Datenschutzerklärung

1. Einleitung und Verantwortlicher

Der Schutz Ihrer personenbezogenen Daten hat für uns oberste Priorität. Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zwecke der Datenverarbeitung im DESI Enterprise Portal (portal.designstuuv.de) gemäß der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG), des Digitale-Dienste-Gesetzes (DDG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG).

2. Grundsätzliche Datenverarbeitung und Hosting

2.1 Server-Logfiles

Bei jedem Zugriff auf das Portal werden automatisch Daten erhoben, die Ihr Browser übermittelt (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Sicherheit und Stabilität):

• IP-Adresse (anonymisiert nach 7 Tagen)
• Datum und Uhrzeit der Anfrage
• Angeforderte URL / Seitenname
• HTTP-Statuscode und übertragene Datenmenge
• Referrer-URL
• Browser-Typ, Betriebssystem und Gerätetyp

Die Logfiles werden nach 30 Tagen automatisch gelöscht.

2.2 Hosting

Das Portal wird bei ALL-INKL.COM - Neue Medien Münnich (Hauptstraße 68, 02742 Friedersdorf, Deutschland) gehostet. Die Server stehen in Deutschland. Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Eine Übermittlung in Drittländer findet durch das Hosting nicht statt.

3. Cookies und Tracking-Technologien

3.1 Technisch notwendige Cookies

Das Portal verwendet ausschließlich technisch notwendige Cookies (Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO):

• Session-Cookie (desi_portal / desi_portal_local): Authentifizierung und Session-Verwaltung. Lebensdauer: Sitzungsende.
• CSRF-Token-Cookie: Schutz vor Cross-Site-Request-Forgery. Lebensdauer: Sitzungsende.
• Cookie-Consent-Cookie: Speicherung Ihrer Cookie-Präferenzen. Lebensdauer: 12 Monate.

Es werden keine Tracking-, Analyse- oder Marketing-Cookies durch das Portal selbst gesetzt.

3.2 Portal Usage Tracking

Zur Verbesserung des Portals erfassen wir anonymisiert die Nutzung bestimmter Funktionen (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Verbesserung des Dienstes):

• Aufgerufene Portal-Seiten und Funktionen (ohne personenbezogene Inhalte)
• Feature-Nutzungshäufigkeit und Klick-Interaktionen
• Report-Öffnungsraten und CTA-Klicks (in E-Mail-Berichten)

Diese Daten werden aggregiert und pseudonymisiert verarbeitet und dienen ausschließlich der Portal-Optimierung. Eine Zusammenführung mit anderen Datenquellen zu Profiling-Zwecken findet nicht statt.

4. Registrierung und Nutzung des Portals

Für die Nutzung des Portals verarbeiten wir (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Vertragsdurchführung):

• Anmeldedaten: E-Mail-Adresse, Passwort-Hash (bcrypt), ggf. OAuth-Token
• Stammdaten: Name, Vorname, Firmenzugehörigkeit, Anrede, Briefanrede
• Präferenzen: Bevorzugte Ansprache (Du/Sie), Benachrichtigungseinstellungen, Report-Präferenzen
• Nutzungsdaten: Login-Zeitpunkte, aufgerufene Module, Freigabe-Aktionen

5. Integration von Google-Diensten und OAuth 2.0

Das Portal bietet die optionale Anbindung an Google-Dienste via OAuth 2.0 (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO — Einwilligung via Google-Consent-Screen).

5.1 Google API Services User Data Policy („Limited Use Disclosure“)

Die Nutzung von Google-API-Daten erfolgt unter strikter Einhaltung der Google API Services User Data Policy:

• Kein Verkauf von über Google Workspace APIs erhobenen Nutzerdaten an Dritte.
• Keine Werbung: Keine Verwendung für Werbezwecke oder Werbeprofile.
• Zweckbindung: Ausschließlich für Portal-Funktionen (Dashboards, Reports, Terminplanung).
• Menschlicher Zugriff: Kein Mitlesen Ihrer Daten ohne ausdrückliche Erlaubnis (ausser bei Sicherheitsvorfällen).

5.2 Verarbeitete Google-Daten

• Google Calendar: Kalenderlisten, Termine (Titel, Zeit, Ort, Beschreibung, Teilnehmer)
• Google Analytics: Aggregierte Besucherstatistiken (Sitzungen, Seitenaufrufe, Quellen)
• Google Search Console: Suchanfragen, Klicks, Impressionen, Positionen
• Google Ads: Kampagnen-Performance (Klicks, Kosten, Conversions)

Die Speicherung erfolgt im Data Warehouse des Portals zur Darstellung in Dashboards und Reports. Sie können die Verbindung jederzeit in den Google-Konto-Einstellungen oder über die Portal-Profileinstellungen trennen.

6. Künstliche Intelligenz (KI) und automatisierte Verarbeitung

6.1 Google Vertex AI

Das Portal nutzt Google Vertex AI zur automatisierten Erstellung von Analysen, Zusammenfassungen und Handlungsempfehlungen (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Qualitätsverbesserung der Reports).

• Verarbeitete Daten: Aggregierte Analytics-Daten, Performance-Metriken, Trend-Daten. Keine direkt personenbezogenen Daten (Name, E-Mail) werden an die KI übermittelt.
• Datenschutzgarantie: Google Vertex AI verarbeitet Daten in EU-Rechenzentren. Kundendaten werden vertraglich nicht zum Training allgemeiner Google-Modelle verwendet.
• Keine automatisierte Einzelentscheidung: Es findet kein Profiling oder Scoring im Sinne von Art. 22 DSGVO statt, das rechtliche Auswirkungen für Sie hätte.

6.2 EU AI Act Transparenz

Gemäß Verordnung (EU) 2024/1689 (EU AI Act) informieren wir: Die im Portal eingesetzte KI ist als KI-System mit minimalem Risiko einzustufen. Sie generiert informatorische Zusammenfassungen und unverbindliche Empfehlungen. Es erfolgt keine biometrische Fernidentifizierung, kein Social Scoring und keine Emotionserkennung.

7. Datensicherheit und technische Maßnahmen

Wir setzen angemessene technische und organisatorische Maßnahmen (TOMs) ein:

• Verschlüsselung: SSL/TLS für alle Datenübertragungen. OAuth-Tokens werden AES-256-CBC verschlüsselt gespeichert (At-Rest-Verschlüsselung).
• Passwort-Hashing: bcrypt mit angemessenem Cost-Faktor.
• Zugriffskontrolle: Rollenbasiert (Admin, User), Session-Timeouts, CSRF-Schutz.
• Datenbankschutz: Prepared Statements (SQL-Injection-Schutz), Transaktionssicherheit.
• Monitoring: Automatische Sicherheitsüberwachung und Anomalie-Erkennung.

8. Aufbewahrungsfristen

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Server-Logfiles: 30 Tage
• Session-Daten: Bis Sitzungsende (max. 9 Stunden Idle-Timeout)
• Portal-Nutzerkonto: Für die Dauer der Geschäftsbeziehung, danach Löschung (soweit keine Aufbewahrungspflicht)
• Analytics-Rohdaten: 26 Monate (danach nur aggregierte Daten)
• Report-Snapshots: 24 Monate
• Rechnungsdaten / Finanzdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht, § 147 AO, § 257 HGB)
• Vertragsdaten: 6 Jahre nach Vertragsende (§ 257 HGB)
• CTA-Tracking-Events: 12 Monate
• Cookie-Consent-Präferenzen: 12 Monate

9. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte:

• Auskunft (Art. 15 DSGVO): Auskunft über die von uns verarbeiteten Daten
• Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO): Löschung Ihrer Daten („Recht auf Vergessenwerden“)
• Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO): Herausgabe Ihrer Daten in maschinenlesbarem Format
• Widerspruch (Art. 21 DSGVO): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@designstuuv.de

Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere bei der Landesbeauftragten für den Datenschutz Niedersachsen (Prinzenstr. 5, 30159 Hannover).

10. Datenübermittlung in Drittländer

Durch die Nutzung von Google-Diensten kann eine Übermittlung personenbezogener Daten in die USA erfolgen. Google LLC ist unter dem EU-U.S. Data Privacy Framework zertifiziert, das ein angemessenes Datenschutzniveau gemäß Art. 45 DSGVO gewährleistet (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023).

Darüber hinaus bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO als ergänzende Schutzgarantie.

11. Löschung und Widerruf der API-Anbindung

Sie können die Google-Verbindung jederzeit trennen:

• Im Portal: Profileinstellungen → „Verbindung trennen“ — alle Tokens werden gelöscht.
• Bei Google: myaccount.google.com/permissions → DESI Portal entfernen.

Nach der Trennung werden gespeicherte Analytics-Daten im Data Warehouse beibehalten (für bestehende Reports), aber keine neuen Daten mehr abgerufen. Auf Wunsch löschen wir auch historische Daten.