Datenverarbeitung
Zuletzt aktualisiert: 11. März 2026
Wie Daten im Independo-Ökosystem verarbeitet werden
Bei Independo entwickeln wir unsere Produkte so, dass sie Menschen unterstützen - nicht in ihre Privatsphäre eingreifen.
Diese Seite gibt einen praktischen Überblick darüber, wie Daten im gesamten Independo-Ökosystem verarbeitet werden, einschließlich Independo Calendar, Independo Journal und des Independo Documentation Portal. Sie ergänzt unsere Datenschutzerklärung, Allgemeinen Geschäftsbedingungen und AGB für Geschäftskunden, indem sie in klarer Sprache erläutert, wie Daten im alltäglichen Einsatz verarbeitet werden.
Unser Ziel ist es, transparent zu machen, was mit Nutzerdaten passiert, warum bestimmte Verarbeitungen notwendig sind und was wir tun, um Zugriffe zu begrenzen, unnötige Offenlegung zu vermeiden und einen datenschutzbewussten Umgang mit Daten zu unterstützen.
Was das Independo-Ökosystem umfasst
Das Independo-Ökosystem umfasst verschiedene Produkte, die einzeln oder gemeinsam genutzt werden können.
Je nach Kontext verwenden Nutzer:innen nur ein Produkt oder kombinieren mehrere Produkte in einem gemeinsamen Setup. In manchen Fällen wird ein Produkt privat von einer Einzelperson genutzt. In anderen Fällen wird es gemeinsam mit Familie, einem Unterstützungsnetzwerk oder einer Organisation verwendet. Das konkrete Produkterlebnis kann sich im Laufe der Zeit weiterentwickeln, die auf dieser Seite beschriebenen Grundsätze zur Datenverarbeitung sollen jedoch stabil bleiben.
Welche Arten von Daten wir verarbeiten können
Je nach Produkt, Konto-Setup und Art der Nutzung können wir unter anderem folgende Daten verarbeiten:
- Konto- und Anmeldeinformationen
- Profil- und organisationsbezogene Informationen
- Kalender- und Planungsdaten
- journal- oder tagebuchartige Einträge
- dokumentations- und unterstützungsbezogene Aufzeichnungen
- hochgeladene Dateien, Bilder, Audiodateien und andere Anhänge
- technische und betriebliche Protokolldaten
- Analyse- und Nutzungsdaten
- zahlungs- und abonnementsbezogene Informationen
- E-Mail- und Kommunikationsdaten
Einige Inhalte von Kund:innen können, abhängig von der konkreten Nutzung unserer Produkte, besonders sensibel sein. Deshalb versuchen wir, Zugriffskontrolle, Datentrennung und betriebliche Schutzmaßnahmen mit besonderer Sorgfalt zu gestalten.
Wie Daten in der Praxis verarbeitet werden
Daten, die Nutzer:innen direkt eingeben
Ein großer Teil der Daten im Independo-Ökosystem wird direkt von Nutzer:innen oder Organisationen bereitgestellt, die unsere Produkte verwenden. Dazu können Inhalte gehören, die in Kalender, Notizen, Journale, strukturierte Datensätze, hochgeladene Dateien, Kontoeinstellungen und andere Produktdaten eingegeben werden.
Wir versuchen, die Datenerhebung eng an die tatsächliche Nutzung des Produkts zu koppeln. Wir verfolgen nicht das Ziel, mehr Informationen zu sammeln, als für die Bereitstellung, Absicherung, Verbesserung und Unterstützung des Dienstes erforderlich sind.
Daten, die produkt- und kontextübergreifend genutzt werden
Wenn Produkte gemeinsam verwendet werden, können Daten zwischen verschiedenen Teilen des Independo-Ökosystems ausgetauscht werden, damit die Produkte als zusammenhängender Dienst funktionieren. Wenn du zum Beispiel die bevorzugte Farbe eines Tages im Independo Calendar änderst, wird diese Information auch im Independo Journal verwendet, um dort denselben Tag in derselben Farbe anzuzeigen. Dies geschieht nur, wenn du im Independo Journal mit demselben Benutzerkonto angemeldet bist.
Das bedeutet nicht, dass automatisch alles überall sichtbar ist. Welche Daten sichtbar sind, hängt vom Produktkontext, von der Rolle der Nutzerin bzw. des Nutzers, vom Organisations- oder Mandantenkontext und vom jeweils geltenden Freigabe- oder Zugriffsmodell ab.
Daten, die mit Organisationen geteilt werden
Einige Teile des Independo-Ökosystems sind darauf ausgelegt, die Zusammenarbeit zwischen Einzelpersonen und Organisationen zu unterstützen.
Wenn das der Fall ist, soll der Zugriff kontextbezogen und rollenbasiert erfolgen. In der Praxis bedeutet das, dass es nicht ausreicht, einfach nur angemeldet zu sein, um auf alle Daten zugreifen zu können. Der Zugriff kann von der Rolle, dem Organisationskontext, dem Gruppenkontext und der Beziehung einer Person zu einem bestimmten Datensatz abhängen.
Daten, die für den Betrieb des Dienstes verwendet werden
Wie die meisten modernen Softwareplattformen verarbeiten auch wir technische Daten, die erforderlich sind, um den Dienst sicher und zuverlässig zu betreiben. Dazu können Authentifizierungsdaten, Sicherheitsprotokolle, Fehlermeldungen, betriebliche Telemetriedaten, Synchronisationsdaten, E-Mail-Zustelldaten und - soweit relevant - zahlungsbezogene Verarbeitungsvorgänge gehören.
Wenn Zahlungen oder Abonnements betroffen sind, speichern wir sensible Zahlungsinformationen wie vollständige Kreditkartendaten nicht selbst. Stattdessen werden Zahlungsdaten von spezialisierten Zahlungsdienstleistern verarbeitet, die für die sichere Abwicklung von Abrechnungs- und Zahlungsprozessen ausgelegt sind. Weitere Informationen dazu findest du weiter unten.
Einige Teile des Dienstes sind außerdem für den Einsatz bei eingeschränkter Internetverbindung ausgelegt. In diesen Fällen können bestimmte Daten lokal auf einem Gerät gespeichert und später synchronisiert werden.
Wie der Zugriff kontrolliert wird
Wir behandeln nicht alle angemeldeten Nutzer:innen gleich.
Unsere Systeme sind so gestaltet, dass sie mehrere Zugriffsebenen verwenden. Dazu gehören Authentifizierung, rollenbasierte Zugriffskontrolle, richtlinienbasierte Autorisierung im Backend sowie datensatzbezogene Sichtbarkeitsprüfungen, wo dies erforderlich ist. Daten werden außerdem logisch nach Nutzer:in, Organisation und in manchen Kontexten auch nach Gruppen getrennt.
Das bedeutet, dass der Zugriff auf die Personen und Kontexte beschränkt sein soll, die ihn tatsächlich benötigen. Diese Kontrollen sind nicht nur visuelle Einschränkungen in der Benutzeroberfläche. Sie werden auch in der Backend-Logik und durch die Datenbank selbst durchgesetzt.
Wo Daten gehostet werden
Unsere zentrale Anwendungsinfrastruktur wird in Europa gehostet. Für die Hauptumgebung unserer Anwendungen nutzen wir Exoscale-Infrastruktur in Frankfurt, Deutschland (DE-FRA-1). Exoscale bezeichnet DE-FRA-1 als Frankfurter Region und nennt Equinix als Betreiber des Rechenzentrums an diesem Standort. Exoscale veröffentlicht außerdem Compliance-Unterlagen, darunter ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 2 Type 2 und BSI C5 Type 2 für seine Plattform. Alle Details zu den Compliance-Informationen und Zertifizierungen von Exoscale findest du auf deren Website.
Gleichzeitig sind nicht alle unterstützenden Dienste, die wir nutzen, ausschließlich in der EU angesiedelt. Einige Subprozessoren oder Plattformanbieter können Daten in anderen EU-Regionen oder - je nach Dienst - in den USA oder an anderen Orten verarbeiten. Wir versuchen, dies weiter unten transparent darzustellen.
Sicherheits- und Datenschutzmaßnahmen
Wir wollen Daten durch eine Kombination aus Produktdesign, Infrastrukturentscheidungen und betrieblichen Kontrollen schützen.
Dazu gehören unter anderem:
- verschlüsselte Übertragung im Produktivbetrieb über HTTPS/TLS
- authentifizierter Zugriff auf geschützte Backend-Ressourcen
- rollen- und kontextbasierte Zugriffsbeschränkungen
- logische Trennung zwischen Mandanten- und Organisationskontexten
- kontrollierter Zugriff auf Dateien und Medien statt einer allgemeinen öffentlichen Verfügbarkeit
- Logging und Monitoring zur Sicherheit, Zuverlässigkeit und Fehlersuche
- offlinefähiges Verhalten, wo erforderlich, einschließlich lokaler Speicherung bestimmter Daten auf Geräten
- Auditierbarkeit und Nachvollziehbarkeit in Bereichen, in denen verlässliche Dokumentation wichtig ist
Wir verlassen uns außerdem auf Infrastruktur- und Dienstanbieter, die Sicherheits-, Datenschutz- und Compliance-Informationen veröffentlichen, die für ihren jeweiligen Teil des Technologie-Stacks relevant sind. Exoscale veröffentlicht zum Beispiel Compliance-Informationen und C5-Materialien für seine Cloud-Plattform, Firebase veröffentlicht Sicherheits- und Datenschutzdokumentation für seine Dienste, Mailchimp veröffentlicht Informationen zu Sicherheit und Serverstandorten, und mehrere andere Anbieter stellen Trust-Center- oder Privacy-Ressourcen zur Verfügung.
Analysen, Diagnostik und Produktverbesserung
Wir verwenden technische Telemetrie, Diagnosedaten und Produktanalysen, um Zuverlässigkeit, Nutzungsmuster, App-Versionen und die allgemeine Performance unserer Produkte besser zu verstehen.
Wir verwenden diese Art von Daten für legitime betriebliche Zwecke und zur Produktverbesserung, nicht für invasives Profiling. In der aktuellen Umsetzung ist Analytics in all unseren Produkten standardmäßig aktiv, kann aber deaktiviert werden (opt-out), und Nutzer:innen können diese Art des Trackings in den Produkteinstellungen abschalten. Wir unterscheiden dabei zwischen optionaler Analyse und technisch notwendiger Verarbeitung, die für den Betrieb, die Absicherung und die Fehlerbehebung des Dienstes erforderlich ist.
Zahlungen und Abonnements
Wenn Zahlungen oder Abonnements betroffen sind, werden relevante zahlungsbezogene Daten über spezialisierte Anbieter verarbeitet. Dazu können Zahlungsbestätigungen, Abonnementstatus, Abrechnungsereignisse oder die Validierung von In-App-Käufen gehören - je nachdem, über welchen Kanal ein Produkt erworben wird.
Wir verwenden unsere eigenen Systeme nicht, um die Rolle von Zahlungsanbietern zu ersetzen. Stattdessen werden zahlungsspezifische Daten über eine Infrastruktur verarbeitet, die speziell für Abrechnungs- und Kaufprozesse vorgesehen ist, darunter Stripe und Iaptic. Stripe erläutert, dass es transaktions- und zahlungsbezogene personenbezogene Daten im Rahmen der Bereitstellung von Zahlungsdiensten für Geschäftskund:innen verarbeitet, und Iaptic erläutert, dass es Berechtigungs- und Belegvalidierungsdaten für In-App-Kauf-Workflows verarbeitet.
E-Mails und Kommunikation
Wir können E-Mail- und Kommunikationsanbieter nutzen, um dienstbezogene E-Mails, kontobezogene Nachrichten und andere operative Mitteilungen zu versenden.
Dies ist von den eigentlichen Produktdaten getrennt, gehört aber dennoch zur Funktionsweise des gesamten Ökosystems. Wenn E-Mail-Anbieter verwendet werden, können diese Empfängerinformationen und zugehörige Zustellmetadaten verarbeiten, damit wir Nachrichten zuverlässig versenden können.
Internationale Datenübermittlungen
Wir bemühen uns, unsere zentrale Hosting- und Anwendungsinfrastruktur soweit wie möglich in Europa zu betreiben.
Gleichzeitig können einige Subprozessoren und Plattformanbieter, auf die wir angewiesen sind, personenbezogene Daten außerhalb des EWR verarbeiten, auch in den Vereinigten Staaten. Das ist insbesondere relevant für Dienste wie Firebase Authentication, von dem Google angibt, dass es ausschließlich aus Rechenzentren in den USA betrieben wird, und Mailchimp, das angibt, dass sich seine eigenen und betriebenen Server in den Vereinigten Staaten befinden. Google und Mailchimp veröffentlichen außerdem zusätzliche Informationen zu Datenschutz und internationalen Übermittlungen, darunter DSGVO-bezogene Materialien und Transfermechanismen wie die Firebase Privacy- und Security-Dokumentation, das Mailchimp Data Processing Addendum und die Mailchimp-Informationen zu europäischen Datenübermittlungen.
Soweit eine solche internationale Verarbeitung stattfindet, bemühen wir uns sicherzustellen, dass sie durch geeignete vertragliche und rechtliche Schutzmechanismen der jeweiligen Anbieter abgedeckt ist. Das bedeutet, dass wir internationale Datenübermittlungen bei der Auswahl unserer Anbieter, in unserer Datenschutzdokumentation und in unseren internen Prüfprozessen berücksichtigen und uns auf die von diesen Anbietern bereitgestellten Transfermechanismen und Datenschutzverpflichtungen stützen, um eine DSGVO-konforme Verarbeitung zu unterstützen.
Subprozessoren und wichtige Dienstleister
Nachfolgend findest du eine zusammenfassende Übersicht über wichtige Subprozessoren und Dienstleister, die im Independo-Ökosystem eingesetzt werden.
| Prozessor (Rechtsträger) | Warum wir ihn nutzen | Angegebene Zertifizierungen / Assurance-Informationen | Wesentliche Verarbeitungsorte |
|---|---|---|---|
| Exoscale (Akenes SA) | Zentrale Cloud-Infrastruktur, einschließlich Compute, Kubernetes, Managed Database und Object Storage für unsere Hauptanwendungsumgebung | Exoscale veröffentlicht ISO/IEC 27001 und gibt an, dass Dokumentation zu ISO/IEC 27017, ISO/IEC 27018, SOC 2 Type 2 und BSI C5 Type 2 verfügbar ist | Frankfurt, Deutschland (DE-FRA-1) für unser Kern-Setup |
| PowerSync (Journey Mobile, Inc.) | Synchronisation zwischen Client-Apps und Backend-Daten, einschließlich offlinefähiger Sync-Workflows | PowerSync veröffentlicht Sicherheitsdokumentation, Informationen zu TLS-Verschlüsselung, HIPAA-bezogene Materialien und Hinweise zu AWS Private Endpoints; eine separate öffentliche Zertifizierung nennen wir hier nicht ohne unabhängige Bestätigung | EU-gehostete Instanz in AWS eu-west-1 für unser Setup |
| Firebase Authentication (Google LLC) | Benutzer-Authentifizierung und Login-Workflows | Google veröffentlicht Firebase-Sicherheits- und Datenschutzdokumentation sowie Zertifizierungsinformationen für Firebase-Dienste | Vereinigte Staaten |
| Firebase Analytics (Google LLC) | Produktanalysen und Erkenntnisse zur Produktverbesserung | Google veröffentlicht Firebase-Sicherheits- und Datenschutzdokumentation; Google Analytics wird als separater Dienst beschrieben, der mit Firebase verwendet werden kann | Globale Google-Infrastruktur |
| Firebase Crashlytics (Google LLC) | Crash-Reporting und Diagnostik zur Zuverlässigkeit | Google veröffentlicht Firebase-Sicherheits- und Datenschutzdokumentation und nennt Crashlytics unter den Firebase-Diensten mit veröffentlichten Sicherheitsinformationen | Globale Google-Infrastruktur |
| SigNoz (SigNoz Inc.) | Application Performance Monitoring und Observability | SigNoz veröffentlicht ein Trust Center und gibt SOC 2 Type II Compliance an | EU-SigNoz-Cloud-Instanz für unser Setup |
| ImageKit (ImageKit Private Limited / ImageKit Inc.) | Verarbeitung, Optimierung, Transformation und Auslieferung von Medien | ImageKit gibt ISO 27001 Compliance, SOC 2 Type II Compliance und DPF-Zertifizierung an | Multi-Region-Verarbeitung über AWS-Regionen |
| Mailchimp (The Rocket Science Group LLC d/b/a Mailchimp) | Versand von E-Mails und Kommunikations-Workflows | Mailchimp gibt an, über SOC-2-Berichte und ISO-27001-Zertifizierungen zu verfügen und veröffentlicht außerdem Informationen zu DSGVO, DPF und SCC | Vereinigte Staaten |
| Stripe (Stripe, Inc. und verbundene Stripe-Gesellschaften je nach Region und Servicekonfiguration) | Zahlungsabwicklung und abrechnungsbezogene Workflows | Stripe veröffentlicht Datenschutzinformationen, DPA, Privacy Center und DPF-Materialien; eine separate Zertifizierung nennen wir hier nicht ohne unabhängige Bestätigung für die konkrete Service-Gesellschaft | Variiert je nach Stripe-Dienst und regionalem Setup |
| Iaptic (Iaptic SAS) | Validierung von In-App-Käufen und Verarbeitung von Abonnementberechtigungen | In der geprüften Quelle wird keine separate öffentliche Zertifizierung genannt; Iaptic veröffentlicht DSGVO-bezogene Informationen sowie Angaben zu Datenstandorten in der EU | Europäische Union, mit Servern in Deutschland und Finnland laut der geprüften Quelle |
Hinweise zur Tabelle
- Der genaue Vertragspartner kann in einigen Fällen je nach Servicekonfiguration, Region oder Produkt-Setup variieren.
- Die oben genannten Zertifizierungen und Assurance-Informationen basieren auf von den Anbietern veröffentlichten Unterlagen und sind als allgemeine Zusammenfassung zu verstehen, nicht als Ersatz für die jeweilige Trust-Dokumentation des Anbieters.
- Verarbeitungsorte können je nach Funktion, Regionsauswahl oder Architektur des Anbieters variieren.
Wie sich diese Seite zur Datenschutzerklärung verhält
Diese Seite soll unseren allgemeinen Umgang mit Daten in einer praktischeren und besser lesbaren Form erläutern.
Sie ersetzt nicht unsere Datenschutzerklärung, unsere Allgemeinen Geschäftsbedingungen oder kundenspezifische vertragliche Dokumente. Diese bleiben - soweit zutreffend - die maßgeblichen rechtlichen Dokumente.
Fragen
Wenn du Fragen dazu hast, wie Daten im Independo-Ökosystem verarbeitet werden, kontaktiere uns bitte über die Kontaktdaten in unserer Datenschutzerklärung.
