Datenschutzerklärung

Stand: 9. Mai 2026

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung von Goojo (goojo.io) gemäß den Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG).

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Martin Pham
Obertiefenbacher Straße 9
65589 Hadamar
Deutschland
E-Mail: [email protected]
Telefon: +49 152 23010 6593

Ein Datenschutzbeauftragter ist gesetzlich nicht vorgeschrieben und wurde nicht bestellt.

2. Allgemeine Hinweise zur Datenverarbeitung

2.1 Umfang der Verarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unserer Inhalte und Leistungen erforderlich ist oder Sie eingewilligt haben.

2.2 Rechtsgrundlagen

Soweit für Verarbeitungsvorgänge eine Einwilligung eingeholt wird, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei Verarbeitung zur Erfüllung eines Vertrages dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Soweit eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage. Bei Wahrung berechtigter Interessen dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

2.3 Datenlöschung und Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt. Eine darüberhinausgehende Speicherung kann erfolgen, wenn dies durch gesetzliche Aufbewahrungspflichten vorgesehen ist (z.B. handels- und steuerrechtliche Aufbewahrungsfristen).

3. Bereitstellung der Website und Erstellung von Logfiles

Bei jedem Aufruf unserer Website werden durch unseren Hosting-Anbieter Cloudflare (siehe Abschnitt 7.1) automatisch folgende Informationen erfasst:

  • IP-Adresse des anfragenden Endgeräts (gekürzt/anonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • HTTP-Statuscode und Antwortgröße
  • Referrer-URL
  • User-Agent (Browser und Betriebssystem)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Sicherstellung der Funktionsfähigkeit, Sicherheit und Stabilität unserer Website sowie der Abwehr von Angriffen.

Speicherdauer: Server-Logfiles werden in der Regel nach maximal 30 Tagen automatisch gelöscht.

4. Account und Authentifizierung

Sie können Goojo ohne Account testen. Daten werden in diesem Fall ausschließlich lokal in Ihrem Browser gespeichert und nicht an unsere Server übermittelt.

Für die Synchronisierung über Geräte hinweg, das Anlegen mehrerer Dashboards und kostenpflichtige Funktionen ist eine Registrierung erforderlich:

  • E-Mail + Passwort: Wir speichern Ihre E-Mail-Adresse und ein gehashtes Passwort.
  • Magic Link: Wir senden Ihnen einen einmaligen Anmeldelink per E-Mail.
  • Google-Anmeldung (OAuth 2.0): Bei Anmeldung über Google werden uns von Google Ihre E-Mail-Adresse, Ihr Name und ggf. Ihr Profilbild übermittelt.

Auftragsverarbeiter: Die Authentifizierung erfolgt über Supabase (siehe Abschnitt 7.2). Daten werden in einer Datenbank in Frankfurt am Main (EU) gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), bei Google-Anmeldung zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Speicherdauer: Bis zur Löschung Ihres Accounts. Sie können Ihren Account jederzeit selbst in den Einstellungen löschen.

5. Nutzungsdaten / Inhalte

Bei Nutzung des Dienstes verarbeiten wir folgende von Ihnen erstellte Inhalte:

  • Lesezeichen (URLs, Titel)
  • Dashboards, Karten, Ordner und Untergruppen
  • Notizen (Notes-Widget)
  • Widget-Einstellungen (z.B. Standort für Wetter, Währungspaar etc.)
  • Dateianhänge (Files-Widget, Pro-Funktion)
  • Branding-Einstellungen (eigenes Logo / Titel, Pro-Funktion)
  • Klick-Anzahl auf Links (zur Anzeige im Top-Links-Widget)

Speicherort: Supabase-Datenbank in Frankfurt am Main (EU). Dateianhänge in Supabase Storage (EU).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Bis zur Löschung durch den Nutzer oder Account-Löschung.

6. Zahlungsabwicklung

Für kostenpflichtige Tarife (Pro, Teams) nutzen wir Lemon Squeezy als Merchant of Record (siehe Abschnitt 7.3). Lemon Squeezy ist Verkäufer der Leistung und übernimmt Zahlungsabwicklung, Rechnungsstellung und steuerliche Compliance.

Wir erhalten von Lemon Squeezy lediglich folgende Daten zurück:

  • Lemon Squeezy Customer-ID (zur Verknüpfung mit Ihrem Account)
  • Status Ihres Abonnements (aktiv, gekündigt, Zahlung fehlgeschlagen, Trial)
  • Tarif und Abrechnungszeitraum

Zahlungsdaten (Kreditkarte, IBAN, PayPal etc.) werden zu keinem Zeitpunkt von uns gespeichert oder verarbeitet — diese liegen ausschließlich bei Lemon Squeezy bzw. dessen Zahlungsdienstleistern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Eingebundene Drittdienste

7.1 Cloudflare (Hosting & CDN)

Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA.

Zweck: Hosting der Website (Cloudflare Pages), Content-Delivery-Network, DDoS-Schutz und Bot-Mitigation.

Verarbeitete Daten: IP-Adresse, Request-Header, User-Agent, Referrer.

Drittlandtransfer USA: Cloudflare hat sich dem EU-US Data Privacy Framework unterworfen. Zusätzlich haben wir mit Cloudflare die EU-Standardvertragsklauseln gemäß Art. 46 DSGVO als Auftragsverarbeitungsvereinbarung abgeschlossen.

Datenschutzerklärung Cloudflare: cloudflare.com/privacypolicy

7.2 Supabase (Datenbank, Authentifizierung & Storage)

Anbieter: Supabase, Inc., 970 Toa Payoh North #07-04, Singapur 318992.

Zweck: Backend-Datenbank, Authentifizierung, Datei-Speicher, Realtime-Synchronisierung.

Speicherort: AWS-Region eu-central-1 (Frankfurt am Main, Deutschland).

Verarbeitete Daten: Account-Daten (E-Mail, Hash-Passwort, Profil), Nutzungsdaten (Lesezeichen, Dashboards etc.), Dateianhänge.

Datenschutzerklärung Supabase: supabase.com/privacy

7.3 Lemon Squeezy (Zahlungsabwicklung)

Anbieter: Lemon Squeezy LLC, 17 Edgewater Street #214, Staten Island, NY 10305, USA.

Zweck: Verkauf, Zahlungsabwicklung, Rechnungsstellung und steuerliche Compliance (Lemon Squeezy ist Merchant of Record).

Verarbeitete Daten: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsdaten (direkt an Lemon Squeezy übermittelt — wir erhalten diese nicht).

Drittlandtransfer USA: Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln gemäß Art. 46 DSGVO bzw. ggf. EU-US Data Privacy Framework.

Datenschutzerklärung Lemon Squeezy: lemonsqueezy.com/privacy

7.4 Google (Sign-In via OAuth — optional)

Wenn Sie sich für die Anmeldung über Google entscheiden, werden Ihre Anmeldedaten direkt mit Google ausgetauscht. Google übermittelt uns: E-Mail-Adresse, Name, optional Profilbild.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (für EU-Nutzer).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Klick auf den Google-Anmelden-Button).

Datenschutzerklärung Google: policies.google.com/privacy

7.5 Brandfetch (Logo-API beim Lesezeichen-Anlegen)

Anbieter: Brandfetch SA, Schweiz.

Zweck: Automatisches Vorschlagen von Markenlogos und Firmennamen beim Anlegen neuer Lesezeichen.

Verarbeitete Daten: Die von Ihnen eingegebene Suchanfrage (z.B. Domain-Name) sowie technische Verbindungsdaten (IP-Adresse).

Drittlandtransfer: Die Schweiz wird von der EU-Kommission als Land mit angemessenem Datenschutzniveau anerkannt (Angemessenheitsbeschluss).

7.6 Iconify (Icon-CDN)

Zweck: Bereitstellung der in der Anwendung genutzten Symbole (Icons).

Verarbeitete Daten: IP-Adresse, technische Verbindungsdaten beim Abruf der Icons.

7.7 Title-Fetch (eigene Edge Function)

Beim Einfügen eines Links rufen wir die Ziel-URL serverseitig auf, um den Seitentitel zu extrahieren und automatisch in das Lesezeichen-Feld zu übernehmen. Die Anfrage erfolgt über unsere Supabase Edge Functions in Frankfurt aus, nicht von Ihrem Browser. Es findet keine Speicherung der Anfrage statt.

8. Cookies und lokaler Speicher

Wir verwenden ausschließlich technisch notwendige Cookies und lokalen Speicher (Local Storage):

  • Authentifizierungs-Token (Supabase): erforderlich, um Sie über mehrere Sitzungen angemeldet zu halten.
  • Theme-Präferenz: speichert Ihre Auswahl zwischen hellem und dunklem Modus.
  • Sprach-Präferenz: speichert Ihre gewählte Sprache.
  • Aktives Dashboard: speichert das zuletzt geöffnete Dashboard.
  • Ordner-Zustand: speichert den Auf-/Zu-Zustand von Ordnern.
  • Onboarding-Status: speichert, ob die Tour abgeschlossen wurde.

Es werden derzeit keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendig) bzw. Art. 6 Abs. 1 lit. b DSGVO.

9. Ihre Rechte als betroffene Person

Soweit personenbezogene Daten von Ihnen verarbeitet werden, sind Sie Betroffener im Sinne der DSGVO und haben uns gegenüber folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person verarbeiteten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder Vervollständigung Ihrer gespeicherten Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit gesetzlich zulässig.
  • Einschränkungsrecht (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung widersprechen, soweit diese auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
  • Beschwerderecht (Art. 77 DSGVO): Sie können sich bei einer Aufsichtsbehörde beschweren. Für uns zuständig ist: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an [email protected].

10. Datenübermittlung in Drittländer

Wie unter Abschnitt 7 beschrieben, findet teilweise eine Übermittlung personenbezogener Daten in die USA statt (insbesondere an Cloudflare, Lemon Squeezy und ggf. Google). Soweit diese Anbieter nicht nach dem EU-US Data Privacy Framework zertifiziert sind, haben wir mit ihnen die EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen, um ein angemessenes Datenschutzniveau sicherzustellen.

Eine Übermittlung in die USA birgt jedoch das Risiko, dass US-Behörden auf Grundlage von US-Überwachungsgesetzen Zugriff auf die Daten nehmen können, ohne dass effektiver Rechtsschutz für EU-Bürger gewährleistet ist.

11. Hinweise für Nutzer aus Kalifornien (CCPA / CPRA)

Wenn Sie Einwohner Kaliforniens sind, gewährt Ihnen der California Consumer Privacy Act (CCPA) und der California Privacy Rights Act (CPRA) zusätzliche Rechte:

  • Right to Know: Sie können Auskunft über die zu Ihrer Person gesammelten Daten verlangen.
  • Right to Delete: Sie können die Löschung Ihrer Daten verlangen.
  • Right to Correct: Sie können die Berichtigung unrichtiger Daten verlangen.
  • Right to Opt-Out of Sale or Sharing: Wir verkaufen oder teilen Ihre personenbezogenen Daten nicht für Werbezwecke.
  • Right to Non-Discrimination: Wir werden Sie nicht für die Ausübung Ihrer Rechte diskriminieren.

Zur Ausübung dieser Rechte wenden Sie sich bitte an [email protected].

12. SSL- / TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die jeweils neue Datenschutzerklärung.