Datenschutzerklaerung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Fuer Fragen zum Datenschutz und zur Ausuebung Ihrer Rechte wenden Sie sich bitte an:

Hinweis: Ein formell bestellter Datenschutzbeauftragter nach Art. 37 DSGVO ist derzeit nicht gesetzlich vorgeschrieben. Sollte sich dies aendern, wird diese Angabe aktualisiert.

Das Projekt-Portal unter projekte.luminaplus.de ist ein internes Werkzeug der LuminaPlus eG. Es dient ausschliesslich der Verwaltung von Projekten, Arbeitspaketen und Meilensteinen durch autorisierte Mitarbeiterinnen und Mitarbeiter.

Im Rahmen der Nutzung des Portals werden folgende personenbezogene Daten verarbeitet:

• Anmeldedaten: E-Mail-Adresse, Passwort (ausschliesslich als kryptographischer Hash gespeichert), Session-Tokens
• Projektbezogene Daten: Vor- und Nachname (als verantwortliche Person fuer Arbeitspakete), Zuordnung zu Projekten
• Technische Nutzungsdaten: IP-Adresse, Zeitstempel der Zugriffe, Browser-Typ und -Version (durch den Hosting-Anbieter automatisch protokolliert)

Wichtig: Im Projekt-Portal werden keine Gesundheitsdaten und keine besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet. Pflege- und Kundendaten (z. B. aus den Tabellen care_kunden) sind durch Row Level Security (RLS) vom Portal getrennt und nicht zugaenglich.

Zur Bereitstellung des Portals setzen wir folgende technische Dienstleister ein, mit denen Auftragsverarbeitungsvertraege (AVV) nach Art. 28 DSGVO geschlossen wurden bzw. werden:

Eine darueber hinausgehende Weitergabe personenbezogener Daten an Dritte findet nicht statt, es sei denn, wir sind gesetzlich dazu verpflichtet.

Die Datenbank und Authentifizierung werden ueber Supabase auf Servern in der EU (Frankfurt am Main) betrieben. Eine Uebermittlung personenbezogener Daten in Drittlaender (ausserhalb des EWR) kann im Zusammenhang mit folgenden Dienstleistern erfolgen:

• Supabase Inc. (Firmensitz Singapur): Der Zugriff auf personenbezogene Daten durch Mitarbeiter von Supabase ausserhalb der EU kann nicht vollstaendig ausgeschlossen werden. Grundlage: EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO.
• Vercel Inc. (Firmensitz USA): Sofern eine Verarbeitung in den USA stattfindet, erfolgt diese auf Grundlage des EU-U.S. Data Privacy Frameworks bzw. der EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO.

Personenbezogene Daten werden nur so lange gespeichert, wie es fuer die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Anmeldedaten: Werden fuer die Dauer des Beschaeftigungsverhaeltnisses gespeichert und nach Beendigung sowie Ablauf etwaiger Aufbewahrungsfristen geloescht.
• Projektdaten: Werden fuer die Dauer des jeweiligen Projekts und anschliessend fuer die Dauer gesetzlicher Aufbewahrungspflichten (in der Regel 6 bzw. 10 Jahre nach Handels- und Steuerrecht) gespeichert.
• Technische Nutzungsdaten / Server-Logs: Werden in der Regel innerhalb von 30 Tagen automatisch geloescht, sofern keine laengere Speicherung zur Aufklaerung von Sicherheitsvorfaellen erforderlich ist.
• Session-Cookies: Werden mit dem Ende der Browser-Sitzung bzw. nach Ablauf der Sitzungsdauer automatisch geloescht.

Als betroffene Person haben Sie gegenueber dem Verantwortlichen folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO): Sie koennen Auskunft ueber die zu Ihrer Person gespeicherten Daten, den Verarbeitungszweck, die Kategorien verarbeiteter Daten, die Empfaenger sowie die geplante Speicherdauer verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie koennen die Berichtigung unrichtiger oder die Vervollstaendigung unvollstaendiger Daten verlangen.
• Recht auf Loeschung (Art. 17 DSGVO): Sie koennen die Loeschung Ihrer Daten verlangen, sofern die Verarbeitung nicht mehr erforderlich ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschraenkung der Verarbeitung (Art. 18 DSGVO): Sie koennen unter bestimmten Voraussetzungen die Einschraenkung der Verarbeitung Ihrer Daten verlangen.
• Recht auf Datenportabilitaet (Art. 20 DSGVO): Sie koennen verlangen, dass Ihnen die Sie betreffenden Daten in einem strukturierten, gaengigen und maschinenlesbaren Format uebergeben werden.
• Widerspruchsrecht (Art. 21 DSGVO): Sie koennen jederzeit aus Gruenden, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO Widerspruch einlegen. Der Verantwortliche verarbeitet die Daten dann nicht mehr, es sei denn, er kann zwingende schutzwuerdige Gruende fuer die Verarbeitung nachweisen.

Zur Ausuebung Ihrer Rechte wenden Sie sich bitte per E-Mail an info@luminaplus.de oder postalisch an die oben genannte Adresse.

Unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehoerde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstoesst (Art. 77 DSGVO).

Die fuer uns zustaendige Aufsichtsbehoerde ist:

Das Projekt-Portal verwendet ausschliesslich technisch notwendige Cookies zur Aufrechterhaltung der Benutzersitzung (Session-Cookies). Diese Cookies sind fuer den Betrieb des Portals zwingend erforderlich und koennen nicht deaktiviert werden.

• Es werden keine Analyse- oder Tracking-Dienste eingesetzt (kein Google Analytics, kein Matomo, keine vergleichbaren Werkzeuge).
• Es werden keine Marketing-Cookies oder Cookies fuer Werbezwecke gesetzt.
• Es werden keine externen Schriftarten nachgeladen (z. B. Google Fonts). Alle Schriftarten werden lokal auf dem Server gehostet.
• Es werden keine Social-Media-Plugins oder eingebettete Inhalte Dritter verwendet.

Ein Cookie-Banner ist aufgrund der ausschliesslichen Verwendung technisch notwendiger Cookies nicht erforderlich (vgl. § 25 Abs. 2 Nr. 2 TDDDG).

Wir treffen angemessene technische und organisatorische Massnahmen nach Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau fuer die verarbeiteten personenbezogenen Daten zu gewaehrleisten. Dazu gehoeren insbesondere:

• Transportverschluesselung: Saemtliche Datenuebertragungen zwischen Browser und Server erfolgen ueber HTTPS/TLS.
• Zugriffskontrolle: Der Zugang zum Portal ist ausschliesslich authentifizierten Mitarbeiterinnen und Mitarbeitern vorbehalten.
• Passwort-Hashing: Passwoerter werden niemals im Klartext gespeichert, sondern ausschliesslich als kryptographische Hashes (bcrypt).
• Row Level Security (RLS): Auf Datenbankebene stellt Row Level Security sicher, dass Nutzende nur auf die ihnen zugeordneten Daten zugreifen koennen. Pflege- und Kundendaten sind vollstaendig vom Portal isoliert.
• Minimalprinzip: Es werden nur die personenbezogenen Daten erhoben, die fuer den Betrieb des Portals zwingend erforderlich sind (Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO).
• Regelmaessige Aktualisierung: Die eingesetzten Software-Komponenten und Abhaengigkeiten werden regelmaessig aktualisiert, um bekannte Sicherheitsluecken zu schliessen.

Wir behalten uns vor, diese Datenschutzerklaerung anzupassen, um sie an geaenderte Rechtslagen, technische Aenderungen oder Aenderungen unserer Datenverarbeitungsprozesse anzupassen. Die jeweils aktuelle Fassung ist stets unter dieser Adresse abrufbar.

Bei wesentlichen Aenderungen, die Ihre Rechte betreffen, werden wir Sie in geeigneter Weise informieren (z. B. per E-Mail oder durch einen Hinweis im Portal).