Datenschutzerklärung

1. Verantwortlicher

Die IDentity Center GmbH (nachfolgend „wir", „uns") betreibt den Dienst MeinDatensatz unter der Domain meindatensatz.de. Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir erheben, wie wir sie nutzen und welche Rechte Sie als betroffene Person haben.

2. Welche Daten wir erheben

2.1 Registrierung als Unternehmenskunde

Wenn Sie sich als Unternehmenskunde (Tenant) registrieren, erheben wir:

• Anrede, Vor- und Nachname
• Geschäftliche E-Mail-Adresse
• Firmenname
• Bevorzugte Sprache
• IP-Adresse und Browser-Informationen zum Zeitpunkt der Registrierung (Sicherheitslog)

2.2 Einmalige Zugangscodes (OTP)

Wir verwenden einmalige E-Mail-Codes (OTP) statt Passwörter für den Administrations-Login. Diese Codes werden nach Nutzung oder Ablauf automatisch gelöscht und nie im Klartext gespeichert.

2.3 Nutzungsdaten und Protokolle

Für den sicheren Betrieb des Dienstes speichern wir technische Protokolldaten, darunter:

• Datum und Uhrzeit von Zugriffen
• IP-Adresse (für Sicherheitsprüfungen)
• Aufgerufene Seiten
• Fehlermeldungen

Protokolle enthalten keine Klartextinhalte von Kundendatensätzen.

2.4 Kundendatensätze (Escrow-Funktion)

Im Rahmen der Escrow-Funktion laden Unternehmenskunden Datensätze ihrer Endkunden in verschlüsselter Form hoch. Diese Daten werden ausschließlich Ende-zu-Ende verschlüsselt gespeichert. Die IDentity Center GmbH hat zu keinem Zeitpunkt Zugang zu den entschlüsselten Inhalten dieser Datensätze. Da ausschließlich nicht entschlüsselbare Chiffrate sowie opake Referenzkennungen gespeichert werden, stellen diese Daten für die IDentity Center GmbH keine personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DSGVO dar (vgl. Erwägungsgrund 26 DSGVO). Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist deshalb nicht erforderlich. Die vollständige rechtliche Begründung sowie die technisch-organisatorischen Maßnahmen sind unter meindatensatz.de/avv und meindatensatz.de/toms abrufbar.

2.5 Kontaktformular

Wenn Sie uns über das Kontaktformular oder per E-Mail kontaktieren, speichern wir Ihre Angaben (Name, E-Mail, Nachricht) zur Bearbeitung Ihrer Anfrage.

3. Rechtsgrundlagen der Verarbeitung

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Verarbeitung für die Erbringung des Dienstes gegenüber registrierten Unternehmenskunden.
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen: Sicherheitsprotokollierung, Missbrauchsprävention, Systembetrieb.
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: soweit Sie uns eine ausdrückliche Einwilligung erteilt haben (z. B. Newsletterversand, sofern angeboten).
• Art. 28 DSGVO – Auftragsverarbeitung: für die verschlüsselten Kundendatensätze im Escrow-Betrieb.

4. Speicherdauer

• Registrierungsdaten werden für die Dauer des Vertragsverhältnisses gespeichert und nach Kündigung innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. § 147 AO: 10 Jahre für Buchungsbelege) entgegenstehen.
• OTP-Codes werden nach Nutzung oder nach Ablauf ihrer Gültigkeit (10 Minuten) automatisch gelöscht.
• Sicherheitsprotokolle werden nach 90 Tagen automatisch rotiert.
• Audit-Logs werden für die gesetzlich vorgeschriebene oder vertraglich vereinbarte Mindestdauer vorgehalten.
• Verschlüsselte Kundendatensätze werden nach Vertragsende oder auf Weisung des Unternehmenskunden gelöscht.

5. Empfänger von Daten

Wir geben Ihre personenbezogenen Daten grundsätzlich nicht an Dritte weiter, es sei denn:

• Sie haben ausdrücklich eingewilligt,
• die Weitergabe ist zur Vertragserfüllung erforderlich,
• wir sind gesetzlich dazu verpflichtet,
• Auftragsverarbeiter (z. B. Hosting-Anbieter mit Serverstandort Deutschland) verarbeiten Daten in unserem Auftrag auf Basis von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO.

Eine Übermittlung in Drittländer außerhalb der EU/EWR findet nicht statt.

6. Cookies und Session

Wir verwenden ausschließlich technisch notwendige Session-Cookies, die nach Ende Ihrer Browser-Sitzung gelöscht werden. Diese Cookies dienen allein der Aufrechterhaltung Ihrer Sitzung (Login-Status) und sind für den Betrieb des Dienstes zwingend erforderlich. Tracking-Cookies, Analyse- oder Marketingcookies werden nicht eingesetzt.

7. Hosting und Server

Der Dienst wird auf Servern mit Standort Deutschland betrieben. Die Server werden durch die IDentity Center GmbH oder einen deutschen Hosting-Dienstleister mit abgeschlossenem Auftragsverarbeitungsvertrag betrieben.

8. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO) – Sie können jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
• Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO) – Sie können unter bestimmten Voraussetzungen die Löschung Ihrer Daten verlangen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO) – Sie können die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO) – Sie können die Herausgabe Ihrer Daten in einem maschinenlesbaren Format verlangen.
• Widerspruch (Art. 21 DSGVO) – Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen.
• Widerruf von Einwilligungen – Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@meindatensatz.de

Sie haben außerdem das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Gustav-Stresemann-Ring 1, 65189 Wiesbaden (www.datenschutz.hessen.de).

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage oder bei Änderungen des Dienstes zu aktualisieren. Die jeweils aktuelle Version ist stets unter meindatensatz.de/privacy abrufbar.