feat: DSGVO Compliance Dokumentation

📋 Dokumente: - DSGVO.md - Technische & organisatorische Maßnahmen - privacy-policy.md - Datenschutzerklärung - avv-template.md - Auftragsverarbeitungsvertrag ✅ Abgedeckt: - Art. 15-22: Betroffenenrechte - Art. 28: Auftragsverarbeitung - Art. 30: Verarbeitungsverzeichnis - Art. 32: Technische Maßnahmen 🔒 Löschkonzept inkludiert
2026-02-11 10:01:44 +00:00
parent d9e4539dd6
commit 18eb396b1e
3 changed files with 428 additions and 0 deletions
--- a/docs/DSGVO.md
+++ b/docs/DSGVO.md
@@ -0,0 +1,173 @@
 # DSGVO Compliance - Pulse CRM
 ## Übersicht
 Pulse CRM ist vollständig DSGVO-konform konzipiert. Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen (TOMs) sowie die Umsetzung der Betroffenenrechte.
 ## Rechtsgrundlagen
 ### Verarbeitung von Kundendaten (Art. 6 DSGVO)
 | Verarbeitung | Rechtsgrundlage | Artikel |
 |--------------|-----------------|---------|
 | Account-Erstellung | Vertragserfüllung | Art. 6(1)(b) |
 | CRM-Nutzung | Vertragserfüllung | Art. 6(1)(b) |
 | Support-Anfragen | Vertragserfüllung | Art. 6(1)(b) |
 | Rechnungsstellung | Rechtliche Pflicht | Art. 6(1)(c) |
 | Newsletter | Einwilligung | Art. 6(1)(a) |
 | Analytics | Berechtigtes Interesse | Art. 6(1)(f) |
 ### Auftragsverarbeitung (Art. 28 DSGVO)
 Pulse CRM agiert als **Auftragsverarbeiter** für die Kundendaten der Nutzer. Kunden müssen einen AVV (Auftragsverarbeitungsvertrag) abschließen.
 ## Betroffenenrechte (Art. 15-22)
 ### Art. 15 - Auskunftsrecht
 **Implementation:**
 - Endpoint: `GET /api/v1/users/me/data-export`
 - Format: JSON oder CSV
 - Enthält: Alle personenbezogenen Daten des Nutzers
 - Frist: Automatisch, sofort abrufbar
 ### Art. 16 - Recht auf Berichtigung
 **Implementation:**
 - Nutzer können ihre Daten jederzeit im Profil ändern
 - Endpoints: `PUT /api/v1/users/me`, `PUT /api/v1/contacts/:id`
 - Audit-Log dokumentiert alle Änderungen
 ### Art. 17 - Recht auf Löschung ("Recht auf Vergessenwerden")
 **Implementation:**
 - Endpoint: `DELETE /api/v1/users/me` (Account-Löschung)
 - Endpoint: `DELETE /api/v1/contacts/:id` (Kontakt-Löschung)
 - Soft-Delete mit 30 Tagen Wiederherstellungsfrist
 - Endgültige Löschung nach 30 Tagen
 - Ausnahme: Gesetzliche Aufbewahrungspflichten (z.B. Rechnungen 10 Jahre)
 ### Art. 18 - Recht auf Einschränkung
 **Implementation:**
 - Endpoint: `PUT /api/v1/contacts/:id/restrict`
 - Markiert Datensatz als "restricted"
 - Daten werden nur noch gespeichert, nicht verarbeitet
 ### Art. 20 - Recht auf Datenübertragbarkeit
 **Implementation:**
 - Endpoint: `GET /api/v1/users/me/data-export?format=json`
 - Maschinenlesbares Format (JSON)
 - Enthält alle vom Nutzer bereitgestellten Daten
 ### Art. 21 - Widerspruchsrecht
 **Implementation:**
 - Abmeldung von Marketing-E-Mails per Klick
 - Endpoint: `POST /api/v1/users/me/opt-out`
 ## Technische Maßnahmen (Art. 32)
 ### Verschlüsselung
 | Bereich | Methode |
 |---------|---------|
 | Transit | TLS 1.3 |
 | Passwörter | Argon2id |
 | Datenbank | AES-256 (at rest) |
 | Backups | AES-256 |
 ### Zugangskontrolle
 - JWT-basierte Authentifizierung
 - Rollenbasierte Autorisierung (RBAC)
 - Automatische Session-Timeout (15 min Inaktivität)
 - Optional: 2-Faktor-Authentifizierung
 ### Protokollierung
 ```typescript
 // Audit Log Schema
 {
  id: string,
  timestamp: Date,
  userId: string,
  orgId: string,
  action: "CREATE" | "READ" | "UPDATE" | "DELETE",
  entity: "contact" | "deal" | "user" | ...,
  entityId: string,
  changes: {
    before: object,
    after: object
  },
  ipAddress: string,
  userAgent: string
 }
 ```
 ### Datensicherung
 - Tägliche automatische Backups
 - Aufbewahrung: 30 Tage
 - Standort: Hetzner Deutschland
 - Verschlüsselt (AES-256)
 ## Organisatorische Maßnahmen
 ### Hosting
 - **Anbieter:** Hetzner Online GmbH
 - **Standort:** Falkenstein/Nürnberg, Deutschland
 - **Zertifizierungen:** ISO 27001
 - **AVV:** Mit Hetzner abgeschlossen
 ### Mitarbeiterschulung
 - Alle Entwickler: DSGVO-Schulung
 - Dokumentierte Verpflichtung auf Datengeheimnis
 ### Datenschutzbeauftragter
 Bei Bedarf kann ein externer DSB benannt werden.
 ## Verarbeitungsverzeichnis (Art. 30)
 ### Verarbeitungstätigkeit: CRM-System
 | Feld | Inhalt |
 |------|--------|
 | Verantwortlicher | [Kunde] |
 | Auftragsverarbeiter | Pulse CRM / Kronos Solution |
 | Zweck | Kundenbeziehungsmanagement |
 | Kategorien Betroffener | Kunden, Interessenten, Ansprechpartner |
 | Kategorien Daten | Kontaktdaten, Kommunikationshistorie, Geschäftsdaten |
 | Empfänger | Keine Weitergabe an Dritte |
 | Drittlandtransfer | Keiner (nur EU/DE) |
 | Löschfristen | Nach Vertragsende oder auf Anfrage |
 | TOMs | Siehe oben |
 ## Löschkonzept
 | Datenart | Aufbewahrung | Löschung |
 |----------|--------------|----------|
 | Account-Daten | Während Vertrag | 30 Tage nach Kündigung |
 | Kontakte | Während Vertrag | Auf Anfrage oder nach Vertrag |
 | Aktivitäten | 2 Jahre | Automatisch nach 2 Jahren |
 | Audit-Logs | 1 Jahr | Automatisch nach 1 Jahr |
 | Rechnungen | 10 Jahre | Nach gesetzlicher Frist |
 | Backups | 30 Tage | Automatisch nach 30 Tagen |
 ## Datenschutzerklärung (Vorlage)
 Siehe: `/legal/privacy-policy.md`
 ## AVV-Vorlage
 Siehe: `/legal/avv-template.md`
 ## Kontakt
 Bei Datenschutzanfragen:
 - E-Mail: datenschutz@kronos-soulution.de
 - Adresse: [Firmenadresse]
--- a/legal/avv-template.md
+++ b/legal/avv-template.md
@@ -0,0 +1,148 @@
 # Auftragsverarbeitungsvertrag (AVV)
 gemäß Art. 28 DSGVO
 ## Zwischen
 **Auftraggeber (Verantwortlicher):**  
 [Kunde]  
 [Adresse]  
 (nachfolgend "Auftraggeber")
 **und**
 **Auftragnehmer (Auftragsverarbeiter):**  
 Kronos Solution  
 [Adresse]  
 (nachfolgend "Auftragnehmer")
 ---
 ## § 1 Gegenstand und Dauer
 (1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung von **Pulse CRM**.
 (2) Die Dauer richtet sich nach der Laufzeit des Hauptvertrags (Nutzungsvertrag Pulse CRM).
 ## § 2 Art und Zweck der Verarbeitung
 **Zweck:** Customer Relationship Management (Verwaltung von Kontakten, Deals, Aktivitäten)
 **Art der Verarbeitung:**
 - Speicherung
 - Abruf
 - Änderung
 - Löschung
 ## § 3 Art der Daten
 - Kontaktdaten (Name, E-Mail, Telefon, Adresse)
 - Firmendaten
 - Kommunikationshistorie
 - Geschäftliche Informationen (Deals, Notizen)
 ## § 4 Kategorien betroffener Personen
 - Kunden des Auftraggebers
 - Interessenten
 - Ansprechpartner bei Geschäftspartnern
 ## § 5 Pflichten des Auftragnehmers
 (1) Der Auftragnehmer verarbeitet die Daten nur gemäß den Weisungen des Auftraggebers.
 (2) Der Auftragnehmer gewährleistet:
 - Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)
 - Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
 - Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO)
 - Unterstützung bei Datenschutz-Folgenabschätzung (Art. 28 Abs. 3 lit. f DSGVO)
 - Löschung nach Auftragsende (Art. 28 Abs. 3 lit. g DSGVO)
 - Nachweise und Audits (Art. 28 Abs. 3 lit. h DSGVO)
 ## § 6 Unterauftragnehmer
 Der Auftragnehmer setzt folgende Unterauftragnehmer ein:
 | Unterauftragnehmer | Leistung | Standort |
 |--------------------|----------|----------|
 | Hetzner Online GmbH | Hosting | Deutschland |
 | Resend Inc. | E-Mail-Versand | EU |
 Änderungen werden dem Auftraggeber mitgeteilt.
 ## § 7 Technische und organisatorische Maßnahmen
 Der Auftragnehmer hat folgende Maßnahmen implementiert:
 ### Vertraulichkeit
 - Zugangs- und Zutrittskontrolle
 - Berechtigungskonzept (RBAC)
 - Verschlüsselung (TLS 1.3, AES-256)
 ### Integrität
 - Eingabekontrolle (Audit-Logs)
 - Weitergabekontrolle
 ### Verfügbarkeit
 - Backup-Konzept
 - Wiederherstellbarkeit
 ### Belastbarkeit
 - DDoS-Schutz
 - Redundante Systeme
 ## § 8 Kontrollrechte
 Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrags zu überprüfen:
 - Durch schriftliche Auskünfte
 - Durch Vor-Ort-Audits (mit Ankündigung)
 - Durch Zertifikate und Berichte
 ## § 9 Mitteilungspflichten
 Der Auftragnehmer informiert den Auftraggeber unverzüglich bei:
 - Datenschutzverletzungen (Art. 33 DSGVO)
 - Änderungen bei Unterauftragnehmern
 - Anfragen von Betroffenen
 - Anfragen von Behörden
 ## § 10 Beendigung
 Nach Beendigung des Hauptvertrags:
 - Löschung aller Daten innerhalb von 30 Tagen
 - Auf Wunsch: Datenexport vor Löschung
 - Nachweis der Löschung auf Anfrage
 ## § 11 Schlussbestimmungen
 (1) Dieser Vertrag unterliegt deutschem Recht.
 (2) Änderungen bedürfen der Schriftform.
 (3) Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.
 ---
 **Auftraggeber:**
 Ort, Datum: _____________________
 Unterschrift: _____________________
 Name: _____________________
 ---
 **Auftragnehmer:**
 Ort, Datum: _____________________
 Unterschrift: _____________________
 Name: _____________________
 ---
 ## Anlage 1: Technische und organisatorische Maßnahmen (TOM)
 Siehe: `/docs/DSGVO.md` Abschnitt "Technische Maßnahmen"
--- a/legal/privacy-policy.md
+++ b/legal/privacy-policy.md
@@ -0,0 +1,107 @@
 # Datenschutzerklärung - Pulse CRM
 *Stand: Februar 2026*
 ## 1. Verantwortlicher
 Kronos Solution  
 [Adresse]  
 E-Mail: datenschutz@kronos-soulution.de
 ## 2. Welche Daten wir erheben
 ### 2.1 Account-Daten
 - Name, E-Mail-Adresse
 - Unternehmensdaten
 - Passwort (verschlüsselt gespeichert)
 ### 2.2 Nutzungsdaten
 - IP-Adresse (anonymisiert nach 7 Tagen)
 - Browser und Geräteinformationen
 - Zugriffszeitpunkte
 ### 2.3 CRM-Daten (von Ihnen eingegeben)
 - Kontakte und Firmen
 - Deals und Pipeline-Daten
 - Aktivitäten und Notizen
 ## 3. Rechtsgrundlage
 - **Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO):** Für die Bereitstellung unserer Dienste
 - **Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO):** Für Sicherheit und Verbesserung
 - **Einwilligung (Art. 6 Abs. 1 lit. a DSGVO):** Für Marketing-Kommunikation
 ## 4. Auftragsverarbeitung
 Pulse CRM verarbeitet CRM-Daten in Ihrem Auftrag. Sie bleiben Verantwortlicher für diese Daten. Ein Auftragsverarbeitungsvertrag (AVV) ist erforderlich.
 ## 5. Datenspeicherung
 - **Standort:** Deutschland (Hetzner Cloud, Falkenstein)
 - **Verschlüsselung:** TLS 1.3 (Transport), AES-256 (Speicherung)
 - **Backups:** Täglich, 30 Tage Aufbewahrung
 ## 6. Ihre Rechte
 Sie haben das Recht auf:
 - **Auskunft** über Ihre gespeicherten Daten (Art. 15 DSGVO)
 - **Berichtigung** unrichtiger Daten (Art. 16 DSGVO)
 - **Löschung** Ihrer Daten (Art. 17 DSGVO)
 - **Einschränkung** der Verarbeitung (Art. 18 DSGVO)
 - **Datenübertragbarkeit** (Art. 20 DSGVO)
 - **Widerspruch** gegen die Verarbeitung (Art. 21 DSGVO)
 ### So üben Sie Ihre Rechte aus:
 1. In der App unter "Einstellungen" > "Datenschutz"
 2. Per E-Mail an datenschutz@kronos-soulution.de
 3. Datenexport: Einstellungen > "Meine Daten exportieren"
 ## 7. Datenübermittlung
 Wir übermitteln Ihre Daten **nicht** in Drittländer außerhalb der EU.
 ### Unterauftragnehmer:
 - Hetzner Online GmbH (Hosting, Deutschland)
 - Resend (E-Mail-Versand, EU)
 ## 8. Speicherdauer
 | Datenart | Speicherdauer |
 |----------|---------------|
 | Account-Daten | Bis Löschung des Accounts + 30 Tage |
 | CRM-Daten | Bis Löschung durch Nutzer |
 | Log-Daten | 1 Jahr |
 | Rechnungsdaten | 10 Jahre (gesetzliche Pflicht) |
 ## 9. Sicherheitsmaßnahmen
 - Verschlüsselung aller Datenübertragungen
 - Regelmäßige Sicherheitsaudits
 - Zugangskontrolle mit 2-Faktor-Authentifizierung
 - Automatische Sicherheits-Updates
 ## 10. Cookies
 Wir verwenden nur technisch notwendige Cookies:
 | Cookie | Zweck | Dauer |
 |--------|-------|-------|
 | session_id | Authentifizierung | Session |
 | locale | Spracheinstellung | 1 Jahr |
 ## 11. Änderungen
 Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version finden Sie immer unter dieser URL.
 ## 12. Beschwerderecht
 Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
 ## 13. Kontakt
 Bei Fragen zum Datenschutz:
 Kronos Solution  
 E-Mail: datenschutz@kronos-soulution.de