Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Plattform ist:

E-Mail: dillonleibert@live.de
Telefon: 015774026000

2. Überblick der Datenverarbeitung

Remotica ist eine Remote Monitoring & Management (RMM)-Plattform, die es IT-Dienstleistern (Partnern) ermöglicht, die IT-Infrastruktur ihrer Kunden zentral zu überwachen und zu verwalten. Dabei werden personenbezogene Daten und technische Gerätedaten verarbeitet, soweit dies für den Betrieb der Plattform und die Erbringung der vereinbarten Dienstleistungen erforderlich ist.

Die Verarbeitung erfolgt auf Grundlage der folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Bereitstellung der RMM-Plattform)
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (IT-Sicherheit, Plattformstabilität)
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (sofern gesondert eingeholt)
• Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung (Aufbewahrungspflichten)

3. Hosting & technische Infrastruktur

Die Remotica-Plattform wird auf dedizierten Servern in Deutschland betrieben. Die technische Infrastruktur umfasst:

• Webserver: Reverse-Proxy mit TLS-Verschlüsselung (HTTPS)
• Datenbank: PostgreSQL – Speicherung aller Plattformdaten
• Cache: Redis – temporäre Zwischenspeicherung für Performance-Optimierung
• Kommunikation: SignalR (WebSocket) – verschlüsselte Echtzeitkommunikation zwischen Agents und Server

Alle Datenübertragungen zwischen Ihrem Browser und den Servern sowie zwischen den Remotica-Agents und der Plattform erfolgen ausschließlich über verschlüsselte Verbindungen (TLS/HTTPS).

4. Server-Logdateien

Beim Zugriff auf die Remotica-Plattform werden automatisch Informationen in Server-Logdateien gespeichert, die Ihr Browser automatisch übermittelt. Dies umfasst:

• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer URL (zuvor besuchte Seite)
• IP-Adresse des zugreifenden Rechners
• Datum und Uhrzeit der Serveranfrage

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Die Speicherung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Fehleranalyse und Absicherung des Webservers).

Speicherdauer: Server-Logdateien werden nach spätestens 14 Tagen automatisch gelöscht.

5. Cookies & Authentifizierung

Remotica verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Plattform und die Authentifizierung erforderlich sind. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Es findet keine Weitergabe von Cookie-Daten an Dritte statt.

Beide Cookies sind als HttpOnly markiert und können daher nicht durch JavaScript im Browser ausgelesen werden. Die Übertragung erfolgt ausschließlich über verschlüsselte HTTPS-Verbindungen.

Rechtsgrundlage: Da ausschließlich technisch notwendige Cookies eingesetzt werden, die für die Bereitstellung des Dienstes unbedingt erforderlich sind, ist gemäß § 25 Abs. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) keine Einwilligung erforderlich. Ein Cookie-Banner wird daher nicht angezeigt.

6. Benutzerkonten & Anmeldedaten

Für die Nutzung der Remotica-Plattform ist ein Benutzerkonto erforderlich. Dabei werden folgende Daten verarbeitet:

• E-Mail-Adresse – als eindeutiger Benutzername und für Benachrichtigungen
• Anzeigename – zur Personalisierung der Oberfläche
• Passwort – gespeichert als kryptographischer Hash (BCrypt), das Klartext-Passwort wird niemals gespeichert
• Zwei-Faktor-Authentifizierung (TOTP) – optionaler Geheimschlüssel und Backup-Codes für erhöhte Kontosicherheit
• Rolle & Berechtigungen – Zuordnung zu Partner-Organisation und Zugriffsrechte
• Login-Metadaten – Zeitpunkt des letzten Logins, IP-Adresse bei der Anmeldung, Anzahl fehlgeschlagener Login-Versuche

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit für Login-Metadaten).

Für Global-Admin-Konten wird die Authentifizierung über Microsoft Entra ID (Azure Active Directory) abgewickelt. Dabei gelten zusätzlich die Datenschutzbestimmungen von Microsoft.

Speicherdauer: Kontodaten werden für die Dauer der aktiven Nutzung gespeichert und nach Löschung des Benutzerkontos innerhalb von 30 Tagen vollständig entfernt. Login-Metadaten (IP-Adresse, Zeitstempel) werden nach 90 Tagen automatisch gelöscht.

Erforderlichkeit der Bereitstellung: Die Angabe von E-Mail-Adresse und Passwort ist für die Nutzung der Plattform vertraglich erforderlich. Ohne diese Daten kann kein Benutzerkonto angelegt und die Plattform nicht genutzt werden.

7. Gerätedaten (Remotica Agents)

Auf den verwalteten Endgeräten wird ein Remotica Agent installiert, der regelmäßig Systeminformationen an die Plattform übermittelt. Folgende Kategorien technischer Daten werden erhoben:

• Identifikation: Computername, eindeutige Client-ID, Agent-Version
• Betriebssystem: Betriebssystem-Version, Edition, Build-Nummer, Installationsdatum, Neustart-Status
• Hardware: CPU-Typ, Arbeitsspeicher (RAM), Festplatten-Kapazität und -Belegung, System-Architektur, Hersteller, Seriennummer
• Netzwerk: IP-Adresse (lokal und öffentlich), Standard-Gateway, DNS-Server-Konfiguration
• Sicherheit: BitLocker-Verschlüsselungsstatus, TPM-Verfügbarkeit (Trusted Platform Module)
• Software: Liste installierter Programme (Inventarisierung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – die Erhebung dieser Daten ist der Kernzweck der RMM-Dienstleistung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an proaktiver IT-Infrastruktur-Überwachung).

Die Kommunikation zwischen Agent und Server erfolgt über verschlüsselte SignalR-WebSocket-Verbindungen und wird zusätzlich durch TPM-basierte HMAC-Authentifizierung abgesichert.

Speicherdauer: Gerätedaten werden für die Dauer der Mandantenzugehörigkeit gespeichert. Nach Entfernung eines Geräts aus der Plattform werden die zugehörigen Daten innerhalb von 30 Tagen gelöscht. Bei Beendigung des Partner-Vertrags werden alle Gerätedaten innerhalb von 90 Tagen vollständig entfernt.

8. Remote-Management-Funktionen

Die Plattform bietet berechtigten Nutzern folgende Fernwartungsfunktionen, bei deren Nutzung zusätzliche Daten verarbeitet werden:

• Remote Desktop (RDP): Bildschirmübertragung und Fernsteuerung über verschlüsselte WebSocket-Verbindungen mit H.264-Encoding
• Terminal-Zugriff: Ausführung von Befehlen auf dem Endgerät (PowerShell, CMD)
• Datei-Browser: Einsicht in Dateisysteme des verwalteten Geräts
• Script-Ausführung: Ausführung administrativer Skripte auf verwalteten Geräten
• Prozess- & Dienstverwaltung: Einsicht und Steuerung von laufenden Prozessen und Windows-Diensten
• Windows Event Logs: Abruf von System-Ereignisprotokollen

Alle Remote-Management-Aktivitäten werden protokolliert (siehe Abschnitt 9). Der Zugriff ist auf authentifizierte und autorisierte Benutzer beschränkt und erfolgt gemäß dem jeweiligen Berechtigungskonzept der Partner-Organisation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9. Protokollierung & Audit

Zur Gewährleistung der IT-Sicherheit und Nachvollziehbarkeit werden folgende Aktivitäten protokolliert:

• API-Zugriffe und Authentifizierungsereignisse
• Remote-Management-Aktionen (wer, wann, welches Gerät, welche Aktion)
• Änderungen an Benutzerkonten und Berechtigungen
• Agent-Verbindungsereignisse (Verbindungsaufbau, -abbruch)
• Sicherheitsrelevante Ereignisse (fehlgeschlagene Logins, Rate-Limiting)

Die Protokollierung erfolgt als strukturiertes Logging (Serilog) und wird in der Datenbank sowie in Log-Dateien gespeichert.

Speicherdauer:

• Sicherheitsprotokolle (fehlgeschlagene Logins, Rate-Limiting): 90 Tage
• Audit-Logs (Remote-Management-Aktionen, Kontoänderungen): Dauer der Geschäftsbeziehung, anschließend Löschung nach Ablauf der regelmäßigen Verjährungsfrist (3 Jahre gem. §§ 195, 199 BGB)
• Agent-Verbindungsprotokolle: 30 Tage

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Nachvollziehbarkeit).

10. Empfänger & Drittlandtransfer

Grundsätzlich werden personenbezogene Daten nur innerhalb der Remotica-Plattform auf Servern in Deutschland verarbeitet. Eine Weitergabe an Dritte findet nur in folgenden Fällen statt:

• Microsoft Entra ID (Azure Active Directory): Für die Authentifizierung von Global-Admin-Konten wird Microsoft Entra ID eingesetzt. Dabei können Authentifizierungsdaten (E-Mail-Adresse, Login-Token) an Microsoft-Server übermittelt werden, die sich teilweise in den USA befinden. Die Übermittlung erfolgt auf Grundlage von Art. 45 DSGVO (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) in Verbindung mit dem EU-US Data Privacy Framework (DPF), unter dem Microsoft zertifiziert ist.

Darüber hinaus findet keine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen statt.

11. Datensicherheit

Es werden umfangreiche technische und organisatorische Maßnahmen eingesetzt:

• Transportverschlüsselung: Alle Verbindungen über TLS/HTTPS
• Passwort-Hashing: BCrypt mit automatischem Salt
• Token-Signierung: JWT mit kryptographischem Schlüssel, HttpOnly-Cookies
• Agent-Authentifizierung: TPM-basierte HMAC-Signaturen für Geräte-Identifikation
• Echtzeitkommunikation: Verschlüsselte SignalR/WebSocket-Verbindungen
• Rate-Limiting: Schutz vor Brute-Force-Angriffen bei Login-Endpunkten
• Mandantentrennung: Strikte Datenisolierung zwischen Partner-Organisationen (Multi-Tenant-Architektur)
• Zwei-Faktor-Authentifizierung: Optionaler TOTP-basierter zweiter Faktor

12. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO statt. Alle Entscheidungen, die Auswirkungen auf betroffene Personen haben, werden von natürlichen Personen getroffen.

13. Ihre Rechte nach der DSGVO

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die verarbeiteten personenbezogenen Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Korrektur unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können die Herausgabe Ihrer Daten in einem maschinenlesbaren Format verlangen.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: dillonleibert@live.de

Sofern eine Verarbeitung auf Ihrer Einwilligung basiert, haben Sie das Recht, diese jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Sie haben zudem das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. Zuständige Aufsichtsbehörde:

14. Auftragsverarbeitung & Multi-Tenant-Architektur

Der Betreiber dieser Plattform nimmt eine Doppelrolle ein:

• Verantwortlicher (Art. 4 Nr. 7 DSGVO): für die Verarbeitung der Daten der Partner-Nutzer (Benutzerkonten, Login-Daten, Plattformnutzung).
• Auftragsverarbeiter (Art. 28 DSGVO): für die Verarbeitung der Endkundendaten, die Partner-Organisationen über die Plattform verwalten (Gerätedaten, Remote-Management-Aktivitäten der Endkunden-Geräte).

Remotica wird als Multi-Tenant-Plattform betrieben. Partner-Organisationen (IT-Dienstleister) verwalten über die Plattform die IT-Infrastruktur ihrer eigenen Kunden.

Mit jedem Partner wird ein Vertrag zur Auftragsverarbeitung (AVV) geschlossen, der die Rechte und Pflichten beider Parteien im Hinblick auf den Datenschutz regelt. Die Partner-Organisationen sind als verantwortliche Stelle für die Daten ihrer Endkunden selbst für die Einhaltung der DSGVO verantwortlich.

Die Plattform stellt durch strikte Mandantentrennung sicher, dass Daten verschiedener Partner-Organisationen vollständig voneinander isoliert sind.

15. Datenschutzbeauftragter

Die Benennung eines Datenschutzbeauftragten ist derzeit gesetzlich nicht erforderlich, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG).

Bei datenschutzrechtlichen Fragen wenden Sie sich bitte direkt an den Verantwortlichen (siehe Abschnitt 1).

Datenschutz-Folgenabschätzung (DSFA): Aufgrund der Art der Datenverarbeitung (umfassende Überwachung von IT-Systemen, Remote-Zugriff) wurde geprüft, ob eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich ist. Im Ergebnis ist eine DSFA derzeit nicht erforderlich, da die Verarbeitung auf den eigenen Mandantenbereich beschränkt bleibt und keine systematische Überwachung öffentlich zugänglicher Bereiche stattfindet. Somit greift auch die erweiterte DSB-Pflicht nach § 38 Abs. 1 S. 2 BDSG nicht. Bei wesentlicher Erweiterung der Verarbeitungstätigkeiten oder auf Anforderung der Aufsichtsbehörde wird die Prüfung wiederholt.

16. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann angepasst werden, um sie an geänderte Rechtslagen oder bei Änderungen der Plattform-Funktionalitäten anzupassen. Die aktuelle Version finden Sie stets unter dieser Seite.

Letzte Aktualisierung: März 2026