Datenschutzerklärung

Unsere Datenschutzprinzipien

• Wir bemühen uns, nur die Daten zu sammeln, die wir tatsächlich für die Bereitstellung unserer Services benötigen.
• Wir betreiben für unsere Zwecke eine eigene Cloud zum verschlüsselten Austausch von Daten im Betrieb.
• Unsichere Kommunikation (z. B. per E-Mail) wird so bald wie möglich auf sichere Kommunikationsmittel (z. B. eigene Cloud / verschlüsselte Chats) umgeleitet.
• Alle mobilen Festplatten sind verschlüsselt. Unverschlüsselte USB-Sticks werden nur sparsam und nur für öffentliche Daten eingesetzt (z. B. für Vorträge, Präsentationen, Gerätetreiber).
• Alle mobilen Endgeräte sind, soweit technisch möglich, verschlüsselt. Jedenfalls sind alle Datenträger, auf denen Daten systematisch gespeichert werden, verschlüsselt.
• Einrichtungen, die sich aus technischen Gründen nicht verschlüsseln lassen, sind außerhalb der von Betriebsfremden zugänglichen Bereiche versperrt.
• Coordinated Vulnerability Disclosure (CVD) / Sicherheitslücke melden

Sammlung

Ihre Daten werden von unseren Mitarbeiter:innen persönlich oder von Ihnen über dieses Portal erfasst.

Speicherung

Im Aktivsystem sind die Daten auf von uns kontrollierten Servern gespeichert.

In unseren Archivsystemen sind Ihre Daten auf verschlüsselten Festplatten und versperrten Servern gespeichert, auf die Mitarbeiter:innen im Regelbetrieb keinen direkten Zugriff haben.

Zugriff und Nutzung

Unsere Mitarbeiter:innen können über zugriffsgeschützte, zwei-faktor-authentifizierte Portaloberflächen auf Ihre Daten zugreifen.

Löschung und Archiv

Aus dem Aktivsystem werden Ihre Daten jederzeit auf Anfrage gelöscht. Ihre Daten werden automatisch gelöscht, wenn Sie Ihren Account bei uns schließen.

In den Archivsystemen werden Ihre Daten bis zu 10 Jahre aufbewahrt (siehe unten). Ihre individuellen Daten können aus (Datenbank-)Sicherungen aufgrund technischer Einschränkungen nicht gelöscht werden. Ausschließlich benannte Personen des Verantwortlichen und der Datenverarbeiter, mit speziellen Berechtigungen und nachdem diese eine interne Datenschutzschulung absolviert haben, können auf diese Sicherungen zugreifen.

Sicherungen werden ausschließlich genutzt, um Dienste wiederherzustellen, Fehler zu finden oder um Daten für zumutbare und rechtsgültige Anfragen durch Gerichte und Behörden bereitzustellen. Keinesfalls werden Sicherungen genutzt, um Marketinganalysen durchzuführen oder um Daten wiederherzustellen, die Sie gelöscht haben wollten.

Wenn Daten an Gerichte und Behörden übermittelt werden, geschieht dies nur in Rücksprache mit unserem Datenschutzbeauftragten. Sofern es uns nicht gesetzlich verboten ist, werden wir Sie zuvor kontaktieren, um Sie über diese Datenweitergabe zu informieren.

• Datenbanksicherungen des Portals: bis zu 10 Jahre
• Rechnungsdaten: bis zu 10 Jahre
• Log-Files des Portals: bis zu 90 Tage
• IP-Adressen erfolgreicher und fehlgeschlagener Anmeldeversuche: bis zu 90 Tage
• Browser-Plattformen, -Namen und -Versionen bei Anmeldeversuchen: bis zu 90 Tage
• Sonstige Sicherungen des Portals: bis zu 90 Tage

Datenweitergabe innerhalb von EU-Mitgliedsstaaten

Ihre Daten werden von uns zu folgenden Zwecken weitergegeben:

• Kommunikation (z. B. Post, E-Mail, Telefon)
• Vertragserfüllung (z. B. Bankverbindung)
• Auf zumutbare und rechtsgültige gerichtliche oder amtliche Aufforderung

Wenn Daten an Gerichte und Behörden übermittelt werden, geschieht dies nur in Rücksprache mit unserem Datenschutzbeauftragten. Sofern es uns nicht gesetzlich verboten ist, werden wir Sie zuvor kontaktieren, um Sie über diese Datenweitergabe zu informieren.

Datenweitergabe zu Drittstaaten

Es findet keine geplante Weitergabe Ihrer Daten an Drittstaaten oder internationale Organisationen statt. Ausnahmen sind Ihre persönlichen Anforderungen (z. B. Kontaktadresse im EU-Ausland).

Cookies und externe Dienste

Diese Onlineanwendung nutzt Cookies, Cloudflare und hCaptcha, um Funktionen bereitzustellen, den Service zu verbessern und das Portal vor Angriffen zu schützen.

Beim Besuch unseres Portals werden folgende Cookies gesetzt, die für den Betrieb notwendig sind:

• XSRF-TOKEN: Bekämpfung von Cross-Site-Request-Forgery.
• laravel_token: Unterstützung bei Cross-Site-Request-Forgery.
• portal_name_session: Sichere, verschlüsselte Speicherung Ihrer aktuellen Sitzungsdaten.
• remember_web_Zufallszeichen: Wird gesetzt, wenn Sie „Dauerhaft anmelden“ aktivieren.
• browser_authentication: Reduziert CAPTCHA-Anfragen im aktuellen Browser.

Im Bedarfsfall:
Cloudflare: Abwehr von DDoS-Angriffen bei sensiblen Diensten.
hCaptcha: Diese Cookies werden beim Anzeigen eines Anmeldeformulars gesetzt und schützen vor automatisierten Passwortangriffen.
Vimeo & YouTube: Setzen Cookies, wenn Video-Inhalte geladen werden.
__stripe_mid: Betrugsprävention durch Stripe.
Matomo: Für Analyse-Cookies, um anonyme Besucher-Statistiken zu ermöglichen (Details bei Matomo).

Tipps für Privatsphäre beim Browsen

Um Tracking-Cookies zu blockieren, empfehlen wir die Verwendung von DuckDuckGo (App und Browser-Erweiterung) oder der Privacy Badger-Erweiterung, die auf Wunsch „Do Not Track“ sendet. Ein externes DNT-Signal kann jedoch zu eingeschränkter Funktionalität führen.

Ihre Einstellungen