Datenschutzerklärung

Last updated: 09.06.2026

Diese Datenschutzerklärung beschreibt, wie Layota personenbezogene Daten verarbeitet — sowohl über die Marketing-Website (layota.app, einschließlich der Frühzugangs-Warteliste) als auch über die Layota-Anwendung (app.layota.app — Karten-Editor, einbettbarer Viewer, Abrechnung und Support).

1. Verantwortlicher

Ildar Mingazov
Siegmund-Schacky-Straße 18C
80993 München, Deutschland
E-Mail: [email protected]

2. Welche Daten wir erheben

Konto- & Anwendungsdaten

Wenn du ein Layota-Konto erstellst oder nutzt, verarbeiten wir:

  • E-Mail-Adresse und Name
  • Passwort — ausschließlich als gesalzener Hash gespeichert, nie im Klartext
  • Bei „Mit Google anmelden“: deine Google-Konto-Kennung und verifizierte E-Mail
  • Bei aktivierter Zwei-Faktor-Authentifizierung: ein verschlüsseltes Authenticator-Secret und gehashte Einmal-Backup-Codes
  • Die von dir im Editor erstellten Inhalte: Projekte, Etagen, Bereiche, Marker und hochgeladene Bilder
  • Abrechnungsdaten: Tarif, Abo-Status und Rechnungen. Kartendaten werden ausschließlich von Stripe verarbeitet — Layota sieht oder speichert keine Kartennummern.
  • Betriebsdaten: Audit-Log-Einträge zu Aktionen in deiner Organisation (inkl. IP-Adresse) sowie Support- oder Kontaktnachrichten, die du uns sendest

Kartenanalyse (eingebettete Karten)

Wenn ein Kunde eine Layota-Karte auf seiner Website einbettet und die Analyse aktiviert, erfasst Layota minimale Interaktions-Ereignisse — der angeklickte Bereich/Marker (ID und Name), die Etage und ein Zeitstempel. Es werden dabei keine IP-Adressen, Cookies, Geräte-Fingerprints oder persistenten Identifier erfasst, und die Parameter sind auf eine feste Whitelist beschränkt. Für diese Analyse ist der einbettende Kunde der Verantwortliche und Layota handelt als Auftragsverarbeiter in seinem Auftrag; der Kunde ist für die Information seiner eigenen Website-Besucher verantwortlich.

Warteliste-Formular

Beim Absenden des Warteliste-Formulars auf layota.app erfassen wir:

  • E-Mail-Adresse (erforderlich)
  • Sprachpräferenz (en oder de, abgeleitet aus der URL)
  • Verweisende Seite (woher du kamst)
  • IP-basiertes Länderkürzel (über Cloudflares cf-ipcountry-Header — nur Land, nicht die volle IP)
  • Browser-User-Agent
  • Zeitstempel der Übermittlung

Server-Logs

Unsere Infrastruktur-Anbieter protokollieren automatisch grundlegende Anfragedaten (Zeitstempel, Request-URL, Antwortstatus, User-Agent, IP-Adresse), um den Dienst zu betreiben, Missbrauch zu verhindern und die Performance zu verbessern.

Analytics — Cloudflare Web Analytics

Wir verwenden Cloudflare Web Analytics auf layota.app und app.layota.app, um zu verstehen, wie sie genutzt werden. Es handelt sich um einen Privacy-by-Design Analyse-Dienst, der:

  • keine Cookies, localStorage oder sessionStorage verwendet
  • keine persistenten Identifier erstellt — wir können dich nicht über Besuche oder Websites hinweg wiedererkennen
  • kein Device-Fingerprinting nutzt
  • nur aggregierte, anonyme Metriken erhebt: Seitenpfade, Verweise, Länderkürzel, Browser-Familie und Core Web Vitals (Ladeleistung)
  • IP-Adressen nur kurzzeitig zur Länderbestimmung verarbeitet — Roh-IPs werden nie gespeichert

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am Betrieb, der Sicherheit und Verbesserung des Dienstes. Da die Daten anonym sind und keine Identifier auf deinem Gerät gespeichert werden, ist keine Cookie-Einwilligung erforderlich. Browser-seitiger Opt-Out: DNT: 1 Header senden. Cloudflares Bedingungen: cloudflare.com/privacypolicy.

3. Warum wir diese Daten verarbeiten

  • Um die Anwendung bereitzustellen — dein Konto, deine Karten und die Abrechnung kostenpflichtiger Tarife
  • Um Warteliste-Abonnenten über den Layota-Start zu informieren (Warteliste-Zweck)
  • Um den Dienst sicher zu halten sowie Spam und Missbrauch zu verhindern
  • Um zu verstehen, wie Website und Produkt genutzt werden

4. Rechtsgrundlage

  • Vertrag (Art. 6 Abs. 1 lit. b DSGVO) — Konto, deine Inhalte und Abrechnung: zur Bereitstellung des von dir angeforderten Dienstes erforderlich.
  • Einwilligung (Art. 6 Abs. 1 lit. a) — das Warteliste-Formular (Einwilligungs-Checkbox). Du kannst die Einwilligung jederzeit per E-Mail an [email protected] widerrufen; der Widerruf berührt nicht die Rechtmäßigkeit der vorherigen Verarbeitung.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) — Server-Logs, Audit-Logging, Sicherheit/Missbrauchsabwehr und datenschutzfreundliche Analyse.

5. Empfänger & Drittlandübermittlung

Wir verkaufen oder vermieten deine personenbezogenen Daten nicht. Wir geben sie nur an die Auftragsverarbeiter weiter, die für den Betrieb von Layota nötig sind. Einige haben ihren Sitz in den USA; Übermittlungen außerhalb des EWR sind durch EU-Standardvertragsklauseln (SCCs) und, soweit anwendbar, das EU-US Data Privacy Framework abgedeckt.

  • Hetzner Online GmbH — Anwendungs-Hosting, Datenbank und Cache (Deutschland, EU)
  • Cloudflare, Inc. — CDN, Objektspeicher (R2), Edge-Funktionen und Web Analytics (USA; SCCs / DPF)
  • Stripe, Inc. — Zahlungen und Abonnements (USA; SCCs / DPF)
  • Google LLC — „Mit Google anmelden“ und transaktionale E-Mails (USA; SCCs / DPF)

6. Speicherort

Konto- und Anwendungsdaten (Datenbank, Cache) werden von Hetzner in Deutschland gehostet. Hochgeladene Dateien werden in Cloudflare R2 innerhalb der Europäischen Union gespeichert. Vertrauliche Support-Uploads (z. B. Grundrisse, Verträge) liegen in einem nicht-öffentlichen Bucket und werden nur über kurzlebige signierte Links bereitgestellt. Warteliste-Einträge werden in Cloudflares D1-Datenbank (EU) gespeichert.

7. Speicherdauer

  • Konto & Inhalte — bis du dein Konto löschst
  • Audit-Logs (inkl. IP-Adresse) — 90 Tage (Sicherheit & Missbrauchsabwehr)
  • Webhook-Zustellprotokolle — 30 Tage
  • Kontakt- / Vertriebsanfragen — bis zu 365 Tage
  • Kartenanalyse — Roh-Ereignisse 7 Tage, aggregierte Zahlen 30 Tage
  • Warteliste-Einträge — bis 12 Monate nach dem öffentlichen Start, oder früher auf Anfrage

8. Deine Rechte

Nach DSGVO hast du das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Widerruf der Einwilligung sowie auf Beschwerde bei einer Aufsichtsbehörde (in Deutschland: Datenschutzbehörde deines Bundeslands). Insbesondere:

  • Datenübertragbarkeit / Auskunft — du kannst eine maschinenlesbare (JSON) Kopie deiner Kontodaten erhalten; die Anwendung bietet einen Datenexport, oder schreib uns und wir stellen ihn bereit.
  • Löschung — durch das Löschen deines Kontos in der App werden dein Konto, die von dir allein besessenen Organisationen, deren Projekte und Dateien dauerhaft entfernt und ein etwaiges Abo gekündigt. Audit-Log-Kennungen können bis zur oben genannten Aufbewahrungsfrist auf der dort genannten Grundlage bestehen bleiben.
  • Zur Ausübung schreib an [email protected]. Warteliste-Abonnenten können sich auch unter /de/unsubscribe selbst austragen.

9. Cookies

Weder die Marketing-Website noch die Anwendung setzen Tracking-Cookies von Dritten. Die Anwendung speichert Authentifizierungs-Token in deinem Browser, um dich angemeldet zu halten (unbedingt erforderlich). Cloudflare kann unbedingt erforderliche Cookies für Sicherheit und Routing setzen, und unsere Analyse arbeitet ohne Cookies.

10. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung im Zuge der Layota-Entwicklung aktualisieren. Das Datum „Zuletzt aktualisiert“ oben spiegelt die letzte Überarbeitung wider.