Datenschutzerklärung

Stand: 30. Juni 2026 (Fassung 2026-06-30)

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist die im Impressum genannte Dernium GmbH. Anfragen zum Datenschutz beantworten wir direkt unter datenschutz@dernium.de.

2. Grundsätze und Reichweite

Diese Erklärung gilt für alle unter dernium.de und seinen Subdomains erreichbaren Angebote. Wir laden keine Inhalte von Dritt-CDNs nach, binden keine externen Schriftarten ein, betreiben keine Web-Analyse und keine Werbenetzwerke. Plattform-Werkzeuge (Auth, Watch, Mailcheck, Send, Note, Clean, Office, Meet, Scan, Stift) verarbeiten standardmäßig ausschließlich auf von uns beauftragten Servern in Deutschland; eine Übermittlung in Drittländer findet grundsätzlich nicht statt. Bei Dernium Watch erfolgen die Prüfungen Ihrer überwachten Ziele standardmäßig ausschließlich aus Deutschland; internationale Prüf-Standorte werden nur genutzt, wenn Ihre Organisation sie ausdrücklich aktiviert (Opt-in). Eine weitere Ausnahme bildet Dernium Gateway: bei Wahl eines Ausgangs-Standorts außerhalb des EWR (z. B. USA, Singapur) wird Ihr Verkehr über das gewählte Drittland geroutet. Dieser Transit entspricht technisch dem regulären Internet-Verkehr; am Ausgangs-Standort ist systembedingt keine Zuordnung zu einer Person möglich (Multi-Hop). Einzelheiten und die dort geltenden Garantien finden Sie in Abschnitt 9.

Auf einzelnen Werkzeug-Subdomains (insbesondere office.dernium.de und meet.dernium.de) setzen wir Open-Source-Software ein - konkret CryptPad und OnlyOffice für das kollaborative Office sowie Element Call und Matrix (quelloffener Server continuwuity) für Videokonferenzen -, die wir selbst auf unserer Infrastruktur in Deutschland betreiben. Diese Komponenten können im Rahmen ihrer Funktion eigene, technisch notwendige Cookies oder lokale Speicherwerte in Ihrem Browser anlegen. Es findet auch in diesen Fällen keine Übermittlung an externe Anbieter statt; der gesamte Datenverkehr verbleibt in unserer Infrastruktur.

3. Verarbeitung beim bloßen Aufruf der Website

Bei jedem Aufruf erhebt unser Server technisch notwendige Daten: IP-Adresse, Datum und Uhrzeit der Anfrage, angeforderte URL, HTTP-Statuscode, übertragene Datenmenge, User-Agent-Header und ggf. Referer. Diese Daten werden maximal 14 Tage in zentralen Logs vorgehalten und danach automatisch gelöscht. Sie dienen ausschließlich dem sicheren und stabilen Betrieb der Website. Eine Zusammenführung mit anderen Datenquellen oder Analyse zu Marketing- oder Werbezwecken findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse ist der sichere und stabile Betrieb der Website sowie die Erkennung und Abwehr von Angriffen.

4. Cookies - und warum es bei uns kein Cookie-Banner gibt

Konkret nutzen wir folgende technisch notwendigen Cookies:

NameZweckSpeicherdauer
dernium_sessionSitzungbis zu 8 Stunden bzw. bis Abmeldung, automatisch bis zu 30 Tage Gesamtdauer verlängert bei aktiver Nutzung
dernium_login_nextZiel-URL nach Login10 Minuten

Alle Cookies sind HttpOnly, Secure und SameSite=Lax markiert. Sie können Cookies in Ihrem Browser jederzeit löschen; die geschützten Werkzeuge sind dann ohne erneute Anmeldung nicht erreichbar.

Daneben legen wir vereinzelt lokale Einträge (wie dernium-theme) im localStorage Ihres Browsers an, sobald Sie die Hell-/Dunkel-Darstellung manuell umstellen. Das ist kein Cookie; der Wert verbleibt ausschließlich lokal auf Ihrem Gerät und wird nie an unsere Server übertragen. Er dient allein dazu, Ihre Anzeigepräferenz beim nächsten Besuch wiederherzustellen, und ist als technisch notwendige Speicherung nach § 25 Abs. 2 Nr. 2 TDDDG ebenfalls einwilligungsfrei. Sie können ihn jederzeit über die Browser-Einstellungen löschen.

Daneben nutzen wir den sitzungsgebundenen Speicher (sessionStorage) Ihres Browsers ausschließlich für technische Steuerungswerte innerhalb einer einzelnen Sitzung, die keine personenbezogenen Daten enthalten (etwa einen Zeitstempel, um Doppel-Klicks bei der Anmeldung zu vermeiden). Diese Werte werden mit dem Schließen des Browser-Tabs verworfen und sind nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei.

5. Konto und Authentifizierung

Wenn Sie bei uns ein Konto anlegen oder sich anmelden, verarbeiten wir die zur Identitätsfeststellung notwendigen Daten:

  • E-Mail-Adresse (Pflicht; eindeutige Kennung des Kontos)
  • Authentifizierungsmittel: gehashtes Passwort, registrierte Passkeys (WebAuthn-Credentials), TOTP-Secret in verschlüsselter Form, Magic-Link-Token
  • Sitzungs-Metadaten: IP-Adresse und User-Agent zum Zeitpunkt der Anmeldung, Zeitstempel der Mehrfaktor-Verifizierung
  • Anmeldeversuche und Magic-Link-Anforderungen (mit IP) zur Missbrauchs- und Brute-Force-Erkennung; automatische Löschung nach 14 Tagen
  • Optional: Zugehörigkeit zu einer Organisation Ihres Arbeitgebers (nur bei an Organisationen gebundenen Nutzerkonten)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Authentifizierung). Die Bereitstellung der E-Mail-Adresse und mindestens eines Authentifizierungsmittels ist für den Vertragsschluss erforderlich; ohne diese Angaben können wir kein Konto einrichten. Stamm-Kontodaten bleiben für die Dauer des Vertragsverhältnisses gespeichert und werden mit Vertragsende oder Konto-Löschung unverzüglich gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Widerrufsbutton (§ 356a BGB). Wenn Sie das Widerrufsformular unter /widerrufen nutzen, verarbeiten wir die eingegebene E-Mail-Adresse zum Abgleich mit vorhandenen Nutzerkonten (Existenzprüfung; die Adresse wird dabei nicht dauerhaft gespeichert) sowie Ihre IP-Adresse zur Missbrauchsabwehr (Rate-Limiting, Speicherung max. 14 Tage). Besteht zur eingegebenen Adresse ein Konto, stellen wir eine Eingangsbestätigung nach § 356a Abs. 4 BGB zu; eine interne Benachrichtigung an unseren Betrieb erfolgt in jedem Fall. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht aus § 356a BGB) sowie lit. f DSGVO (berechtigtes Interesse an der Missbrauchsabwehr).

6. Inhaltsdaten der Werkzeuge

Die Dernium-Werkzeuge verarbeiten von Ihnen eingestellte Inhalte (Dokumente, Notizen, Office-Pads, geteilte Dateien, Termine, Konferenzräume usw.) ausschließlich zum Zweck der Bereitstellung der jeweils gebuchten Funktion. Wo technisch möglich werden Inhalte Ende-zu-Ende-verschlüsselt im Browser des Endnutzers; in diesen Fällen liegt uns kein Klartext vor. Eine Auswertung Ihrer Inhalte zu eigenen Zwecken (Werbung, Profilbildung, KI-Training) findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Die genauen Verarbeitungs-Modalitäten je Werkzeug werden im individuellen Beratungs- und Angebotsprozess geregelt; bei der Verarbeitung im Auftrag des Kunden schließen wir mit diesem eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO.

Für die im Free-Tier nutzbaren Werkzeuge gilt: Bei den Ende-zu-Ende-verschlüsselten Werkzeugen (insbesondere Note, Send, Stift sowie das Office) liegen uns keine Klartext-Inhalte vor. Inhaltsdaten werden ausschließlich zur Bereitstellung der jeweiligen Funktion verarbeitet und mit der Löschung Ihres Kontos unverzüglich und vollständig entfernt (siehe § 7 der Free-Tier-Nutzungsbedingungen).

Sicherheits-Protokollierung bei Dernium Desk. Bei den virtuellen Arbeitsplätzen protokollieren wir Metadaten zu Datentransfers an der Grenze der virtuellen Maschine (Zwischenablage hinein und heraus, Datei-Upload): Art des Vorgangs, Zeitstempel, Bytegröße, MIME-Typ und Dateiname. Nicht protokolliert werden der Inhalt dieser Transfers sowie die in der virtuellen Maschine aufgerufenen Webseiten oder DNS-Anfragen. Diese Protokolle dienen der Nachvollziehbarkeit von Datenflüssen und der Abwehr von Missbrauch (Art. 32 DSGVO) und werden nach 90 Tagen automatisch und vollständig gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Nachvollziehbarkeit); erfolgt die Bereitstellung im Auftrag des Kunden, ist die Verarbeitung Teil der Auftragsverarbeitung nach Art. 28 DSGVO.

Verbindungs- und Konferenz-Metadaten bei Dernium Meet. Die Videokonferenzen sind Frame-Ende-zu-Ende-verschlüsselt; Audio-, Video- und Chat-Inhalte liegen uns zu keinem Zeitpunkt im Klartext vor und werden nicht aufgezeichnet. Für den Betrieb technisch notwendig ist hingegen, dass unser Matrix-Server (die quelloffene Software continuwuity) bestimmte Signaling-Metadaten vorhält: eine aus Ihrem Dernium-Konto abgeleitete Kennung, Ihren Anzeigenamen sowie die Zuordnung, welchen Konferenzräumen Sie beigetreten sind. Diese Metadaten sind kein Konferenz-Inhalt. Bei Löschung Ihres Dernium-Kontos wird das zugehörige Konferenz-Konto deaktiviert und gelöscht (Art. 17 DSGVO); auf Auskunftsverlangen geben wir die zu Ihnen vorhandenen Konferenz-Metadaten heraus (Art. 15 DSGVO). Über die kontobezogene Löschung hinaus wird der Bestand an Konferenz-Metadaten in regelmäßigen Wartungszyklen vollständig zurückgesetzt; eine dauerhafte Speicherung beendeter Konferenzräume findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gebuchten Konferenzfunktion); bei Bereitstellung im Auftrag des Kunden Teil der Auftragsverarbeitung nach Art. 28 DSGVO.

7. Kontakt- und Beratungsanfragen

Wenn Sie uns per E-Mail oder Kontaktformular kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten (z.B. Name, E-Mail, Organisation, Inhalt der Anfrage) zur Bearbeitung Ihres Anliegens.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung oder Durchführung eines Vertragsverhältnisses) bzw. lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage). Die Daten werden nach Abschluss der Korrespondenz gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (insbesondere § 257 HGB, § 147 AO).

8. Inhalts-Meldungen (DSA, Kinderschutz)

Über das Meldeformular unter /report können rechtswidrige Inhalte gemeldet werden. Zur Bearbeitung verarbeiten wir die gemeldeten Angaben sowie zur Missbrauchsabwehr die IP-Adresse des Meldenden für maximal 14 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 16 DSA.

9. Dernium Gateway (anonymisierender Internetzugang)

Dernium Gateway transportiert Ihren Internet-Verkehr als verschlüsselten WireGuard-Tunnel von Ihrem Endgerät über einen deutschen Einstiegs-Server zu einem von Ihnen gewählten Ausgangs-Standort. Es handelt sich um einen öffentlich zugänglichen Telekommunikationsdienst (Internetzugangsdienst) im Sinne des § 3 TKG. Durch die Multi-Hop-Konstruktion sieht der gewählte Ausgangs-Standort nur einen Dernium-Server, niemals Ihre Nutzer; eine Zuordnung des Verkehrs zu einer Person ist dort nicht möglich (Einzelheiten weiter unten).

Welche Daten wir verarbeiten

  • Profil-Identifikation: öffentlicher WireGuard-Schlüssel Ihres Geräts (Pseudonym, kein Personenbezug) und die von uns vergebene Peer-IP-Adresse im internen Tunnel-Netz. Der private Schlüssel verlässt Ihr Gerät niemals.
  • Verbindungs-Metadaten: Zeitpunkt des letzten erfolgreichen Handshakes pro Profil (zur Anzeige des Online-Status), aggregierte Traffic-Mengen pro Standort und Abrechnungs-Zeitraum.
  • Aktiver Ausgangs-Standort: welcher von Ihrem Customer-Admin freigegebenen Standorten gerade für ein Profil aktiv ist.

Was wir nicht verarbeiten

  • Keine Vorratsdatenspeicherung: Eine Liste, wer wann was abgerufen hat, führen wir nicht. Keine Aufzeichnung der durch den Tunnel laufenden DNS-Abfragen, keine Sitzungs-Protokolle, keine Standort-Profile.
  • Keine Inhalts-Sicht: Wir installieren kein eigenes Zertifikat auf Ihren Geräten, das uns das Mitlesen verschlüsselter Webseiten erlauben würde (kein TLS-Eingriff, kein Root-Zertifikat in Ihrem Browser). Wir beobachten nicht, welche Domains Sie aufrufen (kein SNI-Mitschnitt). Wir öffnen keine Datenpakete für inhaltliche Analyse (kein Deep Packet Inspection).
  • Kein KI-Training: Verkehrsdaten werden nicht zum Training oder zur Verbesserung von Modellen Künstlicher Intelligenz verwendet.

Rechtsgrundlage und Speicherdauer

Verarbeitung erfolgt auf Grundlage des Vertrags mit Ihrer Organisation (Art. 6 Abs. 1 lit. b DSGVO). Profil-Datensätze werden 30 Tage nach Kündigung des Vertrags oder Widerruf eines einzelnen Profils gelöscht; aggregierte Traffic-Mengen pro Abrechnungs-Zeitraum für die Dauer handelsrechtlicher Aufbewahrungsfristen.

Standorte und Drittlandtransfer

Die zentrale Steuerung (Profile-Verwaltung, Tunnel-Reconciler, Abrechnung) läuft ausschließlich auf Servern in Deutschland. Die Ausgangs-Server für den Internet-Tunnel können auf Wunsch Ihrer Organisation jedoch in anderen Ländern stehen - das ist der Sinn eines anonymisierenden Internetzugangs mit Standortwahl. Welche Standorte für Ihre Organisation freigeschaltet werden, vereinbaren wir individuell; der Customer-Admin entscheidet, welche dieser Standorte einzelne Profile auswählen dürfen. Dernium Gateway ist als Multi-Hop-System aufgebaut: der Ausgangs-Server sieht als Quelle ausschließlich einen Dernium-Server, niemals die IP-Adresse Ihrer Organisation oder Ihrer Nutzer, und kann die transportierten Inhalte nicht einsehen. Eine Zuordnung des durchgeleiteten Verkehrs zu einer Person ist am Ausgangs-Standort daher nicht möglich; technisch entspricht der Vorgang regulärem Internet-Verkehr. Darin liegt nach unserer Rechtsauffassung keine für Kapitel V der DSGVO maßgebliche Offenlegung personenbezogener Daten durch uns.

Soweit bei Wahl eines Ausgangs-Standorts außerhalb des EWR gleichwohl ein Drittlandbezug entsteht, wird dieser Standort über unseren in Deutschland ansässigen Auftragsverarbeiter (Hetzner Online GmbH) und dessen ausländische Subunternehmer betrieben; die zentrale Steuerung bleibt in Deutschland. Die ausländischen Ausgangs-Server sehen dabei ausschließlich verschlüsselten Verkehr und können dessen Inhalt nicht entschlüsseln. Die Auswahl eines solchen Standorts trifft Ihre Organisation bewusst; für die Verarbeitung dort gelten die im Auftragsverarbeitungsvertrag von Hetzner nach Art. 44 ff. DSGVO vorgesehenen Garantien. Als technische Zusatzmaßnahme wirkt die durchgehende Verschlüsselung des Tunnels, deren Schlüssel ausschließlich auf Ihrem Endgerät und in unserer Kontrolle liegen.

Upstream-Provider (optional)

Auf Wunsch Ihrer Organisation lässt sich ein zusätzlicher Upstream-Provider vor den Internet-Ausgang schalten (zum Beispiel Residential-Proxy-Anbieter oder ein weiterer VPN-Provider). Die Anbieter-Auswahl und der Vertrag liegen bei Ihrer Organisation, wir reichen den Verkehr nur durch. Im Subprozessoren-Register führen wir den jeweils aktiven Upstream-Provider auf Anfrage Ihrer Organisation nach.

Behördliche Anfragen (Verkehrsdaten-Erhebung nach § 100g StPO)

Bei einer richterlichen Anordnung gegen ein konkretes Profil können wir gesetzlich verpflichtet sein, die Verbindungs-Metadaten genau dieses einen Profils ab dem Zeitpunkt der Anordnung befristet aufzuzeichnen (Quick-Freeze). Rechtsgrundlage für die Erhebung von Verkehrsdaten ist insbesondere § 100g StPO. Eine rückwirkende Auskunft ist nicht möglich, da die entsprechenden Daten zuvor nicht gespeichert wurden. Inhaltsdaten sind hiervon nicht betroffen - wir sehen weiterhin nicht, was durch den Tunnel geht. Wir informieren die betroffene Organisation über solche Maßnahmen, soweit das gesetzlich erlaubt ist.

10. Auftragsverarbeiter und Empfänger

Die folgenden Dienstleister verarbeiten in unserem Auftrag personenbezogene Daten auf Grundlage einer Vereinbarung nach Art. 28 DSGVO:

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen (DE) - Hosting der zentralen Server, auf denen unsere Anwendungen, Datenbanken und Logs betrieben werden.
  • Hetzner Online GmbH (Cloud-Server für Dernium Gateway; AV-Vertrag bestehend) - Hosting kurzlebiger Cloud-Server in deutschen und internationalen Standorten (Frankfurt, Helsinki, Ashburn/USA, Singapur). Die EWR-externen Standorte werden über Subunternehmer der Hetzner Online GmbH betrieben, ausschließlich für Dernium Gateway als Ausgangs-Standorte des Internet-Tunnels eingesetzt und nur auf individuelle Vereinbarung mit der Customer-Organisation freigeschaltet (siehe Ziffer 9).
  • netcup GmbH, Emmy-Noether-Str. 10, 76131 Karlsruhe (DE) - Hosting weiterer Server, u.a. eines eigenen Mailservers; den Mailversand betreiben wir hierauf in Eigenregie, nicht über einen Drittanbieter.
  • IONOS SE, Elgendorfer Str. 57, 56410 Montabaur (DE) - Hosting weiterer Server, ausschließlich in deutschen Rechenzentren.
  • INWX GmbH, Prinzessinnenstr. 30, 10969 Berlin (DE) - Domain-Registrar und DNS-Verwaltung.
  • Optional bei Dernium Gateway: Upstream-Proxy-Anbieter nach individueller Vereinbarung mit der Customer-Organisation. Aktuelle Liste auf Anfrage unter datenschutz@dernium.de.

Eine Übermittlung an weitere Empfänger (insbesondere zu Werbe- oder Analysezwecken) findet nicht statt. Für die Plattform-Werkzeuge findet keine Drittlandübermittlung statt. Zum Gateway-Transit über Ausgangs-Standorte außerhalb des EWR und den dort geltenden Garantien siehe Ziffer 9.

Interne Zugriffe. Auf Kontodaten (E-Mail-Adresse, Kontozustand, Organisationszugehörigkeit) kann der Plattformbetrieb (Geschäftsführung) im Rahmen von Support, Missbrauchsbearbeitung und zur Erfüllung gesetzlicher Pflichten zugreifen; in eng begrenzten Support-Fällen kann dies auch ein Agieren im Kontext Ihres Kontos umfassen. Solche Zugriffe erfolgen nach dem Grundsatz der Erforderlichkeit und werden in einem internen Audit-Log protokolliert (Aufbewahrung 12 Monate). Eine Weitergabe an Dritte findet dabei nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

Protokollierung administrativer Aktionen. Innerhalb Ihrer Organisation vorgenommene administrative Aktionen (etwa Rollen- und Rechteänderungen, das Anlegen, Deaktivieren oder Anonymisieren von Nutzerkonten sowie Freigaben einzelner Dienste) zeichnen wir in einem manipulationssicheren Protokoll auf. Erfasst werden die Kennung des handelnden und des betroffenen Kontos, die Art der Aktion und der Zeitpunkt, nicht jedoch inhaltliche Daten. Zweck ist allein die Sicherheit der Plattform, die Nachvollziehbarkeit von Berechtigungen und die Aufklärung eines etwaigen Missbrauchs administrativer Rechte. Eine Auswertung zur Verhaltens- oder Leistungskontrolle von Beschäftigten findet nicht statt; das Protokoll ist hierfür weder bestimmt noch geeignet. Eine Einsichtnahme erfolgt nur unter engen Voraussetzungen und im erforderlichen Umfang, insbesondere zur Untersuchung eines konkreten Verdachts auf Rechtemissbrauch. Die Aufbewahrung ist auf 12 Monate begrenzt; soweit gesetzliche Nachweispflichten bestehen (etwa nach dem Digital Services Act), gilt eine Frist von 36 Monaten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Rechenschaft), bei gesetzlich vorgeschriebener Protokollierung Art. 6 Abs. 1 lit. c DSGVO.

11. Keine automatisierten Entscheidungen, kein Profiling, kein KI-Training

Wir treffen keine auf einer automatisierten Verarbeitung beruhenden Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen (Art. 22 Abs. 1 DSGVO). Wir betreiben kein Profiling im Sinne des Art. 4 Nr. 4 DSGVO. Ihre personenbezogenen Daten und Inhalte werden nicht zum Training oder zur Verbesserung von Modellen Künstlicher Intelligenz verwendet, weder von uns selbst noch durch Weitergabe an Dritte.

12. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO). Soweit eine Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Wenden Sie sich zur Ausübung dieser Rechte jederzeit formlos an datenschutz@dernium.de. Unabhängig davon haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns örtlich zuständig ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34, 55116 Mainz
Telefon +49 6131 8920-0, poststelle@datenschutz.rlp.de
www.datenschutz.rlp.de

Sie können sich auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsortes oder Ihres Arbeitsplatzes wenden.

13. Änderungen dieser Erklärung

Diese Erklärung wird bei Änderungen der zugrundeliegenden Verarbeitungen aktualisiert. Es gilt jeweils die zum Zeitpunkt des Aufrufs auf dieser Seite veröffentlichte Fassung. Bei wesentlichen Änderungen mit Auswirkung auf bestehende Nutzer (insbesondere neue Verarbeitungszwecke, neue Empfänger-Kategorien oder verlängerte Speicherdauern) werden registrierte Nutzer zusätzlich per E-Mail an die im Konto hinterlegte Adresse informiert.

In Klartext - was bedeutet das konkret für mich?

Hier die häufigsten Nutzer-Fragen mit knappen Antworten.

Werden meine Daten ins Ausland übertragen?
Für alle Werkzeuge außer Dernium Gateway: nein. Die Verarbeitung findet auf Servern in Deutschland statt; keine Drittland-Übertragung, kein US-CLOUD-Act-Zugriff auf Ihre Daten. Dernium Gateway transportiert Ihren Verkehr optional über von Ihnen gewählte Ausgangs-Standorte, die auch außerhalb des EWR liegen können (z. B. USA, Singapur). Eine Zuordnung zu einer Person ist am Ausgangs-Standort nicht möglich: der Ausgangs-Server sieht systembedingt (Multi-Hop) nie Ihre IP-Adresse und keine Inhalte. Details siehe Abschnitt 9.
Wer ist mein Vertragspartner für Auftragsverarbeitung (AVV)?
Dernium GmbH. Eine Auftragsverarbeitungs-Vereinbarung nach Art. 28 DSGVO erhalten Sie auf Anfrage.
Werden meine Inhalte gescannt oder ausgewertet?
Bei Note und Send sind die Inhalte Ende-zu-Ende-verschlüsselt; der Klartext erreicht unsere Server nicht. Für die anderen Werkzeuge werden nur die für den Betrieb nötigen Metadaten gespeichert (siehe Abschnitt 5 oben), kein Profiling, kein Tracking, keine Werbe-Auswertung.
Wie übe ich mein Auskunfts- und Löschrecht aus?
Schriftlich (E-Mail genügt) an datenschutz@dernium.de. Wir antworten innerhalb der gesetzlichen Frist von einem Monat.
Was passiert mit meinen Daten beim Vertragsende?
Mit Vertragsende oder Konto-Löschung werden produktive Inhalts- und Kontodaten datenschutzkonform unverzüglich aus den Systemen entfernt. Sichern Sie wichtige Inhalte deshalb vor der Löschung über die Export-Funktionen der jeweiligen Werkzeuge. Compliance-relevante Logs (Audit-Trail, Anmelde-Historie, Moderations-Entscheidungen nach DSA Art. 17/18) bleiben gemäß gesetzlicher Aufbewahrungsfrist erhalten und werden nach Ablauf automatisch gelöscht.
Setzt Dernium Cookies oder Tracking?
Nur technisch notwendige Cookies. Kein Analytics, kein Tracking-Drittanbieter.