Vertrauen & Datenschutz
Diese Seite erklärt das Vertrauens- und Datenschutzmodell von Time & Bill in Klartext. Sie ersetzt nicht die rechtliche Datenschutzerklärung, sondern fasst die praktische Betriebsrealität für Kunden zusammen.
Wie Time & Bill mit Daten umgeht
- Time & Bill ist eine gehostete Cloud-Anwendung.
- Anwendungsdaten werden auf Hetzner-Infrastruktur in Deutschland betrieben.
- AWS wird für den Versand von E-Mails und für das Hosting der Landing-Page verwendet.
- Sentry wird für technisches Fehler-Monitoring und Diagnose verwendet und ist für EU-basierte Server konfiguriert.
- Newsletter-Abonnentendaten werden in einer selbst gehosteten Listmonk-Instanz verarbeitet, die von Grobmeier Solutions betrieben wird.
- Kundendaten können exportiert und gelöscht werden.
Die rechtliche Fassung finden Sie in der Datenschutzerklärung. Die kompakte Dienstleisterliste steht auf der Subprocessor-Seite.
Was “Kontrolle” hier bedeutet
Time & Bill soll praktische Kontrolle über Daten ermöglichen:
- Sie können Daten exportieren,
- Sie können Daten löschen,
- und Sie können nachvollziehen, welche Dienstleister eingesetzt werden.
Time & Bill bleibt trotzdem ein gehostetes SaaS-Produkt. Wir betreiben die Infrastruktur. Es handelt sich nicht um ein Zero-Access-System, nicht um Ende-zu-Ende-Verschlüsselung und nicht um ein rein lokales Werkzeug.
Wenn Sie ein local-first Entwicklerwerkzeug ohne verpflichtenden Cloud-Account suchen, sehen Sie sich HumbleBee an.
Hosting und Dienstleister
Hetzner
- Zweck: Hosting der Anwendung
- Umfang: Anwendungsdaten von Time & Bill
- Standort: Deutschland
- Erforderlich: ja, für das gehostete Produkt
AWS
- Zweck: E-Mail-Versand und Hosting der Landing-Page
- Umfang: Empfängeradressen, technische Verarbeitung von System-E-Mails und Newsletter-E-Mails sowie Website-Infrastruktur für die Landing-Seite
- Erforderlich: ja, für das aktuelle gehostete Setup
Newsletter-Software
- Zweck: Newsletter-Abonnentenverwaltung, Anmeldeformulare, Abmeldeverwaltung und Kampagnenverwaltung
- Umfang: nur Daten von Newsletter-Abonnenten, betrieben von Grobmeier Solutions mit selbst gehosteter Listmonk-Software
- Erforderlich: optional, nur bei Newsletter-Anmeldung
Sentry
- Zweck: Fehler-Monitoring der Anwendung und technische Diagnose
- Umfang: technische Fehlerdaten, Stack Traces, betroffene Pfade oder URLs, Browser- und Betriebssysteminformationen, Informationen zur Anwendungsversion und technischer Request-Kontext, verarbeitet über die für Time & Bill konfigurierte EU-basierte Sentry-Umgebung
- Erforderlich: ja, für das aktuelle gehostete Setup
Die kompakte Übersicht steht auf der Seite zu Dienstleistern.
Manueller menschlicher Zugriff
Time & Bill wird von einer einzelnen Person betrieben. Manueller Zugriff auf Kundendaten gehört nicht zum normalen Arbeitsablauf.
Manueller Zugriff kann nur dann stattfinden, wenn er für Support oder Fehlersuche notwendig ist. Die praktischen Regeln sind:
- kein routinemäßiges Durchsehen von Kundendaten,
- nur so viel Zugriff wie für Diagnose oder Problembehebung nötig,
- nur bei einem konkreten Support- oder Technikfall,
- und kein Anspruch, dass es sich um ein Zero-Access-System handelt.
Wenn dieses Modell nicht passt, ist HumbleBee die local-first Alternative in derselben Produktfamilie.
Sicherheitsübersicht
Die derzeitige öffentliche Sicherheitszusammenfassung lautet:
- TLS wird für Website- und Anwendungsverkehr verwendet.
- Authentifizierung und Autorisierung werden mit Spring Security durchgesetzt.
- Aktuelle Passwörter werden BCrypt-basiert gehasht.
- Es werden tägliche Backups erstellt.
- MFA wird derzeit nicht unterstützt.
Bereitstellungsoptionen
Derzeit gibt es drei relevante Bereitstellungsmodelle in der Produktfamilie:
| Option | Status | Vertrauensmodell | Geeignet für |
|---|---|---|---|
| Time & Bill gehostete Cloud | Jetzt verfügbar | Anbieterbetriebene SaaS | Teams, Browser-/Mobile-Workflows, gemeinsame Reports |
| Time & Bill On-Premise | In Entwicklung | Kundenseitig betriebene Bereitstellung | Kunden mit eigener Infrastruktur |
| HumbleBee | Jetzt verfügbar | Local-first CLI, Open Source | Entwickler, die lokal ohne verpflichtenden Cloud-Zugriff arbeiten wollen |