# Datenschutz und DSGVO ## Inhaltsverzeichnis 1. Übersicht der Datenverarbeitung 2. Personenbezogene Daten im System 3. Datenspeicherorte und Verarbeitungsdienstleister 4. Auftragsverarbeitungsverträge (AVV) 5. Zugriffsberechtigungen und Rollenkonzept 6. Protokollierung (Audit-Log) 7. Datenlöschung und Aufbewahrungsfristen 8. Datensicherheit (technische Maßnahmen) 9. Betroffenenrechte 10. Datenpannen und Meldepflicht 11. Checkliste DSGVO-Konformität --- ## 1. Übersicht der Datenverarbeitung Pachtify360 ist ein Pachtverwaltungssystem für den internen Gebrauch. Es verarbeitet personenbezogene Daten von: - **Mitarbeitern der Organisation** (Benutzerkonten) - **Pächtern** (Vertragspartner, natürliche und juristische Personen) - **Verpächtern und Eigentümern** (Vertragspartner) - **Behörden und Dienstleistern** (Kontaktdaten) **Zweck der Verarbeitung:** Verwaltung von Pachtverträgen, Pächtern, Pachtobjekten und Abrechnungen im Rahmen des Pachtverhältnisses. **Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Daten der Vertragspartner; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für interne Verwaltung. --- ## 2. Personenbezogene Daten im System ### 2.1 Benutzerkonten (ZITADEL) Für jeden Mitarbeiter, der Pachtify360 nutzt, werden in ZITADEL gespeichert:

Datenkategorie	Felder
Identifikation	Vorname, Nachname, Benutzername
Kontakt	E-Mail-Adresse
Anmeldedaten	Passwort-Hash, Multi-Faktor-Daten
Berechtigungen	Zugewiesene Rolle (Administrator / Mitarbeiter / Auditor)
Technische Metadaten	Letzte Anmeldung, IP-Adresse bei Anmeldung, User-Agent

Speicherort: ZITADEL Cloud (Region Europa, s. Abschnitt 3.2) ### 2.2 Kontakte (Pächter, Verpächter, etc.) In der PostgreSQL-Datenbank werden für jeden Kontakt gespeichert:

Datenkategorie	Felder
Personendaten	Anrede, Vorname, Nachname, Firma, Kurzbezeichnung
Kontaktdaten	E-Mail, Telefon
Adresse	Straße, Hausnummer, PLZ, Ort, Bundesland, Land
Finanzdaten	Kreditorennummer, Kundennummer, USt-ID
SEPA-Daten	Mandatsart, Gläubiger-ID, Mandatsreferenz, Ausstellungsdatum
Sonstige	Notizen, benutzerdefinierte Felder

### 2.3 Pachtkonten und Abrechnungen Pachtkonten enthalten vertragsbezogene Daten (keine direkt personenbezogenen Daten, aber verknüpft mit Kontakten): - Kontonummer, Bezeichnung, Pachtzins, Fläche, Standort - Verknüpfungen zu Kontakten (Pächter-ID, Verpächter-ID) - Abrechnungsbeträge, Hebungen ### 2.4 Audit-Log Das Audit-Log enthält:

Feld	Personenbezug
User-ID	Indirekt personenbezogen (verweist auf ZITADEL-Konto)
Benutzername	Direkt personenbezogen
IP-Adresse	Direkt personenbezogen
Aktion, Bereich, Details	Sachlich, kein direkter Personenbezug

Das Audit-Log ist unveränderlich und kann nicht gelöscht werden. --- ## 3. Datenspeicherorte und Verarbeitungsdienstleister ### 3.1 Eigener Server (Hauptdatenbank)

Dienst	Beschreibung	Speicherort
PostgreSQL	Alle Stammdaten, Pachtkonten, Kontakte, Audit-Log	Eigener Server (pacht.immobrand.de)

**Verantwortlich:** Heinsohn IT Solutions GmbH als Betreiber. **Serverstandort:** Gemäß Hosting-Provider (bitte bei Ihrem Provider prüfen und ggf. dokumentieren). ### 3.2 ZITADEL Cloud **Zweck:** Authentifizierung und Benutzerverwaltung **Betreiber:** ZITADEL Enterprise GmbH (Schweiz) **Serverstandort:** EU1 — Europa (konkret: Deutschland oder Niederlande, je nach gewählter Region) **Datenschutz-Website:** [zitadel.com/privacy](https://zitadel.com/privacy) **AVV:** ZITADEL stellt einen standardisierten Auftragsverarbeitungsvertrag zur Verfügung (s. Abschnitt 4) **Gespeicherte Daten:** Benutzerkonten der Mitarbeiter (Abschnitt 2.1) ### 3.3 Wasabi S3 **Zweck:** Speicherung von Dokumenten (z. B. Abrechnungs-PDFs) **Betreiber:** Wasabi Technologies LLC (USA), Serverstandort EU: Frankfurt (eu-central-2) **Datenschutz-Website:** [wasabi.com/legal/privacy-policy](https://wasabi.com/legal/privacy-policy) **Besonderheit:** US-Unternehmen mit EU-Servern; Standardvertragsklauseln (SCCs) erforderlich (s. Abschnitt 4) **Gespeicherte Daten:** PDF-Dokumente, die personenbezogene Daten von Pächtern und Verpächtern enthalten können ### 3.4 GitHub (GHCR / GitHub Actions) **Zweck:** Quellcode-Verwaltung, CI/CD-Pipeline, Docker-Image-Registry **Betreiber:** GitHub Inc. (USA) **Gespeicherte Daten:** Ausschließlich **kein** Personenbezug aus Pachtify360 — nur Quellcode, Build-Artefakte, Deployment-Konfiguration --- ## 4. Auftragsverarbeitungsverträge (AVV) Für alle Dienstleister, die personenbezogene Daten im Auftrag verarbeiten, ist ein AVV nach Art. 28 DSGVO erforderlich.

Dienstleister	AVV erforderlich	Status
ZITADEL (Benutzerkonten)	Ja	AVV unter [zitadel.com/dpa](https://zitadel.com/dpa) verfügbar; abschließen und dokumentieren
Wasabi (Dokumente mit Personenbezug)	Ja	DPA unter [wasabi.com/legal](https://wasabi.com/legal/data-processing-addendum) verfügbar; für EU-Standort SCCs prüfen
Hosting-Provider (Server)	Ja	Beim Hosting-Provider individuell anfordern
GitHub (kein Personenbezug)	Nein	Kein AVV erforderlich

> **Handlungsbedarf:** AVVs mit ZITADEL und Wasabi müssen formell abgeschlossen und im Verzeichnis der Verarbeitungstätigkeiten (VVT) dokumentiert werden. --- ## 5. Zugriffsberechtigungen und Rollenkonzept Pachtify360 setzt das **Prinzip der minimalen Berechtigung** um:

Rolle	Zugriff auf personenbezogene Daten
Administrator	Vollzugriff: Lesen, Schreiben, Löschen aller Daten
Mitarbeiter	Lesen und Bearbeiten von Kontakt- und Vertragsdaten; kein Löschen
Auditor	Nur-Lesen aller Daten inkl. Audit-Log; keine Bearbeitung

**Zugangskontrolle:** Authentifizierung über ZITADEL mit OIDC/PKCE; optionale Zwei-Faktor-Authentifizierung über ZITADEL konfigurierbar. **Empfehlung:** 2FA für alle Administrator-Konten in ZITADEL aktivieren. --- ## 6. Protokollierung (Audit-Log) Pachtify360 protokolliert automatisch alle Schreib- und Anmeldeoperationen: - Jedes Anlegen, Bearbeiten und Löschen von Datensätzen - Jede Anmeldung und Abmeldung - Jede Break-Glass-Anmeldung - IP-Adresse, Benutzername, Zeitstempel **Zweck der Protokollierung:** Nachvollziehbarkeit von Änderungen, Sicherheitsüberwachung, Nachweis bei Datenpannen. **Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Systemsicherheit), Art. 32 DSGVO (technische Sicherheitsmaßnahme). **Aufbewahrungsdauer:** Da das Audit-Log technisch unveränderlich ist, empfehlen wir eine Aufbewahrungsdauer von **2 Jahren** und danach gezielte Löschung älterer Einträge durch den Administrator (aktuell nur per direktem Datenbankzugriff möglich). --- ## 7. Datenlöschung und Aufbewahrungsfristen ### 7.1 Aufbewahrungsfristen

Datenkategorie	Aufbewahrungsfrist	Grundlage
Pachtvertragsdaten (aktive Verträge)	Laufzeit + 10 Jahre	§257 HGB, §147 AO
Abrechnungsdokumente	10 Jahre	§257 HGB
Kontaktdaten (aktive Vertragspartner)	Laufzeit + 10 Jahre	§257 HGB
Kontaktdaten (keine aktiven Verträge)	Bis Löschantrag oder 3 Jahre nach letztem Kontakt	DSGVO Art. 17
Audit-Log	Empfehlung: 2 Jahre	Art. 32 DSGVO
ZITADEL-Benutzerkonten (ausgeschiedene Mitarbeiter)	Sofort nach Ausscheiden sperren, nach 6 Monaten löschen	DSGVO Art. 5 Abs. 1 lit. e

### 7.2 Löschprozess für Kontakte Wenn ein Kontakt gelöscht werden soll (z. B. auf Antrag der betroffenen Person): 1. Prüfen: Bestehen noch aktive Pachtverträge mit diesem Kontakt? → Falls ja, Löschung erst nach Vertragsende und Ablauf der Aufbewahrungsfrist möglich 2. In Pachtify360: Kontakt öffnen → Löschen (nur durch Administrator) 3. Protokollieren: Datum und Grund der Löschung im internen Datenschutz-Log festhalten > **Hinweis:** Das Audit-Log enthält weiterhin den Benutzernamen historischer Einträge — dieser kann technisch nicht rückwirkend entfernt werden. Aus dem Audit-Log können gelöschte Kontaktdaten nicht wiederhergestellt werden. ### 7.3 Löschprozess für ausgeschiedene Mitarbeiter 1. ZITADEL-Konto sofort **sperren** (nicht löschen, s. Benutzerverwaltungs-Anleitung) 2. Nach 6 Monaten: Konto **löschen** (sofern keine laufenden Untersuchungen o. ä.) 3. Falls Audit-Log-Einträge des Benutzers aufbewahrt werden: Anonymisierung auf Wunsch durch Entfernen des Namens aus dem Audit-Log (nur per direktem Datenbankzugriff, technisch möglich, aber nicht empfohlen wegen Nachvollziehbarkeit) --- ## 8. Datensicherheit (technische Maßnahmen) ### Transportverschlüsselung - Alle Verbindungen zwischen Browser und Server: **TLS 1.3** (über Caddy / Let's Encrypt) - Caddy erzwingt HTTPS, HTTP wird automatisch auf HTTPS umgeleitet - Alle API-Verbindungen intern zwischen Containern: Docker-internes Netzwerk (nicht öffentlich zugänglich) ### Datenverschlüsselung im Ruhezustand - PostgreSQL: Keine native At-Rest-Verschlüsselung (Standardkonfiguration). **Empfehlung:** LUKS-Vollverschlüsselung des Serverdatenträgers auf Host-Ebene aktivieren - Wasabi S3: Server-Side Encryption (SSE) ist standardmäßig aktiviert - ZITADEL: Passwörter werden gehasht gespeichert (bcrypt) ### Authentifizierung und Session-Sicherheit - Sessions werden in PostgreSQL gespeichert (nicht im Arbeitsspeicher) - Session-Cookies: `HttpOnly`, `Secure`, `SameSite=Lax` - Session-Secret: zufällig generiert, min. 64 Zeichen - PKCE-Flow: verhindert Authorization-Code-Interception-Angriffe ### Sicherheits-HTTP-Header Caddy setzt automatisch: - `X-Frame-Options: SAMEORIGIN` — verhindert Clickjacking - `X-Content-Type-Options: nosniff` — verhindert MIME-Sniffing - `Referrer-Policy: strict-origin-when-cross-origin` - `Server`-Header wird entfernt (keine Versionsoffenbarung) ### Zugangsbeschränkungen - Kein direkter Datenbankzugang aus dem Internet (nur über Docker-internes Netzwerk) - SSH-Zugang zum Server: nur mit SSH-Key, kein Passwort-Login empfohlen - Break-Glass-Passwort: bcrypt-gehasht mit Work-Factor 12 --- ## 9. Betroffenenrechte Pachtify360 ist ein internes Verwaltungssystem. Dennoch haben betroffene Personen (insbesondere Pächter und Verpächter) folgende Rechte nach DSGVO:

Recht	Art. DSGVO	Umsetzung in Pachtify360
Auskunft	Art. 15	Administrator kann alle Daten einer Person exportieren (manuell aus Kontaktdetail + Pachtkonten)
Berichtigung	Art. 16	Administrator oder Mitarbeiter bearbeitet Kontaktdaten im System
Löschung	Art. 17	Administrator löscht Kontakt (sofern Aufbewahrungsfristen abgelaufen, s. Abschnitt 7)
Einschränkung	Art. 18	Manuell: Kontakt als „Inaktiv" markieren und Bearbeitung einschränken
Datenübertragbarkeit	Art. 20	Manueller Export durch Administrator (kein automatisierter Export aktuell)
Widerspruch	Art. 21	Einzelfallentscheidung durch Verantwortlichen

**Ansprechpartner für Betroffenenrechte:** Bitte intern festlegen und in der Datenschutzerklärung Ihres Unternehmens benennen. **Frist:** Anfragen zu Betroffenenrechten müssen innerhalb von **einem Monat** beantwortet werden (Art. 12 Abs. 3 DSGVO). --- ## 10. Datenpannen und Meldepflicht ### Was gilt als Datenpanne? - Unbefugter Zugriff auf das System oder die Datenbank - Verlust oder Diebstahl von Zugangsdaten - Versehentliches Löschen von personenbezogenen Daten - Datenleck durch Sicherheitslücke ### Sofortmaßnahmen bei Datenpanne 1. **Ausmaß feststellen:** Welche Daten, welcher Zeitraum, wie viele Betroffene? 2. **Zugang sperren:** Betroffene Accounts sperren, ggf. Passwörter zurücksetzen 3. **Audit-Log sichern:** Exportieren als Nachweis 4. **Dokumentieren:** Zeitstempel, Entdeckungsweg, betroffene Datenkategorien, Anzahl Betroffene, mögliche Folgen ### Meldepflicht

Wann	An wen	Frist
Wenn Risiko für Betroffene besteht	Zuständige Datenschutzbehörde (BSI / Landesbehörde)	72 Stunden nach Entdeckung (Art. 33 DSGVO)
Wenn hohes Risiko für Betroffene besteht	Betroffene Personen direkt	Ohne unangemessene Verzögerung (Art. 34 DSGVO)
Intern	Datenschutzbeauftragter (falls vorhanden)	Sofort

**Zuständige Datenschutzbehörde:** Je nach Bundesland des Unternehmenssitzes (z. B. Landesbeauftragter für Datenschutz und Informationsfreiheit). --- ## 11. Checkliste DSGVO-Konformität ### Einmalig (bei Inbetriebnahme) - [ ] AVV mit ZITADEL abgeschlossen und dokumentiert - [ ] AVV mit Wasabi (inkl. SCCs für US-Unternehmen) abgeschlossen und dokumentiert - [ ] AVV mit Hosting-Provider abgeschlossen und dokumentiert - [ ] Pachtify360 im Verzeichnis der Verarbeitungstätigkeiten (VVT) erfasst - [ ] Datenschutzbeauftragten informiert (falls vorhanden) - [ ] Serverstandorte dokumentiert - [ ] 2FA für Administrator-Konten in ZITADEL aktiviert - [ ] LUKS-Verschlüsselung auf Server-Datenträger geprüft/aktiviert (Empfehlung) ### Laufend - [ ] Ausgeschiedene Mitarbeiter sofort in ZITADEL sperren - [ ] Alle 6 Monate: Benutzerliste in ZITADEL prüfen (keine veralteten Konten) - [ ] Jährlich: Aufbewahrungsfristen prüfen und abgelaufene Datensätze löschen - [ ] Bei Datenpannen: Meldepflicht (72 h) einhalten - [ ] Break-Glass-Zugang: Protokoll nach jeder Nutzung prüfen --- *Dieses Dokument dient als interne Orientierungshilfe und ersetzt keine Rechtsberatung. Für verbindliche datenschutzrechtliche Einschätzungen empfehlen wir die Hinzuziehung eines Datenschutzbeauftragten oder Rechtsanwalts.*