receive your data in a machine-readable format
Right to object (Art. 21 GDPR) — to object to processing based on legitimate interests
Right to withdraw consent (Art. 7(3) GDPR) — at any time, without affecting prior processing

We will respond to requests within 30 days.

8. Right to lodge a complaint

You have the right to lodge a complaint with a supervisory authority if you believe that the processing of your personal data infringes the GDPR. The supervisory authority competent for our registered address is:

[Relevant Landesbehörde — to be completed based on registered address]
Example if registered in Bavaria: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach, www.lda.bayern.de

9. Security

We implement appropriate technical and organisational measures (TOMs) as required by Art. 32 GDPR to protect your personal data against unauthorised access, alteration, disclosure, or destruction. See our Security page for details.

10. Changes to this policy

We may update this Privacy Policy from time to time. We will notify registered users of material changes by e-mail. The date at the top of this page reflects the most recent revision.

Deutsche Version

Datenschutzerklärung

Stand: 1. Mai 2025 · Gültig ab: 1. Mai 2025

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

[UNTERNEHMENSNAME]
[Straße und Hausnummer]
[PLZ] [Ort], Deutschland
E-Mail: privacy@vindaris.com
Handelsregister: [Amtsgericht …], HRB [……]

Bei allen Fragen zum Datenschutz wende dich bitte an privacy@vindaris.com.

2. Zweck dieser Datenschutzerklärung

Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten wir beim Besuch unserer Website (vindaris.com) und bei der Nutzung der Vindaris-Plattform (app.vindaris.com) erheben, warum wir diese erheben, auf welcher Rechtsgrundlage dies geschieht und welche Rechte dir als betroffener Person nach der DSGVO und dem Bundesdatenschutzgesetz (BDSG) zustehen.

3. Hosting und Infrastruktur

Die Vindaris-Plattform und alle damit verbundenen Daten werden ausschließlich auf Servern gehostet, die betrieben werden von:

Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen, Deutschland
Rechenzentrum: Nürnberg, Deutschland (EU/EWR)

Hetzner verarbeitet personenbezogene Daten in unserem Auftrag als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist abgeschlossen. Alle Daten verbleiben innerhalb der Europäischen Union. Es finden keine Übermittlungen in Drittländer (außerhalb der EU/des EWR) statt.

4. Erhobene Daten und deren Verwendung

4.1 Website-Besuche (vindaris.com)

Bei jedem Aufruf unserer Website erfasst unser Webserver automatisch folgende Daten in Server-Logdateien:

IP-Adresse (nach 24 Stunden anonymisiert)
Datum und Uhrzeit der Anfrage
Aufgerufene URL und HTTP-Statuscode
Verweisende URL (Referrer), sofern vorhanden
Browsertyp und -version, Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an der Sicherheit und dem technischen Betrieb der Website. Logdateien werden nach 7 Tagen gelöscht.

4.2 Kontoregistrierung und Plattformnutzung

Bei der Registrierung eines Vindaris-Kontos erheben wir:

Name und E-Mail-Adresse
Unternehmensname (optional bei der Registrierung)
Passwort (als bcrypt-Hash gespeichert; wir speichern niemals Klartextpasswörter)
Rechnungsadresse und USt-IdNr. (für die Rechnungsstellung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Bereitstellung des Vindaris-Dienstes).

Wir verarbeiten außerdem Plattform-Nutzungsdaten (Funktionsinteraktionen, Seitenaufrufe innerhalb der Anwendung, Fehlerprotokolle), um den Dienst zu betreiben und zu verbessern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse am stabilen, sicheren und verbesserten Betrieb der Plattform.

4.3 Integrationsdaten

Wenn du ein Drittanbieter-Tool (z. B. HubSpot, Microsoft Planner, Google Tasks) verbindest, liest und synchronisiert Vindaris Aufgaben- und Projektdaten aus diesen Tools, um den Ausrichtungsdienst bereitzustellen. Diese Daten werden in deinem Auftrag verarbeitet, wie in deinem Vertrag mit uns beschrieben, und unterliegen dem Auftragsverarbeitungsvertrag.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung.

4.4 Kommunikation

Wenn du uns per E-Mail oder über das Kontaktformular kontaktierst, verarbeiten wir deinen Namen, deine E-Mail-Adresse und den Inhalt deiner Nachricht, um auf deine Anfrage zu antworten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an der Beantwortung von Anfragen; Art. 6 Abs. 1 lit. b DSGVO, sofern die Kommunikation vorvertraglich oder vertraglich ist.

4.5 Cookies und ähnliche Technologien

Unsere Website verwendet technisch notwendige Cookies (Session-Cookie, CSRF-Token), um den Betrieb der Website zu gewährleisten. Wir verwenden keine Tracking-, Werbe- oder Analyse-Cookies ohne deine ausdrückliche Einwilligung.

Wenn du optionalen Analyse-Cookies zustimmst, verarbeiten wir pseudonyme Nutzungsdaten, um zu verstehen, wie Besucher mit der Website interagieren. Du kannst diese Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO für technisch notwendige Cookies; Art. 6 Abs. 1 lit. a DSGVO für alle übrigen.

5. Weitergabe an Dritte

Wir verkaufen keine personenbezogenen Daten. Eine Weitergabe erfolgt nur, soweit erforderlich:

Hetzner Online GmbH – Hosting und Infrastruktur (AVV abgeschlossen, EU-Rechenzentrum)
Zahlungsdienstleister – Abrechnung und Rechnungsstellung (Details werden beim Checkout offengelegt; AVV abgeschlossen)
Gesetz, Sicherheit und Betrug – soweit gesetzlich vorgeschrieben oder zum Schutz der Rechte und der Sicherheit von Vindaris oder anderen

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den Zweck erforderlich ist, für den sie erhoben wurden:

Server-Logdateien: 7 Tage
Kontodaten: Für die Vertragsdauer, zuzüglich 30 Tage nach Vertragsbeendigung für den Datenexport, danach Löschung
Rechnungsdaten: 10 Jahre (§ 147 AO – steuerliche Aufbewahrungspflicht)
Support-Korrespondenz: 3 Jahre ab letztem Kontakt

7. Deine Rechte als betroffene Person

Nach der DSGVO stehen dir folgende Rechte zu. Zur Ausübung wende dich an privacy@vindaris.com:

Auskunftsrecht (Art. 15 DSGVO) – Kopie der über dich gespeicherten personenbezogenen Daten
Recht auf Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten
Recht auf Löschung (Art. 17 DSGVO) – Löschung von Daten, wenn die Rechtsgrundlage entfällt
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) – in bestimmten Fällen
Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Erhalt deiner Daten in einem maschinenlesbaren Format
Widerspruchsrecht (Art. 21 DSGVO) – gegen Verarbeitungen auf Basis berechtigter Interessen
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – jederzeit, ohne Auswirkung auf die vorherige Verarbeitung

Wir beantworten Anfragen innerhalb von 30 Tagen.

8. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt. Die für unseren Unternehmenssitz zuständige Aufsichtsbehörde ist:

[Zuständige Landesbehörde – entsprechend dem eingetragenen Sitz einzutragen]
Beispiel bei Sitz in Bayern: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach, www.lda.bayern.de

9. Sicherheit

Wir ergreifen angemessene technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO, um deine personenbezogenen Daten vor unbefugtem Zugriff, Änderung, Offenlegung oder Vernichtung zu schützen. Details findest du auf unserer Sicherheitsseite.

10. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Über wesentliche Änderungen informieren wir registrierte Nutzer per E-Mail. Das Datum oben auf dieser Seite gibt die letzte Überarbeitung an.