Datenschutzrichtlinie

Zuletzt aktualisiert: 2. Mai 2026

Monoid basiert auf einem einzigen Prinzip: Nur das Notwendige erfassen, Identifikatoren sofort minimieren und Besucherprofile vermeiden. Diese Richtlinie erklärt, welche Daten wir verarbeiten, warum und wie.

1. Wer wir sind

Monoid wird von Izac Cavalheiro (monoid@monoid.website) betrieben, ansässig in Brasilien. Bei Fragen zu dieser Richtlinie kontaktiere uns unter dieser Adresse.

Monoid unterhält derzeit keine Niederlassung in der EU, UK oder EWR und hat keinen Vertreter gemäß Art. 27 DSGVO oder UK DSGVO ernannt. Diese Ausnahme gilt, weil die Verarbeitung von Daten betroffener Personen aus EU/UK/EWR nicht in großem Maßstab erfolgt, keine besonderen Datenkategorien umfasst und nicht zu einem hohen Risiko für Einzelpersonen führt. Wir überwachen monatlich das Volumen der verarbeiteten EU/EWR-betroffenen Personen. Wenn die Verarbeitung dauerhaft 5.000 unterschiedliche EU/EWR-betroffene Personen pro Kalendermonat übersteigt, werden wir einen EU-Vertreter gemäß Art. 27 DSGVO (und separat einen UK-Vertreter gemäß Art. 27 UK DSGVO und einen Schweizer Vertreter gemäß Art. 14 nDSG) ernennen, bevor dieser Schwellenwert dauerhaft überschritten wird.

2. Besucherdaten, die wir in deinem Auftrag erfassen

Wenn Besucher eine Seite auf einer mit Monoid instrumentierten Website laden, sendet der JavaScript-Tracker eine Seitenaufruf-Anfrage mit:

  • Die im Script-Tag konfigurierte Website-ID
  • Den Seitenpfad, z.B. /preise
  • Den verweisenden Hostnamen, wenn verfügbar
  • Die vom Browser gemeldete Bildschirmbreite
  • Einen abgeleiteten Ländercode aus groben Edge-Metadaten
  • Einen breiten Gerätetyp, abgeleitet aus einem User-Agent-Mustermatch und grober Bildschirmbreite
  • Einen einwegigen täglichen Hash, der nur zum Zählen eindeutiger Besucher verwendet wird
  • Benutzerdefinierte Ereignisnamen und optionale numerische Werte, wenn deine Website window.monoid('event', ...) aufruft oder automatisches Interaktions-Tracking aktiviert
  • Seitendauer in Millisekunden bei Routenwechseln oder beim Verlassen der Seite, zur Berechnung der durchschnittlichen Verweildauer

Was wir nicht speichern: IP-Adressen, vollständige User-Agent-Strings, Cookies, Geräte-Fingerprints, genauen Standort oder persistente tagesübergreifende Besucher-Identifikatoren.

Der eindeutige Besucher-Hash wird als SHA-256(IP + User-Agent + SALT + JJJJ-MM-TT) berechnet. Die Datumskomponente bedeutet, dass sich der Hash jeden Mitternacht UTC ändert. Der geheime SALT macht die Umkehrung aus gespeicherten Analytics-Zeilen unpraktisch. Der Hash wird als tägliches Zählsignal verwendet, nicht als persistentes Besucherprofil.

3. Kontodaten, die wir erfassen

Wenn du ein Monoid-Konto erstellst oder verwendest, erfassen wir:

  • Deine E-Mail-Adresse (für Login und transaktionale E-Mails)
  • Ein als gesalzener Einweg-Hash gespeichertes Passwort, wenn du dich mit E-Mail/Passwort registrierst
  • OAuth-Anbieter-Identifikatoren, wenn du Social Login verwendest (Google, GitHub, Microsoft oder Facebook, wenn aktiviert) — wir erhalten nie deine OAuth-Passwörter
  • Deine registrierten Domain-Namen
  • Dashboard-Präferenzen, wie Datumsbereiche, Diagrammtypen und sichtbare Panels
  • Passwort-Reset-Tokens in gehashter Form, während ein Reset-Link gültig ist
  • Kontakt- und Support-Nachrichten, die du uns sendest
  • Abrechnungsinformationen, die vollständig von Stripe verarbeitet werden — wir sehen oder speichern niemals Kartennummern

4. Cookies und Speicherung

Das Tracker-Skript verwendet keine Cookies, kein localStorage und kein sessionStorage.

Das Monoid-Dashboard verwendet ein httpOnly-Sitzungs-Cookie (user_token), um deinen Login bis zu 30 Tage aufrechtzuerhalten. Diese Cookies sind streng notwendig für die Anwendung und verfolgen dich nicht auf anderen Websites.

5. Wie wir deine Daten verwenden

  • Besucherdaten — zur Bereitstellung aggregierter Analytics in deinem Dashboard.
  • Konto-E-Mail — zum Senden von Willkommens-, Website-Aktivierungs-, Passwort-Reset- und Service-E-Mails.
  • Dashboard-Präferenzen — zum Speichern deines gewählten Dashboard-Layouts und deiner Diagrammeinstellungen.
  • Kontakt- und Support-Nachrichten — zur Beantwortung deiner Anfragen.
  • Abrechnungsdaten — zur Verarbeitung von Zahlungen über Stripe und zur Einhaltung finanzieller Aufzeichnungspflichten.

Wir verwenden deine Daten nicht für Werbung, Besucherprofilierung oder irgendeinen anderen Zweck als den Betrieb des Dienstes.

6. Datenweitergabe

Wir teilen Daten mit:

  • Verwalteter Edge-Infrastruktur — Datenerfassung und Anwendungs-Hosting.
  • Stripe — für die Zahlungsabwicklung.
  • Resend — für die Zustellung von transaktionalen E-Mails und Kontakt-/Support-Nachrichten.
  • OAuth-Anbietern — nur wenn du Social Login wählst, um die Authentifizierung abzuschließen.

Wir verkaufen keine Daten. Wir teilen keine Daten mit Werbetreibenden, Datenbrokern oder Dritten außerhalb der Dienstleister, die zum Betrieb von Monoid benötigt werden.

6a. Internationale Datenübertragungen

Cloudflare, Stripe und Resend sind US-amerikanische Unternehmen. Übertragungen personenbezogener Daten an diese Anbieter sind durch die EU-Standardvertragsklauseln (SCCs) und den EU-US-Datenschutzrahmen, den Schweizer-US-Datenschutzrahmen (für Schweizer Einwohner) und die UK International Data Transfer Agreement oder UK Addendum zu EU SCCs (für UK-Einwohner) abgedeckt. Du kannst die Übertragungsmechanismen jedes Anbieters überprüfen: Cloudflare (cloudflare.com/trust-hub/gdpr/), Stripe (stripe.com/legal/dpa), Resend (resend.com/legal/dpa).

6b. Rechtsgrundlage für die Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen (EU/UK DSGVO Art. 6; Schweizer nDSG Art. 6):

  • Besucher-Analytics (gehasht, cookie-frei, täglich rotierend) — Berechtigtes Interesse (Art. 6(1)(f)): Die Bereitstellung datenschutzfreundlicher Publikumsanalytics für Website-Betreiber ist unser Kerndienst, und das Design minimiert die Auswirkungen auf einzelne betroffene Personen.
  • Kontoregistrierung und Diensterbringung — Vertragserfüllung (Art. 6(1)(b)).
  • Transaktionale E-Mails — Vertragserfüllung (Art. 6(1)(b)).
  • Abrechnungsunterlagen — Rechtliche Verpflichtung (Art. 6(1)(c)): Finanzvorschriften verlangen die Aufbewahrung von Zahlungsunterlagen.
  • Sicherheitsprotokollierung und Rate-Limit-Daten — Berechtigtes Interesse (Art. 6(1)(f)): Schutz der Plattform vor Missbrauch und unbefugtem Zugang.

7. Datenspeicherung

  • Seitenaufruf- und benutzerdefinierte Ereignisdaten — Dashboard-Berichte unterstützen bis zu 2 Jahre (730 Tage) Geschichte; Zeilen älter als 730 Tage werden durch den Bereinigungsprozess entfernt. Das 2-Jahres-Fenster ist auch das vollständige Aufbewahrungsfenster — keine älteren Daten werden aufbewahrt, und dein Datenexport spiegelt diesen vollständigen Datensatz wider.
  • Kontodaten, Websites, Dashboard-Präferenzen, OAuth-Links, ausstehende Anmeldungen, zugehörige Seitenaufrufe und benutzerdefinierte Ereignisse — werden aus der aktiven Datenbank entfernt, wenn du dein Konto löschst.
  • Passwort-Reset-Tokens — 1 Stunde gültig und gelöscht oder ungültig gemacht, wenn sie ersetzt oder verwendet werden.
  • OAuth-Login-Status — 10 Minuten gültig und nach der Verarbeitung des Callbacks gelöscht.
  • Abrechnungsunterlagen — so lange aufbewahrt, wie es geltende Finanzvorschriften erfordern (typischerweise 7 Jahre).

8. Deine Rechte

Je nach deiner Rechtsordnung hast du möglicherweise das Recht:

  • Auf die personenbezogenen Daten zuzugreifen, die wir über dich halten
  • Ungenaue Daten zu korrigieren — aktualisiere deine E-Mail-Adresse direkt von der Kontoeinstellungsseite
  • Dein Konto und alle zugehörigen Daten zu löschen
  • Deine Analytics-Daten in einem strukturierten Format zu exportieren
  • Der Verarbeitung auf Basis berechtigter Interessen zu widersprechen (Art. 21 DSGVO / UK DSGVO)
  • Eine Beschwerde bei deiner nationalen Datenschutzbehörde einzureichen

Für Besucher-Analytics verlassen wir uns auf Berechtigtes Interesse (Art. 6(1)(f)). Unsere Berechtigte-Interesse-Bewertung (LIA) wendet den dreiteiligen EDPB-Test an: (1) Zwecktest — die Bereitstellung datenschutzfreundlicher Publikumsanalytics ist ein berechtigtes Interesse sowohl von Monoid als auch seiner Kunden; (2) Erforderlichkeitstest — jedes gespeicherte Feld (Seitenpfad, Verweiser-Hostname, Ländercode, Gerätekategorie, Browser-Familie, täglicher Besucher-Hash, Datum) ist individuell erforderlich und nichts Präziseres wird aufbewahrt; IP-Adressen und vollständige User-Agent-Strings werden nur im Speicher verwendet und nie in den Speicher geschrieben; (3) Abwägungstest — der täglich rotierende SHA-256-Hash ist ohne gleichzeitigen Zugang zur IP, dem User-Agent und unserem geheimen Schlüssel des Besuchers praktisch nicht umkehrbar; kein tagesübergreifendes Profiling ist möglich; DNT-Signale werden berücksichtigt; keine Cookies oder persistenten Identifikatoren werden auf dem Gerät des Besuchers gesetzt. Abgewogen imposiert die Verarbeitung minimales Risiko für Einzelpersonen und ermöglicht gleichzeitig eine Kerndienstfunktion. Du kannst eine Kopie des vollständigen LIA-Dokuments per E-Mail an monoid@monoid.website anfordern.

EU/EWR-Einwohner können ihre nationale Datenschutzbehörde kontaktieren (Liste unter edpb.europa.eu). UK-Einwohner können das ICO kontaktieren (ico.org.uk). Schweizer Einwohner können den EDÖB kontaktieren (edoeb.admin.ch). Für Monoid-Kontoinhaber kannst du dein Konto und alle Daten direkt von der Kontoeinstellungsseite löschen.

Für Datenzugang, Korrektur, Portabilität oder Widerspruchsanfragen schreibe an monoid@monoid.website. Wir antworten innerhalb von 30 Tagen. Schweizer Einwohner können Rechte auch gemäß nDSG Art. 25 (Auskunft, Zugang, Berichtigung, Löschung) über denselben Kontakt ausüben.

8b. Automatisierte Verarbeitung und Planbegrenzung

Monoid wendet automatische Planbegrenzungsdurchsetzung an: Wenn eine Website ihre monatliche Seitenaufruf-Zulassung überschreitet, werden weitere Seitenaufrufzeilen erst im nächsten Abrechnungszeitraum aufgezeichnet. Diese Entscheidung wird automatisch auf Basis der aggregierten Seitenaufrufanzahl für dein Konto getroffen, nicht auf Basis einer Profilierung einzelner Website-Besucher. Sie stellt keine automatisierte Entscheidung mit erheblichen rechtlichen oder ähnlichen Auswirkungen auf betroffene Personen im Sinne von DSGVO Art. 22 oder UK DSGVO Art. 22 dar. Wenn du Monoid-Analytics-Daten verwendest, um automatisierte Entscheidungen über deine eigenen Benutzer zu treffen, musst du dies separat in deiner eigenen Datenschutzerklärung offenlegen.

9. Sicherheit

Alle Daten werden über HTTPS übertragen. Passwörter werden nie im Klartext gespeichert; sie werden mit gesalzenem Einweg-Passwort-Hashing gespeichert. Sitzungs-Cookies sind httpOnly, und authentifizierte API-Anfragen werden durch Ursprungsprüfungen eingeschränkt. Wir protokollieren sicherheitsrelevante Ereignisse wie fehlgeschlagene Anmeldeversuche, Passwort-Resets und Kontolöschungsbestätigungen.

10. Datenschutz für Kinder

Der Dienst richtet sich nicht an Personen unter 16 Jahren und ist nicht dafür gedacht. Monoid ist eine Business-Analytics-Plattform für Website-Betreiber und Entwickler. Durch das Erstellen eines Kontos bestätigst du, dass du 16 Jahre oder älter bist. Wir erfassen wissentlich keine Daten von Kindern. Wenn du glaubst, dass ein Kind ein Konto erstellt hat, kontaktiere uns und wir werden es umgehend löschen.

11. Änderungen dieser Richtlinie

Wesentliche Änderungen werden per E-Mail mindestens 14 Tage vor Inkrafttreten kommuniziert. Das "zuletzt aktualisiert"-Datum oben wird immer die aktuelle Version widerspiegeln.

12. Kontakt

Datenschutzfragen, Datenanfragen oder Bedenken: monoid@monoid.website