1. Verantwortlicher
CERTISCAN — Einzelunternehmen Inhaber: Christoph Schulz Am Mühlenberg 15 57078 Siegen Deutschland
E-Mail: support@certiscan.de Telefon: +49 172 5628392
2. Zwecke und Rechtsgrundlagen der Datenverarbeitung
Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).
2.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
- Bereitstellung der CERTISCAN-Plattform (SaaS)
- Benutzerkontenverwaltung und Authentifizierung
- Zeiterfassung, Reinigungsdokumentation, Prüfprotokolle
- Rechnungsstellung und Zahlungsabwicklung
- Kundensupport und Kommunikation
2.2 Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)
- Aufbewahrung steuerrechtlich relevanter Daten (10 Jahre, AO/HGB)
- WORM-Audit-Trail (unveränderliche Protokollierung)
- Hinweisgeberschutz nach HinSchG (anonyme Meldungen)
- Arbeitszeitdokumentation nach ArbZG
2.3 Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
- Plattformsicherheit und Missbrauchsprävention
- Fehlerbehebung und Leistungsoptimierung
- Anonymisierte Nutzungsstatistiken
3. Datenkategorien
Wir verarbeiten folgende Kategorien personenbezogener Daten:
- Stammdaten: Name, E-Mail-Adresse, Telefonnummer, Organisation
- Zugangsdaten: Passwort-Hash (bcrypt), Sitzungs-Token (JWT)
- Nutzungsdaten: Zeitstempel, IP-Adresse, Browser-Kennung
- Moduldaten: Zeiteinträge, Reinigungsprotokolle, Prüfberichte, QR-Code-Scans
- Standortdaten: Standortname und -adresse (keine GPS-Echtzeit-Ortung)
- Fotodaten: Reinigungsnachweise, Mängelfotos (freiwillig)
- HinSchG-Meldungen: Anonyme oder pseudonyme Hinweise gemäß Hinweisgeberschutzgesetz
4. Empfänger und Auftragsverarbeiter
Ihre Daten werden ausschließlich innerhalb der EU/des EWR verarbeitet. Ein Transfer in Drittländer findet nicht statt.
- Hetzner Online GmbH, Nürnberg (Server-Hosting, Rechenzentrum Deutschland)
- Strato AG, Berlin (Domain und DNS)
Mit allen Auftragsverarbeitern besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Der AVV ist einsehbar unter /legal/avv.
5. Speicherdauer
- Benutzerkonto: Dauer der Vertragsbeziehung + 30 Tage nach Löschung
- Audit-Trail (WORM): 10 Jahre (gesetzliche Aufbewahrungspflicht)
- Rechnungsdaten: 10 Jahre (§ 147 AO, § 257 HGB)
- Zeiterfassungsdaten: Vertragslaufzeit + 2 Jahre
- HinSchG-Meldungen: 3 Jahre nach Abschluss des Verfahrens (§ 11 HinSchG)
- Server-Logs: 7 Tage
6. Betroffenenrechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich an: support@certiscan.de
Sie können Ihre gesamten Organisationsdaten jederzeit als ZIP-Archiv exportieren (EU Data Act, Verordnung 2023/2854). Die Funktion finden Sie unter Einstellungen > Daten exportieren.
7. Beschwerderecht
Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Postfach 20 04 44, 40102 Düsseldorf E-Mail: poststelle@ldi.nrw.de https://www.ldi.nrw.de
8. Cookies und Tracking
8.1 Technisch notwendige Cookies
CERTISCAN verwendet technisch notwendige Cookies fuer die Sitzungsverwaltung. Diese Cookies sind fuer den Betrieb der Website erforderlich und koennen nicht deaktiviert werden.
- certiscan_session: JWT-Token fuer die Sitzungsverwaltung (Sitzungsdauer)
- certiscan_lang: Spracheinstellung (1 Jahr)
- certiscan_cookie_consent: Ihre Cookie-Einstellungen (1 Jahr)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
8.2 Analyse-Cookies (nur mit Einwilligung)
Wir verwenden Google Analytics 4 (GA4) zur anonymen Analyse der Websitenutzung. Die Erhebung erfolgt ausschliesslich nach Ihrer ausdruecklichen Einwilligung ueber das Cookie-Banner.
- Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
- Cookies: _ga (2 Jahre), _ga_* (2 Jahre), _gid (24 Stunden)
- Zweck: Anonyme Nutzungsstatistiken (Seitenaufrufe, Verweildauer, Geraetetyp)
- IP-Anonymisierung: aktiviert (anonymize_ip) — Ihre IP-Adresse wird vor der Speicherung gekuerzt
- Datenverarbeitung: EU-Server (Google Ireland Limited)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Sie koennen Ihre Einwilligung jederzeit widerrufen ueber den Link "Cookie-Einstellungen" im Footer der Website. Nach Widerruf werden keine weiteren Analyse-Daten erhoben.
Es erfolgt kein Profiling und keine Weitergabe personenbezogener Daten an Dritte zu Werbezwecken.
9. Sicherheitsmaßnahmen
Wir setzen umfangreiche technische und organisatorische Maßnahmen (TOM) zum Schutz Ihrer Daten ein:
- Verschlüsselung: TLS 1.3 für alle Verbindungen, bcrypt für Passwörter
- Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (RBAC) mit 7 Rollen
- Audit-Trail: Unveränderliche Hash-Chain (SHA-256, WORM-Prinzip)
- Hosting: Hetzner Cloud, Rechenzentrum in Deutschland (ISO 27001)
- Datensicherung: Tägliche verschlüsselte Backups
- Mandantentrennung: Strikte Trennung durch organization_id auf jeder Datenbanktabelle
10. Änderungen
Diese Datenschutzerklärung kann aktualisiert werden. Die aktuelle Version ist stets unter /legal/datenschutz abrufbar.
Stand: März 2026