Ein pruefbarer Ueberblick fuer Datenschutz- und Sicherheitsreviews: Kontaktpfad, Rollen, Datenkategorien, aktuelle Dienstleister, Retention und Review-Cadence.
Bitte keine Passwoerter, Tokens oder unverschluesselten sensiblen Rohdaten per E-Mail senden.
Rollen
Controller- und Processor-Sicht
Kunden bleiben fuer Ausbildungsdaten Controller. Nachwuchs.app verarbeitet Betriebs-, Trainer-, Azubi- und Berichtsheftdaten als Produktanbieter im Auftrag des Kunden, soweit der Kunde die App produktiv einsetzt.
Dokument
Readiness Packet, kein Vertrag
Das Paket beschreibt den aktuellen technischen Produktstand. Ein unterzeichneter AVV/DPA, TOM-Anhang und kundenspezifische Aufbewahrungsregeln muessen vor Produktivstart vertraglich finalisiert werden.
Cadence
Versionierte Ueberpruefung
Aenderungen an Auth, Backend, KI, E-Mail, Hosting, Retention oder Subprozessoren loesen eine Review aus. Die regulaere Kontrolle ist quartalsweise angesetzt.
Datenkategorien
Diese Kategorien ergeben sich aus den aktuellen App-Funktionen und Convex-Schemafeldern.
Betriebs- und Mandantendaten: Firmenname, Rolle, Zugehoerigkeit, Einstellungen.
Nutzerkonten: Name, E-Mail, Clerk-ID, Rollenprofil und Sitzungsbezug.
Deployment-, Netzwerk- und Laufzeitdaten des Next.js-Frontends.
Retention und offene Prozesspunkte
Die Regeln beschreiben Produktverhalten. Kundenspezifische Fristen und Datenexporte gehoeren in den finalen AVV/DPA-Anhang.
Berichte, Freigaben, Audit-Events und Pflicht-Metadaten bleiben fuer die Berichtshistorie erhalten, bis ein vertraglicher Export- oder Loeschprozess greift.
KI-Rohnotizen und Diktat-Transkripte haben im Produktstandard 30 Tage Aufbewahrung und koennen aus dem Berichtskontext entfernt werden.
KI-Provenienz, Modell, Prompt-Version, Warnhinweise und Zeitstempel bleiben zur Nachvollziehbarkeit am Bericht.
E-Mail-Zustelllogs werden fuer Betrieb und Fehlersuche protokolliert, sofern E-Mail-Zustellung aktiviert ist.
Konto-, Betriebs- und Mandantendatenexporte sind gesondert zu vereinbaren, solange kein Self-Service-Export implementiert ist.
Review-Cadence
Letzte Pruefung: 2026-06-27. Naechste regulaere Pruefung: 2026-09-30.
Mindestens quartalsweise: naechster Review bis 30. September 2026.
Vor Einfuehrung oder Wechsel von Auth-, Backend-, Hosting-, E-Mail-, Zahlungs- oder KI-Anbietern.
Vor Aenderungen an KI-Retention, Rohdatenloeschung, Audit-Events oder Berichtsexporten.
Nach relevanten Sicherheitsvorfaellen oder Kunden-Datenschutzreviews.
Vor produktivem Einsatz bei Kunden mit eigenen AVV/DPA- oder Subprozessorfreigabeprozessen.