Datenschutzerklärung
Webdesignelite Lizenzserver
Stand: März 2026
Inhaltsverzeichnis
1. Verantwortlicher
Angaben zum Verantwortlichen im Sinne der DSGVO finden Sie in unserem Impressum.
2. Übersicht der Verarbeitungen
Dieser Lizenzserver verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung folgender Dienste:
- Benutzerkontenverwaltung (Registrierung, Login, Profil)
- Lizenzverwaltung und -verifizierung für Software-Produkte
- Support-Ticketsystem
- Transaktions-E-Mails (Lizenzversand, Erinnerungen, Support-Benachrichtigungen)
- Sicherheits- und Systemprotokollierung
Verarbeitete Datenkategorien
| Kategorie | Daten | Zweck |
|---|---|---|
| Bestandsdaten | Name, E-Mail-Adresse | Kontoführung, Kommunikation |
| Zugangsdaten | Passwort (gehasht), 2FA-Secret (verschlüsselt) | Authentifizierung |
| Lizenzdaten | Lizenzschlüssel, Aktivierungsdomains, Plugin-Version, letzter Check-in | Lizenzverifizierung, Update-Prüfung |
| Support-Daten | Ticket-Inhalt, Anhänge, Zeitstempel | Kundenbetreuung |
| Protokolldaten | Benutzeraktionen, Zeitstempel, IP (bei Login) | Sicherheit, Fehleranalyse |
| Technische Daten | Session-ID, CSRF-Token, Spracheinstellung | Sitzungsverwaltung |
3. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Lizenzbereitstellung, Support, Kontoführung
- Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Sicherheitsprotokollierung, Missbrauchsprävention
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: sofern gesondert eingeholt (derzeit nicht verwendet)
4. Registrierung & Benutzerkonto
Bei der Kontoerstellung werden folgende Daten verarbeitet:
- Name – zur Personalisierung und Anrede
- E-Mail-Adresse – als Login-Kennung und für Systembenachrichtigungen
- Passwort – gespeichert als Bcrypt-Hash, niemals im Klartext
- Sprachpräferenz – für die Dashboard-Oberfläche (DE/EN)
- Avatar – optional, als Upload oder Preset
Optional kann Zwei-Faktor-Authentifizierung (TOTP) aktiviert werden. Das 2FA-Secret und die Recovery-Codes werden verschlüsselt gespeichert.
5. Lizenzverwaltung
Bei der Nutzung unserer Software-Lizenzen werden folgende Daten verarbeitet:
- Lizenzschlüssel – zur eindeutigen Identifizierung
- Aktivierungs-Domains – zur Überprüfung, ob die Lizenz auf berechtigten Websites eingesetzt wird
- Plugin-Version und WordPress-Version – zur Update-Kompatibilitätsprüfung
- Letzter Check-in – Zeitstempel der letzten Verifizierung
- HMAC-Secret – optionale Signierung der API-Antworten zur Integritätssicherung
Die Lizenzverifizierung erfolgt per API (Server-zu-Server, kein Browser-basierter Aufruf). Es werden keine IP-Adressen der Endnutzer gespeichert.
6. Support-System
Bei der Nutzung des integrierten Ticketsystems werden verarbeitet:
- Ticket-Betreff und -Inhalt – zur Bearbeitung der Anfrage
- Antworten – inkl. interner Notizen (nur für Admins sichtbar)
- Dateianhänge – max. 5 MB, nur PDF- und Bilddateien (JPEG, PNG, GIF, WebP), gespeichert im lokalen Speicher des Servers
- Zeitstempel – Erstellungs- und Aktualisierungszeitpunkte
Anhänge werden bei Löschung des zugehörigen Tickets oder der Antwort automatisch vom Server entfernt.
7. E-Mail-Versand
Der Lizenzserver versendet Transaktions-E-Mails über einen eigenen Mailserver (Mailcow). Folgende E-Mail-Typen werden gesendet:
- Lizenzschlüssel-Versand
- Ablauferinnerungen
- Willkommens-E-Mails
- Support-Benachrichtigungen (neues Ticket, neue Antwort, Statusänderung)
Es werden keine Newsletter versendet. E-Mail-Vorlagen werden intern verwaltet. Versendete E-Mails werden zum Zweck der Nachvollziehbarkeit protokolliert (Empfänger, Betreff, Zeitstempel).
8. Protokollierung
Zur Sicherheit und Nachvollziehbarkeit werden folgende Aktionen automatisch protokolliert:
- Erstellen, Ändern und Löschen von Lizenzen, Produkten, Benutzern und Tickets
- E-Mail-Versand
- System-Aktionen (Cache-Bereinigung, Wartung)
Die Protokolle werden automatisch auf maximal 500 Einträge beschränkt (Auto-Pruning). Ältere Einträge werden automatisch gelöscht.
9. Cookies & Sessions
Dieser Lizenzserver verwendet ausschließlich technisch notwendige Cookies:
| Cookie | Zweck | Dauer |
|---|---|---|
| Session-Cookie | Sitzungsverwaltung, Authentifizierung | Bis zum Schließen des Browsers / max. 120 Min. |
| XSRF-TOKEN | Schutz vor Cross-Site Request Forgery | Sitzungsdauer |
Es werden keine Tracking-, Analyse- oder Marketing-Cookies verwendet. Es werden keine Drittanbieter-Skripte (Google Analytics, Meta Pixel o. Ä.) geladen. Ein Cookie-Consent-Banner ist daher nicht erforderlich.
10. Sicherheitsmaßnahmen
Zum Schutz Ihrer Daten setzen wir folgende technische und organisatorische Maßnahmen ein:
- Transportverschlüsselung – ausschließlich HTTPS (TLS)
- Passwort-Hashing – Bcrypt mit Salt
- Zwei-Faktor-Authentifizierung – TOTP (verpflichtend für Administratoren)
- Session-Verschlüsselung – Sessions werden serverseitig verschlüsselt gespeichert
- Secure Cookies – Session-Cookies werden nur über HTTPS übertragen
- CSRF-Schutz – jedes Formular ist gegen Cross-Site Request Forgery geschützt
- Rate-Limiting – API-Endpunkte sind auf 30 Anfragen/Min. (Verifizierung) bzw. 10 Anfragen/Min. (Downloads) beschränkt
- Rollenbasierte Zugriffskontrolle – Kunden sehen nur eigene Daten
- Input-Validierung – alle Eingaben werden serverseitig geprüft und bereinigt
- CORS-Beschränkung – keine Cross-Origin-Zugriffe aus dem Browser möglich
11. Aufbewahrung & Löschung
| Datenkategorie | Aufbewahrungsdauer | Löschung |
|---|---|---|
| Benutzerkonto | Bis zur Löschung durch Admin oder auf Anfrage | Vollständige Löschung inkl. Profilbild |
| Lizenzen | Bis zur Löschung durch Admin | Lizenz und zugehörige Aktivierungen werden entfernt |
| Aktivierungen | Bis zur Deaktivierung oder Lizenzbindung | Soft Delete (Reaktivierung möglich), bei Lizenzlöschung endgültig |
| Support-Tickets | Bis zur manuellen Löschung (nur Superadmin) | Ticket, Antworten und Anhänge werden vollständig entfernt |
| E-Mail-Protokolle | Bis zur manuellen Löschung | Durch Admin löschbar |
| Aktivitätsprotokolle | Max. 500 Einträge (Auto-Pruning) | Automatische Bereinigung, manuell löschbar |
| Sessions | Max. 120 Minuten | Automatische Bereinigung |
12. Ihre Rechte
Sie haben gemäß DSGVO folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO) – Welche Daten über Sie gespeichert sind
- Berichtigungsrecht (Art. 16 DSGVO) – Korrektur unrichtiger Daten
- Löschungsrecht (Art. 17 DSGVO) – Löschung Ihrer Daten, sofern keine Aufbewahrungspflichten entgegenstehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) – Export Ihrer Daten in maschinenlesbarem Format
- Widerspruchsrecht (Art. 21 DSGVO) – gegen Verarbeitungen auf Basis berechtigter Interessen
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@webdesignelite.de
Sie haben außerdem das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.
13. Empfänger & Dritte
Ihre Daten werden nicht an Dritte weitergegeben, verkauft oder für Werbezwecke genutzt. Die Verarbeitung erfolgt ausschließlich auf eigenen Servern:
- Webserver – Netcup (Deutschland), für Hosting und Datenverarbeitung
- Mailserver – Mailcow auf eigenem Netcup-Server (Deutschland), für E-Mail-Versand
Es findet keine Datenübermittlung in Drittländer (außerhalb der EU/des EWR) statt.
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Anforderungen oder Änderungen unserer Dienste anzupassen. Die aktuelle Version ist stets auf dieser Seite abrufbar.