Datenschutzerklärung der SaaS-Plattform AurumTax

Der Schutz Ihrer Privatsphäre und die absolute Integrität Ihrer sensiblen Finanzdaten bilden das fundamentale Konstruktionsprinzip der Software-as-a-Service-Lösung „AurumTax“. Mit der nachfolgenden Datenschutzerklärung informiere ich Sie umfassend und transparent gemäß den strengen Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) sowie dem Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG) über Art, Umfang, Zweck und die kryptografische Absicherung der Erhebung und Verwendung Ihrer Daten.

1. Name und Anschrift des Verantwortlichen

Verantwortlicher im Sinne der DSGVO, anderer in den Mitgliedstaaten der Europäischen Union geltenden Datenschutzgesetze und sonstiger Bestimmungen mit datenschutzrechtlichem Charakter ist:

Björn Eberhardt

Website: https://aurumtax.8bj.de/

2. Die technologische Kernsäule: Client-Side Encryption (Encryption-at-Rest)

AurumTax verarbeitet Daten, die naturgemäß ein hohes Schutzbedürfnis aufweisen (z. B. finanzielle Parameter, steuerliche Berechnungsgrößen). Um zu gewährleisten, dass ausschließlich Sie selbst die Herrschaft über die inhaltliche Bedeutung dieser Daten behalten, ist die Architektur von AurumTax auf dem Zero-Knowledge-Prinzip aufgebaut. Dies wird durch eine sogenannte clientseitige Verschlüsselung (Client-Side Encryption) realisiert.

Wie schützt die Verschlüsselung Ihre Daten?

Wenn Sie Daten in die Masken von AurumTax eingeben und diese mit Ihrem von Ihnen frei wählbaren, persönlichen Passwort speichern, führt die Software eine kryptografische Transformation direkt lokal in Ihrem Webbrowser (auf Ihrem Endgerät) durch. Der Text wird durch starke Verschlüsselungsalgorithmen in ein unleserliches Chiffrat verwandelt.

Erst nachdem diese Verschlüsselung erfolgt ist, werden die chiffrierten Datenpakete über eine gesicherte Transportverbindung an meine Server gesendet und dort in der Datenbank gespeichert (Encryption-at-Rest). Ihr Klartext-Passwort wird niemals an meinen Server übertragen. Ich speichere, kenne und verarbeite Ihr Passwort nicht.

Die Konsequenz für den Datenschutz: Ich als Betreiber der Plattform bin mathematisch und informationstechnisch nicht in der Lage, Ihre gespeicherten Datenbestände zu entschlüsseln, einzusehen oder auszuwerten. Die auf meinen Servern liegenden Datenpakete lassen ohne Ihr Passwort keinen Rückschluss auf Ihre Person oder Ihre finanziellen Verhältnisse zu. Nur Sie selbst können die Daten bei einem erneuten Login durch Eingabe des Passworts in Ihrem Browser wieder dechiffrieren.

Rechtsgrundlage und TOM: Die Verarbeitung (Speicherung der Chiffrate) erfolgt zur Erfüllung des Vertragsverhältnisses über die Bereitstellung der SaaS-Lösung gemäß Art. 6 Abs. 1 lit. b DSGVO. Die Implementierung dieser Verschlüsselungsarchitektur stellt eine technische und organisatorische Maßnahme (TOM) auf höchstem Niveau dar und erfüllt die Anforderungen an Pseudonymisierung und Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 lit. a DSGVO vollumfänglich.

3. Zugriff auf Endgeräte: Local Storage und Verzicht auf Cookies (TDDDG)

Ein zentraler Aspekt des Datenschutzes betrifft das Auslesen oder Speichern von Informationen auf Ihrem Endgerät (Computer, Smartphone), auf dem Ihr Webbrowser läuft. Diese Vorgänge werden in Deutschland durch das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) reguliert.

Keine Tracking-Cookies: Die Plattform AurumTax verzichtet bewusst und vollständig auf den Einsatz klassischer HTTP-Cookies, Werbe-Tracker, Analyse-Pixel oder vergleichbare Technologien, die der Ausforschung Ihres Nutzerverhaltens dienen.

Nutzung des Local Storage: Um die hochkomplexe Funktionalität der Applikation – insbesondere die Ausführung der clientseitigen Verschlüsselung, die Vorhaltung kryptografischer Schlüssel während der aktiven Sitzung sowie das Management des Applikationsstatus – zu ermöglichen, bedient sich die Software des sogenannten Local Storage und Session Storage in der Web-Umgebung Ihres Browsers.

Rechtliche Einordnung (Keine Banner-Pflicht): Die Speicherung dieser funktionalen Informationen in Ihrem Endgerät erfolgt auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG. Der Gesetzgeber stellt hierbei klar, dass eine Einwilligung des Nutzers (etwa über ein störendes Cookie-Banner) nicht erforderlich ist, wenn der Zugriff auf das Endgerät „unbedingt erforderlich“ ist, damit ich Ihnen den von Ihnen ausdrücklich angeforderten digitalen Dienst (die Nutzung der SaaS AurumTax) zur Verfügung stellen kann. Da die Software ohne diese lokalen Speicherprozesse ihre kryptografischen Kernfunktionen nicht ausführen könnte, ist die absolute technische Notwendigkeit gegeben.

4. Erfassung von allgemeinen Daten und Server-Logfiles

Bei jedem Aufruf der Webpräsenz erfasst der Server, auf dem AurumTax gehostet wird, automatisiert eine Reihe von allgemeinen Daten und Informationen, die in den Logfiles des Servers vorübergehend gespeichert werden. Dies ist technisch unvermeidbar, um eine Website auszuliefern.

Erfasst werden können die folgenden Datenpunkte:

Die verwendeten Browsertypen und Versionen,
Das Betriebssystem des zugreifenden Systems (Endgeräts),
Die Internetseite, von welcher ein zugreifendes System auf meine Internetseite gelangt (sogenannte Referrer-URL),
Das Datum und die Uhrzeit eines Zugriffs auf die Internetseite,
Eine Internet-Protokoll-Adresse (IP-Adresse) des zugreifenden Systems,
Den Internet-Service-Provider (ISP) des zugreifenden Systems.

Zweck und Rechtsgrundlage: Bei der Nutzung dieser allgemeinen Daten ziehe ich keine Rückschlüsse auf die betroffene Person. Diese Informationen werden vielmehr benötigt, um die Inhalte meiner Internetseite korrekt auszuliefern, die dauerhafte Funktionsfähigkeit meiner informationstechnischen Systeme zu gewährleisten sowie um Strafverfolgungsbehörden im Falle eines Cyberangriffs die zur Strafverfolgung notwendigen Informationen bereitzustellen. Die Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist mein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO.

Löschung: Die Daten in den Server-Logfiles werden getrennt von allen anderen durch eine betroffene Person angegebenen Daten gespeichert und nach spätestens 14 Tagen automatisiert gelöscht, sofern keine weitere Aufbewahrung zu Beweiszwecken bei konkreten Sicherheitsvorfällen erforderlich ist.

5. Betroffenenrechte nach der DSGVO

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie „betroffene Person“ im Sinne der DSGVO. Ihnen stehen weitreichende Rechte gegenüber dem Verantwortlichen zu. Bitte beachten Sie bezüglich der Ausübung Ihrer Rechte die wesentliche Einschränkung durch die Zero-Knowledge-Architektur: Da ich aufgrund der clientseitigen Verschlüsselung (siehe Ziffer 2) die von Ihnen in der Software eingegebenen Finanzdaten weder lesen noch entschlüsseln kann, ist es mir faktisch unmöglich, Ihnen hierüber eine inhaltliche Klartext-Auskunft zu erteilen oder diese Daten an Dritte zu übertragen. Ich kann Ihnen auf Anfrage lediglich bestätigen, dass ein verschlüsselter Datensatz (Chiffrat) vorliegt, und Ihnen diesen in verschlüsselter Form aushändigen.

Ihre Rechte im Detail umfassen:

Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob ich personenbezogene Daten von Ihnen verarbeite. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten sowie auf weitere Metainformationen zur Verarbeitung.
Recht auf Berichtigung (Art. 16 DSGVO): Sie können unverzüglich die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei mir gespeicherten personenbezogenen Daten verlangen.
Recht auf Löschung / Recht auf Vergessenwerden (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern die Zwecke der Verarbeitung weggefallen sind, Sie Ihre Einwilligung widerrufen haben oder die Verarbeitung unrechtmäßig war. Bei AurumTax können Sie Ihre verschlüsselten Datensätze in der Regel selbstständig über die Benutzeroberfläche löschen, womit diese unwiederbringlich von meinen Servern entfernt werden.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen (z. B. wenn Sie die Richtigkeit der Daten bestreiten) können Sie die Einschränkung der Verarbeitung verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Daten, die Sie mir bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. (Gilt nur für die verschlüsselten Rohdaten).
Widerspruchsrecht (Art. 21 DSGVO): Soweit ich Ihre Daten zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeite, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen.

Zur Geltendmachung Ihrer Rechte genügt eine E-Mail oder postalische Mitteilung an die unter Ziffer 1 genannten Kontaktdaten des Verantwortlichen.

6. Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu, wenn Sie der begründeten Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Bestimmungen der DSGVO verstößt. Sie können dieses Recht insbesondere bei der Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend machen.

← Zurück zu AurumTax | Impressum | AGB