Datenschutzerklärung

Stand: Februar 2026

1. Verantwortlicher

SI SEMINAR-INSTITUT e.K.
Ali Reza Karwandian (Geschäftsführer)
Trimburgstraße 2, 81249 München
Tel.: +49 (0)89 89559805
E-Mail: kontakt@SEMINAR-INSTITUT.de

2. Zweck dieser Anwendung

Die Anwendung unter app.seminar-institut.de (nachfolgend „SIAI Operations" oder „App") ist ein internes Operations-Dashboard für autorisierte Mitarbeiter des SEMINAR-INSTITUT. Es dient der Verwaltung von Geschäftsprozessen (CRM, Buchungen, Analytics, Entscheidungsdokumentation) und ist nicht öffentlich zugänglich. Der Zugang erfordert Authentifizierung mit Benutzername, Passwort und optionalem TOTP-Faktor.

3. Verarbeitete personenbezogene Daten

3.1 Nutzerkonto-Daten

DatumZweckRechtsgrundlageSpeicherdauer
Benutzername, Anzeigename, E-MailIdentifikation, ZugriffskontrolleArt. 6 Abs. 1 lit. b DSGVO (Arbeitsvertrag)Bis zur Löschung des Kontos
Passwort-Hash (PBKDF2-SHA256)AuthentifizierungArt. 6 Abs. 1 lit. b DSGVOBis zur Löschung des Kontos
TOTP-Secret (verschlüsselt)Zwei-Faktor-AuthentifizierungArt. 6 Abs. 1 lit. f DSGVO (Sicherheit)Bis zur Löschung des Kontos
Rolle (admin/manager/mitarbeiter/viewer)Rollenbasierte ZugriffskontrolleArt. 6 Abs. 1 lit. b DSGVOBis zur Löschung des Kontos

3.2 Session- und Sicherheitsdaten

DatumZweckRechtsgrundlageSpeicherdauer
Session-Token (HMAC-signiert, HttpOnly-Cookie)Sitzungsverwaltung (technisch notwendig, keine Einwilligung nach Art. 7 erforderlich)Art. 6 Abs. 1 lit. f DSGVOMax. 7 Tage (automatischer Ablauf)
IP-Adresse (Audit-Log)SicherheitsprotokollierungArt. 6 Abs. 1 lit. f DSGVOAnonymisiert bei Kontolöschung
IP-Adresse (Rate Limiting)Brute-Force- und DoS-SchutzArt. 6 Abs. 1 lit. f DSGVOMax. 10 Min. (Login) / 5 Min. (Chat), automatisch gelöscht

3.3 Audit-Log

Jede Aktion in der App (Login, Datenzugriff, Änderungen) wird mit Benutzer-ID, Zeitstempel, Aktionstyp und IP-Adresse protokolliert. Dies dient der Nachvollziehbarkeit gemäß Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) und dem berechtigten Interesse an IT-Sicherheit (Art. 6 Abs. 1 lit. f DSGVO). Bei Löschung eines Nutzerkontos werden Audit-Einträge anonymisiert (Benutzer-ID und IP entfernt), die Einträge selbst bleiben zur Wahrung der Nachweispflicht erhalten.

3.4 KI-Assistenz (SIAI Chat)

Der integrierte KI-Assistent verarbeitet Chat-Nachrichten zur Beantwortung geschäftlicher Anfragen. Die Verarbeitung erfolgt über AWS Bedrock (Amazon Claude API) in der Region eu-central-1 (Frankfurt).

  • Chat-Nachrichten werden nicht zum Training von KI-Modellen verwendet
  • Chat-Nachrichten werden nicht an Dritte weitergegeben
  • Chat-Nachrichten werden nicht dauerhaft bei AWS gespeichert
  • Die Verarbeitung ist durch das AWS DPA (Data Processing Addendum) mit EU-SCCs abgedeckt

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Arbeitsorganisation).

3.5 Entscheidungs-Journal und Ziele

Nutzer können geschäftliche Entscheidungen und Ziele dokumentieren. Diese Daten werden dem jeweiligen Nutzerkonto zugeordnet und bei Kontolöschung vollständig gelöscht.

4. Speicherorte und Auftragsverarbeiter

DienstAnbieterZweckStandortAVV/DPA
Cloudflare Pages, D1, KV, WorkersCloudflare, Inc.Hosting, Datenbank, Caching, Serverless FunctionsEU (D1 Placement: EU), global CDNCloudflare DPA v6.3 mit EU-SCCs
AWS Bedrock (Claude API)Amazon Web Services EMEA SARLKI-Assistenz im Chateu-central-1 (Frankfurt)AWS GDPR DPA mit EU-SCCs
SeaTable (self-hosted)Eigener ServerCRM, Kontakte, Events, E-MailsDeutschland (eigene Infrastruktur)Keine AVV nötig (eigener Server)
Qdrant (self-hosted)Eigener ServerWissensbasis / VektorsucheDeutschland (eigene Infrastruktur)Keine AVV nötig (eigener Server)

Hinweis: Die Cloudflare D1-Datenbank ist mit EU-Placement konfiguriert. Personenbezogene Daten (Nutzerkonten, Sessions, Audit-Log) werden ausschließlich in EU-Rechenzentren verarbeitet.

5. Cookies und Tracking

Diese App verwendet keine Cookies zu Tracking- oder Analyse-Zwecken. Es werden keine Analyse-Tools (Google Analytics, etc.) eingesetzt.

Für die Authentifizierung werden zwei technisch notwendige Cookies gesetzt:

  • siai-session: HMAC-signierter Session-Token (HttpOnly, Secure, SameSite=Strict). Dient ausschließlich der Sitzungsverwaltung. Ablauf: 24 Stunden (oder 7 Tage bei „Angemeldet bleiben").
  • siai-trust: Vertrauensgeräte-Token (HttpOnly, Secure, SameSite=Strict). Ermöglicht die Umgehung der Zwei-Faktor-Authentifizierung auf vertrauenswürdigen Geräten. Ablauf: 7 Tage.

Diese Cookies ermöglichen kein Tracking, werden nicht an Dritte übermittelt und erfordern keine Einwilligung gemäß § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig).

6. Datenweitergabe

Personenbezogene Daten werden nicht an Dritte verkauft oder zu Werbezwecken weitergegeben. Eine Weitergabe erfolgt ausschließlich:

  • An die unter Abschnitt 4 genannten Auftragsverarbeiter im Rahmen der bestehenden AVVs
  • Wenn eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO)

7. Rechte der betroffenen Personen

Als betroffene Person haben Sie folgende Rechte:

RechtArtikelUmsetzung
AuskunftArt. 15 DSGVOJSON-Export aller personenbezogenen Daten über Admin-Bereich
BerichtigungArt. 16 DSGVOÄnderung über Admin-Bereich (Profil, Rolle, E-Mail)
LöschungArt. 17 DSGVOVollständige Datenlöschung über Admin-Bereich, Audit-Log wird anonymisiert
EinschränkungArt. 18 DSGVOKonto-Deaktivierung über Admin-Bereich
DatenübertragbarkeitArt. 20 DSGVOJSON-Export in maschinenlesbarem Format
WiderspruchArt. 21 DSGVOPer E-Mail an kontakt@SEMINAR-INSTITUT.de

Zur Ausübung Ihrer Rechte wenden Sie sich an Ihren Administrator oder direkt an kontakt@SEMINAR-INSTITUT.de.

8. Datensicherheit

  • Verschlüsselung: Alle Verbindungen über HTTPS/TLS 1.3
  • Authentifizierung: HMAC-signierte Sessions + optionale TOTP-Zwei-Faktor-Authentifizierung
  • Zugriffskontrolle: Rollenbasiert (RBAC) mit 4 Berechtigungsstufen
  • Passwörter: PBKDF2-SHA256 mit individuellem Salt (kein Klartext)
  • CSRF-Schutz: Origin/Referer-Validierung auf allen Schreib-Endpoints
  • Rate Limiting: KV-basiert auf Login- und Chat-Endpoints
  • Audit-Trail: Lückenlose Protokollierung aller Zugriffe und Änderungen
  • Secrets: Alle Zugangsdaten verschlüsselt in Cloudflare Pages Secrets (kein Klartext im Code)

9. Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Tel.: +49 (0)981 180093-0
E-Mail: poststelle@lda.bayern.de
Web: www.lda.bayern.de

10. Änderungen

Diese Datenschutzerklärung kann bei Bedarf aktualisiert werden, insbesondere bei Änderungen an der Datenverarbeitung oder rechtlichen Anforderungen. Die aktuelle Version ist jederzeit unter dieser URL abrufbar.