Verantwortliche Stelle

David Jacob
Nordring 4, 91338 Igensdorf
E-Mail: [email protected]
Telefon: 0156 79785878

Zwecke und Rechtsgrundlagen

• Bereitstellung, Stabilität und Sicherheit der Anwendung: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
• Authentifizierung, Sitzungsverwaltung und Zugriffskontrolle: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.
• Bearbeitung hochgeladener Dokumente und Anhänge im Rahmen der vereinbarten Zusammenarbeit: Art. 6 Abs. 1 lit. b DSGVO.
• Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten: Art. 6 Abs. 1 lit. c DSGVO.

Verarbeitete Daten

• Benutzerkennung (E-Mail-Adresse) und gehashtes Passwort (PBKDF2-SHA256).
• Sitzungsdaten in einem signierten Cookie (HttpOnly, SameSite=Lax, in Produktion mit Secure-Flag).
• Hochgeladene Dokumente sowie Metadaten (Titel, Beschreibung, Tags, Zeitstempel, Ersteller).
• Technische Protokolldaten zur Anmeldung (IP-Adresse, Zeitpunkt, Erfolg/Fehlschlag) zur Erkennung und Abwehr von Missbrauch.

Hosting, Cloudflare und Drittlandübermittlung

Die Anwendung wird auf einer eigenen Hardware am Standort der verantwortlichen Stelle betrieben (Raspberry Pi 4). Die Auslieferung erfolgt über einen Cloudflare Tunnel; Cloudflare verarbeitet dabei technisch erforderliche Daten (z. B. IP-Adresse, Zeitstempel, aufgerufene Pfade, Browsertyp, Betriebssystem) zur Auslieferung, Fehleranalyse und Abwehr von Angriffen.

Mit Cloudflare besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Cloudflare ist ein international tätiger Anbieter; eine Verarbeitung in Drittländern (insbesondere USA) kann nicht ausgeschlossen werden. Solche Übermittlungen erfolgen unter den Voraussetzungen der Art. 44 ff. DSGVO, insbesondere auf Grundlage von EU-Standardvertragsklauseln sowie - soweit anwendbar - auf Basis einer Zertifizierung nach dem EU-U.S. Data Privacy Framework.

Cookies

Es werden ausschließlich technisch erforderliche Cookies (Session-Cookie, CSRF-Token) verwendet. Diese Verarbeitung ist nach § 25 Abs. 2 Nr. 2 TDDDG (vormals TTDSG) zulässig, eine Einwilligung ist nicht erforderlich. Es werden keine Marketing-, Tracking- oder Analyse-Cookies gesetzt; es werden keine Drittanbieter-Schriften, -Skripte oder -Bibliotheken nachgeladen.

Cloudflare kann zusätzlich technisch notwendige Sicherheits-Cookies setzen (z. B. __cf_bm, cf_clearance) zur Bot- und Missbrauchserkennung.

Speicherdauer

• Benutzerkonten: bis zur Sperrung oder Löschung durch die verantwortliche Stelle bzw. den Nutzer.
• Sitzungs-Cookies: maximal 1 Stunde bzw. bis zur Abmeldung.
• Dokumente und Anhänge: gemäß individueller Vereinbarung und gesetzlicher Aufbewahrungsfristen.
• Login-Protokolle: kurzfristig zur Missbrauchsabwehr (in der Regel maximal 30 Tage).

Rechte der betroffenen Personen

Sie haben nach Maßgabe der Art. 15 bis 21 DSGVO das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten. Außerdem haben Sie gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde. Zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, www.lda.bayern.de.

Sicherheitsmaßnahmen

• TLS-/SSL-Verschlüsselung der Verbindung über Cloudflare Tunnel.
• Passwortspeicherung als Hash (PBKDF2-SHA256, 600.000 Iterationen).
• Sitzungs-Cookies mit HttpOnly, SameSite=Lax und Secure-Flag (in Produktion).
• CSRF-Schutz für alle zustandsverändernden Anfragen.
• Schutz gegen Brute-Force-Angriffe durch IP-basierte Sperre nach mehreren Fehlversuchen.
• Strenge HTTP-Sicherheits-Header (Content-Security-Policy, X-Frame-Options, HSTS, Referrer-Policy, Permissions-Policy).