← Zurück

Datenschutzerklärung

Diktura (Staging)

1. Verantwortlicher

Diktura (Staging)

2. Auftragsverarbeiter (Plattform-Betreiber)

Technischer Betrieb der Diktura-Plattform: GLUECKSELIG Digitalagentur, Inhaber Sebastian Glueckselig (Auftragsverarbeiter gemäß Art. 28 DSGVO). Kontakt: glueckselig.org/impressum.

3. Sub-Auftragsverarbeiter

Die übrigen in der Subprozessoren-Liste von Mistral genannten Dienste (z. B. E-Mail, Marketing, Web-Hosting) berühren die Verarbeitungsdaten der Diktura-Plattform nicht.

4. Verarbeitungsvorgänge und Rechtsgrundlagen

4.1 Nutzerkonto / Bestandsdaten

Zur Bereitstellung und Absicherung des Login-Zugangs verarbeiten wir Benutzername und Name der zur Nutzung berechtigten Mitarbeiter sowie einen bcrypt-Passwort-Hash. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 88 DSGVO (Beschäftigtendatenschutz) im Beschäftigtenkontext.

4.2 Sprachnotiz, Transkript und erstellte Dokumentation

Die per Mikrofon aufgenommene Sprachnotiz wird im Arbeitsspeicher verarbeitet, an Mistral zur Transkription und Textgenerierung übertragen und unmittelbar danach aus dem Speicher gelöscht. Audio, Transkript und die erzeugte Dokumentation werden nicht dauerhaft gespeichert. Die generierte Dokumentation wird dem Nutzer nach der Aufnahme zur Vorschau im Browser angezeigt; erst mit dem vom Nutzer ausgelösten „Senden" wird das PDF erstellt und per E-Mail an das Büro des Verantwortlichen versendet. Serverseitig wird kein Entwurf vorgehalten und keine Vorgangs-ID vergeben; das Transkript verlässt den Server nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung der Diktura-Dokumentation) sowie Art. 6 Abs. 1 lit. f DSGVO (Dokumentations- und Nachweispflichten). Enthält die Notiz Angaben zu dritten Personen (z. B. Bauherr), erfolgt deren Verarbeitung im Rahmen dieser Rechtsgrundlagen.

Hinweis zu besonderen Datenkategorien (Art. 9 DSGVO): Bitte in die Sprachnotiz keine sensiblen Gesundheitsdaten oder andere besondere Kategorien personenbezogener Daten aufsprechen. Werden solche Daten gleichwohl verarbeitet, bedarf dies einer besonderen Rechtsgrundlage (anwaltlich zu prüfen).

4.3 Nutzungsprotokoll

Zur Abrechnung, Kostensteuerung und Missbrauchsabwehr protokollieren wir pro erstellter Dokumentation Mandanten-ID, Nutzer-ID und Zeitstempel. Diese Einträge werden nach 31 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

4.4 Session-Cookie

Zur Aufrechterhaltung der Anmeldung wird ein technisch notwendiges Session-Cookie (doku.sid, 8 Stunden, httpOnly, Secure, SameSite=Strict) gesetzt. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendiger Cookie). Es findet kein Tracking, keine Reichweitenmessung und keine Werbung statt.

4.5 Server-Logfiles

Beim Aufruf werden technische Zugriffsdaten (IP-Adresse, Zeitstempel, aufgerufene Ressource) in Server- und Anwendungs-Logs vorübergehend gespeichert (Betriebs- und Fehlersicherung). Die Aufbewahrung erfolgt über eine logrotate-Rotation (empfohlen 7–14 Tage, dann Löschung). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, Betriebssicherheit).

4.6 Foto-Anhang (Beweisfotos)

Zur Ergänzung der Dokumentation können optional bis zu vier Fotos (JPG oder PNG, je max. 5 MB) mitgesendet werden. Die Fotos werden ausschließlich im Arbeitsspeicher verarbeitet, in das erstellte PDF eingebettet und gemeinsam mit der Dokumentation per E-Mail an das Büro des Verantwortlichen versendet. Fotos werden nicht dauerhaft gespeichert und nach Erstellung des PDF umgehend aus dem Speicher gelöscht — wie die Sprachnotiz. Ein serverseitiger Upload auf Datenträger findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. f DSGVO (Dokumentations- und Nachweispflichten).

Hinweis zu Bild-Metadaten (EXIF): Fotos können technische Metadaten (z. B. Aufnahmezeitpunkt, Gerät, gegebenenfalls GPS-Koordinaten) enthalten. Diese Metadaten werden serverseitig vor der PDF-Einbettung entfernt (Art. 25 DSGVO — Privacy by Design), sodass GPS-Koordinaten und Gerätedaten nicht in das versendete PDF gelangen. Die Fotos werden ausschließlich im Arbeitsspeicher verarbeitet, nicht auf Festplatte gespeichert, und gemeinsam mit der Dokumentation per E-Mail an das Büro des Verantwortlichen versendet.

4.7 Nutzerverwaltung und Audit-Logging

Mandanten-Administratoren verwalten die berechtigten Mitarbeiter (Einladung, Deaktivierung, Reaktivierung, Rollenwechsel, Passwort-Reset, Widerruf offener Einladungen). Diese Verwaltungsvorgänge werden in einem PII-sicheren Audit-Log protokolliert: erfasst werden Zeitpunkt, Aktion, Mandant sowie der handelnde und der betroffene Nutzername. Es werden keine Passwörter oder Tokens protokolliert. Das Audit-Log wird in die Anwendungs-/ Server-Logs geschrieben und über eine Protokollrotation (logrotate) nach 14 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, Nachvollziehbarkeit und Sicherheit der Nutzerverwaltung) sowie im Beschäftigtenkontext Art. 88 DSGVO.

4.8 Brute-Force-Schutz (Login-Rate-Limiting)

Zur Abwehr automatisierter Angriffe auf Nutzerkonten wird beim Login vorübergehend die IP-Adresse zusammen mit Mandant und eingegebenem Benutzernamen im Arbeitsspeicher verarbeitet: nach fünf Fehlversuchen innerhalb von 15 Minuten wird der Anmeldeversuch für 15 Minuten gesperrt. Diese Daten werden nicht auf Festplatte gespeichert und beim Prozess-Neustart verworfen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, IT-Sicherheit und Missbrauchsabwehr).

4.9 Magic-Link-Einladungen und Passwort-Reset

Einladungen neuer Mitarbeiter und das Zurücksetzen vergessener Passwörter erfolgen über einen per E-Mail zugestellten Einmal-Link (Magic-Link). Die E-Mail-Adresse des Empfängers wird verarbeitet, um den Link über das Hostinger-SMTP-Relay (siehe Punkt 3) zuzustellen. In der Datenbank wird nur der SHA-256-Hash des Tokens gespeichert; der Klartext-Token befindet sich ausschließlich im E-Mail-Link und wird nicht gespeichert. Offene Einladungs- und Reset-Tokens werden nach Annahme, Widerruf oder Ablauf ihrer Gültigkeit gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Kontoführung) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherheit der Zugangskontrolle).

5. Empfänger

Empfänger der Daten sind die in Punkt 3 genannten Sub-Auftragsverarbeiter (Mistral, Hostinger) sowie das Büro des Verantwortlichen als Empfänger der erstellten Dokumentation. E-Mail-Adressen der vom Mandanten benannten Einladungs- und Reset-Empfänger (Punkt 4.9) werden über das Hostinger-SMTP-Relay zur Zustellung der Magic-Links verarbeitet. Eine Übermittlung an weitere Dritte erfolgt nicht.

6. Speicherdauer

7. Ihre Rechte (Art. 15–22 DSGVO)

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie auf Widerspruch gegen die Verarbeitung. Zudem steht Ihnen ein Beschwerderecht bei der zuständigen Datenschutz-Aufsichtsbehörde zu.

8. KI-Kennzeichnung (Art. 50 KI-Verordnung)

Die Diktura-Dokumentation wird maschinell (KI-gestützt) aus der Sprachnotiz erstellt. Gemäß Art. 50 KI-VO wird darauf hingewiesen, dass es sich um KI-generierten Inhalt handelt. Die Ausgabe ist vor Verwendung auf Richtigkeit zu prüfen. Die Kennzeichnung erfolgt zusätzlich im Fuß der erzeugten PDF.

9. Kontakt, Widerspruch und Beschwerde

Wenden Sie sich für Auskünfte, Korrekturen oder Löschungen an den Verantwortlichen (Kontakt siehe Punkt 1) oder an den Auftragsverarbeiter (Punkt 2).

10. Änderungen

Diese Datenschutzerklärung kann bei Anpassung der Verarbeitungsvorgänge geändert werden. Stand: 2026-06-24.

Hinweis: Diese Seite ist ein technischer Entwurf auf Basis der tatsächlichen Verarbeitungsvorgänge der Diktura-Plattform (Stand: 2026-06-24). Sie ersetzt keine individuelle Rechtsberatung und muss vor Veröffentlichung durch eine zur Rechtsanwaltschaft zugelassene Person final geprüft werden.