Datenschutzerklärung (Support‑Portal)
Geltungsbereich. Diese Hinweise gelten für die Verarbeitung personenbezogener Daten beim Betrieb unseres Service‑Desk‑Portals (osTicket), inkl. Ticket‑Erstellung, -Bearbeitung, E‑Mail‑Benachrichtigungen und Fehlerprotokollierung.
1) Verantwortlicher
eMedys AG
Blaunonnengasse 5, 35578 Wetzlar, Deutschland
E‑Mail: [[email protected]] (für Datenschutzanfragen: [[email protected]])
Rechtsgrundlage der Identität: Handelsregister AG Wetzlar, HRB 9485.
2) Zwecke, Datenkategorien, Rechtsgrundlagen
2.1 Ticketabwicklung & Supportkommunikation
- Daten: Stammdaten (Name, Firma, Funktion), Kontaktdaten (E‑Mail, Telefon – soweit angegeben), Ticket‑/Kommunikationsinhalte, Anhänge, Zeitstempel, interne Bearbeitervermerke.
- Zweck: Anlage, Bearbeitung und Dokumentation Ihrer Supportanfragen; Nachweis und Qualitätssicherung.
- Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Supportbereitstellung).
Wichtiger Hinweis zu besonderen Daten (Art. 9 DSGVO):
Bitte keine Gesundheitsdaten oder andere besondere Kategorien in Tickets/Anhänge einstellen. Falls im Ausnahmefall zwingend erforderlich, nutzen Sie ausschließlich einen vorab vereinbarten sicheren Kanal und geben Sie uns eine separate Rechtsgrundlage/Einwilligung; andernfalls werden solche Inhalte umgehend gelöscht bzw. geschwärzt.2.2 Server‑Protokolle (Logs)
- Daten: IP‑Adresse, Datum/Uhrzeit, aufgerufene URL, Referrer, User‑Agent, Statuscode.
- Zweck: Betriebssicherheit, Fehlerdiagnose, Missbrauchsabwehr (WAF/Rate‑Limiting).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Systembetrieb).
2.3 Technisch notwendige Cookies
- Cookies: Sitzungs‑ID (z. B.
OSTSESSID), CSRF‑Token, ggf. Sprache/“angemeldet bleiben”. - Zweck: Login‑Sitzung, Formularschutz, Benutzerführung.
- Rechtsgrundlage: § 25 Abs. 2 TTDSG (unbedingt erforderlich) i. V. m. Art. 6 Abs. 1 lit. f DSGVO.
- Hinweis: Es werden keine Tracking‑/Analyse‑Cookies gesetzt, sofern nicht explizit anders ausgewiesen.
3) Empfänger und Auftragsverarbeiter
Wir setzen Dienstleister (Auftragsverarbeiter) ein, die personenbezogene Daten nach unseren Weisungen verarbeiten. Mit allen bestehen Verträge gemäß Art. 28 DSGVO.
| Kategorie | Zweck | Sitz / Transfer | Vertrag |
|---|---|---|---|
| Hosting/Server | Betrieb des Portals, Logfiles, Backups | [EU/EWR‑Land] | AV‑Vertrag / Standardmaßnahmen |
| E‑Mail/SMTP | Ticket‑Mails, Benachrichtigungen | [EU/EWR/ggf. Drittland] | AV‑Vertrag / SCC bei Drittland |
| Monitoring/WAF/CDN | Verfügbarkeit, Sicherheitsfilter | [EU/EWR/ggf. Drittland] | AV‑Vertrag / SCC bei Drittland |
| Konzerninterne IT‑Services (z. B. Open Medys GmbH) | 2nd‑Level‑Support/Entwicklung | Deutschland/EU | AV‑Vertrag / Konzernvereinbarung. |
Drittlandübermittlungen. Erfolgen Übermittlungen in Staaten ohne Angemessenheitsbeschluss (z. B. USA), erfolgt dies auf Basis der EU‑Standardvertragsklauseln (Art. 46 DSGVO) zzgl. technischer/organisatorischer Zusatzmaßnahmen. Restrisiken (z. B. behördliche Zugriffe) lassen sich dabei nicht vollständig ausschließen.
4) Speicherdauer
- Tickets & Kommunikation: Grundsätzlich bis zu 3 Jahre nach Ticketabschluss (Regelverjährung für Gewährleistungs-/Vertragsansprüche); längere Aufbewahrungen, wenn gesetzlich erforderlich oder zur Geltendmachung/Abwehr von Ansprüchen.
- Server‑Logs: i. d. R. 30 Tage, bei Sicherheitsvorfällen länger bis zur Aufklärung.
- Backups: Rotationsverfahren, üblicherweise 30–60 Tage. Konkrete Fristen können je nach Systemkonfiguration abweichen; maßgeblich sind gesetzliche Aufbewahrungsfristen (z. B. Handels‑/Steuerrecht).
5) Pflicht zur Bereitstellung / Folgen der Nichtbereitstellung
Zur Ticketbearbeitung sind mindestens Kontaktdaten und eine Problembeschreibung erforderlich. Ohne diese Angaben kann kein Support erbracht werden.
6) Ihre Rechte
Sie haben jederzeit Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. e/f (Art. 21 DSGVO). Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).Beschwerderecht: Sie können sich bei einer Datenschutz‑Aufsichtsbehörde beschweren (z. B. an Ihrem Wohnsitz oder am Sitz des Verantwortlichen).
7) Sicherheit
Zugriffe werden per TLS verschlüsselt; es bestehen rollenbasierte Berechtigungen, Need‑to‑know‑Prinzip, Protokollierung, regelmäßige Updates von osTicket/Server, sowie Backup‑/Restore‑Prozesse und verhältnismäßige Zugriffsbeschränkungen.
8) Keine automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung/Profiling i. S. v. Art. 22 DSGVO statt.
9) Änderungen
Wir passen diese Hinweise an, wenn Technik oder Rechtslage es erfordern. Stand: 24.10.2025.