Datenschutzerklärung ? ConformControl

← Zurück zur Startseite

Hinweis: Diese Datenschutzerklärung beschreibt die Datenverarbeitung durch den Anbieter von ConformControl. Sie ersetzt keine individuelle Rechtsberatung.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) ist:

Nico Poser
Beethovenstraße 84, 42655 Solingen, Deutschland
Website: https://www.conformcontrol.com
E-Mail: nicoposer91@gmail.com
Support: support@conformcontrol.com
Telefon: +49 1525 6405586

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt. Bei Fragen zum Datenschutz wenden Sie sich bitte an den Verantwortlichen unter den oben genannten Kontaktdaten.

3. Geltungsbereich

Diese Datenschutzerklärung gilt für die Websites conformcontrol.com (inkl. www) sowie verbundene Domains wie spy-app.net, soweit dort derselbe Dienst bereitgestellt wird, und für die Nutzung des SaaS-Dienstes ConformControl (Web-Dashboard, API, Android-App/APK).

4. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten insbesondere in folgenden Bereichen:

Bereitstellung der Website und des Dashboards (Hosting, Sicherheit, Logs),
Registrierung, Anmeldung und Kontoverwaltung,
Abonnement- und Zahlungsabwicklung,
Bereitstellung personalisierter Android-APKs und Geräte-Pairing,
Empfang und Speicherung von Gerätedaten (je nach Tarif),
Live-Funktionen (Premium/Enterprise, z. B. Screen-Stream, Kamera, Audio-Audit),
Support und Kommunikation.

Eine Weitergabe oder ein Verkauf von Daten zu Werbezwecken findet nicht statt.

5. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten nur, wenn eine Rechtsgrundlage vorliegt, insbesondere:

Art. 6 Abs. 1 lit. a DSGVO ? Einwilligung (z. B. optionale Cookies),
Art. 6 Abs. 1 lit. b DSGVO ? Vertragserfüllung / vorvertragliche Maßnahmen (Konto, Dienstnutzung, Zahlung),
Art. 6 Abs. 1 lit. c DSGVO ? rechtliche Verpflichtung (z. B. steuerliche Aufbewahrung),
Art. 6 Abs. 1 lit. f DSGVO ? berechtigtes Interesse (z. B. IT-Sicherheit, Missbrauchsprävention, Stabilität des Dienstes).

6. Hosting und technische Infrastruktur

Der Dienst wird auf der Infrastruktur von Cloudflare, Inc. (101 Townsend St., San Francisco, CA 94107, USA) betrieben. Verarbeitung erfolgt überwiegend in der EU bzw. mit EU-Datenresidenz, soweit technisch vorgesehen:

Cloudflare Workers (ConformControl-api) ? Anwendungslogik, API, Auslieferung statischer Dateien,
Cloudflare D1 ? relationale Datenbank (Nutzerkonten, Sitzungen, Geräte, Pairing-Codes, Zahlungsmetadaten),
Cloudflare R2 (Bucket ConformControl-data-eu, Jurisdiction eu) ? Objektspeicher für Gerätedaten, APK-Vorlagen und Exporte; Daten verbleiben in der EU,
Cloudflare KV ? temporäre Speicherung für Rate-Limiting (Schutz vor Missbrauch),
Cloudflare ? DNS, TLS-Verschlüsselung, DDoS-Schutz und Content Delivery.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO. Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum) einschließlich EU-Standardvertragsklauseln (Art. 46 DSGVO), soweit eine Verarbeitung in Drittländern nicht ausgeschlossen werden kann.

Technische Details zur EU-Datenresidenz bei R2: Cloudflare R2 Data Location.

7. Server-Logfiles und Sicherheit

Beim Aufruf der Website und der API werden automatisch technische Daten verarbeitet, z. B. IP-Adresse, Zeitpunkt des Zugriffs, angeforderte URL, HTTP-Status, übertragene Datenmenge, Referrer, User-Agent und Sicherheitsheader. Diese Daten dienen der Bereitstellung, Fehleranalyse, Abwehr von Angriffen und Missbrauch (Rate-Limiting).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: in der Regel wenige Tage bis maximal 30 Tage, sofern keine längere Aufbewahrung zu Beweiszwecken erforderlich ist.

8. Cookies und lokale Speicherung

Wir verwenden folgende Cookies im Dashboard-Bereich:

Name	Zweck	Typ	Dauer
`mc_session`	Anmeldung / Sitzung	HttpOnly, technisch notwendig	24 Stunden
`mc_csrf`	CSRF-Schutz bei API-Anfragen	technisch notwendig	24 Stunden

Auf der Landing Page setzen wir nur technisch notwendige Mechanismen ein (z. B. Theme-Einstellung im lokalen Speicher des Browsers). Optionale Cookies (z. B. Statistik/Marketing) verwenden wir nur mit Ihrer Einwilligung (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO), die Sie über den Cookie-Hinweis erteilen und jederzeit über ?Cookie-Einstellungen" im Footer widerrufen können.

9. Webfonts

Schriftarten werden self-hosted von /landing/fonts/ geladen. Es erfolgt keine Verbindung zu Google Fonts oder vergleichbaren Drittanbieter-CDNs.

10. Registrierung und Nutzerkonto

Bei der Registrierung und Nutzung verarbeiten wir u. a.:

Benutzername, E-Mail-Adresse,
Passwort (ausschließlich als kryptografischer Hash, kein Klartext),
gewählter Tarif (Starter, Pro, Premium, Enterprise),
Abo-Status und Ablaufdatum (subscription_expires_at),
Gerätelimit, API-Token (plan-gebunden),
Zeitpunkte von Registrierung und letztem Login.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: für die Dauer des Nutzungsverhältnisses; nach Kontolöschung Löschung innerhalb angemessener Frist, vorbehaltlich gesetzlicher Aufbewahrungspflichten.

11. Zahlungsabwicklung (Mollie)

Für kostenpflichtige Tarife nutzen wir Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande. Zahlungsdaten (z. B. Kartendaten) werden direkt bei Mollie verarbeitet; wir speichern keine vollständigen Zahlungskartennummern. Bei uns verbleiben Zahlungs-IDs, Betrag, Status und Zuordnung zum Nutzerkonto.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Mit Mollie besteht ein Auftragsverarbeitungsvertrag.

12. Android-App, APK und Geräteanbindung

Zur Nutzung installieren Sie eine personalisierte Android-APK. Darin sind u. a. Server-URL, Nutzer-Token und Plan-Informationen (mc_license.json) eingebettet. Pairing erfolgt über einen 6-stelligen Code, den Sie beim APK-Download im Dashboard erhalten und beim ersten App-Start eingeben. Verarbeitet werden Geräte-ID, Gerätename, Pairing-Metadaten und technische Capabilities.

APK-Vorlagen werden in Cloudflare R2 (EU) unter apk/templates/ gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

13. Gerätedaten und Funktionsumfang je Tarif

Über die Android-App werden Daten an unsere API übermittelt und in Cloudflare R2 (EU) unter received/{nutzer-id}/ als JSON gespeichert. Der Umfang hängt vom gebuchten Tarif ab:

Starter (Test): primär Standort/GPS-Daten,
Pro: u. a. Standort, Zonen, Bildschirmzeit, Filter, SOS, Kommunikations- und Mediendaten,
Premium/Enterprise: zusätzlich Live Control (Screen-Stream, Kamera, begrenztes Audio-Audit), MDM-Funktionen.

Konkrete Kategorien können u. a. sein: Standortkoordinaten, Gerätestatus, App-Nutzung, Kontakte, Anrufe, SMS-Metadaten, Fotos, Browser-/Social-Aktivitäten, Richtlinien- und Policy-Status ? jeweils soweit im Tarif freigeschaltet und technisch übermittelt.

Wichtig ? Rollenverteilung: Hinsichtlich der auf den Endgeräten erhobenen Daten (z. B. von Kindern oder Beschäftigten) ist der Kunde Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Wir handeln als Auftragsverarbeiter nach Art. 28 DSGVO auf Grundlage eines Auftragsverarbeitungsvertrags (AVV). Der Kunde muss eine zulässige Rechtsgrundlage sicherstellen und Betroffene informieren. Heimliche Überwachung Dritter ist untersagt (siehe AGB).

14. Live Control (Premium/Enterprise)

Premium- und Enterprise-Tarife können Echtzeit-Funktionen umfassen: Bildschirm-Stream (JPEG), Front-/Rückkamera, 15-Sekunden-Audio-Audit und Live-Audio (PCM-Chunks). Diese Daten werden über gesicherte Verbindungen (WebSocket/HTTPS) an das Dashboard übertragen und ggf. kurzzeitig zwischengespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und ? soweit der Kunde Endnutzerdaten betrifft ? die vom Kunden zu verantwortende Rechtsgrundlage (z. B. elterliche Sorge, Betriebsvereinbarung). Speicherdauer: Live-Daten werden nicht dauerhaft archiviert, sofern nicht ausdrücklich als Event/Ingest gespeichert.

15. Push-Benachrichtigungen (optional, FCM)

Sofern aktiviert, können Push-Mitteilungen über Firebase Cloud Messaging (Google) versendet werden. Dabei werden Geräte-Token und Nachrichteninhalte verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. a DSGVO (je nach Einrichtung). Eine Übermittlung in die USA kann erfolgen; Grundlage sind EU-Standardvertragsklauseln des jeweiligen Anbieters.

16. Empfänger und Auftragsverarbeiter

Eine Weitergabe erfolgt nur, soweit erforderlich, an:

Cloudflare, Inc. (USA/EU) ? Workers, D1, R2 (EU), KV, DNS, CDN, Sicherheit; AVV mit EU-SCCs,
Mollie B.V. (Niederlande) ? Zahlungsabwicklung; AVV,
Google (Firebase) (USA) ? optionale Push-Benachrichtigungen; AVV/SCCs.

Eine Weitergabe an sonstige Dritte zu Werbe- oder Profilingzwecken findet nicht statt.

17. Drittlandübermittlung

Verarbeitung erfolgt vorrangig innerhalb der EU/des EWR (insbesondere R2 mit EU-Jurisdiction). Soweit Dienstleister in Drittländern (insbesondere USA) eingesetzt werden, geschieht dies nur bei Vorliegen geeigneter Garantien gemäß Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln und ergänzende Maßnahmen).

18. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

Nutzerkonto: bis zur Löschung durch den Nutzer oder Kündigung,
Sitzungen: maximal 24 Stunden,
Gerätedaten (R2): bis zur Löschung des Kontos oder auf Anfrage; gesetzliche Aufbewahrung bleibt vorbehalten,
Rate-Limiting (KV): wenige Minuten bis Stunden,
Zahlungsbelege: gemäß handels- und steuerrechtlichen Fristen (in der Regel bis zu 10 Jahre).

Danach werden Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Pflichten entgegenstehen.

19. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO insbesondere folgende Rechte:

Auskunft (Art. 15 DSGVO),
Berichtigung (Art. 16 DSGVO),
Löschung (Art. 17 DSGVO),
Einschränkung der Verarbeitung (Art. 18 DSGVO),
Datenübertragbarkeit (Art. 20 DSGVO),
Widerspruch gegen Verarbeitung auf Basis von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO),
Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

So können Sie Ihre Rechte ausüben:

Datenexport: GET /api/user/export (JSON, eingeloggt),
Kontolöschung: DELETE /api/user/account mit Bestätigung {"confirm":"DELETE"} (lokale Konten ggf. zusätzlich mit Passwort),
E-Mail: support@conformcontrol.com oder nicoposer91@gmail.com.

Endnutzer, deren Daten ein ConformControl-Kunde (z. B. Eltern, Arbeitgeber) verarbeitet, wenden sich primär an diesen Kunden als Verantwortlichen. Wir unterstützen den Kunden als Auftragsverarbeiter im Rahmen des AVV.

20. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), insbesondere bei der für uns zuständigen:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf
https://www.ldi.nrw.de

21. Pflicht zur Bereitstellung von Daten

Die Bereitstellung von Daten ist für die Registrierung und Nutzung des Dienstes erforderlich. Ohne diese Daten können wir den Vertrag nicht erfüllen. Eine gesetzliche Pflicht zur Bereitstellung besteht nicht; die Nichtbereitstellung führt jedoch dazu, dass der Dienst nicht genutzt werden kann.

22. Automatisierte Entscheidungsfindung

Wir verwenden keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO, die rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

23. Minderjährige

Die Registrierung richtet sich an volljährige Nutzer (z. B. Sorgeberechtigte, Unternehmen). Daten Minderjähriger werden nur im Rahmen der elterlichen Nutzung verarbeitet; der registrierte Kunde ist für die Rechtmäßigkeit verantwortlich.

24. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich unsere Verarbeitung, eingesetzte Dienste oder die Rechtslage ändern. Die jeweils aktuelle Version ist unter dieser URL abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer in geeigneter Form.

Stand: 22.06.2026