App-Datenschutzerklaerung

Version 1.0 — Stand: Maerz 2026

1. Verantwortlicher

CONPORT Services GmbH
Alte Benninghofer Str. 24
44263 Dortmund
Geschaeftsfuehrer: Benjamin Schowe
E-Mail: datenschutz@conport.services

Hinweis zur Auftragsverarbeitung: Soweit Sie die Aldric-Plattform als Kunde nutzen, verarbeitet CONPORT Services GmbH personenbezogene Daten in Ihrem Auftrag (Auftragsverarbeitung gemaess Art. 28 DSGVO). Details regelt der Auftragsverarbeitungsvertrag (AVV). Die nachfolgenden Angaben betreffen die Verarbeitung, fuer die CONPORT Services GmbH selbst verantwortlich ist.

2. Datenschutzbeauftragter

Ein externer Datenschutzbeauftragter wird derzeit bestellt. Die Kontaktdaten werden nach Bestellung hier veroeffentlicht.
Bis dahin wenden Sie sich bitte an: datenschutz@conport.services

3. Uebersicht der Verarbeitungstaetigkeiten

3.1 Benutzerkonto und Authentifizierung

Verarbeitete Daten: E-Mail-Adresse, Name, Passwort (gehasht), Organisationszugehoerigkeit (Mandanten-Zuordnung), Rollen und Berechtigungen, Zeitpunkt der Registrierung und letzten Anmeldung.
Zweck: Bereitstellung des Benutzerkontos, Authentifizierung ueber Keycloak (OpenID Connect/JWT), rollenbasierte Zugriffskontrolle (RBAC).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung).
Speicherdauer: Fuer die Dauer des Vertragsverhaeltnisses. Nach Vertragsende werden Kontodaten innerhalb von 30 Tagen geloescht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

3.2 Nutzung der Plattform-Module

Verarbeitete Daten: Alle Daten, die Sie in den Compliance-Modulen erfassen (z. B. Verarbeitungsverzeichnisse, DSFA-Bewertungen, Vertraege, Schulungsdaten, Richtlinien, Loeschkonzepte). Diese Daten koennen personenbezogene Daten Dritter enthalten.
Zweck: Bereitstellung der vertraglich vereinbarten Compliance-Management-Funktionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung) fuer Ihre Nutzungsdaten; Art. 28 DSGVO (Auftragsverarbeitung) fuer personenbezogene Daten Dritter, die Sie in der Plattform erfassen.
Speicherdauer: Fuer die Dauer des Vertragsverhaeltnisses. Nach Vertragsende erhalten Sie eine Exportmoeglichkeit (30 Tage), danach werden alle Mandantendaten geloescht (90 Tage Backup-Rotation).

3.3 Audit-Log und Protokollierung

Verarbeitete Daten: Benutzer-ID, Zeitstempel, durchgefuehrte Aktion, betroffene Ressource, IP-Adresse, Organisationszugehoerigkeit.
Zweck: Nachvollziehbarkeit von Aenderungen fuer Compliance-Anforderungen, Erkennung unberechtigter Zugriffe, Unterstuetzung bei Audits.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Nachvollziehbarkeit) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung, soweit Protokollierung gesetzlich vorgeschrieben ist).
Speicherdauer: Audit-Logs werden fuer die Dauer des Vertragsverhaeltnisses aufbewahrt, mindestens jedoch 12 Monate. Technische Server-Logs werden nach 30 Tagen geloescht.

3.4 Zahlungsabwicklung

Verarbeitete Daten: Rechnungsadresse, Zahlungsmethode (wird direkt von Stripe verarbeitet — wir speichern keine Kreditkartendaten), Rechnungshistorie.
Zweck: Abwicklung der Abonnement-Zahlungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung).
Speicherdauer: Rechnungsdaten werden gemaess steuerrechtlichen Aufbewahrungsfristen 10 Jahre aufbewahrt (§ 147 AO, § 257 HGB).

3.5 Transaktionale E-Mails

Verarbeitete Daten: E-Mail-Adresse, Name, Inhalt der Benachrichtigung.
Zweck: Versand von System-Benachrichtigungen (z. B. Passwortzuruecksetzung, Einladungen, Aufgaben-Erinnerungen, Fristenwarnungen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung).
Speicherdauer: E-Mail-Versandprotokolle werden nach 30 Tagen geloescht.

3.6 Datei-Uploads und Dokumentenspeicherung

Verarbeitete Daten: Hochgeladene Dateien (Vertraege, Nachweise, Dokumente), Dateiname, Dateityp, Upload-Zeitpunkt, Hochladender Benutzer.
Zweck: Speicherung von Compliance-relevanten Dokumenten im Rahmen der Plattform-Nutzung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung).
Speicherort: S3-kompatibler Objektspeicher (MinIO).
Speicherdauer: Fuer die Dauer des Vertragsverhaeltnisses. Export und Loeschung gemaess Vertragsende-Regelungen.

4. Technische und organisatorische Massnahmen

Wir setzen umfassende technische und organisatorische Massnahmen zum Schutz Ihrer Daten ein:

• Verschluesselung: TLS 1.2+ fuer alle Datenubertragungen, Verschluesselung ruhender Daten in der Datenbank und im Objektspeicher
• Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC) auf Modul-, Funktions- und Datensatzebene
• Mandantentrennung: Strikte technische Datentrennung auf Datenbankebene — kein Mandant kann auf Daten eines anderen Mandanten zugreifen
• Authentifizierung: Branchenstandard OpenID Connect mit Token-basierter Authentifizierung, optionale Zwei-Faktor-Authentifizierung
• Audit-Trail: Lueckenlose Protokollierung aller sicherheitsrelevanten Aktionen
• Backups: Regelmaessige automatisierte Backups mit 90-Tage-Rotation

Detaillierte technische und organisatorische Massnahmen sind in Anlage 1 des Auftragsverarbeitungsvertrags (AVV) beschrieben.

5. Empfaenger und Auftragsverarbeiter

Dienstleister	Zweck	Standort
Stripe, Inc. (USA)	Zahlungsabwicklung	EU/USA (EU-US Data Privacy Framework)
Hosting-Anbieter — wird ergaenzt	Plattform-Hosting und Infrastruktur	wird ergaenzt
E-Mail-Dienstleister — wird ergaenzt	Transaktionale E-Mails	wird ergaenzt

Die vollstaendige und aktuelle Liste der Auftragsverarbeiter finden Sie in unserem Auftragsverarbeitungsvertrag (AVV), Anlage 2.

6. Datenuebermittlung in Drittlaender

Eine Uebermittlung personenbezogener Daten in Drittlaender findet nur statt, soweit dies zur Vertragserfuellung erforderlich ist oder ein angemessenes Datenschutzniveau gewaehrleistet ist.

USA (Stripe): Stripe, Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Die Europaeische Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss fuer das EU-US DPF erlassen (Art. 45 DSGVO). Darueber hinaus bestehen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als ergaenzende Schutzmassnahme.

7. Rechte der betroffenen Personen

Sie haben gemaess DSGVO folgende Rechte:

• Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft ueber Ihre gespeicherten personenbezogenen Daten zu erhalten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie koennen die Berichtigung unrichtiger Daten verlangen.
• Recht auf Loeschung (Art. 17 DSGVO): Sie koennen die Loeschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschraenkung der Verarbeitung (Art. 18 DSGVO): Sie koennen die Einschraenkung der Verarbeitung verlangen.
• Recht auf Datenuebertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem maschinenlesbaren Format zu erhalten. Die Aldric-Plattform bietet hierzu eine integrierte Exportfunktion.
• Widerspruchsrecht (Art. 21 DSGVO): Sie koennen der Verarbeitung Ihrer Daten jederzeit widersprechen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie koennen eine erteilte Einwilligung jederzeit widerrufen.

Zur Ausuebung Ihrer Rechte wenden Sie sich bitte an: datenschutz@conport.services

8. Beschwerderecht bei der Aufsichtsbehoerde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehoerde zu beschweren. Die fuer uns zustaendige Aufsichtsbehoerde ist:

Landesbeauftragte fuer Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Postfach 20 04 44
40102 Duesseldorf
Telefon: +49 (0) 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Website: www.ldi.nrw.de

9. Aktualitaet und Aenderung dieser Datenschutzerklaerung

Diese Datenschutzerklaerung ist aktuell gueltig und hat den Stand Maerz 2026.

Durch die Weiterentwicklung unserer Plattform und Angebote oder aufgrund geaenderter gesetzlicher bzw. behoerdlicher Vorgaben kann es notwendig werden, diese Datenschutzerklaerung zu aendern. Die jeweils aktuelle Fassung ist stets ueber die Plattform und unsere Website abrufbar.