Art. 13/14 DSGVO

Datenschutzerklärung

Stand: PLATZHALTER: Datum der letzten Aktualisierung

Hinweis: Alle PLATZHALTER-Felder müssen vor dem Go-Live befüllt werden. Dieser Text ist eine technische Vorlage und ersetzt keine anwaltliche Beratung.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

PLATZHALTER: Firmenname
PLATZHALTER: Straße, Hausnummer
PLATZHALTER: PLZ, Ort
E-Mail: PLATZHALTER: datenschutz@…
Telefon: PLATZHALTER: optional

Datenschutzbeauftragter

PLATZHALTER: Sofern ein DSB bestellt wurde, Name und Kontakt hier angeben. Andernfalls diesen Abschnitt entfernen.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten im Rahmen der Nutzung des Kundenportals (nachfolgend „Panel"). Das Panel richtet sich ausschließlich an Unternehmenskunden (B2B) und deren Mitarbeitende.

Soweit das Panel zur Verwaltung von Hosting-Infrastruktur für Endkunden unserer Kunden eingesetzt wird, handeln wir als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Rechtsgrundlagen der Endkundenverarbeitung liegen in der Verantwortung des jeweiligen Kunden (Auftraggeber).

3. Verarbeitete Daten und Zwecke

3.1 Kontoverwaltung und Authentifizierung

Zur Bereitstellung des Panels verarbeiten wir folgende Daten:

E-Mail-Adresse (Benutzername, Kontakt, Benachrichtigungen)
Passwort-Hash (bcrypt, niemals im Klartext gespeichert)
Rollenkennung (global_admin / tenant_admin)
IP-Adresse und User-Agent bei Login und API-Zugriffen
Session-Daten (serverseitig verschlüsselt in der Datenbank)
MFA-Geheimnisse (TOTP-Keys, WebAuthn-Credentials, verschlüsselt gespeichert)
API-Tokens (Sanctum, als Hash gespeichert)
Datum und Uhrzeit der letzten Anmeldung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Systems).

3.2 Audit-Protokollierung

Alle sicherheitsrelevanten Aktionen im Panel werden protokolliert (Audit-Log), einschließlich: Benutzer-ID, Aktion, betroffene Ressource, Zustand vor/nach der Änderung, IP-Adresse, Zeitstempel.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachvollziehbarkeit und Sicherheit).
Aufbewahrungsfrist: 365 Tage, danach automatische Löschung.

3.3 Support-Tickets

Wenn Sie ein Support-Ticket erstellen, verarbeiten wir den Betreff, den Nachrichteninhalt sowie Metadaten (Ersteller, Zeitstempel, Status).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen).
Aufbewahrungsfrist: 730 Tage nach Schließung des Tickets.

3.4 Backup-Metadaten

Im Rahmen des Backup-Managements verarbeiten wir Metadaten zu Datensicherungen: Dateinamen, Größen, Prüfsummen (SHA-256), Speicherorte, Zeitstempel. Backup-Inhalte selbst sind Daten des jeweiligen Auftraggebers und werden nach den Bedingungen des AVV verarbeitet.

Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung).
Aufbewahrungsfrist: Gemäß konfigurierbarer Backup-Retention-Policy.

3.5 Rechnungs- und Vertragsdaten

Name, Firma, Anschrift, USt-IdNr. oder Steuernummer sowie Abrechnungsdaten der Kunden (Tenants).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflicht).
Aufbewahrungsfrist: 10 Jahre gemäß § 257 HGB / § 147 AO.

4. Cookies und Tracking

Das Panel verwendet ausschließlich technisch notwendige Cookies:

Session-Cookie (*_session): Speichert die Sitzungs-ID zur Authentifizierung. HttpOnly, Secure (in Produktion), SameSite=Lax.
CSRF-Token-Cookie (XSRF-TOKEN): Schützt vor Cross-Site-Request-Forgery-Angriffen.

Beide Cookies sind gemäß § 25 Abs. 2 Nr. 2 TTDSG einwilligungsfrei, da sie technisch zwingend erforderlich sind. Es werden keine Tracking-, Analytics- oder Marketing-Cookies gesetzt. Es werden keine Daten an Drittanbieter übermittelt.

5. Empfänger und Weitergabe

Personenbezogene Daten werden nicht an Dritte weitergegeben, sofern dies nicht zur Vertragserfüllung erforderlich ist oder eine gesetzliche Verpflichtung besteht.

Folgende Kategorien von Empfängern können Zugriff auf Daten haben:

Hosting-Infrastruktur (Server, Datenbank) — ausschließlich in der EU/dem EWR, Standort: PLATZHALTER: Rechenzentrumsstandort
SMTP-Dienstleister für transaktionale E-Mails: PLATZHALTER: Anbieter, AVV vorhanden?

Eine Übermittlung in Drittländer außerhalb der EU/des EWR findet PLATZHALTER: derzeit nicht statt / nur unter folgenden Garantien: … statt.

6. Ihre Rechte (Art. 15–22 DSGVO)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunftsrecht (Art. 15): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
Berichtigung (Art. 16): Unrichtige Daten können Sie in Ihrem Profil jederzeit selbst korrigieren oder uns zur Berichtigung auffordern.
Löschung (Art. 17): Sie können die Löschung Ihrer Daten beantragen. Im Panel steht hierfür ein Löschantrag-Workflow bereit (Profil → Konto → Löschantrag).
Datenportabilität (Art. 20): Sie können einen strukturierten, maschinenlesbaren Export Ihrer Daten anfordern (Profil → Konto → Daten exportieren).
Einschränkung der Verarbeitung (Art. 18): Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen.
Widerspruch (Art. 21): Gegen Verarbeitungen auf Basis berechtigter Interessen können Sie Widerspruch einlegen.

Anfragen richten Sie bitte per E-Mail an: PLATZHALTER: datenschutz@…
Wir bearbeiten Ihre Anfrage innerhalb von einem Monat (Art. 12 Abs. 3 DSGVO).

7. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Behörde richtet sich nach Ihrem Wohnsitz bzw. Arbeitsort:

PLATZHALTER: Zuständige Aufsichtsbehörde, z. B. Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach — www.lda.bayern.de

8. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

Transportverschlüsselung (TLS/HTTPS) für alle Verbindungen
Serverseitige Session-Verschlüsselung
Passwort-Hashing mit bcrypt
Rollenbasierte Zugriffskontrolle (RBAC)
Mandantentrennung in Datenbank und Dateisystem
Audit-Logging aller sicherheitsrelevanten Aktionen
Multi-Faktor-Authentifizierung (TOTP, WebAuthn) verfügbar
Rate-Limiting für Login- und API-Endpunkte

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen des Dienstes oder der Rechtslage anzupassen. Die jeweils aktuelle Version ist unter dieser URL abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.