Datenschutzerklärung

1. Datenschutz auf einen Blick

2. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist:

Verantwortlicher ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

3. Datenschutzbeauftragter

Ein Datenschutzbeauftragter wurde derzeit nicht benannt. Sollte ein Datenschutzbeauftragter gesetzlich zu benennen sein oder freiwillig bestellt werden, werden die entsprechenden Kontaktdaten an dieser Stelle ergänzt.

4. Rollenverteilung bei der Nutzung von RettLog

RettLog ist eine SaaS-Anwendung, die von Organisationen, Unternehmen, Vereinen, Hilfsorganisationen, Rettungsdiensten, Wachen oder sonstigen Stellen genutzt werden kann.

Soweit RettLog personenbezogene Daten im Auftrag einer Kundenorganisation verarbeitet, ist diese Organisation für die Rechtmäßigkeit der konkreten Nutzung, Eingabe und Verarbeitung der Daten verantwortlich. RettLog handelt in diesen Fällen als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die Einzelheiten werden in einem gesonderten Vertrag zur Auftragsverarbeitung geregelt.

Soweit wir personenbezogene Daten für eigene Zwecke verarbeiten, zum Beispiel zur Bereitstellung der Website, zur Bearbeitung von Kontaktanfragen, zur Absicherung der Infrastruktur, zur Vertragsverwaltung oder zur Missbrauchsvermeidung, handeln wir selbst als Verantwortlicher.

5. Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:

• Bereitstellung der Website RettLog.de
• Bearbeitung von Kontakt- und Demo-Anfragen
• Bereitstellung, Absicherung und Betrieb der RettLog-Webanwendung
• Registrierung und Verwaltung von Benutzerkonten
• Anmeldung, Sitzungsverwaltung und Zugriffsschutz
• Verwaltung von Organisationen, Mitgliedschaften, Rollen und Berechtigungen
• Einladung von Nutzern zu Organisationen
• Nutzung von Checklisten, Materiallisten, Einheiten, Aufgaben, Schadensmeldungen, Prüfungen, Fristen und sonstigen Organisationsfunktionen
• Dokumentation von Prüfungen, Kontrollen, Bearbeitungsschritten und Änderungen
• Nachvollziehbarkeit sicherheits- und organisationsrelevanter Vorgänge durch Audit-Logs
• Missbrauchsvermeidung, Fehleranalyse, IT-Sicherheit und Systemstabilität
• Erfüllung vertraglicher und gesetzlicher Pflichten
• Rechtsdurchsetzung und Verteidigung gegen Ansprüche

6. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt je nach Verarbeitungsvorgang auf einer oder mehreren der folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
• Art. 6 Abs. 1 lit. c DSGVO, soweit wir rechtlich zur Verarbeitung verpflichtet sind.
• Art. 6 Abs. 1 lit. f DSGVO, soweit die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist, insbesondere an einem sicheren, stabilen und nachvollziehbaren Betrieb der Anwendung.
• Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung eingeholt wird.
• Art. 9 Abs. 2 DSGVO, soweit ausnahmsweise besondere Kategorien personenbezogener Daten verarbeitet werden und hierfür eine gesetzliche Grundlage oder ausdrückliche Einwilligung erforderlich ist.

7. Hosting und technische Infrastruktur

8. Einsatz von Cloudflare

Wir verwenden Cloudflare als DNS-Anbieter, Reverse Proxy, CDN, TLS-/SSL-Dienst, Sicherheitsdienst und zum Schutz vor Angriffen auf unsere Website und Anwendung.

Beim Aufruf unserer Website oder Anwendung können Anfragen über die Infrastruktur von Cloudflare geleitet werden. Dabei können insbesondere folgende Daten verarbeitet werden:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• aufgerufene URL
• HTTP-Header
• Referrer-Informationen
• Browser- und Geräteinformationen
• technische Sicherheitsereignisse
• Informationen zur Abwehr von Angriffen und missbräuchlichem Zugriff

Der Einsatz von Cloudflare erfolgt zur sicheren und performanten Bereitstellung unseres Angebots, zur Verschlüsselung der Verbindung, zur Abwehr von Angriffen, zur Stabilisierung der Infrastruktur und zur Verhinderung von Missbrauch.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, zuverlässigen und performanten Bereitstellung unseres Angebots.

Cloudflare kann personenbezogene Daten auch in den USA verarbeiten. Für Übermittlungen in Drittländer stützt sich Cloudflare nach eigenen Angaben auf geeignete Garantien, insbesondere Standardvertragsklauseln und gegebenenfalls das EU-U.S. Data Privacy Framework. Soweit Cloudflare als Auftragsverarbeiter tätig wird, erfolgt die Verarbeitung auf Grundlage der von Cloudflare bereitgestellten Datenverarbeitungsbedingungen.

9. Server-Logs und technische Protokolldaten

Beim Besuch unserer Website und bei Nutzung der Anwendung werden automatisch technische Protokolldaten verarbeitet. Dazu gehören insbesondere:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• aufgerufene Seite oder Ressource
• HTTP-Statuscode
• übertragene Datenmenge
• Referrer-URL
• Browsertyp und Browserversion
• Betriebssystem
• User-Agent
• Hostname des zugreifenden Systems
• technische Fehlermeldungen

Diese Daten werden verarbeitet, um die Website und Anwendung technisch bereitzustellen, Angriffe zu erkennen, Störungen zu analysieren, Missbrauch zu verhindern und die IT-Sicherheit sicherzustellen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Server-Logdaten werden grundsätzlich nur so lange gespeichert, wie dies für Sicherheit, Fehleranalyse und Betrieb erforderlich ist. Eine längere Speicherung erfolgt nur, wenn dies zur Aufklärung konkreter Sicherheitsvorfälle, zur Rechtsdurchsetzung oder zur Erfüllung gesetzlicher Pflichten erforderlich ist.

10. Cookies, Local Storage und technisch notwendige Speicherungen

Unsere Website und Anwendung verwenden Cookies sowie vergleichbare Technologien wie Local Storage oder Session Storage, soweit dies für den Betrieb technisch erforderlich ist.

Technisch notwendige Cookies und Speicherungen dienen insbesondere:

• der Anmeldung und Sitzungsverwaltung
• dem Schutz vor unbefugtem Zugriff
• der Speicherung sicherheitsrelevanter Sitzungsinformationen
• der Aufrechterhaltung der Funktionalität der Anwendung
• der Speicherung notwendiger Einstellungen
• der Absicherung gegen Missbrauch und Angriffe

Diese Cookies und Speicherungen sind für die Bereitstellung des ausdrücklich gewünschten Dienstes erforderlich. Eine Einwilligung ist hierfür nicht erforderlich.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist Art. 6 Abs. 1 lit. f DSGVO, soweit die Verarbeitung zur technischen Bereitstellung und Sicherheit erforderlich ist. Soweit die Nutzung zur Vertragserfüllung erforderlich ist, ist zusätzlich Art. 6 Abs. 1 lit. b DSGVO Rechtsgrundlage. Für den Zugriff auf Informationen im Endgerät gilt § 25 Abs. 2 TDDDG.

Sofern wir künftig nicht technisch notwendige Cookies, Tracking-Technologien, Marketing-Technologien oder vergleichbare Dienste einsetzen, werden wir hierfür vorab eine Einwilligung einholen und diese Datenschutzerklärung entsprechend ergänzen.

11. Cookie- bzw. Datenschutzhinweis

Soweit auf der Website ein Cookie- oder Datenschutzhinweis angezeigt wird, dient dieser der transparenten Information über technisch notwendige Cookies und Verarbeitungen. Technisch notwendige Cookies können nicht deaktiviert werden, da die Anwendung ansonsten nicht ordnungsgemäß funktioniert.

Soweit einwilligungspflichtige Dienste eingesetzt werden, wird eine gesonderte Einwilligungsmöglichkeit bereitgestellt.

12. Kontaktformular und Demo-Anfragen

Auf unserer Website besteht die Möglichkeit, über ein Formular Kontakt mit uns aufzunehmen oder eine Demo anzufragen.

Dabei können folgende Daten verarbeitet werden:

• Name
• Organisation
• E-Mail-Adresse
• Telefonnummer
• Nachricht
• Zeitpunkt der Anfrage
• technische Metadaten der Übermittlung

Wir verwenden diese Daten zur Bearbeitung der Anfrage, zur Kommunikation mit der anfragenden Person, zur Vorbereitung einer Demo, zur Beantwortung von Rückfragen und gegebenenfalls zur Vertragsanbahnung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage auf einen Vertragsschluss oder eine Demo im Rahmen vorvertraglicher Maßnahmen gerichtet ist. Im Übrigen ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Bearbeitung eingehender Anfragen.

Kontakt- und Demo-Anfragen werden gelöscht, wenn sie nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen an einer weiteren Speicherung bestehen.

13. Registrierung und Benutzerkonten

Nutzer können ein Benutzerkonto erstellen oder durch eine Organisation eingeladen werden.

Dabei können insbesondere folgende Daten verarbeitet werden:

• Name
• E-Mail-Adresse
• Profilbild oder Profilbild-URL
• E-Mail-Verifizierungsstatus
• Nutzer-ID
• Organisationsmitgliedschaften
• Rollen und Berechtigungen innerhalb von Organisationen
• Konto-Status
• Sperrstatus, Sperrgrund und Ablauf einer Sperre, soweit eine Sperrung erfolgt
• Erstellungs- und Änderungsdatum
• Anmelde- und Sitzungsdaten

Die Verarbeitung erfolgt, um das Benutzerkonto bereitzustellen, Nutzer zu authentifizieren, Organisationsmitgliedschaften zu verwalten, Berechtigungen durchzusetzen und die Anwendung sicher zu betreiben.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Für sicherheitsrelevante Verarbeitungen ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

14. Anmeldung, Sessions und Geräteinformationen

Bei der Anmeldung und während der Nutzung der Anwendung werden Sitzungsdaten verarbeitet.

Dazu können gehören:

• Session-Token
• Nutzer-ID
• IP-Adresse
• User-Agent
• Browser- und Geräteinformationen
• Zeitpunkt der Anmeldung
• Ablaufzeitpunkt der Sitzung
• technische Sicherheitsinformationen

Diese Daten dienen der Authentifizierung, der Aufrechterhaltung der Sitzung, der Erkennung unbefugter Zugriffe, der Missbrauchsvermeidung und der Sicherheit der Anwendung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Sitzungsverwaltung zur Nutzung der Anwendung erforderlich ist. Für Sicherheitszwecke ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

Sitzungsdaten werden grundsätzlich gelöscht oder ungültig gemacht, wenn sie für die Anmeldung und Sicherheit nicht mehr erforderlich sind, insbesondere nach Ablauf der jeweiligen Sitzung oder nach Löschung des Benutzerkontos, soweit keine längere Speicherung aus Sicherheitsgründen erforderlich ist.

15. Anmeldung über Drittanbieter und OAuth

Soweit Nutzer sich über Drittanbieter oder organisationsbezogene Identitätsanbieter anmelden, zum Beispiel über Google, HiOrg-Server oder vergleichbare Dienste, werden Daten zwischen RettLog und dem jeweiligen Anbieter ausgetauscht.

Dabei können insbesondere folgende Daten verarbeitet werden:

• Anbieterkennung
• externe Nutzer-ID
• Name
• E-Mail-Adresse
• Profilbild
• Organisations- oder Gruppenzugehörigkeiten, soweit vom Anbieter übermittelt
• Access Tokens
• Refresh Tokens
• ID Tokens
• Ablaufzeiten von Tokens
• technische Metadaten der Anmeldung

Die Verarbeitung erfolgt, um die Anmeldung über den gewählten Anbieter zu ermöglichen, das Benutzerkonto zu verknüpfen, den Zugriff zu autorisieren und Organisationsmitgliedschaften oder Berechtigungen zu prüfen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit die Verknüpfung freiwillig erfolgt, kann zusätzlich Art. 6 Abs. 1 lit. a DSGVO Rechtsgrundlage sein. Sicherheitsrelevante Verarbeitungen erfolgen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

Für die Verarbeitung durch den jeweiligen Drittanbieter gelten zusätzlich dessen eigene Datenschutzinformationen.

16. Organisationen, Mitglieder, Rollen und Berechtigungen

RettLog ermöglicht die Verwaltung von Organisationen, Mitgliedern, Rollen und Berechtigungen.

Dabei können insbesondere folgende Daten verarbeitet werden:

• Organisation
• Mitgliedschaft in einer Organisation
• Name und E-Mail-Adresse des Mitglieds
• Rolle innerhalb der Organisation
• Berechtigungen
• Einladungsstatus
• Zeitpunkte von Erstellung, Änderung und Entfernung
• ausführender Nutzer bei Änderungen

Diese Daten werden verarbeitet, um organisationsbezogene Zugriffe zu ermöglichen, Berechtigungen durchzusetzen, Verantwortlichkeiten abzubilden und die Anwendung mandantenfähig zu betreiben.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Für Protokollierung, Zugriffsschutz und Missbrauchsvermeidung ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

17. Einladungsfunktion

Organisationen können Personen per E-Mail zur Nutzung von RettLog einladen.

Dabei können folgende Daten verarbeitet werden:

• E-Mail-Adresse der eingeladenen Person
• Rolle oder vorgesehene Berechtigung
• Organisation, zu der eingeladen wird
• Einladungsstatus
• Zeitpunkt der Einladung
• Ablaufzeitpunkt der Einladung
• einladender Nutzer

Die Verarbeitung erfolgt, um die Einladung zuzustellen, den Beitritt zur Organisation zu ermöglichen und Missbrauch zu verhindern.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Einladung im Zusammenhang mit einem bestehenden oder anzubahnenden Nutzungsverhältnis steht. Im Übrigen ist Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage. Unser berechtigtes Interesse liegt in der organisationsbezogenen Nutzerverwaltung und sicheren Einladung neuer Nutzer.

Einladungsdaten werden gelöscht oder anonymisiert, wenn sie für den Einladungsprozess nicht mehr erforderlich sind, insbesondere nach Ablauf, Annahme, Ablehnung oder Entfernung der Einladung, soweit keine längere Speicherung aus Sicherheits-, Nachweis- oder Missbrauchsgründen erforderlich ist.

18. Nutzung der RettLog-Anwendung

Innerhalb der RettLog-Anwendung können je nach Nutzung der Organisation verschiedene Inhalte verarbeitet werden. Dazu gehören insbesondere:

• Einheiten und Fahrzeuge
• Materiallisten
• Checklisten
• Prüf- und Kontrollvorgänge
• Aufgaben
• Kommentare
• Schadensmeldungen
• Statusänderungen
• Fristen und Ablaufdaten
• Standorte und Zuordnungen
• Anhänge und Bilder
• interne Notizen
• Historien und Änderungsdaten

Soweit diese Inhalte personenbezogene Daten enthalten, werden sie verarbeitet, um die jeweiligen Funktionen bereitzustellen, Arbeitsabläufe zu dokumentieren, Nachvollziehbarkeit herzustellen und die von der Organisation gewünschte Nutzung der Anwendung zu ermöglichen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung der vertraglich geschuldeten SaaS-Leistung erforderlich ist. Soweit die Verarbeitung der Nachvollziehbarkeit, Sicherheit, Dokumentation oder Missbrauchsvermeidung dient, ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

Soweit Organisationen personenbezogene Daten ihrer Beschäftigten, Mitglieder, Helfer, Ehrenamtlichen oder sonstigen Personen in RettLog eingeben, sind sie für die Rechtmäßigkeit dieser Eingabe und Nutzung verantwortlich, sofern RettLog insoweit als Auftragsverarbeiter tätig wird.

19. Checklisten, Abgaben und digitale Signaturen

RettLog ermöglicht das Ausfüllen, Abgeben und Dokumentieren von Checklisten.

Dabei können insbesondere folgende Daten verarbeitet werden:

• Name des ausführenden Nutzers
• Benutzerkonto oder Nutzer-ID
• eingegebener Name bei Nutzung ohne Registrierung
• digitale Signatur oder Namensangabe
• Zeitpunkt der Abgabe
• ausgefüllte Checklistenwerte
• Status der Checkliste
• zugeordnete Einheit, Fahrzeug oder Materialliste
• technische Metadaten der Abgabe

Diese Daten werden verarbeitet, um durchgeführte Prüfungen und Kontrollen nachvollziehbar zu dokumentieren, Verantwortlichkeiten abzubilden und Änderungen überprüfbar zu machen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Nutzung der Anwendung erforderlich ist. Soweit die Verarbeitung der Dokumentation, Nachvollziehbarkeit, Sicherheit oder Qualitätssicherung dient, ist Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

20. Nutzung ohne Registrierung, QR-Codes und Gastzugriffe

RettLog kann Funktionen bereitstellen, die auch ohne eigenes Benutzerkonto genutzt werden können, zum Beispiel über QR-Codes oder öffentlich zugängliche Organisationslinks.

Dabei können insbesondere folgende Daten verarbeitet werden:

• eingegebener Name
• Checklistenangaben
• Signatur oder Namensbestätigung
• Zeitpunkt der Nutzung
• technische Zugriffsdaten
• zugeordnete Einheit oder Checkliste
• gegebenenfalls Anhänge oder Kommentare

Auch wenn kein Benutzerkonto erstellt wird, können diese Daten personenbezogen sein, wenn sie einer Person zugeordnet werden können.

Die Verarbeitung erfolgt zur Durchführung und Dokumentation der jeweiligen Funktion, insbesondere zur Nachvollziehbarkeit von Checklisten, Prüfungen, Schadensmeldungen oder sonstigen Vorgängen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Nutzung zur Erfüllung der SaaS-Funktion erforderlich ist. Soweit die Verarbeitung der Dokumentation, Sicherheit oder Missbrauchsvermeidung dient, ist Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

21. Schadensmeldungen, Kommentare und Anhänge

RettLog kann die Meldung, Bearbeitung und Dokumentation von Schäden, Mängeln, Problemen oder sonstigen Vorgängen ermöglichen.

Dabei können insbesondere folgende Daten verarbeitet werden:

• Name oder Nutzerkonto der meldenden Person
• Inhalt der Meldung
• Kommentare
• Status der Meldung
• zuständige oder bearbeitende Personen
• Zeitpunkte von Erstellung und Änderung
• Anhänge, Fotos oder Dateien
• technische Metadaten

Nutzer und Organisationen sollten darauf achten, keine unnötigen personenbezogenen Daten, Gesundheitsdaten, Patientendaten oder besonders schutzwürdigen Informationen in Freitextfelder, Kommentare oder Anhänge einzugeben, soweit dies für den jeweiligen Zweck nicht erforderlich ist.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Für Nachvollziehbarkeit, IT-Sicherheit, Missbrauchsvermeidung und Rechtsdurchsetzung ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

22. Medizinprodukte, Prüfungen und Fristen

Soweit RettLog Funktionen zur Verwaltung von Medizinprodukten, Prüfungen, Fristen, Mängeln oder Wartungen bereitstellt, können personenbezogene Daten verarbeitet werden, wenn Personen als ausführende, meldende, prüfende, verantwortliche oder bearbeitende Personen erfasst werden.

Dabei können insbesondere folgende Daten verarbeitet werden:

• Name oder Nutzerkonto der ausführenden Person
• Prüf-, Wartungs- und Fristendaten
• Mängelmeldungen
• Bearbeitungsvermerke
• Statusänderungen
• Zeitpunkte und Historien
• Anhänge und Nachweise

Die Verarbeitung erfolgt zur Dokumentation, Nachvollziehbarkeit und Verwaltung der jeweiligen Vorgänge innerhalb der Organisation.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit gesetzliche Dokumentationspflichten der Organisation betroffen sind, kann zusätzlich Art. 6 Abs. 1 lit. c DSGVO einschlägig sein. Soweit RettLog insoweit als Auftragsverarbeiter tätig ist, liegt die Verantwortung für die konkrete Rechtsgrundlage bei der jeweiligen Organisation.

23. Audit-Logs und Änderungsprotokolle

RettLog protokolliert bestimmte sicherheits-, organisations- und funktionsrelevante Vorgänge in Audit-Logs.

Dazu können insbesondere gehören:

• Erstellung, Änderung und Löschung von Einheiten, Listen, Checklisten, Aufgaben, Schadensmeldungen, Kommentaren, Mitgliedschaften, Rollen und Berechtigungen
• ausführender Nutzer
• Name und E-Mail-Adresse des ausführenden Nutzers
• betroffene Nutzer oder Organisationen
• alte und neue Werte einer Änderung
• Zeitpunkte
• IP-Adresse
• User-Agent
• technische Metadaten

Audit-Logs dienen der Nachvollziehbarkeit von Änderungen, der IT-Sicherheit, der Missbrauchsvermeidung, der Aufklärung von Fehlern und Sicherheitsvorfällen, der Erfüllung von Dokumentationsanforderungen und der Verteidigung gegen unberechtigte Ansprüche.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherheit, Integrität und Nachvollziehbarkeit der Anwendung sowie in der Verhinderung und Aufklärung von Missbrauch. Soweit Audit-Logs zur Vertragserfüllung oder zur Bereitstellung ausdrücklich gewünschter Dokumentationsfunktionen erforderlich sind, ist zusätzlich Art. 6 Abs. 1 lit. b DSGVO Rechtsgrundlage.

Audit-Logs werden nur so lange gespeichert, wie dies für die genannten Zwecke erforderlich ist. Die konkrete Speicherdauer richtet sich nach Art des protokollierten Vorgangs, Sicherheitsrelevanz, vertraglichen Anforderungen und berechtigten Nachweisinteressen. Soweit möglich, werden Audit-Logs nach Ablauf der erforderlichen Frist gelöscht oder anonymisiert.

24. Administratorzugriffe und Support

In bestimmten Fällen kann ein administrativer Zugriff auf Organisationsdaten erforderlich sein, zum Beispiel zur Fehleranalyse, zur technischen Unterstützung, zur Sicherheitsprüfung oder zur Wiederherstellung der Funktionsfähigkeit.

Ein solcher Zugriff erfolgt nur, soweit dies erforderlich ist. Soweit möglich, erfolgt der Zugriff nach vorheriger Anfrage oder auf Veranlassung der betroffenen Organisation.

Sofern eine Funktion besteht, mit der Administratoren im Rahmen des Supports temporär die Ansicht oder Rolle eines Nutzers nachvollziehen können, wird diese Funktion nur zu Support-, Sicherheits- oder Fehleranalysezwecken verwendet und protokolliert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit der Zugriff zur Vertragserfüllung erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technischen Unterstützung, Fehlerbehebung und Sicherheit der Anwendung.

25. E-Mail-Kommunikation und System-E-Mails

Wir verwenden E-Mail-Kommunikation insbesondere für:

• Kontakt- und Demo-Anfragen
• Einladungen
• Registrierungs- und Verifizierungs-E-Mails
• Passwort- oder Login-bezogene Nachrichten
• sicherheitsrelevante Hinweise
• wichtige produkt- oder vertragsbezogene Informationen

Dabei können insbesondere Name, E-Mail-Adresse, Organisation, Inhalt der Nachricht, Versandzeitpunkt und technische Zustellinformationen verarbeitet werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Kommunikation zur Vertragsdurchführung oder Vertragsanbahnung erforderlich ist. Für sicherheitsrelevante und organisatorisch notwendige Benachrichtigungen ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

Soweit externe E-Mail-Dienstleister eingesetzt werden, erfolgt dies auf Grundlage eines Vertrags zur Auftragsverarbeitung. Der konkret eingesetzte Dienstleister wird in dieser Datenschutzerklärung ergänzt, sobald ein externer Versanddienst produktiv genutzt wird.

26. Datei-Uploads und Objekt-Speicher

Soweit Nutzer Dateien, Bilder oder Anhänge hochladen, können diese personenbezogene Daten enthalten.

Dabei können insbesondere verarbeitet werden:

• Dateiname
• Dateityp
• Dateigröße
• Inhalt der Datei
• hochladender Nutzer
• Zeitpunkt des Uploads
• zugeordneter Vorgang
• technische Metadaten

Die Verarbeitung erfolgt zur Bereitstellung der jeweiligen Upload- und Dokumentationsfunktion.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit Uploads zur Nachvollziehbarkeit, Sicherheit, Fehleranalyse oder Rechtsdurchsetzung gespeichert werden, ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

Nutzer und Organisationen sind dafür verantwortlich, keine unnötigen personenbezogenen, gesundheitsbezogenen oder besonders schutzwürdigen Daten hochzuladen, soweit dies für den jeweiligen Zweck nicht erforderlich ist.

27. Zahlungs- und Rechnungsdaten

Soweit kostenpflichtige Leistungen angeboten werden, können für Vertragsabschluss, Abrechnung und Zahlungsabwicklung personenbezogene Daten verarbeitet werden.

Dazu können gehören:

• Name
• Rechnungsanschrift
• E-Mail-Adresse
• Organisation
• Vertragsdaten
• Zahlungsstatus
• Rechnungsdaten
• steuerlich relevante Angaben

Soweit ein externer Zahlungsdienstleister eingesetzt wird, werden die hierfür erforderlichen Daten an diesen Zahlungsdienstleister übermittelt. Der konkrete Zahlungsdienstleister wird in dieser Datenschutzerklärung ergänzt, sobald ein Zahlungsdienst produktiv eingesetzt wird.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Für steuer- und handelsrechtliche Aufbewahrungspflichten ist Art. 6 Abs. 1 lit. c DSGVO Rechtsgrundlage.

28. Backups

Zur Sicherstellung der Verfügbarkeit, Wiederherstellbarkeit und Integrität unserer Systeme erstellen wir Backups.

Backups können personenbezogene Daten aus der Anwendung enthalten. Sie dienen ausschließlich der Wiederherstellung im Falle technischer Störungen, Sicherheitsvorfälle, Datenverluste oder sonstiger Betriebsprobleme.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherheit, Verfügbarkeit und Wiederherstellbarkeit der Anwendung. Soweit Backups zur Vertragserfüllung erforderlich sind, ist zusätzlich Art. 6 Abs. 1 lit. b DSGVO Rechtsgrundlage.

Backups werden geschützt gespeichert, nur berechtigten Personen zugänglich gemacht und nach einem festgelegten Löschkonzept gelöscht oder überschrieben.

29. Empfänger personenbezogener Daten

Personenbezogene Daten können an folgende Kategorien von Empfängern übermittelt werden:

• Hosting-Anbieter
• DNS-, CDN- und Sicherheitsdienstleister
• E-Mail-Dienstleister
• Zahlungsdienstleister, soweit eingesetzt
• Speicher- und Backup-Dienstleister
• technische Dienstleister und Support-Dienstleister
• Behörden, Gerichte oder Rechtsberater, soweit rechtlich erforderlich
• Organisationen, denen Nutzer zugeordnet sind oder die RettLog nutzen

Eine Übermittlung erfolgt nur, soweit dies für die genannten Zwecke erforderlich ist, eine Rechtsgrundlage besteht oder eine gesetzliche Verpflichtung vorliegt.

30. Auftragsverarbeitung

Soweit externe Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, schließen wir mit diesen Dienstleistern Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO.

Soweit RettLog personenbezogene Daten im Auftrag einer Kundenorganisation verarbeitet, wird mit der Kundenorganisation ein Vertrag zur Auftragsverarbeitung geschlossen. In diesem werden insbesondere Gegenstand, Dauer, Art und Zweck der Verarbeitung, Kategorien personenbezogener Daten, Kategorien betroffener Personen, technische und organisatorische Maßnahmen sowie Rechte und Pflichten der Parteien geregelt.

Weitere Informationen werden auf den Seiten Auftragsverarbeitung, Technische und organisatorische Maßnahmen und Unterauftragsverarbeiter bereitgestellt.

31. Drittlandübermittlungen

Eine Verarbeitung personenbezogener Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums kann insbesondere beim Einsatz von Cloudflare oder anderen internationalen Dienstleistern erfolgen.

Eine Drittlandübermittlung erfolgt nur, soweit hierfür eine geeignete Rechtsgrundlage besteht. Dies kann insbesondere ein Angemessenheitsbeschluss der Europäischen Kommission, eine Zertifizierung nach dem EU-U.S. Data Privacy Framework, Standardvertragsklauseln oder eine sonstige geeignete Garantie nach Art. 44 ff. DSGVO sein.

32. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist.

Die konkrete Speicherdauer richtet sich insbesondere nach:

• Art der Daten
• Zweck der Verarbeitung
• Vertragslaufzeit
• Einstellungen und Löschentscheidungen der jeweiligen Organisation
• gesetzlichen Aufbewahrungspflichten
• Sicherheits- und Nachweisinteressen
• berechtigten Interessen an Rechtsdurchsetzung oder Verteidigung

Benutzerkonten werden grundsätzlich gelöscht, wenn sie nicht mehr erforderlich sind oder eine Löschung verlangt wird und keine gesetzlichen oder berechtigten Gründe für eine weitere Speicherung bestehen.

Organisationsdaten werden grundsätzlich für die Dauer des Vertragsverhältnisses mit der jeweiligen Organisation gespeichert. Nach Vertragsende werden die Daten nach Ablauf einer angemessenen Export-, Sicherungs- und Abwicklungsfrist gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen entgegenstehen.

Technische Logdaten und Sicherheitsprotokolle werden grundsätzlich nur so lange gespeichert, wie dies für Betrieb, Sicherheit und Fehleranalyse erforderlich ist. Bei konkreten Sicherheitsvorfällen kann eine längere Speicherung erforderlich sein.

Backups werden nach einem festgelegten Backup- und Löschkonzept regelmäßig überschrieben oder gelöscht.

33. Sicherheit der Verarbeitung

Wir treffen technische und organisatorische Maßnahmen, um personenbezogene Daten gegen Verlust, Zerstörung, Veränderung, unbefugten Zugriff und unbefugte Offenlegung zu schützen.

Dazu gehören insbesondere:

• TLS-/SSL-Verschlüsselung
• Zugriffsbeschränkungen
• rollenbasierte Berechtigungen
• Trennung von Mandanten und Organisationen
• Protokollierung sicherheitsrelevanter Vorgänge
• Schutz administrativer Zugänge
• regelmäßige Updates
• Backups
• Monitoring und Fehleranalyse
• Schutz vor unbefugtem Zugriff auf Datenbanken und Server
• Beschränkung des Zugriffs auf personenbezogene Daten auf erforderliche Personen

Die Maßnahmen werden entsprechend dem Risiko, dem Stand der Technik und den organisatorischen Anforderungen weiterentwickelt.

34. Betroffenenrechte

Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen folgende Rechte:

• Recht auf Auskunft nach Art. 15 DSGVO
• Recht auf Berichtigung nach Art. 16 DSGVO
• Recht auf Löschung nach Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO
• Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
• Recht auf Widerspruch nach Art. 21 DSGVO
• Recht auf Widerruf einer Einwilligung nach Art. 7 Abs. 3 DSGVO
• Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde nach Art. 77 DSGVO

Zur Ausübung dieser Rechte können sich betroffene Personen jederzeit an contact@rettlog.de wenden.

Soweit RettLog personenbezogene Daten ausschließlich im Auftrag einer Organisation verarbeitet, leiten wir Betroffenenanfragen gegebenenfalls an die verantwortliche Organisation weiter oder stimmen die Bearbeitung mit dieser ab.

35. Widerspruchsrecht nach Art. 21 DSGVO

Wenn personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeitet werden, haben betroffene Personen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen.

Wir verarbeiten die betroffenen personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

36. Widerruf von Einwilligungen

Soweit eine Verarbeitung auf einer Einwilligung beruht, kann diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden.

Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt vom Widerruf unberührt.

37. Beschwerderecht bei der Aufsichtsbehörde

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

Zuständige Aufsichtsbehörde kann insbesondere sein:

Betroffene Personen können sich auch an jede andere zuständige Datenschutzaufsichtsbehörde wenden.

38. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

39. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Anforderungen, technische Funktionen, eingesetzte Dienstleister oder Datenverarbeitungen ändern.

Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.