1. Verantwortlicher

Johannes Tils, Zeppelinstr. 21, 42781 Haan, Deutschland

Diese Erklaerung gilt fuer die Nutzung von innungsapp.com und den dazugehoerigen App-Diensten.

2. Rollen nach DSGVO

Bei der Bereitstellung der Plattform fuer Innungen gilt regelmaessig: Die jeweilige Innung bzw. Organisation ist Verantwortlicher, InnungsApp ist Auftragsverarbeiter.

Fuer diese Verarbeitung wird vor dem Go-Live ein Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO abgeschlossen.

Bei reinem Besuch der Landingpage (ohne Kundenkonto) verarbeiten wir Daten als eigener Verantwortlicher.

3. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten insbesondere fuer folgende Zwecke:

Bereitstellung der Plattform und Nutzerkonten
Mitgliederverwaltung, Kommunikation und Terminfunktionen
Versand von E-Mails, z. B. Einladungen und Login-Links
Sicherheits-, Betriebs- und Missbrauchspraevention
Optionale KI-Unterstuetzung ueber OpenRouter
Optionale Reichweitenmessung der Landingpage ueber PostHog (nur nach Einwilligung)

Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vertragsanbahnung), lit. c DSGVO (rechtliche Pflicht), lit. f DSGVO (berechtigtes Interesse) und soweit erforderlich lit. a DSGVO (Einwilligung).

4. Verarbeitete Datenkategorien

Stammdaten, z. B. Name, E-Mail, Telefonnummer, Organisation
Nutzungsdaten und technische Protokolldaten, z. B. IP-Adresse, Zeitstempel, Events
Inhaltsdaten, z. B. Nachrichten, Termine, hochgeladene Dateien und Dokumente
Push-Token fuer Benachrichtigungen

5. Empfaenger und Dienstleister

Wir setzen folgende Kategorien von Empfaengern bzw. Unterauftragsverarbeitern ein:

Hosting-Infrastruktur in den USA (Texas); Administration erfolgt durch uns aus der EU unter strengen Zugriffsbeschraenkungen
E-Mail-Infrastruktur in den USA (Texas); Administration erfolgt durch uns aus der EU unter strengen Zugriffsbeschraenkungen
OpenRouter fuer optionale KI-Funktionen, sofern von der Innung aktiviert
PostHog fuer optionale Webanalyse der Landingpage (nur nach Einwilligung)
Apple APNs und Google FCM fuer Push-Benachrichtigungen

Eine aktuelle Liste eingesetzter Unterauftragsverarbeiter stellen wir auf Anfrage bzw. im AVV bereit.

6. Drittlanduebermittlung

Eine Verarbeitung personenbezogener Daten kann in den USA stattfinden. Soweit Drittlanduebermittlungen an externe Empfaenger erfolgen (z. B. Anbieter/Provider in den USA), schliessen wir EU-Standardvertragsklauseln (SCC) als geeignete Garantien nach Art. 44 ff. DSGVO ab.

Sofern Daten in den USA verarbeitet werden, dokumentieren wir zusaetzlich Transfer Impact Assessments (TIA) und setzen technische sowie organisatorische Schutzmassnahmen um, insbesondere Verschluesselung bei Uebertragung (TLS) und Speicherung, Zugriffsbeschraenkungen (MFA, rollenbasiert), Protokollierung sowie regelmaessige Berechtigungspruefungen. Details und aktuelle Unterauftragsverarbeiter sind im AVV dokumentiert.

7. KI-Funktionen ueber OpenRouter (optional)

KI-Funktionen sind optional und werden nur genutzt, wenn die jeweilige Innung diese Funktion aktiviert.

Verarbeitete Daten: Texteingaben, Prompts und generierte Antworten
Zweck: Formulierungshilfen und inhaltliche Unterstuetzung in der Plattform
Rechtsgrundlage: je nach Einsatz Art. 6 Abs. 1 lit. b, lit. f oder lit. a DSGVO
Drittlandbezug: kann je nach Modellanbieter bestehen

Es sollten keine besonderen Kategorien personenbezogener Daten in KI-Prompts eingegeben werden, sofern dies nicht ausdruecklich freigegeben und vertraglich geregelt ist.

8. Push-Benachrichtigungen

Fuer Push-Benachrichtigungen nutzen wir die Plattformdienste Apple Push Notification Service (APNs) und Firebase Cloud Messaging (FCM). Dabei werden technische Push-Token verarbeitet.

Dabei kann eine Uebermittlung in Drittlaender (insb. USA) nicht ausgeschlossen werden; in der Regel werden jedoch nur technische Token und Zustellinformationen verarbeitet.

9. Sicherheit und Protokollierung (TOMs)

Transportverschluesselung (TLS) und abgesicherte Admin-Zugaenge
Rollen- und Berechtigungskonzepte nach dem Need-to-know-Prinzip
Protokollierung sicherheitsrelevanter Zugriffe und Systemereignisse
Backup- und Wiederherstellungsprozesse

10. Speicherdauer und Loeschung

Wir speichern personenbezogene Daten nur so lange, wie es fuer die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Konkrete Loesch- und Aufbewahrungsfristen werden im AVV, im Loeschkonzept und in den vertraglichen Vereinbarungen mit der jeweiligen Innung geregelt.

System- und Sicherheitsprotokolle speichern wir in der Regel fuer 90 Tage. Technische Debug-/Fehlerprotokolle speichern wir in der Regel fuer 30 Tage.

Backups werden als Rolling-Backups in der Regel nach 90 Tagen ueberschrieben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11. Cookies, Consent und Webanalyse

Auf der Landingpage setzen wir optionale Analyse mit PostHog nur nach vorheriger Einwilligung ein. Vor Einwilligung wird PostHog nicht gestartet.

Im Rahmen der Webanalyse koennen Nutzungsdaten (z. B. Seitenaufrufe, Interaktionen und technische Metadaten) verarbeitet werden. Die Speicherdauer der Analysedaten betraegt 12 Monate.

PostHog wird in der USA-Region betrieben. Die Daten werden gemäß EU-Standardvertragsklauseln (SCC) mit angemessenen Schutzmassnahmen uebermittelt.

Ihre Consent-Entscheidung wird lokal auf Ihrem Geraet gespeichert und kann jederzeit ueber den Link "Cookie-Einstellungen" im Footer geaendert werden.

12. Ihre Rechte

Ihnen stehen insbesondere die Rechte auf Auskunft, Berichtigung, Loeschung, Einschraenkung der Verarbeitung, Datenuebertragbarkeit sowie Widerspruch zu.

Wenn Daten im Auftrag einer Innung verarbeitet werden, richten Sie Anfragen bitte primaer an die jeweilige Innung als Verantwortliche.

Als Auftragsverarbeiter unterstuetzen wir die jeweilige Innung bei der Erfuellung von Betroffenenrechten gemaess den Regelungen im AVV.

13. Konto- und Datenloeschung

Loeschanfragen koennen per E-Mail an{' '} johannestils@aol.com {' '} gestellt werden. Zur Sicherheit kann eine Identitaetspruefung erforderlich sein. Die Bearbeitung erfolgt in der Regel innerhalb von 30 Tagen.

14. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehoerde zu beschweren.