# DSGVO Compliance - Pulse CRM

## Übersicht

Pulse CRM ist vollständig DSGVO-konform konzipiert. Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen (TOMs) sowie die Umsetzung der Betroffenenrechte.

## Rechtsgrundlagen

### Verarbeitung von Kundendaten (Art. 6 DSGVO)

| Verarbeitung | Rechtsgrundlage | Artikel |
|--------------|-----------------|---------|
| Account-Erstellung | Vertragserfüllung | Art. 6(1)(b) |
| CRM-Nutzung | Vertragserfüllung | Art. 6(1)(b) |
| Support-Anfragen | Vertragserfüllung | Art. 6(1)(b) |
| Rechnungsstellung | Rechtliche Pflicht | Art. 6(1)(c) |
| Newsletter | Einwilligung | Art. 6(1)(a) |
| Analytics | Berechtigtes Interesse | Art. 6(1)(f) |

### Auftragsverarbeitung (Art. 28 DSGVO)

Pulse CRM agiert als **Auftragsverarbeiter** für die Kundendaten der Nutzer. Kunden müssen einen AVV (Auftragsverarbeitungsvertrag) abschließen.

## Betroffenenrechte (Art. 15-22)

### Art. 15 - Auskunftsrecht

**Implementation:**
- Endpoint: `GET /api/v1/users/me/data-export`
- Format: JSON oder CSV
- Enthält: Alle personenbezogenen Daten des Nutzers
- Frist: Automatisch, sofort abrufbar

### Art. 16 - Recht auf Berichtigung

**Implementation:**
- Nutzer können ihre Daten jederzeit im Profil ändern
- Endpoints: `PUT /api/v1/users/me`, `PUT /api/v1/contacts/:id`
- Audit-Log dokumentiert alle Änderungen

### Art. 17 - Recht auf Löschung ("Recht auf Vergessenwerden")

**Implementation:**
- Endpoint: `DELETE /api/v1/users/me` (Account-Löschung)
- Endpoint: `DELETE /api/v1/contacts/:id` (Kontakt-Löschung)
- Soft-Delete mit 30 Tagen Wiederherstellungsfrist
- Endgültige Löschung nach 30 Tagen
- Ausnahme: Gesetzliche Aufbewahrungspflichten (z.B. Rechnungen 10 Jahre)

### Art. 18 - Recht auf Einschränkung

**Implementation:**
- Endpoint: `PUT /api/v1/contacts/:id/restrict`
- Markiert Datensatz als "restricted"
- Daten werden nur noch gespeichert, nicht verarbeitet

### Art. 20 - Recht auf Datenübertragbarkeit

**Implementation:**
- Endpoint: `GET /api/v1/users/me/data-export?format=json`
- Maschinenlesbares Format (JSON)
- Enthält alle vom Nutzer bereitgestellten Daten

### Art. 21 - Widerspruchsrecht

**Implementation:**
- Abmeldung von Marketing-E-Mails per Klick
- Endpoint: `POST /api/v1/users/me/opt-out`

## Technische Maßnahmen (Art. 32)

### Verschlüsselung

| Bereich | Methode |
|---------|---------|
| Transit | TLS 1.3 |
| Passwörter | Argon2id |
| Datenbank | AES-256 (at rest) |
| Backups | AES-256 |

### Zugangskontrolle

- JWT-basierte Authentifizierung
- Rollenbasierte Autorisierung (RBAC)
- Automatische Session-Timeout (15 min Inaktivität)
- Optional: 2-Faktor-Authentifizierung

### Protokollierung

```typescript
// Audit Log Schema
{
  id: string,
  timestamp: Date,
  userId: string,
  orgId: string,
  action: "CREATE" | "READ" | "UPDATE" | "DELETE",
  entity: "contact" | "deal" | "user" | ...,
  entityId: string,
  changes: {
    before: object,
    after: object
  },
  ipAddress: string,
  userAgent: string
}
```

### Datensicherung

- Tägliche automatische Backups
- Aufbewahrung: 30 Tage
- Standort: Hetzner Deutschland
- Verschlüsselt (AES-256)

## Organisatorische Maßnahmen

### Hosting

- **Anbieter:** Hetzner Online GmbH
- **Standort:** Falkenstein/Nürnberg, Deutschland
- **Zertifizierungen:** ISO 27001
- **AVV:** Mit Hetzner abgeschlossen

### Mitarbeiterschulung

- Alle Entwickler: DSGVO-Schulung
- Dokumentierte Verpflichtung auf Datengeheimnis

### Datenschutzbeauftragter

Bei Bedarf kann ein externer DSB benannt werden.

## Verarbeitungsverzeichnis (Art. 30)

### Verarbeitungstätigkeit: CRM-System

| Feld | Inhalt |
|------|--------|
| Verantwortlicher | [Kunde] |
| Auftragsverarbeiter | Pulse CRM / Kronos Solution |
| Zweck | Kundenbeziehungsmanagement |
| Kategorien Betroffener | Kunden, Interessenten, Ansprechpartner |
| Kategorien Daten | Kontaktdaten, Kommunikationshistorie, Geschäftsdaten |
| Empfänger | Keine Weitergabe an Dritte |
| Drittlandtransfer | Keiner (nur EU/DE) |
| Löschfristen | Nach Vertragsende oder auf Anfrage |
| TOMs | Siehe oben |

## Löschkonzept

| Datenart | Aufbewahrung | Löschung |
|----------|--------------|----------|
| Account-Daten | Während Vertrag | 30 Tage nach Kündigung |
| Kontakte | Während Vertrag | Auf Anfrage oder nach Vertrag |
| Aktivitäten | 2 Jahre | Automatisch nach 2 Jahren |
| Audit-Logs | 1 Jahr | Automatisch nach 1 Jahr |
| Rechnungen | 10 Jahre | Nach gesetzlicher Frist |
| Backups | 30 Tage | Automatisch nach 30 Tagen |

## Datenschutzerklärung (Vorlage)

Siehe: `/legal/privacy-policy.md`

## AVV-Vorlage

Siehe: `/legal/avv-template.md`

## Kontakt

Bei Datenschutzanfragen:
- E-Mail: datenschutz@kronos-soulution.de
- Adresse: [Firmenadresse]