🔒 Datenschutzerklärung

Wir freuen uns über Ihren Besuch. Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Nachfolgend informieren wir Sie gemäß Art. 13 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten.

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

KoSch Services UG (haftungsbeschränkt)
Blütenweg 9
82008 Unterhaching
Deutschland

Geschäftsführer: Korbinian Schrödel

E-Mail: info@kosch-services.de

2. Datenschutzbeauftragter / Kontakt

Anfragen zum Datenschutz richten Sie bitte an:
E-Mail: datenschutzbeauftragter@kosch-services.de

3. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich auf Grundlage einer der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung des Nutzerkontos, Authentifizierung, Abwicklung der vertraglichen Leistungen (CRM, Rechnungen, Banking, DATEV, Buchhaltung, Dokumente, Cloud, Mail).
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Einhaltung handels- und steuerrechtlicher Aufbewahrungspflichten (GoBD, §§ 147 AO, 257 HGB).
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): IT-Sicherheit (Logfiles, Brute-Force-Schutz), Missbrauchserkennung, Systemstabilität.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Optionale Cookies, Newsletter-Versand.

4. Erhebung und Speicherung personenbezogener Daten

4.1 Zugriffsdaten (Logfiles)

Bei jedem Zugriff auf den Operation Hub werden folgende Daten temporär in Serverlogs gespeichert:

  • IP-Adresse des anfragenden Rechners (maskiert nach 7 Tagen)
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Seite
  • HTTP-Statuscode und übertragene Datenmenge
  • User-Agent (Browser-/Geräteinformation)
  • Referrer-URL
4.2 Nutzerkonto

Für die Nutzung ist eine Registrierung erforderlich. Dabei werden folgende Daten gespeichert:

  • Vor- und Nachname
  • E-Mail-Adresse (Login und Benachrichtigungen)
  • Firma / Organisation
  • Position (optional)
  • Telefonnummer (optional)
  • Passwort (ausschließlich als Argon2-/PBKDF2-Hash)
4.3 Geschäftsdaten

Abhängig von den genutzten Modulen werden zur Vertragserfüllung verarbeitet:

  • Kunden- und Kontaktdaten (CRM)
  • Rechnungs- und Zahlungsdaten
  • Belege und Dokumente (DATEV-Belegarchiv)
  • E-Mail-Kommunikation (Outlook-Integration — nur auf Wunsch)
  • Kalender- und Aufgabenlisten
  • Buchhaltungsdaten (SKR04)

5. Cookies

Der Operation Hub verwendet technisch notwendige Cookies:

  • sessionid — Session-Cookie für den Login
  • csrftoken — Schutz vor Cross-Site-Request-Forgery (Laufzeit: 1 Jahr)

Es werden keine Tracking-Cookies und keine Drittanbieter-Cookies gesetzt. Eine Einwilligung ist für technisch notwendige Cookies nicht erforderlich (Art. 25 Abs. 2 TTDSG).

6. Empfänger und Drittlandsübermittlung

Wir geben Ihre personenbezogenen Daten nur an Dritte weiter, soweit dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Verpflichtung besteht oder Sie ausdrücklich eingewilligt haben.

6.1 Microsoft 365 / Outlook (optional)

Bei Nutzung des integrierten Mail-Moduls werden Ihre Anmeldedaten via OAuth 2.0 (Delegated Flow) an Microsoft übertragen. Verantwortlich:
Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland.
Primäre Datenverarbeitung erfolgt in der EU. In Einzelfällen kann ein Transfer in die USA stattfinden. Rechtsgrundlage: EU-US Data Privacy Framework sowie EU-Standardvertragsklauseln.

6.2 Adobe PDF Embed API

Zur Anzeige von PDF-Dokumenten wird die Adobe PDF Embed API geladen. Verantwortlich:
Adobe Inc., 345 Park Avenue, San Jose, CA 95110, USA.
Adobe ist nach dem EU-US Data Privacy Framework zertifiziert. Es werden aggregierte Nutzungsstatistiken (kein Personenbezug) an Adobe übertragen.

6.3 Apple Push Notification Service (nur App)

Bei Nutzung der Operation-HUB-App werden Push-Benachrichtigungen über APNs versendet. Verantwortlich:
Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA.
Apple ist nach dem EU-US Data Privacy Framework zertifiziert. Es wird ausschließlich ein zufälliges Geräte-Token übermittelt, keine Inhalte.

6.4 Sign in with Apple (nur App, optional)

Bei Anmeldung via „Sign in with Apple" wird Ihre Apple-ID an Apple übertragen. Apple übermittelt uns nur eine pseudonymisierte Kennung sowie (auf Ihren Wunsch) Ihren Namen und Ihre E-Mail-Adresse (ggf. als Privatrelay-Alias).

6.5 Nextcloud (Cloud-Speicher)

Bei Nutzung des Cloud-Moduls werden Dateien auf einem von uns betriebenen Nextcloud-Server in Deutschland gespeichert. Kein Drittlandtransfer.

6.6 Bank-Schnittstellen (HBCI/FinTS)

Bei Nutzung des Banking-Moduls werden Ihre Anmelde- und Transaktionsdaten direkt über HBCI/FinTS an Ihre jeweilige Bank übermittelt. Datenempfänger ist die von Ihnen gewählte Bank; kein Drittlandtransfer, sofern Ihre Bank in Deutschland/EU ansässig ist.

7. Speicherdauer

  • Logfiles: 7 Tage, danach automatische Löschung
  • Nutzerkonto-Daten: bis zur Kontolöschung durch den Nutzer
  • Geschäftsdaten (Rechnungen, Belege, Buchhaltung): 10 Jahre (GoBD / §§ 147 AO, 257 HGB)
  • Handelsbriefe (geschäftliche E-Mails): 6 Jahre
  • Session-Cookies: maximal 24 Stunden

8. Ihre Rechte als betroffene Person

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten bestehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte formlos an datenschutzbeauftragter@kosch-services.de.

9. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig für den Verantwortlichen ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland
Telefon: +49 (0)981 180093-0
E-Mail: poststelle@lda.bayern.de
Website: www.lda.bayern.de

10. Datensicherheit

  • TLS-Verschlüsselung (HTTPS) für alle Datenübertragungen
  • Passwort-Hashing (Argon2 / PBKDF2 mit hoher Iterationszahl)
  • Brute-Force-Schutz und Rate-Limiting
  • Rollenbasierte Zugriffskontrolle (RBAC)
  • Revisionssichere Protokollierung (GoBD-konform)
  • Regelmäßige Sicherheits-Updates
  • Datensicherung (Backups) in Deutschland

11. Besonderheiten der Operation-HUB-App (iOS / macOS)

  • Keine Tracking-SDKs: Die App enthält weder Google Analytics, noch Firebase, noch Facebook SDK oder vergleichbare Tracking-Bibliotheken.
  • Keine Werbe-ID (IDFA): Die App fragt keine App-Tracking-Transparency-Berechtigung an.
  • Lokale Speicherung: Login-Token werden in der iOS Keychain verschlüsselt abgelegt.
  • Push-Notifications: Ausschließlich zur Übermittlung von Ereignissen aus dem Operation-HUB-Backend. Inhalte werden nicht an Apple weitergegeben.
  • Microsoft-OAuth: Bei Nutzung des Mail-Moduls wird der OAuth-Flow in einer systemeigenen Safari-WebView durchgeführt; die Zugangsdaten erreichen uns nicht.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Stand: April 2026