1. Allgemeine Hinweise und Verantwortlicher
Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung von hejdesk. (nachfolgend „die Anwendung"). hejdesk. ist ein Produkt von DRICH.CONSULTING.
Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7 DSGVO):
DRICH.CONSULTING
An der Rosendelle 60
51399 Burscheid
Deutschland
E-Mail: datenschutz@drich.consulting
Telefon: 0173 5274400
2. Hosting und technische Infrastruktur
hejdesk. wird auf Servern eines externen Hosting-Anbieters betrieben. Dabei werden technisch notwendige Daten (insbesondere IP-Adressen, Anfrage-Metadaten) auf den Servern dieses Anbieters verarbeitet.
Hosting-Anbieter (Auftragsverarbeiter gemäß Art. 28 DSGVO):
Inhaber: René Münnich
Hauptstraße 68
02742 Friedersdorf
Deutschland
Mit ALL-INKL.COM – Neue Medien Münnich wurde ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen, auf Grundlage der von der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/915 erlassenen Standardvertragsklauseln. Dieser umfasst auch die technischen und organisatorischen Maßnahmen (TOM) des Anbieters.
Der Hosting-Anbieter speichert die im Rahmen des Hostings verarbeiteten Daten zur Abwicklung des Vertrages sowie auf Grundlage des Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) im Rahmen der gesetzlichen Aufbewahrungsfristen (z. B. TKG, HGB und AO) und so kurz wie rechtlich möglich. Nicht benötigte Daten werden im Rahmen der geltenden Gesetze und Verordnungen gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen am sicheren und zuverlässigen Betrieb der Anwendung)
3. Erhobene Daten und Zwecke der Verarbeitung
3.1 Nutzerkonto und Authentifizierung
Bei der Registrierung und Nutzung der Anwendung werden folgende Daten verarbeitet:
- Name und E-Mail-Adresse
- Passwort (einseitig gehasht mit bcrypt; kein Klartextzugriff möglich)
- Zeitstempel der Registrierung und letzten Anmeldung
- Ausgewählte Einstellungen und Konfigurationsoptionen
Zweck: Bereitstellung des Nutzerkontos, Authentifizierung, Zugriffskontrolle.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
3.2 CRM-Daten (Kontakte, Firmen, Deals)
Im Rahmen der CRM-Nutzung erfassen und verarbeiten Sie selbst personenbezogene Daten Ihrer Kontakte, Geschäftspartner und potenziellen Kunden (z. B. Namen, E-Mail-Adressen, Telefonnummern, Notizen, Aktivitäten). DRICH.CONSULTING verarbeitet diese Daten ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO und handelt dabei auf Ihre Weisung. Verantwortlicher für diese Verarbeitungen sind Sie als Nutzer der Anwendung.
Rechtsgrundlage Ihrer eigenen Verarbeitung: Liegt in Ihrer Verantwortung (typischerweise Art. 6 Abs. 1 lit. b oder lit. f DSGVO). Bitte stellen Sie sicher, dass Sie eine geeignete Rechtsgrundlage haben, bevor Sie personenbezogene Daten Dritter in hejdesk. eintragen.
3.3 Kalender und Terminverwaltung
Die Kalender-Funktion verarbeitet Termindaten (Titel, Beschreibung, Ort, Datum, Uhrzeit, Teilnehmer). Bei optionaler Verbindung mit externen Kalender-Diensten (Google Calendar, Microsoft Outlook) werden zusätzlich Synchronisierungsdaten verarbeitet — Details dazu in den Abschnitten 3.8 und 3.9.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
3.4 Buchungssystem (öffentliche Buchungs-Widgets)
Wenn Sie das integrierte Buchungssystem nutzen, werden über öffentlich zugängliche Buchungsseiten folgende Daten von Ihren Kunden erhoben und an hejdesk. übertragen:
- Name der buchenden Person
- E-Mail-Adresse (für Buchungsbestätigung und Terminerinnerung)
- Telefonnummer (sofern im Formular abgefragt)
- Frei formulierte Nachricht (sofern vorhanden)
- Gewählter Termin (Datum, Uhrzeit, Buchungstyp)
- Technische Tracking-Metadaten (Referrer-URL, soweit erhoben)
Als Betreiber eines Buchungs-Widgets sind Sie für die Verarbeitung dieser Kundendaten selbst verantwortlich. DRICH.CONSULTING verarbeitet diese Daten als Auftragsverarbeiter.
Rechtsgrundlage Ihrer eigenen Verarbeitung: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertragsverhältnisses mit Ihrem Kunden)
3.5 Formulare (öffentliche Web-Formulare)
Das Formular-Modul ermöglicht die Erstellung öffentlicher Web-Formulare. Die von den Ausfüllenden übermittelten Daten (abhängig von den von Ihnen konfigurierten Feldern) werden in hejdesk. gespeichert. Sie sind als Formular-Betreiber eigenverantwortlicher Verantwortlicher für diese Verarbeitungen; DRICH.CONSULTING handelt als Auftragsverarbeiter.
3.6 Rechnungen, Angebote, Auftragsbestätigungen
Im Rahmen des Rechnungsmoduls verarbeitet hejdesk. Daten, die zur Rechnungsstellung erforderlich sind:
- Name und Anschrift des Rechnungsempfängers
- Steuer- und Umsatzsteuer-Identifikationsnummern (sofern eingetragen)
- Leistungsbeschreibungen, Beträge, Steuersätze
- Zahlungsinformationen (IBAN/BIC sofern angegeben)
Zweck: Erstellung und Verwaltung von Geschäftsdokumenten gemäß gesetzlicher Anforderungen (HGB, UStG).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht zur Buchführung)
3.7 Fahrtenbuch
Die Fahrtenbuch-Funktion verarbeitet folgende Daten:
- Fahrtdaten (Datum, Start- und Zieladresse, Kilometer, Zweck)
- Fahrzeugdaten (Kennzeichen, Typ)
- GPS-Koordinaten (soweit über die automatische Adresserkennung erfasst)
Zweck: GoBD-konforme Fahrtenbuchführung, ggf. steuerliche Geltendmachung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (steuerliche Aufzeichnungspflichten)
3.8 Google Calendar Integration
Wenn Sie Ihren Google Calendar mit hejdesk. verbinden, erteilen Sie der Anwendung Zugriff auf Ihre Kalenderdaten über das OAuth-2.0-Verfahren.
Umfang des Zugriffs:
- Lesen und Schreiben von Kalendereinträgen in den von Ihnen freigegebenen Kalendern
- Erstellen, Bearbeiten und Löschen von Terminen in Ihrem Namen
Datenspeicherung: Der OAuth-2.0-Access-Token und Refresh-Token werden verschlüsselt in der Datenbank gespeichert. Kalenderinhalte werden zur Performance-Verbesserung lokal gecacht; dieser Cache wird bei Verbindungstrennung gelöscht.
Weitergabe an Dritte: Ihre Kalenderdaten werden nicht an Dritte weitergegeben. Sie verbleiben ausschließlich in Ihrer hejdesk.-Instanz.
Widerruf: Sie können die Google-Calendar-Verbindung jederzeit unter Einstellungen → Kalender trennen. Dadurch werden alle gespeicherten Tokens und gecachten Kalenderdaten gelöscht. Die Berechtigungen können zusätzlich direkt in Ihrem Google-Konto unter myaccount.google.com/permissions widerrufen werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Hinweis zur Google API Services User Data Policy: Die Nutzung von Google API-Daten in hejdesk. erfolgt in Übereinstimmung mit der Google API Services User Data Policy, einschließlich der Limited Use Requirements. hejdesk. verwendet Google Calendar-Daten ausschließlich für die oben genannten Zwecke. Die Daten werden nicht für Werbezwecke, nicht zur Weitergabe an Dritte und nicht für andere als die beschriebenen Funktionen genutzt.
3.9 Microsoft Calendar Integration (Outlook)
Wenn Sie Ihren Microsoft-Kalender (Outlook / Microsoft 365) mit hejdesk. verbinden, erteilen Sie der Anwendung über das OAuth-2.0-Verfahren (Microsoft Identity Platform) Zugriff auf Ihre Kalender- und Verfügbarkeitsdaten.
Umfang des Zugriffs:
- Lesen und Schreiben von Kalendereinträgen
- Erstellen, Bearbeiten und Löschen von Terminen in Ihrem Namen
Datenspeicherung: OAuth-Tokens werden verschlüsselt gespeichert. Kalenderdaten werden lokal gecacht; der Cache wird bei Verbindungstrennung gelöscht.
Widerruf: Verbindung unter Einstellungen → Kalender trennen sowie über myaccount.microsoft.com/permissions.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
3.10 E-Mail-Integration (IMAP/SMTP)
Wenn Sie ein E-Mail-Konto verbinden, werden folgende Daten verarbeitet:
- IMAP/SMTP-Zugangsdaten (Benutzername, Passwort — verschlüsselt gespeichert)
- E-Mail-Metadaten (Absender, Empfänger, Betreff, Datum)
- E-Mail-Inhalte (werden lokal in hejdesk. gecacht)
Zweck: Bereitstellung des integrierten E-Mail-Clients innerhalb der Anwendung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
3.11 Zeiterfassung
Das Zeiterfassungsmodul verarbeitet Zeiteinträge (Start, Ende, Dauer, Beschreibung, Projekt- und Kontaktzuordnung). Diese Daten sind ausschließlich für Sie als angemeldeten Nutzer sichtbar.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
3.12 KI-gestützte Funktionen (Anthropic Claude)
hejdesk. bietet optional KI-gestützte Funktionen (z. B. automatische Datenanreicherung von Kontaktdaten). Diese Funktionen nutzen die Anthropic Claude API.
Verarbeitete Daten: Wenn Sie eine KI-Funktion auslösen, werden die für die jeweilige Anfrage relevanten Daten (z. B. Name, Unternehmen eines Kontakts) an die Anthropic-API übertragen.
Auftragsverarbeiter:
548 Market St PMB 90375
San Francisco, CA 94104, USA
Anthropic verarbeitet die übermittelten Daten zur Verarbeitung Ihrer Anfrage. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die Übertragung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen finden Sie in der Datenschutzerklärung von Anthropic.
Die KI-Funktionen werden nur auf Ihre aktive Anfrage hin ausgelöst — keine automatische Verarbeitung ohne Ihre Aktion.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung der KI-Funktion)
3.13 Server-Logdaten
Bei jedem Zugriff auf die Anwendung werden folgende Daten automatisch in Server-Logfiles gespeichert:
- IP-Adresse (wird nach 7 Tagen anonymisiert)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL und HTTP-Methode
- HTTP-Statuscode
- Übertragene Datenmenge
- Browser und Betriebssystem (User-Agent)
Zweck: Sicherstellung des Betriebs, Fehlerbehebung, Erkennung und Abwehr von Angriffen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an einem sicheren und stabilen Betrieb der Anwendung)
4. Auftragsverarbeiter (Übersicht)
Folgende Dienstleister verarbeiten in unserem Auftrag personenbezogene Daten. Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO:
| Dienstleister | Sitz | Zweck | Grundlage Drittlandtransfer |
|---|---|---|---|
| ALL-INKL.COM – Neue Medien Münnich | Deutschland | Server-Infrastruktur, Datenspeicherung | Kein Drittlandtransfer (Server in Deutschland) |
| Anthropic, PBC | USA | KI-Verarbeitung (nur bei KI-Funktionen) | EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) |
| Google LLC | USA | Kalender-Synchronisation (nur bei opt-in) | EU-Standardvertragsklauseln / Google Data Processing Amendment |
| Microsoft Corporation | USA | Kalender-Synchronisation (nur bei opt-in) | EU-Standardvertragsklauseln / Microsoft DPA |
5. Datensicherheit
Alle Daten werden verschlüsselt übertragen (HTTPS/TLS). Die folgenden Sicherheitsmaßnahmen sind implementiert:
- Passwörter: einseitig gehasht mit bcrypt (Kostenfaktor ≥ 12) — kein Klartextzugriff möglich, keine Wiederherstellung
- API-Tokens und IMAP/SMTP-Zugangsdaten: symmetrisch verschlüsselt in der Datenbank gespeichert
- Zugriffssteuerung: JWT-basierte Authentifizierung mit kurzlebigen Access-Tokens (15 Minuten) und rotierten Refresh-Tokens
- Zugriffsbeschränkung: Zugriff auf Produktionsdaten ist auf den Betreiber beschränkt; keine Weitergabe von Zugangsdaten an Dritte
- Rate-Limiting: Schutz vor Brute-Force-Angriffen durch automatische Zugriffsbeschränkung
6. Speicherdauer
Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist:
- Kontodaten: Bis zur Kündigung des Nutzerkontos, danach Löschung innerhalb von 30 Tagen
- Rechnungs- und Buchführungsdaten: Mindestens 10 Jahre gemäß § 147 AO / § 257 HGB
- Fahrtenbuchdaten: Mindestens 10 Jahre gemäß steuerlicher Aufzeichnungspflichten
- E-Mail-Cache: Solange das E-Mail-Konto verbunden ist; bei Verbindungstrennung gelöscht
- Kalender-Cache: Solange die Kalenderverbindung aktiv ist; bei Verbindungstrennung gelöscht
- Server-Logdaten: IP-Adressen werden nach 7 Tagen anonymisiert; die Server-Logfiles werden vom Hosting-Anbieter im Rahmen der gesetzlichen Aufbewahrungsfristen und so kurz wie rechtlich möglich gespeichert und anschließend gelöscht
- Cron-/System-Protokolle: Werden nach 90 Tagen automatisch gelöscht
Nach Ablauf der Speicherdauer oder Kontokündigung werden die Daten unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
7. Weitergabe personenbezogener Daten
Personenbezogene Daten werden nicht an Dritte verkauft und nicht zu Werbezwecken weitergegeben. Eine Übermittlung an Dritte erfolgt ausschließlich:
- an Auftragsverarbeiter im Rahmen der in Abschnitt 4 beschriebenen Verarbeitungen,
- wenn Sie ausdrücklich eingewilligt haben (z. B. Google/Microsoft-Kalender-Integration),
- wenn eine gesetzliche Verpflichtung zur Weitergabe besteht (z. B. Behördenanfragen),
- wenn die Weitergabe zur Vertragserfüllung erforderlich ist.
8. Ihre Rechte als betroffene Person
Als betroffene Person haben Sie gegenüber dem Verantwortlichen folgende Rechte:
- Auskunft (Art. 15 DSGVO): Sie können jederzeit Auskunft darüber verlangen, welche personenbezogenen Daten wir über Sie verarbeiten.
- Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unrichtige oder unvollständige Daten berichtigen zu lassen.
- Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
- Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) beruht.
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung (z. B. für die Kalender-Integration oder KI-Funktionen) können Sie jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@drich.consulting
9. Beschwerderecht bei der Aufsichtsbehörde
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Für DRICH.CONSULTING (Sitz in Nordrhein-Westfalen) ist dies:
Postfach 20 04 44
40102 Düsseldorf
Telefon: 0211 38424-0
E-Mail: poststelle@ldi.nrw.de
Website: www.ldi.nrw.de
10. Cookies und Sitzungsverwaltung
hejdesk. setzt technisch notwendige Cookies und browser-seitige Speicher:
- Refresh-Token-Cookie: HttpOnly, Secure, SameSite=Strict — enthält das verschlüsselte Sitzungstoken. Kein Zugriff durch JavaScript möglich.
- localStorage: Anwendungseinstellungen und UI-Präferenzen (keine personenbezogenen Daten Dritter).
Analyse-, Werbe- oder Tracking-Cookies werden von hejdesk. nicht eingesetzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (technisch notwendig für die Vertragserfüllung / Sitzungsverwaltung)
11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei wesentlichen Änderungen der Anwendung oder der Rechtslage anzupassen. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert. Die jeweils aktuelle Version ist stets unter hejdesk.com/site/datenschutz abrufbar. Das Datum der letzten Aktualisierung ist oben angegeben.