Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Wienold-IT UG (haftungsbeschränkt)
Ziegelbrennerstraße 29
31157 Sarstedt
Deutschland

Vertreten durch den Geschäftsführer: Diplom-Verwaltungswirt (FH) Michael Wienold.
E-Mail: kontakt@generalinspektion24.de
Telefon: +49 1525 3418541

2. Hosting und Infrastruktur

Sämtliche Dienste — Webserver, Datenbank, Identity-Provider — laufen auf eigener Hardware am Sitz in Sarstedt, Niedersachsen (Synology RS1221+ NAS, Docker-basiert). Es findet keine Datenübermittlung an externe Cloud-Anbieter oder Auftragsverarbeiter statt. Es bestehen keine Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO, weil keine externen Dienstleister mit der Verarbeitung personenbezogener Daten betraut sind.

3. Beim Besuch der Landing-Page (informatorisch)

Beim Aufruf der Landing-Page ohne Login werden in den Server-Logs folgende technisch notwendige Verbindungsdaten gespeichert:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• angefragte URL und HTTP-Statuscode
• übertragene Datenmenge
• User-Agent (Browser, Sprache, Betriebssystem)
• Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit und Abuse-Erkennung). Logs werden spätestens nach 7 Tagen automatisch gelöscht. Eine Verknüpfung mit anderen personenbezogenen Daten findet nicht statt.

4. Cookies und Local Storage

Auf der Landing-Page werden keinerlei Cookies gesetzt — weder eigene noch von Dritten.

Auf app.generalinspektion24.de (Web-App) und auth.generalinspektion24.de (Login) werden ausschließlich technisch notwendige Cookies und Local-Storage-Einträge für den OIDC-Login (Keycloak-Session, PKCE-Verifier, kurzlebige Auth-Tokens) gesetzt. Eine Einwilligung ist hierfür nicht erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG — unbedingt erforderlich für den ausdrücklich gewünschten Dienst).

In der Mobile-App (Android / iOS) werden die Auth-Tokens ausschließlich lokal auf dem Endgerät im verschlüsselten Secure-Storage (Android Keystore / iOS Keychain) abgelegt — sie werden niemals an Dritte übertragen.

5. Schriftarten

Wir setzen die Schriftart „Outfit" ein, die lokal auf unserem Server ausgeliefert wird. Es findet keine Verbindung zu Google Fonts oder anderen externen Schriften-Servern statt.

6. Mail-Sammler für „Demnächst"-Leistungen

Auf der Landing-Page bieten wir die Möglichkeit, sich für noch nicht freigeschaltete Leistungen vorab benachrichtigen zu lassen. Dabei werden folgende Daten verarbeitet:

• E-Mail-Adresse (erforderlich)
• ausgewählte Leistung (Slug)
• Branche (optional)
• gehashte IP-Adresse (SHA-256 mit Salt, gekürzt auf 32 Zeichen — kein Rückschluss auf die reale IP möglich)
• User-Agent (gekürzt auf 500 Zeichen)
• Zeitstempel

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung durch Anklicken der Consent-Checkbox). Speicherdauer: bis zur Versendung der Verfügbarkeits-Benachrichtigung, maximal jedoch 12 Monate. Sie können Ihre Einwilligung jederzeit per E-Mail an kontakt@generalinspektion24.de widerrufen — wir löschen Ihren Datensatz dann unverzüglich.

7. Registrierung und Nutzung der Web-/Mobile-App

Für die Nutzung der App ist eine Registrierung im Identity-Provider (Keycloak unter auth.generalinspektion24.de) erforderlich. Erhoben werden:

• E-Mail-Adresse
• Vorname, Nachname
• Benutzername (frei wählbar)
• Passwort (ausschließlich als BCrypt-Hash gespeichert, niemals im Klartext)

Beim ersten authentifizierten Aufruf des API-Backends wird zusätzlich ein Datensatz in unserer PostgreSQL-Datenbank gi24_db angelegt, der eine interne UUID, die von Keycloak vergebene Subject-ID, sowie die genannten Stammdaten umfasst. Bei jeder weiteren authentifizierten Anfrage wird der Zeitstempel lastSeenAt aktualisiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrages). Speicherdauer: für die Dauer Ihres Accounts. Nach Account-Löschung werden alle personenbezogenen Daten innerhalb von 30 Tagen unwiderruflich entfernt; gesetzliche Aufbewahrungspflichten (z. B. § 257 HGB für Rechnungen) bleiben davon unberührt.

8. JWT-Token und Datenübertragung zwischen App und Backend

Die Kommunikation zwischen App (Web/Mobile) und API erfolgt ausschließlich verschlüsselt via HTTPS / WSS (TLS 1.2+). Zur Authentifizierung verwenden wir OpenID Connect mit dem Authorization-Code-Flow inklusive PKCE (RFC 7636). Die signierten JSON Web Tokens werden ausschließlich vom Backend verifiziert (JWKS), nicht entschlüsselt oder protokolliert.

9. Mobile-App-spezifische Hinweise

Die Android-/iOS-App enthält keine Tracking-SDKs, kein Crashlytics, keine Analytics-Bibliotheken. Die Inter-App-Kommunikation für den Login-Callback erfolgt über das Custom-URL-Schema de.generalinspektion24://oauthredirect. Dieses Schema wird ausschließlich vom System genutzt, um den im externen Browser absolvierten Login-Vorgang an die App zurückzugeben — keine Datenübertragung an Dritte.

10. Ihre Rechte als Betroffener

Ihnen stehen folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an kontakt@generalinspektion24.de. Wir antworten innerhalb der Frist nach Art. 12 Abs. 3 DSGVO.

11. Zuständige Aufsichtsbehörde

Die für uns zuständige Datenschutz-Aufsichtsbehörde ist:
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover

12. Stand und Änderungen

Stand dieser Datenschutzerklärung: 14. Mai 2026. Wir behalten uns vor, diese Erklärung anzupassen, sobald sich rechtliche oder technische Rahmenbedingungen ändern. Die jeweils aktuelle Fassung ist stets unter /datenschutz abrufbar.