Datenschutzerklärung

1. Verantwortlicher

cadma solutions UG (haftungsbeschränkt)
Geschäftsführer: Romuald Brozi
Eichenstraße 217
41747 Viersen
Deutschland
E-Mail: info@cadma.online
Website: https://cadma.online

2. Grundsätze der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies für die Bereitstellung, den sicheren Betrieb und die vertragliche Nutzung von CADMA erforderlich ist. CADMA ist als mehrmandantenfähige Plattform zur Verwaltung von Betriebsdaten, Teamzugängen, Medien, OCR-Texten, PDF-Entwürfen und Planerdaten konzipiert.

CADMA setzt keine Analyse-, Tracking- oder Marketingdienste von Drittanbietern ein. Die Plattform verwendet ausschließlich technisch erforderliche Cookies sowie lokalen Browserspeicher für Anzeige- und Hinweispräferenzen.

3. Rechtsgrundlagen

Die Datenverarbeitung erfolgt je nach Vorgang auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen), lit. c DSGVO (gesetzliche Pflichten) und lit. f DSGVO (berechtigtes Interesse an Sicherheit, Missbrauchsabwehr und technisch notwendigem Betrieb).

4. Kategorien verarbeiteter Daten

• Kontodaten: Name, E-Mail-Adresse, Passwort-Hash, Verifizierungsstatus, Login-Sperrinformationen
• Betriebsdaten: Betriebsname, Rechnungsadresse, Rechnungs-E-Mail, Umsatzsteuer-ID, Kundennummer
• Team- und Rechtdaten: Einladungen, Mitgliedschaften, Rollen, deaktivierte Zugänge, Freigaben
• Mediendaten: Dateiinhalt, Dateiname, MIME-Typ, Dateigröße, Beschreibung, Upload-Zeitpunkt
• OCR-Daten: erkannter Text zu Dateien oder Scans
• PDF-Daten: gespeicherte Entwürfe, Reihenfolge von Karten, freie Textinhalte und erzeugte PDF-Dateien
• Planerdaten: strukturierte, vom Kunden importierte Datensätze
• Technische Daten: Session-Informationen, Sicherheits-Token, Local-Storage-Einträge, Server-Logdaten
• Sicherheitsdaten: TOTP-Schlüssel (verschlüsselt), 2FA-Backup-Codes (gehasht), Login-Geräteinformationen (User-Agent, pseudonymisierte IP)
• Protokolldaten: Aktivitätsprotokoll-Einträge (Aktionstyp, Nutzer-ID, Zeitstempel), Speicher-Snapshots (aggregiert)
• Integritätsdaten: SHA-256-Prüfsummen von Dateien

5. Registrierung, Login und Kontosicherheit

Bei der Registrierung werden Name, E-Mail-Adresse und Passwort verarbeitet. Das Passwort wird gehasht gespeichert und ist für uns nicht im Klartext einsehbar.

Zur Aktivierung des Kontos wird ein Verifizierungs-Token erzeugt und per E-Mail versendet. Bei Login-Versuchen verarbeitet CADMA sicherheitsrelevante Daten wie Fehlversuche und Sperrzeitpunkte, um Brute-Force-Angriffe abzuwehren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

6. Betriebe, Rechnungsdaten und Teamverwaltung

Nutzer können Betriebe anlegen und verwalten. Hierbei werden betriebsbezogene Stammdaten sowie Abrechnungsdaten verarbeitet. Eigentümer können weitere Mitglieder per Einladung einbinden und deren Zugriff für einzelne Betriebe steuern.

Einladungen enthalten einen individuellen Token. Der Token wird bis zur Annahme, zum Ablauf oder zur Stornierung gespeichert. Annahmen werden mit Zeitstempel dokumentiert.

7. Medienverwaltung

CADMA verarbeitet hochgeladene Bilder, Videos und Dokumente einschließlich Metadaten wie Dateiname, MIME-Typ, Dateigröße, Beschreibung, zugehöriger Betrieb und Ordnerzuordnung. Die Dateien werden auf dem Server gespeichert und je nach Berechtigung angezeigt, bearbeitet, heruntergeladen, verschoben oder gelöscht.

Nutzer sind selbst dafür verantwortlich, nur solche Inhalte hochzuladen, für deren Verarbeitung eine ausreichende Rechtsgrundlage besteht.

8. Öffentliche Ordner und Freigaben

Jeder Betrieb besitzt einen öffentlichen Ordner „Öffentlich“, der für alle Betriebsmitglieder sichtbar ist. Darüber hinaus können Ordner individuell für Mitglieder freigegeben werden. Die Freigabelogik wird gespeichert, um den Zugriff innerhalb des jeweiligen Betriebs zu steuern.

9. Barcode-Scanner und OCR

Die Barcode-Funktion nutzt die Kamera des Endgeräts im Browser und verarbeitet die Erkennung clientseitig. Dabei werden keine Barcode-Kamerabilder serverseitig gespeichert.

Für OCR-Workflows können Kamerabilder oder kompatible Dateien verarbeitet werden. Das Kamerabild dient ausschließlich der Texterkennung und wird nicht als Bilddatei dauerhaft gespeichert. Der erkannte Text kann jedoch im System gespeichert werden, um Suchen, Zuordnungen und Folgeprozesse zu ermöglichen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

10. Medien-Editor und Overlay/Wasserzeichen

CADMA stellt einen canvas-basierten Medien-Editor bereit, mit dem Nutzer Zeichnungen, Anmerkungen und Wasserzeichen auf Bilder anwenden können. Die Bildverarbeitung erfolgt vollständig clientseitig im Browser – es werden dabei keine Rohdaten des Originalbildes an den Server übertragen.

Overlay-Vorlagen (z. B. Logos, Wasserzeichen) können je Betrieb hochgeladen und gespeichert werden. Diese Vorlagen werden als Mediendateien des Betriebs behandelt und unterliegen denselben Zugriffsregeln wie andere Mediendateien.

Das Ergebnis einer Bearbeitung (z. B. ein bild mit aufgebrachtem Wasserzeichen) wird erst dann auf dem Server gespeichert, wenn der Nutzer aktiv die Speichern-Funktion auslöst. Das gespeicherte Ergebnis liegt als neue Mediendatei im jeweiligen Betrieb vor.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

11. CADMA-Sync und API-Nutzung

CADMA-Sync ist ein Windows-Desktop-Tool, das Mediendateien zwischen einem lokalen Ordner und CADMA über die CADMA-API synchronisiert.

Übertragene Daten

• Dateiname und Ordnerstruktur des lokalen Synchronisierungsordners
• Dateigröße und Dateizeitpunkt der synchronisierten Dateien
• Dateiinhalt (Bild-, Video- oder Dokumentdateien) beim Hochladen in CADMA

Übertragungsweg

Die Übertragung erfolgt ausschließlich über verschlüsselte HTTPS-Verbindungen zur CADMA-API. Für die Authentifizierung wird ein individueller API-Key verwendet.

API-Key

Der API-Key wird ausschließlich lokal im Programm gespeichert und dient der sicheren Authentifizierung gegenüber der CADMA-API. Er wird nicht an Dritte weitergegeben.

Speicherdauer

Hochgeladene Dateien werden im jeweiligen Betrieb gespeichert und bleiben bis zur Löschung durch den Nutzer erhalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

12. PDF-Bearbeitung und Entwürfe

Mit aktivierter Lizenz können Nutzer aus vorhandenen Medien, OCR-Inhalten und freien Textkarten neue PDF-Dokumente zusammenstellen. Der Bearbeitungszustand kann als Entwurf pro Nutzer und Betrieb gespeichert werden. Beim finalen Speichern wird die erzeugte PDF-Datei im gewählten Medienordner abgelegt.

Wird beim Speichern im Zielordner bereits eine Datei mit demselben Namen gefunden, wird automatisch ein numerischer Suffix angehängt (z. B. dokument_001.pdf). Dies dient der Vermeidung unbeabsichtigter Überschreibungen.

Entwürfe enthalten insbesondere Titel, Reihenfolgen, Kartentypen und freie Texteingaben.

13. Planer-Import

Im AH-Planer können strukturierte Daten aus Excel- oder CSV-Dateien importiert werden. Die importierten Daten werden dem jeweiligen Betrieb zugeordnet und dienen ausschließlich der vom Kunden gewünschten betrieblichen Organisation.

14. E-Mail-Kommunikation

CADMA versendet E-Mails insbesondere für folgende Zwecke:

• E-Mail-Verifizierung
• Einladungen zu Betrieben
• Passwort-Reset
• Sicherheitshinweis bei Anmeldung von einem unbekannten Gerät oder einer unbekannten IP-Adresse
• interne Administrator-Benachrichtigungen bei neuen Registrierungen oder neuen Betrieben
• Benachrichtigung bei Änderungen der Subscription (an Nutzer und Administrator)

15. Cookies, Local Storage und Sitzung

CADMA verwendet technisch notwendige Cookies, insbesondere für die Sitzung (`cadma_session`) und den CSRF-Schutz (`XSRF-TOKEN`).

Zusätzlich nutzt die Anwendung lokalen Browserspeicher für folgende Zwecke:

• cadma_cookie_consent für den Status des Cookie-Hinweises
• cadma-theme für die Anzeigepräferenz hell / dunkel
• cadma-media-editor-preferences für Editor-Voreinstellungen wie Farbe, Strichstärke und Schriftoptionen
• cadma_business_<id>_panels sowie weitere Business-Schlüssel für die Anzeige geöffneter Explorer-, Ordner- und Detailbereiche

Weitere Informationen finden Sie in der Cookie-Richtlinie EU.

16. Server-Logs und Sicherheit

Zur Sicherstellung eines stabilen und sicheren Betriebs können technische Protokolldaten verarbeitet werden, etwa IP-Adresse, Browserinformationen, Zeitpunkte des Zugriffs und Fehlerkontexte. Diese Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an IT-Sicherheit, Fehleranalyse und Missbrauchsabwehr.

17. OAuth-Login (Google / GitHub)

CADMA bietet eine optionale Anmeldung über OAuth-Dienste (derzeit Google und GitHub) an. Bei Nutzung dieser Funktion wird der Nutzer temporär zum jeweiligen OAuth-Anbieter weitergeleitet. Im Rahmen des OAuth-Prozesses übermittelt der Anbieter an CADMA ausschließlich die vom Nutzer freigegebenen Profilinformationen – in der Regel Name und E-Mail-Adresse.

CADMA speichert diese Daten, um ein lokales Nutzerkonto anzulegen oder einem bestehenden Konto zuzuordnen. Ein Passwort wird bei OAuth-Konten nicht gespeichert. Die Verarbeitung durch Google bzw. GitHub richtet sich nach deren jeweiligen Datenschutzbestimmungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

18. Analytics und Speichernutzungsdaten

CADMA erfasst periodisch Speicher-Snapshots für jeden Betrieb, um die Speicherentwicklung im Zeitverlauf darzustellen. Diese Snapshots enthalten ausschließlich aggregierte Kennzahlen (Gesamtspeicher, Anzahl der Dateien, Dateityp-Verteilung) und werden dem jeweiligen Betrieb zugeordnet.

Die Daten dienen ausschließlich der internen Betriebsanalyse innerhalb der Plattform und werden nicht an Dritte weitergegeben oder für Marketingzwecke verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. f DSGVO (berechtigtes Interesse an Transparenz der Speichernutzung).

19. Aktivitätsprotokoll

CADMA protokolliert bestimmte Benutzeraktionen innerhalb eines Betriebs in einem Aktivitätsprotokoll. Hierzu zählen insbesondere: Datei-Upload, Datei-Löschung, Datei-Umbenennung und -Verschiebung, Ordner-Erstellung und -Löschung, Einladungen sowie Änderungen an Freigaben und Zugriffsrechten.

Jeder Protokolleintrag enthält: ausführender Nutzer (Name/ID), Aktionstyp, betroffenes Objekt und Zeitstempel. Das Protokoll ist ausschließlich Admins und dem Betriebseigentümer zugänglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. f DSGVO (berechtigtes Interesse an Nachvollziehbarkeit von Aktionen).

20. Zwei-Faktor-Authentifizierung (TOTP/2FA)

Nutzer können optional eine Zwei-Faktor-Authentifizierung (2FA) auf Basis des TOTP-Verfahrens (Time-based One-Time Password, RFC 6238) aktivieren. Beim Einrichten der 2FA wird ein geheimer TOTP-Schlüssel erzeugt und verschlüsselt in der Datenbank gespeichert. Dieser Schlüssel verlässt den Server nicht im Klartext.

Backup-Codes werden als gehashte Werte gespeichert. Der Nutzer erhält die Klartext-Codes einmalig bei der Einrichtung und ist für deren sichere Aufbewahrung selbst verantwortlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

21. Login-Geräte und Sitzungsverwaltung

Bei jeder erfolgreichen Anmeldung speichert CADMA Informationen zur Sitzung, um dem Nutzer eine Übersicht aktiver Geräte zu ermöglichen. Hierzu werden folgende Daten erhoben und gespeichert:

• IP-Adresse (wird pseudonymisiert gespeichert)
• User-Agent (Browser- und Betriebssysteminformationen)
• Zeitpunkt der Anmeldung und letzter Aktivität

Nutzer können aktive Sitzungen im Bereich Mein Konto → Sicherheit einsehen und einzelne Sitzungen oder alle Fremdsitzungen widerrufen. Die Sitzungsdaten werden spätestens beim Ablauf der Sitzung oder nach manuellem Widerruf gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

22. Sync-Konflikte

Bei Nutzung von CADMA-Sync können Konflikte entstehen, wenn dieselbe Datei sowohl lokal als auch in CADMA geändert wurde. Konfliktinformationen (betroffene Datei, Zeitpunkt der lokalen und serverseitigen Änderung, Konflikttyp) werden temporär im CADMA-Sync-Client gespeichert, bis der Nutzer eine Auflösungsentscheidung trifft (Server-Version behalten, Client-Version behalten oder Ignorieren).

Serverseitig werden keine gesonderten Konfliktdaten dauerhaft gespeichert. Die regulären Mediendaten-Regeln (Abschnitt 7) gelten entsprechend.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

23. Prüfsummen und Integritätsprüfung

Für hochgeladene Dateien berechnet CADMA beim Upload eine SHA-256-Prüfsumme. Diese wird zusammen mit den Metadaten der Datei gespeichert. Die Prüfsumme dient ausschließlich der technischen Integritätsprüfung (Erkennung von Übertragungsfehlern und Duplikaterkennung) und enthält keine personenbezogenen Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Datenintegrität).

24. Speicherdauer

Wir speichern Daten grundsätzlich nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

• Kontodaten: bis zur Löschung des Kontos bzw. entsprechend gesetzlicher Pflichten
• Verifizierungs-, Einladungs- und Reset-Token: bis zur Nutzung, zum Ablauf oder zur Entfernung aus dem System
• Medien, OCR-Texte, PDF-Dateien, Entwürfe und Planerdaten: bis zur Löschung durch den Kunden oder zur Beendigung des Vertragsverhältnisses
• technische Sicherheitsdaten: nur so lange wie für Sicherheitszwecke erforderlich

25. Hosting und Auftragsverarbeitung (AVV)

CADMA wird auf Infrastruktur der IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland (https://www.ionos.de) betrieben. IONOS ist als Auftragsverarbeiter im Sinne von Art. 28 DSGVO tätig.

Mit IONOS besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Die aktuell gültige Fassung des AVV von IONOS ist abrufbar unter: https://www.ionos.de/terms-gtc/avv/

Serverstandort

Die Datenverarbeitung durch IONOS erfolgt ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums. Es findet keine Übermittlung in Drittstaaten statt, soweit IONOS dies nicht ausdrücklich kommuniziert und die Voraussetzungen nach Art. 44 ff. DSGVO sicherstellt.

Zertifizierung

IONOS ist nach ISO 27001 zertifiziert. Das aktuelle Zertifikat ist auf der Website von IONOS einsehbar. Die technischen und organisatorischen Maßnahmen von IONOS (TOMs) sind unter IONOS AVV TOMs (PDF) veröffentlicht.

Weitere Auftragsverarbeiter

Außerhalb des Hostings setzt CADMA keine weiteren Auftragsverarbeiter für die Kernverarbeitung personenbezogener Daten ein. IONOS kann seinerseits weitere Subunternehmer einsetzen; diese sind im Anhang 2 des IONOS-AVV aufgeführt.

26. Technische und organisatorische Maßnahmen (TOMs)

Wir haben geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten. Die nachfolgenden Maßnahmen beziehen sich auf die CADMA-Anwendung selbst.

Vertraulichkeit

• Transportverschlüsselung: Alle Verbindungen zur CADMA-Plattform sowie zur CADMA-API erfolgen ausschließlich über TLS/HTTPS.
• Passwort-Hashing: Passwörter werden mittels bcrypt gehasht und nie im Klartext gespeichert.
• API-Key-Sicherheit: API-Schlüssel werden nur als Hash sowie als verschlüsselter Wert abgelegt; der Klartext-Key wird dem Nutzer nur einmalig bei der Generierung angezeigt.
• Zugriffssteuerung: Der Zugriff auf Betriebe, Ordner und Mediendateien ist durch ein rollenbasiertes Berechtigungsmodell geschützt. Private Ordner sind nur für ausdrücklich freigegebene Mitglieder einsehbar.
• Admin-Bereich: Die Administrationsoberfläche ist durch eine separate Session mit eigenem Zugangsschutz abgesichert.
• E-Mail-Verifizierung: Konten sind erst nach Bestätigung der E-Mail-Adresse nutzbar.

Integrität

• CSRF-Schutz: Alle zustandsverändernden Anfragen sind durch CSRF-Tokens abgesichert (Laravel-Mechanismus mit dem XSRF-TOKEN-Cookie).
• Eingabevalidierung: Alle Formulareingaben und API-Parameter werden serverseitig validiert, bevor sie verarbeitet werden.
• Brute-Force-Schutz: Nach mehreren fehlgeschlagenen Login-Versuchen wird der Zugang automatisch temporär gesperrt (Laravel Rate Limiting).

Verfügbarkeit und Belastbarkeit

• Die Verfügbarkeit der Infrastruktur (Server, Netzwerk, Strom) liegt im Verantwortungsbereich von IONOS. Dessen TOMs und SLAs gelten entsprechend.
• Login-Sperrung: Administratoren und Eigentümer können Nutzerzugänge manuell sperren, um bei Missbrauch oder Austritt eines Mitglieds den Zugang sofort zu entziehen.

Verfahren zur regelmäßigen Überprüfung

• Sicherheitsrelevante Abhängigkeiten (PHP-Pakete, Laravel-Framework) werden regelmäßig auf Updates geprüft und aktualisiert.
• Zugangsprotokolle und Fehlerprotokolle werden zur Missbrauchserkennung ausgewertet.
• Die TOMs werden bei wesentlichen Änderungen an der Anwendung oder der Infrastruktur überprüft und bei Bedarf angepasst.

27. Rechte betroffener Personen

Sie haben insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

Außerdem haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

28. Kontakt

Für Fragen zum Datenschutz wenden Sie sich bitte an:

cadma solutions UG (haftungsbeschränkt)
E-Mail: info@cadma.online