Datenschutzerklärung

1. Verantwortliche Stelle

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) für diese Installation von SynaptiSec / diesen Online-Dienst ist:

Synaptic Four (Einzelunternehmen)

Königstraße 5 70173 Stuttgart Deutschland

E-Mail: contact@synapticfour.com · Vollständiges Impressum: synapticfour.com

2. Datenschutzbeauftragte:r

Eine Bestellung eines Datenschutzbeauftragten ist nur erforderlich, wenn die gesetzlichen Voraussetzungen erfüllt sind (Art. 37 DSGVO). Sofern für den Betreiber dieser Instanz kein:e DSB bestellt ist, können Sie sich mit Anliegen zum Datenschutz direkt an die oben genannte Kontaktadresse wenden – bitte mit dem Vermerk „Datenschutz“ (entspricht der üblichen Praxis, wenn kein gesonderter DSB genannt wird).

3. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung der Anwendung, zur Vertragserfüllung bzw. Vorvertraglichem, zur Erfüllung gesetzlicher Pflichten oder auf Grundlage von Einwilligungen erforderlich ist (Art. 6 Abs. 1 lit. b, c, f DSGVO). Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt.

4. Zwecke und Speicherdauer (Überblick)

• Konto & Organisation: Registrierung und Verwaltung des Zugangs (E-Mail, technische Kennungen, ggf. Anzeigename). Speicherung bis zur Löschung des Kontos bzw. gesetzlicher Aufbewahrungsfristen.
• Inhalte der Anwendung: von euch eingegebene Daten (z. B. Sicherheits-Maßnahmen, Bibliotheksdokumente, Notizen, Report-Metadaten). Werden in eurer konfigurierten Datenbank und ggf. in einem Datei-Speicher (Nachweis-Dateien) gespeichert. Speicherung bis zur Löschung durch euch bzw. bis zum Ende des Nutzungsverhältnisses. Öffentliche Report-Inhalte können — wenn der Betreiber die dafür vorgesehene Verschlüsselung aktiviert hat — als verschlüsselter Snapshot vorliegen (siehe Abschnitt „Verschlüsselung …“ unten). Für frei formulierte Inhalte (z. B. Markdown in der Bibliothek) bleibt die jeweilige Organisation inhaltlich verantwortlich; die Vorschau filtert gängige eingebettete Skripte, ersetzt aber keine fachliche oder rechtliche Prüfung.
• Export & Löschung: unter „Einstellungen“ können Daten exportiert und eine Löschung angestoßen werden (Zugang endet sofort; endgültiges Entfernen aus Datenbank und Speicher nach eurer Betriebskonfiguration).

5. Anmeldung über Google oder GitHub

Bei Nutzung von „Mit Google“ oder „Mit GitHub“ wird für die Anmeldung eine Verbindung zu diesen Anbietern aufgenommen. Dort gelten deren Nutzungs- und Datenschutzbedingungen. Es werden typischerweise technische Anmelde-Kennungen (OAuth) und die E-Mail-Adresse übermittelt und in der Anwendung gespeichert, um euer Konto zuzuordnen.

Drittlandübermittlung: Google und GitHub können Daten in Staaten außerhalb des EWR verarbeiten (u. a. USA). Es kommen ggf. die EU-Standardvertragsklauseln und zusätzliche Maßnahmen zum Einsatz. Informationen: Google Datenschutz · GitHub Privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen) sowie ggf. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Login).

6. Demo / Sandbox

Mit PUBLIC_DEMO_MODE=true können Besucher:innen eine Sandbox-Demo ohne Google-Konto starten. Dabei wird keine Anmelde-E-Mail erfasst; es entsteht ein technischer Sitzungszugang mit Beispieldaten. Bitte keine echten personenbezogenen Daten eingeben. Sandbox-Mandanten werden nach Ablauf der konfigurierten Frist (Standard: 24 Stunden) automatisch gelöscht. Exporte, Datei-Uploads und öffentliche Reports sind deaktiviert.

Lokal kann zusätzlich DEMO_AUTH=true einen festen Test-Login erlauben — nicht für öffentliche Produktion auf Vercel vorgesehen.

7. Hosting, Datenbank, Object Storage

Betrieb (Server, Datenbank, Speicher) erfolgt über die von euch gewählte Infrastruktur. Mit eurem Hoster besteht ggf. ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO — bitte vertraglich regeln. In den Anwendungsdaten können sich ggf. personenbezogene Daten Dritter (z. B. Kunden eurer Kund:innen) befinden; dafür bleibt ihr in der Datenverantwortung des jeweiligen Verantwortlichen.

8. Server- und Verbindungsdaten (Logfiles)

Wie bei Webanwendungen üblich können Server oder Proxies temporär IP-Adressen, Zeitstempel und angeforderte Ressourcen protokollieren (z. B. zur Systemsicherheit oder Fehleranalyse). Dauer und Umfang richten sich nach eurer Serverkonfiguration. Rechtsgrundlage ist i. d. R. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler und sicherer Infrastruktur).

9. Cookies und lokale Speicherung (TTDSG / DSGVO)

Für die Anmeldung setzen wir technisch notwendige Cookies bzw. Speicherungen ein (Session), ohne die die Nutzung des geschützten Bereichs nicht möglich ist. Es werden keine Werbe-Cookies oder Analyse-Tools von uns gesetzt, sofern ihr keine solchen Dienste zusätzlich einbindet.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (unbedingte Erforderlichkeit) i. V. m. Art. 6 Abs. 1 lit. b / f DSGVO.

10. Ihre Rechte

Sie haben gegenüber dem Verantwortlichen insbesondere:

• Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18)
• Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), z. B. für Deutschland eine Landesbehörde

11. Verschlüsselung, Inhaltszugriff und öffentliche Reports

• Auf dem Transportweg: HTTPS/TLS (bei korrekter Server-Konfiguration).
• Optional verschlüsselt in der Datenbank: öffentliche Report-Snapshots mit aktivem REPORT_ENCRYPTION_MASTER_KEY.
• Nicht Ende-zu-Ende verschlüsselt: Konto-/Profil-Daten, Maßnahmen, Bibliotheksdokumente, Nachweise und sonstige Inhalte der Anwendung.
• Betreiberzugriff: Personen mit Infrastruktur-/DB-Zugriff können Daten technisch einsehen; es besteht kein vollständiges Zero-Knowledge-Modell.

Betreiber der Instanz hat technisch Zugriff auf Datenbank- und Konfigurationsebene und damit — je nach Speicher- und Verschlüsselungskonfiguration — auf gespeicherte Inhalte. Eine durchgängige Client-seitige „Zero-Knowledge“-Verschlüsselung aller Anwendungsdaten ist derzeit nicht implementiert (mögliche spätere Ausbaustufe). Bitte kommuniziert gegenüber euren Nutzer:innen transparent, wo Daten liegen und wer im Betrieb Zugriff haben kann.

Öffentliche Reports: Ist kein Report-Masterschlüssel gesetzt, werden Report-Inhalte wie andere Anwendungsdaten verarbeitet (in der Regel lesbar auf Datenbankebene für Betreiber mit entsprechendem Zugriff). Bitte bei eurem Betreiber erfragen, ob und wie Verschlüsselung für Reports aktiv ist.

12. Verarbeitungsverzeichnis (Hinweis für Kund:innen)

Als Organisation, die SynaptiSec einsetzt, führt ihr i. d. R. ein eigenes Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO). Die Bibliothek enthält hierfür eine Startvorlage.

13. Änderungen

Der Anbieter behält sich vor, diese Erklärung anzupassen, wenn sich Recht oder Produkt ändern. Maßgeblich ist die jeweils veröffentlichte Fassung.