Datenschutzerklärung

Verantwortlicher im Sinne der DSGVO:

[PLATZHALTER: Name / Firma, Anschrift, E-Mail — vgl. Impressum]

Datenschutzbeauftragter: [PLATZHALTER: Name & Kontakt — falls bestellt]

[ENTSCHEIDUNG NÖTIG] Ist ein Datenschutzbeauftragter zu bestellen? (i. d. R. ab 20 Personen mit ständiger Datenverarbeitung oder bei besonderer Datenkategorie — Art. 9, z. B. medizinische Tauchtauglichkeit.)

Account- & Login-Daten. Zweck: Authentifizierung und Betrieb des Nutzerkontos (via Zitadel OIDC). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Daten: [PLATZHALTER: E-Mail, Name, Rolle, Tenant-Zuordnung].

Nutzer-Uploads / verarbeitete Betriebsdaten. Zweck: Bereitstellung der SaaS-Funktionen (Füll-, Wartungs-, Verleih-, Buchungsdaten). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; bei gesetzlichen Nachweispflichten zusätzlich Art. 6 Abs. 1 lit. c (BetrSichV, HGB/AO).

Server-Logs / Hosting. Zweck: technischer Betrieb, Sicherheit, Fehleranalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb). Daten: [PLATZHALTER: IP-Adresse (gekürzt?), Zeitstempel, User-Agent, angefragte URL].

Besondere Kategorien (Art. 9 DSGVO). Medizinische Tauchtauglichkeit / Gesundheitsdaten werden — sofern erhoben — getrennt verschlüsselt und nur auf Grundlage ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a) verarbeitet.

[ENTSCHEIDUNG NÖTIG] Werden Gesundheits-/Tauglichkeitsdaten tatsächlich gespeichert? Falls ja: Einwilligungstext + getrenntes Verschlüsselungs-/Löschkonzept ergänzen.

Zahlungsabwicklung (später). Sobald kostenpflichtige Abos eingeführt werden: Verarbeitung über einen Zahlungsdienstleister. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. [PLATZHALTER: Name des Zahlungsdienstleisters + Datenkategorien]

[ENTSCHEIDUNG NÖTIG] Zahlungsdienstleister auswählen und hier samt AV-Vertrag / Drittlandbezug ergänzen, sobald Payment live geht.

Hosting: [PLATZHALTER: Hetzner Online GmbH, Standort Nürnberg/DE]. Identitätsdienst: [PLATZHALTER: Zitadel — Betreiber/Standort]. Mit allen Auftragsverarbeitern besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

Drittlandtransfer: [PLATZHALTER: aktuell keiner — Verarbeitung in der EU. Falls doch: Rechtsgrundlage nach Art. 44 ff. DSGVO (z. B. Standardvertragsklauseln) angeben.]

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen es verlangen:

[PLATZHALTER: Account-Daten — bis Kontolöschung]

[PLATZHALTER: Compliance-/Prüfnachweise — gesetzliche Fristen nach BetrSichV]

[PLATZHALTER: Buchhaltungsrelevante Daten — § 257 HGB / § 147 AO (6–10 Jahre)]

[PLATZHALTER: Server-Logs — z. B. 7–30 Tage]

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen die Verarbeitung (Art. 21 DSGVO). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung genügt eine formlose Mitteilung an: [PLATZHALTER: E-Mail].

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist u. a. die Behörde Ihres gewöhnlichen Aufenthaltsorts.

[PLATZHALTER: zuständige Aufsichtsbehörde des Unternehmenssitzes nennen]

Die Übertragung erfolgt verschlüsselt über TLS (HTTPS). Zugriffe sind durch Mandantentrennung (Row-Level Security) und Authentifizierung (OIDC, MFA) geschützt.

Zum Einsatz von Cookies und zur Einwilligung nach § 25 TDDDG siehe das Consent-Banner. Derzeit werden ausschließlich technisch notwendige (Session-)Cookies verwendet, die nach § 25 Abs. 2 TDDDG einwilligungsfrei sind.