Skip to main content

Datenschutz und DSGVO

Inhaltsverzeichnis

  1. Übersicht der Datenverarbeitung
  2. Personenbezogene Daten im System
  3. Datenspeicherorte und Verarbeitungsdienstleister
  4. Auftragsverarbeitungsverträge (AVV)
  5. Zugriffsberechtigungen und Rollenkonzept
  6. Protokollierung (Audit-Log)
  7. Datenlöschung und Aufbewahrungsfristen
  8. Datensicherheit (technische Maßnahmen)
  9. Betroffenenrechte
  10. Datenpannen und Meldepflicht
  11. Checkliste DSGVO-Konformität

1. Übersicht der Datenverarbeitung

Pachtify360 ist ein Pachtverwaltungssystem für den internen Gebrauch. Es verarbeitet personenbezogene Daten von:

  • Mitarbeitern der Organisation (Benutzerkonten)
  • Pächtern (Vertragspartner, natürliche und juristische Personen)
  • Verpächtern und Eigentümern (Vertragspartner)
  • Behörden und Dienstleistern (Kontaktdaten)

Zweck der Verarbeitung: Verwaltung von Pachtverträgen, Pächtern, Pachtobjekten und Abrechnungen im Rahmen des Pachtverhältnisses.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Daten der Vertragspartner; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für interne Verwaltung.

2. Personenbezogene Daten im System

2.1 Benutzerkonten (ZITADEL)

Für jeden Mitarbeiter, der Pachtify360 nutzt, werden in ZITADEL gespeichert:

Datenkategorie Felder
Identifikation Vorname, Nachname, Benutzername
Kontakt E-Mail-Adresse
Anmeldedaten Passwort-Hash, Multi-Faktor-Daten
Berechtigungen Zugewiesene Rolle (Administrator / Mitarbeiter / Auditor)
Technische Metadaten Letzte Anmeldung, IP-Adresse bei Anmeldung, User-Agent

Speicherort: ZITADEL Cloud (Region Europa, s. Abschnitt 3.2)

2.2 Kontakte (Pächter, Verpächter, etc.)

In der PostgreSQL-Datenbank werden für jeden Kontakt gespeichert:

Datenkategorie Felder
Personendaten Anrede, Vorname, Nachname, Firma, Kurzbezeichnung
Kontaktdaten E-Mail, Telefon
Adresse Straße, Hausnummer, PLZ, Ort, Bundesland, Land
Finanzdaten Kreditorennummer, Kundennummer, USt-ID
SEPA-Daten Mandatsart, Gläubiger-ID, Mandatsreferenz, Ausstellungsdatum
Sonstige Notizen, benutzerdefinierte Felder

2.3 Pachtkonten und Abrechnungen

Pachtkonten enthalten vertragsbezogene Daten (keine direkt personenbezogenen Daten, aber verknüpft mit Kontakten):

  • Kontonummer, Bezeichnung, Pachtzins, Fläche, Standort
  • Verknüpfungen zu Kontakten (Pächter-ID, Verpächter-ID)
  • Abrechnungsbeträge, Hebungen

2.4 Audit-Log

Das Audit-Log enthält:

Feld Personenbezug
User-ID Indirekt personenbezogen (verweist auf ZITADEL-Konto)
Benutzername Direkt personenbezogen
IP-Adresse Direkt personenbezogen
Aktion, Bereich, Details Sachlich, kein direkter Personenbezug

Das Audit-Log ist unveränderlich und kann nicht gelöscht werden.

3. Datenspeicherorte und Verarbeitungsdienstleister

3.1 Eigener Server (Hauptdatenbank)

Dienst Beschreibung Speicherort
PostgreSQL Alle Stammdaten, Pachtkonten, Kontakte, Audit-Log Eigener Server (pacht.immobrand.de)

Verantwortlich: Heinsohn IT Solutions GmbH als Betreiber.
Serverstandort: Gemäß Hosting-Provider (bitte bei Ihrem Provider prüfen und ggf. dokumentieren).

3.2 ZITADEL Cloud

Zweck: Authentifizierung und Benutzerverwaltung
Betreiber: ZITADEL Enterprise GmbH (Schweiz)
Serverstandort: EU1 — Europa (konkret: Deutschland oder Niederlande, je nach gewählter Region)
Datenschutz-Website: zitadel.com/privacy
AVV: ZITADEL stellt einen standardisierten Auftragsverarbeitungsvertrag zur Verfügung (s. Abschnitt 4)

Gespeicherte Daten: Benutzerkonten der Mitarbeiter (Abschnitt 2.1)

3.3 Wasabi S3

Zweck: Speicherung von Dokumenten (z. B. Abrechnungs-PDFs)
Betreiber: Wasabi Technologies LLC (USA), Serverstandort EU: Frankfurt (eu-central-2)
Datenschutz-Website: wasabi.com/legal/privacy-policy
Besonderheit: US-Unternehmen mit EU-Servern; Standardvertragsklauseln (SCCs) erforderlich (s. Abschnitt 4)

Gespeicherte Daten: PDF-Dokumente, die personenbezogene Daten von Pächtern und Verpächtern enthalten können

3.4 GitHub (GHCR / GitHub Actions)

Zweck: Quellcode-Verwaltung, CI/CD-Pipeline, Docker-Image-Registry
Betreiber: GitHub Inc. (USA)
Gespeicherte Daten: Ausschließlich kein Personenbezug aus Pachtify360 — nur Quellcode, Build-Artefakte, Deployment-Konfiguration

4. Auftragsverarbeitungsverträge (AVV)

Für alle Dienstleister, die personenbezogene Daten im Auftrag verarbeiten, ist ein AVV nach Art. 28 DSGVO erforderlich.

Dienstleister AVV erforderlich Status
ZITADEL (Benutzerkonten) Ja AVV unter zitadel.com/dpa verfügbar; abschließen und dokumentieren
Wasabi (Dokumente mit Personenbezug) Ja DPA unter wasabi.com/legal verfügbar; für EU-Standort SCCs prüfen
Hosting-Provider (Server) Ja Beim Hosting-Provider individuell anfordern
GitHub (kein Personenbezug) Nein Kein AVV erforderlich

Handlungsbedarf: AVVs mit ZITADEL und Wasabi müssen formell abgeschlossen und im Verzeichnis der Verarbeitungstätigkeiten (VVT) dokumentiert werden.

5. Zugriffsberechtigungen und Rollenkonzept

Pachtify360 setzt das Prinzip der minimalen Berechtigung um:

Rolle Zugriff auf personenbezogene Daten
Administrator Vollzugriff: Lesen, Schreiben, Löschen aller Daten
Mitarbeiter Lesen und Bearbeiten von Kontakt- und Vertragsdaten; kein Löschen
Auditor Nur-Lesen aller Daten inkl. Audit-Log; keine Bearbeitung

Zugangskontrolle: Authentifizierung über ZITADEL mit OIDC/PKCE; optionale Zwei-Faktor-Authentifizierung über ZITADEL konfigurierbar.

Empfehlung: 2FA für alle Administrator-Konten in ZITADEL aktivieren.

6. Protokollierung (Audit-Log)

Pachtify360 protokolliert automatisch alle Schreib- und Anmeldeoperationen:

  • Jedes Anlegen, Bearbeiten und Löschen von Datensätzen
  • Jede Anmeldung und Abmeldung
  • Jede Break-Glass-Anmeldung
  • IP-Adresse, Benutzername, Zeitstempel

Zweck der Protokollierung: Nachvollziehbarkeit von Änderungen, Sicherheitsüberwachung, Nachweis bei Datenpannen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Systemsicherheit), Art. 32 DSGVO (technische Sicherheitsmaßnahme).

Aufbewahrungsdauer: Da das Audit-Log technisch unveränderlich ist, empfehlen wir eine Aufbewahrungsdauer von 2 Jahren und danach gezielte Löschung älterer Einträge durch den Administrator (aktuell nur per direktem Datenbankzugriff möglich).

7. Datenlöschung und Aufbewahrungsfristen

7.1 Aufbewahrungsfristen

Datenkategorie Aufbewahrungsfrist Grundlage
Pachtvertragsdaten (aktive Verträge) Laufzeit + 10 Jahre §257 HGB, §147 AO
Abrechnungsdokumente 10 Jahre §257 HGB
Kontaktdaten (aktive Vertragspartner) Laufzeit + 10 Jahre §257 HGB
Kontaktdaten (keine aktiven Verträge) Bis Löschantrag oder 3 Jahre nach letztem Kontakt DSGVO Art. 17
Audit-Log Empfehlung: 2 Jahre Art. 32 DSGVO
ZITADEL-Benutzerkonten (ausgeschiedene Mitarbeiter) Sofort nach Ausscheiden sperren, nach 6 Monaten löschen DSGVO Art. 5 Abs. 1 lit. e

7.2 Löschprozess für Kontakte

Wenn ein Kontakt gelöscht werden soll (z. B. auf Antrag der betroffenen Person):

  1. Prüfen: Bestehen noch aktive Pachtverträge mit diesem Kontakt? → Falls ja, Löschung erst nach Vertragsende und Ablauf der Aufbewahrungsfrist möglich
  2. In Pachtify360: Kontakt öffnen → Löschen (nur durch Administrator)
  3. Protokollieren: Datum und Grund der Löschung im internen Datenschutz-Log festhalten

Hinweis: Das Audit-Log enthält weiterhin den Benutzernamen historischer Einträge — dieser kann technisch nicht rückwirkend entfernt werden. Aus dem Audit-Log können gelöschte Kontaktdaten nicht wiederhergestellt werden.

7.3 Löschprozess für ausgeschiedene Mitarbeiter

  1. ZITADEL-Konto sofort sperren (nicht löschen, s. Benutzerverwaltungs-Anleitung)
  2. Nach 6 Monaten: Konto löschen (sofern keine laufenden Untersuchungen o. ä.)
  3. Falls Audit-Log-Einträge des Benutzers aufbewahrt werden: Anonymisierung auf Wunsch durch Entfernen des Namens aus dem Audit-Log (nur per direktem Datenbankzugriff, technisch möglich, aber nicht empfohlen wegen Nachvollziehbarkeit)

8. Datensicherheit (technische Maßnahmen)

Transportverschlüsselung

  • Alle Verbindungen zwischen Browser und Server: TLS 1.3 (über Caddy / Let's Encrypt)
  • Caddy erzwingt HTTPS, HTTP wird automatisch auf HTTPS umgeleitet
  • Alle API-Verbindungen intern zwischen Containern: Docker-internes Netzwerk (nicht öffentlich zugänglich)

Datenverschlüsselung im Ruhezustand

  • PostgreSQL: Keine native At-Rest-Verschlüsselung (Standardkonfiguration). Empfehlung: LUKS-Vollverschlüsselung des Serverdatenträgers auf Host-Ebene aktivieren
  • Wasabi S3: Server-Side Encryption (SSE) ist standardmäßig aktiviert
  • ZITADEL: Passwörter werden gehasht gespeichert (bcrypt)

Authentifizierung und Session-Sicherheit

  • Sessions werden in PostgreSQL gespeichert (nicht im Arbeitsspeicher)
  • Session-Cookies: HttpOnlySecureSameSite=Lax
  • Session-Secret: zufällig generiert, min. 64 Zeichen
  • PKCE-Flow: verhindert Authorization-Code-Interception-Angriffe

Sicherheits-HTTP-Header

Caddy setzt automatisch:

  • X-Frame-Options: SAMEORIGIN — verhindert Clickjacking
  • X-Content-Type-Options: nosniff — verhindert MIME-Sniffing
  • Referrer-Policy: strict-origin-when-cross-origin
  • Server-Header wird entfernt (keine Versionsoffenbarung)

Zugangsbeschränkungen

  • Kein direkter Datenbankzugang aus dem Internet (nur über Docker-internes Netzwerk)
  • SSH-Zugang zum Server: nur mit SSH-Key, kein Passwort-Login empfohlen
  • Break-Glass-Passwort: bcrypt-gehasht mit Work-Factor 12

9. Betroffenenrechte

Pachtify360 ist ein internes Verwaltungssystem. Dennoch haben betroffene Personen (insbesondere Pächter und Verpächter) folgende Rechte nach DSGVO:

Recht Art. DSGVO Umsetzung in Pachtify360
Auskunft Art. 15 Administrator kann alle Daten einer Person exportieren (manuell aus Kontaktdetail + Pachtkonten)
Berichtigung Art. 16 Administrator oder Mitarbeiter bearbeitet Kontaktdaten im System
Löschung Art. 17 Administrator löscht Kontakt (sofern Aufbewahrungsfristen abgelaufen, s. Abschnitt 7)
Einschränkung Art. 18 Manuell: Kontakt als „Inaktiv" markieren und Bearbeitung einschränken
Datenübertragbarkeit Art. 20 Manueller Export durch Administrator (kein automatisierter Export aktuell)
Widerspruch Art. 21 Einzelfallentscheidung durch Verantwortlichen

Ansprechpartner für Betroffenenrechte: Bitte intern festlegen und in der Datenschutzerklärung Ihres Unternehmens benennen.

Frist: Anfragen zu Betroffenenrechten müssen innerhalb von einem Monat beantwortet werden (Art. 12 Abs. 3 DSGVO).

10. Datenpannen und Meldepflicht

Was gilt als Datenpanne?

  • Unbefugter Zugriff auf das System oder die Datenbank
  • Verlust oder Diebstahl von Zugangsdaten
  • Versehentliches Löschen von personenbezogenen Daten
  • Datenleck durch Sicherheitslücke

Sofortmaßnahmen bei Datenpanne

  1. Ausmaß feststellen: Welche Daten, welcher Zeitraum, wie viele Betroffene?
  2. Zugang sperren: Betroffene Accounts sperren, ggf. Passwörter zurücksetzen
  3. Audit-Log sichern: Exportieren als Nachweis
  4. Dokumentieren: Zeitstempel, Entdeckungsweg, betroffene Datenkategorien, Anzahl Betroffene, mögliche Folgen

Meldepflicht

Wann An wen Frist
Wenn Risiko für Betroffene besteht Zuständige Datenschutzbehörde (BSI / Landesbehörde) 72 Stunden nach Entdeckung (Art. 33 DSGVO)
Wenn hohes Risiko für Betroffene besteht Betroffene Personen direkt Ohne unangemessene Verzögerung (Art. 34 DSGVO)
Intern Datenschutzbeauftragter (falls vorhanden) Sofort

Zuständige Datenschutzbehörde: Je nach Bundesland des Unternehmenssitzes (z. B. Landesbeauftragter für Datenschutz und Informationsfreiheit).

11. Checkliste DSGVO-Konformität

Einmalig (bei Inbetriebnahme)

  •  AVV mit ZITADEL abgeschlossen und dokumentiert
  •  AVV mit Wasabi (inkl. SCCs für US-Unternehmen) abgeschlossen und dokumentiert
  •  AVV mit Hosting-Provider abgeschlossen und dokumentiert
  •  Pachtify360 im Verzeichnis der Verarbeitungstätigkeiten (VVT) erfasst
  •  Datenschutzbeauftragten informiert (falls vorhanden)
  •  Serverstandorte dokumentiert
  •  2FA für Administrator-Konten in ZITADEL aktiviert
  •  LUKS-Verschlüsselung auf Server-Datenträger geprüft/aktiviert (Empfehlung)

Laufend

  •  Ausgeschiedene Mitarbeiter sofort in ZITADEL sperren
  •  Alle 6 Monate: Benutzerliste in ZITADEL prüfen (keine veralteten Konten)
  •  Jährlich: Aufbewahrungsfristen prüfen und abgelaufene Datensätze löschen
  •  Bei Datenpannen: Meldepflicht (72 h) einhalten
  •  Break-Glass-Zugang: Protokoll nach jeder Nutzung prüfen

Dieses Dokument dient als interne Orientierungshilfe und ersetzt keine Rechtsberatung. Für verbindliche datenschutzrechtliche Einschätzungen empfehlen wir die Hinzuziehung eines Datenschutzbeauftragten oder Rechtsanwalts.

No comments to display

Back to top