Privacy Policy
RL Analytix – API Management Portal
Version: 1.0
Effective date: 26. Februar 2026
Last updated: 26. Februar 2026
1. Introduction and Identity of the Data Controller
This Privacy Policy describes how Robert Lorenz, trading as RL Analytix ("we", "us", "our") collects, processes, stores, and protects personal data when you use the RL Analytix API Management Portal (the "Service").
We take the protection of your personal data seriously and process it exclusively in accordance with the applicable legal requirements, in particular the General Data Protection Regulation (GDPR / DSGVO), the German Federal Data Protection Act (BDSG), and all other applicable EU and German data protection legislation.
Data Controller (Verantwortlicher) within the meaning of Art. 4(7) GDPR:
Robert Lorenz
Steinweg 2b
01458 Ottendorf-Okrilla
Germany
E-Mail: datenschutz@rl-analytix.de
2. Data Protection Officer (Datenschutzbeauftragter)
We have appointed a Data Protection Officer who can be contacted for all questions relating to data protection and the exercise of your rights:
Data Protection Officer
E-Mail: datenschutz@rl-analytix.de
You may contact our Data Protection Officer at any time regarding questions about data processing, data subject rights, or privacy concerns. Your enquiries are treated confidentially.
3. Scope and Purpose of this Policy
This Privacy Policy applies to all personal data processed through:
- The RL Analytix API Management Portal web interface
- The underlying API management backend system
- All associated registration, authentication, and key management processes
This policy covers all users of the Service regardless of whether they are acting as natural persons (consumers) or as representatives of business entities.
4. Personal Data We Collect
We collect and process the following categories of personal data:
4.1 Account Registration Data
When you register for an account, we collect:
| Data Field | Purpose |
|---|---|
| Email address | Account identification, email verification, service communications |
| Password | Authentication (stored as an irreversible cryptographic hash) |
| Full name | Account identification and correspondence |
| Company name (optional) | B2B service provision and account administration |
| Postal address (optional) | Billing, legal correspondence, and identity verification |
| Phone number (optional) | Account support and emergency contact |
| Billing information (optional) | Invoicing and service billing |
| GDPR consent timestamp | Recording your acceptance of this Privacy Policy, as required by Art. 7 GDPR |
Storage security: All fields above (with the exception of the password hash) are stored encrypted at rest in our database using strong symmetric encryption (Fernet/AES-128-CBC). Only authorised backend processes holding the encryption key can read this data in plaintext.
4.2 API Key Data
When you create API keys through the Service, we collect and store:
| Data Field | Purpose |
|---|---|
| API key name / label | Human-readable identification of your keys |
| API key hash | Cryptographic verification of your key (we store only the SHA-256 hash; the plaintext key is shown to you once at creation and not stored) |
| Key creation timestamp | Audit and lifecycle management |
| Key expiry date | Lifecycle management |
| Per-endpoint permissions | Access control enforcement |
4.3 Usage and Technical Data
When you or your systems use the API, we collect:
| Data Field | Purpose |
|---|---|
| API endpoint called | Usage tracking, billing, and service analytics |
| Timestamp of each call | Usage tracking and billing |
| Token consumption per call | Rate limiting and billing |
| IP address | Security monitoring and fraud prevention (stored encrypted; classified as personal data under GDPR Art. 4(1)) |
| Request parameters | Usage logging — where request parameters may contain personal data, these are stored as plain Text. |
4.4 Audit Log Data
We maintain an append-only audit log for security and compliance purposes, recording:
| Event Type | Data Logged |
|---|---|
| Successful and failed login attempts | User identifier (or hashed email for failures), timestamp, encrypted IP address |
| Password changes and resets | User identifier, timestamp |
| Registration and email verification | User identifier, timestamp |
| API key creation and revocation | User identifier, key identifier, key prefix, timestamp |
| Profile updates | User identifier, list of changed fields (not the values) |
| Account deletion | User identifier (anonymised after deletion), timestamp |
| Permission changes | User identifier, endpoint, administrator identifier, timestamp |
| Token balance adjustments | User identifier, old and new balance, administrator identifier, timestamp |
| Data exports | User identifier, timestamp |
Audit log records are immutable — they cannot be modified or deleted once written. When an account is deleted, the user identifier within audit log entries is anonymised (set to null or replaced with an anonymised reference) but the event record itself is retained for security and legal compliance purposes.
4.5 Email Communications
We send transactional emails for the following purposes:
- Email address verification at registration
- Password reset links (time-limited, single-use)
- Security notifications (e.g. notification to your previous email address if you change your email)
These emails are sent via our own self-hosted mail server. No third-party email marketing service is used. We do not send commercial newsletters unless you separately consent to this.
5. Legal Basis for Processing
We process your personal data on the following legal bases under Art. 6 GDPR:
| Processing Activity | Legal Basis | Explanation |
|---|---|---|
| Account registration and management | Art. 6(1)(b) GDPR – Performance of a contract | Processing is necessary to provide you with the Service under our Terms of Service |
| Email verification | Art. 6(1)(b) GDPR – Performance of a contract | Necessary to ensure account security and valid contact information |
| Password reset | Art. 6(1)(b) GDPR – Performance of a contract | Necessary to restore access to the contracted service |
| API key management and validation | Art. 6(1)(b) GDPR – Performance of a contract | Core function of the contracted service |
| Usage logging and token tracking | Art. 6(1)(b) GDPR – Performance of a contract | Necessary for rate limiting, service fairness, and future billing |
| IP address collection | Art. 6(1)(f) GDPR – Legitimate interest | Our legitimate interest in security, fraud prevention, and abuse protection; always stored encrypted |
| Audit logging | Art. 6(1)(f) GDPR – Legitimate interest | Our legitimate interest in maintaining security records and demonstrating accountability; also supports our obligations under Art. 5(2) GDPR |
| Billing information storage | Art. 6(1)(b) GDPR – Performance of a contract | Necessary for invoicing |
| Retention of billing records beyond account deletion | Art. 6(1)(c) GDPR – Legal obligation | Required by § 147 AO and § 257 HGB (German tax and commercial record-keeping law) |
| Recording GDPR consent timestamp | Art. 7(1) GDPR | Demonstrating that consent was freely given, specific, and informed |
6. Data Retention Periods
We do not retain personal data longer than necessary. The following retention periods apply:
| Data Category | Retention Period | Legal Basis for Retention Period |
|---|---|---|
| Account data (profile, API keys, permissions) | Duration of your account + 3 years after account closure | § 195 BGB (general limitation period for contractual claims) |
| Usage logs (API call logs, token consumption) | 3 years from the date of recording | § 195 BGB – relevant for billing disputes |
| Audit logs | 3 years from the date of recording | § 195 BGB – relevant for security and compliance disputes |
| Billing-relevant records | 10 years from the end of the relevant fiscal year | § 147 AO and § 257 HGB (mandatory German tax and commercial record-keeping) |
| IP addresses in usage and audit logs | Same as the parent log record; anonymised upon account deletion | As above |
| Email verification tokens | 24 hours from issuance, or immediately upon use | Functional requirement only |
| Password reset tokens | 1 hour from issuance, or immediately upon use | Security requirement |
| Deleted accounts (grace period) | 30 days from your deletion request, then permanently purged | Enables recovery in case of accidental deletion |
After the relevant retention period expires, data is either permanently deleted or irreversibly anonymised such that it can no longer be attributed to any individual. Anonymised data retained for statistical purposes is no longer personal data and falls outside the scope of GDPR.
7. Data Minimisation and Privacy by Design
We apply the principles of data minimisation (Art. 5(1)(c) GDPR) and privacy by design (Art. 25 GDPR):
- We collect only the data fields necessary for the operation of the Service.
- All personal data fields are encrypted at rest in our database; only the backend service processes with access to the encryption key can read data in plaintext.
- Passwords are stored only as irreversible hashes (Argon2); we cannot recover your password.
- API key values are shown to you once at creation and never stored in recoverable form; only a cryptographic hash is retained.
- Where API request parameters may contain personal data (such as person names in search queries), those parameters are stored in plain text.
- IP addresses, which constitute personal data under GDPR, are stored in encrypted form only.
- Audit log entries capture the type of profile changes but not the actual values changed.
8. Data Recipients and Third-Party Transfers
8.1 No Third-Party Processors for Core Functions
The Service is hosted on server infrastructure provided by Strato AG, a German hosting provider. Strato processes personal data on our behalf solely for the purpose of providing server and infrastructure services and acts exclusively on our documented instructions.
Strato AG
Pascalstraße 10
10587 Berlin
Germany
Website: https://www.strato.de
All data processing by Strato takes place exclusively on infrastructure located in Germany. We have concluded a Data Processing Agreement (DPA) with Strato in accordance with Art. 28 GDPR, which contractually obligates Strato to process your data only on our instructions and in compliance with applicable data protection law.
Transactional emails (verification, password reset, security notifications) are sent via a self-hosted mail server running on this same Strato infrastructure. No separate third-party email marketing service is used.
8.2 Administrative Access
Access to personal data in the database is restricted to authorised administrators of RL Analytix who require access for the operation, maintenance, and security of the Service. Administrators access only the minimum data necessary for the task at hand.
8.3 Legal Disclosure
We may disclose personal data to public authorities (e.g. law enforcement, courts, tax authorities) where we are legally required to do so under applicable German or EU law. We will notify you of such disclosures where legally permitted.
8.4 International Transfers
All data processing takes place within Germany on servers located in Germany. We do not transfer personal data to countries outside the European Economic Area (EEA). Should this change, we will update this policy and ensure appropriate safeguards are in place (e.g. Standard Contractual Clauses under Art. 46 GDPR).
9. Your Rights as a Data Subject
Under the GDPR, you have the following rights with respect to your personal data. To exercise any of these rights, please contact us at datenschutz@rl-analytix.de. We will respond within one month of receiving your request, as required by Art. 12(3) GDPR.
9.1 Right of Access (Art. 15 GDPR)
You have the right to obtain confirmation of whether we process personal data about you, and if so, to receive a copy of that data together with information about the processing.
You may exercise this right directly within the Service by using the "Export My Data" function, which provides a complete JSON export of all your personal data, API key metadata, and usage history.
9.2 Right to Rectification (Art. 16 GDPR)
You have the right to have inaccurate personal data corrected and incomplete personal data completed. You may update most of your data directly in your profile within the Service.
9.3 Right to Erasure / "Right to be Forgotten" (Art. 17 GDPR)
You have the right to request the deletion of your personal data, subject to the retention obligations described in Section 6, or you can request immediate deletion by email., or you can request immediate deletion by email.. You may exercise this right directly within the Service by using the "Delete My Account" function. Upon account deletion using the aforementioned "Delete My Account" function:
- A 30-day grace period begins, during which your account is suspended but data is not yet permanently deleted (to allow recovery from accidental deletion).
- After 30 days, all personal data is permanently deleted or irreversibly anonymised.
- Data subject to mandatory retention periods (billing records: 10 years; other records: 3 years) is retained only to the extent legally required and is not used for any other purpose.
- Audit log entries referencing your account are anonymised (your identifier is removed) but the security records themselves are retained.
9.4 Right to Restriction of Processing (Art. 18 GDPR)
You have the right to request that we restrict the processing of your personal data in certain circumstances (e.g. if you contest the accuracy of data, or if processing is unlawful but you oppose erasure). During a processing restriction, your data is retained but not actively processed for service provision. Contact us at datenschutz@rl-analytix.de to exercise this right.
9.5 Right to Data Portability (Art. 20 GDPR)
You have the right to receive your personal data in a structured, commonly used, and machine-readable format, and to transmit it to another controller. You may exercise this right via the "Export My Data" function in the Service, which produces a complete JSON export of your data.
9.6 Right to Object (Art. 21 GDPR)
Where we process your data on the basis of legitimate interests (Art. 6(1)(f) GDPR) — specifically, for IP address collection and audit logging — you have the right to object to such processing at any time. We will then cease that processing unless we can demonstrate compelling legitimate grounds which override your interests, rights, and freedoms, or the processing is necessary for the establishment, exercise, or defence of legal claims.
9.7 Right to Withdraw Consent (Art. 7(3) GDPR)
Where we process your data based on your consent, you have the right to withdraw that consent at any time. Withdrawal does not affect the lawfulness of processing carried out prior to withdrawal.
9.8 Right to Lodge a Complaint (Art. 77 GDPR)
You have the right to lodge a complaint with a supervisory authority if you believe that the processing of your personal data infringes the GDPR. The competent supervisory authority for our establishment is:
Sächsischer Datenschutzbeauftragter (SächsDSB)
Devrientstraße 5
01067 Dresden
Germany
Website: https://www.saechsdsb.de
E-Mail: saechsdsb@slt.sachsen.de
You may also contact the supervisory authority of your place of habitual residence or place of work within the EU.
10. Security Measures
We implement appropriate technical and organisational measures to protect your personal data against accidental or unlawful destruction, loss, alteration, unauthorised disclosure, or access, in accordance with Art. 32 GDPR. These measures include:
- Encryption at rest: All personal data fields (other than password hashes) are stored encrypted in the database using Fernet symmetric encryption (AES-128-CBC with HMAC-SHA256 authentication).
- Encryption in transit: All communication with the Service is protected by TLS (HTTPS). HTTP connections are redirected to HTTPS. HSTS headers are enforced.
- Password security: Passwords are hashed using Argon2 with a unique salt per user and are never stored in recoverable form.
- API key security: API key values are never stored; only a SHA-256 hash is retained. You are shown the key value once at creation.
- Access control: Per-endpoint permissions ensure each API key can only access explicitly granted endpoints.
- Account lockout: Repeated failed login attempts result in temporary account lockout to prevent brute-force attacks.
- JWT token security: Session tokens are short-lived (access token: 15–30 minutes) and transmitted via HTTP-only cookies to mitigate XSS attacks.
- Audit logging: All significant account and data events are recorded in an immutable audit log.
- Input validation: All API inputs are validated and sanitised to prevent injection attacks.
Despite these measures, no system is completely immune to security incidents. In the event of a data breach that is likely to result in a high risk to your rights and freedoms, we will notify you without undue delay in accordance with Art. 34 GDPR, and notify the competent supervisory authority within 72 hours in accordance with Art. 33 GDPR.
11. Cookies and Session Management
The Service uses HTTP-only session cookies to maintain your authenticated session after login. These cookies:
- Are transmitted only over HTTPS
- Are not accessible to JavaScript (HTTP-only flag)
- Are scoped to the Service domain only (SameSite configuration)
- Expire when your session ends or after the JWT token lifetime
We do not use tracking cookies, analytics cookies, advertising cookies, or any third-party cookies. No cookie consent banner is required for strictly necessary session cookies under EU law (ePrivacy Directive recital 25; TTDSG § 25(2) No. 2).
12. Automated Decision-Making and Profiling
We do not use your personal data for automated decision-making that produces legal or similarly significant effects within the meaning of Art. 22 GDPR, and we do not engage in profiling for marketing or behavioural analysis purposes.
Rate limiting decisions (restricting the number of API calls per time window) are technically automated but are applied uniformly according to your account tier as set by an administrator, and do not constitute automated decision-making within the meaning of Art. 22 GDPR.
13. Children's Data
The Service is not directed at children under the age of 16. We do not knowingly collect personal data from children under 16. If you believe we have inadvertently collected such data, please contact us at datenschutz@rl-analytix.de and we will delete it promptly.
14. Changes to this Privacy Policy
We may update this Privacy Policy from time to time to reflect changes in our data processing practices, legal requirements, or the features of the Service. When we make material changes, we will:
- Update the "Last updated" date at the top of this document
- Notify registered users by email at the address registered to their account
- Where required by law, obtain fresh consent
We encourage you to review this policy periodically. Your continued use of the Service after notification of material changes constitutes your acknowledgement of the updated policy.
15. Contact
For any questions, concerns, or requests relating to this Privacy Policy or the processing of your personal data, please contact:
Data Controller & Data Protection Officer:
Robert Lorenz / RL Analytix
Steinweg 2b, 01458 Ottendorf-Okrilla, Germany
E-Mail: datenschutz@rl-analytix.de
We aim to respond to all data subject requests within one month of receipt, as required by Art. 12(3) GDPR. In complex or high-volume cases we may extend this by a further two months, in which case we will inform you within the initial one-month period.
This Privacy Policy was last reviewed and updated on 26 Februar 2026.
Datenschutzerklärung
RL Analytix – API-Verwaltungsportal
Version: 1.0
Gültig ab: 26. Feburar 2026
Zuletzt aktualisiert: 26. Feburar 2026
1. Einleitung und Identität des Verantwortlichen
Diese Datenschutzerklärung beschreibt, wie Robert Lorenz, handelnd unter RL Analytix („wir", „uns", „unser") personenbezogene Daten erhebt, verarbeitet, speichert und schützt, wenn Sie das RL Analytix API-Verwaltungsportal (den „Dienst") nutzen.
Wir nehmen den Schutz Ihrer personenbezogenen Daten ernst und verarbeiten diese ausschließlich im Einklang mit den geltenden gesetzlichen Anforderungen, insbesondere der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie allen sonstigen anwendbaren EU- und deutschen Datenschutzvorschriften.
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO:
Robert Lorenz
Steinweg 2b
01458 Ottendorf-Okrilla
Deutschland
E-Mail: datenschutz@rl-analytix.de
2. Datenschutzbeauftragter
Wir haben einen Datenschutzbeauftragten benannt, der für alle Fragen zum Datenschutz und zur Ausübung Ihrer Rechte kontaktiert werden kann:
Datenschutzbeauftragter
E-Mail: datenschutz@rl-analytix.de
Sie können unseren Datenschutzbeauftragten jederzeit zu Fragen der Datenverarbeitung, zu Ihren Betroffenenrechten oder zu Datenschutzanliegen kontaktieren. Ihre Anfragen werden vertraulich behandelt.
3. Geltungsbereich und Zweck dieser Erklärung
Diese Datenschutzerklärung gilt für alle personenbezogenen Daten, die im Rahmen folgender Tätigkeiten verarbeitet werden:
- Nutzung der Weboberfläche des RL Analytix API-Verwaltungsportals
- Betrieb des zugrundeliegenden API-Verwaltungs-Backend-Systems
- Alle damit verbundenen Registrierungs-, Authentifizierungs- und Schlüsselverwaltungsprozesse
Diese Erklärung gilt für alle Nutzer des Dienstes, unabhängig davon, ob sie als natürliche Personen (Verbraucher) oder als Vertreter von Unternehmen handeln.
4. Personenbezogene Daten, die wir erheben
Wir erheben und verarbeiten die folgenden Kategorien personenbezogener Daten:
4.1 Registrierungsdaten
Bei der Registrierung eines Kontos erheben wir:
| Datenfeld | Zweck |
|---|---|
| E-Mail-Adresse | Kontoidentifikation, E-Mail-Verifizierung, Servicekommunikation |
| Passwort | Authentifizierung (gespeichert als nicht umkehrbarer kryptographischer Hash) |
| Vollständiger Name | Kontoidentifikation und Korrespondenz |
| Firmenname (optional) | B2B-Serviceerbringung und Kontoverwaltung |
| Postanschrift (optional) | Abrechnung, rechtliche Korrespondenz und Identitätsverifizierung |
| Telefonnummer (optional) | Kontosupport und Notfallkontakt |
| Rechnungsinformationen (optional) | Rechnungsstellung und Serviceabrechnung |
| DSGVO-Einwilligungszeitstempel | Nachweis der Annahme dieser Datenschutzerklärung gemäß Art. 7 DSGVO |
Speichersicherheit: Alle oben genannten Felder werden verschlüsselt in unserer Datenbank gespeichert (Fernet/AES-128-CBC). Nur autorisierte Backend-Prozesse, die den Verschlüsselungsschlüssel besitzen, können die Daten im Klartext lesen.
4.2 API-Schlüsseldaten
Wenn Sie über den Dienst API-Schlüssel erstellen, erheben und speichern wir:
| Datenfeld | Zweck |
|---|---|
| API-Schlüsselname / Bezeichnung | Lesbare Identifikation Ihrer Schlüssel |
| API-Schlüssel-Hash | Kryptographische Verifizierung Ihres Schlüssels (wir speichern ausschließlich den SHA-256-Hash; der Klartextwert wird Ihnen einmalig bei der Erstellung angezeigt und danach nicht gespeichert) |
| Erstellungszeitstempel | Prüfung und Lebenszyklusverwaltung |
| Ablaufdatum | Lebenszyklusverwaltung |
| Endpunkt-spezifische Berechtigungen | Durchsetzung der Zugriffskontrolle |
4.3 Nutzungs- und technische Daten
Wenn Sie oder Ihre Systeme die API verwenden, erheben wir:
| Datenfeld | Zweck |
|---|---|
| Aufgerufener API-Endpunkt | Nutzungsverfolgung, Abrechnung und Serviceanalyse |
| Zeitstempel jedes Aufrufs | Nutzungsverfolgung und Abrechnung |
| Token-Verbrauch pro Aufruf | Ratenbegrenzung und Abrechnung |
| IP-Adresse | Sicherheitsüberwachung und Betrugsprävention (verschlüsselt gespeichert; gilt als personenbezogenes Datum gemäß Art. 4 Nr. 1 DSGVO) |
| Anfrageparameter | Nutzungsprotokollierung – sofern Anfrageparameter personenbezogene Daten enthalten können, werden diese in Klarform gespeichert |
4.4 Audit-Log-Daten
Wir führen ein unveränderliches Audit-Protokoll zu Sicherheits- und Compliance-Zwecken, das folgende Ereignisse erfasst:
| Ereignistyp | Protokollierte Daten |
|---|---|
| Erfolgreiche und fehlgeschlagene Anmeldeversuche | Nutzerkennung (bzw. gehashte E-Mail bei Fehlversuchen), Zeitstempel, verschlüsselte IP-Adresse |
| Passwortänderungen und -zurücksetzungen | Nutzerkennung, Zeitstempel |
| Registrierung und E-Mail-Verifizierung | Nutzerkennung, Zeitstempel |
| Erstellung und Widerruf von API-Schlüsseln | Nutzerkennung, Schlüsselkennung, Schlüsselpräfix, Zeitstempel |
| Profilaktualisierungen | Nutzerkennung, Liste der geänderten Felder (nicht die Werte selbst) |
| Kontolöschung | Nutzerkennung (nach Löschung anonymisiert), Zeitstempel |
| Berechtigungsänderungen | Nutzerkennung, Endpunkt, Administratorkennung, Zeitstempel |
| Token-Saldoanpassungen | Nutzerkennung, alter und neuer Saldo, Administratorkennung, Zeitstempel |
| Datenexporte | Nutzerkennung, Zeitstempel |
Audit-Log-Einträge sind unveränderlich – sie können nach dem Schreiben weder geändert noch gelöscht werden. Bei Kontolöschung wird die Nutzerkennung in den Audit-Log-Einträgen anonymisiert (auf null gesetzt oder durch eine anonymisierte Referenz ersetzt); der Ereigniseintrag selbst bleibt aus Sicherheits- und Rechtsgründen erhalten.
4.5 E-Mail-Kommunikation
Wir versenden transaktionale E-Mails zu folgenden Zwecken:
- E-Mail-Adressverifizierung bei der Registrierung
- Passwort-Zurücksetzungs-Links (zeitlich begrenzt, einmalig verwendbar)
- Sicherheitsbenachrichtigungen (z. B. Benachrichtigung an Ihre bisherige E-Mail-Adresse bei einer E-Mail-Änderung)
Diese E-Mails werden über unseren eigenen, selbst betriebenen Mailserver versendet. Es wird kein externer E-Mail-Marketingdienst genutzt. Wir versenden keine kommerziellen Newsletter, sofern Sie nicht gesondert eingewilligt haben.
5. Rechtsgrundlagen der Verarbeitung
Wir verarbeiten Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen gemäß Art. 6 DSGVO:
| Verarbeitungstätigkeit | Rechtsgrundlage | Erläuterung |
|---|---|---|
| Kontoregistrierung und -verwaltung | Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung | Die Verarbeitung ist zur Erbringung des Dienstes gemäß unseren Nutzungsbedingungen erforderlich |
| E-Mail-Verifizierung | Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung | Erforderlich zur Sicherstellung der Kontosicherheit und gültiger Kontaktdaten |
| Passwort-Zurücksetzung | Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung | Erforderlich zur Wiederherstellung des Zugangs zum vertraglichen Dienst |
| API-Schlüsselverwaltung und -validierung | Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung | Kernfunktion des vertraglichen Dienstes |
| Nutzungsprotokollierung und Token-Tracking | Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung | Erforderlich für Ratenbegrenzung, Fairness des Dienstes und zukünftige Abrechnung |
| IP-Adresserhebung | Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse | Unser berechtigtes Interesse an Sicherheit, Betrugsprävention und Missbrauchsschutz; stets verschlüsselt gespeichert |
| Audit-Protokollierung | Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse | Unser berechtigtes Interesse an der Führung von Sicherheitsprotokollen und dem Nachweis der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO |
| Speicherung von Rechnungsinformationen | Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung | Erforderlich zur Rechnungsstellung |
| Aufbewahrung von Rechnungsunterlagen über die Kontolöschung hinaus | Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung | Vorgeschrieben durch § 147 AO und § 257 HGB (deutsche Steuer- und Handelsaufbewahrungspflichten) |
| Erfassung des DSGVO-Einwilligungszeitstempels | Art. 7 Abs. 1 DSGVO | Nachweis, dass die Einwilligung freiwillig, spezifisch und informiert erteilt wurde |
6. Speicherfristen
Wir speichern personenbezogene Daten nicht länger als erforderlich. Es gelten folgende Speicherfristen:
| Datenkategorie | Speicherfrist | Rechtsgrundlage der Speicherfrist |
|---|---|---|
| Kontodaten (Profil, API-Schlüssel, Berechtigungen) | Laufzeit des Kontos + 3 Jahre nach Kontoschließung | § 195 BGB (allgemeine Verjährungsfrist für vertragliche Ansprüche) |
| Nutzungsprotokolle (API-Aufrufprotokolle, Token-Verbrauch) | 3 Jahre ab Aufzeichnungsdatum | § 195 BGB – relevant für Abrechnungsstreitigkeiten |
| Audit-Protokolle | 3 Jahre ab Aufzeichnungsdatum | § 195 BGB – relevant für Sicherheits- und Compliance-Streitigkeiten |
| Abrechnungsrelevante Unterlagen | 10 Jahre ab Ende des betreffenden Geschäftsjahres | § 147 AO und § 257 HGB (gesetzliche deutsche Steuer- und Handelsaufbewahrungspflichten) |
| IP-Adressen in Nutzungs- und Audit-Protokollen | Entsprechend dem übergeordneten Protokolleintrag; Anonymisierung bei Kontolöschung | Wie oben |
| E-Mail-Verifizierungstoken | 24 Stunden ab Ausstellung oder sofort bei Verwendung | Nur funktionale Anforderung |
| Passwort-Zurücksetzungstoken | 1 Stunde ab Ausstellung oder sofort bei Verwendung | Sicherheitsanforderung |
| Gelöschte Konten (Nachfrist) | 30 Tage ab Ihrem Löschantrag, danach endgültige Löschung | Ermöglicht die Wiederherstellung im Fall versehentlicher Löschung |
Nach Ablauf der jeweiligen Speicherfrist werden die Daten entweder endgültig gelöscht oder unwiderruflich anonymisiert, sodass sie keiner Person mehr zugeordnet werden können. Anonymisierte Daten, die für statistische Zwecke aufbewahrt werden, sind keine personenbezogenen Daten mehr und fallen nicht mehr in den Anwendungsbereich der DSGVO.
7. Datensparsamkeit und Datenschutz durch Technikgestaltung
Wir wenden die Grundsätze der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) und des Datenschutzes durch Technikgestaltung (Art. 25 DSGVO) an:
- Wir erheben nur die für den Betrieb des Dienstes erforderlichen Datenfelder.
- Alle personenbezogenen Datenfelder werden verschlüsselt in unserer Datenbank gespeichert; nur die Backend-Dienstprozesse mit Zugang zum Verschlüsselungsschlüssel können die Daten im Klartext lesen.
- Passwörter werden ausschließlich als nicht umkehrbare Hashes (Argon2) gespeichert; wir können Ihr Passwort nicht wiederherstellen.
- API-Schlüsselwerte werden Ihnen einmalig bei der Erstellung angezeigt und danach nicht in wiederherstellbarer Form gespeichert; es wird ausschließlich ein kryptographischer Hash aufbewahrt.
- Sofern Anfrageparameter personenbezogene Daten enthalten können (z. B. Personennamen in Suchanfragen), werden diese Parameter in Klartext gespeichert.
- IP-Adressen, die gemäß DSGVO personenbezogene Daten darstellen, werden ausschließlich in verschlüsselter Form gespeichert.
- Audit-Log-Einträge erfassen die Art der Profiländerungen, nicht jedoch die geänderten Werte selbst.
8. Empfänger von Daten und Drittlandübermittlungen
8.1 Keine Drittanbieter-Auftragsverarbeiter für Kernfunktionen
Der Dienst wird auf Serverinfrastruktur der Strato AG betrieben, einem deutschen Hosting-Anbieter. Strato verarbeitet personenbezogene Daten in unserem Auftrag ausschließlich zum Zweck der Bereitstellung von Server- und Infrastrukturdienstleistungen und handelt dabei ausschließlich nach unseren dokumentierten Weisungen.
Strato AG
Pascalstraße 10
10587 Berlin
Deutschland
Website: https://www.strato.de
Alle Datenverarbeitungen durch Strato finden ausschließlich auf Infrastruktur in Deutschland statt. Wir haben mit Strato einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen, der Strato vertraglich verpflichtet, Ihre Daten nur auf unsere Weisung hin und im Einklang mit dem anwendbaren Datenschutzrecht zu verarbeiten.
Transaktionale E-Mails (Verifizierung, Passwort-Zurücksetzung, Sicherheitsbenachrichtigungen) werden über einen selbst betriebenen Mailserver versendet, der auf dieser Strato-Infrastruktur läuft. Es wird kein separater externer E-Mail-Marketingdienst genutzt.
8.2 Administrativer Zugang
Der Zugang zu personenbezogenen Daten in der Datenbank ist auf autorisierte Administratoren von RL Analytix beschränkt, die diesen Zugang für den Betrieb, die Wartung und die Sicherheit des Dienstes benötigen. Administratoren greifen nur auf das für die jeweilige Aufgabe erforderliche Mindestmaß an Daten zu.
8.3 Gesetzlich vorgeschriebene Offenlegung
Wir können personenbezogene Daten an Behörden (z. B. Strafverfolgungsbehörden, Gerichte, Finanzbehörden) weitergeben, wenn wir gesetzlich dazu verpflichtet sind. Wir werden Sie über solche Offenlegungen informieren, soweit dies gesetzlich zulässig ist.
8.4 Internationale Datenübermittlungen
Alle Datenverarbeitungen finden ausschließlich in Deutschland auf in Deutschland befindlichen Servern statt. Wir übermitteln keine personenbezogenen Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR). Sollte sich dies ändern, werden wir diese Erklärung aktualisieren und geeignete Garantien sicherstellen (z. B. Standardvertragsklauseln gemäß Art. 46 DSGVO).
9. Ihre Rechte als betroffene Person
Gemäß der DSGVO haben Sie folgende Rechte in Bezug auf Ihre personenbezogenen Daten. Um eines dieser Rechte auszuüben, kontaktieren Sie uns bitte unter datenschutz@rl-analytix.de. Wir werden Ihnen innerhalb eines Monats nach Eingang Ihrer Anfrage antworten, wie von Art. 12 Abs. 3 DSGVO vorgeschrieben.
9.1 Auskunftsrecht (Art. 15 DSGVO)
Sie haben das Recht zu erfahren, ob wir personenbezogene Daten über Sie verarbeiten, und wenn ja, eine Kopie dieser Daten sowie Informationen über die Verarbeitung zu erhalten.
Sie können dieses Recht direkt im Dienst über die Funktion „Meine Daten exportieren" ausüben, die einen vollständigen JSON-Export all Ihrer personenbezogenen Daten, API-Schlüsselmetadaten und Nutzungshistorie bereitstellt.
9.2 Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, unrichtige personenbezogene Daten berichtigen und unvollständige personenbezogene Daten vervollständigen zu lassen. Die meisten Ihrer Daten können Sie direkt in Ihrem Profil im Dienst aktualisieren.
9.3 Recht auf Löschung / „Recht auf Vergessenwerden" (Art. 17 DSGVO)
Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, vorbehaltlich der in Abschnitt 6 beschriebenen Aufbewahrungspflichten. Sie können eine Form dieses Recht direkt im Dienst über die Funktion „Konto löschen" ausüben, oder per Email die sofortige Löschung beantragen. Bei der Kontolöschung über die zuvor genannte Funktion „Konto löschen":
- Beginnt eine 30-tägige Nachfrist, während der Ihr Konto gesperrt ist, die Daten aber noch nicht endgültig gelöscht werden (um eine Wiederherstellung bei versehentlicher Löschung zu ermöglichen).
- Werden nach 30 Tagen alle personenbezogenen Daten endgültig gelöscht oder unwiderruflich anonymisiert.
- Werden Daten, die gesetzlichen Aufbewahrungsfristen unterliegen (Rechnungsunterlagen: 10 Jahre; sonstige Unterlagen: 3 Jahre), nur im gesetzlich erforderlichen Umfang aufbewahrt und nicht für andere Zwecke verwendet.
- Werden Audit-Log-Einträge, die auf Ihr Konto verweisen, anonymisiert (Ihre Kennung wird entfernt); die Sicherheitsaufzeichnungen selbst bleiben jedoch erhalten.
9.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie haben unter bestimmten Umständen das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen (z. B. wenn Sie die Richtigkeit der Daten bestreiten oder die Verarbeitung unrechtmäßig ist, Sie aber der Löschung widersprechen). Während einer Verarbeitungseinschränkung werden Ihre Daten aufbewahrt, aber nicht aktiv für die Diensterbringung verarbeitet. Kontaktieren Sie uns unter datenschutz@rl-analytix.de, um dieses Recht auszuüben.
9.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übermitteln. Sie können dieses Recht über die Funktion „Meine Daten exportieren" im Dienst ausüben, die einen vollständigen JSON-Export Ihrer Daten erzeugt.
9.6 Widerspruchsrecht (Art. 21 DSGVO)
Soweit wir Ihre Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten – konkret für die IP-Adresserhebung und die Audit-Protokollierung – haben Sie das Recht, dieser Verarbeitung jederzeit zu widersprechen. Wir werden die Verarbeitung dann einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
9.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Soweit wir Ihre Daten auf Grundlage Ihrer Einwilligung verarbeiten, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung.
9.8 Beschwerderecht (Art. 77 DSGVO)
Sie haben das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Die für unsere Niederlassung zuständige Aufsichtsbehörde ist:
Sächsischer Datenschutzbeauftragter (SächsDSB)
Devrientstraße 5
01067 Dresden
Deutschland
Website: https://www.saechsdsb.de
E-Mail: saechsdsb@slt.sachsen.de
Sie können sich auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts oder Ihres Arbeitsorts innerhalb der EU wenden.
10. Sicherheitsmaßnahmen
Wir setzen geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten vor zufälliger oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang gemäß Art. 32 DSGVO um. Diese Maßnahmen umfassen:
- Verschlüsselung ruhender Daten: Alle personenbezogenen Datenfelder (mit Ausnahme von Passwort-Hashes) werden verschlüsselt in der Datenbank gespeichert (Fernet-Symmetrieverschlüsselung, AES-128-CBC mit HMAC-SHA256-Authentifizierung).
- Verschlüsselung bei der Übertragung: Die gesamte Kommunikation mit dem Dienst wird durch TLS (HTTPS) geschützt. HTTP-Verbindungen werden auf HTTPS umgeleitet. HSTS-Header werden erzwungen.
- Passwortsicherheit: Passwörter werden mit Argon2 und einem nutzerspezifischen Salt gehasht und niemals in wiederherstellbarer Form gespeichert.
- API-Schlüsselsicherheit: API-Schlüsselwerte werden niemals gespeichert; es wird ausschließlich ein SHA-256-Hash aufbewahrt. Der Schlüsselwert wird Ihnen einmalig bei der Erstellung angezeigt.
- Zugriffskontrolle: Endpunkt-spezifische Berechtigungen stellen sicher, dass jeder API-Schlüssel nur auf explizit freigegebene Endpunkte zugreifen kann.
- Kontosperrung: Wiederholte fehlgeschlagene Anmeldeversuche führen zu einer vorübergehenden Kontosperrung zum Schutz vor Brute-Force-Angriffen.
- JWT-Token-Sicherheit: Sitzungs-Tokens sind kurzlebig (Zugriffstoken: 15–30 Minuten) und werden über HTTP-only-Cookies übermittelt, um XSS-Angriffe zu verhindern.
- Audit-Protokollierung: Alle wesentlichen Konto- und Datenereignisse werden in einem unveränderlichen Audit-Protokoll aufgezeichnet.
- Eingabevalidierung: Alle API-Eingaben werden validiert und bereinigt, um Injection-Angriffe zu verhindern.
Trotz dieser Maßnahmen ist kein System vollständig vor Sicherheitsvorfällen geschützt. Im Fall eines Datenschutzvorfalls, der voraussichtlich zu einem hohen Risiko für Ihre Rechte und Freiheiten führt, werden wir Sie unverzüglich gemäß Art. 34 DSGVO benachrichtigen und die zuständige Aufsichtsbehörde innerhalb von 72 Stunden gemäß Art. 33 DSGVO informieren.
11. Cookies und Sitzungsverwaltung
Der Dienst verwendet HTTP-only-Sitzungscookies, um Ihre authentifizierte Sitzung nach der Anmeldung aufrechtzuerhalten. Diese Cookies:
- Werden ausschließlich über HTTPS übertragen
- Sind für JavaScript nicht zugänglich (HTTP-only-Flag)
- Sind auf die Domäne des Dienstes beschränkt (SameSite-Konfiguration)
- Laufen ab, wenn Ihre Sitzung endet oder nach Ablauf der JWT-Token-Laufzeit
Wir verwenden keine Tracking-Cookies, Analytics-Cookies, Werbe-Cookies oder Cookies von Drittanbietern. Für technisch notwendige Sitzungscookies ist kein Cookie-Einwilligungsbanner erforderlich (Erwägungsgrund 25 der ePrivacy-Richtlinie; § 25 Abs. 2 Nr. 2 TTDSG).
12. Automatisierte Entscheidungsfindung und Profiling
Wir verwenden Ihre personenbezogenen Daten nicht für eine automatisierte Entscheidungsfindung, die rechtliche oder ähnlich bedeutsame Auswirkungen im Sinne von Art. 22 DSGVO erzeugt, und betreiben kein Profiling zu Marketing- oder Verhaltensanalysezwecken.
Entscheidungen zur Ratenbegrenzung (Einschränkung der Anzahl der API-Aufrufe pro Zeitfenster) sind technisch automatisiert, werden jedoch einheitlich entsprechend Ihrem von einem Administrator festgelegten Konto-Tier angewendet und stellen keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO dar.
13. Daten von Minderjährigen
Der Dienst richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Wenn Sie glauben, dass wir versehentlich solche Daten erhoben haben, kontaktieren Sie uns bitte unter datenschutz@rl-analytix.de, und wir werden diese umgehend löschen.
14. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Datenverarbeitungspraktiken, gesetzlicher Anforderungen oder der Funktionen des Dienstes widerzuspiegeln. Bei wesentlichen Änderungen werden wir:
- Das Datum „Zuletzt aktualisiert" am Anfang dieses Dokuments aktualisieren
- Registrierte Nutzer per E-Mail an die für ihr Konto registrierte Adresse benachrichtigen
- Soweit gesetzlich vorgeschrieben, eine erneute Einwilligung einholen
Wir empfehlen Ihnen, diese Erklärung regelmäßig zu überprüfen. Ihre weitere Nutzung des Dienstes nach Benachrichtigung über wesentliche Änderungen gilt als Kenntnisnahme der aktualisierten Erklärung.
15. Kontakt
Bei Fragen, Anliegen oder Anfragen zu dieser Datenschutzerklärung oder zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte an:
Verantwortlicher & Datenschutzbeauftragter:
Robert Lorenz / RL Analytix
Steinweg 2b, 01458 Ottendorf-Okrilla, Deutschland
E-Mail: datenschutz@rl-analytix.de
Wir bemühen uns, alle Anfragen von betroffenen Personen innerhalb eines Monats nach Eingang zu beantworten, wie von Art. 12 Abs. 3 DSGVO verlangt. In komplexen Fällen oder bei einer hohen Anzahl von Anfragen können wir diese Frist um weitere zwei Monate verlängern; in diesem Fall werden wir Sie innerhalb der ersten Monatsfrist informieren.
Diese Datenschutzerklärung wurde zuletzt überprüft und aktualisiert am 26. Februar 2026.