1. Verantwortliche Stelle
Verantwortlich im Sinne der DSGVO ist:
2. Datenschutzbeauftragter
Datenschutzbeauftragte/r:
3. Verarbeitete Datenkategorien und Zwecke
| Kategorie | Daten | Zweck |
|---|---|---|
| Stammdaten | Name, E-Mail, Telefon | Authentifizierung, Identifikation |
| Authentifizierungsdaten | Passwort-Hash (bcrypt/argon2id), TOTP-Secret, Backup-Codes | Zugangssicherung, 2FA |
| Nutzungsdaten | Login-Zeitpunkt, IP-Adresse, User-Agent | Sicherheitsüberwachung, Anomalie-Erkennung (NIS-2) |
| Inhaltsdaten | Chats, Aufgaben, Berichte, Kalender, Kontakte | Kernfunktion der Anwendung |
| Standortdaten | GPS bei Zustimmung (Fahrtenbuch) | Fahrtenbuch-Erfassung |
| Kommunikationsdaten | E-Mails, Benachrichtigungen | Service-Kommunikation |
4. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung
- Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen (IT-Sicherheit, NIS-2)
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z.B. GPS)
5. Speicherdauer
| Datenkategorie | Speicherfrist |
|---|---|
| Stammdaten aktiver Nutzer | Dauer der Vertragsbeziehung |
| Stammdaten gelöschter Nutzer | 30 Tage Soft-Delete, dann anonymisiert |
| Audit-Logs (NIS-2 / ISO 27001) | 2 Jahre |
| Backup-Daten | 30 Tage Rotation |
| Buchhaltungsrelevante Daten | 7 Jahre (§ 132 BAO) |
| Login-IP-Historie | 180 Tage rolling |
6. Empfänger / Auftragsverarbeiter
Wir setzen folgende Auftragsverarbeiter (Art. 28 DSGVO) ein:
| Anbieter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting (Origin) | Deutschland (Nürnberg) |
| Cloudflare Inc. | CDN, DDoS-Schutz, WAF | EU/USA (SCCs Art. 46 DSGVO) |
| Anthropic PBC | KI-gestützte Antwortvorschläge (opt-in) | USA (SCCs) |
| Google LLC (Maps/Fonts) | Karten- und Schriftarten-Service | USA (SCCs) |
Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO.
7. Drittland-Übermittlungen
Übermittlungen in die USA (Cloudflare, Anthropic, Google) erfolgen auf Basis der EU-Standardvertragsklauseln (SCCs, Art. 46 DSGVO) sowie ergänzender technischer Maßnahmen (Verschlüsselung in Transit + Field-Level-Encryption für PII).
8. Ihre Rechte
- Auskunft (Art. 15)
- Berichtigung (Art. 16)
- Löschung ("Recht auf Vergessenwerden", Art. 17)
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit (Art. 20) — JSON-Export im Self-Service
- Widerspruch (Art. 21)
- Widerruf der Einwilligung (Art. 7 Abs. 3) — wirkt nur ex-nunc
- Beschwerde bei der Aufsichtsbehörde (siehe Punkt 9)
Anfragen richten Sie bitte an [email protected]. Sie erhalten in der Regel innerhalb von einem Monat eine Antwort.
9. Beschwerde bei der Aufsichtsbehörde
10. Cookies und vergleichbare Technologien
SEMPERconnect setzt ausschließlich technisch notwendige Cookies für die Authentifizierung und Sitzungsverwaltung (CSRF-Schutz, Session-Token). Es findet kein Tracking statt, kein Analytics ohne Einwilligung. Cloudflare-Web-Analytics ist deaktiviert.
11. Technisch-organisatorische Maßnahmen (TOM)
Wir setzen umfassende Sicherheitsmaßnahmen nach Art. 32 DSGVO ein:
- Verschlüsselung: TLS 1.3 in transit, Field-Level-Encryption (AES-256-GCM) für PII, AES-256-CBC für Backups
- Pseudonymisierung wo immer möglich
- 2FA-Pflicht für Admin-Accounts, optional WebAuthn/Passkeys
- Audit-Logs aller schreibenden Aktionen (NIS-2-konform)
- Backup-Strategie: verschlüsselte tägliche Backups, 30 Tage Rotation
- Penetration-Tests jährlich, OWASP Top 10 + ASVS Level 2
- Defense-in-Depth: 12 Schichten (Network → Edge → TLS → Headers → Auth → CSRF → Rate-Limit → Audit → PII-Crypt → Backup-Crypt → 2FA → WebAuthn)
12. Datenschutz-Folgenabschätzung (DPIA)
Eine DPIA gemäß Art. 35 DSGVO wurde durchgeführt für:
- Field-Level-Encryption von Kontaktdaten
- Login-IP-Historisierung (Anomalie-Erkennung)
- Optionale KI-Antwortvorschläge (Anthropic-Integration)
Ergebnis: Restrisiken sind durch geeignete TOMs minimiert.
13. Änderungen dieser Erklärung
Wir passen diese Erklärung gelegentlich an. Den jeweils aktuellen Stand finden Sie immer auf dieser Seite.