Datenschutzerklärung
Informationen gemäß Art. 13 DSGVO – Dornbach Mandantenportal (SSO-Anmeldung)
Verantwortlicher
DORNBACH GmbHWirtschaftsprüfungsgesellschaft · Steuerberatungsgesellschaft
Rheinstraße 4n (Fort Malakoff)
55116 Mainz
Mail: mainz@dornbach.de
Fon: +49 (0) 6131 2 04 78 – 16
Geltungsbereich
Diese Datenschutzerklärung gilt ausschließlich für das Mandantenportal unter sso.dornbach.digital und beschreibt, welche personenbezogenen Daten bei der Anmeldung verarbeitet werden. Für die Verarbeitung von Daten innerhalb der Zielanwendungen (z. B. chat.dornbach.digital) gelten die jeweils dort hinterlegten Datenschutzhinweise.
Verarbeitete Daten
Im Rahmen des Anmeldevorgangs verarbeiten wir ausschließlich:
- E-Mail-Adresse – zur Identifikation Ihres Mandantenkontos und zum Versand des Einmalcodes (OTP) per E-Mail
- Passwort – wird ausschließlich als bcrypt-Hash geprüft und nie im Klartext gespeichert oder übertragen
- Einmalcode (OTP) – wird serverseitig für maximal 5 Minuten temporär in der Sitzung gehalten und danach automatisch gelöscht
- Sitzungs-Cookie (Session-ID) – technisch notwendiges Cookie zur sicheren Verwaltung des Anmeldevorgangs, gültig für 15 Minuten
- Anmeldezeitstempel und E-Mail-Adresse – werden zu Sicherheitszwecken in den Serverprotokollen erfasst
Zweck und Rechtsgrundlage
Die Verarbeitung erfolgt ausschließlich zur sicheren Authentifizierung und zur Bereitstellung des Zugangs zum Mandantenportal. Rechtsgrundlagen sind:
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Zugang zum Mandantenportal)
- Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an der IT-Sicherheit und Missbrauchsprävention (Rate Limiting, Protokollierung)
Session-Cookie
Das Mandantenportal setzt ein technisch notwendiges Session-Cookie (connect.sid),
das nach 15 Minuten Inaktivität automatisch ungültig wird. Es enthält keine
personenbezogenen Daten, sondern lediglich eine zufällig generierte Sitzungs-ID.
Dieses Cookie ist für den Betrieb des Portals unbedingt erforderlich und unterliegt nach § 25 Abs. 2 Nr. 2 TTDSG keiner Einwilligungspflicht.
Es werden keine Tracking-Cookies, Analyse-Cookies oder Cookies von Drittanbietern gesetzt. Es findet kein Einsatz von Web-Analytics-Diensten statt.
E-Mail-Versand (OTP)
Der Einmalcode wird über den SMTP-Dienst der Strato AG, Pascalstraße 10, 10587 Berlin, versandt. Strato AG verarbeitet dabei Ihre E-Mail-Adresse als Auftragsverarbeiter gemäß Art. 28 DSGVO. Es liegt ein entsprechender Auftragsverarbeitungsvertrag vor.
Weitergabe nach erfolgreicher Anmeldung
Nach erfolgreicher Zwei-Faktor-Authentifizierung wird ein signiertes JWT-Token (JSON Web Token) an die aufgerufene Zielanwendung übergeben. Das Token enthält Ihre E-Mail-Adresse und Ihre Mandantenkennung und ist für 1 Stunde gültig. Eine darüber hinausgehende Weitergabe an Dritte findet nicht statt.
Speicherdauer
- Sitzungsdaten (OTP, Session): automatische Löschung nach spätestens 15 Minuten
- Serverprotokolle (Log-Dateien): Löschung nach 30 Tagen
Es erfolgt keine dauerhafte Speicherung personenbezogener Daten auf diesem System.
Ihre Rechte
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Zur Wahrnehmung Ihrer Rechte wenden Sie sich bitte an: mainz@dornbach.de
Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz:
Prof. Dr. Dieter Kugelmann
Hintere Bleiche 34, 55116 Mainz
www.datenschutz.rlp.de