DSGVO Datenkategorien & Löschfristen

BreakPilot - Consent Management System Dokumentation für Datenschutzbestimmungen

Übersicht

Diese Dokumentation enthält alle Datenkategorien, die von BreakPilot erfasst werden, sowie deren Löschfristen und Rechtsgrundlagen gemäß DSGVO.

Kategorie A: Essentielle Daten (Pflicht für Betrieb)

Diese Daten sind für den Betrieb des Dienstes erforderlich und werden ohne zusätzliche Einwilligung verarbeitet.

Datenkategorie	Beschreibung	Löschfrist	Rechtsgrundlage
Stammdaten	Name, E-Mail-Adresse, Kontoinformationen	Account-Löschung + 30 Tage	Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Einwilligungen	Consent-Entscheidungen, Dokumentversionen	3 Jahre nach Widerruf/Ablauf	Gesetzliche Nachweispflicht (§ 7a UWG)
IP-Adressen	Technische Protokollierung bei Aktionen	4 Wochen	Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Session-Daten	Login-Tokens, Sitzungsinformationen	Nach Sitzungsende oder 24h Inaktivität	Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Audit-Log	Protokoll aller datenschutzrelevanten Aktionen	3 Jahre (personenbezogen)	Berechtigtes Interesse / Compliance
Passwort-Reset-Tokens	Temporäre Tokens für Passwort-Zurücksetzung	24 Stunden oder nach Nutzung	Vertragserfüllung
E-Mail-Verifikations-Tokens	Tokens für E-Mail-Bestätigung	7 Tage oder nach Nutzung	Vertragserfüllung
Export-Anfragen	Anträge auf Datenauskunft	30 Tage nach Abschluss	Vertragserfüllung / DSGVO Art. 15
Lösch-Anfragen	Anträge auf Datenlöschung (anonymisiert)	3 Jahre (anonymisiert)	Nachweis der Löschung
Benachrichtigungen	System-Benachrichtigungen an den Nutzer	90 Tage nach Lesen	Vertragserfüllung

Kategorie B: Optionale Daten (Nur bei Einwilligung)

Diese Daten werden nur bei expliziter Zustimmung des Nutzers erhoben (Opt-in über Cookie-Banner).

Datenkategorie	Beschreibung	Cookie-Kategorie	Löschfrist	Rechtsgrundlage
Analytics-Daten	Nutzungsstatistiken (Seitenaufrufe, Verweildauer, etc.)	`analytics`	26 Monate	Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Marketing-Daten	Werbe-Identifier, Kampagnen-Tracking	`marketing`	12 Monate	Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Funktionale Daten	Personalisierung, Präferenzen, UI-Einstellungen	`functional`	6 Monate	Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Detaillierte Beschreibungen

Stammdaten

Erfasste Daten: Vorname, Nachname (optional), E-Mail-Adresse, Passwort-Hash
Zweck: Identifikation, Authentifizierung, Kommunikation
Löschung: Automatisch 30 Tage nach Account-Löschung durch den Nutzer
Ausnahme: Bei rechtlichen Streitigkeiten kann die Frist verlängert werden

Einwilligungen (Consent Records)

Erfasste Daten: Dokumenttyp, Version, Zeitstempel der Zustimmung/Ablehnung, IP-Adresse zum Zeitpunkt
Zweck: Nachweis der erteilten Einwilligungen gegenüber Aufsichtsbehörden
Löschung: 3 Jahre nach Widerruf oder Ablauf der Einwilligung
Rechtsgrundlage: § 7a UWG (Beweislast für Einwilligungen)

IP-Adressen

Erfasste Daten: IPv4/IPv6-Adresse bei Login, Consent-Aktionen, Sicherheitsereignissen
Zweck: Sicherheit, Missbrauchserkennung, gesetzliche Anforderungen
Löschung: Automatische Anonymisierung nach 4 Wochen
Anonymisierung: Letztes Oktett wird auf 0 gesetzt (z.B. 192.168.1.0)

Session-Daten

Erfasste Daten: JWT-Token, Refresh-Token, Geräte-Fingerprint, User-Agent
Zweck: Authentifizierung, Geräte-Management
Löschung: Automatisch bei Logout oder nach 24h Inaktivität

Audit-Log

Erfasste Daten: Nutzer-ID, Aktion, Zeitstempel, IP-Adresse, User-Agent, Details
Zweck: Compliance-Nachweis, Sicherheitsüberwachung
Löschung (personenbezogen): 3 Jahre
Löschung (anonymisiert): 10 Jahre (für statistische Auswertungen)

Analytics-Daten (Opt-in)

Erfasste Daten: Seitenaufrufe, Verweildauer, Klickpfade, Geräteinformationen
Zweck: Verbesserung der Nutzererfahrung, Produktentwicklung
Cookie-Kategorie: analytics
Löschfrist: 26 Monate (entspricht Google Analytics Standard)

Marketing-Daten (Opt-in)

Erfasste Daten: Werbe-ID, Kampagnen-Referrer, Conversion-Tracking
Zweck: Personalisierte Werbung, Erfolgsmessung von Kampagnen
Cookie-Kategorie: marketing
Löschfrist: 12 Monate

Funktionale Daten (Opt-in)

Erfasste Daten: UI-Präferenzen, Spracheinstellungen, Theme-Auswahl
Zweck: Personalisierung der Benutzeroberfläche
Cookie-Kategorie: functional
Löschfrist: 6 Monate oder bei Account-Löschung

Technische Umsetzung

Löschfristen in Tagen

Kategorie	Tage	Automatisiert
IP-Adressen	28	✓
Session-Daten	1	✓
Passwort-Reset-Tokens	1	✓
E-Mail-Verifikations-Tokens	7	✓
Export-Anfragen	30	✓
Benachrichtigungen	90	✓
Funktionale Daten	180	✓
Marketing-Daten	365	✓
Analytics-Daten	790	✓
Einwilligungen	1095	✓
Audit-Log	1095	✓
Lösch-Anfragen	1095	✓
Stammdaten	Account-Löschung + 30	Manuell ausgelöst

API-Endpunkte

GET  /api/consent/privacy/data-categories     - Alle Datenkategorien abrufen
GET  /api/consent/privacy/data-categories?filter=essential  - Nur essentielle
GET  /api/consent/privacy/data-categories?filter=optional   - Nur optionale
POST /api/consent/privacy/export-pdf          - PDF-Datenauskunft (Art. 15)
GET  /api/consent/privacy/export-html         - HTML-Datenauskunft
POST /api/consent/privacy/request-deletion    - Löschantrag (Art. 17)

Nutzerrechte nach DSGVO

Recht	Artikel	Umsetzung in BreakPilot
Auskunftsrecht	Art. 15	PDF/HTML-Export aller gespeicherten Daten
Berichtigungsrecht	Art. 16	Profil-Bearbeitung im Account
Löschungsrecht	Art. 17	Löschantrag über UI oder API
Einschränkungsrecht	Art. 18	Account-Sperrung auf Anfrage
Datenübertragbarkeit	Art. 20	JSON/PDF-Export im maschinenlesbaren Format
Widerspruchsrecht	Art. 21	Widerruf einzelner Einwilligungen

Verantwortlicher & Datenschutzbeauftragter

Verantwortlicher: BreakPilot GmbH Musterstraße 1 12345 Musterstadt E-Mail: info@breakpilot.app

Datenschutzbeauftragter: E-Mail: datenschutz@breakpilot.app

Aufsichtsbehörde: Die zuständige Datenschutz-Aufsichtsbehörde kann bei Beschwerden kontaktiert werden.

Letzte Aktualisierung: Dezember 2024 Version: 1.0