Trust-Center · DSGVO & Compliance

SchnellPortal & Datenschutz —
alle Nachweise auf einen Blick

Was Sie als Kunde brauchen, um SchnellPortal Ihrem Datenschutzbeauftragten oder einem Auditor vorzulegen: Subprozessor-Verzeichnis, technisch-organisatorische Maßnahmen, Auftragsverarbeitungsvertrag, Hosting-Standort. Stand: April 2026.

🇩🇪
Hosting Deutschland
Hetzner Nürnberg, AVV vorhanden
📜
AVV nach Art. 28
Auf Anfrage in Textform
🔒
TLS 1.3
Verschlüsselte Übertragung in alle Richtungen
🏢
Account-Trennung
Strikte Trennung der Daten je Kundenkonto
🗑️
Löschkonzept
30 Tage Karenz, dann Löschung — Rechnungsdaten gem. § 147 AO

1. Rollen & Verantwortlichkeiten

Wer verarbeitet was?

SchnellPortal ist Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Sie als Kunde sind Verantwortlicher für die personenbezogenen Daten, die Sie auf der Plattform verarbeiten.

Anbieter / Auftragsverarbeiter

Marco Breuer / SchnellPortal
40699 Erkrath, Deutschland
E-Mail: [email protected]
Ladungsfähige Anschrift gemäß § 5 DDG: siehe Impressum

Verarbeitete Datenkategorien

  • Stammdaten der Mitarbeiter und Endkunden des Auftraggebers (Name, Anschrift, Kontaktdaten)
  • Auftrags- und Wartungsdaten (Beschreibungen, Fotos, Materialerfassung, Stundenerfassung)
  • Rechnungs- und Abrechnungsdaten (gesetzlich aufzubewahren)
  • Technische Nutzungsdaten (IP-Adressen, Zeitstempel, Logdaten)
  • Login-Daten (E-Mail, gehashtes Passwort)

2. Subprozessor-Verzeichnis (Art. 28 Abs. 2 DSGVO)

Welche Dienstleister setzen wir ein?

Diese Unterauftragsverarbeiter sind aktuell im Einsatz. Über Änderungen informieren wir Bestandskunden vorab per E-Mail mit angemessenem Vorlauf gemäß Art. 28 Abs. 2 DSGVO; Kunden können widersprechen und in diesem Fall außerordentlich kündigen.

Anbieter Zweck Standort Rechtsgrundlage Transfer AVV / DPA
Hetzner Online GmbH Server-Hosting, Object Storage (Fotos) Deutschland
Nürnberg / Falkenstein		 Innerhalb EU — keine SCC nötig Hetzner DPA →
Cloudflare Inc. CDN, DDoS-Schutz, Reverse Proxy USA / Global EU-US Data Privacy Framework + SCC Cloudflare DPA →
Brevo SAS Versand transaktionaler E-Mails EU
Frankreich		 Innerhalb EU Brevo DPA →
Stripe Payments Europe Ltd. Abwicklung der monatlichen Abo-Zahlungen EU + USA EU-US Data Privacy Framework + SCC Stripe DPA →
Anthropic PBC Optionale KI-Funktionen (KI-Texte, KI-Rechnungen) USA SCC (Standardvertragsklauseln) gemäß EU-Beschluss 2021/914 Anthropic DPA →
Hinweis zu Anthropic (KI-Funktionen): Gemäß den Anthropic Commercial Terms / dem Anthropic DPA werden API-Inhalte standardmäßig nicht zum Training der Modelle verwendet. KI-Funktionen sind optional und können in den Einstellungen deaktiviert werden.

3. Technisch-Organisatorische Maßnahmen (Art. 32 DSGVO)

Wie schützen wir Ihre Daten konkret?

Diese Maßnahmen werden als Anlage zum AVV nach Art. 28 DSGVO dokumentiert und laufend überprüft.

Zugriffskontrolle

Rollenbasierte Berechtigungen, Passwort-Hashing mit Argon2 (modernes Verfahren), Admin-Zugriffe auf Anbieterseite beschränkt, Datenzugriff je User auf das eigene Konto begrenzt.

Zugangskontrolle

Server-Zugänge ausschließlich über SSH-Schlüssel (kein Passwort-Login), vorgelagerter DDoS-Schutz und Rate-Limiting durch Cloudflare.

Weitergabekontrolle

TLS 1.3 für alle Browser- und API-Übertragungen, eingeschränkte Content-Security-Policy, keine Übertragung an Empfänger ohne dokumentierte Rechtsgrundlage.

Eingabekontrolle

Protokollierung sicherheitsrelevanter Ereignisse auf Anwendungs- und Systemebene (z. B. Login, Passwort-Änderungen, Admin-Aktionen).

Verfügbarkeitskontrolle

Tägliche automatisierte Datenbank-Backups (03:00 Uhr) mit 30 Tagen Vorhaltedauer, lokal auf dem Produktionsserver und verschlüsselt extern bei Backblaze B2 (EU-Region). Dokumentierter Wiederherstellungsprozess. Hosting in zertifizierten deutschen Rechenzentren der Hetzner Online GmbH (ISO 27001).

Trennungsgebot

Account-basierte Datentrennung auf Anwendungsebene: jede Datenbank-Abfrage wird auf den authentifizierten User-Kontext beschränkt. Keine Cross-Account-Sichtbarkeit.

Integrität

Schutz vor unbefugter Veränderung durch Berechtigungssystem; Code-Änderungen werden nachvollziehbar versioniert (Git, mit Commits und Zeitstempeln).

Löschkonzept

Definierte Löschprozesse bei Vertragsende oder Account-Löschung: 30 Tage Karenz, danach Löschung der Bestandsdaten. Ausnahme: Steuerlich aufbewahrungspflichtige Daten (insb. Rechnungen, Buchungsbelege) werden gemäß § 147 AO bis zu 10 Jahre eingeschränkt aufbewahrt und ausschließlich für gesetzliche Zwecke vorgehalten.

Incident-Management

Definierter Prozess zur Erkennung, Bewertung und Meldung von Datenschutzvorfällen. Meldung an die Aufsichtsbehörde gemäß Art. 33 DSGVO innerhalb von 72 Stunden, Information betroffener Kunden unverzüglich nach Bekanntwerden.

4. Downloads für Ihren Datenschutzbeauftragten

Alle Dokumente zum Mitnehmen

Diese Dokumente können Sie Ihrem Datenschutzbeauftragten oder Auditoren direkt vorlegen.

Compliance-Pakete

Stand: 25. April 2026 — wir aktualisieren diese Dokumente bei jeder relevanten Änderung.

📋
DSGVO-Datenblatt (1-Seiter)
PDF · Kompakte Übersicht für DSB
🛡️
TOM-Übersicht
PDF · Technisch-organisatorische Maßnahmen nach Art. 32
📑
Subprozessor-Verzeichnis
PDF · Alle Unterauftragsverarbeiter
📝
AVV nach Art. 28 DSGVO
Auf Anfrage · individuell ausgefüllt

5. Rechtliche Hinweise

Verzeichnis & weitere Dokumente

Datenschutzerklärung

Für Endbesucher und allgemeine Informationen zur Verarbeitung: /datenschutz →

Allgemeine Geschäftsbedingungen

Inkl. Regelungen zu Vertragslaufzeit, Kündigung, Datenexport: /agb →

Impressum

Anbieterkennzeichnung gemäß § 5 DDG (Digitale-Dienste-Gesetz): /impressum →

Anfragen Betroffener

Sie als Kunde (Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO): Rechte auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit (Art. 15–20 DSGVO) zu Ihren eigenen Stammdaten können Sie direkt im Account ausüben oder per E-Mail an [email protected] — Antwort innerhalb der gesetzlichen Frist gemäß Art. 12 Abs. 3 DSGVO.

Endkunden, Mitarbeiter oder sonstige Betroffene unserer Kunden wenden sich bitte zunächst an den jeweiligen Auftraggeber (= Verantwortlicher der Verarbeitung). SchnellPortal als Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung gemäß Art. 28 Abs. 3 lit. e DSGVO.

Diese Seite ist eine Zusammenfassung — keine Rechtsberatung. Die verbindlichen Dokumente sind die jeweils aktuelle AVV-Version, die AGB und die Datenschutzerklärung. Bei Widersprüchen gelten die unterzeichneten Vertragsdokumente.

Letzte Aktualisierung: 25. April 2026 · Nächste turnusmäßige Prüfung: Oktober 2026

Noch Fragen zum Datenschutz?

Schreiben Sie uns — wir antworten innerhalb eines Werktags.

[email protected]