Anlage 1 – Beschreibung der betroffenen Personen/Betroffenengruppen sowie der besonders schutzbedürftigen Daten/Datenkategorien
Art/ Kategorie der Verarbeitungstätigkeiten
X Erfassen / Erheben
X Anpassen / Verändern
Übermitteln / sonstiges Offenlegen
X Einschränken (Sperren)
X Löschen / Vernichten
X Organisieren / Ordnen
X Speichern
X Auslesen / Abfragen
X Verwenden
X Abgleichen / Verknüpfen
Gegenstand und Zweck der Verarbeitung
Der Auftragnehmer übernimmt die Bereitstellung einer Webanwendung (App).
Erstellen des Mandanten durch Fernwartungszugang oder durch Beschäftigte in den Betriebsstätten des Auftraggebers. Weiterhin übernimmt der Auftragnehmer die Softwarepflege sowie ggf. Softwareschulungen.
Im Zusammenhang mit diesen Tätigkeiten können Beschäftigte und Unterauftragnehmer vom Auftragnehmer bei Bedarf (z.B. Support) Zugriff auf und Kenntnis von personenbezogenen Daten des Auftraggebers und dessen Endkunden erhalten.
Die Verarbeitung der personenbezogenen Daten erfolgt für folgende Zwecke:
- Vorvertragliche Leistungen
- Vertragserfüllung
- Berechtigtem Interesse des Unternehmens
Art der personenbezogenen Daten:
- Personenstammdaten
- Kommunikationsdaten (z.B. Telefon, E-Mail)
- Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
- Berufsbezogene Daten
Hier werden folgende personenbezogene Daten vom Kunden erhoben:
- Name
- Vorname
- Geschlecht
- Geburtsdatum
- Geburtsort
- Anschrift
- Sachverhalt
- Personenstammdaten
- Kommunikationsdaten
- Gehaltsdaten
- Familiensituation
- Wünsche des Kunden
Kategorien betroffener Personen:
- Interessenten vom Auftraggeber
- Beschäftigte vom Auftraggeber
- Kunden vom Auftraggeber
Tech Stack & Datenschutz –
sicher, skalierbar, zukunftsfähig
Technologie im Überblick:
Frontend:
Entwicklung mit Flutter, einer plattformübergreifenden UI-Engine von Google. Ein Code für iOS, Android, Web und Windows, visuell konsistent und wartungsfreundlich.
Backend & Infrastruktur:
• Firebase Authentication: Nutzerverwaltung inkl. 2FA
• Cloud Firestore (NoSQL): Echtzeitdatenbank mit rollenbasiertem
Zugriff
• Cloud Functions: serverlose Business-Logik
• Cloud Storage: zur Dateiablage (z. B. PDFs)
• Cloud Run: eigene PDF-API für dynamische Dokumentenerstellung
• Automatisiertes Onboarding inkl. E-Mail-Verifizierung & Self-
Service-Strecke
Besonderheit:
Unsere PDF-Dokumente werden direkt in Flutter gerendert – die UI- und Dokumentlogik teilen sich denselben Code. Das sorgt für visuelle Konsistenz, reduziert Fehlerquellen und verkürzt Entwicklungszyklen.
Hosting & Datensicherheit:
Standort:
Alle produktiven Daten und Dienste sind in der Google Cloud Region Frankfurt (europe-west3) gehostet.
Damit wird die Datenverarbeitung vollständig in der EU / Deutschland gewährleistet.
Verschlüsselung:
• At rest: AES-256 (Chunk-basiert, jeder Block individuell
verschlüsselt)
• In transit: TLS 1.2+
• Key Management: Standardmäßig Google-managed Keys (Envelope Encryption), optional: Customer Managed Keys (CMEK)
• 2-Faktor-Authentifizierung via SMS
• Zugriffs- & Datenschutzkonformität:
• AV-Vertrag mit Google Ireland (EU) liegt vor
• Datenzugriffe rollenbasiert steuerbar
• Lösch-, Export- und Auskunftsfunktion nach DSGVO technisch
umsetzbar
• Logging & Auditfähigkeit vorbereitet (Cloud Logging +
Zugriffskontrollen)
Fazit:
Unsere Architektur erfüllt bereits heute zentrale Anforderungen an DSGVO- und DORA-konforme Datenverarbeitung – inklusive EU-Hosting, verschlüsselter Datenhaltung, Zugriffssicherheit und technischer Transparenz. Gleichzeitig erlaubt der Stack eine agile Weiterentwicklung und schnelle Skalierung – ohne Medienbrüche oder hohe Betriebskosten.
Alle Rechte vorbehalten | Vertriebskraftwerk GmbH & Co. KG
