Flux_bot/pulse-crm-backend
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat: DSGVO Compliance Dokumentation

Browse Source 
📋 Dokumente:
- DSGVO.md - Technische & organisatorische Maßnahmen
- privacy-policy.md - Datenschutzerklärung
- avv-template.md - Auftragsverarbeitungsvertrag

 Abgedeckt:
- Art. 15-22: Betroffenenrechte
- Art. 28: Auftragsverarbeitung
- Art. 30: Verarbeitungsverzeichnis
- Art. 32: Technische Maßnahmen

🔒 Löschkonzept inkludiert
This commit is contained in:
Flux_bot
2026-02-11 10:01:44 +00:00
parent d9e4539dd6
commit 18eb396b1e
3 changed files with 428 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

173
docs/DSGVO.md Normal file
View File

@@ -0,0 +1,173 @@
# DSGVO Compliance - Pulse CRM
## Übersicht
Pulse CRM ist vollständig DSGVO-konform konzipiert. Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen (TOMs) sowie die Umsetzung der Betroffenenrechte.
## Rechtsgrundlagen
### Verarbeitung von Kundendaten (Art. 6 DSGVO)
| Verarbeitung | Rechtsgrundlage | Artikel |
|--------------|-----------------|---------|
| Account-Erstellung | Vertragserfüllung | Art. 6(1)(b) |
| CRM-Nutzung | Vertragserfüllung | Art. 6(1)(b) |
| Support-Anfragen | Vertragserfüllung | Art. 6(1)(b) |
| Rechnungsstellung | Rechtliche Pflicht | Art. 6(1)(c) |
| Newsletter | Einwilligung | Art. 6(1)(a) |
| Analytics | Berechtigtes Interesse | Art. 6(1)(f) |
### Auftragsverarbeitung (Art. 28 DSGVO)
Pulse CRM agiert als **Auftragsverarbeiter** für die Kundendaten der Nutzer. Kunden müssen einen AVV (Auftragsverarbeitungsvertrag) abschließen.
## Betroffenenrechte (Art. 15-22)
### Art. 15 - Auskunftsrecht
**Implementation:**
- Endpoint: `GET /api/v1/users/me/data-export`
- Format: JSON oder CSV
- Enthält: Alle personenbezogenen Daten des Nutzers
- Frist: Automatisch, sofort abrufbar
### Art. 16 - Recht auf Berichtigung
**Implementation:**
- Nutzer können ihre Daten jederzeit im Profil ändern
- Endpoints: `PUT /api/v1/users/me`, `PUT /api/v1/contacts/:id`
- Audit-Log dokumentiert alle Änderungen
### Art. 17 - Recht auf Löschung ("Recht auf Vergessenwerden")
**Implementation:**
- Endpoint: `DELETE /api/v1/users/me` (Account-Löschung)
- Endpoint: `DELETE /api/v1/contacts/:id` (Kontakt-Löschung)
- Soft-Delete mit 30 Tagen Wiederherstellungsfrist
- Endgültige Löschung nach 30 Tagen
- Ausnahme: Gesetzliche Aufbewahrungspflichten (z.B. Rechnungen 10 Jahre)
### Art. 18 - Recht auf Einschränkung
**Implementation:**
- Endpoint: `PUT /api/v1/contacts/:id/restrict`
- Markiert Datensatz als "restricted"
- Daten werden nur noch gespeichert, nicht verarbeitet
### Art. 20 - Recht auf Datenübertragbarkeit
**Implementation:**
- Endpoint: `GET /api/v1/users/me/data-export?format=json`
- Maschinenlesbares Format (JSON)
- Enthält alle vom Nutzer bereitgestellten Daten
### Art. 21 - Widerspruchsrecht
**Implementation:**
- Abmeldung von Marketing-E-Mails per Klick
- Endpoint: `POST /api/v1/users/me/opt-out`
## Technische Maßnahmen (Art. 32)
### Verschlüsselung
| Bereich | Methode |
|---------|---------|
| Transit | TLS 1.3 |
| Passwörter | Argon2id |
| Datenbank | AES-256 (at rest) |
| Backups | AES-256 |
### Zugangskontrolle
- JWT-basierte Authentifizierung
- Rollenbasierte Autorisierung (RBAC)
- Automatische Session-Timeout (15 min Inaktivität)
- Optional: 2-Faktor-Authentifizierung
### Protokollierung
```typescript
// Audit Log Schema
{
id: string,
timestamp: Date,
userId: string,
orgId: string,
action: "CREATE" | "READ" | "UPDATE" | "DELETE",
entity: "contact" | "deal" | "user" | ...,
entityId: string,
changes: {
before: object,
after: object
},
ipAddress: string,
userAgent: string
}
```
### Datensicherung
- Tägliche automatische Backups
- Aufbewahrung: 30 Tage
- Standort: Hetzner Deutschland
- Verschlüsselt (AES-256)
## Organisatorische Maßnahmen
### Hosting
- **Anbieter:** Hetzner Online GmbH
- **Standort:** Falkenstein/Nürnberg, Deutschland
- **Zertifizierungen:** ISO 27001
- **AVV:** Mit Hetzner abgeschlossen
### Mitarbeiterschulung
- Alle Entwickler: DSGVO-Schulung
- Dokumentierte Verpflichtung auf Datengeheimnis
### Datenschutzbeauftragter
Bei Bedarf kann ein externer DSB benannt werden.
## Verarbeitungsverzeichnis (Art. 30)
### Verarbeitungstätigkeit: CRM-System
| Feld | Inhalt |
|------|--------|
| Verantwortlicher | [Kunde] |
| Auftragsverarbeiter | Pulse CRM / Kronos Solution |
| Zweck | Kundenbeziehungsmanagement |
| Kategorien Betroffener | Kunden, Interessenten, Ansprechpartner |
| Kategorien Daten | Kontaktdaten, Kommunikationshistorie, Geschäftsdaten |
| Empfänger | Keine Weitergabe an Dritte |
| Drittlandtransfer | Keiner (nur EU/DE) |
| Löschfristen | Nach Vertragsende oder auf Anfrage |
| TOMs | Siehe oben |
## Löschkonzept
| Datenart | Aufbewahrung | Löschung |
|----------|--------------|----------|
| Account-Daten | Während Vertrag | 30 Tage nach Kündigung |
| Kontakte | Während Vertrag | Auf Anfrage oder nach Vertrag |
| Aktivitäten | 2 Jahre | Automatisch nach 2 Jahren |
| Audit-Logs | 1 Jahr | Automatisch nach 1 Jahr |
| Rechnungen | 10 Jahre | Nach gesetzlicher Frist |
| Backups | 30 Tage | Automatisch nach 30 Tagen |
## Datenschutzerklärung (Vorlage)
Siehe: `/legal/privacy-policy.md`
## AVV-Vorlage
Siehe: `/legal/avv-template.md`
## Kontakt
Bei Datenschutzanfragen:
- E-Mail: datenschutz@kronos-soulution.de
- Adresse: [Firmenadresse]