feat: DSGVO Compliance Dokumentation

📋 Dokumente: - DSGVO.md - Technische & organisatorische Maßnahmen - privacy-policy.md - Datenschutzerklärung - avv-template.md - Auftragsverarbeitungsvertrag ✅ Abgedeckt: - Art. 15-22: Betroffenenrechte - Art. 28: Auftragsverarbeitung - Art. 30: Verarbeitungsverzeichnis - Art. 32: Technische Maßnahmen 🔒 Löschkonzept inkludiert
2026-02-11 10:01:44 +00:00
parent d9e4539dd6
commit 18eb396b1e
3 changed files with 428 additions and 0 deletions
--- a/legal/avv-template.md
+++ b/legal/avv-template.md
@@ -0,0 +1,148 @@
+# Auftragsverarbeitungsvertrag (AVV)
+
+gemäß Art. 28 DSGVO
+
+## Zwischen
+
+**Auftraggeber (Verantwortlicher):**  
+[Kunde]  
+[Adresse]  
+(nachfolgend "Auftraggeber")
+
+**und**
+
+**Auftragnehmer (Auftragsverarbeiter):**  
+Kronos Solution  
+[Adresse]  
+(nachfolgend "Auftragnehmer")
+
+---
+
+## § 1 Gegenstand und Dauer
+
+(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung von **Pulse CRM**.
+
+(2) Die Dauer richtet sich nach der Laufzeit des Hauptvertrags (Nutzungsvertrag Pulse CRM).
+
+## § 2 Art und Zweck der Verarbeitung
+
+**Zweck:** Customer Relationship Management (Verwaltung von Kontakten, Deals, Aktivitäten)
+
+**Art der Verarbeitung:**
+- Speicherung
+- Abruf
+- Änderung
+- Löschung
+
+## § 3 Art der Daten
+
+- Kontaktdaten (Name, E-Mail, Telefon, Adresse)
+- Firmendaten
+- Kommunikationshistorie
+- Geschäftliche Informationen (Deals, Notizen)
+
+## § 4 Kategorien betroffener Personen
+
+- Kunden des Auftraggebers
+- Interessenten
+- Ansprechpartner bei Geschäftspartnern
+
+## § 5 Pflichten des Auftragnehmers
+
+(1) Der Auftragnehmer verarbeitet die Daten nur gemäß den Weisungen des Auftraggebers.
+
+(2) Der Auftragnehmer gewährleistet:
+- Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)
+- Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
+- Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO)
+- Unterstützung bei Datenschutz-Folgenabschätzung (Art. 28 Abs. 3 lit. f DSGVO)
+- Löschung nach Auftragsende (Art. 28 Abs. 3 lit. g DSGVO)
+- Nachweise und Audits (Art. 28 Abs. 3 lit. h DSGVO)
+
+## § 6 Unterauftragnehmer
+
+Der Auftragnehmer setzt folgende Unterauftragnehmer ein:
+
+| Unterauftragnehmer | Leistung | Standort |
+|--------------------|----------|----------|
+| Hetzner Online GmbH | Hosting | Deutschland |
+| Resend Inc. | E-Mail-Versand | EU |
+
+Änderungen werden dem Auftraggeber mitgeteilt.
+
+## § 7 Technische und organisatorische Maßnahmen
+
+Der Auftragnehmer hat folgende Maßnahmen implementiert:
+
+### Vertraulichkeit
+- Zugangs- und Zutrittskontrolle
+- Berechtigungskonzept (RBAC)
+- Verschlüsselung (TLS 1.3, AES-256)
+
+### Integrität
+- Eingabekontrolle (Audit-Logs)
+- Weitergabekontrolle
+
+### Verfügbarkeit
+- Backup-Konzept
+- Wiederherstellbarkeit
+
+### Belastbarkeit
+- DDoS-Schutz
+- Redundante Systeme
+
+## § 8 Kontrollrechte
+
+Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrags zu überprüfen:
+- Durch schriftliche Auskünfte
+- Durch Vor-Ort-Audits (mit Ankündigung)
+- Durch Zertifikate und Berichte
+
+## § 9 Mitteilungspflichten
+
+Der Auftragnehmer informiert den Auftraggeber unverzüglich bei:
+- Datenschutzverletzungen (Art. 33 DSGVO)
+- Änderungen bei Unterauftragnehmern
+- Anfragen von Betroffenen
+- Anfragen von Behörden
+
+## § 10 Beendigung
+
+Nach Beendigung des Hauptvertrags:
+- Löschung aller Daten innerhalb von 30 Tagen
+- Auf Wunsch: Datenexport vor Löschung
+- Nachweis der Löschung auf Anfrage
+
+## § 11 Schlussbestimmungen
+
+(1) Dieser Vertrag unterliegt deutschem Recht.
+
+(2) Änderungen bedürfen der Schriftform.
+
+(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.
+
+---
+
+**Auftraggeber:**
+
+Ort, Datum: _____________________
+
+Unterschrift: _____________________
+
+Name: _____________________
+
+---
+
+**Auftragnehmer:**
+
+Ort, Datum: _____________________
+
+Unterschrift: _____________________
+
+Name: _____________________
+
+---
+
+## Anlage 1: Technische und organisatorische Maßnahmen (TOM)
+
+Siehe: `/docs/DSGVO.md` Abschnitt "Technische Maßnahmen"
--- a/legal/privacy-policy.md
+++ b/legal/privacy-policy.md
@@ -0,0 +1,107 @@
+# Datenschutzerklärung - Pulse CRM
+
+*Stand: Februar 2026*
+
+## 1. Verantwortlicher
+
+Kronos Solution  
+[Adresse]  
+E-Mail: datenschutz@kronos-soulution.de
+
+## 2. Welche Daten wir erheben
+
+### 2.1 Account-Daten
+- Name, E-Mail-Adresse
+- Unternehmensdaten
+- Passwort (verschlüsselt gespeichert)
+
+### 2.2 Nutzungsdaten
+- IP-Adresse (anonymisiert nach 7 Tagen)
+- Browser und Geräteinformationen
+- Zugriffszeitpunkte
+
+### 2.3 CRM-Daten (von Ihnen eingegeben)
+- Kontakte und Firmen
+- Deals und Pipeline-Daten
+- Aktivitäten und Notizen
+
+## 3. Rechtsgrundlage
+
+- **Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO):** Für die Bereitstellung unserer Dienste
+- **Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO):** Für Sicherheit und Verbesserung
+- **Einwilligung (Art. 6 Abs. 1 lit. a DSGVO):** Für Marketing-Kommunikation
+
+## 4. Auftragsverarbeitung
+
+Pulse CRM verarbeitet CRM-Daten in Ihrem Auftrag. Sie bleiben Verantwortlicher für diese Daten. Ein Auftragsverarbeitungsvertrag (AVV) ist erforderlich.
+
+## 5. Datenspeicherung
+
+- **Standort:** Deutschland (Hetzner Cloud, Falkenstein)
+- **Verschlüsselung:** TLS 1.3 (Transport), AES-256 (Speicherung)
+- **Backups:** Täglich, 30 Tage Aufbewahrung
+
+## 6. Ihre Rechte
+
+Sie haben das Recht auf:
+
+- **Auskunft** über Ihre gespeicherten Daten (Art. 15 DSGVO)
+- **Berichtigung** unrichtiger Daten (Art. 16 DSGVO)
+- **Löschung** Ihrer Daten (Art. 17 DSGVO)
+- **Einschränkung** der Verarbeitung (Art. 18 DSGVO)
+- **Datenübertragbarkeit** (Art. 20 DSGVO)
+- **Widerspruch** gegen die Verarbeitung (Art. 21 DSGVO)
+
+### So üben Sie Ihre Rechte aus:
+
+1. In der App unter "Einstellungen" > "Datenschutz"
+2. Per E-Mail an datenschutz@kronos-soulution.de
+3. Datenexport: Einstellungen > "Meine Daten exportieren"
+
+## 7. Datenübermittlung
+
+Wir übermitteln Ihre Daten **nicht** in Drittländer außerhalb der EU.
+
+### Unterauftragnehmer:
+- Hetzner Online GmbH (Hosting, Deutschland)
+- Resend (E-Mail-Versand, EU)
+
+## 8. Speicherdauer
+
+| Datenart | Speicherdauer |
+|----------|---------------|
+| Account-Daten | Bis Löschung des Accounts + 30 Tage |
+| CRM-Daten | Bis Löschung durch Nutzer |
+| Log-Daten | 1 Jahr |
+| Rechnungsdaten | 10 Jahre (gesetzliche Pflicht) |
+
+## 9. Sicherheitsmaßnahmen
+
+- Verschlüsselung aller Datenübertragungen
+- Regelmäßige Sicherheitsaudits
+- Zugangskontrolle mit 2-Faktor-Authentifizierung
+- Automatische Sicherheits-Updates
+
+## 10. Cookies
+
+Wir verwenden nur technisch notwendige Cookies:
+
+| Cookie | Zweck | Dauer |
+|--------|-------|-------|
+| session_id | Authentifizierung | Session |
+| locale | Spracheinstellung | 1 Jahr |
+
+## 11. Änderungen
+
+Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version finden Sie immer unter dieser URL.
+
+## 12. Beschwerderecht
+
+Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
+
+## 13. Kontakt
+
+Bei Fragen zum Datenschutz:
+
+Kronos Solution  
+E-Mail: datenschutz@kronos-soulution.de