Datenschutzerklaerung
Stand: 04.05.2026
1. Verantwortlicher
Verantwortlich fuer die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:
KassenKompass GmbH
Wendenstraße 130
20537 Hamburg
Deutschland
Telefon: +49 157 38228846
E-Mail: [email protected]
2. Datenschutzbeauftragter
heyData GmbH
Schützenstraße 5
10117 Berlin
E-Mail: [email protected]
3. Zweck der Anwendung
„Konzeptberatung" ist ein internes Backoffice-Werkzeug der KassenKompass GmbH zur Pflege von Beratungsstrecken (Fragebaeume, Konten, Tarife) fuer das KassenKompass-Vermittler-Tool. Die Nutzung ist auf authentifizierte Mitarbeiter beschraenkt.
4. Verarbeitete personenbezogene Daten
| Daten | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| E-Mail-Adresse | Login | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) / Art. 6 Abs. 1 lit. f (Mitarbeiter-Zugang) | Bis zur Account-Loeschung |
| Benutzername | Anzeige im Backoffice | Art. 6 Abs. 1 lit. b DSGVO | Bis zur Account-Loeschung |
| Passwort (gehasht, PBKDF2-SHA256) | Authentifizierung | Art. 6 Abs. 1 lit. b DSGVO | Bis zur Account-Loeschung |
| Rollen-Flags (admin, backoffice) | Zugriffskontrolle | Art. 6 Abs. 1 lit. b DSGVO | Bis zur Account-Loeschung |
| IP-Adresse (in Server-Logs) | Sicherheit, Angriffsabwehr | Art. 6 Abs. 1 lit. f DSGVO (berechtigt. Interesse) | Maximal 14 Tage (logrotate) |
| Session-Cookie (signiert, HttpOnly, Secure, SameSite=Lax) | Login-State | Art. 6 Abs. 1 lit. b DSGVO | Browser-Session |
Es werden keine Adresse, Geburtsdatum, Telefon, Bankdaten, Gesundheitsdaten oder besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) der Mitarbeiter verarbeitet.
5. Hosting und Daten-Empfaenger
- Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — Hosting der Anwendung und der eigenen Datenbank (Server-Standort: Deutschland). Auftragsverarbeitungs-Vertrag liegt vor.
- Hetzner Online GmbH — Hosting der KKB-Datenbank (Stammdaten der Beratungsstrecken). Verbindung TLS-verschluesselt.
- Let's Encrypt (Internet Security Research Group) — TLS-Zertifikat fuer die HTTPS-Verbindung.
Es findet keine Datenuebermittlung in Drittlaender (auch nicht in die USA) statt. Es werden keine Tracker, Analytics-Dienste oder externen CDNs eingebunden — Schriftarten, JavaScript-Libraries und CSS sind selbst-gehostet (DSGVO-konform laut LG Muenchen I, 20.01.2022 — 3 O 17493/20).
6. Cookies
Die Anwendung setzt ausschliesslich technisch notwendige Session-Cookies
(Login-State, CSRF-Schutz). Diese werden mit den Flags
Secure, HttpOnly und SameSite=Lax
gesetzt. Keine Tracking- oder Werbe-Cookies. Eine Einwilligung ist nicht
erforderlich (§25 Abs. 2 Nr. 2 TTDSG / TDDDG).
7. Datensicherheit (Art. 32 DSGVO)
- TLS-Verschluesselung (HTTPS) fuer den gesamten Datenverkehr
- HSTS-Header (Strict-Transport-Security) erzwingt HTTPS
- Content-Security-Policy gegen XSS
- Passwoerter mit PBKDF2-SHA256 gehasht (kein md5/sha1)
- Server-Konfigurationsdaten und DB-Zugaenge verschluesselt (dotenvx)
- Rate-Limiting auf Login-Route (Brute-Force-Schutz)
- Open-Redirect- und CSRF-Schutz
- Zugriff nur fuer authentifizierte Mitarbeiter mit zugewiesener Rolle
8. Ihre Rechte
Sie haben gegenueber dem Verantwortlichen folgende Rechte:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Loeschung (Art. 17 DSGVO)
- Recht auf Einschraenkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenuebertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)
Zur Geltendmachung wenden Sie sich an den Verantwortlichen oder den Datenschutzbeauftragten unter den oben genannten Kontaktdaten. Sie haben ausserdem das Recht auf Beschwerde bei der zustaendigen Aufsichtsbehoerde (Art. 77 DSGVO) — fuer KassenKompass GmbH: Hamburgischer Beauftragter fuer Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg.