/
PreiseBlogAnmeldenKostenlos starten
Zurück zur Startseite

Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist:

Coding 9 GmbH

Am Unterfeld 10

83101 Rohrdorf

E-Mail: [email protected]

2. Erhebung und Speicherung personenbezogener Daten

Bei der Nutzung unserer Plattform erheben wir folgende personenbezogene Daten:

  • Bestandsdaten (Name, E-Mail-Adresse, Unternehmen)
  • Nutzungsdaten (Zugriffszeiten, genutzte Funktionen)
  • Inhaltsdaten (Tickets, Kommentare, Dateien, die Sie erstellen)
  • Technische Daten (IP-Adresse, Browser-Typ, Betriebssystem)

3. Spedy Browser Extension

Die Spedy Browser Extension ermöglicht es Nutzern, visuelle Elemente auf beliebigen Webseiten auszuwählen, mit Kommentaren zu versehen und als Tickets an die Spedy-Plattform zu senden. Die Extension ist im Chrome Web Store verfügbar.

3.1 Lokal gespeicherte Daten

Die folgenden Daten werden ausschließlich lokal auf dem Gerät des Nutzers gespeichert (über die Chrome Storage API):

  • OAuth-Tokens (Access Token, Refresh Token) — zur Authentifizierung gegenüber der Spedy API
  • Nutzerprofil (Name, E-Mail, Organisations-ID) — wird aus dem OAuth-Token extrahiert und lokal zwischengespeichert
  • Board-Auswahl und Einstellungen — vom Nutzer gewähltes Board und Präferenzen
  • Board-Cache — temporäre Zwischenspeicherung der verfügbaren Boards (Session Storage, max. 5 Minuten)

3.2 An Spedy übermittelte Daten

Wenn der Nutzer ein Ticket erstellt, werden folgende Daten an die Spedy API übertragen:

  • Ticket-Titel und Beschreibung — vom Nutzer eingegebener Text
  • Kommentare — vom Nutzer zu ausgewählten Elementen hinzugefügte Kommentare
  • CSS-Selektoren — technische Pfade zu den ausgewählten Elementen
  • Screenshots — Bildschirmfotos des sichtbaren Browser-Tabs zum Zeitpunkt der Ticket-Erstellung
  • Seiten-URL und Seitentitel — der URL und Titel der Webseite, auf der die Auswahl stattfand

3.3 Nicht erhobene Daten

Die Extension erhebt keine der folgenden Daten:

  • Browserverlauf oder besuchte Webseiten (außer der aktiven Seite bei Ticket-Erstellung)
  • Seiteninhalte, Formulardaten oder Passwörter
  • Persönliche Daten, die nicht vom Nutzer aktiv eingegeben werden
  • Cookies oder Sitzungsdaten anderer Webseiten
  • Nutzungsstatistiken, Telemetrie oder Analytics-Daten

3.4 Berechtigungen der Extension

BerechtigungVerwendungszweck
storageLokale Speicherung von Authentifizierungs-Tokens und Einstellungen auf dem Gerät
activeTabErstellung von Screenshots des aktiven Tabs bei Ticket-Erstellung
identityDurchführung des OAuth-Anmeldevorgangs über die Spedy-Anmeldeseite
alarmsPeriodische Prüfung und Erneuerung des OAuth-Tokens im Hintergrund
Host-ZugriffDas Content Script fügt ein visuelles Auswahl-Overlay ein, damit Nutzer Elemente auf beliebigen Webseiten markieren können. Es werden dabei keine Seiteninhalte gelesen oder übertragen.

3.5 Datensicherheit der Extension

  • Die Kommunikation mit der Spedy API erfolgt ausschließlich über HTTPS
  • OAuth 2.0 mit PKCE (Proof Key for Code Exchange) wird für die Authentifizierung verwendet
  • Tokens werden im geschützten Chrome Storage gespeichert und sind nur für die Extension zugänglich
  • Es wird kein Remote Code geladen oder ausgeführt

3.6 Datenaufbewahrung

  • Lokal gespeicherte Daten werden gelöscht, wenn der Nutzer sich abmeldet oder die Extension deinstalliert
  • An Spedy übermittelte Tickets unterliegen den Aufbewahrungsrichtlinien der Spedy-Plattform (siehe Abschnitt 10)

4. Spedy IntelliJ Plugin

Das Spedy IntelliJ Plugin integriert Spedy direkt in IntelliJ-basierte IDEs (IntelliJ IDEA, WebStorm, PyCharm etc.). Nutzer können Tickets durchsuchen, erstellen, kommentieren und Statuswechsel vornehmen, ohne die IDE zu verlassen. Das Plugin wird über den JetBrains Marketplace bereitgestellt.

4.1 Lokal gespeicherte Daten

Folgende Daten werden ausschließlich lokal auf dem Gerät des Nutzers gespeichert:

  • OAuth-Tokens (Access Token, Refresh Token) — verschlüsselt im IntelliJ PasswordSafe abgelegt
  • Nutzerprofil (Name, E-Mail, Nutzer-ID) — zusammen mit den Tokens im PasswordSafe gespeichert
  • Plugin-Einstellungen (Host-URL des Spedy-Servers, Detailansicht-Position, Board-Filter) — in der IDE-eigenen Konfigurationsdateispedy.xml

4.2 An Spedy übermittelte Daten

Bei Nutzung des Plugins werden folgende Daten an die Spedy API übertragen:

  • Ticket-Inhalte — vom Nutzer eingegebene Titel, Beschreibungen und Kommentare
  • Suchanfragen — Filter- und Suchtexte zum Abrufen von Tickets
  • Autocomplete-Anfragen — Teilstrings beim Verwenden der @-Mention-Completion zur Auflösung von Nutzern
  • Status- und Zuweisungsänderungen — vom Nutzer ausgelöste Updates an Tickets

4.3 Nicht erhobene Daten

Das Plugin überträgt keine der folgenden Daten an Spedy:

  • Quellcode, Dateiinhalte oder Dateipfade aus dem geöffneten Projekt
  • Informationen über andere in der IDE geöffnete Projekte, Branches oder Commits
  • Tastatureingaben oder IDE-Nutzungsstatistiken

Die Erkennung von Ticket-Referenzen im Quellcode (z. B.SPEDY-123) erfolgt ausschließlich lokal. Es werden dabei keine Code-Inhalte an Spedy übertragen.

4.4 Logging, Fehlerdiagnose und Performance-Monitoring

Zur Sicherstellung der Stabilität und Qualität des Plugins werden technische Diagnosedaten verarbeitet:

  • Lokale Logs — Betriebs- und Fehlermeldungen werden im IDE-Log (idea.log) auf dem Gerät des Nutzers gespeichert und verlassen dieses nicht automatisch
  • Fehlerberichte (Error-Tracking) — bei auftretenden Fehlern können technische Informationen (Stacktrace, Plugin-Version, IDE-Version, Betriebssystem, anonymisierte Nutzer-ID) an unseren Error-Tracking-Dienst Sentry (EU-Datenregion, siehe Abschnitt 6) übermittelt werden, um Abstürze zu analysieren
  • Performance-Monitoring — aggregierte, nicht-personenbezogene Metriken zu API-Antwortzeiten und Fehlerraten, um die Zuverlässigkeit des Dienstes zu überwachen

Diagnosedaten enthalten keine Ticket-Inhalte, Kommentare, Quellcode oder Zugangsdaten.

4.5 Datensicherheit des Plugins

  • Die Kommunikation mit der Spedy API erfolgt ausschließlich über HTTPS
  • OAuth 2.0 mit PKCE (Proof Key for Code Exchange) wird für die Authentifizierung verwendet
  • OAuth-Tokens werden im verschlüsselten IntelliJ PasswordSafe gespeichert
  • Es wird kein Remote Code geladen oder ausgeführt

4.6 Datenaufbewahrung

  • Lokal gespeicherte Daten werden gelöscht, wenn sich der Nutzer abmeldet oder das Plugin deinstalliert
  • An Spedy übermittelte Tickets und Kommentare unterliegen den Aufbewahrungsrichtlinien der Spedy-Plattform (siehe Abschnitt 10)
  • Fehlerberichte und Performance-Daten werden maximal 90 Tage aufbewahrt und anschließend gelöscht

5. Rechtsgrundlage der Verarbeitung

Die Verarbeitung erfolgt auf Basis von:

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (Plattformsicherheit, Optimierung)
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (soweit erteilt)

6. Weitergabe von Daten

Eine Übermittlung Ihrer Daten an Dritte findet nur statt, soweit dies zur Vertragserfüllung erforderlich ist oder eine gesetzliche Grundlage besteht.

Wir setzen folgende Dienstleister ein:

  • Hetzner Online GmbH — Hosting der Server-Infrastruktur in Rechenzentren in Deutschland (EU). Hier werden auch hochgeladene Dateien und Anhänge in einem objektbasierten Speicher innerhalb der EU abgelegt.
  • E-Mail-Dienste (Versand von Transaktions-E-Mails)
  • Stripe (Stripe Payments Europe, Ltd., Irland) — Zahlungsabwicklung und Rechnungsstellung für kostenpflichtige Tarife. Übermittelt werden Rechnungs-/Bestandsdaten (Name, E-Mail, Rechnungs- und ggf. Steuer-/USt-ID, Adresse) sowie Abonnementdaten; Zahlungsdaten werden direkt bei Stripe verarbeitet. Stripe übermittelt uns Zahlungs-/Abonnementstatus per Webhook. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Nur aktiv, wenn Sie einen kostenpflichtigen Tarif nutzen.
  • Sentry (Functional Software, Inc.) — Error-Tracking und Performance-Monitoring der Plattform, der Browser-Anwendung und des IntelliJ Plugins. Die Verarbeitung erfolgt ausschließlich in der EU-Datenregion von Sentry (Frankfurt, Deutschland). IP-Adressen, Cookies und Authentifizierungsdaten werden nicht an Sentry übermittelt; Fehlerberichte enthalten lediglich technische Diagnosedaten und pseudonyme Kennungen. Es besteht ein Auftragsverarbeitungsvertrag inkl. EU-Standardvertragsklauseln (Art. 28, 46 DSGVO).

Mit allen Dienstleistern haben wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen.

KI-gestützte Funktionen

KI-gestützte Funktionen der Plattform — insbesondere die Embedding-/Vektorsuche der Wissensdatenbank — werden ausschließlich in unserer eigenen Infrastruktur in der EU verarbeitet. Es werden hierbei keine Inhalte an externe KI-Anbieter übermittelt.

Eine Ausnahme bildet allein die optionale, standardmäßig deaktivierte Runner-Funktion (siehe „Optionale KI-Runner"): Diese betreiben Sie selbst und unter Nutzung Ihres eigenen KI-Anbieter-Schlüssels; wir selbst übermitteln dabei keine Daten an einen externen KI-Anbieter.

Optionale KI-Runner (selbst betrieben)

Die Plattform bietet eine optionale, standardmäßig deaktivierte Funktion, bei der KI-gestützte Agenten („Runner") Tickets bearbeiten und auf Quellcode-Repositories zugreifen können. Diese Runner werden von Ihnen als Kundenorganisation auf eigener Infrastruktur betrieben (self-hosted).

Sie stellen dabei Ihre eigenen Zugangsdaten zu einem KI-Anbieter Ihrer Wahl (z. B. Anthropic/Claude) bereit. Die Übermittlung von Ticket- und Code-Daten an diesen KI-Anbieter erfolgt durch den von Ihnen betriebenen Runner, unter Nutzung Ihres Schlüssels und auf Grundlage Ihres Vertrags mit dem jeweiligen Anbieter. Insoweit sind Sie datenschutzrechtlich Verantwortlicher; wir übermitteln selbst keine Daten an diesen KI-Anbieter.

Von Ihnen hinterlegte Zugangsdaten speichern wir ausschließlich verschlüsselt (AES-256-GCM) und liefern sie verschlüsselt über TLS allein an Ihren authentifizierten Runner aus; eine Einsicht im Klartext ist uns nach der Speicherung nicht möglich.

Anmeldung über Google / GitHub (optional)

Sie können sich optional über Ihr Google- oder GitHub-Konto anmelden. Tun Sie dies, erhalten wir vom jeweiligen Anbieter die für die Kontoerstellung erforderlichen Profildaten (E-Mail-Adresse, Name und ggf. Profilbild). Es werden keine Inhalte aus Ihrem Google-/GitHub-Konto darüber hinaus abgerufen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Die Nutzung ist freiwillig; eine Registrierung per E-Mail und Passwort ist ebenfalls möglich.

Optionale Integrationen

Sie können optional Drittdienste mit Ihrem Konto verbinden (z. B. GitHub, Bitbucket, Jira, YouTrack, Moco oder Import aus anderen Projektwerkzeugen). Diese Verbindungen richten Sie selbst mit Ihren eigenen Zugangsdaten ein; ein Datenaustausch mit dem jeweiligen Anbieter findet nur auf Ihre Veranlassung und im von Ihnen konfigurierten Umfang statt (z. B. Repository-, Commit-, Issue- oder Zeitdaten). Ebenso können Sie ausgehende Webhooks an von Ihnen festgelegte Adressen einrichten. Von Ihnen hinterlegte Zugangsdaten/Tokens speichern wir verschlüsselt. Diese Integrationen sind standardmäßig deaktiviert; für die Datenverarbeitung beim jeweiligen Drittanbieter gelten dessen Datenschutzbestimmungen.

Die Spedy Browser Extension und das Spedy IntelliJ Plugin kommunizieren ausschließlich mit der Spedy API sowie den genannten Diagnosediensten. Es werden keine Daten an weitere Dritte weitergegeben.

7. Cookies

Innerhalb der eingeloggten Plattform (Ihre Organisations-Subdomain) verwenden wir ausschließlich technisch notwendige Cookies:

  • Session-Cookies — für die Authentifizierung
  • Präferenz-Cookies — für Einstellungen wie Sprache und Darstellung

Auf unseren öffentlichen Marketing-Seiten (z. B. spedy.ai) setzen wir zusätzlich — und ausschließlich nach Ihrer Einwilligung — Cookies für Statistik und Marketing ein. Beim ersten Besuch erscheint ein Cookie-Banner, in dem Sie pro Kategorie (notwendig, funktional, Statistik, Marketing) entscheiden. Vor einer Einwilligung werden keine Statistik-/Marketing-Cookies gesetzt und keine Daten an die nachstehenden Anbieter übertragen. Ihre Auswahl können Sie jederzeit über die Cookie-Einstellungen ändern oder widerrufen. Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO.

  • Google Analytics 4 / Google Tag Manager (Google Ireland Ltd.) — pseudonyme Reichweiten- und Nutzungsstatistik. Mit aktiviertem Google Consent Mode, IP-Anonymisierung sowie deaktivierten Google-Signalen und Ad-Personalisierung. Ein etwaiger Transfer in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework bzw. von EU-Standardvertragsklauseln.
  • LinkedIn Insight Tag (LinkedIn Ireland Unlimited Company) — Reichweitenmessung von Marketing-Kampagnen. Wird nur bei Einwilligung in die Kategorie „Marketing" geladen.

Die Statistik-/Marketing-Tools werden nur auf den Marketing-Seiten geladen, nicht innerhalb der eingeloggten Plattform und nicht auf Anmelde-/Token-Seiten.

Die Spedy Browser Extension verwendet keine Cookies. Die Authentifizierung erfolgt über OAuth-Tokens, die in der Chrome Storage API gespeichert werden.

8. Ihre Rechte

Sie haben das Recht auf:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an [email protected].

9. Nutzerkontrolle bei Browser Extension und IntelliJ Plugin

Nutzer der Browser Extension können jederzeit:

  • Ihre Verbindung zu Spedy trennen (über das Popup-Menü der Extension)
  • Alle lokal gespeicherten Daten löschen (durch Deinstallation der Extension)
  • Erstellte Tickets in der Spedy-Plattform einsehen, bearbeiten oder löschen

Nutzer des IntelliJ Plugins können jederzeit:

  • Sich über die Plugin-Aktion „Logout" abmelden — dabei werden die lokal gespeicherten OAuth-Tokens und Nutzerdaten aus dem PasswordSafe entfernt
  • Das Plugin über den IDE-Plugin-Manager deinstallieren, wodurch sämtliche lokal gespeicherten Daten entfernt werden
  • Erstellte Tickets und Kommentare in der Spedy-Plattform einsehen, bearbeiten oder löschen

10. Speicherdauer

Wir speichern Ihre Daten nur so lange, wie es für die Erfüllung des Vertragszwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Nach Vertragsende werden Ihre Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienste anzupassen. Bei wesentlichen Änderungen, die die Browser Extension oder das IntelliJ Plugin betreffen, werden diese über den jeweiligen Distributionskanal (Chrome Web Store bzw. JetBrains Marketplace) aktualisiert und die Nutzer entsprechend informiert.

12. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Promenade 18, 91522 Ansbach

Datenschutz | Spedy