Datenschutzerklärung
TODO: Firmendaten, Auftragsverarbeiter-Liste und Aufsichtsbehörde vor Go-Live
mit echten Werten befüllen (alle […]-Felder).
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Website (produxy.io, Login-Bereich) ist:
[Firmenname]
[Straße und Hausnummer]
[PLZ] [Ort]
E-Mail: [datenschutz@produxy.de]
2. Rolle von Produxy
Produxy ist ein Software-as-a-Service (SaaS) für Produktions- und Auftragsmanagement. Datenschutzrechtlich treten wir in zwei Rollen auf:
- Verantwortlicher sind wir für die Daten, die wir auf der Login-Seite und der Unternehmenswebsite selbst erheben (z. B. IP-Adresse, Anmeldeversuche).
- Auftragsverarbeiter (Art. 28 DSGVO) sind wir für alle Daten, die unsere Kunden („Tenants") innerhalb der Anwendung verarbeiten (Mitarbeiter-, Auftrags-, Kundendaten usw.). Verantwortlicher ist insoweit der jeweilige Kunde. Für diese Verarbeitung gilt der zwischen uns und dem Kunden geschlossene Auftragsverarbeitungsvertrag (AVV).
3. Zugriffsdaten (Server-Logs)
Beim Aufruf von produxy.io werden technisch notwendige Zugriffsdaten erhoben und kurzfristig in Server-Logs gespeichert:
- IP-Adresse
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL und HTTP-Statuscode
- User-Agent (Browser und Betriebssystem)
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb und Missbrauchsabwehr). Speicherdauer: maximal [30 Tage], danach Löschung bzw. Anonymisierung.
4. Cookies und lokale Speicherung
Wir verwenden ausschließlich technisch notwendige Cookies im Sinne von § 25 Abs. 2 Nr. 2 TDDDG. Es findet kein Tracking, keine Analyse und keine Werbemessung statt. Eine Einwilligung ist daher nicht erforderlich.
| Name | Zweck | Speicherdauer |
|---|---|---|
laravel-session |
Sitzungskennung für den Login-Bereich (verschlüsselt) | Sitzungsende / 120 Min. Inaktivität |
XSRF-TOKEN |
Schutz vor Cross-Site-Request-Forgery (CSRF) | Sitzungsende |
remember_* |
„Angemeldet bleiben" — nur bei aktivem Opt-in | bis zu 1 Jahr, bei Logout gelöscht |
Zusätzlich wird im Browser (localStorage) ein Eintrag sidebar-collapsed
abgelegt, um den ein- oder ausgeklappten Zustand der Seitenleiste zu merken. Dabei handelt es sich
nicht um ein Cookie und es werden keine personenbezogenen Daten gespeichert.
5. Anmeldung und Authentifizierung
Zur Anmeldung verarbeiten wir Benutzername und Passwort (letzteres nur als Hash). Fehlgeschlagene Anmeldeversuche werden zum Schutz vor Brute-Force-Angriffen protokolliert (Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO).
6. Auftragsverarbeiter / Empfänger
Zur Bereitstellung des Dienstes setzen wir folgende Dienstleister ein, mit denen Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestehen:
| Dienstleister | Zweck | Ort |
|---|---|---|
| Netcup GmbH | Server-Hosting (Datenbank, Anwendung, Dokument-Uploads) | Nürnberg, Deutschland |
| Anthropic, PBC | Ausführung des Sprachmodells (Claude) für Assistenz-Funktionen | San Francisco, USA (Drittland) |
| Microsoft Ireland Operations Ltd. | Azure Speech Services (Sprache-zu-Text, Text-zu-Sprache) | Frankfurt, Deutschland |
Drittlandtransfer (USA)
Für die KI-gestützten Assistenz-Funktionen werden Auftragsdaten an Anthropic, PBC in den USA übermittelt. Rechtsgrundlage für diesen Drittlandtransfer ist eine Kombination aus:
- EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO (Anthropic Data Processing Addendum),
- EU-US Data Privacy Framework, soweit Anthropic auf der zertifizierten Liste geführt wird (Art. 45 DSGVO Angemessenheitsbeschluss vom 10.07.2023),
- Technische und organisatorische Maßnahmen: keine Trainingsverwendung der Eingaben (vertraglich ausgeschlossen), Datenminimierung im Tool-Layer, Verschlüsselung in Transport (TLS) und bei sensitiven Stammdaten auch in Ruhe (AES-256, 12 Spalten in 5 Tabellen).
Eine Umstellung auf Amazon Bedrock in der Region Frankfurt (eu-central-1) ist geplant und wird die Drittlandübermittlung beenden. Bis dahin gilt der hier beschriebene SCC/DPF-basierte Transfer.
Übermittlungen in andere Drittländer außerhalb der EU/EWR finden nicht statt.
7. KI-gestützte Verarbeitung
Produxy nutzt KI für mehrere Funktionen: Begründungstexte und Übersetzungs-Hilfen in Assistenz-Vorschlägen, den Voice- und Web-Chat-Assistenten, die KI-Dokumenten- und Eingangsrechnungs-Prüfung sowie das KI-Dispositions-Studio in der Werkstatt- planung. Als Sprachmodell kommt Claude der Firma Anthropic, PBC zum Einsatz (siehe Abschnitt 6 zum Drittlandtransfer).
Übertragen werden ausschließlich die für die Antwort notwendigen Daten (z. B. Auftragsnummer, Vorname, Zeitstempel, Dokumenten-OCR-Text). Gesundheits-, Sozialversicherungs- und Bankdaten werden nicht an das Sprachmodell übergeben.
Die Eingaben werden nicht zum Training von KI-Modellen verwendet. KI-generierte Ausgaben sind in der Anwendung als solche gekennzeichnet (Art. 50 EU AI Act). Die KI trifft keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO; jede vorgeschlagene Aktion muss manuell bestätigt werden.
Mitarbeiterinnen und Mitarbeiter, die mit den KI-Funktionen interagieren, werden im Rahmen einer dokumentierten Schulung über die Funktionsweise, Grenzen und Datenschutz-Aspekte der eingesetzten KI informiert (Art. 4 EU AI Act).
8. Ihre Rechte
Sie haben jederzeit das Recht auf:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Sind Sie Mitarbeiter eines Produxy-Kunden, richten Sie Anfragen bitte zuerst an Ihren Arbeitgeber, da dieser Verantwortlicher im Sinne der DSGVO ist. Wir leiten Ihre Anfrage andernfalls an den zuständigen Verantwortlichen weiter.
9. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist [z. B. Landesbeauftragte/r für Datenschutz und Informationsfreiheit …].
Stand: [TT.MM.JJJJ]