Datenschutzerklärung

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen und die Cockpit-Plattform nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Datenerfassung auf der Website

Die Datenverarbeitung auf cockpit-plattform.de erfolgt durch den Websitebetreiber (siehe Abschnitt „Verantwortlicher"). Für den reinen Website-Besuch fallen nur Server-Logs an. Wenn Sie sich in der Cockpit-Plattform einloggen, werden zusätzlich die Daten verarbeitet, die Sie beim Login und während der Nutzung eingeben.

Wie verwenden wir Ihre Daten?

Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website und der Anwendung zu gewährleisten (z. B. Server-Logs). Andere Daten können zur Analyse oder zum Betrieb der gebuchten Module verwendet werden — etwa wenn Sie einen Kunden anlegen, ein Aufmaß erfassen oder eine Zeit buchen.

Welche Rechte haben Sie bezüglich Ihrer Daten?

Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit an uns wenden.

2. Hosting

Diese Website sowie die Cockpit-Plattform wird bei der IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland gehostet. Die personenbezogenen Daten werden auf Servern in Deutschland verarbeitet. Mit IONOS haben wir einen Vertrag zur Auftragsverarbeitung abgeschlossen.

3. Allgemeine Hinweise und Pflichtinformationen

Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Verantwortlicher ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Datenschutzbeauftragter

Ein Datenschutzbeauftragter wurde nicht bestellt, da keine Bestellpflicht nach § 38 BDSG besteht (weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, keine Kerngeschäfts-Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO). Für Datenschutzanfragen wenden Sie sich direkt an den oben genannten Verantwortlichen.

SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und am Schloss-Symbol in der Browserzeile.

Widerruf Ihrer Einwilligung zur Datenverarbeitung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Beschwerderecht bei der zuständigen Aufsichtsbehörde

Im Falle datenschutzrechtlicher Verstöße steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Zuständige Aufsichtsbehörde ist:

Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, in einem gängigen, maschinenlesbaren Format an Sie oder an einen Dritten aushändigen zu lassen. Eine direkte Übertragung an einen anderen Verantwortlichen erfolgt nur, soweit es technisch machbar ist.

Auskunft, Berichtigung, Löschung

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger, den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden.

Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 Abs. 1 und 4 DSGVO findet nicht statt. Es werden keine Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen, ausschließlich auf Basis einer automatisierten Verarbeitung getroffen.

4. Datenerfassung auf dieser Website

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

• Browsertyp und Browserversion
• verwendetes Betriebssystem
• Referrer URL
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner Website — hierzu müssen die Server-Log-Dateien erfasst werden. Die Daten werden nach 30 Tagen automatisch gelöscht.

Cookies

Die Cockpit-Plattform setzt ausschließlich technisch notwendige Cookies, um den Login-Status aufrechtzuerhalten:

• access_token, refresh_token, csrf_token— HttpOnly-Cookies für die Authentifizierung. Laufzeit: Session bzw. 30 Tage (Refresh-Token).
• user_info — enthält Anzeigename, E-Mail, Rolle und Mandanten-ID, damit die Single-Page-Anwendung beim ersten Laden ohne zusätzlichen Server-Roundtrip die mandantenspezifische Oberfläche aufbauen und die rollenbasierte Sichtbarkeit von Menüpunkten herstellen kann. Der Cookie wird ausschließlich für den vom Nutzer ausdrücklich gewünschten Login-Vorgang verwendet und enthält keine Tracking- oder Werbe-Inhalte. Laufzeit: Session.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen Login-Sitzung) bzw. § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich für den vom Nutzer ausdrücklich gewünschten Dienst). Es werden keine Tracking-Cookies, keine Werbe-Cookies und keine Drittanbieter-Cookies gesetzt.

Schriftarten (Inter)

Diese Website nutzt die Schriftart „Inter". Die Schriftdateien werden lokal auf dem Server gehostet und direkt von dort ausgeliefert. Es findet keine Verbindung zu Google Fonts oder anderen Drittanbietern statt.

5. Datenerfassung bei Nutzung der Cockpit-Plattform

Account-Anlage und Login

Wenn Sie einen Cockpit-Account nutzen, speichern wir:

• E-Mail-Adresse
• Vor- und Nachname
• Rolle (Admin, Buchhaltung, Mitarbeiter, Super-Admin)
• Verschlüsselten Passwort-Hash (nie Klartext)
• Optional: Zwei-Faktor-Geheimnis (TOTP)
• Zeitstempel für letzten Login

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Die Bereitstellung der Account-Daten (E-Mail-Adresse, Vor- und Nachname, Passwort) ist zur Begründung und Erfüllung des Nutzungsvertrags erforderlich. Sie sind nicht gesetzlich verpflichtet, uns diese Daten bereitzustellen. Ohne die genannten Daten können wir Ihnen jedoch keinen Account einrichten und die Cockpit-Plattform nicht für Sie bereitstellen.

Mandantenbezogene Nutzdaten

Jeder Mandant (Firma) erhält eine eigene, physisch getrennte Datenbank. Innerhalb dieser Datenbank werden die von Ihnen oder Ihren Kollegen erfassten Daten gespeichert — zum Beispiel Kunden, Aufträge, Projekte, Zeiten, Aufmaße, Lagerbestände. Diese Daten gehören dem jeweiligen Mandanten, nicht uns.

Im Rahmen dieser Verarbeitung handeln wir als Auftragsverarbeiter gemäß Art. 28 DSGVO. Vor Aufnahme des Produktivbetriebs schließen wir mit Ihnen einen Auftragsverarbeitungsvertrag (AVV), der Einzelheiten zur Datenverarbeitung regelt.

Lexware-Integration (optional)

Wenn Sie die Lexware-Anbindung aktivieren, werden Kunden- und Artikeldaten zwischen Ihrer Cockpit-Plattform-Instanz und der Lexware Office API synchronisiert. Die Synchronisation läuft ausschließlich zwischen unserem Server und der Lexware-API — Cockpit leitet keine Daten an Dritte weiter.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, da von Ihnen aktiv gebuchtes Modul). Die API-Schlüssel werden verschlüsselt (AES-256-GCM) gespeichert.

Backups

Wir erstellen täglich verschlüsselte Backups aller Mandantendatenbanken. Die Backups werden mit dem Tool age verschlüsselt und für 30 Tage aufbewahrt, danach automatisch gelöscht. Die Verschlüsselung erfolgt mit einem Dual-Recipient-Schlüssel, sodass weder Cockpit noch IONOS alleine auf die Daten zugreifen können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Gewährleistung der Datensicherheit und an einer verfügbaren Wiederherstellung).

E-Mail-Versand

Für den Versand transaktionaler E-Mails (Passwort-Reset, Willkommensmail, System-Benachrichtigungen, Aufmaß-PDF-Versand an Kunden) nutzen wir derzeit Microsoft 365. Vertragspartner ist die Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.

Im Rahmen des Microsoft-365-Betriebs kann es zu Datenübermittlungen in die USA an die Microsoft Corporation kommen. Microsoft ist nach dem EU-US Data Privacy Framework zertifiziert. Übermittlungen erfolgen daher auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission vom 10.07.2023, ergänzend auf Grundlage der Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Eine Kopie der Garantien stellen wir auf Anfrage zur Verfügung.

Rechtsgrundlage der Verarbeitung: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale E-Mails an Vertragspartner; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionierenden Mail-Versand) für interne System-Benachrichtigungen. Mit Microsoft besteht ein Auftragsverarbeitungsvertrag.

Geplante Umstellung: Mittelfristig migrieren wir den E-Mail-Versand auf eigene SMTP-Infrastruktur über die Domain cockpit-plattform.de. Sobald die Umstellung erfolgt ist, aktualisieren wir diese Erklärung.

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die in dieser Erklärung genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungs­ pflichten es verlangen (z. B. steuer- und handelsrechtliche Aufbewahrungs­ fristen von bis zu 10 Jahren).

• Server-Logs: 30 Tage
• Backups: 30 Tage (rollierend)
• Account-Daten: bis zur Löschung des Accounts durch den Mandanten-Admin
• Abgelaufene Refresh-Tokens: automatisch nach Ablauf gelöscht

7. Weitergabe an Dritte

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte findet nur statt, wenn Sie ausdrücklich eingewilligt haben, die Weitergabe zur Erfüllung eines Vertrages mit Ihnen erforderlich ist, oder eine gesetzliche Verpflichtung besteht. An folgende Auftragsverarbeiter werden Daten übermittelt:

• IONOS SE (Hosting, Server in Deutschland)
• Microsoft Ireland Operations Ltd. (E-Mail-Versand via Microsoft 365; Konzernverbindung zur Microsoft Corporation in den USA, siehe Abschnitt 5 „E-Mail-Versand") — entfällt nach geplanter SMTP-Umstellung
• Haufe-Lexware GmbH & Co. KG (nur bei aktivierter Lexware-Integration)

8. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.