Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
CeFiSystems – Cedric Fischer, [Straße und Hausnummer], [PLZ] Bad Arolsen, Deutschland
E-Mail: c.fischer@cefisystems.de

2. Allgemeines

Bei diesem Dienst handelt es sich um ein geschlossenes Lizenzverwaltungsportal, das ausschließlich registrierten Nutzern (Administratoren und Wiederverkäufern) nach Anmeldung zur Verfügung steht. Wir verarbeiten personenbezogene Daten nur, soweit dies für den Betrieb des Portals erforderlich ist. Die Übertragung erfolgt ausschließlich verschlüsselt über HTTPS (TLS).

3. Server-Logdaten

Beim Zugriff auf das Portal werden technisch notwendige Daten verarbeitet, insbesondere die IP-Adresse, Datum und Uhrzeit des Zugriffs sowie sicherheitsrelevante Ereignisse (z. B. fehlgeschlagene Anmeldeversuche). Diese Daten dienen der Sicherstellung des sicheren und störungsfreien Betriebs sowie der Abwehr von Missbrauch (z. B. automatische Sperrung von IP-Adressen nach zu vielen Fehlversuchen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).

4. Cookies

Das Portal verwendet ausschließlich technisch notwendige Cookies, die für Anmeldung, Sitzungsverwaltung und Schutz vor Cross-Site-Request-Forgery erforderlich sind. Diese Cookies sind für den Betrieb zwingend erforderlich; eine Einwilligung ist hierfür nicht notwendig. Es werden keine Tracking- oder Marketing-Cookies eingesetzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 TDDDG (technisch erforderliche Speicherung).

5. Benutzerkonto und Portalnutzung

Zur Nutzung des Portals verarbeiten wir Bestandsdaten der Nutzer (Benutzername, Vor- und Nachname, Rolle, Firmenzuordnung) sowie die im Rahmen der Nutzung anfallenden Daten (Kunden-, Lizenz-, Bestell- und Abrechnungsdaten sowie Support-Anfragen). Passwörter werden ausschließlich als nicht umkehrbarer Hash gespeichert. Ausgewählte Felder (z. B. E-Mail-Adresse, Kundennummer) werden zusätzlich verschlüsselt in der Datenbank abgelegt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Nutzungsverhältnisses) sowie Art. 6 Abs. 1 lit. f DSGVO (ordnungsgemäßer Betrieb).

6. Zwei-Faktor-Authentifizierung

Zur Absicherung der Anmeldung setzen wir eine Zwei-Faktor-Authentifizierung ein. Standardweg ist ein zeitbasiertes Einmalpasswort (TOTP); hierbei verbleibt das Geheimnis verschlüsselt in unserer Datenbank, es findet keine Übermittlung an Dritte statt.

Für Administratoren kann alternativ Cisco Duo als zweiter Faktor genutzt werden. Anbieter ist Cisco Systems, Inc. bzw. ein verbundenes Unternehmen mit Sitz in den USA. Bei Nutzung von Duo wird zum Zweck der Authentifizierung der Benutzername an Duo übermittelt; dabei kann eine Verarbeitung in einem Drittland (USA) erfolgen. Die Übermittlung wird auf geeignete Garantien gemäß Art. 44 ff. DSGVO (z. B. Standardvertragsklauseln) gestützt. Die Nutzung von Duo ist optional; ohne Duo steht weiterhin der TOTP-Weg zur Verfügung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Authentifizierung).
Hinweis: Diesen Abschnitt entfernen, falls Duo nicht eingesetzt wird.

7. E-Mail-Benachrichtigungen

Sofern ein Nutzer freiwillig eine E-Mail-Adresse hinterlegt, verwenden wir diese ausschließlich für betriebliche Benachrichtigungen (z. B. zu Bestellungen, Support-Tickets oder sicherheitsrelevanten Ereignissen). Die Angabe ist optional und kann jederzeit im Profil wieder entfernt werden. Der Versand erfolgt über [einen eigenen / internen Mailserver bzw. Mailrelay].
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Hinterlegung der Adresse).

8. Empfänger und Auftragsverarbeiter

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, soweit dies zur Erbringung des Dienstes erforderlich ist oder eine gesetzliche Grundlage besteht. Eingesetzt werden können:

  • [Hosting/Server-Betrieb – z. B. eigenes Rechenzentrum / Anbieter benennen]
  • Cisco Systems, Inc. (Cisco Duo) – nur bei Nutzung der Duo-Authentifizierung
  • [ggf. weiterer Mail-Dienstleister, falls kein eigener Mailserver]

Mit Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

9. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald sie für die genannten Zwecke nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten (insbesondere handels- und steuerrechtlicher Art) entgegenstehen. Sicherheitsrelevante Logdaten werden nach [Aufbewahrungsdauer, z. B. 30/90 Tage] gelöscht.

10. Ihre Rechte

Sie haben nach der DSGVO insbesondere folgende Rechte:

  • Auskunft über die verarbeiteten Daten (Art. 15 DSGVO),
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO),
  • Löschung (Art. 17 DSGVO),
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO).

Zur Ausübung Ihrer Rechte genügt eine Nachricht an die oben genannte Kontaktadresse.

11. Beschwerderecht bei der Aufsichtsbehörde

Ihnen steht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu. Zuständig ist unter anderem die für unseren Sitz zuständige Behörde: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden.

12. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen, um die Daten gegen unbefugten Zugriff zu schützen, insbesondere TLS-Verschlüsselung der Verbindung, gehashte Speicherung von Passwörtern, verschlüsselte Ablage sensibler Felder sowie Schutzmechanismen gegen automatisierte Angriffe.

13. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald Änderungen der von uns durchgeführten Datenverarbeitung dies erforderlich machen. Es gilt die jeweils im Portal veröffentlichte Fassung. Stand: [Monat/Jahr].