Datenschutzerklärung

CRM Enhancer – öffentliche Lizenz- und Hilfsdienste unter https://crm-enhancer.itznotme.de
Stand: 21. April 2026 · Nutzungsbedingungen (EULA) · Impressum

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Zusammenhang mit dieser Website und der Lizenz-API ist der Betreiber der genannten Dienste (ItzNotMe / Entwickler von CRM Enhancer). Die vollständigen Anbieterkennzeichnungen finden Sie im zentralen Impressum von ItzNotMe. Für datenschutzrechtliche Anfragen erreichen Sie uns unter [email protected]; kennzeichnen Sie Ihr Anliegen als „Datenschutz“.

2. Geltungsbereich

Diese Erklärung beschreibt die Verarbeitung durch den Server unter

https://crm-enhancer.itznotme.de (Lizenz-API, Testphase, Webhooks, ggf. Auslieferung von Premium-Konfigurationsdaten).

Sie gilt nicht für die Websites von Podio, weclapp oder Gumroad (Checkout); dort gelten die jeweiligen Anbieterhinweise. Die Browser-Erweiterung „CRM Enhancer“ verarbeitet CRM-Seiteninhalte nicht zu diesem Backend – es werden ausschließlich lizenz- und gerätebezogene Daten an die API übermittelt (siehe unten).

Hinweis zu nutzerkonfigurierten Webhooks (Kategorie-Webhooks): Wenn Sie in der Erweiterung HTTPS-URLs hinterlegen, können bei Änderungen an Podio-Kategoriefeldern POST-Anfragen direkt von Ihrem Browser an diese von Ihnen gewählten Drittserver gesendet werden. Inhalt und Umfang der Nutzdaten richten sich nach der jeweiligen Podio-Oberfläche und Ihrer Konfiguration; im JSON-Body kann u. a. ein von Ihnen vergebener Anzeigename enthalten sein (webhookName). Diese Übermittlung erfolgt nicht über crm-enhancer.itznotme.de und wird von uns nicht verarbeitet oder protokolliert. Für den Empfänger gelten dessen Datenschutzhinweise; Sie entscheiden allein über Ziel-URL und Einsatz.

3. Welche Daten werden verarbeitet?

3.1 Von der Erweiterung an die Lizenz-API übermittelt

Je nach Aktion können u. a. folgende Daten per HTTPS an unser Backend gesendet werden:

deviceId – eine von der Erweiterung erzeugte, zufällige Kennung (UUID), um Aktivierungen und Testphasen gerätebezogen abzubilden.
Lizenzschlüssel – nur wenn Sie ihn in der Erweiterung eingeben (Aktivierung, Validierung, Deaktivierung).
Erweiterungsversion – z. B. zur Diagnose und Kompatibilität.
Erweiterungs-ID (extensionId) – zur Unterscheidung offizieller Store-Builds von inoffiziellen Paketen (Auswirkung u. a. auf ausgelieferte Funktionslisten im Token).

Es werden keine Inhalte aus Podio/weclapp (keine Items, Texte, Dateien, Kontakte) an dieses Backend übertragen.

3.2 Organisations-Defaults und verschlüsselte Konfiguration

Bei Team-/Business-Funktionen können berechtigte Organisations-Admins oder Devs organisationsweite Einstellungen über PUT /v1/org/settings speichern. Technisch handelt es sich um ein JSON-Dokument in der Tabelle organization_settings, z. B. Feature-Vorgaben, gesperrte Standardwerte und Konfigurationen für gemeinsam genutzte Erweiterungsfunktionen.

Soweit dort sensible Webhook-Konfigurationen hinterlegt werden, verschlüsselt die Erweiterung diese clientseitig mit einem von der Organisation gewählten Passwort. Das Backend speichert dann nur den verschlüsselten Wrapper (Ciphertext plus technische Parameter wie Salt/IV) und kann die Inhalte ohne dieses Passwort nicht entschlüsseln.

3.3 Automatisch anfallende Verbindungs- und Sicherheitsdaten

Bei jedem Aufruf der API verarbeiten wir die dabei üblichen technischen Informationen, insbesondere IP-Adresse, Zeitpunkt, angefragter Pfad und User-Agent. Ein Teil davon kann in Anwendungsprotokollen (stdout/stderr) erscheinen; die konkrete Aufbewahrung hängt vom eingesetzten Hosting/Reverse-Proxy ab. Wir orientieren uns in der Regel an einer Aufbewahrung von bis zu 30 Tagen, soweit der Anbieter nicht kürzere Fristen vorschreibt.

3.4 Speicherung in unserer Datenbank (PostgreSQL)

Zur Vertragserfüllung (Lizenz), zur Absicherung des Angebots und zur technischen Betriebsführung können u. a. folgende Datensätze anfallen (Auszug, angelehnt an die tatsächlichen Tabellen):

Aktivierungen (activations): Zuordnung Lizenz bzw. Sitzplatzschlüssel ↔ device_id, ggf. extension_version, Zeitstempel (last_seen_at, created_at). Werden genutzt, um gültige Geräte zu führen und Gerätelimits durchzusetzen. Bei Löschung der zugehörigen Lizenz werden verbundene Aktivierungen mitgelöscht (kaskadierend).
Aktivierungsprotokoll (activation_log): Wird bei erfolgreicher Erstaktivierung geschrieben und enthält u. a. einen SHA-256-Hash des Lizenz- oder Sitzplatzschlüssels, device_id, IP, User-Agent, Erweiterungs-ID, Version und eine Quellenkennzeichnung (official/unofficial). Der Klartext-Schlüssel wird in diesem Protokoll nicht gespeichert. Zweck: Nachvollziehbarkeit und Missbrauchserkennung (z. B. ungewöhnliche IP-Streuung eines Schlüssels). Automatische Löschung nach 90 Tagen.
Testphase (trials): device_id, Start- und Endzeitpunkt der Testphase.
IP-Hinweis für Testphasen (ip_trials): IP-Adresse und Zeitpunkt der ersten Testnutzung in diesem Netzwerk, um Mehrfachanmeldungen über ein begrenztes Zeitfenster zu begrenzen (Cooldown gemäß Serverkonfiguration).
Lizenzen (licenses): Lizenzschlüssel, Plan/Status, Ablaufzeitpunkte, ggf. von Gumroad übermittelte E-Mail-Adresse des Kunden und interne Referenzen zur Bestellung bzw. zum Abonnement (z. B. Bestell- oder Abo-IDs).
Webhook-Ereignisse (webhook_events): technische Deduplizierungs-IDs und Ereignisnamen von Gumroad (Kauf, Erstattung, Abo-Status). Automatische Löschung nach 30 Tagen.
Organisationen / Sitzplätze (Team-Tarife): Verknüpfung von Admin-Lizenz und Organisation, Sitzplatzschlüssel, optional zugewiesene E-Mail-Adresse pro Sitzplatz, organisationsbezogene Einstellungen als JSON, sofern genutzt.
Organisations-Einstellungen (organization_settings): JSON-Defaults pro Organisation, inklusive Rollen-/Feature-Vorgaben und ggf. clientseitig verschlüsselter Webhook-Konfiguration. Diese Einträge sind an die Organisation gekoppelt und werden mit deren Löschung entfernt.

Für trials und ip_trials ist im aktuellen Stand keine automatische Löschung nach Ablauf der Testphase hinterlegt; die Daten bleiben bestehen, bis sie aus betrieblichen Gründen gelöscht werden oder eine Löschung veranlasst wird.

4. Zwecke und Rechtsgrundlagen

Bereitstellung der Lizenz- und Testfunktion (Art. 6 Abs. 1 lit. b DSGVO – Vertrag / vorvertragliche Maßnahmen): Speicherung von Aktivierungen, Ausstellung kurzlebiger Berechtigungstoken, Verarbeitung von Lizenzschlüsseln.
Missbrauchs- und Sicherheitsvorkehrungen (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse): Ratenbegrenzung, IP-/Subnetz-Limits für Teststarts, gehashte Aktivierungsprotokolle, Prüfungen auf ungewöhnliche Nutzungsmuster, technische Logs.
Zahlungs- und Lizenzabwicklung über Gumroad (Art. 6 Abs. 1 lit. b DSGVO): Empfang und Verarbeitung von Webhook-Ereignissen zur Pflege von Lizenzdaten.

5. Speicherdauer (Überblick)

activation_log: automatische Löschung nach 90 Tagen.
webhook_events: automatische Löschung nach 30 Tagen.
activations: in der Regel für die Dauer der gültigen Lizenz bzw. bis zur Deaktivierung des Geräts; bei Löschen der Lizenz entfallen die Einträge mit.
organization_settings: solange die zugehörige Organisation besteht; bei Löschung der Organisation werden die Einträge mitgelöscht.
Server-/Proxy-Logs beim Hoster: typischerweise bis ca. 30 Tage (siehe Abschnitt 3.3).
trials / ip_trials: keine automatische Löschung im aktuellen System (siehe Hinweis oben).

6. Empfänger und Auftragsverarbeitung

Gumroad, Inc. (Merchant of Record) verarbeitet Bestellung, Steuern und Zahlung; Lizenzschlüssel und Kaufbestätigungen werden dort erzeugt bzw. zugestellt. Wir erhalten Webhook-Benachrichtigungen zur Pflege unserer Lizenzdaten. Für die Verarbeitung im Checkout gilt die Datenschutzerklärung von Gumroad.

Zusätzlich kann unser Hosting-Anbieter als technischer Dienstleister Zugang zu Server- und Netzwerklogs haben (Auftragsverarbeitung, sofern anwendbar).

Eine weitergehende „Weitergabe“ zu Werbezwecken findet durch dieses Backend nicht statt.

7. Drittlandübermittlung

Ob Daten in ein Land außerhalb des EWR übermittelt werden, hängt von den eingesetzten Diensten (insb. Gumroad und Hosting) und deren Standorten ab. Es gelten dann die vertraglichen und gesetzlichen Garantien der jeweiligen Anbieter (z. B. Standardvertragsklauseln).

8. Ihre Rechte

Sie haben nach der DSGVO insbesondere:

Auskunft (Art. 15 DSGVO),
Berichtigung (Art. 16 DSGVO),
Löschung (Art. 17 DSGVO),
Einschränkung der Verarbeitung (Art. 18 DSGVO),
Datenübertragbarkeit (Art. 20 DSGVO),
Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO),
Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), insbesondere bei der für Ihren Wohnsitz zuständigen Behörde.

Zur Ausübung der Rechte wenden Sie sich bitte an [email protected]. Geben Sie an, um welche Lizenz bzw. welches Gerät es geht, soweit Sie diese Angaben kennen (z. B. letzter Lizenzschlüssel oder Kaufdatum), damit wir Ihre Anfrage zuordnen können.

9. Änderungen

Wir passen diese Erklärung an, wenn sich unsere Verarbeitung oder rechtliche Anforderungen ändern. Maßgeblich ist die jeweils veröffentlichte Fassung mit Stand-Datum oben im Dokument.