DATENSCHUTZERKLÄRUNG
für die SaaS-Plattform „KeyVault“
gemäß Art. 13, 14 DSGVO
Stand: 13. Februar 2026 (Entwurf)
Verantwortlicher:
P.A.W. GmbH
Emil-Hoffmann-Str. 55–59, 50996 Köln
E-Mail: hello@schluesselmanager.com | Tel: +49 (0) 2236 3189653
Geschäftsführer: Patrick Parijanian
§ 1 Verantwortlicher
Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
P.A.W. GmbH
Emil-Hoffmann-Str. 55–59,
D-50996 Köln
Telefon: +49 (0) 2236 3189653
E-Mail: info@schluesselmanager.com
Vertreten durch: Geschäftsführer Patrick Parijanian
§ 2 Datenschutzbeauftragter
Ein externer Datenschutzbeauftragter ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen gemäß Art. 37 DSGVO i.V.m. § 38 BDSG nicht vorliegen.
Bei Datenschutzfragen wenden Sie sich bitte an:
datenschutz@paw-online.de
§ 3 Zwecke und Rechtsgrundlagen der Datenverarbeitung
Wir verarbeiten personenbezogene Daten ausschließlich, soweit dies für die nachfolgend genannten Zwecke erforderlich ist:
|
Zweck |
Rechtsgrundlage |
Beschreibung |
|
Vertragserfüllung / SaaS-Bereitstellung |
Art. 6 Abs. 1 lit. b DSGVO |
Einrichtung und Verwaltung von Accounts, Organisationen, Objekten, Schlüsseln, Nutzern; Check-Out/Return-Vorgänge; Versand von System-E-Mails |
|
Zahlungsabwicklung |
Art. 6 Abs. 1 lit. b DSGVO |
Abwicklung von Zahlungen über Stripe; Rechnungsstellung; Verwaltung von Abonnements und Lifetime-Paketen |
|
Gesetzliche Pflichten |
Art. 6 Abs. 1 lit. c DSGVO |
Buchhaltung, Steuer, Nachweispflichten; Aufbewahrung von Rechnungen (8 Jahre gem. § 147 AO n.F.) |
|
Sicherheit / Missbrauchsschutz |
Art. 6 Abs. 1 lit. f DSGVO |
Audit-Logs mit Hash-Verkettung, Zugriffsschutz, Rate-Limiting, Backups, Erkennung unbefugter Zugriffe |
|
Support und Kommunikation |
Art. 6 Abs. 1 lit. f DSGVO |
Bearbeitung von Support-Anfragen; AI-gestützter Hilfe-Chat; technische Betreuung |
|
Digitale Signaturen |
Art. 6 Abs. 1 lit. b DSGVO |
Erfassung digitaler Unterschriften, IP-Adressen und ggf. Geolokation bei Schlüsselübergaben zur Beweissicherung gem. § 368 BGB |
|
Bild-Uploads |
Art. 6 Abs. 1 lit. b DSGVO |
Speicherung von Schlüsselbildern (1 pro Schlüssel) und Personenbildern (bis 7 pro Person) zur Identifikation |
|
NFC-Funktionalität |
Art. 6 Abs. 1 lit. b DSGVO |
Verwaltung anonymer NFC-Tokens; Scan-Protokolle; keine personenbezogenen Daten auf dem physischen NFC-Chip |
|
QR-Code-Verarbeitung |
Art. 6 Abs. 1 lit. b DSGVO |
Generierung eindeutiger QR-Tokens; Protokollierung von Scan-Vorgängen |
|
Google-Bewertungsanfragen |
Art. 6 Abs. 1 lit. f DSGVO |
Versand von Bewertungsanfragen per E-Mail; Tracking von Öffnungen/Klicks; Feedback-Erfassung (nur bei aktivierter Funktion) |
|
Newsletter |
Art. 6 Abs. 1 lit. a DSGVO |
Nur nach ausdrücklicher Einwilligung; jederzeit widerrufbar |
§ 4 Kategorien verarbeiteter Daten
|
Kategorie |
Datenarten |
|
Stammdaten |
Firma, Name, E-Mail, Telefonnummer, Anschrift, USt-ID |
|
Account-/Nutzungsdaten |
Logins, Rollen, Berechtigungen, Session-Daten, Spracheinstellungen |
|
Objekt-/Schlüsseldaten |
Bezeichnungen, Beschreibungen, Standorte, Ausgabe-/Rückgabedaten, Status |
|
Personendaten (Schlüsselhalter) |
Vorname, Nachname, E-Mail, Telefon, Abteilung, Firma, Anschrift |
|
Bilddaten |
Schlüsselfotos (Base64, max. 5 MB); Personenfotos (bis 7 Bilder: Gesicht, Dokumente, Ausweise, je max. 5 MB) |
|
Signaturdaten |
Digitale Unterschrift (Base64-PNG), Bestätigungs-Checkbox, IP-Adresse, Geolokation (GPS), Zeitstempel |
|
Audit-Logs |
Zeitstempel, IP-Adresse, User-Agent, Aktion, betroffene Entität, Änderungsdiff, Hash-Kette |
|
Abrechnungsdaten |
Tarif, Rechnungen, Zahlungsstatus, Stripe-Customer-ID, Rechnungsnummern |
|
Kommunikationsdaten |
Support-Nachrichten, AI-Chat-Verläufe, System-Benachrichtigungen |
|
NFC-Daten |
Anonymer Token (128-Bit CSPRNG, Base62), Tag-UID, Scan-Zähler, Scan-Zeitstempel |
|
QR-Code-Daten |
Eindeutiger QR-Token pro Schlüssel, QR-Version, Blocklist-Einträge |
§ 5 Herkunft der Daten
Personenbezogene Daten werden grundsätzlich vom Kunden bzw. durch berechtigte Nutzer direkt in die Plattform eingegeben. Dies umfasst Stammdaten bei der Registrierung, Personen- und Objektdaten im laufenden Betrieb sowie Bilddaten und digitale Signaturen bei Schlüsselübergaben.
Technische Protokolldaten (IP-Adressen, User-Agent, Zeitstempel) entstehen automatisch bei Nutzung der Plattform. Geolokationsdaten werden nur bei ausdrücklicher Freigabe durch den Nutzer im Browser erfasst.
Zahlungsdaten werden direkt vom Zahlungsdienstleister Stripe erhoben und verarbeitet. Der Anbieter speichert keine vollständigen Kreditkartennummern.
§ 6 Empfänger und Auftragsverarbeiter
Zur Bereitstellung unseres Dienstes setzen wir sorgfältig ausgewählte Auftragsverarbeiter nach Art. 28 DSGVO ein. Mit allen Dienstleistern bestehen schriftliche Auftragsverarbeitungsverträge (AVV).
|
Zweck |
Dienstleister |
Sitz |
Rechtsgrundlage |
|
Hosting / Server |
STRATO AG (Ionos-Gruppe) |
Deutschland |
Art. 28 DSGVO, AVV |
|
Zahlungsabwicklung |
Stripe Payments Europe Ltd. |
Dublin, Irland |
Art. 28 DSGVO; ggf. SCC bei US-Bezug |
|
E-Mail-Versand |
Mailjet SAS (Sinch-Gruppe) |
Frankreich / EU |
Art. 28 DSGVO, AVV |
|
AI-Hilfe-Chat |
OpenAI, Inc. |
USA |
Art. 28 DSGVO, SCC 2021/914, DPA |
|
Domain / DNS |
STRATO AG |
Deutschland |
Art. 28 DSGVO |
Hinweis zu OpenAI: Der integrierte AI-Hilfe-Chat nutzt die OpenAI API (Modell GPT-4o). An OpenAI werden ausschließlich Chat-Nachrichten des Nutzers und systemseitige Kontextinformationen (Wissensbasis-Auszüge) übermittelt. Es werden keine personenbezogenen Kundendaten, Schlüssel- oder Personendaten an OpenAI übertragen. OpenAI verwendet die Daten gemäß dem Data Processing Addendum (DPA) nicht zum Training eigener Modelle.
Eine aktuelle Liste der Unterauftragsverarbeiter ist im AVV (Anlage C) im Admin-Bereich der Plattform einsehbar.
§ 7 Datenübermittlungen in Drittländer
Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU/EWR erfolgt nur:
- wenn dies für die Vertragserfüllung erforderlich ist, oder
- auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere der EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914/EU), oder
- auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission.
Stripe: Stripe Payments Europe Ltd. (Irland) nutzt ggf. verbundene US-Unternehmen. Es greifen EU-Standardvertragsklauseln (SCC) sowie ergänzende technische Schutzmaßnahmen (Verschlüsselung, Zugriffskontrollen).
OpenAI: Die Übermittlung an OpenAI, Inc. (USA) erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCC 2021/914) und des OpenAI Data Processing Addendum. Es werden keine personenbezogenen Kundendaten übermittelt, sondern ausschließlich anonymisierte Support-Anfragen.
Alle übrigen Daten (Hosting, E-Mail, Kernanwendung) werden ausschließlich auf Servern innerhalb Deutschlands bzw. der EU/EWR verarbeitet und gespeichert.
§ 8 Speicherdauer und Aufbewahrungsfristen
Personenbezogene Daten werden nur so lange gespeichert, wie dies für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
|
Datenart |
Speicherdauer |
Rechtsgrundlage |
|
Rechnungen, Zahlungsbelege |
8 Jahre |
§ 147 Abs. 3 AO, § 257 Abs. 4 HGB (ab 01.01.2025, BürokratieentlastungsG IV) |
|
Handelsbücher, Jahresabschlüsse |
10 Jahre |
§ 147 Abs. 1 Nr. 1 AO |
|
Geschäftsbriefe |
6 Jahre |
§ 147 Abs. 3 AO, § 257 Abs. 4 HGB |
|
Kundenstammdaten |
Vertragsdauer + 3 Jahre |
§ 195 BGB (Verjährungsfrist) |
|
Bilddaten Schlüssel (1 Bild) |
Vertragsdauer + 3 Jahre |
Art. 6 Abs. 1 lit. f DSGVO (Nachweispflicht) |
|
Bilddaten Personen (bis 7 Bilder) |
Vertragsdauer + 3 Jahre |
Art. 6 Abs. 1 lit. f DSGVO (Nachweispflicht) |
|
Digitale Signaturen |
Vertragsdauer + 3 Jahre |
Art. 6 Abs. 1 lit. f DSGVO (Beweissicherung) |
|
Audit-Logs (Vorgänge) |
10 Jahre |
Analog § 147 AO |
|
Sicherheitsprotokolle (Login, Rate-Limits) |
12 Monate |
Art. 6 Abs. 1 lit. f DSGVO |
|
AI-Chat-Verläufe |
12 Monate |
Art. 6 Abs. 1 lit. f DSGVO |
|
Vorgangshistorie (Check-Out/Return) |
Tarifabhängig (3–48 Monate) |
Art. 6 Abs. 1 lit. b DSGVO |
|
NFC-Scan-Protokolle |
Vertragsdauer |
Art. 6 Abs. 1 lit. b DSGVO |
|
Google-Review-Anfragen |
12 Monate |
Art. 6 Abs. 1 lit. f DSGVO |
|
Einladungs-/Reset-/Verifizierungs-Tokens |
Max. 24 Stunden |
Automatische Löschung nach Ablauf |
Fristberechnung: Bei gesetzlichen Aufbewahrungsfristen (AO, HGB) beginnt die Frist am Ende des Kalenderjahres, in dem das Dokument erstellt wurde. Beispiel: Rechnung vom 15.05.2025 → Fristbeginn 31.12.2025 → Fristende 31.12.2033 (8 Jahre).
Löschkonzept: Der Anbieter verfügt über ein dokumentiertes Löschkonzept. Nach Ablauf der jeweiligen Speicherfrist werden Daten automatisch und unwiderruflich gelöscht oder anonymisiert.
§ 9 Rechte der betroffenen Personen
Sie haben gegenüber dem Verantwortlichen folgende Rechte nach der DSGVO:
|
Recht |
Rechtsgrundlage |
Erläuterung |
|
Auskunft |
Art. 15 DSGVO |
Auskunft über gespeicherte Daten, Verarbeitungszwecke, Empfänger, Speicherdauer |
|
Berichtigung |
Art. 16 DSGVO |
Berichtigung unrichtiger oder unvollständiger Daten |
|
Löschung |
Art. 17 DSGVO |
Löschung, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht |
|
Einschränkung |
Art. 18 DSGVO |
Einschränkung der Verarbeitung unter bestimmten Voraussetzungen |
|
Datenübertragbarkeit |
Art. 20 DSGVO |
Erhalt Ihrer Daten in maschinenlesbarem Format (CSV/ZIP-Export) |
|
Widerspruch |
Art. 21 DSGVO |
Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen |
|
Widerruf |
Art. 7 Abs. 3 DSGVO |
Widerruf einer Einwilligung mit Wirkung für die Zukunft |
|
Beschwerde |
Art. 77 DSGVO |
Beschwerde bei der LDI NRW oder einer anderen zuständigen Aufsichtsbehörde |
Kontakt: datenschutz@paw-online.de
Wir beantworten Anfragen unverzüglich, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Bei komplexen Anfragen kann die Frist um zwei Monate verlängert werden.
Zuständige Aufsichtsbehörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Postfach 20 04 44, 40102 Düsseldorf
https://www.ldi.nrw.de
§ 10 Cookies und ähnliche Technologien
(1) Technisch notwendige Cookies: Die Plattform verwendet ausschließlich technisch notwendige Cookies für Login, Session-Sicherheit, CSRF-Schutz und Benutzerführung:
- JWT-Token in HttpOnly-Cookies (Authentifizierung),
- CSRF-Token (Schutz vor Cross-Site-Request-Forgery),
- Spracheinstellung (localStorage, i18n-Präferenz).
Diese Cookies werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gesetzt und erfordern keine Einwilligung.
(2) Keine Tracking-Cookies: Die Plattform setzt keine Tracking-, Werbe- oder Social-Media-Cookies ein. Es findet kein Profiling und keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt.
(3) Optionale Cookies: Sollten künftig optionale Cookies (z.B. für Statistik) eingesetzt werden, erfolgt dies nur nach ausdrücklicher Einwilligung über ein Consent-Banner (Art. 6 Abs. 1 lit. a DSGVO). Die Einstellungen können jederzeit geändert werden.
§ 11 Datensicherheit (Technische und organisatorische Maßnahmen)
Wir setzen umfassende technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein:
|
Maßnahme |
Umsetzung |
|
Transportverschlüsselung |
TLS 1.2+ für alle Verbindungen; HSTS-Header; Strict-Transport-Security |
|
Verschlüsselung ruhender Daten |
AES-256-GCM für Stripe-Credentials, API-Schlüssel, MFA-Secrets |
|
Zugriffsschutz |
RBAC mit 6 Berechtigungsstufen; MFA (TOTP) für Platform-Admins |
|
Passwort-Sicherheit |
bcrypt (Cost 12); Min. 12 Zeichen mit Komplexitätsanforderungen |
|
Audit-Logging |
Lückenlose Protokollierung mit SHA-256-Hash-Verkettung |
|
Mandantentrennung |
4-Schicht-Isolation: JWT → Middleware → ORM → DB; Foreign-Key-Constraints |
|
CSRF-Schutz |
Double-Submit-Cookie-Pattern für alle zustandsverändernden Operationen |
|
Rate-Limiting |
Endpunkt-spezifisch (z.B. 5 Login/15 Min, 60 NFC-Scans/Min) |
|
Backups |
Regelmäßige automatische Sicherung mit Restore-Tests |
|
Input-Validierung |
Serverseitige Schema-Validierung (Zod); XSS-Schutz via DOMPurify |
|
Security-Header |
CSP, Referrer-Policy, X-Content-Type-Options, HSTS |
Details in Anlage B des Auftragsverarbeitungsvertrags (AVV).
§ 12 Auftragsverarbeitung für Kunden
Soweit der Kunde als Organisation personenbezogene Daten (z.B. Mitarbeiter-, Mieter- oder Dienstleisterdaten) über die Plattform verarbeitet, handelt der Anbieter als Auftragsverarbeiter im Sinne des Art. 28 DSGVO.
Der Auftragsverarbeitungsvertrag (AVV) ist im Admin-Bereich abrufbar und wird durch elektronische Zustimmung Vertragsbestandteil. Der AVV regelt insbesondere:
- Gegenstand, Dauer, Art und Zweck der Verarbeitung (Anlage A),
- Technische und organisatorische Maßnahmen (Anlage B),
- Unterauftragsverarbeiter (Anlage C),
- Meldepflichten bei Datenschutzverletzungen (Anlage D),
- Rückgabe und Löschung nach Vertragsende (Anlage E).
Der Kunde bleibt datenschutzrechtlich Verantwortlicher (Art. 4 Nr. 7 DSGVO) für alle in die Plattform eingegebenen personenbezogenen Daten.
§ 13 Besondere Datenverarbeitungen
13.1 AI-gestützter Hilfe-Chat
Die Plattform bietet einen AI-gestützten Hilfe-Chat auf Basis der OpenAI API (GPT-4o). Bei Nutzung werden die Chat-Nachrichten an die OpenAI API übermittelt. Es werden ausschließlich Chat-Nachrichten und systemseitige Kontextinformationen (Wissensbasis) übertragen. Personenbezogene Kundendaten (Schlüssel-, Personen-, Objektdaten) werden nicht an OpenAI übermittelt. Chat-Verläufe werden 12 Monate gespeichert und sind für berechtigte Nutzer bis zu 30 Tage einsehbar.
13.2 Digitale Signaturen
Bei Check-Out/Return-Vorgängen kann die Plattform digitale Unterschriften erfassen. Dabei werden gespeichert: die Signatur als Base64-PNG, Bestätigungs-Checkbox, IP-Adresse, Zeitstempel sowie – sofern vom Nutzer freigegeben – Geolokation (GPS-Koordinaten). Diese Daten dienen der rechtssicheren Dokumentation gemäß § 368 BGB (Quittung bei Schlüsselübergabe).
13.3 Bild-Uploads
Die Plattform ermöglicht Bild-Uploads für Schlüssel (1 Bild, max. 5 MB) und Personen (bis 7 Bilder, je max. 5 MB). Personenbilder können Gesichtsfotos, Dokumentenfotos und Ausweiskopien umfassen. Bilder werden Base64-kodiert in der Datenbank gespeichert und nicht an Dritte übermittelt. Speicherung auf deutschen Servern. Löschung gemäß § 8 (Vertragsdauer + 3 Jahre).
13.4 NFC-Funktionalität
Bei Nutzung der optionalen NFC-Funktion wird auf dem physischen NFC-Tag ausschließlich eine URL mit einem anonymen, kryptographisch gesicherten Token (128-Bit CSPRNG, Base62-kodiert) gespeichert. Es werden keine personenbezogenen Daten auf den NFC-Chip geschrieben. Die Zuordnung zwischen Token und Schlüsseldaten erfolgt ausschließlich serverseitig. Der Token kann vom Administrator jederzeit widerrufen und neu generiert werden. Serverseitig werden Scan-Zähler und Scan-Zeitstempel protokolliert.
13.5 Stripe Payment Elements
Die Zahlungsabwicklung erfolgt über eingebettete Stripe Payment Elements. Zahlungsdaten (Kreditkartennummer, Ablaufdatum, CVC) werden direkt von Stripe erhoben und verarbeitet. Der Anbieter hat zu keinem Zeitpunkt Zugang zu vollständigen Kreditkartendaten. Gespeichert werden lediglich Stripe-Referenzdaten (Customer ID, Subscription ID, Payment Intent ID).
13.6 E-Mail-Versand über Mailjet
Transaktionale E-Mails (Registrierung, Passwort-Reset, Erinnerungen, Eskalationen, Rechnungen, Trial-Reminder, Review-Anfragen) werden über Mailjet SAS (Frankreich) versendet. An Mailjet werden E-Mail-Adresse und E-Mail-Inhalt übermittelt. Verarbeitung ausschließlich innerhalb der EU.
13.7 Google-Bewertungsanfragen
Bei aktivierter Google-Review-Funktion kann die Plattform automatisierte Bewertungsanfragen an Personen (Schlüsselhalter) per E-Mail versenden. Dabei werden E-Mail-Adresse, Name, ein Tracking-Token sowie Öffnungs-/Klick-Zeitstempel verarbeitet. Bei negativem Feedback (Bewertung 1–3) werden zusätzlich Kommentar, Telefonnummer und Kontakterlaubnis gespeichert. Die Funktion muss vom Kunden explizit aktiviert werden und ist standardmäßig deaktiviert.
§ 14 Datenexport und Löschung nach Vertragsende
(1) Nach Beendigung des Vertrags hat der Kunde innerhalb von 30 Kalendertagen die Möglichkeit, einen vollständigen Export seiner Daten in einem maschinenlesbaren Format (CSV/ZIP) über die Plattform oder per E-Mail-Anforderung zu erhalten.
(2) Nach Ablauf der Exportfrist werden sämtliche Kundendaten einschließlich Sicherungskopien aus den Produktivsystemen unwiderruflich gelöscht, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung wird dem Kunden auf Wunsch in Textform bestätigt.
(3) Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (insbesondere Rechnungen, Audit-Logs), werden für die Dauer der gesetzlichen Frist gesperrt gespeichert und anschließend gelöscht. Während der Sperrung sind die Daten nicht mehr produktiv nutzbar und nur noch für gesetzlich vorgeschriebene Zwecke zugänglich.
§ 15 Kinder und Jugendliche
Das Angebot richtet sich ausschließlich an geschäftliche Nutzer (B2B). Die Nutzung durch Personen unter 16 Jahren ist ausgeschlossen. Der Anbieter erhebt wissentlich keine personenbezogenen Daten von Kindern.
§ 16 Automatisierte Entscheidungsfindung und Profiling
Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt, die gegenüber betroffenen Personen rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Der AI-Hilfe-Chat erzeugt ausschließlich informative Antworten auf Support-Anfragen und trifft keine Entscheidungen über den Zugang zu Leistungen oder Diensten.
§ 17 Änderungen dieser Datenschutzerklärung
(1) Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, insbesondere bei rechtlichen Änderungen, neuen Verarbeitungstätigkeiten oder technischen Änderungen.
(2) Die jeweils aktuelle Version ist jederzeit im Admin-Bereich der Plattform und unter /legal/privacy abrufbar.
(3) Wesentliche Änderungen, die die Rechte der betroffenen Personen berühren, werden mindestens 30 Tage vor Inkrafttreten aktiv in der Plattform angezeigt und per E-Mail mitgeteilt.
§ 18 Kontakt für Datenschutzanliegen
P.A.W. GmbH – Datenschutz
Emil-Hoffmann-Str. 55–59, Gebäude 6
50996 Köln
E-Mail: datenschutz@schluesselmanager.com
Telefon: +49 (0) 2236 3189653
— Ende der Datenschutzerklärung —
P.A.W. GmbH | Köln | Stand: 13. Februar 2026 (Entwurf)