Datenschutzerklärung

Stand: 15. April 2026

Hinweis: Diese Datenschutzerklärung beschreibt den tatsächlichen technischen Stand der Plattform MDC Codex. Vor dem produktiven Live-Betrieb mit zahlenden Kund:innen empfehlen wir eine abschließende anwaltliche Prüfung.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze ist:

Heinz Wagner
Schiebeweg 5
38116 Braunschweig
Deutschland
E-Mail: contact@mdc-engineering.de

2. Hosting

Die Plattform wird auf einem Virtual Private Server der IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, gehostet (Server-Standort Deutschland). Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO mit IONOS. Verarbeitete Daten umfassen technisch erforderliche Logdaten (Verbindungs-Metadaten) auf Infrastrukturebene.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb der Website).

3. Erhebung und Speicherung personenbezogener Daten

3.1 Server-Logs

Beim Aufruf der Plattform werden auf Anwendungsebene folgende Daten in strukturierten Log-Einträgen erfasst:

HTTP-Methode, Pfad, Status-Code
Zeitstempel und Antwortzeit (ms)
Anonyme Request-ID

IP-Adressen und User-Agent werden auf Anwendungsebene nicht dauerhaft gespeichert. Verbindungs-Metadaten auf Web-Server-Ebene (nginx, IONOS) können kurzzeitig vorgehalten werden, um Angriffe abzuwehren und die Stabilität sicherzustellen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: bis zu 30 Tage.

3.2 Registrierung und Nutzerkonto

Bei der Registrierung verarbeiten wir folgende Daten:

E-Mail-Adresse
Passwort (ausschließlich als bcrypt-Hash mit 12 Runden gespeichert; Klartext liegt zu keinem Zeitpunkt vor)
Optional: Name
Tier-Status (Free, Academic, Professional, Team, Enterprise)
Verifikations-Token (zeitlich begrenzt, 24 Stunden)
Erstellungs- und Aktualisierungsdatum

Zweck: Bereitstellung des Nutzerkontos, Authentifizierung, E-Mail-Verifikation, Zuordnung von gespeicherten Berechnungsprojekten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: bis zur Löschung des Nutzerkontos.

3.3 Berechnungsprojekte

Wenn Sie als angemeldete:r Nutzer:in Berechnungen speichern, werden diese als JSON-Snapshot (Geometrie, Material, Lasten, Ergebnisse) Ihrem Account zugeordnet abgelegt. Es besteht keine Auswertung oder Weitergabe an Dritte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: bis zur Löschung durch Sie.

3.4 Authentifizierungs-Tokens

Zur Aufrechterhaltung Ihrer Sitzung speichern wir kryptografische Hashes von Refresh-Tokens (SHA-256). Im Browser werden ein JWT-Access-Token und ein Refresh-Token im localStorage abgelegt. Dies sind technisch erforderliche Speicherungen im Sinne von § 25 Abs. 2 Nr. 2 TTDSG; eine Einwilligung ist nicht erforderlich.

4. Zahlungsabwicklung über Stripe

Für die Bezahlung kostenpflichtiger Pläne nutzen wir Stripe Payments Europe, Limited (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland). Bei einer Buchung werden Sie auf eine von Stripe bereitgestellte Checkout-Seite weitergeleitet. Wir erhalten von Stripe ausschließlich:

Stripe-Customer-ID
Stripe-Subscription-ID
Status- und Plan-Informationen via Webhook (Event-IDs zur Vermeidung doppelter Verarbeitung)

Zahlungsdaten (Kreditkarte, IBAN etc.) werden ausschließlich bei Stripe verarbeitet und sind uns nicht bekannt. Stripe ist PCI-DSS-zertifiziert. Bei Datenübermittlungen in die USA stützt sich Stripe auf das EU-US Data Privacy Framework sowie Standardvertragsklauseln.

Stripe-Datenschutzerklärung: https://stripe.com/de/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Zahlungsabwicklung).

5. E-Mail-Versand (IONOS)

Für den Versand transaktionaler E-Mails (insbesondere Verifikations-Mails) nutzen wir den SMTP-Dienst der IONOS SE. IONOS verarbeitet hierbei die Empfänger-E-Mail-Adresse sowie den Inhalt der E-Mail. Es besteht ein Auftragsverarbeitungsvertrag.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

6. Schriftarten

Die auf der Plattform verwendeten Schriftarten („Inter" und „JetBrains Mono") werden ausschließlich vom Server der Plattform selbst ausgeliefert (selbst-gehostet). Eine Übermittlung Ihrer IP-Adresse an externe Anbieter wie Google Fonts findet nicht statt.

7. Cookies und vergleichbare Technologien

Wir setzen keine Tracking-Cookies und keine Analyse-Cookies ein. Im Browser werden ausschließlich technisch notwendige Daten im localStorage/sessionStorage abgelegt:

mdc_token, mdc_refresh_token — Authentifizierung
mdc_tier — gewählter Plan-Status (Anzeige)
mdc_theme — Anzeige-Einstellung (Hell/Dunkel)
mdc_session_id, mdc_analytics_queue — anonyme, ausschließlich lokal verbleibende Ereignis-Pufferung (keine Übermittlung an Dritte)
mdc_error_log — lokales Fehlerprotokoll zur Selbst-Diagnose

Diese Speicherungen sind nach § 25 Abs. 2 Nr. 2 TTDSG für die Erbringung des von Ihnen ausdrücklich gewünschten Dienstes unbedingt erforderlich und bedürfen keiner Einwilligung.

8. Empfänger der Daten

Personenbezogene Daten werden wie oben beschrieben an folgende Auftragsverarbeiter weitergegeben:

IONOS SE, Montabaur (Hosting, E-Mail-Versand)
Stripe Payments Europe, Limited, Dublin (Zahlungsabwicklung)

Eine darüber hinausgehende Weitergabe an Dritte erfolgt nicht.

9. Ihre Rechte

Sie haben jederzeit das Recht:

Auskunft über Ihre verarbeiteten Daten zu erhalten (Art. 15 DSGVO)
Berichtigung unrichtiger Daten zu verlangen (Art. 16 DSGVO)
Löschung Ihrer Daten zu verlangen (Art. 17 DSGVO)
Verarbeitung einschränken zu lassen (Art. 18 DSGVO)
Datenübertragbarkeit zu verlangen (Art. 20 DSGVO)
Widerspruch gegen die Verarbeitung einzulegen (Art. 21 DSGVO)
Eine erteilte Einwilligung mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO)

Anfragen richten Sie bitte formlos an contact@mdc-engineering.de. Wir werden uns innerhalb der gesetzlich vorgesehenen Fristen bei Ihnen melden.

10. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
https://lfd.niedersachsen.de

11. Datensicherheit

Wir setzen branchenübliche technische und organisatorische Maßnahmen ein:

TLS-Verschlüsselung (HTTPS) für sämtliche Verbindungen
Passwort-Speicherung ausschließlich als bcrypt-Hash (12 Runden)
Kurzlebige JWT-Access-Tokens (15 Min.) mit rotierenden Refresh-Tokens
Rate Limiting auf sicherheitsrelevanten Endpunkten
Sicherheits-Header (HSTS, X-Content-Type-Options, X-Frame-Options, Content-Security-Policy)
Regelmäßige automatisierte Backups der Datenbank

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage oder unsere Verarbeitungstätigkeiten ändern. Die jeweils aktuelle Fassung ist unter mdc-engineering.de/datenschutz abrufbar.