From 18eb396b1e757b097df16bb75232a4f6f556ad60 Mon Sep 17 00:00:00 2001
From: Flux_bot <openclaw@kronos-soulution.de>
Date: Wed, 11 Feb 2026 10:01:44 +0000
Subject: [PATCH] feat: DSGVO Compliance Dokumentation
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

📋 Dokumente:
- DSGVO.md - Technische & organisatorische Maßnahmen
- privacy-policy.md - Datenschutzerklärung
- avv-template.md - Auftragsverarbeitungsvertrag

✅ Abgedeckt:
- Art. 15-22: Betroffenenrechte
- Art. 28: Auftragsverarbeitung
- Art. 30: Verarbeitungsverzeichnis
- Art. 32: Technische Maßnahmen

🔒 Löschkonzept inkludiert
---
 docs/DSGVO.md           | 173 ++++++++++++++++++++++++++++++++++++++++
 legal/avv-template.md   | 148 ++++++++++++++++++++++++++++++++++
 legal/privacy-policy.md | 107 +++++++++++++++++++++++++
 3 files changed, 428 insertions(+)
 create mode 100644 docs/DSGVO.md
 create mode 100644 legal/avv-template.md
 create mode 100644 legal/privacy-policy.md

diff --git a/docs/DSGVO.md b/docs/DSGVO.md
new file mode 100644
index 0000000..01c4c88
--- /dev/null
+++ b/docs/DSGVO.md
@@ -0,0 +1,173 @@
+# DSGVO Compliance - Pulse CRM
+
+## Übersicht
+
+Pulse CRM ist vollständig DSGVO-konform konzipiert. Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen (TOMs) sowie die Umsetzung der Betroffenenrechte.
+
+## Rechtsgrundlagen
+
+### Verarbeitung von Kundendaten (Art. 6 DSGVO)
+
+| Verarbeitung | Rechtsgrundlage | Artikel |
+|--------------|-----------------|---------|
+| Account-Erstellung | Vertragserfüllung | Art. 6(1)(b) |
+| CRM-Nutzung | Vertragserfüllung | Art. 6(1)(b) |
+| Support-Anfragen | Vertragserfüllung | Art. 6(1)(b) |
+| Rechnungsstellung | Rechtliche Pflicht | Art. 6(1)(c) |
+| Newsletter | Einwilligung | Art. 6(1)(a) |
+| Analytics | Berechtigtes Interesse | Art. 6(1)(f) |
+
+### Auftragsverarbeitung (Art. 28 DSGVO)
+
+Pulse CRM agiert als **Auftragsverarbeiter** für die Kundendaten der Nutzer. Kunden müssen einen AVV (Auftragsverarbeitungsvertrag) abschließen.
+
+## Betroffenenrechte (Art. 15-22)
+
+### Art. 15 - Auskunftsrecht
+
+**Implementation:**
+- Endpoint: `GET /api/v1/users/me/data-export`
+- Format: JSON oder CSV
+- Enthält: Alle personenbezogenen Daten des Nutzers
+- Frist: Automatisch, sofort abrufbar
+
+### Art. 16 - Recht auf Berichtigung
+
+**Implementation:**
+- Nutzer können ihre Daten jederzeit im Profil ändern
+- Endpoints: `PUT /api/v1/users/me`, `PUT /api/v1/contacts/:id`
+- Audit-Log dokumentiert alle Änderungen
+
+### Art. 17 - Recht auf Löschung ("Recht auf Vergessenwerden")
+
+**Implementation:**
+- Endpoint: `DELETE /api/v1/users/me` (Account-Löschung)
+- Endpoint: `DELETE /api/v1/contacts/:id` (Kontakt-Löschung)
+- Soft-Delete mit 30 Tagen Wiederherstellungsfrist
+- Endgültige Löschung nach 30 Tagen
+- Ausnahme: Gesetzliche Aufbewahrungspflichten (z.B. Rechnungen 10 Jahre)
+
+### Art. 18 - Recht auf Einschränkung
+
+**Implementation:**
+- Endpoint: `PUT /api/v1/contacts/:id/restrict`
+- Markiert Datensatz als "restricted"
+- Daten werden nur noch gespeichert, nicht verarbeitet
+
+### Art. 20 - Recht auf Datenübertragbarkeit
+
+**Implementation:**
+- Endpoint: `GET /api/v1/users/me/data-export?format=json`
+- Maschinenlesbares Format (JSON)
+- Enthält alle vom Nutzer bereitgestellten Daten
+
+### Art. 21 - Widerspruchsrecht
+
+**Implementation:**
+- Abmeldung von Marketing-E-Mails per Klick
+- Endpoint: `POST /api/v1/users/me/opt-out`
+
+## Technische Maßnahmen (Art. 32)
+
+### Verschlüsselung
+
+| Bereich | Methode |
+|---------|---------|
+| Transit | TLS 1.3 |
+| Passwörter | Argon2id |
+| Datenbank | AES-256 (at rest) |
+| Backups | AES-256 |
+
+### Zugangskontrolle
+
+- JWT-basierte Authentifizierung
+- Rollenbasierte Autorisierung (RBAC)
+- Automatische Session-Timeout (15 min Inaktivität)
+- Optional: 2-Faktor-Authentifizierung
+
+### Protokollierung
+
+```typescript
+// Audit Log Schema
+{
+  id: string,
+  timestamp: Date,
+  userId: string,
+  orgId: string,
+  action: "CREATE" | "READ" | "UPDATE" | "DELETE",
+  entity: "contact" | "deal" | "user" | ...,
+  entityId: string,
+  changes: {
+    before: object,
+    after: object
+  },
+  ipAddress: string,
+  userAgent: string
+}
+```
+
+### Datensicherung
+
+- Tägliche automatische Backups
+- Aufbewahrung: 30 Tage
+- Standort: Hetzner Deutschland
+- Verschlüsselt (AES-256)
+
+## Organisatorische Maßnahmen
+
+### Hosting
+
+- **Anbieter:** Hetzner Online GmbH
+- **Standort:** Falkenstein/Nürnberg, Deutschland
+- **Zertifizierungen:** ISO 27001
+- **AVV:** Mit Hetzner abgeschlossen
+
+### Mitarbeiterschulung
+
+- Alle Entwickler: DSGVO-Schulung
+- Dokumentierte Verpflichtung auf Datengeheimnis
+
+### Datenschutzbeauftragter
+
+Bei Bedarf kann ein externer DSB benannt werden.
+
+## Verarbeitungsverzeichnis (Art. 30)
+
+### Verarbeitungstätigkeit: CRM-System
+
+| Feld | Inhalt |
+|------|--------|
+| Verantwortlicher | [Kunde] |
+| Auftragsverarbeiter | Pulse CRM / Kronos Solution |
+| Zweck | Kundenbeziehungsmanagement |
+| Kategorien Betroffener | Kunden, Interessenten, Ansprechpartner |
+| Kategorien Daten | Kontaktdaten, Kommunikationshistorie, Geschäftsdaten |
+| Empfänger | Keine Weitergabe an Dritte |
+| Drittlandtransfer | Keiner (nur EU/DE) |
+| Löschfristen | Nach Vertragsende oder auf Anfrage |
+| TOMs | Siehe oben |
+
+## Löschkonzept
+
+| Datenart | Aufbewahrung | Löschung |
+|----------|--------------|----------|
+| Account-Daten | Während Vertrag | 30 Tage nach Kündigung |
+| Kontakte | Während Vertrag | Auf Anfrage oder nach Vertrag |
+| Aktivitäten | 2 Jahre | Automatisch nach 2 Jahren |
+| Audit-Logs | 1 Jahr | Automatisch nach 1 Jahr |
+| Rechnungen | 10 Jahre | Nach gesetzlicher Frist |
+| Backups | 30 Tage | Automatisch nach 30 Tagen |
+
+## Datenschutzerklärung (Vorlage)
+
+Siehe: `/legal/privacy-policy.md`
+
+## AVV-Vorlage
+
+Siehe: `/legal/avv-template.md`
+
+## Kontakt
+
+Bei Datenschutzanfragen:
+- E-Mail: datenschutz@kronos-soulution.de
+- Adresse: [Firmenadresse]
diff --git a/legal/avv-template.md b/legal/avv-template.md
new file mode 100644
index 0000000..7ccd6cb
--- /dev/null
+++ b/legal/avv-template.md
@@ -0,0 +1,148 @@
+# Auftragsverarbeitungsvertrag (AVV)
+
+gemäß Art. 28 DSGVO
+
+## Zwischen
+
+**Auftraggeber (Verantwortlicher):**  
+[Kunde]  
+[Adresse]  
+(nachfolgend "Auftraggeber")
+
+**und**
+
+**Auftragnehmer (Auftragsverarbeiter):**  
+Kronos Solution  
+[Adresse]  
+(nachfolgend "Auftragnehmer")
+
+---
+
+## § 1 Gegenstand und Dauer
+
+(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung von **Pulse CRM**.
+
+(2) Die Dauer richtet sich nach der Laufzeit des Hauptvertrags (Nutzungsvertrag Pulse CRM).
+
+## § 2 Art und Zweck der Verarbeitung
+
+**Zweck:** Customer Relationship Management (Verwaltung von Kontakten, Deals, Aktivitäten)
+
+**Art der Verarbeitung:**
+- Speicherung
+- Abruf
+- Änderung
+- Löschung
+
+## § 3 Art der Daten
+
+- Kontaktdaten (Name, E-Mail, Telefon, Adresse)
+- Firmendaten
+- Kommunikationshistorie
+- Geschäftliche Informationen (Deals, Notizen)
+
+## § 4 Kategorien betroffener Personen
+
+- Kunden des Auftraggebers
+- Interessenten
+- Ansprechpartner bei Geschäftspartnern
+
+## § 5 Pflichten des Auftragnehmers
+
+(1) Der Auftragnehmer verarbeitet die Daten nur gemäß den Weisungen des Auftraggebers.
+
+(2) Der Auftragnehmer gewährleistet:
+- Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)
+- Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
+- Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO)
+- Unterstützung bei Datenschutz-Folgenabschätzung (Art. 28 Abs. 3 lit. f DSGVO)
+- Löschung nach Auftragsende (Art. 28 Abs. 3 lit. g DSGVO)
+- Nachweise und Audits (Art. 28 Abs. 3 lit. h DSGVO)
+
+## § 6 Unterauftragnehmer
+
+Der Auftragnehmer setzt folgende Unterauftragnehmer ein:
+
+| Unterauftragnehmer | Leistung | Standort |
+|--------------------|----------|----------|
+| Hetzner Online GmbH | Hosting | Deutschland |
+| Resend Inc. | E-Mail-Versand | EU |
+
+Änderungen werden dem Auftraggeber mitgeteilt.
+
+## § 7 Technische und organisatorische Maßnahmen
+
+Der Auftragnehmer hat folgende Maßnahmen implementiert:
+
+### Vertraulichkeit
+- Zugangs- und Zutrittskontrolle
+- Berechtigungskonzept (RBAC)
+- Verschlüsselung (TLS 1.3, AES-256)
+
+### Integrität
+- Eingabekontrolle (Audit-Logs)
+- Weitergabekontrolle
+
+### Verfügbarkeit
+- Backup-Konzept
+- Wiederherstellbarkeit
+
+### Belastbarkeit
+- DDoS-Schutz
+- Redundante Systeme
+
+## § 8 Kontrollrechte
+
+Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrags zu überprüfen:
+- Durch schriftliche Auskünfte
+- Durch Vor-Ort-Audits (mit Ankündigung)
+- Durch Zertifikate und Berichte
+
+## § 9 Mitteilungspflichten
+
+Der Auftragnehmer informiert den Auftraggeber unverzüglich bei:
+- Datenschutzverletzungen (Art. 33 DSGVO)
+- Änderungen bei Unterauftragnehmern
+- Anfragen von Betroffenen
+- Anfragen von Behörden
+
+## § 10 Beendigung
+
+Nach Beendigung des Hauptvertrags:
+- Löschung aller Daten innerhalb von 30 Tagen
+- Auf Wunsch: Datenexport vor Löschung
+- Nachweis der Löschung auf Anfrage
+
+## § 11 Schlussbestimmungen
+
+(1) Dieser Vertrag unterliegt deutschem Recht.
+
+(2) Änderungen bedürfen der Schriftform.
+
+(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.
+
+---
+
+**Auftraggeber:**
+
+Ort, Datum: _____________________
+
+Unterschrift: _____________________
+
+Name: _____________________
+
+---
+
+**Auftragnehmer:**
+
+Ort, Datum: _____________________
+
+Unterschrift: _____________________
+
+Name: _____________________
+
+---
+
+## Anlage 1: Technische und organisatorische Maßnahmen (TOM)
+
+Siehe: `/docs/DSGVO.md` Abschnitt "Technische Maßnahmen"
diff --git a/legal/privacy-policy.md b/legal/privacy-policy.md
new file mode 100644
index 0000000..9d13eb0
--- /dev/null
+++ b/legal/privacy-policy.md
@@ -0,0 +1,107 @@
+# Datenschutzerklärung - Pulse CRM
+
+*Stand: Februar 2026*
+
+## 1. Verantwortlicher
+
+Kronos Solution  
+[Adresse]  
+E-Mail: datenschutz@kronos-soulution.de
+
+## 2. Welche Daten wir erheben
+
+### 2.1 Account-Daten
+- Name, E-Mail-Adresse
+- Unternehmensdaten
+- Passwort (verschlüsselt gespeichert)
+
+### 2.2 Nutzungsdaten
+- IP-Adresse (anonymisiert nach 7 Tagen)
+- Browser und Geräteinformationen
+- Zugriffszeitpunkte
+
+### 2.3 CRM-Daten (von Ihnen eingegeben)
+- Kontakte und Firmen
+- Deals und Pipeline-Daten
+- Aktivitäten und Notizen
+
+## 3. Rechtsgrundlage
+
+- **Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO):** Für die Bereitstellung unserer Dienste
+- **Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO):** Für Sicherheit und Verbesserung
+- **Einwilligung (Art. 6 Abs. 1 lit. a DSGVO):** Für Marketing-Kommunikation
+
+## 4. Auftragsverarbeitung
+
+Pulse CRM verarbeitet CRM-Daten in Ihrem Auftrag. Sie bleiben Verantwortlicher für diese Daten. Ein Auftragsverarbeitungsvertrag (AVV) ist erforderlich.
+
+## 5. Datenspeicherung
+
+- **Standort:** Deutschland (Hetzner Cloud, Falkenstein)
+- **Verschlüsselung:** TLS 1.3 (Transport), AES-256 (Speicherung)
+- **Backups:** Täglich, 30 Tage Aufbewahrung
+
+## 6. Ihre Rechte
+
+Sie haben das Recht auf:
+
+- **Auskunft** über Ihre gespeicherten Daten (Art. 15 DSGVO)
+- **Berichtigung** unrichtiger Daten (Art. 16 DSGVO)
+- **Löschung** Ihrer Daten (Art. 17 DSGVO)
+- **Einschränkung** der Verarbeitung (Art. 18 DSGVO)
+- **Datenübertragbarkeit** (Art. 20 DSGVO)
+- **Widerspruch** gegen die Verarbeitung (Art. 21 DSGVO)
+
+### So üben Sie Ihre Rechte aus:
+
+1. In der App unter "Einstellungen" > "Datenschutz"
+2. Per E-Mail an datenschutz@kronos-soulution.de
+3. Datenexport: Einstellungen > "Meine Daten exportieren"
+
+## 7. Datenübermittlung
+
+Wir übermitteln Ihre Daten **nicht** in Drittländer außerhalb der EU.
+
+### Unterauftragnehmer:
+- Hetzner Online GmbH (Hosting, Deutschland)
+- Resend (E-Mail-Versand, EU)
+
+## 8. Speicherdauer
+
+| Datenart | Speicherdauer |
+|----------|---------------|
+| Account-Daten | Bis Löschung des Accounts + 30 Tage |
+| CRM-Daten | Bis Löschung durch Nutzer |
+| Log-Daten | 1 Jahr |
+| Rechnungsdaten | 10 Jahre (gesetzliche Pflicht) |
+
+## 9. Sicherheitsmaßnahmen
+
+- Verschlüsselung aller Datenübertragungen
+- Regelmäßige Sicherheitsaudits
+- Zugangskontrolle mit 2-Faktor-Authentifizierung
+- Automatische Sicherheits-Updates
+
+## 10. Cookies
+
+Wir verwenden nur technisch notwendige Cookies:
+
+| Cookie | Zweck | Dauer |
+|--------|-------|-------|
+| session_id | Authentifizierung | Session |
+| locale | Spracheinstellung | 1 Jahr |
+
+## 11. Änderungen
+
+Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version finden Sie immer unter dieser URL.
+
+## 12. Beschwerderecht
+
+Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
+
+## 13. Kontakt
+
+Bei Fragen zum Datenschutz:
+
+Kronos Solution  
+E-Mail: datenschutz@kronos-soulution.de