Datenschutzerklärung
Stand: Mai 2026
Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten beim Aufruf der Website webapp.kini.solutions sowie bei Nutzung der SaaS-Plattform „WebApp von KiNi Solutions".
1. Verantwortlicher
KiNi Solutions, Stefan Eschbach
Lehmattweg 3, 79664 Wehr
E-Mail: info@kini.solutions
1a. Zwecke der Verarbeitung
Wir verarbeiten personenbezogene Daten ausschließlich zu folgenden Zwecken: (1) Bereitstellung, Betrieb und Absicherung der Marketing-Website; (2) Anbahnung, Abschluss und Abwicklung des SaaS-Vertrags (Registrierung, Abrechnung, Support); (3) Betrieb der gebuchten Mandanten-Plattform und ihrer Module im Auftrag des jeweiligen Kunden (Auftragsverarbeitung gemäß AVV); (4) Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten. Eine Verarbeitung zu Werbe- oder Profiling-Zwecken findet nicht statt.
2. Verarbeitungen auf der Marketing-Website
| Verarbeitung | Datenkategorien | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Server-Logs | IP-Adresse, Zeitstempel, aufgerufene URL, User-Agent | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse Sicherheit) | 14 Tage |
| Registrierungs-Formular | Firmenname, Vor-/Nachname, E-Mail, Adresse, Mitarbeiter-/Standortzahl | Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) | Bis Vertragsabschluss; bei Abbruch nach 30 Tagen gelöscht |
| Kontakt-Formular | Name, E-Mail, Firma, Betreff, Nachrichtentext | Art. 6 Abs. 1 lit. b/f DSGVO | Bis Erledigung der Anfrage, längstens 12 Monate |
| Kündigungs-Formular | Firmenname, E-Mail, Begründung | Art. 6 Abs. 1 lit. b DSGVO | Bis Vollzug der Kündigung; Bestätigungs-Mail im Postmark-Log 45 Tage |
| Stripe-Checkout | Zahlungsdaten (an Stripe direkt), Kunden-ID, Subscription-ID | Art. 6 Abs. 1 lit. b DSGVO | Vertragslaufzeit + 10 Jahre (§ 257 HGB) |
Die Website setzt keine Marketing- oder Tracking-Cookies. Eine kleine Visit-Telemetrie (Domain, Pfad, Referrer) wird ohne Personenbezug pro Aufruf an unseren Provisioner gesendet, ausschließlich zur internen Reichweiten-Auswertung.
3. Verarbeitungen in der Mandanten-Plattform
Sobald ein Vertrag zustande kommt, erhält der Kunde eine eigene Instanz unter <firma>.webapp.kini.solutions. Die in dieser Instanz verarbeiteten personenbezogenen Daten werden vom Anbieter ausschließlich im Auftrag des Kunden verarbeitet (Auftragsverarbeitung gemäß AVV). Im Detail siehe AVV § 5 (Datenkategorien).
Auf Wunsch des Kunden kann zusätzlich eine vom Kunden selbst gehaltene Domain (z. B. webapp.kunde.de) als Alias auf die Instanz geleitet werden. Es gelten dieselben Datenverarbeitungsbedingungen; der Server-Standort, die Datenbank, die Authentifizierung und die TLS-Verschlüsselung bleiben identisch.
4. Module und ihre Datenverarbeitung
| Modul | Verarbeitete Daten | Rechtsgrundlage | Aufbewahrung |
|---|---|---|---|
| Login / Account | E-Mail, Name, Passwort-Hash (Argon2), Rolle, Standort | Art. 6 Abs. 1 lit. b DSGVO | Vertragslaufzeit + 30 Tage Soft-Delete |
| Termine, Veranstaltungen | Titel, Beschreibung, Audience-Zuordnung (User/Team/Standort additiv), Teilnehmer-RSVPs, Datei-Anhänge | Art. 6 Abs. 1 lit. b/f DSGVO | Vertragslaufzeit |
| Sitzungen | Verknüpfter Termin, Live-Protokoll, Inputs/Outputs, Datei-Anhänge, Folgesitzungs-Verkettung | Art. 6 Abs. 1 lit. b/f DSGVO | Vertragslaufzeit |
| Weiterbildungen | Typ-Bezeichnung, Pflicht-Zuweisungen pro Mitarbeitenden/Team/Standort, Teilnahme-Historie, optional verknüpfter Termin | Art. 6 Abs. 1 lit. b/c DSGVO | 10 Jahre, wenn als Nachweis erforderlich (z. B. UVV-Schulung) |
| Dokumente | Titel, Beschreibung, Datei-Anhang, Pyramiden-Ebene, Frist, Audience-Zuordnung (User/Team/Standort/firmenweit), Workflow-Typ. Pro Empfänger: Status, Rückmeldungs-Zeitstempel, IP-Adresse zum Zeitpunkt der Bestätigung, bei digitaler Unterschrift der eingegebene Name, bei Ablehnung die Begründung. | Art. 6 Abs. 1 lit. b/c/f DSGVO | Vertragslaufzeit; 10 Jahre wenn als Nachweis erforderlich (z. B. Brandschutzunterweisung, Datenschutzbelehrung) |
| Aufträge, Dienstleister | Auftragsbeschreibung, zugewiesene Personen oder Teams, externe Firmen, Stunden- und Material-Erfassung | Art. 6 Abs. 1 lit. b/f DSGVO | Vertragslaufzeit |
| Snacks & Getränke (Bestand, Verzehr) | Mitarbeiter-Käufe, Mengen, Preise | Art. 6 Abs. 1 lit. b/c DSGVO | 10 Jahre (§ 257 HGB) für die Verzehr-/Einrichtungs-Abrechnung |
| Fahrtenbuch | Kennzeichen, Tachostand (manuell), Start-Ort + Ziel-Ort (Freitext), Fahrer, Datum, digitale Unterschrift. Kein GPS-Tracking — bewusster Verzicht auf Geokoordinaten und Karten-Darstellung, um Profilbildung zu vermeiden. | Art. 6 Abs. 1 lit. b/c DSGVO | 10 Jahre (§ 257 HGB), wenn buchhalterisch genutzt |
| Bike-to-Work, Tippspiel | Tageseinträge, Punktestände | Art. 6 Abs. 1 lit. f DSGVO | Vertragslaufzeit; Aggregat ohne Personenbezug länger |
| Chat | Nachrichten, optional Datei-Anhänge (Bilder, PDF, Word, Excel, PowerPoint, OpenOffice, CSV/TXT; bis 15 MB) | Art. 6 Abs. 1 lit. f DSGVO | Vertragslaufzeit; Anhänge automatisch nach 30 Tagen |
| Push-Versand (Web-Push) | Push-Subscription-Endpoint des Empfänger-Geräts, kryptografische Browser-Schlüssel (p256dh + auth), Push-Inhalt (Titel + Vorschau + URL) für „Aktuelles", Termine/Veranstaltungen, Chat-Nachrichten sowie Termin-Reminder vor zugesagten Terminen, Sitzungen oder Weiterbildungs-Anmeldungen (Vorlaufzeit 30 min bis 2 Tage, default 24 h, vom Empfänger im Profil einstellbar). Bei installierter PWA zusätzlich Setzen eines numerischen Zählers am App-Icon (Web-App-Badging-API; nur eine Zahl wird an das Betriebssystem übergeben, keine Inhalte). | Art. 6 Abs. 1 lit. f DSGVO; Einwilligung nach Art. 6 Abs. 1 lit. a für die Push-Aktivierung im Browser/PWA | Solange die Subscription gültig ist; ungültige Endpoints werden bei nächstem Sendeversuch (HTTP 404/410) automatisch entfernt |
| Fahrzeug-Reservierung | Mitarbeiter-ID, Fahrzeug-ID, Start-/Endzeit, optionaler Zweck-Freitext, Status (aktiv / storniert). | Art. 6 Abs. 1 lit. b/f DSGVO (innerbetriebliche Organisation) | Storno = Soft-Delete (Status „cancelled"); aktive und stornierte Reservierungen bleiben zur Historie erhalten. |
| Weiterbildungs-Feedback (anonym) | Antworten auf ein Feedback-Formular (Sterne-Rating, Freitext, Auswahl). Speicherung erfolgt ohne Bezug zum abgebenden Mitarbeiter. Nur ein nicht-rückführbarer SHA-256-Hash aus User-ID und Training-ID wird gespeichert, um Doppel-Abgaben zu verhindern; aus dem Hash lässt sich der Mitarbeiter nicht rekonstruieren. | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse der Qualitätsverbesserung) | Bis zur Löschung der Weiterbildung oder des Formulars. |
| Extern/Gast-Konten | Für extern eingeladene Personen (Beirat, Kooperationspartner, Kunden, Klienten) zusätzlich pro Konto fünf optionale Freischaltungen (Kalender / Mailliste / Telefonliste / Chat / Postfach) sowie ggf. Whitelist auf Standorte, Teams oder einzelne Mitarbeiter. Keine neuen personenbezogenen Datenarten — nur die freigeschalteten bestehenden Module werden für den Gast sichtbar. | Art. 6 Abs. 1 lit. b/f DSGVO | Wie übrige Konto-Daten; deaktivierte Konten werden auf Wunsch gelöscht. |
| In-App-Postfach | Pro Empfänger: Nachrichten-Kategorie (Bestätigung, Reminder, Meeting-Link, Rückmeldung zu KVP/Beschwerde, Beauftragten-Nachricht, Bestell-Bestätigung bei Anbieter-Sammelbestellungen, generische Info), Titel + Body-Text, optionaler Link auf eine Detail-Seite, Erstell-Zeitstempel, Lese-Zeitstempel. Inhalte werden vom System erzeugt (Anmelde-Bestätigungen, automatischer Online-Meeting-Link-Versand, Rückmeldungen der Verwaltung, Bestell-Bestätigungen mit Artikel-Liste + Liefertag) und sind aus User-Sicht read-only. Externe und Gast-Konten erhalten Nachrichten nur, wenn der Admin das Postfach beim Einladen freigeschaltet hat. | Art. 6 Abs. 1 lit. b/f DSGVO (Vertragserfüllung + innerbetriebliche Organisation) | Bis zur Löschung durch den Empfänger oder bis zur Konto-Schließung. |
| Beschwerde- und Verbesserungs-Vorschläge (KVP) | Pro Einreichung: Titel, was/wo/wie/Beschreibung (Freitexte), Anonymitäts-Modus (named/pseudonym/full); bei named wird der User-Bezug gespeichert (Verwaltung sieht den Klar-Namen); bei pseudonym wird die Sender-ID gespeichert (für Postfach-Antwort), Verwaltung sieht nur ein systemgeneriertes Pseudonym „Anonym #ID"; bei full wird kein Sender-Bezug gespeichert und der Vorgang ist nicht rückführbar (keine Antwort möglich). Status (Neu/In Prüfung/Angenommen/Abgelehnt/Umgesetzt/Gelöscht — letzteres als Soft-Delete für die Mandanten-Auswertung), optionale Belohnungs-Anmerkung, Verlauf der Verwaltungs-Rückmeldungen. Zeitstempel für Anlegen, Aktualisieren, Auszahlung. Externe und Gast-Konten dürfen nicht einreichen. | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Qualitätssicherung und Beteiligungskultur) | Während der Vertragslaufzeit; Löschung bei Konto-Schließung oder Vertragsende; gelöschte Einträge bleiben mit Status „Gelöscht" für die Statistik erhalten und werden mit Konto-/Mandanten-Schließung mit-gelöscht. |
| Beauftragte (Stellen mit Anfrage-Kanal) | Pro Stelle: Titel, Vorstellungstext, Kontaktangaben (E-Mail/Telefon), zugewiesene Person (interner User oder Eintrag aus der unternehmensinternen Kontaktliste; exklusiv), Audience-Zuordnung (User/Team/Standort), Erlaubnis-Flag für anonyme Nachrichten. Pro Nachricht an die Stelle: Betreff, Body-Text, Anonymitäts-Modus (named/pseudonym/full, gleiche Semantik wie KVP/Beschwerde), Thread-Antworten beidseitig (bei full nicht möglich). Pro Dokument der Stelle: Titel, Datei-Inhalt, MIME-Typ, Pflicht-Einsortierung in die Pyramiden-Ebene, Hochlade-User, Zeitstempel. Mail-Benachrichtigung an die Stellen-Kontakt-Adresse, sofern hinterlegt. | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse innerbetrieblicher Mitbestimmung und Compliance) | Nachrichten 3 Jahre nach Erledigung; Dokumente nach Mandanten-Aufbewahrungsregel; Stellen-Konfiguration während Vertragslaufzeit. |
| Anbieter-Bestellungen (inkl. Sammelbestellung) | Pro Bestellung: Anbieter, Bestellender Mitarbeiter, Artikel + Menge, Stückpreis-Snapshot, Abrechnungsart (privat/Einrichtung), Erfüllungsart (Abholung/Lieferung), Liefer-Standort (bei Lieferung oder Einrichtungsabrechnung), Liefer-Datum, optionale Notiz, Status (offen/erfüllt/storniert). Bei Sammelbestellung mehrere Datensätze in einer Transaktion mit Validierung gegen Tageskontingente, Wochentag-Verfügbarkeit und Abwesenheiten des Anbieters (all-or-nothing). | Privat: Art. 6 Abs. 1 lit. a/b DSGVO. Einrichtungs-Abrechnung: Art. 6 Abs. 1 lit. f DSGVO / § 26 BDSG. | Während Vertragslaufzeit; buchhaltungsrelevante Datensätze (Verzehr-, Einrichtungs-Abrechnung) nach § 257 HGB 10 Jahre. |
| Verwaltungs-Kompetenzen | Pro User mit der Rolle „Verwaltung (delegiert)" eine Liste der zugewiesenen Bereiche (z. B. „weiterbildung", „beschwerde", „standorte"). Steuert ausschließlich die Sichtbarkeit von Verwaltungs-Menü-Einträgen und Zugriff auf die zugehörigen Admin-Routen; enthält selbst keine personenbezogenen Inhaltsdaten. | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Wie übrige Konto-Daten. |
5. Empfänger / Sub-Verarbeiter
- Hetzner Online GmbH (Falkenstein, Deutschland) — Server-Hosting, Storage. Vertrag und TOMs gemäß Art. 28 DSGVO.
- Wildbit LLC (Postmark) (USA, Standardvertragsklauseln) — Versand transaktionaler E-Mails (Einladungen, Bestellbestätigungen, Welcome). Es werden ausschließlich die für den Versand notwendigen Daten (E-Mail, Subject, Body) übertragen.
- Stripe Payments Europe Ltd. (Dublin, Irland) — Abwicklung der Zahlung. Stripe ist eigener Verantwortlicher i. S. d. DSGVO; siehe stripe.com/de/privacy.
- OpenStreetMap Foundation (Großbritannien, Angemessenheitsbeschluss der EU-Kommission) — Bereitstellung der Kartenkacheln für die Standort- und Anbieter-Karten. Beim Laden einer Karte wird die IP-Adresse des Nutzers an die OpenStreetMap-Server übertragen. Die Karte wird nur auf Seiten geladen, die tatsächlich eine Karte enthalten. Alle übrigen Skripte, Schriftarten (Web-Fonts) und Bibliotheken werden von unseren eigenen Servern in Deutschland ausgeliefert – es findet insbesondere keine Einbindung von Google Fonts oder fremden CDN statt.
- Apple Inc. / Google LLC / Mozilla Corporation (USA, Standardvertragsklauseln EU-Kommissions-Beschluss 2021/914, jeweils Modul 2 „Controller-to-Processor") — Auslieferung von Web-Push-Benachrichtigungen. Welcher Anbieter zum Einsatz kommt, hängt vom Browser/Betriebssystem des Empfängers ab (Safari/iOS → Apple Push Notification service, Chrome/Android → Firebase Cloud Messaging, Firefox → Mozilla autopush). Übertragen werden Push-Endpoint, Browser-Schlüssel und der Push-Inhalt (Titel + Vorschau + URL). Bei Apple und Mozilla ist der eigentliche Push-Inhalt zusätzlich Ende-zu-Ende-verschlüsselt nach dem Web-Push-Protocol (RFC 8291); das auslieferende Netz sieht nur Endpoint und verschlüsselte Payload. Bei Firebase Cloud Messaging (Google) ist die Übertragung TLS-gesichert (Transport-Verschlüsselung), der Klartext-Inhalt liegt jedoch in der Google-Cloud zwischenzeitlich entschlüsselt vor; daher wird der Push-Inhalt auf das minimal notwendige Maß (kurzer Titel, eine Zeile Vorschau, Ziel-URL) beschränkt und enthält keine besonders schutzwürdigen Inhalte. Postmark (USA) ist zusätzlich nach EU-US Data Privacy Framework (DPF) zertifiziert.
6. Datenübermittlung in Drittländer
Eine Übermittlung in Drittländer findet beim Versand transaktionaler E-Mails über Postmark (USA) sowie bei der Auslieferung von Web-Push-Benachrichtigungen über die jeweiligen Push-Dienste der Browser-Hersteller (Apple/Google/Mozilla, USA) statt. Die Übermittlung erfolgt jeweils auf Grundlage der EU-Standardvertragsklauseln (SCC) sowie zusätzlicher technischer Schutzmaßnahmen (TLS, minimale Datenfelder, bei Push zusätzlich Inhalts-Verschlüsselung).
6a. Beschäftigtendaten / § 26 BDSG
Werden die Daten der Beschäftigten des Auftraggebers (Mandanten) in der Plattform verarbeitet, ist Rechtsgrundlage in der Regel § 26 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses); für interne Mitarbeiter-Kommunikation und nicht zweckgebundene Module zusätzlich Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter innerbetrieblicher Organisation). Etwaige Mitbestimmungspflichten der Mitarbeitervertretung / des Betriebsrats (z. B. zu Chat-Kommunikation, Fahrtenbuch ohne GPS, KVP/Beschwerde-Workflow, Beauftragten-Modul oder Bike-to-Work-Challenge) sind vom Mandanten als Verantwortlichem eigenverantwortlich zu beachten; der Auftragsverarbeiter stellt mit der Modul-Matrix-Vorlage (Anlage zum AVV) die hierfür notwendigen technischen Informationen zur Verfügung. Es findet keine Verhaltens- oder Leistungskontrolle statt (keine GPS-Tracking, kein KI-/ML-Scoring, keine automatisierten Auswertungen von Chat- oder Postfach-Inhalten — vgl. AVV §3a).
7. Betroffenenrechte und DSAR-Prozess
Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Außerdem steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu (für KiNi Solutions: Landesbeauftragter für Datenschutz Baden-Württemberg).
Bearbeitung Ihres Antrags:
- Anfrage einreichen per E-Mail an info@kini.solutions mit Stichwort „Betroffenenrechte" und Angabe des gewünschten Rechts.
- Identitätsprüfung: Wir gleichen die anfragende E-Mail-Adresse mit dem hinterlegten Account ab; bei Unklarheiten fragen wir nach geeigneten Identitätsnachweisen. Erfolgt die Anfrage über den Mandanten-Admin, wird dieser zur Identitätsbestätigung herangezogen.
- Reaktionsfrist: Wir bestätigen den Eingang innerhalb von 72 Stunden und beantworten den Antrag unentgeltlich innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Bei besonders komplexen Anfragen kann die Frist um zwei Monate verlängert werden; in diesem Fall informieren wir Sie innerhalb des ersten Monats über die Verlängerung und die Gründe.
- Eskalation: Sollten wir nicht innerhalb der Frist tätig werden, können Sie Beschwerde bei der oben genannten Aufsichtsbehörde einlegen.
- Lösch-Antrag: Beim Löschen eines Mitarbeiter-Kontos werden die personenbezogenen Daten unmittelbar physisch entfernt; buchhaltungsrelevante Datensätze (Stripe-Belege, Verzehr-/Einrichtungs-Abrechnung, Fahrtenbuch) bleiben jedoch nach § 257 HGB / § 147 AO für 10 Jahre erhalten und werden nach Ablauf der gesetzlichen Frist ebenfalls gelöscht. Die Erledigung wird protokolliert.
Bei Anfragen von Mitarbeitenden eines Mandanten kann es notwendig sein, den Antrag an den Mandanten als Verantwortlichen weiterzuleiten. In diesem Fall informieren wir Sie über die Weiterleitung.
8. Cookies und TTDSG
Auf der Marketing-Website werden ausschließlich technisch notwendige Cookies eingesetzt (z. B. Cross-Site-Request-Forgery-Schutz). In der Mandanten-Plattform setzen wir ein Session-Cookie zur Authentifizierung sowie einen Service-Worker-Cache zum Offline-Betrieb der PWA-App ein. Marketing- oder Tracking-Cookies werden nicht eingesetzt; es wird kein Einwilligungs-Banner angezeigt, weil sämtliche eingesetzten Speichermechanismen unter die Ausnahme „unbedingt erforderlich" nach § 25 Abs. 2 Nr. 2 TTDSG fallen (technisch notwendig zur Bereitstellung des vom Nutzer ausdrücklich angeforderten Tele- oder Mediendienstes).
Visit-Telemetrie (/api/track): Beim Aufruf einzelner Marketing-Seiten (z. B. Impressum, AGB) wird per fetch ein anonymer Page-View-Beacon an einen eigenen Endpunkt gesendet. Übertragen werden ausschließlich Pfad, Referer und Zeitstempel; es werden keine Cookies, kein LocalStorage und kein SessionStorage auf dem Endgerät geschrieben oder gelesen — daher TTDSG-konform ohne Einwilligungspflicht. Eine Re-Identifizierung einzelner Besucher findet nicht statt.
9. Speicherdauer und Löschung
Nach Vertragsende werden die personenbezogenen Daten der Mitarbeiter und externen Kontakte unverzüglich logisch gesperrt (Read-Only für Export-Zwecke), spätestens nach 30 Tagen irreversibel gelöscht. Buchhaltungs-relevante Daten (Stripe-Belege, Verzehr-/Einrichtungs-Abrechnung, Fahrtenbuch) werden 10 Jahre nach § 257 HGB aufbewahrt und danach gelöscht.
Innerhalb der laufenden Vertragslaufzeit werden außerdem Chat-Nachrichten samt Anhängen und In-App-Postfach-Nachrichten nach 30 Tagen automatisch durch einen täglichen Cleanup-Job entfernt (Datenschutz-Vorgabe „keine dauerhafte Archivierung interner Kommunikation"). Eine vollständige Übersicht aller Aufbewahrungsfristen je Datenart enthält das Löschkonzept.
Die Lösch-Vorgänge sind vollständig automatisiert: ein täglicher Cron-Job markiert gekündigte Instanzen, versendet Reminder-Mails an die Mandanten-Admins 3 Tage und 1 Tag vor der endgültigen Löschung und führt die Löschung am Tag 30 aus. Jede Löschung wird mit Zeitstempel, Anzahl gelöschter Datensätze und SHA-256-Prüfsumme protokolliert (7 Jahre Aufbewahrung des Protokolls gemäß Rechenschaftspflicht Art. 5 Abs. 2 DSGVO).
Backup-Rotation: Datenbank-Backups werden 14 Tage lang aufbewahrt; Daten gelöschter Konten oder gelöschter Instanzen können daher bis zu 14 Tage nach der eigentlichen Löschung noch in Backup-Snapshots vorliegen und werden mit Ablauf der Rotationsfrist mit-gelöscht. Bei aktiven Lösch-Anträgen Betroffener werden Backup-Snapshots auf Anfrage explizit aus der Verarbeitung ausgeschlossen.
9a. Weitere Anlagen und Nachweisdokumente
Die folgenden Dokumente sind Anlagen zum Auftragsverarbeitungsvertrag bzw. interne Nachweisdokumente gemäß Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Sie sind nicht zur Indexierung durch Suchmaschinen freigegeben (noindex), aber öffentlich einsehbar:
- Technisch-organisatorische Maßnahmen (TOM) — Detail-Aufstellung der Schutzmaßnahmen nach Art. 32 DSGVO.
- Löschkonzept — Fristen und Verfahren pro Datenart.
- Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO.
- Transfer Impact Assessment (TIA) für Sub-Auftragsverarbeiter in den USA.
- Datenpannen-Verfahren nach Art. 33/34 DSGVO.
- Konzept Sicherheitsprüfung.
- Modul-Matrix-Vorlage — vom Auftraggeber zu befüllen.
- Rollen-Matrix (Berechtigungskonzept) — Rolle × Modul × Zugriffsrecht.
10. Sicherheit von Datei-Uploads
Alle in der App hochgeladenen Dateien (Chat-Anhänge, Bilder, PDFs, Beauftragten-Dokumente) durchlaufen eine dreistufige Sicherheits-Prüfung:
- Block-Liste gefährlicher Dateitypen — ausführbare Dateien (.exe, .scr, .bat, …), Skripte (.vbs, .js, .ps1, .py, .php, …), Container (.iso, .dmg) und makro-aktive Office-Formate (.docm, .xlsm) werden grundsätzlich abgewiesen; das gilt auch für Doppelendungen wie
rechnung.pdf.exe. - Magic-Byte-Validation — die ersten Bytes der Datei müssen zur deklarierten Endung passen. Eine PNG-Datei mit Windows-Executable-Header oder eine Textdatei mit Skript-Shebang (#!/bin/sh) wird abgelehnt.
- Antivirus-Scan (ClamAV-Daemon auf dem Server) — jede Datei wird vor dem Speichern auf bekannte Schadcode-Signaturen geprüft.
Blockierte Upload-Versuche werden in einem Sicherheits-Log mit Dateiname, Grund der Ablehnung und Zeitstempel verzeichnet.