<!-- Iteration #2 Sim — Sprint 8 (2026-06-15). Production-Launch erst nach echter Kanzlei-Bestaetigung. -->
Datenschutzerklaerung Boardly (Closed-Alpha)
Stand: 2026-06-15
Version: 1.0 (Iteration #2 Sim — Sprint 8; Production-Launch erst nach echter Kanzlei-Bestaetigung)
Status: Anwalt-Iteration #2 (Simulation) — echte Kanzlei-Bestaetigung pending (siehe legal/anwalt-review-status.md)
Hinweis: Diese Datenschutzerklaerung gilt fuer die Closed-Alpha-Phase von Boardly und richtet sich an den eingeladenen Reviewer-Pool. Sie wird vor dem oeffentlichen Launch (Phase 1) anwaltlich gefinalisiert.
Iteration-#2-Sim-Hinweis (Sprint 8): v1.0 simuliert eine zweite Anwalts-Iteration. Die Subprozessoren-Tabelle (§ 3a) wurde um eine Datenschutz-Link-Spalte ergaenzt; § 9.5 fuegt das Beschwerderecht bei der Berliner Beauftragten fuer Datenschutz und Informationsfreiheit hinzu. Echte Kanzlei-Bestaetigung wird die Klauseln vor Production-Launch validieren.
1. Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO
Boardly GmbH (Beispiel-Anbieter) Beispiel-Strasse 1 10115 Berlin Deutschland
Vertretungsberechtigter Geschaeftsfuehrer: Mike Schober
Telefon: +49 (0) 30 (Beispiel)
E-Mail (allgemein): kontakt@boardly.de
E-Mail (Datenschutz): datenschutz@boardly.de
Datenschutzbeauftragter: Bei der Boardly GmbH (Beispiel-Anbieter) sind
weniger als 20 Personen mit der automatisierten Verarbeitung personen-
bezogener Daten beschaeftigt; eine Bestellpflicht nach § 38 Abs. 1 BDSG
besteht damit derzeit nicht. Datenschutz-Anfragen werden ausschliesslich
ueber datenschutz@boardly.de bearbeitet.
Detaillierte Anbieter-Daten siehe Impressum (/legal/impressum).
2. Verarbeitete Daten und Verarbeitungszwecke
Im Rahmen der Bereitstellung von Boardly verarbeiten wir folgende personenbezogene Daten:
Wir verarbeiten keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) bewusst und fordern Reviewer auf, solche Daten nicht in Boardly einzustellen (siehe AGB § 2.3).
3. Audit-Log + Logging
Boardly fuehrt zur Sicherstellung der IT-Sicherheit (DSGVO Art. 32) sowie zur
Nachvollziehbarkeit fachlicher Aenderungen ein internes Audit-Log in der
Datenbank-Tabelle audit_events. Das Audit-Log ist nicht oeffentlich
einsehbar und wird ausschliesslich vom Boardly-Betrieb (Product Owner,
Eng-Lead) zu folgenden Zwecken genutzt:
- Erkennung, Untersuchung und Eindaemmung von Sicherheits-Vorfaellen
(rechtliche Grundlage: berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO
-
-
- Art. 32).
-
-
- Reproduktion fachlicher Vorgaenge zur Klaerung von Support-Anfragen (rechtliche Grundlage: Vertragserfuellung, Art. 6 Abs. 1 lit. b).
- Debugging von Mail-Versand und System-Events (berechtigtes Interesse, Art. 6 Abs. 1 lit. f).
3.1 Welche Events werden geloggt
Es werden keine Klartext-Passwoerter und keine Karten-/Kommentar-Inhalte des Nutzers im Audit-Log gespeichert.
PII-Hash-Hinweis (Sprint-7-Sim, kompatibel mit Story 0072): Klartext- E-Mail-Adressen werden nicht im Audit-Log gespeichert. Statt der Klartext- Adresse wird ein gepfefferter SHA-256-Hash hinterlegt. Hash-basiertes Matching erlaubt Auskunfts- und Loeschanfragen ohne Klartext-Reveal: Der Anfragende uebermittelt seine E-Mail-Adresse, der Anbieter bildet den gleichen Hash und gleicht gegen den Audit-Log-Bestand ab.
3.2 Aufbewahrungsdauer pro Kategorie
Nach Ablauf der Frist werden die Eintraege automatisiert geloescht (Cron-Job
ab Sprint 7; siehe Retention-Konzept). Detaillierte Spezifikation:
internes Dokument legal/audit-log-retention.md.
3.3 Recht auf Loeschung / Anonymisierung (Art. 17 DSGVO)
Sie haben das Recht, die Loeschung der Sie betreffenden personenbezogenen Daten zu verlangen.
Im Audit-Log fuehrt Boardly Loeschanfragen durch Anonymisierung statt
Hard-Delete aus: Ihre User-ID wird auf NULL gesetzt, identifizierende
Payload-Felder (z. B. eingeladene E-Mail-Adresse) werden geschwaerzt.
Strukturelle Felder (z. B. Karten-ID, Workspace-ID) bleiben fuer 12 Monate
erhalten, um die Integritaet des Audit-Trails fuer Sicherheits-Forensik zu
wahren (DSGVO Art. 17 Abs. 3 lit. e — Verarbeitung zur Verteidigung von
Rechtsanspruechen).
Spaetestens nach 12 Monaten erfolgt das endgueltige Hard-Delete der Eintraege durch den regulaeren Cleanup-Cron.
3.4 Verantwortlicher Ansprechpartner fuer Audit-Log-Anfragen
E-Mail: datenschutz@boardly.de (zentrale Anlaufstelle).
Der Product Owner bearbeitet alle Anfragen zu Audit-Log-Anonymisierung innerhalb der gesetzlichen Monats-Frist (Art. 12 Abs. 3 DSGVO).
3a. Subprozessoren-Liste (Iteration #2 Sim — Sprint 8)
Boardly setzt zur Erbringung des Dienstes die folgenden Auftrags- verarbeiter (Art. 28 DSGVO) ein. Detail-Beschreibung der jeweiligen Verarbeitung folgt in den Sections 4-6 und 11.
Detail-Verfahrensbeschreibungen siehe Sections 4 (AWS SES), 5 (Azure B2C), 6 (Sentry), 11 (Hosting/Hetzner).
Sub-Subprozessoren: Die genannten Auftragsverarbeiter setzen ihrerseits unter den Bedingungen ihrer DPAs Sub-Subprozessoren ein (z. B. AWS-Inc. fuer SES-Backend, Azure fuer B2C-Backend). Die jeweiligen Sub-Listen sind in den Provider-DPAs einsehbar.
4. Mail-Provider — AWS SES (eu-central-1)
Fuer den Versand von System-Mails (Reviewer-Einladungen, Support-Antworten) nutzen wir Amazon Simple Email Service (SES) der Amazon Web Services EMEA SARL bzw. Amazon Web Services Inc.
- Region:
eu-central-1(Frankfurt am Main, Deutschland). - Verarbeitete Daten: Empfaenger-E-Mail, Absenderadresse
noreply@boardly.de, Betreff, Mail-Inhalt, Versandstatus. - Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung — Reviewer-Onboarding) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an System-Kommunikation).
- Auftragsverarbeitung: Mit AWS besteht ein Auftragsverarbeitungsvertrag
in Form des AWS Data Processing Addendum (DPA). Status und
Vault-Pfad: siehe
legal/avv-status.md(Eintrag #1). - Drittlandtransfer: Verarbeitung erfolgt ausschliesslich in der
EU-Region (Frankfurt). AWS ist EU-US-Konzern; aufgrund der EU-Mutter
EMEA SARL und des EU-US Data Privacy Frameworks ist der Transfer
abgesichert. Das Transfer-Impact-Assessment liegt unter
legal/tia/tia-aws-ses-eu.md(Status: DRAFT, Sprint-6-Story-0058).
5. Authentifizierung — Azure Active Directory B2C (Microsoft Ireland)
Die Anmeldung erfolgt ueber Azure Active Directory B2C der Microsoft Ireland Operations Limited.
- Tenant:
fakturus.onmicrosoft.com(B2C-Region: EU). - Policy:
B2C_1_OpenSignUpSignIn(Sign-Up + Sign-In, OAuth 2.0 / OIDC, Code-Flow). - Verarbeitete Daten: E-Mail (Username), Passwort-Hash (nur Microsoft —
Boardly sieht nie Klartext-Passwoerter), Anzeigename, Object-ID (
oid), Token-Lebensdauer-Metadaten. - Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung).
- Auftragsverarbeitung: Mit Microsoft besteht ein
Auftragsverarbeitungsvertrag (Microsoft DPA). Status: GRUEN (akzeptiert
2026-04-20); Pfad:
legal/avv-status.mdEintrag #2. - Drittlandtransfer: Microsoft Ireland verarbeitet primaer in der EU.
Bei US-Konzern-Zugriff greift das EU-US Data Privacy Framework + die
EU-Standardvertragsklauseln (Modul 3). Transfer-Impact-Assessment:
.project/legal/tia-drafts/azure-b2c-tia-draft.md.
6. Error-Tracking — Sentry (EU-Region)
Zur Erkennung und Behebung von Software-Fehlern setzen wir Sentry der Functional Software Inc. ein.
- Region: EU-Cloud (
de.sentry.io). - Verarbeitete Daten: Stack-Traces, Exception-Messages, HTTP-Request-
Metadaten (Method, URL ohne Query-Strings mit PII), User-ID (Pseudonym
B2cSub), Trace-ID, Browser-/Server-Version. Keine Karten-Inhalte, keine Mail-Adressen, keine Kommentare. - Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Fehlerdiagnose und Software-Qualitaet).
- Auftragsverarbeitung: Sentry-DPA in Bearbeitung (Sprint-3-Story-0039
Anwalt-Iteration). Status: GELB; Pfad:
legal/avv-status.mdEintrag #4. - Drittlandtransfer: Sentry-EU laeuft auf AWS Frankfurt; Functional Software Inc. ist US-Mutter — abgesichert via Data Privacy Framework + Standardvertragsklauseln. TIA-Status: offen Sprint 7.
7. Cookies und vergleichbare Technologien
Boardly setzt ausschliesslich technisch notwendige Cookies ein. Eine Einwilligung ist daher nach § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich.
Kein Tracking, kein Analytics-JS, keine Werbe-Cookies, kein Cross-Site- Tracking, kein Fingerprinting.
8. Data-Protection-Keys
ASP.NET Core verschluesselt die Auth-Cookies mit Schluesseln aus dem
Data-Protection-Key-Ring. Diese Schluessel werden lokal im
Container-Volume des Boardly-UI-Pods abgelegt
(/home/app/.aspnet/DataProtection-Keys/).
- Persistenz: Volume-Mount im Compose-Stack; bei Container-Recreation ohne Volume gehen aktive Sessions verloren (Reviewer muessen sich neu anmelden — kein Datenverlust, da Cookies nur Auth-Tickets enthalten).
- Zugriff: ausschliesslich der Boardly-UI-Prozess + Eng-Lead (Server- Administration).
- Drittland-Verarbeitung: keine — Schluessel verlassen den EU-gehosteten Container nie.
9. Recht auf Loeschung / Anonymisierung — Workflow
Loeschanfragen werden im Closed-Alpha-Stadium manuell durch den Product Owner bearbeitet (kein automatisierter Self-Service; Sprint 8 plant einen Self-Service-Loeschen-Endpoint).
9.1 Workflow (Uebersicht)
- Anfrage per E-Mail an
datenschutz@boardly.de. - Identitaetspruefung (Abgleich Reviewer-Pool, ggf. Rueckfrage ueber hinterlegte Reviewer-Adresse).
- PO loescht / anonymisiert:
- Account-Daten: Hard-Delete in
boardly_usersbzw. Anonymisierung (E-Mail →deleted-{user-id}@anonymized.local). - Inhalte (Karten, Kommentare): Anonymisierung des Author-Felds
(
AuthorUserId = NULL); Inhalte bleiben erhalten, soweit das Workspace weiter besteht und andere Reviewer darauf angewiesen sind (sonst Hard-Delete). - Audit-Log: Anonymisierung gemaess § 3.3 (User-ID auf NULL, Payload-Schwaerzung).
- Mail-Outbox: Hard-Delete der Empfaenger-Adresse fuer ausgeliefere Mails; pending Mails werden gestoppt.
- Account-Daten: Hard-Delete in
- Bestaetigung an den Anfragenden binnen Monatsfrist (Art. 12 Abs. 3 DSGVO).
9.2 Frist (Art. 12 Abs. 3 DSGVO)
- Antwortfrist: ein Monat nach Eingang der Anfrage.
- Bei komplexen Anfragen kann die Frist um zwei weitere Monate verlaengert werden; Sie werden in diesem Fall innerhalb des ersten Monats ueber die Verlaengerung und ihre Gruende informiert.
- Boardly arbeitet intern mit einer 30-Tage-Standardfrist zur Sicherstellung der gesetzlichen Pflicht-Frist.
9.3 Recht auf Loeschung (DSGVO Art. 17) — Sprint-7-Konkretisierung
- Eingangskanal:
datenschutz@boardly.de. - Frist: 30 Tage ab Eingang der Anfrage (intern; gesetzliche Maximalfrist gemaess § 9.2).
- Was wird geloescht:
- Login-Daten + Profildaten (Anzeige-Name, E-Mail, B2C-Identitaet).
- Eigene Kommentare auf Karten (Hard-Delete; ADR-0020).
- Workspace-Mitgliedschaften (Hard-Delete).
- Pending- und akzeptierte Einladungen, die mit dem Anfrager verknuepft sind.
- Empfaenger-Klartext-Adresse in der Mail-Outbox; Pending-Mails an den Anfrager werden hard-deleted.
- Was bleibt (anonymisiert):
- Audit-Trail-Eintraege (zur Forensik gemaess DSGVO Art. 6 Abs. 1 lit. f
-
-
- Art. 32) —
actor_user_idwird aufNULLgesetzt, der Event-Payload wird auf{ "redacted": true }reduziert. Strukturelle Felder (Event-Typ, Workspace-ID, Zeitstempel) bleiben fuer maximal 12 Monate erhalten.
- Art. 32) —
-
-
- Workspace-/Board-/Card-Eigentuemerschaften wandern auf einen technischen "Geloeschter User"-Sentinel-Account, damit Daten anderer Reviewer im selben Workspace funktional erhalten bleiben.
- Audit-Trail-Eintraege (zur Forensik gemaess DSGVO Art. 6 Abs. 1 lit. f
- Beweis: Ein Tombstone-Audit-Event
gdpr.user.eraseddokumentiert die Verarbeitung mit interner Request-ID. Der Tombstone enthaelt kein PII (keine User-ID, keine Email, kein Hash), nur die Request-ID und den Verarbeitungszeitstempel.
Die technische Umsetzung erfolgt durch eine atomare Stored-Procedure
redact_user_data(user_id, request_id) (siehe internes Runbook
infra/runbooks/dsgvo-erasure.md).
9.4 Klartext-Email im Audit-Log — Datenminimierung (Sprint 7 / Story 0072)
- Klartext-Email-Adressen werden nicht mehr im Audit-Log gespeichert.
Die
invitation.created/accepted/revoked-Events enthalten ausschliesslich einen kryptographischen Hash (HMAC-SHA256 mit serverseitigem Pepper). - Hash-basiertes Matching erlaubt Auskunftsanfragen ohne Klartext-Reveal: Bei einer Auskunftsanfrage zu einer konkreten E-Mail-Adresse berechnet der Server den Hash aus der angegebenen E-Mail und gleicht ihn mit den Audit-Eintraegen ab. Die DB enthaelt keinen Klartext, der unbeabsichtigt exfiltriert werden koennte.
- Wirkung gegenueber DSGVO Art. 5 (Datenminimierung): der Audit-Trail bleibt forensisch nutzbar, ohne dass eine personenbezogene E-Mail-Adresse in den Audit-Eintraegen gespeichert wird. Dies ergaenzt die in § 9.3 beschriebene Anonymisierung bei Loesch-Anfragen.
9.5 Beschwerderecht bei der Aufsichtsbehoerde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehoerde zu beschweren. Zustaendig ist die Berliner Beauftragte fuer Datenschutz und Informationsfreiheit:
Friedrichstr. 219, 10969 Berlin mailbox@datenschutz-berlin.de
(Iteration #2 Sim — Sprint 8: Behoerde am Sitz des Beispiel-Anbieters Berlin; finale Behoerde haengt vom tatsaechlichen Anbieter-Sitz ab und wird vor Production-Launch durch die echte Kanzlei bestaetigt.)
10. Rechte der Betroffenen
Sie haben gegenueber dem Verantwortlichen folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunft ueber gespeicherte Daten (Art. 15 DSGVO),
- Berichtigung unrichtiger Daten (Art. 16 DSGVO),
- Loeschung (Art. 17 DSGVO; siehe § 9),
- Einschraenkung der Verarbeitung (Art. 18 DSGVO),
- Datenuebertragbarkeit in einem strukturierten, gaengigen Format (Art. 20 DSGVO; im Closed-Alpha-Stadium JSON-Export auf Anforderung),
- Widerspruch gegen Verarbeitungen auf Basis berechtigten Interesses (Art. 21 DSGVO),
- Widerruf erteilter Einwilligungen mit Wirkung fuer die Zukunft (Art. 7 Abs. 3 DSGVO).
Beschwerderecht bei der Aufsichtsbehoerde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehoerde ueber die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Anschrift und Kontaktdaten der zustaendigen Aufsichtsbehoerde finden Sie in § 9.5 (Berliner Beauftragte fuer Datenschutz und Informationsfreiheit).
Anfragen zu Betroffenenrechten richten Sie bitte an
datenschutz@boardly.de. Die Bearbeitung erfolgt binnen 30 Tagen
(Art. 12 Abs. 3 DSGVO).
11. Hosting
Boardly wird auf Hetzner Cloud (Deutschland) sowie Microsoft Azure
EU betrieben (siehe legal/avv-status.md). Saemtliche Anwendungs- und
Datenbank-Komponenten verarbeiten Daten ausschliesslich in EU-Rechenzentren.
12. Aenderungen dieser Datenschutzerklaerung
Wir behalten uns vor, diese Datenschutzerklaerung anzupassen, wenn sich
Rechtslage oder Verarbeitungstaetigkeiten aendern. Die jeweils aktuelle
Version ist unter /legal/datenschutz abrufbar; wesentliche Aenderungen
werden den Reviewern per E-Mail mitgeteilt.