← Zurück zur Anmeldung

Datenschutzerklärung

Der Schutz Ihrer personenbezogenen Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, BDSG-neu, TTDSG). In dieser Erklärung informieren wir Sie über die wichtigsten Aspekte der Datenverarbeitung in diesem Portal.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist:
Georg Sahm GmbH & Co. KG
Sudetenlandstr. 33, 37269 Eschwege
E-Mail: info@sahmwinder.com · Telefon: +49 5651 804-0

Datenschutzbeauftragter: Volker Roeber (externer Datenschutzbeauftragter) · Tel. 0152 29283797 · E-Mail: info@dsb-mitte.de

2. Zweck der Datenverarbeitung

Dieses Portal dient der Bearbeitung und Dokumentation von NIS2-Compliance-Anforderungen. Wir verarbeiten personenbezogene Daten ausschließlich zur Erfüllung der Aufgaben gemäß NIS2-Richtlinie (Richtlinie (EU) 2022/2555), zur Authentifizierung und zur Nachweisführung gegenüber Aufsichtsbehörden.

3. Welche Daten werden verarbeitet?

• Benutzerkonto: Benutzername, E-Mail-Adresse, Anzeigename, Passwort (bcrypt-Hash, niemals im Klartext), Rollenzuweisung.
• Zwei-Faktor-Authentifizierung (2FA): TOTP-Secret (verschlüsselt gespeichert), Backup-Codes (Hash), Multi-Device- Registrierungen.
• Anmeldeversuche: Zeitstempel, Benutzername, SHA-256-Hash der IP-Adresse (kein Klartext), Stufe, Erfolg/Fehlschlag, User-Agent (verschlüsselt).
• Aktivitätsprotokoll: Nutzeraktionen im Portal (Dokument-Bearbeitung, Freigaben, Passwortwechsel, Admin-Aktionen) gemäß § 30 BSIG.
• Fachinhalte: Dokumente, Anlagen und Parameter, die im Rahmen der NIS2-Umsetzung erfasst werden.

4. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von:

• Art. 6 Abs. 1 lit. b DSGVO — zur Vertragserfüllung (Bereitstellung des Portals gegenüber Nutzern und Mandanten)
• Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen (insbesondere NIS2-Richtlinie, BSIG, DSGVO selbst)
• Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Betrieb, IT-Sicherheit, Missbrauchsprävention)

5. Technische und organisatorische Maßnahmen

Alle personenbezogenen und geschäftskritischen Daten werden verschlüsselt gespeichert und übertragen. Die wichtigsten Maßnahmen:

• Transportverschlüsselung: Alle Verbindungen ausschließlich per HTTPS mit HSTS-Erzwingung.
• Speicherverschlüsselung: Sensible Felder (E-Mail, 2FA-Secret, Dokumentinhalte, IP-Adressen in Logs) sind per AES-256-GCM verschlüsselt. Hochgeladene Dateien (Anlagen) und generierte PDFs liegen verschlüsselt außerhalb bzw. blockiert im Webroot.
• Passwörter: Speicherung ausschließlich als bcrypt-Hash. Rücksetzbar nur über den Admin.
• Zwei-Faktor-Authentifizierung: TOTP und Backup-Codes, Multi-Device-fähig.
• Rate-Limit und Anomalie-Erkennung: Brute-Force- Schutz auf IP-Ebene, Schwellen-Alarm per E-Mail.
• Integritäts-Überwachung: Systemdateien werden per HMAC-signiertem SHA-256-Manifest auf Manipulation überwacht.
• Backups: Verschlüsselt mit AES-256-GCM. Aufbewahrung gemäß Archivierungsrichtlinie.

6. Cookies und Session-Daten

Das Portal setzt ausschließlich technisch notwendige Cookies ein (Session-Cookie, CSRF-Token). Diese sind mit den Flags HttpOnly, Secure und SameSite=Strict gesetzt und werden nach Logout bzw. Session-Ablauf gelöscht. Es werden keine Tracking- oder Werbe-Cookies verwendet. Es erfolgt keine Einbindung externer Analysedienste.

7. Weitergabe an Dritte

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur in folgenden Fällen:

• an Aufsichtsbehörden auf Anforderung gemäß § 32 BSIG (Meldepflichten bei Sicherheitsvorfällen)
• an Hosting-/IT-Dienstleister im Rahmen bestehender Auftragsverarbeitungsverträge (AVV nach Art. 28 DSGVO)
• an Strafverfolgungsbehörden bei entsprechender Anordnung

Eine Übermittlung in Drittländer außerhalb der EU/EWR findet grundsätzlich nicht statt.

8. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen es erfordern. Anmelde- und Sicherheitsprotokolle werden gemäß Aufbewahrungsrichtlinie in der Regel zwei Jahre aufbewahrt und danach gelöscht. Fachinhalte (Dokumente, Parameter) bleiben bis zur ausdrücklichen Löschung durch die Organisation erhalten.

9. Ihre Rechte

Sie haben gegenüber dem Verantwortlichen folgende Rechte:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Anfragen richten Sie bitte an den unter „Verantwortlicher" genannten Kontakt oder den Datenschutzbeauftragten.

10. Aufsichtsbehörde

Die zuständige Aufsichtsbehörde für Fragen des Datenschutzes ist die Datenschutzbehörde des jeweiligen Bundeslandes. Eine Beschwerde können Sie auch unabhängig hiervon beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit einreichen.

Stand: 19.04.2026. Änderungen an der Datenschutzerklärung werden in diesem Dokument dokumentiert. Bei wesentlichen Änderungen informieren wir die Nutzer.