Datenschutzerklärung

1. Datenschutz auf einen Blick

2. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist:

Verantwortlicher ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

3. Datenschutzkontakt und Datenschutzbeauftragter

Für Datenschutzanfragen können Sie uns jederzeit unter contact@rettlog.de kontaktieren.

Ein Datenschutzbeauftragter wurde derzeit nicht benannt. Sollte künftig ein Datenschutzbeauftragter gesetzlich zu benennen sein oder freiwillig bestellt werden, werden die entsprechenden Kontaktdaten an dieser Stelle ergänzt.

4. Rollenverteilung bei der Nutzung von RettLog

RettLog kann sowohl eigene personenbezogene Datenverarbeitungen durchführen als auch personenbezogene Daten im Auftrag einer Kundenorganisation verarbeiten.

Soweit wir personenbezogene Daten für eigene Zwecke verarbeiten, zum Beispiel zur Bereitstellung der Website, zur Bearbeitung von Kontaktanfragen, zur Einrichtung von Testzugängen, zur Vertragsverwaltung, zur Abrechnung, zur E-Mail-Kommunikation, zur IT-Sicherheit, zur Fehleranalyse oder zur Missbrauchsvermeidung, handeln wir selbst als Verantwortlicher.

Soweit RettLog personenbezogene Daten innerhalb einer Kundenorganisation im Auftrag dieser Organisation verarbeitet, handelt RettLog als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die jeweilige Kundenorganisation ist in diesen Fällen für die konkrete Rechtmäßigkeit der Eingabe, Nutzung und Verarbeitung der Daten verantwortlich. Die Einzelheiten werden in einem gesonderten Vertrag zur Auftragsverarbeitung geregelt.

5. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt je nach Verarbeitungsvorgang auf einer oder mehreren der folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
• Art. 6 Abs. 1 lit. c DSGVO, soweit wir rechtlich zur Verarbeitung verpflichtet sind, insbesondere aufgrund handels- oder steuerrechtlicher Pflichten.
• Art. 6 Abs. 1 lit. f DSGVO, soweit die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist, insbesondere an einem sicheren, stabilen, nachvollziehbaren und wirtschaftlichen Betrieb unserer Website und Anwendung.
• Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung eingeholt wird, zum Beispiel für einen Newsletter oder bestimmte nicht notwendige Analyse- oder Marketingfunktionen.

6. Hosting und technische Infrastruktur

7. Server-Logs und technische Protokolldaten

Beim Besuch unserer Website und bei Nutzung der Anwendung werden automatisch technische Protokolldaten verarbeitet. Dazu gehören insbesondere:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• aufgerufene Seite oder Ressource
• HTTP-Methode
• HTTP-Statuscode
• übertragene Datenmenge
• Referrer-URL
• Browsertyp und Browserversion
• Betriebssystem
• User-Agent
• Hostname des zugreifenden Systems
• technische Fehlermeldungen
• sicherheitsrelevante Ereignisse

Diese Daten werden verarbeitet, um die Website und Anwendung technisch bereitzustellen, Angriffe zu erkennen, Störungen zu analysieren, Missbrauch zu verhindern, die IT-Sicherheit sicherzustellen und die Stabilität der Systeme zu gewährleisten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, stabilen und nachvollziehbaren Bereitstellung unserer Website und Anwendung.

Server-Logdaten werden grundsätzlich nur so lange gespeichert, wie dies für Sicherheit, Fehleranalyse und Betrieb erforderlich ist. Eine längere Speicherung erfolgt nur, wenn dies zur Aufklärung konkreter Sicherheitsvorfälle, zur Missbrauchsvermeidung, zur Rechtsdurchsetzung oder zur Erfüllung gesetzlicher Pflichten erforderlich ist.

8. Cloudflare Web Analytics

Wir verwenden Cloudflare Web Analytics, um die Nutzung unserer Website statistisch auszuwerten und technische Informationen zur Performance und Nutzung unseres Angebots zu erhalten.

Nach Angaben von Cloudflare verwendet Cloudflare Web Analytics keine clientseitigen Speichermechanismen wie Cookies oder Local Storage für Analysezwecke und betreibt kein Fingerprinting einzelner Personen über IP-Adresse, User-Agent oder vergleichbare Daten zur Darstellung von Analytics.

Im Rahmen der Nutzung können insbesondere folgende Informationen verarbeitet werden:

• aufgerufene Seiten und URLs
• Referrer-Informationen
• ungefähre Länder- oder Regionsinformationen
• Geräte- und Browserkategorien
• technische Performance-Werte
• Zeitpunkt des Seitenaufrufs
• aggregierte Nutzungsstatistiken

Die Verarbeitung erfolgt zur Analyse der Reichweite und Nutzung unserer Website, zur Verbesserung unseres Angebots, zur Erkennung technischer Probleme und zur Bewertung der Performance. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der nutzungsorientierten Verbesserung und dem wirtschaftlichen Betrieb unserer Website.

Soweit durch Cloudflare eine Verarbeitung personenbezogener Daten in den USA oder anderen Drittländern erfolgt, erfolgt diese auf Grundlage geeigneter Garantien im Sinne der Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln oder eines Angemessenheitsbeschlusses, soweit anwendbar.

9. Cookies, Local Storage und Session Storage

Unsere Website und Anwendung verwenden Cookies sowie vergleichbare Technologien wie Local Storage und Session Storage, soweit dies für den Betrieb, die Sicherheit, die Anmeldung oder ausdrücklich gewünschte Funktionen erforderlich ist.

Technisch notwendige Speicherungen dienen insbesondere:

• der Anmeldung und Sitzungsverwaltung
• dem Schutz vor unbefugtem Zugriff
• der Speicherung von Authentifizierungs- und Sitzungsinformationen
• der Aufrechterhaltung der Funktionalität der Anwendung
• der Speicherung lokaler Anzeigeoptionen
• der Speicherung nutzerbezogener Bedien- oder Darstellungseinstellungen
• der Absicherung gegen Missbrauch und Angriffe

Local Storage wird insbesondere für Anmeldedaten, Sitzungsbezug oder lokale Anzeigeoptionen verwendet, soweit dies für die Nutzung der Anwendung oder die gewünschte Darstellung erforderlich ist.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Speicherung zur Bereitstellung der vertraglich geschuldeten Anwendung erforderlich ist. Soweit die Speicherung der Sicherheit, Stabilität oder Missbrauchsvermeidung dient, ist Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage. Für den Zugriff auf Informationen im Endgerät oder die Speicherung von Informationen im Endgerät gilt § 25 Abs. 2 TDDDG, soweit die Speicherung technisch erforderlich ist.

Soweit künftig nicht technisch notwendige Cookies, Tracking-Technologien, Marketing-Technologien oder vergleichbare Dienste eingesetzt werden, holen wir hierfür vorab eine Einwilligung ein, soweit gesetzlich erforderlich.

10. Kontaktformular und sonstige Kontaktaufnahme

Auf unserer Website besteht die Möglichkeit, über ein Kontaktformular oder per E-Mail Kontakt mit uns aufzunehmen.

Dabei können insbesondere folgende Daten verarbeitet werden:

• Name
• Organisation
• E-Mail-Adresse
• Telefonnummer
• Anschrift, soweit angegeben oder erforderlich
• Nachricht und sonstige Angaben aus der Anfrage
• Zeitpunkt der Anfrage
• technische Metadaten der Übermittlung

Wir verwenden diese Daten zur Bearbeitung der Anfrage, zur Kommunikation mit der anfragenden Person, zur Beantwortung von Rückfragen, zur Vorbereitung einer Demo, zur Anbahnung eines Testzugangs oder zur Vertragsanbahnung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage auf einen Vertragsschluss, einen Testzugang, eine Demo oder sonstige vorvertragliche Maßnahmen gerichtet ist. Im Übrigen ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Bearbeitung eingehender Anfragen und der Kommunikation mit Interessenten.

Kontaktanfragen werden gelöscht, wenn sie nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen an einer weiteren Speicherung bestehen.

11. Testzugang und Trial-Registrierung

Interessenten können einen Testzugang für RettLog anfragen oder einrichten. Ein Testzugang dient der unverbindlichen Erprobung von RettLog.

Dabei können insbesondere folgende Daten verarbeitet werden:

• Name
• E-Mail-Adresse
• Telefonnummer
• Organisation
• Anschrift
• Zeitpunkt der Registrierung oder Anfrage
• technische Registrierungs- und Zugriffsdaten
• Angaben zur gewünschten Nutzung oder Organisation

Die Verarbeitung erfolgt zur Einrichtung, Bereitstellung, Verwaltung und Beendigung des Testzugangs, zur Kommunikation mit dem Interessenten sowie zur Prüfung, ob ein kostenpflichtiger Vertrag geschlossen werden soll.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen oder zur Bereitstellung des Testzugangs erforderlich ist. Soweit die Verarbeitung der Sicherheit, Missbrauchsvermeidung oder Nachvollziehbarkeit dient, ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

Daten aus Testzugängen können nach Ablauf des Testzeitraums gelöscht werden, wenn kein kostenpflichtiger Vertrag geschlossen wird und keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen an einer weiteren Speicherung bestehen.

12. Registrierung und Benutzerkonten

Nutzer können ein Benutzerkonto erstellen oder durch eine Organisation zur Nutzung von RettLog eingeladen werden.

Dabei können insbesondere folgende Daten verarbeitet werden:

• Name
• E-Mail-Adresse
• Telefonnummer, soweit angegeben
• Profilbild oder Profilbild-URL, soweit verwendet
• E-Mail-Verifizierungsstatus
• Nutzer-ID
• Organisationsmitgliedschaften
• Rollen und Berechtigungen innerhalb von Organisationen
• Konto-Status
• Erstellungs- und Änderungsdatum
• Anmelde- und Sitzungsdaten
• Sperrstatus, Sperrgrund und Ablauf einer Sperre, soweit eine Sperrung erfolgt

Die Verarbeitung erfolgt, um das Benutzerkonto bereitzustellen, Nutzer zu authentifizieren, Organisationsmitgliedschaften zu verwalten, Berechtigungen durchzusetzen und die Anwendung sicher zu betreiben.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Für sicherheitsrelevante Verarbeitungen, Missbrauchsvermeidung und Protokollierung ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

13. Anmeldung, Sessions und Geräteinformationen

Bei der Anmeldung und während der Nutzung der Anwendung werden Sitzungsdaten und technische Informationen verarbeitet.

Dazu können insbesondere gehören:

• Session-Token
• Nutzer-ID
• IP-Adresse
• User-Agent
• Browser- und Geräteinformationen
• Zeitpunkt der Anmeldung
• Ablaufzeitpunkt der Sitzung
• technische Sicherheitsinformationen
• Informationen zu fehlgeschlagenen Loginversuchen

Diese Daten dienen der Authentifizierung, der Aufrechterhaltung der Sitzung, der Erkennung unbefugter Zugriffe, der Missbrauchsvermeidung und der Sicherheit der Anwendung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Sitzungsverwaltung zur Nutzung der Anwendung erforderlich ist. Für Sicherheitszwecke ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

Sitzungsdaten werden grundsätzlich gelöscht oder ungültig gemacht, wenn sie für die Anmeldung und Sicherheit nicht mehr erforderlich sind, insbesondere nach Ablauf der jeweiligen Sitzung oder nach Löschung des Benutzerkontos, soweit keine längere Speicherung aus Sicherheits-, Nachweis- oder Missbrauchsgründen erforderlich ist.

14. Organisationen, Mitglieder, Rollen und Berechtigungen

RettLog ermöglicht die Verwaltung von Organisationen, Mitgliedern, Rollen und Berechtigungen.

Dabei können insbesondere folgende Daten verarbeitet werden:

• Organisation
• Organisationsanschrift, soweit hinterlegt
• Mitgliedschaft in einer Organisation
• Name und E-Mail-Adresse des Mitglieds
• Rolle innerhalb der Organisation
• Berechtigungen
• Einladungsstatus
• Zeitpunkte von Erstellung, Änderung und Entfernung
• ausführender Nutzer bei Änderungen

Diese Daten werden verarbeitet, um organisationsbezogene Zugriffe zu ermöglichen, Berechtigungen durchzusetzen, Verantwortlichkeiten abzubilden und die Anwendung mandantenfähig zu betreiben.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Für Protokollierung, Zugriffsschutz und Missbrauchsvermeidung ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

15. Einladungsfunktion

Organisationen können Personen per E-Mail zur Nutzung von RettLog einladen.

Dabei können insbesondere folgende Daten verarbeitet werden:

• E-Mail-Adresse der eingeladenen Person
• Name, soweit angegeben
• Rolle oder vorgesehene Berechtigung
• Organisation, zu der eingeladen wird
• Einladungsstatus
• Zeitpunkt der Einladung
• Ablaufzeitpunkt der Einladung
• einladender Nutzer

Die Verarbeitung erfolgt, um die Einladung zuzustellen, den Beitritt zur Organisation zu ermöglichen, Berechtigungen vorzubereiten und Missbrauch zu verhindern.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Einladung im Zusammenhang mit einem bestehenden oder anzubahnenden Nutzungsverhältnis steht. Im Übrigen ist Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage. Unser berechtigtes Interesse liegt in der organisationsbezogenen Nutzerverwaltung und sicheren Einladung neuer Nutzer.

Einladungsdaten werden gelöscht oder anonymisiert, wenn sie für den Einladungsprozess nicht mehr erforderlich sind, insbesondere nach Ablauf, Annahme, Ablehnung oder Entfernung der Einladung, soweit keine längere Speicherung aus Sicherheits-, Nachweis- oder Missbrauchsgründen erforderlich ist.

16. Nutzung der RettLog-Anwendung

Innerhalb der RettLog-Anwendung können je nach Nutzung der Organisation verschiedene Inhalte verarbeitet werden. Dazu gehören insbesondere:

• Einheiten und Fahrzeuge
• Materiallisten
• Checklisten
• Prüf- und Kontrollvorgänge
• Aufgaben
• Kommentare
• Mängel- und Schadensmeldungen
• Statusänderungen
• Fristen und Ablaufdaten
• Standorte und Zuordnungen
• Anhänge, Bilder und Dokumente
• interne Notizen
• Historien und Änderungsdaten

Soweit diese Inhalte personenbezogene Daten enthalten, werden sie verarbeitet, um die jeweiligen Funktionen bereitzustellen, Arbeitsabläufe zu dokumentieren, Nachvollziehbarkeit herzustellen und die von der Organisation gewünschte Nutzung der Anwendung zu ermöglichen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung der vertraglich geschuldeten SaaS-Leistung erforderlich ist. Soweit die Verarbeitung der Nachvollziehbarkeit, Sicherheit, Dokumentation oder Missbrauchsvermeidung dient, ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

Soweit Organisationen personenbezogene Daten ihrer Beschäftigten, Mitglieder, Helfer, Ehrenamtlichen oder sonstigen Personen in RettLog eingeben, sind sie für die Rechtmäßigkeit dieser Eingabe und Nutzung verantwortlich, sofern RettLog insoweit als Auftragsverarbeiter tätig wird.

17. Checklisten, Abgaben und digitale Bestätigungen

RettLog ermöglicht das Ausfüllen, Abgeben und Dokumentieren von Checklisten, Materialprüfungen, Kontrollen und vergleichbaren Vorgängen.

Dabei können insbesondere folgende Daten verarbeitet werden:

• Name des ausführenden Nutzers
• Benutzerkonto oder Nutzer-ID
• eingegebener Name bei Nutzung ohne Registrierung
• digitale Signatur, Namensangabe oder Bestätigung
• Zeitpunkt der Abgabe
• ausgefüllte Checklistenwerte
• Status der Checkliste
• zugeordnete Einheit, Fahrzeug oder Materialliste
• technische Metadaten der Abgabe

Diese Daten werden verarbeitet, um durchgeführte Prüfungen und Kontrollen nachvollziehbar zu dokumentieren, Verantwortlichkeiten abzubilden und Änderungen überprüfbar zu machen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Nutzung der Anwendung erforderlich ist. Soweit die Verarbeitung der Dokumentation, Nachvollziehbarkeit, Sicherheit oder Qualitätssicherung dient, ist Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

18. Nutzung ohne Registrierung, QR-Codes und Gastzugriffe

RettLog kann Funktionen bereitstellen, die auch ohne eigenes Benutzerkonto genutzt werden können, zum Beispiel über QR-Codes, öffentliche oder halböffentliche Links, Gastzugriffe oder sonstige anonyme Zugänge.

Dabei können insbesondere folgende Daten verarbeitet werden:

• eingegebener Name
• Checklistenangaben
• Bestätigungen oder Signaturen
• Zeitpunkt der Nutzung
• technische Zugriffsdaten
• IP-Adresse
• User-Agent
• zugeordnete Einheit, Materialliste, Checkliste oder Organisation
• gegebenenfalls Anhänge, Bilder oder Kommentare

Auch wenn kein Benutzerkonto erstellt wird, können diese Daten personenbezogen sein, wenn sie einer Person zugeordnet werden können.

Die jeweilige Kundenorganisation entscheidet, ob, wo und zu welchem Zweck QR-Codes, Gastzugriffe oder anonyme Zugänge eingesetzt werden. Soweit RettLog die dabei entstehenden Daten im Auftrag der Kundenorganisation verarbeitet, ist die Kundenorganisation für die konkrete Rechtmäßigkeit der Verarbeitung und für die Information der betroffenen Personen verantwortlich.

Die Verarbeitung erfolgt zur Durchführung und Dokumentation der jeweiligen Funktion, insbesondere zur Nachvollziehbarkeit von Checklisten, Prüfungen, Mängelmeldungen oder sonstigen Vorgängen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Nutzung zur Erfüllung der SaaS-Funktion erforderlich ist. Soweit die Verarbeitung der Dokumentation, Sicherheit oder Missbrauchsvermeidung dient, ist Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

19. Mängelmeldungen, Kommentare und Anhänge

RettLog kann die Meldung, Bearbeitung und Dokumentation von Mängeln, Schäden, Problemen, Aufgaben oder sonstigen Vorgängen ermöglichen.

Dabei können insbesondere folgende Daten verarbeitet werden:

• Name oder Nutzerkonto der meldenden Person
• Inhalt der Meldung
• Kommentare
• Status der Meldung
• zuständige oder bearbeitende Personen
• Zeitpunkte von Erstellung und Änderung
• Anhänge, Fotos oder Dateien
• technische Metadaten

Nutzer und Organisationen sollten darauf achten, keine unnötigen personenbezogenen Daten, Gesundheitsdaten, Patientendaten, Behandlungsdaten oder besonders schutzwürdigen Informationen in Freitextfelder, Kommentare oder Anhänge einzugeben, soweit dies für den jeweiligen Zweck nicht erforderlich ist.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Für Nachvollziehbarkeit, IT-Sicherheit, Missbrauchsvermeidung und Rechtsdurchsetzung ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

20. Datei-Uploads, Bilder, Dokumente und Thumbnails

Soweit Nutzer Dateien, Bilder oder Dokumente hochladen, können diese personenbezogene Daten enthalten.

Dabei können insbesondere verarbeitet werden:

• Dateiname
• Dateityp
• Dateigröße
• Inhalt der Datei
• hochladender Nutzer oder zugeordneter Gastzugriff
• Zeitpunkt des Uploads
• zugeordnete Organisation
• zugeordneter Vorgang
• technische Metadaten

Private Dokumente und geschützte Dateien werden grundsätzlich nur im Rahmen der vorgesehenen Zugriffsberechtigungen bereitgestellt. Thumbnail-Bilder, Vorschaubilder oder öffentlich eingebundene Bildvarianten können technisch so bereitgestellt werden, dass sie über eine nicht erratbare oder öffentlich erreichbare Datei-URL abrufbar sind und nicht zusätzlich passwortgeschützt sind.

Nutzer und Organisationen sollten daher keine sensiblen, vertraulichen, gesundheitsbezogenen oder personenbezogenen Inhalte als Bild oder Vorschaubild hochladen, wenn diese nicht für den jeweiligen Zweck erforderlich sind oder nicht in einer solchen Form angezeigt werden sollen.

Die Verarbeitung erfolgt zur Bereitstellung der jeweiligen Upload-, Anzeige- und Dokumentationsfunktion. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit Uploads zur Nachvollziehbarkeit, Sicherheit, Fehleranalyse oder Rechtsdurchsetzung gespeichert werden, ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

21. Audit-Logs und Änderungsprotokolle

RettLog protokolliert bestimmte sicherheits-, organisations- und funktionsrelevante Vorgänge in Audit-Logs und Änderungsprotokollen.

Dazu können insbesondere gehören:

• Erstellung, Änderung und Löschung von Einheiten, Listen, Checklisten, Aufgaben, Mängelmeldungen, Kommentaren, Mitgliedschaften, Rollen und Berechtigungen
• ausführender Nutzer
• Name und E-Mail-Adresse des ausführenden Nutzers
• betroffene Nutzer oder Organisationen
• alte und neue Werte einer Änderung
• Zeitpunkte
• IP-Adresse
• User-Agent
• technische Metadaten

Audit-Logs dienen der Nachvollziehbarkeit von Änderungen, der IT-Sicherheit, der Missbrauchsvermeidung, der Aufklärung von Fehlern und Sicherheitsvorfällen, der Erfüllung von Dokumentationsanforderungen und der Verteidigung gegen unberechtigte Ansprüche.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherheit, Integrität und Nachvollziehbarkeit der Anwendung sowie in der Verhinderung und Aufklärung von Missbrauch. Soweit Audit-Logs zur Vertragserfüllung oder zur Bereitstellung ausdrücklich gewünschter Dokumentationsfunktionen erforderlich sind, ist zusätzlich Art. 6 Abs. 1 lit. b DSGVO Rechtsgrundlage.

Audit-Logs werden nur so lange gespeichert, wie dies für die genannten Zwecke erforderlich ist. Die konkrete Speicherdauer richtet sich nach Art des protokollierten Vorgangs, Sicherheitsrelevanz, vertraglichen Anforderungen und berechtigten Nachweisinteressen. Soweit möglich, werden Audit-Logs nach Ablauf der erforderlichen Frist gelöscht oder anonymisiert.

22. Administratorzugriffe und Support

In bestimmten Fällen kann ein administrativer Zugriff auf Organisationsdaten erforderlich sein, zum Beispiel zur Fehleranalyse, zur technischen Unterstützung, zur Sicherheitsprüfung, zur Missbrauchsaufklärung oder zur Wiederherstellung der Funktionsfähigkeit.

Ein solcher Zugriff erfolgt nur, soweit dies erforderlich ist. Soweit möglich, erfolgt der Zugriff nach vorheriger Anfrage oder auf Veranlassung der betroffenen Organisation.

Sofern eine Funktion besteht, mit der Administratoren im Rahmen des Supports temporär die Ansicht oder Rolle eines Nutzers nachvollziehen können, wird diese Funktion nur zu Support-, Sicherheits- oder Fehleranalysezwecken verwendet und protokolliert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit der Zugriff zur Vertragserfüllung erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technischen Unterstützung, Fehlerbehebung, Sicherheit und Integrität der Anwendung.

23. E-Mail-Kommunikation über Proton Mail

Für E-Mail-Kommunikation verwenden wir Proton Mail. Anbieter ist die Proton AG mit Sitz in der Schweiz.

Wir verwenden E-Mail-Kommunikation insbesondere für:

• Kontakt- und Demo-Anfragen
• Testzugangs- und Trial-Kommunikation
• Einladungen
• Registrierungs- und Verifizierungs-E-Mails
• Passwort- oder Login-bezogene Nachrichten
• sicherheitsrelevante Hinweise
• wichtige produkt- oder vertragsbezogene Informationen
• Supportanfragen
• Wartungs- und Betriebsinformationen

Dabei können insbesondere Name, E-Mail-Adresse, Organisation, Inhalt der Nachricht, Versandzeitpunkt, Empfangszeitpunkt und technische Zustellinformationen verarbeitet werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Kommunikation zur Vertragsdurchführung, Vertragsanbahnung oder Bereitstellung der Anwendung erforderlich ist. Für sicherheitsrelevante und organisatorisch notwendige Benachrichtigungen ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

Soweit Proton personenbezogene Daten in unserem Auftrag verarbeitet, erfolgt dies auf Grundlage eines Vertrags zur Auftragsverarbeitung. Die Schweiz verfügt über einen Angemessenheitsbeschluss der Europäischen Kommission, sodass personenbezogene Daten grundsätzlich auf dieser Grundlage in die Schweiz übermittelt werden können.

24. Newsletter und Update-Benachrichtigungen

Nutzer und Interessenten können sich für einen Newsletter oder vergleichbare Update-Benachrichtigungen anmelden, zum Beispiel für Produktneuigkeiten, Wartungshinweise, Betriebsinformationen oder sonstige Updates zu RettLog.

Dabei können insbesondere folgende Daten verarbeitet werden:

• E-Mail-Adresse
• Name, soweit angegeben
• Organisation, soweit angegeben
• Anmeldezeitpunkt
• Bestätigungszeitpunkt
• IP-Adresse bei Anmeldung und Bestätigung
• Abmeldestatus
• technische Zustellinformationen

Die Verarbeitung erfolgt zum Versand des Newsletters oder der Update-Benachrichtigungen sowie zum Nachweis der Anmeldung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO, soweit der Versand auf einer Einwilligung beruht. Die Protokollierung der Anmeldung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im Nachweis einer ordnungsgemäßen Anmeldung und im Schutz vor Missbrauch.

Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, insbesondere über einen Abmeldelink in der jeweiligen E-Mail oder durch Nachricht an contact@rettlog.de.

Transaktionale, sicherheitsrelevante oder vertragsbezogene E-Mails können unabhängig von einem Newsletter-Abonnement versendet werden, soweit sie für die Bereitstellung, Sicherheit oder Durchführung des Vertrags erforderlich sind.

25. Rechnungs- und Buchhaltungsdaten mit sevDesk

Für Rechnungsstellung, Buchhaltung und kaufmännische Verwaltung verwenden wir sevDesk.

Dabei können insbesondere folgende Daten verarbeitet werden:

• Name
• Organisation oder Unternehmen
• Rechnungsanschrift
• E-Mail-Adresse
• Telefonnummer, soweit erforderlich oder angegeben
• Vertragsdaten
• Leistungsdaten
• Rechnungsdaten
• Zahlungsstatus
• steuerlich relevante Angaben
• Kommunikation zur Rechnung oder Buchhaltung

Die Verarbeitung erfolgt zur Vertragsdurchführung, Rechnungsstellung, Zahlungszuordnung, Buchhaltung, Erfüllung steuerlicher und handelsrechtlicher Pflichten sowie zur kaufmännischen Verwaltung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Vertragsdurchführung erforderlich ist. Für steuer- und handelsrechtliche Aufbewahrungspflichten ist Art. 6 Abs. 1 lit. c DSGVO Rechtsgrundlage. Soweit die Verarbeitung der geordneten kaufmännischen Verwaltung und Rechtsdurchsetzung dient, ist zusätzlich Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage.

Soweit sevDesk personenbezogene Daten in unserem Auftrag verarbeitet, erfolgt dies auf Grundlage eines Vertrags zur Auftragsverarbeitung nach Art. 28 DSGVO.

26. Patientendaten, Behandlungsdaten und besondere Kategorien personenbezogener Daten

RettLog ist nicht für die Verarbeitung von Patientendaten, Behandlungsdaten, Diagnosedaten, medizinischer Falldokumentation oder vergleichbaren Gesundheitsdaten bestimmt, soweit dies nicht ausdrücklich gesondert vereinbart wurde.

Nutzer und Organisationen dürfen solche Daten nicht in RettLog eingeben, hochladen oder speichern, soweit hierfür keine ausdrückliche Vereinbarung, keine geeignete Rechtsgrundlage und keine angemessenen zusätzlichen Schutzmaßnahmen bestehen.

Freitextfelder, Kommentare, Mängelmeldungen, Uploads und Bilder sollten grundsätzlich so verwendet werden, dass keine unnötigen sensiblen personenbezogenen Daten, Gesundheitsdaten oder Daten unbeteiligter Dritter verarbeitet werden.

Soweit eine Organisation entgegen dieser Zweckbestimmung besondere Kategorien personenbezogener Daten in RettLog verarbeitet, ist die Organisation für die Rechtmäßigkeit dieser Verarbeitung verantwortlich, soweit RettLog insoweit als Auftragsverarbeiter tätig wird.

27. Backups und Wiederherstellung

Zur Sicherstellung der Verfügbarkeit, Wiederherstellbarkeit und Integrität unserer Systeme erstellen wir technische Backups.

Backups können personenbezogene Daten aus der Anwendung enthalten. Sie dienen ausschließlich der Wiederherstellung im Falle technischer Störungen, Sicherheitsvorfälle, Datenverluste oder sonstiger Betriebsprobleme.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherheit, Verfügbarkeit und Wiederherstellbarkeit der Anwendung. Soweit Backups zur Vertragserfüllung erforderlich sind, ist zusätzlich Art. 6 Abs. 1 lit. b DSGVO Rechtsgrundlage.

Backups werden geschützt gespeichert, nur berechtigten Personen zugänglich gemacht und nach einem festgelegten Backup- und Löschkonzept gelöscht oder überschrieben.

28. Empfänger personenbezogener Daten

Personenbezogene Daten können je nach Verarbeitungsvorgang an folgende Kategorien von Empfängern übermittelt oder für diese zugänglich gemacht werden:

• Hosting-Anbieter, insbesondere Hetzner
• Analyseanbieter, insbesondere Cloudflare Web Analytics
• E-Mail-Dienstleister, insbesondere Proton Mail
• Buchhaltungs- und Rechnungsdienstleister, insbesondere sevDesk
• technische Dienstleister und Support-Dienstleister
• Speicher-, Backup- und Infrastrukturkomponenten
• Behörden, Gerichte oder Rechtsberater, soweit rechtlich erforderlich
• Kundenorganisationen, denen Nutzer zugeordnet sind oder in deren Auftrag Daten verarbeitet werden

Eine Übermittlung erfolgt nur, soweit dies für die genannten Zwecke erforderlich ist, eine Rechtsgrundlage besteht, eine Einwilligung vorliegt oder eine gesetzliche Verpflichtung besteht.

29. Auftragsverarbeitung

Soweit externe Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, schließen wir mit diesen Dienstleistern Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO, soweit dies erforderlich ist.

Soweit RettLog personenbezogene Daten im Auftrag einer Kundenorganisation verarbeitet, wird mit der Kundenorganisation ein Vertrag zur Auftragsverarbeitung geschlossen. In diesem werden insbesondere Gegenstand, Dauer, Art und Zweck der Verarbeitung, Kategorien personenbezogener Daten, Kategorien betroffener Personen, technische und organisatorische Maßnahmen sowie Rechte und Pflichten der Parteien geregelt.

Weitere Informationen können auf den Seiten Auftragsverarbeitung, Technische und organisatorische Maßnahmen und Unterauftragsverarbeiter bereitgestellt werden.

30. Drittlandübermittlungen

Eine Verarbeitung personenbezogener Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums kann insbesondere beim Einsatz internationaler Dienstleister erfolgen.

Bei Proton Mail kann eine Verarbeitung in der Schweiz erfolgen. Für die Schweiz besteht ein Angemessenheitsbeschluss der Europäischen Kommission.

Bei Cloudflare kann eine Verarbeitung in den USA oder anderen Drittländern erfolgen. Eine Drittlandübermittlung erfolgt nur, soweit hierfür eine geeignete Rechtsgrundlage besteht. Dies kann insbesondere ein Angemessenheitsbeschluss der Europäischen Kommission, eine Zertifizierung nach dem EU-U.S. Data Privacy Framework, Standardvertragsklauseln oder eine sonstige geeignete Garantie nach Art. 44 ff. DSGVO sein.

31. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist.

Die konkrete Speicherdauer richtet sich insbesondere nach:

• Art der Daten
• Zweck der Verarbeitung
• Vertragslaufzeit
• Einstellungen und Löschentscheidungen der jeweiligen Organisation
• gesetzlichen Aufbewahrungspflichten
• Sicherheits- und Nachweisinteressen
• berechtigten Interessen an Rechtsdurchsetzung oder Verteidigung

Daten aus Kontaktanfragen werden gelöscht, wenn die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen an einer weiteren Speicherung bestehen.

Daten aus Testzugängen werden nach Ablauf des Testzeitraums gelöscht, wenn kein kostenpflichtiger Vertrag geschlossen wird und keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen an einer weiteren Speicherung bestehen.

Benutzerkonten werden grundsätzlich gelöscht, wenn sie nicht mehr erforderlich sind oder eine Löschung verlangt wird und keine gesetzlichen oder berechtigten Gründe für eine weitere Speicherung bestehen.

Organisationsdaten werden grundsätzlich für die Dauer des Vertragsverhältnisses mit der jeweiligen Organisation gespeichert. Nach Vertragsende werden die Daten für einen Zeitraum von drei Monaten vorgehalten und anschließend gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen entgegenstehen.

Rechnungs- und Buchhaltungsdaten werden entsprechend den gesetzlichen handels- und steuerrechtlichen Aufbewahrungspflichten gespeichert.

Technische Logdaten und Sicherheitsprotokolle werden grundsätzlich nur so lange gespeichert, wie dies für Betrieb, Sicherheit und Fehleranalyse erforderlich ist. Bei konkreten Sicherheitsvorfällen kann eine längere Speicherung erforderlich sein.

Backups werden nach einem festgelegten Backup- und Löschkonzept regelmäßig überschrieben oder gelöscht. Daten können in Backups aus technischen Gründen noch zeitlich begrenzt vorhanden sein.

32. Sicherheit der Verarbeitung

Wir treffen technische und organisatorische Maßnahmen, um personenbezogene Daten gegen Verlust, Zerstörung, Veränderung, unbefugten Zugriff und unbefugte Offenlegung zu schützen.

Dazu gehören insbesondere:

• TLS-/SSL-Verschlüsselung
• Zugriffsbeschränkungen
• rollenbasierte Berechtigungen
• Trennung von Mandanten und Organisationen
• Protokollierung sicherheitsrelevanter Vorgänge
• Schutz administrativer Zugänge
• regelmäßige Updates
• Backups
• Monitoring und Fehleranalyse
• Schutz vor unbefugtem Zugriff auf Datenbanken und Server
• Beschränkung des Zugriffs auf personenbezogene Daten auf erforderliche Personen
• organisatorische Prozesse zur Behandlung von Sicherheitsvorfällen

Die Maßnahmen werden entsprechend dem Risiko, dem Stand der Technik und den organisatorischen Anforderungen weiterentwickelt.

33. Pflicht zur Bereitstellung personenbezogener Daten

Die Bereitstellung bestimmter personenbezogener Daten kann für die Nutzung unserer Website, die Bearbeitung einer Anfrage, die Einrichtung eines Testzugangs, den Abschluss oder die Durchführung eines Vertrags oder die Nutzung der RettLog-Anwendung erforderlich sein.

Ohne die jeweils erforderlichen Daten können wir die betreffenden Leistungen möglicherweise nicht oder nur eingeschränkt bereitstellen.

Soweit Daten freiwillig angegeben werden, ist die Bereitstellung nicht verpflichtend. Freiwillige Angaben können grundsätzlich unterbleiben, soweit sie für den jeweiligen Zweck nicht erforderlich sind.

34. Betroffenenrechte

Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen folgende Rechte:

• Recht auf Auskunft nach Art. 15 DSGVO
• Recht auf Berichtigung nach Art. 16 DSGVO
• Recht auf Löschung nach Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO
• Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
• Recht auf Widerspruch nach Art. 21 DSGVO
• Recht auf Widerruf einer Einwilligung nach Art. 7 Abs. 3 DSGVO
• Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde nach Art. 77 DSGVO

Zur Ausübung dieser Rechte können sich betroffene Personen jederzeit an contact@rettlog.de wenden.

Soweit RettLog personenbezogene Daten ausschließlich im Auftrag einer Organisation verarbeitet, leiten wir Betroffenenanfragen gegebenenfalls an die verantwortliche Organisation weiter oder stimmen die Bearbeitung mit dieser ab.

35. Widerspruchsrecht nach Art. 21 DSGVO

Wenn personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeitet werden, haben betroffene Personen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen.

Wir verarbeiten die betroffenen personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

36. Widerruf von Einwilligungen

Soweit eine Verarbeitung auf einer Einwilligung beruht, kann diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden.

Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt vom Widerruf unberührt.

37. Beschwerderecht bei der Aufsichtsbehörde

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

Zuständige Aufsichtsbehörde kann insbesondere sein:

Betroffene Personen können sich auch an jede andere zuständige Datenschutzaufsichtsbehörde wenden.

38. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

39. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Anforderungen, technische Funktionen, eingesetzte Dienstleister oder Datenverarbeitungen ändern.

Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.