Datenschutzerklärung
Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 und 14 DSGVO
1. Verantwortlicher
Verantwortlicher für die Datenverarbeitung im Zusammenhang mit dem Betrieb dieser Plattform ist:
- Unternehmen
- IDentity Center GmbH
- Anschrift
- c/o BFD, Frankfurter Str. 151B, 63303 Dreieich, Deutschland
- contact@identitycenter.biz
- Telefon
- +49 69 175369080
2. Geltungsbereich
Diese Datenschutzerklärung gilt für die Nutzung der Webanwendung easyROPA unter der Domain ropa.aiti-one.de sowie für öffentlich zugängliche Seiten (z. B. Login, Impressum, Datenschutz). Sie beschreibt, wie die IDentity Center GmbH als Betreiberin der Plattform personenbezogene Daten verarbeitet.
3. Überblick der Verarbeitungen
Wir verarbeiten personenbezogene Daten nur, soweit dies für den Betrieb der Plattform erforderlich ist. Im Einzelnen betrifft dies insbesondere:
- Authentifizierung per E-Mail und Einmalcode (passwortloser Login)
- Benutzerstammdaten (Name, E-Mail, Abteilung, Rolle)
- Sitzungs- und Cookie-Daten zur Aufrechterhaltung der Anmeldung
- Sicherheits- und Audit-Protokolle (IP-Adresse, Zeitstempel, Aktionen)
- Von Mandanten eingegebene fachliche Inhalte (Prozesse, Zuweisungen, Dokumente)
- Versand transaktionaler E-Mails (Login-Codes, Einladungen, Benachrichtigungen)
- Hochgeladene Dateien (z. B. Prozessdokumente, Branding-Assets)
4. Login und Authentifizierung
Die Anmeldung erfolgt ausschließlich passwortlos per E-Mail und Einmalcode. Es werden keine Passwörter gespeichert.
- Verarbeitete Daten
- E-Mail-Adresse, gehashte Einmalcodes, IP-Adresse, Zeitstempel, User-Agent, Anmeldestatus
- Zweck
- Identifikation und Authentifizierung von Benutzern, Missbrauchsprävention (Rate-Limiting)
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Systemsicherheit)
- Speicherdauer
- Einmalcodes werden nach Verbrauch oder Ablauf (standardmäßig 10 Minuten) gelöscht. Fehlgeschlagene Versuche werden protokolliert und nach Ablauf der Sicherheitsfristen gelöscht.
5. Benutzerkonten
Für jeden Benutzer werden Stammdaten gespeichert, die vom Mandanten-Administrator angelegt oder vom Benutzer bei der Einladungsannahme ergänzt werden.
- Verarbeitete Daten
- Vorname, Nachname, Anzeigename, E-Mail-Adresse, Telefonnummer (optional), Position, Abteilung, Sprache, Rolle und funktionale Berechtigungen, Zeitpunkt der letzten Anmeldung
- Zweck
- Bereitstellung und Verwaltung des Benutzerkontos, Zuweisung von Aufgaben und Verantwortlichkeiten, Kommunikation innerhalb der Plattform
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. b DSGVO (Nutzungsvertrag mit dem Mandanten); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der ordnungsgemäßen Nutzerverwaltung)
6. Cookies und Sitzungen
Wir verwenden technisch notwendige Cookies und Sitzungsdaten. Es werden keine Tracking- oder Marketing-Cookies eingesetzt.
- Verarbeitete Daten
- Sitzungskennung (Session-Token, nur gehasht in der Datenbank gespeichert), CSRF-Token, Spracheinstellung (Locale), Cookie-Einstellungen (Secure, HttpOnly, SameSite=Lax)
- Zweck
- Aufrechterhaltung der Anmeldung, Schutz vor Cross-Site-Request-Forgery, Sprachauswahl
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. b DSGVO (Nutzung der Plattform); Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit)
7. Protokollierung und Sicherheit
Sicherheits- und fachlich relevante Aktionen werden in einem Audit-Log protokolliert, um Nachvollziehbarkeit und Systemsicherheit zu gewährleisten.
- Verarbeitete Daten
- Benutzer-ID, Mandanten-ID, Ereignistyp, betroffene Entität, Zeitstempel, IP-Adresse, User-Agent, optional strukturierte Zusatzdaten (z. B. geänderte Felder)
- Zweck
- Nachweis von Zugriffen und Änderungen, Fehleranalyse, Missbrauchserkennung, Erfüllung datenschutzrechtlicher Dokumentationspflichten
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Nachvollziehbarkeit des Systems)
- Speicherdauer
- Audit-Einträge werden für die Dauer der Vertragsbeziehung mit dem Mandanten und darüber hinaus gemäß gesetzlicher Aufbewahrungsfristen gespeichert, sofern keine frühere Löschung verlangt wird.
8. Mandantendaten und Auftragsverarbeitung
Die in easyROPA von Mandanten erfassten fachlichen Inhalte (z. B. Verarbeitungstätigkeiten, Prozesse, Datenflüsse, externe Stellen, Dokumente, Aufgaben und Befunde) betreffen in der Regel personenbezogene Daten, für die der jeweilige Mandant (Unternehmen des Kunden) als Verantwortlicher im Sinne der DSGVO gilt. Die IDentity Center GmbH verarbeitet diese Daten als Auftragsverarbeiterin im Auftrag des Mandanten auf Grundlage eines Auftragsverarbeitungsvertrages (AVV). Anfragen zu diesen Daten richten Sie bitte primär an den Datenschutzbeauftragten bzw. Administrator Ihres Unternehmens.
9. E-Mail-Versand
Transaktionale E-Mails (Login-Codes, Einladungen, Zuweisungsbenachrichtigungen, Review-Erinnerungen) werden über einen konfigurierten E-Mail-Dienst versendet. Dabei werden die E-Mail-Adresse des Empfängers sowie der jeweilige Nachrichteninhalt verarbeitet. Es findet kein Newsletter- oder Werbeversand statt.
10. Hosting und Speicherung
Die Anwendung und die zugehörige Datenbank werden auf Servern in Deutschland bzw. innerhalb der Europäischen Union betrieben. Zugriff auf Produktionssysteme ist auf autorisiertes Personal beschränkt.
11. Externe Dienste
Zur Darstellung der Benutzeroberfläche werden folgende externe Ressourcen geladen. Dabei kann Ihre IP-Adresse an die jeweiligen Anbieter übermittelt werden:
- Google Fonts (Schriftarten „Inter“ und „Material Symbols“) — fonts.googleapis.com / fonts.gstatic.com
- jsDelivr CDN (Tailwind CSS, SweetAlert2) — cdn.jsdelivr.net
12. Empfänger und Weitergabe
Eine Weitergabe personenbezogener Daten erfolgt nur, soweit dies für den Betrieb der Plattform erforderlich ist: an IT-Dienstleister (Hosting), E-Mail-Versanddienstleister sowie — im Rahmen der Mandantenfähigkeit — ausschließlich innerhalb des jeweiligen Mandanten an berechtigte Benutzer desselben Unternehmens. Eine Weitergabe an Dritte zu Werbezwecken findet nicht statt.
13. Drittlandübermittlung
Beim Laden externer Schriftarten und CDN-Ressourcen (siehe Abschnitt 11) kann eine Übermittlung in Drittländer (insbesondere USA) nicht ausgeschlossen werden. Die Anbieter stützen sich hierbei auf geeignete Garantien gemäß Art. 46 DSGVO (z. B. Standardvertragsklauseln). Die Kernanwendung und Mandantendaten werden innerhalb der EU verarbeitet.
14. Ihre Rechte
Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitung (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich an contact@identitycenter.biz. Sofern Ihr Arbeitgeber bzw. Mandant die Plattform nutzt, wenden Sie sich für fachliche Mandantendaten bitte zuerst an den Administrator Ihres Unternehmens.
15. Automatisierte Entscheidungen
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.
16. Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten, darunter: Verschlüsselte Übertragung (HTTPS/TLS), gehashte Speicherung von Login-Codes und Sitzungstoken, mandantenscharfe Datentrennung, rollenbasierte Zugriffskontrolle, CSRF-Schutz, Rate-Limiting bei Login-Versuchen sowie regelmäßige Sicherheitsüberprüfungen.
17. Änderungen dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Vorgaben oder die technische Umsetzung der Plattform ändern. Die jeweils aktuelle Version ist unter /datenschutz abrufbar.
Stand: 25.06.2026