Flux_bot
18eb396b1e
📋 Dokumente: - DSGVO.md - Technische & organisatorische Maßnahmen - privacy-policy.md - Datenschutzerklärung - avv-template.md - Auftragsverarbeitungsvertrag ✅ Abgedeckt: - Art. 15-22: Betroffenenrechte - Art. 28: Auftragsverarbeitung - Art. 30: Verarbeitungsverzeichnis - Art. 32: Technische Maßnahmen 🔒 Löschkonzept inkludiert
4.7 KiB
4.7 KiB
DSGVO Compliance - Pulse CRM
Übersicht
Pulse CRM ist vollständig DSGVO-konform konzipiert. Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen (TOMs) sowie die Umsetzung der Betroffenenrechte.
Rechtsgrundlagen
Verarbeitung von Kundendaten (Art. 6 DSGVO)
| Verarbeitung | Rechtsgrundlage | Artikel |
|---|---|---|
| Account-Erstellung | Vertragserfüllung | Art. 6(1)(b) |
| CRM-Nutzung | Vertragserfüllung | Art. 6(1)(b) |
| Support-Anfragen | Vertragserfüllung | Art. 6(1)(b) |
| Rechnungsstellung | Rechtliche Pflicht | Art. 6(1)(c) |
| Newsletter | Einwilligung | Art. 6(1)(a) |
| Analytics | Berechtigtes Interesse | Art. 6(1)(f) |
Auftragsverarbeitung (Art. 28 DSGVO)
Pulse CRM agiert als Auftragsverarbeiter für die Kundendaten der Nutzer. Kunden müssen einen AVV (Auftragsverarbeitungsvertrag) abschließen.
Betroffenenrechte (Art. 15-22)
Art. 15 - Auskunftsrecht
Implementation:
- Endpoint:
GET /api/v1/users/me/data-export - Format: JSON oder CSV
- Enthält: Alle personenbezogenen Daten des Nutzers
- Frist: Automatisch, sofort abrufbar
Art. 16 - Recht auf Berichtigung
Implementation:
- Nutzer können ihre Daten jederzeit im Profil ändern
- Endpoints:
PUT /api/v1/users/me,PUT /api/v1/contacts/:id - Audit-Log dokumentiert alle Änderungen
Art. 17 - Recht auf Löschung ("Recht auf Vergessenwerden")
Implementation:
- Endpoint:
DELETE /api/v1/users/me(Account-Löschung) - Endpoint:
DELETE /api/v1/contacts/:id(Kontakt-Löschung) - Soft-Delete mit 30 Tagen Wiederherstellungsfrist
- Endgültige Löschung nach 30 Tagen
- Ausnahme: Gesetzliche Aufbewahrungspflichten (z.B. Rechnungen 10 Jahre)
Art. 18 - Recht auf Einschränkung
Implementation:
- Endpoint:
PUT /api/v1/contacts/:id/restrict - Markiert Datensatz als "restricted"
- Daten werden nur noch gespeichert, nicht verarbeitet
Art. 20 - Recht auf Datenübertragbarkeit
Implementation:
- Endpoint:
GET /api/v1/users/me/data-export?format=json - Maschinenlesbares Format (JSON)
- Enthält alle vom Nutzer bereitgestellten Daten
Art. 21 - Widerspruchsrecht
Implementation:
- Abmeldung von Marketing-E-Mails per Klick
- Endpoint:
POST /api/v1/users/me/opt-out
Technische Maßnahmen (Art. 32)
Verschlüsselung
| Bereich | Methode |
|---|---|
| Transit | TLS 1.3 |
| Passwörter | Argon2id |
| Datenbank | AES-256 (at rest) |
| Backups | AES-256 |
Zugangskontrolle
- JWT-basierte Authentifizierung
- Rollenbasierte Autorisierung (RBAC)
- Automatische Session-Timeout (15 min Inaktivität)
- Optional: 2-Faktor-Authentifizierung
Protokollierung
// Audit Log Schema
{
id: string,
timestamp: Date,
userId: string,
orgId: string,
action: "CREATE" | "READ" | "UPDATE" | "DELETE",
entity: "contact" | "deal" | "user" | ...,
entityId: string,
changes: {
before: object,
after: object
},
ipAddress: string,
userAgent: string
}
Datensicherung
- Tägliche automatische Backups
- Aufbewahrung: 30 Tage
- Standort: Hetzner Deutschland
- Verschlüsselt (AES-256)
Organisatorische Maßnahmen
Hosting
- Anbieter: Hetzner Online GmbH
- Standort: Falkenstein/Nürnberg, Deutschland
- Zertifizierungen: ISO 27001
- AVV: Mit Hetzner abgeschlossen
Mitarbeiterschulung
- Alle Entwickler: DSGVO-Schulung
- Dokumentierte Verpflichtung auf Datengeheimnis
Datenschutzbeauftragter
Bei Bedarf kann ein externer DSB benannt werden.
Verarbeitungsverzeichnis (Art. 30)
Verarbeitungstätigkeit: CRM-System
| Feld | Inhalt |
|---|---|
| Verantwortlicher | [Kunde] |
| Auftragsverarbeiter | Pulse CRM / Kronos Solution |
| Zweck | Kundenbeziehungsmanagement |
| Kategorien Betroffener | Kunden, Interessenten, Ansprechpartner |
| Kategorien Daten | Kontaktdaten, Kommunikationshistorie, Geschäftsdaten |
| Empfänger | Keine Weitergabe an Dritte |
| Drittlandtransfer | Keiner (nur EU/DE) |
| Löschfristen | Nach Vertragsende oder auf Anfrage |
| TOMs | Siehe oben |
Löschkonzept
| Datenart | Aufbewahrung | Löschung |
|---|---|---|
| Account-Daten | Während Vertrag | 30 Tage nach Kündigung |
| Kontakte | Während Vertrag | Auf Anfrage oder nach Vertrag |
| Aktivitäten | 2 Jahre | Automatisch nach 2 Jahren |
| Audit-Logs | 1 Jahr | Automatisch nach 1 Jahr |
| Rechnungen | 10 Jahre | Nach gesetzlicher Frist |
| Backups | 30 Tage | Automatisch nach 30 Tagen |
Datenschutzerklärung (Vorlage)
Siehe: /legal/privacy-policy.md
AVV-Vorlage
Siehe: /legal/avv-template.md
Kontakt
Bei Datenschutzanfragen:
- E-Mail: datenschutz@kronos-soulution.de
- Adresse: [Firmenadresse]