RubionCMS SaaS, Standalone und Panel aus einem Kern.
Datenschutz

Datenschutzhinweise

Stand: 11.05.2026

Diese Datenschutzhinweise erklaeren, wie RubionCMS auf rubioncms.io und in den verbundenen Rubion-Funktionen personenbezogene Daten verarbeitet. Sie beziehen sich auf die oeffentliche Website, Rubion-Accounts, Bestellungen, Checkout-Consents, Support, Mail-, Storage-, Domain-, Kundenportal-, Shop- und SaaS-Funktionen. Fuer einzelne Kundeninstanzen koennen ergaenzende Datenschutzhinweise des jeweiligen Betreibers gelten.

Verantwortlich ist der im Angebot, in den Betreiberangaben oder im Impressum genannte Anbieter der jeweiligen Rubion-Leistung. Fuer Datenschutzanfragen zu rubioncms.io kann [email protected] genutzt werden. Wenn ein Datenschutzbeauftragter bestellt ist, werden dessen Kontaktdaten in den Betreiberangaben oder auf Anfrage bereitgestellt.

Datenkategorien

Rubion verarbeitet Stammdaten wie Name, Firma, Kontaktadresse, E-Mail-Adresse, Sprache, Rollen, Rechte, Accountstatus und Profilangaben. Hinzu kommen Authentifizierungs- und Sicherheitsdaten wie Passwort-Hashes, Passkeys, Session-IDs, CSRF- und Browser-Mutation-Metadaten, Login-Zeitpunkte, Geraeteinformationen, IP-Adressen, User-Agent, Sicherheitsereignisse, Audit-Metadaten und technische Fehlerprotokolle.

Bei Bestellungen und Vertragsabwicklung verarbeitet Rubion Kunden-, Vertrags-, Tarif-, Rechnungs-, Zahlungs-, Steuer-, Domain-, Produkt- und Bestelldaten. Im Checkout koennen Consent-Nachweise mit Text-Key, Version, Hash, Locale, Zeitpunkt, Bestell- und Produktkontext sowie sparsamen IP- und User-Agent-Kontextdaten gespeichert werden. Bei Support, Mail, interner Kommunikation, Storage, Automationen und Sanktionen koennen Inhalte, Metadaten, Dateien, Support-Tickets, Freigaben, Ablaufzeiten, Loeschreports und Bearbeitungshistorien verarbeitet werden.

Zwecke und Rechtsgrundlagen

Die Verarbeitung erfolgt zur Bereitstellung der Website und der Rubion-Dienste, zur Registrierung und Anmeldung, zur Vertragserfuellung, zur Bestell- und Zahlungsabwicklung, zur Domain- und Instanz-Provisionierung, zur Kommunikation, zur Fehlerbehebung, zur Missbrauchsabwehr, zur Systemsicherheit, zur Rechteverwaltung, zur Supportbearbeitung und zur Bearbeitung von Datenschutzanfragen. Rechtsgrundlage ist regelmaessig Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung fuer Vertragsschluss oder Vertragserfuellung erforderlich ist.

Soweit Rubion gesetzlichen Pflichten unterliegt, etwa steuer-, handels-, sicherheits- oder datenschutzrechtlichen Nachweis- und Aufbewahrungspflichten, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Sicherheitslogs, Missbrauchserkennung, technische Stabilisierung, Geltendmachung oder Abwehr von Anspruechen, Produktschutz und sparsame Reichweiten- oder Fehleranalyse koennen auf Art. 6 Abs. 1 lit. f DSGVO beruhen. Einwilligungsbasierte Verarbeitungen, etwa optionale Cookies, Newsletter oder bestimmte Marketingfunktionen, erfolgen auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO und koennen jederzeit mit Wirkung fuer die Zukunft widerrufen werden.

Cookies, lokale Speicherung und Server-Logs

Rubion verwendet technisch notwendige Cookies und vergleichbare lokale Speicherungen, um Login, Session-Schutz, Warenkorb- oder Checkout-Zustaende, Spracheinstellungen, Sicherheitspruefungen, CSRF-Schutz, Reauthentifizierung und die ausdruecklich angeforderten digitalen Dienste bereitzustellen. Solche Speicherungen sind nach § 25 Abs. 2 TDDDG ohne gesonderte Einwilligung zulaessig, wenn sie unbedingt erforderlich sind.

Optionale Analyse-, Marketing-, Tracking- oder Komfortfunktionen werden nur aktiviert, wenn eine wirksame Einwilligung vorliegt. Server-Logs koennen aufgerufene URLs, Zeitpunkt, Datenmenge, Referrer, Browser, Betriebssystem, IP-Adresse, User-Agent und Sicherheitsereignisse enthalten. Nginx-Access-Logs sollen grundsaetzlich 14 Tage, Mail- und Relay-Logs grundsaetzlich 30 Tage gespeichert werden; sicherheitsrelevante Ereignisse koennen zweckgebunden laenger aufbewahrt werden, wenn dies zur Aufklaerung oder Rechtsdurchsetzung erforderlich ist.

Empfaenger, Auftragsverarbeiter und Drittlandbezug

Personenbezogene Daten koennen an technische Dienstleister, Hosting- und Infrastrukturpartner, DNS- und CDN-Anbieter, Domainregistrare, Mail-, Relay- und Mailcow-Systeme, Zahlungsdienstleister, Steuer- oder Abrechnungsdienstleister, Monitoring- und Backupdienste, Supportwerkzeuge sowie Rechts- oder Steuerberater uebermittelt werden, soweit dies fuer Betrieb, Vertrag, Sicherheit, Abrechnung, Support oder gesetzliche Pflichten erforderlich ist.

Rubion fuehrt eine Subprozessor- und AVV-Liste mit Anbieter, Zweck, Datenkategorien, Region, Vertragsstatus und offenen Nachweisen. Wenn Dienstleister ausserhalb der EU oder des EWR eingesetzt werden, erfolgt dies nur auf Basis eines Angemessenheitsbeschlusses, geeigneter Garantien wie EU-Standardvertragsklauseln oder einer anderen zulaessigen Grundlage nach Kapitel V DSGVO.

Supportzugriff, Sanktionen und Automationen

Supportzugriffe erfolgen grundsaetzlich nur anlassbezogen und, soweit technisch vorgesehen, ueber zeitlich begrenzte Freigaben oder Support-Leases. Dabei koennen Bearbeitungshistorien, Rollen, betroffene Ressourcen, Ablaufzeiten und technische Metadaten protokolliert werden. Der Zugriff wird auf das erforderliche Mass begrenzt und dient Fehleranalyse, Kundenhilfe, Sicherheit oder Datenschutzbearbeitung.

Rubion kann Sicherheits- und Sanktionsdaten verarbeiten, um Missbrauch, Spam, Betrug, Angriffe, Umgehungsversuche oder sonstige Plattformrisiken zu verhindern. Automationen und Cronjobs koennen technische Ereignisse erzeugen, Fristen ueberwachen, Exporte erstellen, Cleanup-Laeufe ausfuehren und Benachrichtigungen versenden. Eine ausschliesslich automatisierte Entscheidung mit rechtlicher oder vergleichbar erheblicher Wirkung findet nicht statt, sofern sie nicht im Einzelfall gesondert beschrieben wird.

Speicherdauer und Loeschung

Rubion speichert personenbezogene Daten nur so lange, wie es fuer den jeweiligen Zweck erforderlich ist oder gesetzliche Pflichten bestehen. Account-, Profil-, Vertrags- und Bestelldaten werden fuer die Dauer der Nutzung und anschliessend nach gesetzlichen Aufbewahrungs- und Nachweisfristen gespeichert. Rechnungs-, Handels- und Steuerdaten koennen regelmaessig sechs bis zehn Jahre aufbewahrt werden. Session-, Geraete- und Sicherheitsdaten werden nach Zweck, Risiko und technischer Erforderlichkeit geloescht oder reduziert.

Datenschutz-Exportlinks und Exportartefakte laufen grundsaetzlich nach 7 Tagen ab. Persoenlicher Storage kann im Rahmen eines Loeschantrags fuer 7 Tage als separater Download bereitgestellt und anschliessend geloescht werden. Interne Mails werden bei finaler Account-Loeschung geloescht, soweit keine Aufbewahrungspflicht entgegensteht. Abgeschlossene Privacy-Faelle und Loeschreports bleiben zur Rechenschafts- und Nachweisfuehrung grundsaetzlich 3 Jahre gespeichert.

Betroffenenrechte

Betroffene Personen haben nach Massgabe der DSGVO das Recht auf Auskunft, Berichtigung, Loeschung, Einschraenkung der Verarbeitung, Datenuebertragbarkeit, Widerspruch gegen bestimmte Verarbeitungen sowie das Recht, eine Einwilligung jederzeit mit Wirkung fuer die Zukunft zu widerrufen. Auskunfts- und Exportanfragen werden in Rubion als Datenschutzfall bearbeitet; Exporte koennen als ZIP mit PDF-Bericht, JSON-Daten und Reports bereitgestellt werden. Echte Storage-Dateien koennen aus Sicherheits- und Groessengruenden separat angeboten werden.

Loeschantraege koennen den Account sofort sperren und innerhalb einer Widerrufsfrist von 7 Tagen ruecknehmbar sein. Die finale Loeschung oder Anonymisierung erfolgt erst nach Pruefung von Identitaet, Aufbewahrungspflichten, offenen Forderungen, Sicherheitsinteressen und erforderlichen Freigaben. Wenn Daten nicht geloescht werden duerfen, kann die Verarbeitung eingeschraenkt und im Loeschreport begruendet werden. Datenschutzanfragen koennen an [email protected] gerichtet oder, sofern verfuegbar, direkt im Settings-Bereich gestellt werden.

Sicherheit und Datenschutz by Design

Rubion setzt technische und organisatorische Massnahmen ein, um personenbezogene Daten zu schuetzen. Dazu gehoeren TLS, sichere Auth-Cookies, HttpOnly-, Secure- und SameSite-Einstellungen, Passwort-Hashing, Passkeys, rollenbasierte Rechte, Reauthentifizierung fuer sensible Aktionen, CSRF- und Browser-Mutation-Schutz, Audit-Metadaten, mandantenbezogene Zugriffskontrollen, Backup- und Restore-Prozesse, Secret-Scanning, Retention-Cleanup und Monitoring von sicherheitsrelevanten Ereignissen.

Trotz aller Massnahmen kann kein Internetdienst absolute Sicherheit garantieren. Rubion prueft Risiken fortlaufend, beschraenkt personenbezogene Daten auf das erforderliche Mass und dokumentiert Datenschutzfaelle, Fristen, Freigaben, Exporte und Loeschentscheidungen, um Rechenschaftspflichten nach DSGVO und BDSG zu unterstuetzen.

Beschwerde und Aktualisierung

Betroffene Personen koennen sich bei einer Datenschutzaufsichtsbehoerde beschweren, wenn sie der Ansicht sind, dass die Verarbeitung personenbezogener Daten gegen Datenschutzrecht verstoesst. Zustaendig kann insbesondere die Aufsichtsbehoerde des Bundeslands sein, in dem die betroffene Person wohnt, arbeitet oder in dem ein mutmasslicher Verstoss stattgefunden hat.

Diese Datenschutzhinweise werden angepasst, wenn sich Rubion-Funktionen, Subprozessoren, Rechtsgrundlagen, Speicherfristen oder gesetzliche Anforderungen aendern. Wesentliche Aenderungen werden versioniert und, soweit erforderlich, im Produkt, im Checkout oder per Benachrichtigung kenntlich gemacht.