DSGVO-konforme IT-Sicherheit

1. Hosting durch Replit, Inc. (USA)

Diese Website wird auf der Plattform der Replit, Inc., 767 Bryant St #203, San Francisco, CA 94107, USA gehostet. Beim Aufruf der Seiten werden technisch notwendige Verbindungsdaten (IP-Adresse, User-Agent, Zeitstempel, abgerufene URL, Referrer) verarbeitet und kurzfristig in Server-Logs gespeichert, um den sicheren Betrieb der Website sicherzustellen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb der Website). Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO sowie auf Basis des EU-US Data Privacy Frameworks, soweit Replit dort gelistet ist.

Replit setzt zudem ein technisch notwendiges Session-Cookie (z. B. „GAESA"), um zugewiesene Backend-Instanzen über die Session hinweg konsistent erreichbar zu halten. Dieses Cookie ist erforderlich, damit die Seite stabil ausgeliefert wird; Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TDDDG.

2. Auftragsverarbeiter für E-Mail-Versand: Resend, Inc.

Wenn Sie unser Kontaktformular nutzen, werden die von Ihnen eingegebenen Daten (Name, E-Mail, Telefon, Unternehmen, Nachricht) zur Beantwortung Ihrer Anfrage verarbeitet. Der Versand der zugehörigen Benachrichtigungs-E-Mails erfolgt über Resend, Inc., 2261 Market Street, San Francisco, CA 94114, USA als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO. Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln. Resend verarbeitet die Daten ausschließlich zum Zweck des transaktionalen E-Mail-Versands und löscht Inhalte standardmäßig nach kurzer Aufbewahrungsfrist.

Speicherdauer bei uns: Anfragen werden in unserer Datenbank gespeichert, bis der Zweck (Bearbeitung Ihrer Anfrage) erfüllt ist und etwaige gesetzliche Aufbewahrungsfristen abgelaufen sind. Sie können jederzeit Auskunft, Berichtigung oder Löschung verlangen (siehe Punkt 5).

3. Admin-Bereich (intern)

Der Admin-Bereich (/admin) ist ausschließlich für interne Zwecke vorgesehen und nicht öffentlich zugänglich. Beim Login wird ein technisch notwendiges Session-Cookie gesetzt (HttpOnly, Secure, SameSite=Strict), das eine signierte Session-Kennung enthält. Es werden keine personenbezogenen Daten von Website-Besucherinnen oder -Besuchern in diesem Cookie gespeichert.

Anmeldeversuche werden zum Schutz vor Brute-Force-Angriffen IP-basiert ratenbegrenzt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Vertraulichkeit und Integrität der Verarbeitung gemäß Art. 32 DSGVO). Das Session-Geheimnis wird ausschließlich serverseitig in einem geschützten Secret (SESSION_SECRET) gehalten.

4. Server-Logs und Sicherheitsmaßnahmen

Wir setzen Sicherheits-Header (HSTS, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Header und eine Content-Security-Policy) ein. Der Zugriff auf unsere Inhalte erfolgt ausschließlich über TLS. Eine Web-Analyse mit personenbezogenem Tracking findet nicht statt; es kommen keine Cookies oder Drittanbieter-Skripte zu Werbe- oder Analysezwecken zum Einsatz. Wir nutzen weder Google Analytics noch Google Maps; eine Standortkarte wird – sofern eingebunden – DSGVO-freundlich über OpenStreetMap dargestellt.

5. Ihre Rechte als betroffene Person

Sie haben uns gegenüber jederzeit die Rechte auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie ein Widerspruchsrecht gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO).

Zur Geltendmachung wenden Sie sich bitte formlos an info@kmk-it.de. Außerdem steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO), für uns zuständig: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.