Datenschutzerklärung

Stand 26. Juni 2025 – Version 2.0

1. Verantwortlicher

AJAT GmbH
Geschäftsführer: Ardalan Jahangiri Arfei
Goltsteinstr. 28–30, 50968 Köln, Deutschland
Tel. +49 221 912 46 142 | E‑Mail info@ajat.io

Aktuell ist kein Datenschutzbeauftragter bestellt (§ 38 BDSG: < 20 Personen, keine besonderen Datenkategorien). Die Pflicht wird jährlich geprüft.

2. Grundsätze der Datenverarbeitung

GrundsatzUmsetzung bei AJAT GmbH

Rechtmäßigkeit, TransparenzVerzeichnis der Verarbeitungstätigkeiten; Legitimate‑Interest‑Assessments (LIA)

Zweckbindung, DatenminimierungLogging mit gekürzten IP‑Adressen; Formulare nur Pflichtfelder

SpeicherbegrenzungLösch‑ und Aufbewahrungskonzept nach GoBD und ISO 27001

Integrität, VertraulichkeitZero‑Trust‑Netzwerk, MFA, verschlüsselte Back‑ups

RechenschaftspflichtJährliches DSGVO‑Audit, dokumentierte DPIA‑Prozesse

3. Verarbeitungs­tätigkeiten

Nr.ProzessDatenarten (Beispiele)Empfänger / AuftragsverarbeiterSpeicherdauer

3.1Website‑AufrufIP* (gekürzt), Zeitstempel, URL, User‑AgentHosting‑Provider (Server in der EU)30 Tage

3.2KontaktanfrageName, E‑Mail, Telefon, NachrichtMicrosoft 365 EU (Exchange Online)6 Monate

3.3BewerbungenLebenslauf, Zeugnisseinterne HR‑Suite (On‑Prem)6 Monate / 2 Jahre bei Einwilligung

3.4Newsletter (falls aktiv)E‑Mail, Opt‑In‑LogBrevo EU‑Clusterbis Abmeldung + 3 Jahre

3.5Web‑Analyse (Matomo On‑Prem)gekürzte IP, Ereignisse–13 Monate

* Die IP‑Adresse wird vor Speicherung um das letzte Oktett / IPv6‑Segment gekürzt und ist danach nicht mehr personenbezogen.

4. Cookies und Consent

KategorieName(n)ZweckOpt‑InLaufzeit

EssenziellSERVERID, csrftokenStabilität, SicherheitneinSession / 24 h

Statistik_pk_id, _pk_sesReichweiten­analyse (Matomo)ja13 Monate / 30 Min.

MarketingYSC, VISITOR_INFO1_LIVEYouTube‑EinbettungjaSession / 6 Monate

Einwilligungen werden über „Real Cookie Banner“ protokolliert (Hash‑IP, Zeitstempel) und können jederzeit über den Link „Cookie‑Einstellungen ändern“ widerrufen werden.

5. Rechtsgrundlagen

RechtsgrundlageVorgänge

Art. 6 Abs. 1 a DSGVO, § 25 TDDDGCookies, Newsletter

Art. 6 Abs. 1 b DSGVOVertrag, vorvertragliche Maßnahmen (Kontaktanfragen)

Art. 6 Abs. 1 c DSGVOSteuer‑/Handels­pflichten

Art. 6 Abs. 1 f DSGVOIT‑Sicherheit, Server‑Logs (Legitimate Interest)

6. Drittlandübermittlungen

Beim Einsatz von US‑Diensten (etwa YouTube) erfolgt die Übermittlung auf Basis des EU‑US Data Privacy Frameworks und ergänzend der EU‑Standardvertragsklauseln (2021/914/EU) mit Transfer‑Impact‑Assessment.

7. Betroffenenrechte

Sie können jederzeit

• Auskunft (Art. 15)

• Berichtigung (Art. 16)

• Löschung (Art. 17)

• Einschränkung (Art. 18)

• Datenübertragbarkeit (Art. 20)

• Widerspruch gegen bestimmte Verarbeitungen (Art. 21)

geltend machen sowie erteilte Einwilligungen widerrufen.
Beschwerden richten Sie an die Landesbeauftragte für Datenschutz NRW, Kavalleriestr. 2‑4, 40213 Düsseldorf.

8. Privacy by Design und Default

• STRIDE‑Bedrohungsmodellierung, Code‑Reviews mit SAST/DAST

• Tracking standardmäßig deaktiviert bis zur Einwilligung

• Pseudonymisierung, wo technisch möglich

9. Datenschutz‑Folgenabschätzung

Für risikoreiche Vorgänge (z. B. KI‑Analysen) wird eine DPIA nach CNIL‑Methodik durchgeführt (aktuelle Version: DPIA‑2025‑04, Risikolevel „niedrig“).

​

10. Technische und organisatorische Maßnahmen (TOM)

MaßnahmeBeschreibung

ZugriffskontrolleRBAC, MFA, least‑privilege

VerschlüsselungTLS 1.3 in Transit, AES‑256‑XTS at Rest, Secrets in Vault

Monitoring24 / 7 SIEM (Wazuh), EDR (CrowdStrike)

Patch‑ManagementEndpoint Central; kritische Patches ≤ 72 h

Back‑ups3‑2‑1‑Regel, immutable Storage, Restore‑Tests

Incident‑ResponseNIST 800‑61‑basiertes IR‑Playbook

AwarenessJährliches Schulungsprogramm, quartals­weise Phishing‑Tests

AuditInternes ISO 27001‑ISMS, externes Audit geplant Q4 2025

​

11. Meldung von Datenschutzverletzungen

Erkennung ≤ 15 Min., interne Eskalation ≤ 4 h, Meldung an Aufsichtsbehörde ≤ 72 h, Benachrichtigung Betroffener bei hohem Risiko.

​

12. Angebote für Kinder

Unsere Website richtet sich nicht an Personen unter 16 Jahren; ein Alters‑Gate ist im Kontaktformular implementiert.

​

13. Geltung interner Richtlinien

Diese Erklärung ergänzt interne Policies (Acceptable‑Use, BYOD). Bei Konflikten gilt jeweils die strengere Regelung.

14. Änderungen

Funktions‑ oder Rechtsänderungen können Anpassungen erfordern. Die aktuelle Fassung finden Sie jederzeit unter https://www.ajat.io/Datenschutz. Vorherige Versionen werden versioniert archiviert.

Haftungsausschluss
Diese Erklärung wurde sorgfältig erstellt, ersetzt jedoch keine individuelle Rechtsberatung. Bitte prüfen Sie, ob alle Dienstleister, Löschfristen und Prozesse korrekt abgebildet sind, und passen Sie sie bei künftigen Änderungen an.