📘 Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

DSI GmbH & Co. KG
Kupferstraße 10
33378 Rheda‑Wiedenbrück
Handelsregister: HRA 7065, Amtsgericht Gütersloh
Vertreten durch die persönlich haftende Gesellschafterin DSI GmbH (HRB 6943), diese vertreten durch die Geschäftsführerin Irena Buschke.
Telefon: (05242) 594560
E‑Mail: info@dsi-gmbh.org
USt‑IdNr.: DE 237 775 346

Die Anwendung „IfSG Akteneinsicht" wird durch die A‑D‑Com GmbH im Auftrag der DSI GmbH & Co. KG entwickelt und betrieben. A‑D‑Com handelt hierbei als technischer Dienstleister (Auftragsverarbeiter gem. Art. 28 DSGVO) und verarbeitet die Daten ausschließlich nach Weisungen der DSI GmbH & Co. KG. Empfängerin der Akteneinsicht ist der Landschaftsverband Westfalen‑Lippe (LWL) als zuständige Erstattungsbehörde nach § 66 IfSG.

2. Zwecke und Rechtsgrundlagen

Zweck	Rechtsgrundlage	Speicherdauer
Authentifizierung & Autorisierung der Nutzer (Login, Sessions)	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. f (berechtigte Interessen — Datenschutz/Datensicherheit)	Session-Cookie: bis Logout, max. 8 Stunden
Audit-Log (Anmeldungen, Dokumenten-Zugriffe) zur Sicherheits- und Compliance-Kontrolle	Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen — Sicherheit, Nachvollziehbarkeit)	12 Monate, danach automatische Löschung
Bearbeitung der Erstattungsanträge nach § 56 IfSG (Antragsteller-Daten, Lohnabrechnungen, Bescheide)	Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — § 56 IfSG)	Nach gesetzlichen Aufbewahrungsfristen (mind. 10 Jahre handelsrechtlich, 6 Jahre steuerrechtlich)
Schutz vor Brute-Force / Scraping (Rate-Limit, Account-Lockout)	Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen — IT-Sicherheit)	Lockout: 30 Minuten · Logs: 12 Monate

3. Verarbeitete Daten

a) Stammdaten der Antragsteller (aus den Erstattungsanträgen § 56 IfSG)

• Name, Vorname, Geburtsdatum, Anschrift
• Personalnummer, DATEV-Personalnummer, Steuer-ID, SV-Nummer
• Geschäftszeichen, Quarantäne-/Beschäftigungsverbot-Daten, Behörden-Bezug
• Beträge (LA 3600, LA 5600, AG-SV-Anteile), Bankverbindung (IBAN/BIC) für Erstattungszwecke

b) Nutzerdaten (Bedienpersonal — LWL, Kanzlei, Administratoren)

• Benutzername, Passwort-Hash (scrypt)
• Vor- und Nachname, E-Mail (optional)
• Rolle (admin / kanzlei / lwl_viewer)
• Letztes Login: Zeitstempel und IP-Adresse (anonymisiert)

c) Audit-/Sicherheits-Logs

• Aktion (LOGIN, LOGOUT, OPEN_PDF, EXPORT, CHANGE_PASSWORD, …)
• Zeitstempel
• IP-Adresse — anonymisiert (letztes Oktett auf 0 gesetzt; bei IPv6 nur erste 48 Bit gespeichert)
• User-Agent (gekürzt auf 300 Zeichen)

4. Cookies

Die Anwendung setzt ausschließlich technisch notwendige Cookies. Eine Einwilligung nach § 25 TTDSG ist hierfür nicht erforderlich, dennoch informieren wir transparent:

Name	Zweck	Speicherdauer	Typ
ifsg_session	Authentifizierung (Speichert eine signierte Sitzungs-ID nach erfolgreicher Anmeldung). Attribute: HttpOnly, SameSite=Lax, Secure (auf HTTPS).	Sitzungs-Cookie · max. 8 Stunden	Strictly necessary
cookie_consent (LocalStorage)	Speichert die Bestätigung des Cookie-Hinweises, damit dieser nicht erneut angezeigt wird.	1 Jahr (im Browser)	Strictly necessary

Es werden keine Tracking-, Werbe- oder Analyse-Cookies gesetzt. Es findet keine Übermittlung an Drittanbieter (Google, Facebook, etc.) statt.

5. Empfänger / Weitergabe der Daten

Daten werden nicht an Dritte übermittelt — mit Ausnahme:

• Landschaftsverband Westfalen-Lippe (LWL) als zuständige Erstattungsbehörde nach § 66 IfSG (gesetzliche Verpflichtung).
• Behördliche Anfragen (z. B. Steuerprüfung, gerichtliche Anordnung) nur im gesetzlich vorgeschriebenen Umfang.

Eine Übermittlung in Drittländer (außerhalb EU/EWR) findet nicht statt.

6. Server-Standort & Hosting

Die Anwendung wird auf einem Server in Deutschland betrieben (IONOS SE, 56410 Montabaur). Die Verbindung ist mittels TLS 1.2+ (Let's Encrypt-Zertifikat) verschlüsselt (HTTPS). Daten-Backups werden täglich erstellt und verschlüsselt gespeichert.

7. Rechte der betroffenen Personen

Sie haben folgende Rechte nach DSGVO:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten — soweit keine gesetzlichen Aufbewahrungsfristen entgegenstehen (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
• Beschwerde bei der zuständigen Aufsichtsbehörde:
  Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
  Kavalleriestraße 2-4, 40213 Düsseldorf · ldi.nrw.de

Anfragen richten Sie bitte an die unter Ziffer 1 genannte verantwortliche Stelle.

8. Datensicherheit

• Passwörter werden ausschließlich als kryptografische Hashes (scrypt mit Salt) gespeichert
• Sessions sind kryptografisch signiert (HMAC-SHA256)
• Schutz vor CSRF (Cross-Site-Request-Forgery) durch Tokens
• Schutz vor Brute-Force durch Rate-Limit und Account-Lockout (10 Fehlversuche → 30 Min. Sperre)
• Strikte Content-Security-Policy (CSP), HSTS, X-Frame-Options, Referrer-Policy
• Regelmäßige Datenbank-Backups (täglich), verschlüsselt
• Audit-Log aller sicherheitsrelevanten Aktionen

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der rechtlichen Rahmenbedingungen oder des Funktionsumfangs der Anwendung anzupassen. Stand dieser Erklärung: Mai 2026.