1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung im Sinne der DSGVO und anderer Datenschutzbestimmungen ist:

Xantix Digital
Alte Brauerei 10
46509 Xanten
Deutschland
E-Mail: datenschutz@nis2cockpit.de
Telefon: 0173 / 9731125

Datenschutzbeauftragter: Die Bestellung eines Datenschutzbeauftragten ist nach Art. 37 DSGVO und § 38 BDSG für unser Unternehmen nicht erforderlich. Ansprechpartner für alle Datenschutzanfragen ist der oben genannte Verantwortliche per E-Mail an datenschutz@nis2cockpit.de.

2. Allgemeines zur Datenverarbeitung

Umfang der Verarbeitung: Wir verarbeiten personenbezogene Daten unserer Nutzer nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung des Nutzers oder auf einer der unten genannten Rechtsgrundlagen.

Rechtsgrundlagen für die Verarbeitung:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): soweit Sie eingewilligt haben, etwa bei Newsletter-Anmeldung oder Lead-Formularen.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): für die Bereitstellung der Plattform, Konto-Verwaltung, Zahlungsabwicklung und Support. Auch für vorvertragliche Maßnahmen (z. B. Trial-Anmeldung).
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): etwa bei steuerlichen oder handelsrechtlichen Aufbewahrungspflichten (§ 147 AO, § 257 HGB) und NIS2-Audit-Log-Pflichten.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): für IT-Sicherheit, Missbrauchs-Erkennung, Server-Logs und cookielose Webanalyse.

Datenlöschung und Speicherdauer: Personenbezogene Daten werden gelöscht oder eingeschränkt, sobald der Zweck der Speicherung erfüllt ist, soweit nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Konkrete Fristen pro Datenkategorie finden Sie unter Ziffer 10.

3. Erhebung und Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Plattform erforderlich ist. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, z. B. bei Lead-Formularen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).

4. Datenarten

Bei der Nutzung von NIS2Cockpit werden folgende Daten verarbeitet: Name, E-Mail-Adresse, Organisationsname, Compliance-Bewertungen, hochgeladene Nachweisdokumente sowie technische Zugriffsdaten (IP-Adresse, Browser-Typ, Zeitstempel).

Bei der Nutzung unserer Kontakt- und Lead-Formulare speichern wir zusätzlich den Zeitpunkt Ihrer Einwilligung sowie die Quelle des Formulars (Art. 7 Abs. 1 DSGVO — Nachweispflicht).

5. Hosting und Datenspeicherung

Alle Daten werden auf Servern in Deutschland gespeichert und verarbeitet. Unser Hosting-Provider ist die Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen (Deutschland). Mit Hetzner besteht eine Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO. Die Datenverarbeitung erfolgt ausschließlich in deutschen Rechenzentren.

6. Auftragsverarbeiter

Zur Erbringung unserer Leistungen setzen wir folgende Auftragsverarbeiter ein:

7. Dokumentenanalyse für Maßnahmen-Zuordnung

Wenn Sie Nachweisdokumente (z. B. Sicherheitsrichtlinien, Audit-Berichte) hochladen, werden die extrahierten Texte automatisch nach Schlüsselwörtern durchsucht, um Vorschläge für die passenden NIS2-Maßnahmen zu erzeugen. Die Analyse erfolgt ausschließlich lokal auf unseren Servern in Deutschland. Es findet keine Übermittlung an externe KI-Dienste oder Drittländer statt.

Keine automatisierte Entscheidung im Sinne Art. 22 DSGVO:Die Zuordnungs-Vorschläge sind reine Empfehlungen. Jeder Nachweis wird vom Nutzer manuell geprüft und bestätigt, bevor er als Compliance-Beleg verwendet wird.

Zweckbegrenzung der extrahierten Texte: Aus Dokumenten extrahierte Texte werden ausschließlich zur Zuordnung zu NIS2-Maßnahmen verwendet und nicht für andere Zwecke verarbeitet. Die Aufbewahrung erfolgt nur solange das zugehörige Evidence-Dokument existiert.

8. Cookies und Session-Management

NIS2Cockpit verwendet ausschließlich technisch notwendige Session-Cookies (HttpOnly, Secure, SameSite=Strict). Es werden keine Tracking- oder Marketing-Cookies eingesetzt. Eine Einwilligung ist daher nicht erforderlich (vgl. § 25 Abs. 2 Nr. 2 TTDSG).

9. Webanalyse

Diese Website verwendet Plausible Analytics, einen datenschutzfreundlichen Analysedienst der Plausible Insights OÜ (Sitz: Estland, EU). Mit Plausible besteht ein Data Processing Agreement (DPA) gemäß Art. 28 DSGVO. Plausible setzt keine Cookies, speichert keine personenbezogenen Daten und erstellt keine geräteübergreifenden Profile. Alle Daten werden aggregiert und anonym erhoben. Ein Cookie-Banner ist daher nicht erforderlich (vgl. § 25 Abs. 2 Nr. 2 TTDSG). Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Websitenutzung).

Widerspruchsrecht (Art. 21 DSGVO): Sie können der Webanalyse jederzeit widersprechen, indem Sie in Ihrem Browser die „Do Not Track“-Einstellung (DNT) aktivieren. Plausible respektiert diese Einstellung und erfasst in diesem Fall keine Daten. Alternativ können Sie uns per E-Mail an datenschutz@nis2cockpit.de kontaktieren.

10. Aufbewahrungsfristen und Löschung

Wir löschen personenbezogene Daten, sobald der Zweck der Verarbeitung entfällt:

Buchhaltungsrelevante Daten (Rechnungen, Zahlungsbelege, Vertragsdaten) unterliegen der gesetzlichen Aufbewahrungspflicht von 10 Jahren nach § 147 AO und § 257 HGB. Diese Daten können bis zum Ablauf der Frist nicht gelöscht werden, auch nicht auf Wunsch des Kunden. Nach Fristablauf erfolgt die Löschung automatisch.

11. Weitergabe an Dritte

Wir verkaufen Ihre Daten nicht und geben sie nicht für Werbezwecke weiter. Eine Weitergabe an Dritte erfolgt ausschließlich:

• an die unter Ziffer 5 aufgeführten Auftragsverarbeiter im Rahmen ihrer dort beschriebenen Zwecke,
• wenn wir gesetzlich dazu verpflichtet sind (z. B. behördliche Anordnung, gerichtliche Verfügung, Steuerprüfung nach § 147 AO),
• wenn dies zur Erfüllung des Vertrags zwingend erforderlich ist (z. B. Übermittlung der Zahlungsdaten an Stripe).

Eine Weitergabe an Drittländer außerhalb der EU/des EWR erfolgt ausschließlich auf den unter Ziffer 5 und 6 dokumentierten Rechtsgrundlagen (DPF, EU-Standardvertragsklauseln).

12. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein, um Ihre Daten vor unbefugtem Zugriff, Verlust und Manipulation zu schützen:

• Transportverschlüsselung: Alle Datenübertragungen erfolgen ausschließlich über HTTPS mit TLS 1.2 oder TLS 1.3.
• Passwort-Hashing: Passwörter werden mit bcrypt (12 Runden) gehasht und niemals im Klartext gespeichert.
• Zwei-Faktor-Authentifizierung (2FA): Optionale TOTP-basierte 2FA. Die TOTP-Secrets werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert.
• Session-Cookies: HttpOnly, Secure und SameSite=Strict zum Schutz vor CSRF und XSS.
• Manipulationssicheres Audit-Log: Sicherheitsrelevante Aktionen werden in einem Audit-Log mit SHA-256 Hash-Chain protokolliert. Einträge können nicht nachträglich verändert werden.
• Multi-Tenant-Isolation: Datenfilterung pro Organisation auf Anwendungsebene. Jede Datenbankabfrage filtert zwingend nach der Organisations-ID des angemeldeten Nutzers.
• Backups: Automatische tägliche Backups durch den Hosting-Provider Hetzner. Aufbewahrung 14 Tage, getrennte Speicherung.

13. Ihre Rechte als betroffene Person

Die DSGVO gewährt Ihnen als betroffene Person eine Reihe von Rechten in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten. Im Folgenden finden Sie eine Übersicht.

Auskunftsrecht (Art. 15 DSGVO)

Sie können von uns eine Bestätigung verlangen, ob personenbezogene Daten von Ihnen bei uns verarbeitet werden. Liegt eine solche Verarbeitung vor, können Sie Auskunft verlangen über:

• die Zwecke der Verarbeitung,
• die Kategorien der verarbeiteten personenbezogenen Daten,
• die Empfänger oder Kategorien von Empfängern, denen Ihre Daten offengelegt wurden oder noch werden, insbesondere bei Empfängern in Drittländern,
• die geplante Speicherdauer oder die Kriterien für ihre Festlegung,
• das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch,
• das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde,
• alle verfügbaren Informationen über die Herkunft der Daten, wenn diese nicht bei Ihnen erhoben wurden,
• das Vorliegen einer automatisierten Entscheidungsfindung einschließlich Profiling nach Art. 22 DSGVO.

Auf Wunsch stellen wir Ihnen eine Kopie der Daten in einem gängigen elektronischen Format zur Verfügung.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, von uns die unverzügliche Berichtigung unrichtiger personenbezogener Daten zu verlangen. Außerdem haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, wenn einer der folgenden Gründe vorliegt: Daten sind für ihren Zweck nicht mehr erforderlich; Sie widerrufen Ihre Einwilligung und es fehlt eine anderweitige Rechtsgrundlage; Sie legen Widerspruch ein und es liegen keine vorrangigen berechtigten Gründe vor; Daten wurden unrechtmäßig verarbeitet; Löschung ist gesetzlich vorgeschrieben.

Ausnahmen: Das Recht auf Löschung besteht nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (z. B. § 147 AO, § 257 HGB) oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Praktische Umsetzung: Sie können Ihr Konto und alle zugehörigen Daten über die Funktion „Konto löschen“ in Ihren Organisationseinstellungen löschen. Buchhaltungsdaten unterliegen der 10-Jahres-Aufbewahrung (siehe Ziffer 10).

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, wenn Sie die Richtigkeit der Daten bestreiten, die Verarbeitung unrechtmäßig ist und Sie statt Löschung die Einschränkung wünschen, wir die Daten nicht mehr brauchen, Sie sie aber zur Geltendmachung von Rechtsansprüchen benötigen, oder Sie Widerspruch eingelegt haben und noch nicht feststeht, ob unsere berechtigten Gründe überwiegen.

Recht auf Unterrichtung (Art. 19 DSGVO)

Wenn Sie Ihr Recht auf Berichtigung, Löschung oder Einschränkung geltend machen, sind wir verpflichtet, allen Empfängern, denen Ihre Daten offengelegt wurden, diese Berichtigung oder Löschung oder Einschränkung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit unverhältnismäßigem Aufwand verbunden.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.

Praktische Umsetzung: Sie können Ihre Daten jederzeit über die Funktion „Datenexport“ in Ihren Profileinstellungen als JSON-Datei herunterladen.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, soweit diese auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht. Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.

Werden Ihre Daten zum Zwecke der Direktwerbung verarbeitet, können Sie jederzeit ohne Angabe von Gründen widersprechen. Wir betreiben derzeit keine Direktwerbung.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt.

Automatisierte Entscheidungen (Art. 22 DSGVO)

Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. NIS2Cockpit trifft keine solchen Entscheidungen. Die Dokumentenanalyse (Ziffer 7) liefert lediglich Vorschläge für die manuelle Prüfung durch den Nutzer.

Kopie der Garantien bei Drittlandtransfer

Bei Übermittlung Ihrer personenbezogenen Daten an einen Empfänger in einem Drittland (aktuell: Stripe Inc., USA, DPF-zertifiziert) können Sie eine Kopie der geeigneten Garantien nach Art. 46 oder Art. 49 DSGVO (DPF-Zertifizierung, EU-Standardvertragsklauseln) anfordern. Eine formlose E-Mail an datenschutz@nis2cockpit.de genügt.

Geltendmachung Ihrer Rechte

Zur Ausübung aller oben genannten Rechte wenden Sie sich bitte an datenschutz@nis2cockpit.de. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO). Bei komplexen Anfragen kann sich diese Frist um zwei weitere Monate verlängern; wir informieren Sie in diesem Fall.