Datenschutzerklärung

15. KI-gestützte Sichtbarkeits-Analyse (GEO-Check)

15.1 Verarbeitungszweck

Auf der Seite „Design & Kreativität" (?page=design_kreativ) bieten wir Ihnen kostenlos einen Multi-Engine-Sichtbarkeits-Check an. Bei diesem Tool wird der von Ihnen eingegebene Firmenname und die Website-Domain an vier KI-Sprachmodelle übermittelt, um zu analysieren, ob und wie Ihre Marke in KI-generierten Antworten vorkommt.

15.2 Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch das aktive Absenden des Formulars) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines kostenlosen Marketing-Self-Service-Tools).

Beim optionalen Lead-Kontakt-Formular (E-Mail-Anforderung des Vollreports) erfolgt die Verarbeitung Ihrer Kontaktdaten auf Grundlage der Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung ist freiwillig und kann jederzeit für die Zukunft widerrufen werden.

15.3 Empfänger der Daten in Drittländer (USA)

Bei jeder Marken-Anfrage werden Firmenname und Domain an folgende US-Dienstleister übermittelt. Es handelt sich um einen Drittlandtransfer im Sinne von Art. 44 ff. DSGVO. Sie willigen mit dem Absenden des Formulars ausdrücklich in diesen Drittlandtransfer ein.

• OpenAI Inc. (3180 18th Street, San Francisco, CA 94110, USA) — Verarbeitung des Firmennamens und der Domain via Responses-API mit Web-Search-Tool.
  Drittland-Mechanismus: Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO.
  Datenschutzerklärung: openai.com/privacy
• Anthropic, PBC (548 Market St #84281, San Francisco, CA 94104, USA) — Verarbeitung via Claude Messages-API mit Web-Search-Tool.
  Drittland-Mechanismus: Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO.
  Datenschutzerklärung: anthropic.com/legal/privacy
• Perplexity AI Inc. (USA) — Verarbeitung via Sonar-Pro mit eingebautem Web-Search-Grounding.
  Drittland-Mechanismus: Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO.
  Datenschutzerklärung: perplexity.ai/hub/legal/privacy-policy
• Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA) — Bot-Schutz via Turnstile auf dem DSGVO-konformen EU-Endpoint, ohne Cookie-Setzung.
  Drittland-Mechanismus: Standardvertragsklauseln (SCC) sowie EU Cloud Code of Conduct.
  Datenschutzerklärung: cloudflare.com/privacypolicy

15.4 Verarbeitung in der EU (kein Drittlandtransfer)

Die Marken-Analyse durch Google Gemini läuft über Google Cloud Vertex AI in der Region europe-west1 (Belgien). Hier findet kein Drittlandtransfer statt. Anbieter: Google Cloud EMEA Limited, 70 Sir John Rogerson's Quay, Dublin 2, Irland.

15.5 Speicherdauer

• Anonyme Scan-Daten (Firmenname, Domain, KI-Engine-Antworten, Zitate, Score): 90 Tage. Anschließend automatisierte Löschung über das Cleanup-System.
• Lead-Kontaktdaten (E-Mail, Telefon, optionale Telefon-Nr.) bei aktiver Anforderung des Vollreports: bis zu 24 Monate oder bis zum Widerruf.
• IP-Adresse: ausschließlich SHA-256-gehashed mit App-Salt gespeichert. Aufbewahrung 30 Tage. Eine Re-Identifizierung ist technisch nicht möglich.

15.6 Empfänger der Lead-Kontaktdaten

Wenn Sie über das Formular einen Vollreport anfordern, werden Ihre Kontaktdaten nur intern an Mitarbeitende von DESIGNSTUUV weitergegeben. Es findet kein Verkauf und keine Übermittlung an Dritte zu Werbezwecken statt. Der Vollreport-Versand erfolgt über unseren SMTP-Provider Brevo (Sendinblue SAS, Frankreich) auf EU-Servern (siehe Abschnitt 13).

15.7 Betroffenenrechte

Sie haben jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Anfragen können Sie formlos an datenschutz@designstuuv.de richten. Sie haben außerdem das Beschwerderecht bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO (z. B. die Landesbeauftragte für den Datenschutz Niedersachsen).

15.8 Widerruf der Einwilligung

Sie können Ihre Einwilligung in die Verarbeitung im Rahmen des GEO-Checks gemäß Art. 7 Abs. 3 DSGVO jederzeit für die Zukunft widerrufen. Eine formlose Nachricht an datenschutz@designstuuv.de genügt. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung wird durch den Widerruf nicht berührt.

15.9 Optionale Follow-Up-E-Mail-Serie (Newsletter-Sequenz)

Wenn Sie über das Formular auf www.designstuuv.de/?page=design_kreativ#dk-geo-check einen kostenlosen KI-Sichtbarkeits-Report anfordern, übermitteln wir Ihnen zunächst per E-Mail Ihren persönlichen Auswertungs-Bericht (Vollreport mit PDF-Anhang).

Mit der Absendung des Formulars stimmen Sie zusätzlich zu, dass wir Ihnen innerhalb der nächsten 30 Tage vier weitere E-Mails mit ergänzenden Informationen zum Thema KI-Sichtbarkeit zusenden:

• Tag 2 nach Absendung: Hinweise zum Vergleich Ihrer Sichtbarkeit mit Wettbewerbern
• Tag 5: Drei konkrete Hebel zur Verbesserung Ihrer KI-Sichtbarkeit
• Tag 10: Angebot eines kostenlosen Strategie-Termins
• Tag 30: Optionaler Re-Check zu Veränderungen Ihrer Sichtbarkeit

Rechtsgrundlage dieser Verarbeitung ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Formularabsendung).

Verarbeitete Daten dieser Sequenz: Vor- und Firmenname, E-Mail-Adresse, Zeitpunkt der Anfrage, ein gehashter Wert Ihrer IP-Adresse (technischer Audit-Nachweis nach Art. 7 Abs. 1 DSGVO, kein Klartext) sowie Open- und Click-Daten der versendeten E-Mails (zur Erfolgsmessung der Serie).

Widerruf der Einwilligung: Sie können dem Versand jederzeit widersprechen, indem Sie auf den Abmelde-Link in jeder dieser E-Mails klicken (One-Click-Abmeldung gemäß RFC 8058), eine formlose E-Mail an datenschutz@designstuuv.de senden oder per Brief widersprechen (Adresse siehe Impressum). Nach Ihrer Abmeldung erhalten Sie aus dieser Sequenz keine weiteren E-Mails.

Speicherdauer: Ihre Subscription-Daten bleiben nach Abmeldung für maximal 24 Monate als Audit-Nachweis gespeichert (Art. 7 Abs. 1 DSGVO — Nachweisbarkeit der Einwilligung) und werden danach anonymisiert oder gelöscht.

Empfänger: Die E-Mails werden über unseren technischen Dienstleister Brevo (Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin, Deutschland) versendet. Brevo ist DSGVO-konform und auf europäischen Servern gehostet. Es findet keine Weitergabe an Dritte zu Werbezwecken statt.

16. Fotostudio (Bildergalerien)

Im Rahmen unserer Designagentur-Dienstleistungen stellen wir Ihnen Foto-Shoots und Bildergalerien über das Fotostudio-Modul in unserem Kundenportal bereit. Die Bereitstellung erfolgt entweder im eingeloggten Kundenbereich oder über einen eindeutigen Magic-Link, den wir Ihnen per E-Mail zusenden. Hierbei verarbeiten wir die folgenden Daten:

16.1 Verarbeitete Daten

• Galerie-Token: Eindeutiger Zugangsschlüssel (256 Bit Zufalls-Token, kryptographisch erzeugt). Wird per E-Mail an die zur Galerie hinterlegte Adresse übermittelt. Der Token ersetzt für nicht-eingeloggte Kunden den Login.
• Optionaler Passwortschutz: Wenn die Galerie zusätzlich passwortgeschützt ist, speichern wir nur einen BCRYPT-Hash (Kosten 12) — niemals das Klartext-Passwort. Eine Wiederherstellung ist technisch nicht möglich.
• Favoriten-Markierungen: Welche Bilder Sie favorisiert haben. Für nicht-eingeloggte Besucher der Magic-Link-Ansicht binden wir die Markierungen an einen pseudonymen Cookie-Identifier (gallery_visitor_v1) statt an Ihre Session-ID. So bleiben Favoriten auch nach Cookie-Refresh erhalten und sind nicht direkt mit einer Person verknüpft.
• Kommentare (optional): Wenn Sie unter einem Bild einen Kommentar hinterlassen, wird dieser zusammen mit Zeitstempel und (bei eingeloggten Nutzern) der Portal-User-ID gespeichert. Bei Magic-Link-Besuchern wird der pseudonyme Cookie-Identifier verwendet.
• Zugriffs-Log (gallery_access_log): Pro Aufruf einer Galerie speichern wir: gehashte IP-Adresse (SHA-256 mit App-Salt — eine Re-Identifizierung ist technisch nicht möglich), User-Agent (Kurz-Hash), Zeitstempel und Art des Zugriffs (View, Download, Favoriten-Toggle). Dieses Log dient ausschließlich der Sicherheits-Überwachung und der Erfüllung Ihres Auskunftsrechts nach Art. 15 DSGVO.
• Watermarking-Cache: Wir generieren für die Web-Vorschau gewasserzeichnete Bildversionen serverseitig (siehe 16.3). Originaldateien werden bei unserem Auftragsverarbeiter Google Drive gespeichert (siehe Abschnitt 18 für Drittlandtransfer-Garantien).

16.2 Aufbewahrungsfristen

• Veröffentlichte Galerien: Bis zum konfigurierten Ablaufdatum (expires_at), spätestens jedoch 365 Tage nach Veröffentlichung. Über das Ablaufdatum werden Sie rechtzeitig per E-Mail informiert (Erinnerungs-Mails 30/14/7 Tage vor Ablauf).
• Archivierte Galerien: 180 Tage nach Archivierung erfolgt die physische Löschung aller Bilddateien, Favoriten und Kommentare. In Sonderfällen (z. B. laufende Reklamationen oder explizite Kundenwunsch-Verlängerung) ist eine Verlängerung mit Mitarbeiter-Approval-Workflow möglich.
• Zugriffs-Log: 180 Tage, danach automatische Löschung durch unseren täglichen Retention-Cron.
• Cookie gallery_visitor_v1: 30 Tage Lebensdauer, HttpOnly + Secure + SameSite=Lax. Wird im Browser des Magic-Link-Besuchers gesetzt, niemals an Dritte übermittelt.
• BCRYPT-Hash des Galerie-Passworts: Wird mit der Galerie gemeinsam gelöscht (180 Tage nach Archivierung).

Physikalische Speicherung der Originaldateien: Die Original-Bilddateien (RAW-Dateien, Print-Versionen) werden bei unserem Auftragsverarbeiter Google Drive gespeichert. Details zur Drittlandtransfer-Absicherung (EU-U.S. Data Privacy Framework, Standardvertragsklauseln, internes Transfer Impact Assessment) finden Sie in Abschnitt 18.

16.3 Watermark / Wasserzeichen

Bilder im Web-Vorschau-Modus werden mit einem dezenten DESIGNSTUUV-Wasserzeichen (Tile-Pattern, ca. 25 % Deckkraft) versehen, um die unautorisierte Verwendung außerhalb des Portals erkennbar zu machen. Das Wasserzeichen ist eine technische Schutzmaßnahme im Sinne des Urheberrechts. Bei aktiver Print-Berechtigung (vom Mitarbeitenden je Galerie aktiviert) liefern wir Ihnen das Original ohne Wasserzeichen aus.

16.4 E-Mail-Versand zu Galerie-Ereignissen

Wir versenden bis zu vier automatisierte E-Mails pro Galerie:

• Freigabe-Benachrichtigung bei Veröffentlichung der Galerie
• Favoriten-Bestätigung intern an unsere Mitarbeitenden, sobald Sie Ihre Auswahl abschließen
• Inaktivitäts-Erinnerung wenn die Galerie 14 Tage ohne Aufruf bleibt
• Ablauf-Hinweise 30, 14 und 7 Tage vor expires_at

Der Versand erfolgt über unseren SMTP-Dienstleister Brevo (Sendinblue SAS, 7 rue de Madrid, 75008 Paris, Frankreich) auf Basis unserer Auftragsverarbeitung gemäß Art. 28 DSGVO (siehe Abschnitt 13). Ihre E-Mail-Adresse wird ausschließlich zur Zustellung dieser Galerie-Benachrichtigungen verwendet und nicht für Werbezwecke an Dritte weitergegeben.

16.5 Rechte der Betroffenen

Sie haben jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Widerspruch (Art. 21) sowie Datenübertragbarkeit (Art. 20). Insbesondere können Sie jederzeit verlangen, dass Ihre Galerie inkl. aller Bildkopien, Favoriten und Zugriffs-Log-Einträge vorzeitig gelöscht wird. Anfragen richten Sie formlos an datenschutz@designstuuv.de.

Notice-and-Takedown bei rechtswidrigen Kommentar-Inhalten: Bei rechtswidrigen, persönlichkeits- oder urheberrechtsverletzenden Kommentaren im Galerie-Modul reagieren wir nach Erlangung positiver Kenntnis unverzüglich (in der Regel binnen 24 Stunden) gemäß Art. 16 Digital Services Act (DSA, EU 2022/2065). Vertragliche Details und Melde-Pflichten des Owners siehe AGB Abschnitt 15.5.

17. Datentransfer (Bereitstellungs-Dienst)

Über das Datentransfer-Modul stellen wir Ihnen einzelne Dateien oder Dateipakete zur sicheren Übergabe an externe Empfänger bereit. Die Übergabe erfolgt über einen eindeutigen Magic-Link, den wir per E-Mail an die von Ihnen angegebene Empfänger-Adresse zustellen. Die Empfänger müssen sich nicht im Portal anmelden.

17.1 Zweck der Verarbeitung

Der Bereitstellungs-Dienst ermöglicht Ihnen, Geschäfts-Dateien (z. B. Druckdaten, Verträge, Konzept-PDFs, Fotomaterial) sicher an Dritte zu übermitteln, ohne dass diese ein Portal-Konto benötigen.

17.2 Rechtsgrundlage

• Owner-Seite (eingeloggter Kunde): Die Verarbeitung Ihrer Daten erfolgt zur Durchführung des bestehenden Vertragsverhältnisses (Art. 6 Abs. 1 lit. b DSGVO).
• Empfänger-Seite (nicht eingeloggter Magic-Link-Aufrufer): Die Verarbeitung der von Ihnen angegebenen Empfänger-E-Mail-Adresse sowie der Zugriffsdaten des Empfängers erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) an der sicheren Datei-Übergabe und an der Abwehr missbräuchlicher Zugriffe. Wir gehen davon aus, dass der Empfänger im Auftrag oder mit Wissen des Owners aufgerufen wird (vertragliche Anbahnung im Sinne von Art. 6 Abs. 1 lit. b DSGVO).

17.3 Verarbeitete Daten

Owner-Seite (Sie als Portal-Kunde)

• Empfänger-E-Mail-Adresse — zur Zustellung des Magic-Links.
• Optionale Begleit-Nachricht — wird im Magic-Link-View angezeigt.
• Optionales Passwort (BCRYPT-Hash): Wenn Sie den Transfer zusätzlich passwortgeschützt anlegen, speichern wir nur einen BCRYPT-Hash (Cost-Faktor 12), niemals das Klartext-Passwort. Eine Wiederherstellung ist technisch nicht möglich.
• Datei-Metadaten: Dateiname, Größe, MIME-Typ, Upload-Zeitpunkt.
• Lifecycle-Daten: Status (Entwurf, gesendet, angesehen, teilweise heruntergeladen, abgeschlossen, abgelaufen, widerrufen, archiviert, gelöscht), Ablaufdatum, Anzahl Aufrufe, Anzahl Downloads.
• Bei Widerruf (Revoke): Grund-Dropdown („versehentlich erstellt", „Datenfehler", „Kunde widerruft", „Sicherheitsvorfall", „Token rotiert", „Sonstiges" mit Freitext) sowie Zeitpunkt und Staff-User-ID.

Empfänger-Seite (Magic-Link-Aufrufer)

• IP-Adress-Hash (SHA-256 mit App-Salt): Bei jedem Aufruf speichern wir einen gehashten Wert Ihrer IP-Adresse. Eine Re-Identifizierung der echten IP ist technisch nicht möglich.
• User-Agent (Kurzfassung): Browser- und Betriebssystem-Typ zur statistischen Auswertung.
• Zugriffs-Events: Zeitpunkt jedes Aufrufs, jedes Downloads, jeder fehlgeschlagenen Passwort-Eingabe sowie ggf. Rate-Limit-Sperrung.
• Rate-Limit-Daten (transfer_pwd_rate_limit): Anzahl Pwd-Fehlversuche im aktuellen 60-Minuten-Fenster pro IP-Hash + Transfer. Bei 5 Fehlversuchen erfolgt eine 60-minütige Sperrung.

17.4 Audit-Log und Lifecycle-Ereignisse

Wir protokollieren in einem separaten Audit-Log (file_transfer_audit_log) sämtliche Lebensereignisse eines Transfers, um Missbrauch zu erkennen, Auskunftsrechte (Art. 15 DSGVO) erfüllen zu können und im Falle eines Sicherheitsvorfalls Forensik zu ermöglichen. Erfasste Aktionen sind:

• Owner-Aktionen: erstellt, versendet, widerrufen, Token rotiert, verlängert, erneut versendet
• Empfänger-Aktionen: Aufruf, Download, fehlgeschlagene Pwd-Eingabe, Rate-Limit-Sperrung
• Automatische Übergänge: abgelaufen, abgeschlossen (alle Dateien heruntergeladen), archiviert, gelöscht, Erinnerungs-Mail versendet

17.5 Magic-Link-Sicherheit

• Token-Format: 64-stelliger Hex-Wert aus 32 Byte kryptographisch sicherer Zufallsbytes (entspricht 256-Bit-Entropie).
• Brute-Force-Schutz: Bei optional gesetztem Passwort erlauben wir maximal 5 Pwd-Versuche pro 60-Minuten-Fenster pro Empfänger-IP-Adresse + Transfer. Bei Überschreitung erfolgt eine 60-minütige Sperre für diese IP-Adresse auf diesen Transfer.
• Transport-Verschlüsselung: Alle Aufrufe erfolgen ausschließlich über HTTPS/TLS 1.3.

17.6 Speicherdauern

• Aktive Transfers: Bis zum konfigurierten Ablaufdatum (Standard 30 Tage, vom Owner konfigurierbar im Bereich 7–90 Tage).
• Abgelaufene oder widerrufene Transfers: Originaldateien werden automatisch innerhalb von 7 Tagen nach Ablauf/Widerruf unwiederbringlich gelöscht (Auto-Delete-Cron).
• Archivierte Transfers: Lifecycle-Metadaten ohne Originaldateien verbleiben 180 Tage, dann automatische Löschung.
• Audit-Log (file_transfer_audit_log): 24 Monate ab Eintrag, danach automatische Löschung. Diese Aufbewahrung dient der Erfüllung von Auskunftsrechten (Art. 15 DSGVO) und der Sicherheits-Forensik.
• Rate-Limit-Daten (transfer_pwd_rate_limit): 30 Tage ab letztem Eintrag, danach automatische Löschung.
• Erinnerungs-Mail-Versand: Wir versenden eine Erinnerungs-Mail an Sie als Owner, wenn der Transfer in 3 Tagen abläuft. Dieser Versand wird im file_transfer_audit_log als reminded-Event protokolliert.

17.7 Sub-Verarbeiter: Google Drive (Drittlandtransfer)

Die zu transferierenden Originaldateien werden in unserem Google Workspace-Account auf Google Drive gespeichert. Google agiert hierbei als Auftragsverarbeiter gemäß Art. 28 DSGVO. Details zur Drittlandtransfer-Absicherung finden Sie in Abschnitt 18.

17.8 Empfänger-Rechte (Art. 13–21 DSGVO)

Als Empfänger eines Magic-Links sind Sie selbst betroffene Person im Sinne der DSGVO. Sie haben — auch ohne Portal-Konto — folgende Rechte:

• Auskunft (Art. 15 DSGVO): Wir können Ihnen mitteilen, wann auf welchen Transfer Sie über welche IP-Hash-Identifizierung zugegriffen haben.
• Löschung (Art. 17 DSGVO): Wir können auf Ihr Verlangen sämtliche zu Ihrem IP-Hash gehörenden Audit-Log-Einträge löschen, soweit keine berechtigten Interessen entgegenstehen.
• Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen — das hat allerdings zur Folge, dass wir Ihnen keinen Zugriff auf den Transfer mehr gewähren können.

Anfragen richten Sie formlos an datenschutz@designstuuv.de unter Angabe des Magic-Link-Tokens (zur Identifizierung des betroffenen Transfers).

17.9 Auto-Löschung und Widerruf durch Owner

Der Owner (Portal-Kunde) kann den Transfer jederzeit über das Portal widerrufen (Revoke). In diesem Fall wird der Magic-Link sofort ungültig, der Empfänger sieht beim Aufruf einen Hinweis auf den Widerruf, und die zugrunde liegenden Dateien werden innerhalb von 7 Tagen unwiederbringlich gelöscht.

18. Auftragsverarbeitung — Cloud-Speicher Google Drive

Zur Speicherung von Bilddateien (Fotostudio-Galerien, siehe Abschnitt 16) und Transfer-Dateien (Bereitstellungs-Dienst, siehe Abschnitt 17) sowie zur revisionssicheren Archivierung von Rechnungs-PDFs nutzen wir den Cloud-Speicherdienst Google Drive.

18.1 Anbieter

18.2 Verarbeitete Datenkategorien

• Bilddateien (Originaldateien + Web-Vorschau-Varianten) aus dem Fotostudio-Modul
• Transfer-Dateien (beliebige vom Owner hochgeladene Geschäfts-Dateien)
• Rechnungs-PDFs (revisionssichere Archivierung gemäß GoBD)
• Datei-Metadaten: Dateinamen, Größen, MIME-Typen, Upload-Zeitpunkte

Die Inhaltsdaten (Bilder, Dateien) verlassen unsere Auftragskontrolle nicht. Sie werden auf Google-Infrastruktur gespeichert, aber NICHT zum Training von Google-KI-Modellen verwendet (vertraglich zugesichert durch den Auftragsverarbeitungsvertrag, siehe 18.3).

18.3 Auftragsverarbeitungsvertrag (AVV)

Mit Google Ireland Limited besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO in Form der Google Workspace Data Processing Amendment. Der Vertrag enthält die EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914, Modul 2 (Verantwortlicher → Auftragsverarbeiter) als ergänzende Schutzgarantie nach Art. 46 Abs. 2 lit. c DSGVO.

18.4 Drittlandtransfer in die USA

Soweit Google zur Bereitstellung des Dienstes auf US-Konzernunternehmen zurückgreift (insbesondere Google LLC, USA) oder soweit US-Behörden nach US CLOUD Act oder FISA 702 Zugriff auf Daten verlangen können, erfolgt die Übermittlung auf Grundlage von:

• dem EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 nach Art. 45 DSGVO), unter dem Google LLC zertifiziert ist (überprüfbar unter dataprivacyframework.gov),
• ergänzenden EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO,
• technisch-organisatorischen Maßnahmen: TLS 1.3 in Transit, AES-256-Verschlüsselung at-Rest, restriktive Zugriffsrechte (Service-Account-basiert, kein menschlicher Zugriff durch Google ohne Auftragnehmer-Anweisung),
• internem Transfer Impact Assessment (TIA) gemäß EDSA-Empfehlung 01/2020 (auf Anfrage einsehbar unter datenschutz@designstuuv.de).

18.5 Server-Region

Google Drive verarbeitet Daten in einem global verteilten Cloud-Storage-System. Die konkrete Speicher-Region ist von Google Workspace-Konfiguration abhängig und kann sowohl EU- als auch US-Standorte umfassen. Die Drittlandtransfer-Schutzmechanismen aus 18.4 greifen unabhängig vom konkreten physischen Speicher-Standort.

18.6 Verschlüsselung

• In Transit: Alle Datenübertragungen zwischen unserem Portal-Server und Google Drive erfolgen über HTTPS/TLS 1.3.
• At-Rest: Google verschlüsselt sämtliche Drive-Inhalte mit AES-256 auf der Storage-Ebene. Die Schlüsselverwaltung erfolgt durch Google.

18.7 Hinweis zur Aktualität

19. Beschäftigtendatenschutz (Mitarbeiter-Backend)

19.1 Geltungsbereich

Dieser Abschnitt betrifft die Datenverarbeitung der bei der DESIGNSTUUV® Werbeagentur GmbH & Co. KG angestellten oder als freie Mitarbeitende tätigen Personen (nachfolgend „Beschäftigte" i. S. d. § 26 BDSG). Die Verarbeitung dient der Durchführung des Beschäftigungsverhältnisses, der Erfüllung gesetzlicher Pflichten und der Organisation des Auftragsgeschäfts der Agentur.

19.2 Verarbeitete Datenkategorien

• Stammdaten (employees): Vor- und Nachname, E-Mail-Adresse, Telefon- und Mobilnummer, Mitarbeiter-Nummer, Abteilung, Funktions-/Rollen-Schlüssel, Beschäftigungsart (employment_type), Wochenstunden, interner und externer Stundensatz (hourly_rate_internal, hourly_rate_external).
• Rollen- und Berechtigungs-Mapping (employee_roles) sowie Skill-Profile (employee_skills) zur internen Aufgabenverteilung.
• Stundenerfassung (timesheets, timesheet_locks): Startzeit, Endzeit, Dauer in Minuten, Projektzuordnung, Notizen, Status der GoBD-Wochen-Sperre.
• Anwesenheits-Erfassung (attendance): Check-In, Check-Out, Pausen-Minuten, optionale Notizen.
• Abwesenheiten (absences, absence_balances, absence_audit_log, absence_expiry_notifications): Urlaub, Sonderurlaub, Elternzeit sowie — als besondere Kategorie personenbezogener Daten i. S. d. Art. 9 Abs. 1 DSGVO — Krankheitstage (type='sick'), inklusive Beginn-/Enddatum und ggf. Ablehnungs-Begründung. Diese Verarbeitung erfolgt unter erhöhten Schutzanforderungen (siehe 19.3).
• Aufgaben-Verwaltung (tasks, task_comment_snapshots): Zuweisung (assigned_to), Reportierung (reported_by), Status-Änderungen (changed_by) und Kommentar-Schnappschüsse.
• Google-Workspace-Integration (employee_google_auth): E-Mail-Adresse und verschlüsselter OAuth-Refresh-Token zur Anbindung an Google Calendar bzw. Google Mail (z. B. zur automatischen Protokoll-Ingestion). Der Token wird AES-256-CBC at-Rest verschlüsselt gespeichert und ermöglicht ausschließlich den Zugriff auf die im Onboarding ausdrücklich freigegebenen Scopes.
• Audit-Logs (admin_audit_logs, admin_impersonation_activity): Erfasst Mitarbeiter-ID, IP-Adresse, User-Agent, durchgeführte Aktion und betroffene Ressource. Diese Aufzeichnungen dienen der Compliance-Sicherung und der Forensik im Falle eines Sicherheitsvorfalls oder Verdachts gemäß § 32 BDSG.
• Mitarbeiter-Login-Daten (portal_login_attempts, portal_trusted_devices): Login-Versuche mit Mitarbeiter-Username, IP-Adresse, User-Agent, Länder-Code und Erfolg-/Fehlschlag-Status. Für vertrauenswürdige Geräte (Trust-Cookie, 30 Tage) werden gehashtes Geräte-Token, erste IP, letzte Verwendungs-IP/-Zeit und User-Agent-Kurzfassung gespeichert.
• Mitarbeiter-Aktivität bei der Verarbeitung Kunden-bezogener Daten: Wenn ein Mitarbeiter im Mitarbeiter-Backend Kunden-Aktionen ausführt (Anlage von Freigaben, Datentransfers, Rechnungen, Stammdaten-Updates), wird seine Mitarbeiter-Identifikation in den jeweiligen Audit-Logs (approvals_audit_log, file_transfer_audit_log, invoice_audit_log, crm_audit_log) als created_by/actor_id erfasst. Hier ist der Mitarbeiter gleichzeitig Erfüllungsgehilfe i. S. d. § 278 BGB (für die Kunden-Daten) UND betroffenes Datensubjekt (für seine eigenen Aktivitäts-Aufzeichnungen).

19.3 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO — Erfüllung des Arbeitsvertrages bzw. der Beschäftigungs-Vereinbarung (Stammdaten, Stunden, Aufgabenverwaltung, Anwesenheit).
• Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen (Lohnsteuer, GoBD, Entgeltfortzahlungsgesetz, Bundesurlaubsgesetz, Sozialversicherung).
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse des Arbeitgebers an effizienter Auftragsabwicklung, Compliance und IT-Sicherheit (Audit-Logs, Anwesenheit, Login-Tracking).
• Art. 9 Abs. 2 lit. b DSGVO — Sozialschutz im Beschäftigungsverhältnis sowie Art. 9 Abs. 2 lit. h DSGVO — Gesundheitsvorsorge im Arbeitsverhältnis (für Krankheitsdaten absences.type='sick').
• § 26 BDSG — Ergänzende Rechtsgrundlage für die Datenverarbeitung im Beschäftigungsverhältnis, insbesondere für die Ausführung des Arbeitsvertrages, die Aufdeckung von Straftaten (§ 26 Abs. 1 Satz 2 BDSG) sowie Verarbeitungen besonderer Kategorien personenbezogener Daten gemäß § 26 Abs. 3 BDSG. Wir weisen darauf hin, dass das Bundesarbeitsgericht in seinem Urteil vom 08.05.2025 (Az. 8 AZR 209/21) die europarechtliche Reichweite des § 26 BDSG eingeschränkt hat; soweit erforderlich, stützen wir die Verarbeitung unmittelbar auf Art. 6 und Art. 9 DSGVO.

19.4 Aufbewahrungsfristen für Beschäftigtendaten

• Personalakten und Stammdaten: 10 Jahre nach Ausscheiden der Beschäftigung (analog §§ 147 AO, 257 HGB; deckt steuer- und handelsrechtliche Aufbewahrungspflichten).
• Stundenerfassung und Timesheet-Locks: 10 Jahre (§ 147 AO).
• Anwesenheit (attendance): 6 Jahre nach Ablauf des Kalenderjahres (§ 257 HGB).
• Krankheitsdaten (absences.type='sick'): Maximal 3 Jahre nach Ende des Beschäftigungsverhältnisses (Verjährung Entgeltfortzahlungsanspruch nach § 7 EFZG bzw. § 195 BGB).
• Urlaubs- und Sonderurlaubsdaten: 3 Jahre nach Eintritt (Verjährung urlaubsrechtlicher Ansprüche, § 195 BGB).
• Audit-Logs (Backend-Aktivität): 6 Jahre (analog § 257 HGB für audit-relevante Geschäftsvorfälle).
• Impersonation-Aktivität (admin_impersonation_activity): 3 Jahre (verdachtsabhängige Verarbeitung nach § 32 BDSG).
• OAuth-Refresh-Token (employee_google_auth): Bis zum Widerruf der Einwilligung durch den Mitarbeiter oder bis Beendigung des Beschäftigungsverhältnisses (sofortige Sperrung und Löschung am letzten Arbeitstag).
• Mitarbeiter-Login-Versuche: 6 Monate (Verjährung kurzfristiger Sicherheitsvorgänge).
• Vertraute Mitarbeiter-Geräte (portal_trusted_devices): Maximal 30 Tage nach letzter Aktivierung (analog zu Kunden-Trust-Cookies, siehe Abschnitt 8).

19.5 Rechte der betroffenen Beschäftigten

Beschäftigte haben gegenüber DESIGNSTUUV — zusätzlich zu den allgemeinen DSGVO-Rechten (Art. 13–21 DSGVO, siehe Abschnitt 9) — folgende spezifische Rechte:

• Auskunft über die Personalakte nach § 83 BetrVG bzw. Treuepflicht (auch ohne Betriebsrat bei DESIGNSTUUV).
• Berichtigung unrichtiger Stundenerfassungen, Stammdaten oder Audit-Einträge (Art. 16 DSGVO).
• Einschränkung der Verarbeitung bei bestrittenen Daten (Art. 18 DSGVO).
• Beschwerderecht bei der Landesbeauftragten für den Datenschutz Niedersachsen (Prinzenstr. 5, 30159 Hannover) oder einem internen Datenschutz-Ansprechpartner.

Anfragen richten Beschäftigte formlos an datenschutz@designstuuv.de oder direkt an die HR-Verantwortliche. Eine vollständige interne Mitarbeiter-Datenschutzerklärung mit zusätzlichen Details (insbesondere zu HR-Prozessen wie Recruiting, Performance-Reviews, Gehaltsverhandlungen) ist über die HR-Abteilung auf Anfrage erhältlich.

19.6 Mitarbeiter-Eingabe-Subdomains (freigabe.designstuuv.de, transfer.designstuuv.de)

Zur Erstellung von Freigabe-Anfragen und Datentransfers nutzen Mitarbeiter eigenständige Subdomains, die per 301-Weiterleitung auf das Mitarbeiter-Backend des Portals zeigen. Beim Aufruf dieser Subdomains gilt:

• Mitarbeiter melden sich mit Mitarbeiter-Username und Passwort an (separate Authentifizierung — KEIN Kunden-Login möglich).
• Die Mitarbeiter-Aktivität (Anlegen, Versenden, Widerrufen von Freigaben/Transfers) wird in approvals_audit_log, file_transfer_audit_log und crm_audit_log mit Mitarbeiter-ID, IP-Adresse und User-Agent erfasst.
• Mitarbeiter handeln in dieser Rolle als Erfüllungsgehilfen i. S. d. § 278 BGB im Auftrag von DESIGNSTUUV gegenüber dem jeweiligen Empfänger. Gleichzeitig sind sie als Datensubjekt ihrer eigenen Tätigkeits-Aufzeichnungen betroffen (3-Way-Konstellation: Verantwortlicher → Mitarbeiter → Empfänger).
• Mitarbeiter können vertraute Geräte (Trust-Cookie 30 Tage) aktivieren, um den 2-Faktor-Schutz bei wiederholtem Zugriff zu beschleunigen. Die Geräte-Tabelle ist identisch zum Kunden-Pfad (siehe Abschnitt 8).

Diese Mitarbeiter-Aktivitäts-Aufzeichnungen dienen der Nachvollziehbarkeit gegenüber Kunden (Auskunftspflicht nach Art. 15 DSGVO), der internen Compliance (Sorgfaltspflichten des Arbeitgebers) und der Forensik im Sicherheitsvorfall. Eine automatisierte Leistungsbewertung der Mitarbeiter findet nicht statt (kein Profiling im Sinne von Art. 22 DSGVO).

19.7 Cross-Refs

Drittlandtransfer bei Google-Workspace-Integration siehe Abschnitt 10; allgemeine Aufbewahrungs-Übersicht in Abschnitt 8; vertragliche Klarstellung des Mitarbeiter-Subdomain-Zugangs in AGB Abschnitt 22a und Plattform-Nutzungsbedingungen Abschnitt 12.

19a. Anonymer Hinweisgeber-Channel (HinSchG)

Zweck und Rechtsgrundlage

Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO i. V. m. HinSchG (gesetzliche Pflicht der Bearbeitung von Hinweisen auf Compliance-Verstöße). Auch wenn die DESIGNSTUUV Werbeagentur GmbH & Co. KG mit unter 50 Mitarbeitenden NICHT zwingend HinSchG-pflichtig ist, betreiben wir den Channel freiwillig als Compliance-Maßnahme.

Welche Daten werden verarbeitet?

• Hinweis-Inhalt: verschlüsselt mit RSA-4096 + AES-256-CBC (Hybrid). Speicherung in whistleblower_reports.encrypted_content.
• Eindeutige UUID: Zufallswert (122-bit), den der Submitter nach erfolgreichem Submit für späteren Status-Check erhält.
• Optionale anonyme Antwort-E-Mail: nur wenn der Submitter explizit eine Wegwerf-Mail-Adresse (z. B. temp-mail.org) angegeben hat.
• Antwort der externen Vertrauensperson: wird bei Abschluss (status='resolved') oder Abweisung (status='rejected') in response_text hinterlegt.

Welche Daten werden NICHT verarbeitet?

Apache-AccessLog-Caveat (Hosting-Constraint)

Wichtige technische Einschränkung: Unser Hosting (All-Inkl Shared-Hosting) erlaubt KEINE Server-Direktive, um den Apache-AccessLog für einzelne Routen zu deaktivieren. Das bedeutet: Die Submitter-IP wird trotz aller Anwendungs-Mitigation für bis zu 7 Tage im Webserver-Access-Log gespeichert (Apache-Standard).

Empfehlungen für vollständige Anonymität:

• Nutze den Tor Browser für IP-Verschleierung über mehrere Hops (verbirgt die echte IP auch vor dem Webserver-Log).
• Alternative: Anonymer Brief (ohne Absender) an unsere Postadresse — die externe Vertrauensperson erhält den Hinweis dann persönlich.
• Vermeide personenbezogene Daten im Hinweis-Text (Namen, ID-Nummern), die dich identifizieren könnten — der Datenminimierungs-Grundsatz liegt beim Submitter.

4-Schicht-Anonymitäts-Verteidigung (Technische und organisatorische Maßnahmen)

Wir setzen eine vierfache Verteidigung zur Wahrung der Submitter-Anonymität ein:

1. Schicht A — Anwendungs-Ebene: Der Submit-Handler liest NIEMALS REMOTE_ADDR / HTTP_USER_AGENT. Auch keine pseudonymisierten Hashes über die IP.
2. Schicht B — Apache-AccessLog-Caveat: Hosting-Constraint (siehe oben), Mitigation über Tor-Empfehlung in der Submit-View.
3. Schicht C — Ende-zu-Ende-Verschlüsselung: RSA-4096 (OAEP-SHA256) + AES-256-CBC Hybrid-Verschlüsselung. Der Private-Key liegt ausschließlich bei der externen Vertrauensperson — die DESIGNSTUUV Werbeagentur GmbH & Co. KG selbst kann die Inhalte NICHT entschlüsseln (Zero-Knowledge gegenüber dem Verantwortlichen).
4. Schicht D — Audit-Log-Bypass: Whistleblower-Endpoints (whistleblower_submit, whistleblower_status_check) sind explizit aus allen Standard-Audit-Trails ausgeschlossen (admin_audit_log, portal_usage_logs).

Bearbeitung durch externe Vertrauensperson

Eingegangene Hinweise werden ausschließlich durch eine extern beauftragte Vertrauensperson bearbeitet (NICHT durch die Geschäftsführung, NICHT durch Mitarbeitende). Die Vertrauensperson nutzt eine separate Login-Tabelle (whistleblower_handlers) und ist organisatorisch von DESIGNSTUUV-Accounts getrennt.

Speicherdauer

Reports werden 3 Jahre nach Abschluss des Verfahrens aufbewahrt (HinSchG-Vorgabe), anschließend gelöscht. Die UUID-Liste in whistleblower_reports wird ebenfalls 3 Jahre aufbewahrt, um Status-Checks durch Submitter zu ermöglichen.

Status-Check

Submitter können den Bearbeitungs-Status ihres Hinweises jederzeit anonym abfragen unter portal.designstuuv.de/?page=hinweisgeber_status durch Eingabe ihrer UUID. Der Status-Check setzt KEINE Cookies, sendet KEINE Tracking-Pixel und ist ebenfalls von Schicht D geschützt.

Rechte des Submitters

Da wir keinerlei personenbezogene Daten in der Anwendung speichern, sind die klassischen DSGVO-Betroffenenrechte (Auskunft Art. 15, Berichtigung Art. 16, Löschung Art. 17) im engeren Sinn nicht anwendbar — es gibt keine Identität, zu der wir Auskunft geben könnten. Der Submitter behält jedoch volle Kontrolle über seine UUID und kann jederzeit die Bearbeitung beenden, indem er den Status-Check einstellt.

20. Service-Anfragen, Support und Concierge-Personalisierung

20.1 Service-Anfragen über Report-CTA-Links (service_request.php, service_requests)

In unseren Monatsberichten (Website Intelligence Reports) sind CTA-Schaltflächen eingebettet, die Sie als Empfänger zu einer personalisierten Anfrage-Seite leiten („Termin sichern", „Strategie-Gespräch buchen", „Concierge-Anfrage"). Diese Seite ist über einen kryptographischen Web-Token erreichbar — Sie müssen sich nicht im Portal anmelden.

• Verarbeitete Daten: Vor- und Nachname, E-Mail-Adresse, optional Telefonnummer, Firmenname, Custom-Message (Freitext-Mitteilung), automatisch eingefügte Metadaten (CTA-Key, Report-Token zur Zuordnung des Berichts, Zeitstempel).
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertragsverhältnisses) bzw. lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage) — abhängig vom Anfragetyp.
• Empfänger intern: DESIGNSTUUV-Concierge-Team und der für Ihr Kunden-Konto zuständige Account-Manager. Eine Weitergabe an Dritte zu Werbezwecken findet nicht statt.
• Speicherdauer: 24 Monate nach Eingang der Anfrage; bei Entstehung eines Vertragsverhältnisses laufen Vertrags-Aufbewahrungsfristen (6 Jahre HGB bzw. 10 Jahre AO bei rechnungsrelevantem Bezug).

20.2 Support-Anfragen (support.php)

Eingeloggte Portal-Kunden können über das Support-Formular eine Anfrage an unser Support-Team senden.

• Verarbeitete Daten: Klarname, E-Mail-Adresse, Firmenname, Custom-Message (Freitext).
• Verarbeitung: Die Anfrage wird per E-Mail an support@designstuuv.de zugestellt und parallel intern als Aufgabe erfasst.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung bestehender Geschäftsbeziehung).
• Speicherdauer: 24 Monate; bei Eingang in eine größere Vertragsanpassung gelten die handelsrechtlichen Fristen.

20.3 Concierge-Personalisierung (concierge.php)

Im Concierge-Modul können Sie als eingeloggter Portal-Kunde Ihre bevorzugte Ansprache konfigurieren (Du/Sie, Pronomen, Anrede, Begrüßungs-Variante).

• Verarbeitete Daten: bevorzugtes Pronomen (portal_users.preferred_pronoun), Anrede (Herr/Frau/Neutrale), Vor- und Nachname, optional ein persönlicher Spitzname für Mail-Begrüßungen (display_name).
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung durch aktive Konfiguration) i. V. m. lit. b (Vertragsdurchführung — personalisierte Kommunikation als Service-Bestandteil).
• Speicherdauer: Bis zur Account-Schließung oder bis zum Widerruf (Concierge-Einstellungen können jederzeit zurückgesetzt werden).

20.4 Besprechungsprotokoll-Auto-Parsing (protocols, Tabelle für PDF-Archivierung)

Wenn Sie als Kunde nach einem Termin mit uns ein Besprechungsprotokoll als PDF erhalten haben, archivieren wir dieses Protokoll automatisch in einem geschützten Bereich Ihres Portal-Kontos. Die Quelle der Archivierung ist unser internes Postfach protokolle@designstuuv.de, in dem Mitarbeiter Protokolle nach Erstellung ablegen.

• Verarbeitete Daten aus dem Quell-Mail-Header: Customer-ID (zur Zuordnung Ihres Kontos), Empfänger-E-Mail-Adresse, Eindeutige Mail-UID des Quell-Postfachs (source_email_uid), Protokoll-Datum, Titel.
• Verarbeitete Daten aus dem PDF-Anhang: Datei selbst (im Portal-Speicher abgelegt), Größe, MIME-Typ, SHA-256-Hash zur Integritäts-Prüfung.
• Art. 14 DSGVO-Information: Diese Daten werden nicht direkt von Ihnen erhoben, sondern aus unserem internen Mail-Eingang. Wir informieren Sie deshalb hier (Art. 14 DSGVO) über die Quelle: Ihre Customer-ID und E-Mail stammen aus dem Adressfeld der Protokoll-Mail (versendet vom DESIGNSTUUV-Mitarbeiter an Sie als Kunden).
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung — Archivierung von Projekt-Dokumenten als Service).
• Speicherdauer: Bis zur Account-Schließung, spätestens 10 Jahre nach Erstellung des letzten Protokolls (§ 257 HGB bei Geschäfts-Korrespondenz).
• Defensive Datenminimierung: Protokolle werden ausschließlich für Kunden archiviert, die im Portal ein aktives Konto haben und deren Customer-ID eindeutig dem Empfänger zuzuordnen ist. Mails ohne erkennbare Customer-Zuordnung werden NICHT geparst.

20.5 Defensive Sensitivitäts-Hinweise

Bitte teilen Sie uns über die Service-Anfrage-, Support- und Concierge-Formulare keine besonders sensiblen personenbezogenen Daten im Sinne von Art. 9 DSGVO (Gesundheits-, religiöse, politische, gewerkschaftliche oder sexuelle Orientierung) mit. Für sensible Themen nutzen Sie bitte den persönlichen Kontakt per Telefon (+49 4941 9809918) oder ein persönliches Gespräch in unserem Concierge-Bereich.

20.6 Empfänger-Rechte

Sie haben jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) bezüglich aller in diesem Abschnitt beschriebenen Verarbeitungen. Anfragen richten Sie formlos an datenschutz@designstuuv.de.

20.7 Cross-Refs

Stammdaten-Verarbeitung im Allgemeinen siehe Abschnitt 4; Drittlandtransfer bei Mail-Versand siehe Abschnitt 13 (Brevo); Mail-Renderer-Bewerbung mit CTA-Tracking siehe Abschnitt 14; vertragliche Regelung in AGB Abschnitt 22.

21. Magic-Link-Empfänger-Pfade (Approval, Offer-Confirmation, Invoice-View)

21.1 Approval-Empfänger (approval.php, approvals_audit_log)

• Verarbeitete Daten: Magic-Link-Token, IP-Adress-Hash (SHA-256 mit App-Salt), User-Agent-Kurzfassung, durchgeführte Aktionen (Freigabe, Ablehnung, Kommentar, Screenshot-Upload), Audit-Zeitstempel.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung bzw. Durchführung des Freigabe-Vorgangs als Vertragsbestandteil) i. V. m. lit. f (berechtigtes Interesse an Audit-Trail-Beweiskraft).
• Speicherdauer: Approval-Inhalte bis zur konfigurierten Lebensdauer durch den Owner (handelsüblich bis 365 Tage); Audit-Log (approvals_audit_log) 24 Monate nach letzter Aktivität, danach automatische Löschung.
• Beweiskraft: Audit-Trail dient als Indiz-Beweismittel im Streitfall, ist jedoch kein qualifiziertes elektronisches Siegel i. S. d. eIDAS-Verordnung (EU) 910/2014 (siehe AGB Abschnitt 18).

21.2 Offer-Confirmation-Empfänger (offer_confirmation.php, offer_confirmation_audit)

• Verarbeitete Daten: Customer-Snapshot (Firmenname, Anschrift, Briefanrede zur Zeitpunkt der Angebots-Erstellung gespeichert), IP-Adress-Hash, User-Agent, Bestätigungs-/Ablehnungs-Workflow, optionale Empfänger-Notiz.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Angebots-Annahme und Vertragsschluss) i. V. m. §§ 145 ff. BGB (rechtsgeschäftliche Willenserklärungen).
• Speicherdauer: 10 Jahre nach Vertragsschluss (§§ 147 AO, 257 HGB bei rechnungsrelevantem Bezug).
• Customer-Snapshot: Wird zum Zeitpunkt der Angebots-Erstellung als JSON eingefroren, um auch bei späteren Stammdaten-Änderungen die historische Empfänger-Adresse rechtssicher zu rekonstruieren.

21.3 Invoice-View-Empfänger (invoice_view.php, invoice_audit_log, invoice_view_rate_limit)

• Verarbeitete Daten: Customer-Snapshot (Firmenname, Anschrift, Briefanrede), IP-Adress-Hash, User-Agent, 24 protokollierte Aktionen im Audit-Log (Anlage, Versand, Magic-Link-Aufruf, PDF-Stream, EPC-QR-Anzeige, Bestätigung, etc.).
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Rechnung als Vertragsbestandteil) i. V. m. Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Rechnungs-Ausstellungspflicht nach § 14 UStG).
• Speicherdauer: 10 Jahre GoBD nach § 147 AO; Rate-Limit-Daten (invoice_view_rate_limit) 30 Tage ab letztem Eintrag.
• Magic-Link-Lebensdauer: 90 Tage ab Versand; danach Online-Ansicht nicht mehr möglich, aber PDF-Anhang in der ursprünglichen Versand-Mail bleibt archivierbar (siehe AGB Abschnitt 19).

21.4 Magic-Link-Sicherheit (gemeinsame TOMs)

• Token-Format: 256-Bit kryptographisches Zufalls-Token (64 Hex-Zeichen aus random_bytes(32)).
• Optionaler BCRYPT-Passwortschutz (Cost 12) für besonders sensible Inhalte.
• Rate-Limit: Bei Pwd-Eingabe und Rechnungs-Aufruf besteht ein IP-bezogenes Rate-Limit (variiert je Pfad zwischen 5 Versuchen pro Stunde und 5 Versuchen pro 60-Minuten-Fenster).
• Transport-Verschlüsselung: Alle Aufrufe ausschließlich über HTTPS/TLS 1.3.
• Audit-Forensik: Bei Verdacht auf Missbrauch können wir den Magic-Link ohne Vorankündigung deaktivieren und einen neuen Token rotieren (Token-Rotation-Audit-Event).

21.5 Empfänger-Rechte (Art. 13–21 DSGVO)

Als Empfänger eines Magic-Links sind Sie selbst betroffene Person im Sinne der DSGVO — auch ohne Portal-Konto. Sie haben folgende Rechte:

• Art. 13 DSGVO (Information bei erster Datenerhebung): erfüllt durch diese Datenschutzerklärung, zugänglich über den Datenschutz-Link in jeder Versand-Mail und im Footer der Magic-Link-Landing-Pages.
• Art. 15 DSGVO (Auskunft): Wir teilen Ihnen auf Anfrage mit, wann auf welchen Magic-Link unter welchem IP-Adress-Hash zugegriffen wurde, welche Aktionen erfasst wurden und welche Aufbewahrungsdauer gilt.
• Art. 16 DSGVO (Berichtigung): falls Ihre im Customer-Snapshot eingefrorenen Stammdaten unrichtig sind.
• Art. 17 DSGVO (Löschung): wir löschen auf Verlangen alle zu Ihrem IP-Hash gehörenden Audit-Log-Einträge, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht (insb. bei Rechnungen nach § 147 AO).
• Art. 21 DSGVO (Widerspruch): Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen. Folge: wir können den Magic-Link deaktivieren und Ihnen keinen weiteren Zugriff gewähren.

Anfragen richten Sie formlos an datenschutz@designstuuv.de unter Angabe des Magic-Link-Tokens oder der Rechnungs-/Approval-/ Angebots-Nummer (zur eindeutigen Identifizierung).

21.6 Cross-Refs

Pattern-Vorbild für diese Sektion ist Abschnitt 17 (Datentransfer); vertragliche Klarstellung jeweils in AGB § 18 (Approvals) und AGB § 19 (Rechnungs-Bereitstellung GoBD); Drittlandtransfer bei Sub-Dateien (PDFs, Screenshots) siehe Abschnitt 18 (Google Drive).

21.7 BGH-VI-ZR-396/24-Garantie (Stand 2025)

Bei Beendigung einer Sub-Auftragsverarbeitung (z. B. Wechsel des Cloud-Anbieters für Magic-Link-Sub-Dateien) gewährleisten wir einen verifizierten Lösch- bzw. Rückgabe-Prozess mit vollständigem Audit-Trail. Diese Zusicherung orientiert sich am Urteil des Bundesgerichtshofs vom Sommer 2025 (Az. VI ZR 396/24) zu den Anforderungen an AVV-Endklauseln. Details zur konkreten Drittlandtransfer-Absicherung siehe Abschnitt 18 (Google Drive AVV).

22. Backup-Management und Cloud-Backup-Drittland

22.1 Backup-Strategie (3-2-1)

• Voll-Backup: täglich (vollständige Datenbank-Dumps + Datei-Storage).
• Differential-Backup: wöchentlich (Änderungen gegenüber letztem Voll-Backup).
• Inkremental-Backup: stündlich (Änderungen gegenüber letztem inkrementellen Backup).
• 3-2-1-Regel: 3 Kopien, 2 verschiedene Medien, 1 externes Ziel (Cloud).

22.2 Verarbeitete Datenkategorien

Backups umfassen die vollständige Portal-Datenbank und sämtliche im Portal abgelegten Dateien, also alle in dieser Datenschutzerklärung an anderer Stelle beschriebenen personenbezogenen Daten (Kunden-Stammdaten, Mitarbeiter-Stammdaten, Magic-Link-Empfänger-Audit-Logs, Newsletter-Subscriber, Rechnungs-PDFs, Galerie-Bilder, Transfer-Dateien, etc.).

22.3 Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Datensicherheit) i. V. m. Art. 32 DSGVO (technisch-organisatorische Maßnahmen zur Sicherheit der Verarbeitung). Backups sind ein wesentlicher Bestandteil der Verfügbarkeits-Schutz-Pflicht des Verantwortlichen.

22.4 Verschlüsselung

• In Transit: Backups werden ausschließlich über HTTPS/TLS 1.3 zu Google Drive übertragen.
• At-Rest: Backups werden AES-256 verschlüsselt bei Google Drive gespeichert; die Schlüssel-Verwaltung erfolgt aktuell durch Google im Rahmen des Google-Workspace-AVV.
• Customer-Managed-Keys (CMK): Eine kundenseitig kontrollierte Verschlüsselung („Bring Your Own Key") ist aktuell nicht implementiert; eine Einführung wird für künftige Service-Tiers evaluiert (BACKLOG B26).

22.5 Aufbewahrungsmatrix

• Tägliche Voll-Backups: 30 Tage Aufbewahrung (rolling), danach automatische Löschung.
• Monatliche Voll-Backups: 12 Monate Aufbewahrung (jeweils das letzte Voll-Backup eines Monats).
• Jährliche Voll-Backups: 7 Jahre Aufbewahrung (letztes Voll-Backup eines Jahres als Compliance-Archiv).
• Differential-Backups: 90 Tage Aufbewahrung.
• Inkremental-Backups: 7 Tage Aufbewahrung.

22.6 Wiederherstellungs-Recht und Auskunft

Sofern Sie als betroffene Person ein Auskunftsbegehren nach Art. 15 DSGVO stellen, umfasst die Auskunft auch Backup-Stände — soweit diese ohne unverhältnismäßigen Aufwand rekonstruierbar sind. Eine direkte Löschung von Daten aus bestehenden Backups (Art. 17 DSGVO) ist technisch nur durch Restore und erneute Anonymisierung möglich; aus diesem Grund werden Daten in Backups nach Ablauf der jeweiligen Backup-Frist (siehe 22.5) durch reguläre Rotation vollständig überschrieben. Bei dringenden Löschanforderungen prüfen wir den Einzelfall individuell.

22.7 Drittlandtransfer durch Cloud-Speicher

Backups werden in unserem Google-Workspace-Account auf Google Drive abgelegt. Es gelten dieselben Drittlandtransfer-Schutz- mechanismen wie in Abschnitt 18 (Google Drive): EU-U.S. Data Privacy Framework, Standardvertragsklauseln, internes Transfer Impact Assessment. Versand-Bestätigungen über Backup-Aktivität (z. B. „Backup erfolgreich") werden ggf. über unseren Mail-Provider Brevo versendet (siehe Abschnitt 13).

22.8 BGH-VI-ZR-396/24-Compliance bei AVV-Ende

Bei Beendigung der Sub-Auftragsverarbeitung mit Google Drive (z. B. Wechsel des Cloud-Anbieters) verpflichten wir uns zu einem verifizierten Lösch-Audit über die Drive-Aktivitäts- protokolle und einer schriftlichen Bestätigung gegenüber den betroffenen Personen — orientiert am BGH-Urteil VI ZR 396/24 (Sommer 2025) zu AVV-End-Klauseln.

23. Operative Hilfsdienste

23.1 Domain-Health und WHOIS-Abfragen (digital_presence.php)

Im Modul „Digitale Präsenz" können eingeloggte Kunden Domain- Health-Checks für eigene oder Mitbewerber-Domains durchführen. Dabei werden WHOIS-Daten (Domain-Inhaber, Registrar, Registrierungs-Datum, DNS-Records) abgefragt.

• Verarbeitete Daten Dritter: Soweit eine WHOIS-Abfrage personenbezogene Daten Dritter offenbart (z. B. Domain-Inhaber-Name), erfolgt die Verarbeitung auf Grundlage des berechtigten Interesses des anfragenden Kunden (Wettbewerbsbeobachtung, Markt-Analyse).
• DENIC-Einschränkung: Seit Mai 2018 sind öffentliche WHOIS-Abfragen für .de-Domains nach DSGVO-Anpassung der DENIC stark eingeschränkt — für die meisten Inhaber-Daten erscheint nur ein Verweis auf die DENIC-Stelle.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Kunden an Wettbewerbs- und Markt-Recherche).
• Speicherdauer: Keine persistente Speicherung der WHOIS-Antworten; nur temporärer Cache von maximal 24 Stunden zur Vermeidung redundanter Abfragen.

23.2 Fun-Bereich und Highscore-Tabelle (fun.php)

Das Portal stellt eingeloggten Nutzern (überwiegend Mitarbeitende) einen kleinen Pause-Spielebereich zur Verfügung (Solitär, Tetris, Galaga, Mopsman). Spielergebnisse werden in einer Highscore-Tabelle gespeichert.

• Verarbeitete Daten: Portal-Username bzw. Display-Name, Spielname (z. B. „tetris"), erreichte Punktzahl, Spielzeit in Sekunden.
• Erfassung in portal_usage_logs: Game-Start- und Game-Complete-Ereignisse mit Score und Dauer (Action-Typen game_start / game_complete).
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Mitarbeiterbindung und kollegialer Pause-Kultur).
• Speicherdauer: Highscore-Tabelle bis zur Account-Schließung; Usage-Logs gemäß Abschnitt 8.
• Keine Leistungsbewertung: Spiel-Aktivität wird nicht zur Leistungs- oder Verhaltens-Bewertung von Mitarbeitenden herangezogen (keine § 87 BetrVG-Mitbestimmungs-Pflicht).

23.3 WebSocket-Tracking (Modul Realtime)

Das Portal nutzt eine WebSocket-Verbindung für Echtzeit- Benachrichtigungen (z. B. neue Tasks, eingehende Datentransfer-Downloads, Mitarbeiter-Anwesenheits-Status).

• Verarbeitete Daten: Aktuelle Session-ID, Verbindungs-Zeitpunkt, Subscription-Topics (welche Ereignistypen der Nutzer empfangen möchte), zuletzt übermittelte Nachricht.
• Keine Persistenz nach Disconnect: Die WebSocket-Verbindung wird mit der Browser-Tab-Schließung beendet; ein Replay zurückliegender Ereignisse erfolgt NICHT (Push-only, kein Cache).
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Portal-Funktionalität als Service-Bestandteil).
• Keine Cookie-Setzung: Die WebSocket- Authentifizierung erfolgt über das bestehende Session-Cookie des Portals (siehe Abschnitt 3), nicht über zusätzliche Tracking-Cookies.

Anhang — PII-Verarbeitungs-Matrix