Datennachweis

Vertrauen und Sicherheit

Transparente Grundlage für den Einsatz von Datennachweis

Datennachweis ist ein SaaS-Dienst zur strukturierten Erstellung und Pflege eines Verzeichnisses von Verarbeitungstätigkeiten. Diese Seite fasst die wichtigsten technischen, organisatorischen und datenschutzbezogenen Punkte für eine erste Prüfung zusammen.

Hinweis zum Dokumentationsstand

AVV, TOMs, Unterauftragsverarbeiterübersicht, Datenflüsse sowie Lösch- und Aufbewahrungsregeln werden intern gepflegt und müssen vor verbindlicher Kundennutzung rechtlich geprüft werden. Diese Seite ist eine öffentliche Zusammenfassung und ersetzt keine individuelle rechtliche Prüfung.

Hosting, Edge-Schutz und Datenstandort

Die Produktivumgebung von Datennachweis läuft auf Render-Infrastruktur in der Region Frankfurt. Dies betrifft die Anwendung und die produktive PostgreSQL-Datenbank.

Für DNS, TLS/HTTPS, Edge-Routing, HTTPS-Weiterleitung und die technische Absicherung der öffentlichen Domain wird Cloudflare eingesetzt.

Render und Cloudflare können als Anbieter mit Sitz oder Infrastrukturbezug außerhalb der EU eingesetzt werden. Deshalb wird kein vollständiger „EU-only“-Betrieb behauptet. Mögliche Zugriffe im Rahmen von Support, Administration oder rechtlichen Anforderungen müssen vertraglich und datenschutzrechtlich berücksichtigt werden.

Verwendung von VVT-Inhalten

VVT-Inhalte werden zur Bereitstellung des Dienstes verarbeitet. Sie werden nicht für KI-Training, Werbung, Weiterverkauf oder externe Analysezwecke verwendet.

Öffentliche Webanalyse darf keine VVT-Inhalte erhalten und ist von privaten Bereichen wie Dashboard und Workspace getrennt zu halten.

Sicherheits- und Zugriffskonzept

  • · Zugriff auf Kundenarbeitsbereiche erfordert Anmeldung.
  • · Organisationen dienen als getrennte Arbeitscontainer.
  • · Backend-Zugriffe prüfen den Organisationskontext.
  • · Admin-Funktionen sind vom Kunden-Workspace getrennt.
  • · Produktive Seiten werden über HTTPS bereitgestellt.
  • · TLS 1.2+, TLS 1.3, HTTPS-Weiterleitung und HSTS sind aktiv.
  • · CSP wird bewusst im Report-Only-Modus betrieben, bis die vollständige CSP-Migration abgeschlossen ist.

Löschung, Aufbewahrung und Backups

Persönliche Account-Löschung bzw. Account-Anonymisierung ist als kontrollierter Prozess vorgesehen und wurde end-to-end praktisch durchgeführt. Organisationsbezogene Daten und VVT-Inhalte werden getrennt behandelt, damit Daten anderer berechtigter Organisationsmitglieder nicht versehentlich entfernt werden.

Technisch bedingte Sicherungskopien, Wiederherstellungsstände oder manuelle Datenbankexporte können gelöschte oder anonymisierte Daten bis zum Ablauf der jeweiligen Backup- oder Export-Retention enthalten. Diese Sicherungskopien werden nicht für neue Zwecke verwendet.

Dienstleister und aktuelle Ausbaustufe

  • · Render wird für Hosting und Datenbankbetrieb genutzt.
  • · Cloudflare wird für DNS, TLS/HTTPS und Edge-Routing genutzt.
  • · PurelyMail / Add Rabbit LLC wird für Support-/Kontaktkommunikation und Benutzer-E-Mail-Verifikation genutzt.
  • · Google Analytics ist nicht standardmäßig aktiv und darf nur consent-basiert auf öffentlichen Seiten genutzt werden.
  • · Zahlungsabwicklung und produktive Zahlungsdatenflüsse sind aktuell nicht aktiv.
  • · Dokumenten-Upload ist aktuell nicht aktiv und bleibt eine spätere Ausbaustufe.

Rechtliche und technische Unterlagen

Für die geschäftliche Prüfung werden folgende Unterlagen vorbereitet bzw. gepflegt:

AVV

Entwurf eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO, vor Kundennutzung rechtlich zu prüfen.

TOMs

Dokumentation technischer und organisatorischer Maßnahmen mit Status je Maßnahme.

Unterauftragsverarbeiter

Übersicht eingesetzter und zu prüfender Dienstleister, einschließlich Drittlandbezügen.

Datenflüsse

Beschreibung der wichtigsten Verarbeitungsvorgänge von Registrierung bis VVT-Export.

Die internen Entwurfsdokumente werden nicht automatisch als finale Kundendokumente veröffentlicht. Nach Prüfung können geeignete Unterlagen auf Anfrage bereitgestellt oder öffentlich ergänzt werden.

Fragen zur geschäftlichen Prüfung?

Für Datenschutz-, Sicherheits- oder AVV-Fragen können Sie Kontakt aufnehmen. Bitte senden Sie keine vertraulichen VVT-Inhalte über öffentliche Kontaktwege.

Kontakt aufnehmen oder Datenschutzerklärung lesen