DSGVO-Konformität
ProfiPOS verarbeitet personenbezogene Daten und erfüllt die Datenschutz-Grundverordnung (DSGVO/GDPR).
Datenverarbeitung im Überblick
| Datenkategorie | Beispiel | Rechtsgrundlage |
|---|---|---|
| Kunden-Stammdaten | Name, E-Mail, Telefon | Art. 6 Abs. 1 lit. b (Vertrag) |
| Bestelldaten | Was hat der Kunde wann gekauft? | Art. 6 Abs. 1 lit. b (Vertrag) + lit. c (steuerrechtliche Aufbewahrung) |
| Liefer-Adressen | Adresse für Lieferung | Art. 6 Abs. 1 lit. b |
| Newsletter-Anmeldung | E-Mail + Opt-In | Art. 6 Abs. 1 lit. a (Einwilligung) |
| Loyalty / Stempelkarten | Punktestand | Art. 6 Abs. 1 lit. a |
| GPS-Tracking Lieferapp | Standort des Fahrers | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) + lit. b (Dienstvertrag) |
| Mitarbeiter-Daten | Bediener-PIN, Trinkgelder | Art. 6 Abs. 1 lit. b (Arbeitsvertrag) |
| Kunden-Karten-Guthaben | Aufladungen + Buchungen | Art. 6 Abs. 1 lit. b |
| Bondaten (TSE) | KassenSichV-Pflicht | Art. 6 Abs. 1 lit. c |
Auftragsverarbeitung
Anesda UG ist Auftragsverarbeiter für jeden ProfiPOS-Kunden. Ein Auftragsverarbeitungs-Vertrag (AVV) wird mit jedem Mandanten abgeschlossen.
AVV-Inhalte (Standard-Template)
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen (Kunden, Mitarbeiter, Lieferanten)
- Technisch-Organisatorische Maßnahmen (TOM) — siehe unten
- Sub-Auftragsverarbeiter (Hetzner-Cloud, Telegram-API, Stripe, …)
- Dauer der Verarbeitung
- Pflichten + Rechte des Mandanten
Sub-Auftragsverarbeiter
| Anbieter | Zweck | Sitz |
|---|---|---|
| Hetzner Online GmbH | Cloud-Hosting (Server, Mailserver) | DE |
| Stripe Payments Europe | Online-Bestellportal-Zahlung | IE (EU) |
| Telegram | Standort-Alarm-Benachrichtigungen | n/a (Datentransfer nur Metadaten) |
| Twilio | SMS-Versand für Belegausgabe | IE |
| Resend | Transaktionale E-Mails | IE |
| Reservierfix | Reservierungs-Sync (optional) | DE |
Alle EU-/EWR-Anbieter oder mit Standard-Vertrags-Klauseln abgesichert.
Technisch-Organisatorische Maßnahmen (TOM)
Zugangskontrolle
- Alle Mitarbeiter-Logins über separates Passwort + 2FA (optional)
- Bediener-PIN min. 4 Stellen, max. 6 Falschversuche → Lock
- API-Tokens als SHA-256-Hash in DB gespeichert, nie im Klartext
- TLS 1.3 für alle Cloud-Verbindungen (HTTPS, MQTT-TLS)
Datenübertragung
- HTTPS-Pflicht für Cloud-Endpoints (
profipos.de/api/v6) - MQTT optional mit TLS 1.3 (
mqtts://) - Cloud-Sync mit Server-Token (Header
X-Server-Token)
Datenspeicherung
- MariaDB mit AES-256-Verschlüsselung at-rest auf SSD (Cloud + Standort)
- Backup-Files mit
xz+ GnuPG (gpg -c) verschlüsselt - Backup auf separater Hetzner-Storage-Box (anderes Rechenzentrum)
Verfügbarkeit
- Stündliches Backup-Snapshot
- Hetzner-Server mit RAID-1 + ECC-RAM
- USV-Pflicht im Standort empfohlen (siehe Hardware)
- Disaster-Recovery-Test alle 3 Monate
Trennung
- Pro Mandant eigener DB-Mandant-Filter (
mandant_uuid-Spalte in jeder Stammdaten-Tabelle) - Zugriff auf andere Mandanten technisch unmöglich (Backoffice +
Cloud-API filtern hart auf
mandant_uuid)
Betroffenenrechte
Auskunftsrecht (Art. 15 DSGVO)
Betroffene (Kunden, Mitarbeiter) können ihre Daten anfordern:
- Selfservice: Kunde im Bestellportal-Login → „Meine Daten herunterladen" → ZIP mit JSON aller eigenen Bestellungen + Kundenkarten-Buchungen
- Manuell: Anfrage über Mandant-Admin, der ein Export-Tool im
Backoffice nutzt („Kunden →
{Kunde}→ DSGVO-Export")
Format: JSON + PDF-Übersicht (lesbar)
Berichtigungs- und Löschungsrecht (Art. 16/17 DSGVO)
- Berichtigung: Backoffice „Kunden →
{Kunde}→ Bearbeiten" — alle Felder editierbar bis auf historische Bestelldaten (TSE-signiert). - Löschung: Pseudonymisierung statt physische Löschung:
- Name →
[GELOESCHT] - E-Mail →
geloescht-{uuid}@gdpr.local - Telefon →
NULL - Adresse →
NULL - Bestellpositionen + Bons bleiben (steuerrechtliche Aufbewahrung geht vor — § 147 AO 10 Jahre)
- Name →
- Audit-Log behält den Lösch-Vorgang mit Benutzer + Zeitstempel.
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Kunden können der weiteren Verarbeitung widersprechen:
- Newsletter-Abmeldung (über Footer-Link, sofort)
- Marketing-Opt-Out (Backoffice setzt
marketing_einwilligung = 0)
Datenübertragbarkeit (Art. 20 DSGVO)
Selber Mechanismus wie Auskunftsrecht — Selfservice-JSON-Export.
Widerspruchsrecht (Art. 21 DSGVO)
Betroffener kann der Verarbeitung widersprechen. Erfolgt schriftlich an den Mandanten — der Mandant löscht/pseudonymisiert (siehe oben).
Datenpannen-Meldung (Art. 33 DSGVO)
Bei Sicherheitsvorfall mit Auswirkung auf personenbezogene Daten:
- Anesda-Wartungs-VPN-Login zur Forensik
- Innerhalb 72 Stunden Meldung an die Aufsichtsbehörde (durch den Mandanten als Verantwortlicher)
- Anesda liefert dem Mandanten ein Vorfalls-Protokoll mit Ursache, betroffenen Datensätzen und Gegenmaßnahmen
- Bei hohem Risiko (z. B. Klartext-Passwörter geleakt): Information der Betroffenen gem. Art. 34 DSGVO
Datenschutz-Folgenabschätzung (DSFA)
Anesda hat für ProfiPOS eine DSFA gemäß Art. 35 DSGVO durchgeführt:
- Verarbeitungs-Verzeichnis
- Risiko-Bewertung (Verfügbarkeit, Integrität, Vertraulichkeit)
- Gegenmaßnahmen (siehe TOM oben)
Auf Anfrage erhältlich.
Datenschutzbeauftragter
Anesda UG: Externer Datenschutzbeauftragter wird auf Anfrage benannt.
Mandant: Verantwortet die Bestellung eines eigenen DSB (Pflicht ab 20 Mitarbeitern, die ständig mit personenbezogenen Daten arbeiten — typischerweise bei Mensa-Kunden mit RFID-Mitarbeiter-Daten).
Cookie-/Tracking-Hinweis (Bestellportal)
Das Bestellportal nutzt nur funktional erforderliche Cookies (Session-ID, CSRF-Token). Keine Tracking-Cookies, keine Drittanbieter-Analytics ohne Opt-In.