Datenschutzerklärung

Der Schutz Ihrer personenbezogenen Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, BDSG-neu, TTDSG). In dieser Erklärung informieren wir Sie über die wichtigsten Aspekte der Datenverarbeitung in diesem Portal.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist:
ECPD GmbH & Co. KG
Industriestraße 4, 34277 Fuldabrück
E-Mail: info@ec-pd.com · Telefon: +49 561 76694836

Datenschutzbeauftragter: Volker Roeber – Datenschutz Nordhessen (externer Datenschutzbeauftragter), Kontakt über die vorstehende Anschrift

2. Zweck der Datenverarbeitung

Dieses Portal dient der Bearbeitung und Dokumentation von Compliance- und Datenschutz-Anforderungen der verantwortlichen Stelle und der von ihr betreuten Unternehmen. Wir verarbeiten personenbezogene Daten ausschließlich zur Bereitstellung des Portals zur Authentifizierung und zur Nachweisführung gegenüber Aufsichtsbehörden.

3. Welche Daten werden verarbeitet?

Benutzerkonto: Benutzername, E-Mail-Adresse, Anzeigename, Passwort (bcrypt-Hash, niemals im Klartext), Rollenzuweisung.
Zwei-Faktor-Authentifizierung (2FA): TOTP-Secret (verschlüsselt gespeichert), Backup-Codes (Hash), Multi-Device- Registrierungen.
Anmeldeversuche: Zeitstempel, Benutzername, SHA-256-Hash der IP-Adresse (kein Klartext), Stufe, Erfolg/Fehlschlag, User-Agent (verschlüsselt).
Aktivitätsprotokoll: Nutzeraktionen im Portal (Dokument-Bearbeitung, Freigaben, Passwortwechsel, Admin-Aktionen) zu Protokoll- und Nachweiszwecken.
Fachinhalte: Dokumente, Anlagen und Parameter, die im Rahmen der Compliance- und Datenschutz-Dokumentation erfasst werden.

4. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von:

Art. 6 Abs. 1 lit. b DSGVO — zur Vertragserfüllung (Bereitstellung des Portals gegenüber Nutzern und Mandanten)
Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen (insbesondere DSGVO und einschlägige Compliance-Vorgaben)
Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Betrieb, IT-Sicherheit, Missbrauchsprävention)

5. Technische und organisatorische Maßnahmen

Alle personenbezogenen und geschäftskritischen Daten werden verschlüsselt gespeichert und übertragen. Die wichtigsten Maßnahmen:

Transportverschlüsselung: Alle Verbindungen ausschließlich per HTTPS mit HSTS-Erzwingung.
Speicherverschlüsselung: Sensible Felder (E-Mail, 2FA-Secret, Dokumentinhalte, IP-Adressen in Logs) sind per AES-256-GCM verschlüsselt. Hochgeladene Dateien (Anlagen) und generierte PDFs liegen verschlüsselt außerhalb bzw. blockiert im Webroot.
Passwörter: Speicherung ausschließlich als bcrypt-Hash. Rücksetzbar nur über den Admin.
Zwei-Faktor-Authentifizierung: TOTP und Backup-Codes, Multi-Device-fähig.
Rate-Limit und Anomalie-Erkennung: Brute-Force- Schutz auf IP-Ebene, Schwellen-Alarm per E-Mail.
Integritäts-Überwachung: Systemdateien werden per HMAC-signiertem SHA-256-Manifest auf Manipulation überwacht.
Backups: Verschlüsselt mit AES-256-GCM. Aufbewahrung gemäß Archivierungsrichtlinie.

6. Cookies und Session-Daten

Das Portal setzt ausschließlich technisch notwendige Cookies ein (Session-Cookie, CSRF-Token). Diese sind mit den Flags HttpOnly, Secure und SameSite=Strict gesetzt und werden nach Logout bzw. Session-Ablauf gelöscht. Es werden keine Tracking- oder Werbe-Cookies verwendet. Es erfolgt keine Einbindung externer Analysedienste.

7. Weitergabe an Dritte

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur in folgenden Fällen:

an Aufsichts- und Datenschutzbehörden auf Anforderung im Rahmen gesetzlicher Pflichten
an Hosting-/IT-Dienstleister im Rahmen bestehender Auftragsverarbeitungsverträge (AVV nach Art. 28 DSGVO)
an Strafverfolgungsbehörden bei entsprechender Anordnung

Eine Übermittlung in Drittländer außerhalb der EU/EWR findet grundsätzlich nicht statt.

8. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen es erfordern. Anmelde- und Sicherheitsprotokolle werden gemäß Aufbewahrungsrichtlinie in der Regel zwei Jahre aufbewahrt und danach gelöscht. Fachinhalte (Dokumente, Parameter) bleiben bis zur ausdrücklichen Löschung durch die Organisation erhalten.

9. Ihre Rechte

Sie haben gegenüber dem Verantwortlichen folgende Rechte:

Recht auf Auskunft (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung (Art. 17 DSGVO)
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruchsrecht (Art. 21 DSGVO)
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Anfragen richten Sie bitte an den unter „Verantwortlicher" genannten Kontakt oder den Datenschutzbeauftragten.

10. Aufsichtsbehörde

Die zuständige Aufsichtsbehörde für Fragen des Datenschutzes ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Postfach 3163, 65021 Wiesbaden. Eine Beschwerde können Sie auch unabhängig hiervon beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit einreichen.

Stand: 30.06.2026. Änderungen an der Datenschutzerklärung werden in diesem Dokument dokumentiert. Bei wesentlichen Änderungen informieren wir die Nutzer.