Datenschutzerklärung
TODO: Firmendaten, Auftragsverarbeiter-Liste und Aufsichtsbehörde vor Go-Live
mit echten Werten befüllen (alle […]-Felder).
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Website (produxy.io, Login-Bereich) ist:
[Firmenname]
[Straße und Hausnummer]
[PLZ] [Ort]
E-Mail: [datenschutz@produxy.de]
2. Rolle von Produxy
Produxy ist ein Software-as-a-Service (SaaS) für Produktions- und Auftragsmanagement. Datenschutzrechtlich treten wir in zwei Rollen auf:
- Verantwortlicher sind wir für die Daten, die wir auf der Login-Seite und der Unternehmenswebsite selbst erheben (z. B. IP-Adresse, Anmeldeversuche).
- Auftragsverarbeiter (Art. 28 DSGVO) sind wir für alle Daten, die unsere Kunden („Tenants") innerhalb der Anwendung verarbeiten (Mitarbeiter-, Auftrags-, Kundendaten usw.). Verantwortlicher ist insoweit der jeweilige Kunde. Für diese Verarbeitung gilt der zwischen uns und dem Kunden geschlossene Auftragsverarbeitungsvertrag (AVV).
3. Zugriffsdaten (Server-Logs)
Beim Aufruf von produxy.io werden technisch notwendige Zugriffsdaten erhoben und kurzfristig in Server-Logs gespeichert:
- IP-Adresse
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL und HTTP-Statuscode
- User-Agent (Browser und Betriebssystem)
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb und Missbrauchsabwehr). Speicherdauer: maximal [30 Tage], danach Löschung bzw. Anonymisierung.
4. Cookies und lokale Speicherung
Wir verwenden ausschließlich technisch notwendige Cookies im Sinne von § 25 Abs. 2 Nr. 2 TDDDG. Es findet kein Tracking, keine Analyse und keine Werbemessung statt. Eine Einwilligung ist daher nicht erforderlich.
| Name | Zweck | Speicherdauer |
|---|---|---|
laravel-session |
Sitzungskennung für den Login-Bereich (verschlüsselt) | Sitzungsende / 120 Min. Inaktivität |
XSRF-TOKEN |
Schutz vor Cross-Site-Request-Forgery (CSRF) | Sitzungsende |
remember_* |
„Angemeldet bleiben" — nur bei aktivem Opt-in | bis zu 1 Jahr, bei Logout gelöscht |
Zusätzlich wird im Browser (localStorage) ein Eintrag sidebar-collapsed
abgelegt, um den ein- oder ausgeklappten Zustand der Seitenleiste zu merken. Dabei handelt es sich
nicht um ein Cookie und es werden keine personenbezogenen Daten gespeichert.
5. Anmeldung und Authentifizierung
Zur Anmeldung verarbeiten wir Benutzername und Passwort (letzteres nur als Hash). Fehlgeschlagene Anmeldeversuche werden zum Schutz vor Brute-Force-Angriffen protokolliert (Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO).
6. Auftragsverarbeiter / Empfänger
Zur Bereitstellung des Dienstes setzen wir folgende Dienstleister ein, mit denen Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestehen:
| Dienstleister | Zweck | Ort |
|---|---|---|
| Netcup GmbH | Server-Hosting (Datenbank, Anwendung, Dokument-Uploads) | Nürnberg, Deutschland |
| Amazon Web Services EMEA SARL | Amazon Bedrock (Ausführung des Sprachmodells) | Frankfurt, Deutschland |
| Microsoft Ireland Operations Ltd. | Azure Speech Services (Sprache-zu-Text, Text-zu-Sprache) | Frankfurt, Deutschland |
Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/EWR findet nicht statt.
7. KI-gestützte Verarbeitung
Produxy nutzt KI für zwei Funktionen: Begründungstexte in Assistenz-Vorschlägen sowie den Voice-Assistenten. Als Modell kommt Claude über Amazon Bedrock in Frankfurt zum Einsatz.
Übertragen werden ausschließlich die für die Antwort notwendigen Daten (z. B. Auftragsnummer, Vorname, Zeitstempel). Gesundheitsdaten werden nicht an das Sprachmodell übergeben.
Die Eingaben werden nicht zum Training von KI-Modellen verwendet. KI-generierte Ausgaben sind in der Anwendung als solche gekennzeichnet (Art. 50 EU AI Act). Die KI trifft keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO; jede vorgeschlagene Aktion muss manuell bestätigt werden.
8. Ihre Rechte
Sie haben jederzeit das Recht auf:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Sind Sie Mitarbeiter eines Produxy-Kunden, richten Sie Anfragen bitte zuerst an Ihren Arbeitgeber, da dieser Verantwortlicher im Sinne der DSGVO ist. Wir leiten Ihre Anfrage andernfalls an den zuständigen Verantwortlichen weiter.
9. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist [z. B. Landesbeauftragte/r für Datenschutz und Informationsfreiheit …].
Stand: [TT.MM.JJJJ]