DealManager
Datenschutzerklärung
Informationen zur Verarbeitung personenbezogener Daten im B2B-SaaS-Betrieb.
Hinweis zum Rollenverhältnis: Für die Bereiche (1) und (2) ist Biernat Solutions Verantwortlicher im Sinne der DSGVO. Für Bereich (3) ist regelmäßig das jeweilige Autohaus Verantwortlicher; Biernat Solutions verarbeitet diese Daten als Auftragsverarbeiter auf Grundlage eines separaten Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO.
1. Verantwortlicher
Arkadius Biernat, handelnd unter Biernat Solutions
Dürerstr. 12
59368 Werne
Deutschland
E-Mail: info@biernat-solutions.de
Telefon: +49 (0)176 641 90 266
Ein Datenschutzbeauftragter ist derzeit nicht benannt, da nach aktueller interner Prüfung keine gesetzliche Benennungspflicht nach Art. 37 DSGVO besteht. Datenschutzanfragen können direkt an die oben genannten Kontaktdaten gerichtet werden.
2. Verarbeitete Datenkategorien
- Vertrags- und Abrechnungsdaten von B2B-Kunden, z. B. Firma, Ansprechpartner, Adresse, E-Mail, Rechnungsdaten.
- Benutzerkonten der Anwendung, z. B. Name, E-Mail, Rolle, Standort, Login-Audit, 2FA-Status und Session-Metadaten.
- Deal-, Fahrzeug-, Termin- und Kommunikationsdaten, die ein Autohaus in seinem Tenant verarbeitet.
- Technische Sicherheitsdaten, z. B. IP-Adresse, Zeitpunkt, User-Agent, Request-Metadaten, Fehler- und Audit-Logs.
- Support- und Kommunikationsinhalte, soweit sie für Anfragebearbeitung oder Störungsanalyse erforderlich sind.
3. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung, Betrieb und Absicherung der DealManager-Anwendung | Art. 6 Abs. 1 lit. b und f DSGVO; für Tenant-Kundendaten Art. 28 DSGVO |
| Benutzerverwaltung, Login, 2FA, Rollen- und Berechtigungskontrolle | Art. 6 Abs. 1 lit. b und f DSGVO |
| Abrechnung, Vertragsverwaltung und steuerliche Nachweise | Art. 6 Abs. 1 lit. b und c DSGVO |
| Support, E-Mail-Anfragen, Fehleranalyse, Monitoring und Missbrauchsschutz | Art. 6 Abs. 1 lit. b und f DSGVO |
Auf den öffentlichen DealManager-Rechtsseiten wird derzeit kein separates Marketing-Kontaktformular betrieben. Anfragen erfolgen per E-Mail oder über vertraglich vereinbarte Supportwege.
4. Pflicht zur Datenbereitstellung
Die Bereitstellung von Vertrags-, Abrechnungs-, Benutzer- und technischen Sicherheitsdaten ist für Abschluss, Durchführung und Absicherung des B2B-SaaS-Vertrags erforderlich. Ohne diese Daten können Vertrag, Tenant, Benutzerzugänge, Support und Sicherheitsnachweise nicht oder nur eingeschränkt bereitgestellt werden.
Für Kundendaten, die ein Autohaus in DealManager verarbeitet, entscheidet das jeweilige Autohaus als Verantwortlicher, welche Daten für seine eigenen Prozesse erforderlich sind.
5. Auftragsverarbeitung für Autohaus-Tenants
Soweit ein Autohaus personenbezogene Daten seiner Kunden, Interessenten, Mitarbeiter oder Dienstleister in DealManager verarbeitet, geschieht dies tenantbezogen und auf Weisung des jeweiligen Autohauses. Inhalt, Dauer, Kategorien betroffener Personen, technische und organisatorische Maßnahmen sowie Unterauftragsverarbeiter werden im AVV und dessen Anlagen geregelt.
Die technischen und organisatorischen Maßnahmen werden als Anlage zum AVV bereitgestellt und Kunden auf Anfrage zur Verfügung gestellt. Das Autohaus bleibt für eigene Informationspflichten, Rechtsgrundlagen, Einwilligungen und interne Zugriffsberechtigungen verantwortlich.
6. Dienstleister und Unterauftragsverarbeiter
| Dienstleister | Sitz / Verarbeitungsort | Zweck | Betroffene Daten | Transfermechanismus |
|---|---|---|---|---|
| Netcup GmbH | Karlsruhe / Nürnberg, Deutschland | Hosting der Serverinfrastruktur | Anwendungsdaten, Datenbanken, verschlüsselte Backups, technische Logs | EWR (kein Drittlandtransfer) |
| Brevo SAS (vormals Sendinblue) | Paris, Frankreich (EU) | Versand von System-, Termin- und Kunden-E-Mails | Empfängeradresse, Name/Anrede soweit erforderlich, Mailinhalt, technische Versandmetadaten | EWR; Verarbeitung gemäß Brevo-DPA |
| Functional Software, Inc. (Sentry) | EU-Region Frankfurt; Mutterkonzern USA | Fehleranalyse und Stabilitätsmonitoring | Technische Fehlerdaten; DealManager nutzt PII-Scrubbing und tenantgetrennte Projekte | Angemessenheitsbeschluss EU-U.S. Data Privacy Framework und EU-Standardvertragsklauseln gemäß Sentry-DPA |
| Better Stack, Inc. | Verarbeitung primär in Europa; Anbieter Better Stack, Inc., Delaware-Corporation; Drittlandzugriffe nach DPA möglich | Externes Uptime-Monitoring und Job-Heartbeats | Technische Verfügbarkeitsdaten, HTTP-Status, Heartbeat-Zeitpunkte (keine Customer-PII) | EU-U.S. Data Privacy Framework und EU-Standardvertragsklauseln gemäß Better-Stack-DPA |
Die eingesetzten Unterauftragsverarbeiter sind in der jeweils aktuellen Unterauftragsverarbeiterliste zum AVV aufgeführt. Mit den eingesetzten Dienstleistern bestehen datenschutzrechtliche Vereinbarungen nach Maßgabe der DSGVO. Änderungen des Unterauftragsverarbeiterkreises werden nach den Regelungen des AVV mitgeteilt.
7. Drittlandübermittlungen
DealManager betreibt die Kernanwendung auf Servern in Deutschland. Für Anbieter mit Sitz oder Zugriffsmöglichkeiten außerhalb des EWR werden – soweit erforderlich – geeignete Garantien nach Art. 44 ff. DSGVO eingesetzt, insbesondere Angemessenheitsbeschlüsse (z. B. EU-U.S. Data Privacy Framework), Zertifizierungen nach dem EU-U.S. Data Privacy Framework und/oder EU-Standardvertragsklauseln. Die jeweils einschlägigen Garantien je Anbieter sind in der vorstehenden Tabelle (Spalte „Transfermechanismus") sowie in der Unterauftragsverarbeiterliste und den Datenschutzanlagen zum AVV dokumentiert. Auf Anfrage stellen wir Kopien dieser Garantien zur Verfügung.
8. Cookies und lokale Speicherung
DealManager verwendet ausschließlich technisch erforderliche Cookies und lokale Browser-Speicherung. Es werden keine Marketing-, Werbe- oder Tracking-Cookies eingesetzt. Eine Einwilligung über ein Cookie-Banner ist daher nicht erforderlich; Rechtsgrundlage für den Einsatz technisch erforderlicher Cookies ist § 25 Abs. 2 Nr. 2 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO.
| Name / Kategorie | Zweck | Speicherdauer |
|---|---|---|
| Session-Cookie | Aufrechterhaltung der Anmeldung des Nutzers | Bis zum Ende der Browser-Sitzung bzw. bis zum Logout |
| CSRF-Token | Schutz vor Cross-Site-Request-Forgery-Angriffen | Bis zum Ende der Browser-Sitzung |
| Tenant-Zuordnung | Zuordnung des Nutzers zum richtigen Mandanten (Autohaus) | Dauer der Sitzung bzw. nach technischer Konfiguration |
| UI-Zustände (lokale Speicherung) | Stabile Bedienung der Oberfläche, z. B. zuletzt gewählte Filter | Lokal im Browser bis zur Löschung durch den Nutzer oder bis zur technischen Aktualisierung |
Die genannten Cookies und Speichermechanismen können vom Nutzer in den Einstellungen seines Browsers eingesehen, gelöscht oder blockiert werden. Eine vollständige Blockade kann dazu führen, dass die Anwendung nicht mehr ordnungsgemäß funktioniert.
9. Server-Logs der öffentlichen Website und Anwendung
Beim Aufruf der öffentlichen Seiten und der Anwendung verarbeitet der Webserver technische Zugriffsdaten wie IP-Adresse, Zeitpunkt, aufgerufene URL, Referrer soweit übermittelt, HTTP-Status, übertragene Datenmenge, Browser/User-Agent und Request-Metadaten. Diese Daten werden für Auslieferung, Sicherheit, Missbrauchserkennung, Fehleranalyse und Betriebsstabilität verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Access-Logs werden regelmäßig nach 14 Tagen gelöscht; Fehler- und App-Logs werden bis zu 30 Tage gespeichert, sofern keine sicherheitsrelevante Ausnahme besteht. Bei Sicherheitsvorfällen können erforderliche Auszüge länger aufbewahrt werden, solange dies zur Aufklärung und Rechtsverteidigung nötig ist.
10. Logs, Monitoring und Datensparsamkeit
Sicherheits-, Login-, Audit- und Fehlerlogs werden zur Nachvollziehbarkeit, Missbrauchserkennung und Störungsbehebung verarbeitet. DealManager maskiert personenbezogene Daten in strukturierten Logs und Fehlerereignissen soweit technisch möglich. Systembenachrichtigungen und Monitoring-Pings sollen keine Customer-PII enthalten.
11. Speicherfristen
Personenbezogene Daten werden nur so lange gespeichert, wie dies für Betrieb, Vertragserfüllung, gesetzliche Aufbewahrung, Sicherheitsnachweise oder berechtigte Interessen erforderlich ist. Tenant-Daten werden nach Vertragsende gemäß AVV und vereinbartem Offboarding-Prozess exportiert, gelöscht oder anonymisiert.
| Datenkategorie | Regelmäßige Frist / Maßstab |
|---|---|
| Vertrags-, Abrechnungs- und steuerliche Nachweise | bis zu 10 Jahre nach handels- und steuerrechtlichen Aufbewahrungspflichten (§ 147 AO, § 257 HGB) |
| Tenant-Fachdaten des Kunden | für die Vertragslaufzeit; danach Export, Löschung oder Anonymisierung gemäß AVV und Offboarding-Prozess |
| Benutzerkonten und Berechtigungen | für die Vertragslaufzeit oder bis zur Löschung durch berechtigte Administratoren; Audit-Bezüge bleiben nach Fristlogik erhalten |
| Login-Audit und Admin-/Activity-Audit | bis zu 180 Tage; bei laufender Vorfallaufklärung länger |
| App-Fehlerlogs | bis zu 30 Tage |
| Passwort-Reset-Token | nur kurzfristig gültig; werden nach Ablauf oder Nutzung deaktiviert. Protokolldaten zu Passwort-Reset-Vorgängen werden bis zu 30 Tage gespeichert |
| Changefeed-Ereignisse | bis zu 90 Tage |
| Notification-Dispatch-Logs | bis zu 30 Tage; Versand-PII wird zusätzlich minimiert oder gehasht |
| Abgelaufene oder stornierte Termin-Holds | 7 Tage nach Ablauf oder Stornierung |
| Live-Backups auf dem VPS | 14 Tage rollierend, verschlüsselt |
| Offsite-Backups | 90 Tage rollierend, verschlüsselt |
| Server-Logs der Marketing-Website | regelmäßig bis zu 14 Tagen |
| Support- und E-Mail-Anfragen | für die Bearbeitung und anschließend regelmäßig bis zu 3 Jahre, sofern keine längeren gesetzlichen Nachweisfristen greifen |
12. Technische und organisatorische Maßnahmen
Biernat Solutions setzt zum Schutz personenbezogener Daten technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO um. Dazu gehören u. a. TLS-Verschlüsselung in Transport, verschlüsselte Backups, rollenbasierte Zugriffskontrolle, 2-Faktor-Authentifizierung für Administratorzugänge, Audit-Logs, getrennte Test- und Produktivumgebungen sowie regelmäßige Sicherheitsaktualisierungen. Eine ausführliche TOM-Beschreibung ist Bestandteil des AVV (Anlage 2) und wird Kunden auf Anfrage bereitgestellt.
13. Betroffenenrechte
Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21).
Bei Tenant-Kundendaten ist regelmäßig zuerst das jeweilige Autohaus als Verantwortlicher zu kontaktieren; Biernat Solutions unterstützt das Autohaus im Rahmen des AVV.
Anfragen an Biernat Solutions können an info@biernat-solutions.de mit dem Betreff „Datenschutz - DealManager" gerichtet werden.
14. Beschwerderecht
Es besteht das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für Biernat Solutions in Nordrhein-Westfalen ist zuständig:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
www.ldi.nrw.de/kontakt
15. Keine automatisierte Entscheidung
DealManager nutzt keine automatisierte Entscheidung im Einzelfall einschließlich Profiling im Sinne von Art. 22 DSGVO. Die Anwendung verwendet keine externen Marketing-CDNs und lädt die benötigten Software-Assets lokal aus.
16. Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung wird angepasst, wenn sich Rechtslage, Dienstleister, technische Verarbeitung oder Leistungsumfang ändern. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.