Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Abs. 7 der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze ist:

Die Bestellung eines Datenschutzbeauftragten ist für den Anbieter gemäß § 38 BDSG derzeit nicht verpflichtend. Als freiwillige Anlaufstelle für alle Datenschutzanliegen betreiben wir die oben genannte Datenschutz-Kontaktstelle.

2. Begriffsbestimmungen

Diese Datenschutzerklärung verwendet Begriffe im Sinne des Art. 4 DSGVO. Zur besseren Lesbarkeit werden folgende Rollen in Pack2B unterschieden:

„Anbieter“ bezeichnet Christoph Konersmann als Betreiber der Plattform Pack2B. Der Anbieter ist Verantwortlicher für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Plattform (Nutzerkonten, Abonnement, Abrechnung) sowie für die eigene Geschäftskommunikation.

„Mandant“ bezeichnet ein Umzugsunternehmen, das Pack2B auf Grundlage eines Abonnements als Software-as-a-Service nutzt. Mandanten sind für die Verarbeitung der Daten ihrer eigenen Kunden (Endkunden) Verantwortliche im Sinne der DSGVO; der Anbieter ist insoweit Auftragsverarbeiter nach Art. 28 DSGVO.

„Endkunde“ bezeichnet eine natürliche oder juristische Person, die Kundin eines Mandanten ist (typischerweise eine umziehende Person oder ein Unternehmen). Daten von Endkunden werden vom Anbieter ausschließlich im Auftrag und auf Weisung des jeweiligen Mandanten verarbeitet.

3. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit den geltenden datenschutzrechtlichen Bestimmungen, insbesondere der DSGVO und dem Bundesdatenschutzgesetz (BDSG).

Die Verarbeitung erfolgt nach den Grundsätzen des Art. 5 DSGVO:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz
• Zweckbindung — Erhebung nur für festgelegte, eindeutige und legitime Zwecke
• Datenminimierung — auf das für den jeweiligen Zweck notwendige Maß beschränkt
• Richtigkeit — unrichtige Daten werden berichtigt oder gelöscht
• Speicherbegrenzung — keine Speicherung länger als erforderlich
• Integrität und Vertraulichkeit — angemessene technische und organisatorische Maßnahmen (TOM)

Rechtsgrundlagen der Verarbeitung sind regelmäßig Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, z. B. an Logs, Missbrauchserkennung und effizienter Bearbeitung), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, sofern erforderlich) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtungen, insbesondere steuer- und handelsrechtliche Aufbewahrungspflichten). Die Verarbeitung von Endkundendaten erfolgt zusätzlich auf Grundlage des Art. 28 DSGVO (Auftragsverarbeitung).

4. Hosting und Infrastruktur (Hetzner Online GmbH)

Pack2B wird vollständig auf Servern der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland, betrieben. Die Rechenzentren befinden sich in Falkenstein und Nürnberg (Deutschland, EU). Es erfolgt keine Datenübertragung in ein Drittland im Rahmen des Hostings.

Hetzner stellt die Server, Datenbanken, Objektspeicher (S3-kompatibel) sowie den auf einem Hetzner-Server betriebenen Mailserver (Mailcow, für Transaktions-E-Mails) bereit. Mailcow wird durch den Anbieter selbst betrieben; hierzu ist keine eigenständige Rechtspartei beteiligt.

Verarbeitet werden alle im Rahmen der Plattform-Nutzung anfallenden Daten: Kontodaten, Mandanten- und Endkundendaten, Dokumente, E-Mails und Logdateien.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Plattformbetrieb). Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Auftragsverarbeitungsvertrag: Hetzner Online GmbH — AVV und Datenschutz

5. Zahlungsabwicklung (Stripe Payments Europe Ltd.)

Zahlungen im Rahmen des Pack2B-Abonnements werden über die Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (SPEL) abgewickelt. SPEL ist EU-Vertragspartner für den gesamten Zahlungsverkehr innerhalb des Europäischen Wirtschaftsraums; ein direkter Drittlandtransfer in die USA findet im Standard-Prozess nicht statt.

Verarbeitet werden Name, E-Mail-Adresse, Rechnungsanschrift, Zahlungsmethode (SEPA-Lastschrift oder Kreditkarte) sowie Zahlungshistorie des Mandanten. Bei Kartenzahlungen werden vollständige Kartendaten direkt an Stripe übermittelt und nicht auf den Servern des Anbieters gespeichert (PCI-DSS-konformer Ablauf).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrugsprävention).

Mit Stripe besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, der automatisch über das Stripe Services Agreement Bestandteil des Vertragsverhältnisses wird.

Auftragsverarbeitungsvertrag: Stripe Data Processing Agreement

6. KI-gestützte Verarbeitung (AWS Bedrock EU)

Pack2B bietet Mandanten optional KI-gestützte Funktionen, etwa die Extraktion strukturierter Daten aus Dokumenten, Vorschläge für Anschreiben oder Zusammenfassungen von Vorgängen. Der KI-Einsatz ist rechtlich besonders sensibel; wir legen daher die Verarbeitung im Folgenden ausführlich offen.

Kein KI-Einsatz erfolgt ohne ausdrückliche Opt-In-Entscheidung des jeweiligen Mandanten. Ohne aktives Opt-In werden keinerlei Daten an einen KI-Dienst übertragen.

6.1 Anbieter und Modell

Standard-Anbieter für KI-Inferenz ist Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg, über den Dienst Amazon Bedrock in der Region eu-central-1 (Frankfurt am Main, Deutschland). Eingesetzt wird derzeit das Modell Amazon Nova Lite; ein Wechsel auf Anthropic Claude Haiku 4.5 (ebenfalls über Bedrock in eu-central-1) ist vorbereitet, sobald die Freischaltung durch AWS erfolgt ist.

OpenRouter, Inc. ist seit dem Sprint AI-EU-1 (17. April 2026) ausdrücklich nicht mehr Standard-Sub-Processor. Eine Nutzung erfolgt nur auf ausdrücklichen Wunsch von Mandanten, die eine eigene Bring-Your-Own-AI-Konfiguration (BYOAI) einrichten und den Kontakt zum jeweiligen Anbieter selbst verantworten.

6.2 Opt-In über das Add-On „ai_assistant“

Die KI-Funktionen sind an das kostenpflichtige Add-On „ai_assistant“ gekoppelt. Mandanten, die dieses Add-On nicht gebucht haben, nutzen Pack2B rein manuell; personenbezogene Daten verlassen die Plattform in diesem Fall nicht in Richtung eines KI-Dienstes.

Mandanten können das Add-On jederzeit im Portal zubuchen oder kündigen. Die Buchung stellt die Auftragsgrundlage nach Art. 28 DSGVO für die KI-gestützte Verarbeitung der Endkundendaten dar.

6.3 Pseudonymisierung vor jedem API-Call

Vor jeder Anfrage an AWS Bedrock durchläuft der Prompt eine automatische Pseudonymisierungs-Pipeline. Direkt identifizierende Daten — insbesondere Namen, E-Mail-Adressen, Telefonnummern, Post- und Lieferadressen sowie Bankverbindungen (IBAN) — werden durch nummerierte Platzhalter ersetzt.

Der KI-Dienst erhält nur die pseudonymisierte Fassung des Prompts. Die Zuordnungstabelle (Platzhalter zu Klartext) verbleibt ausschließlich auf den Pack2B-Servern in Deutschland und wird nach Rehydrierung der Antwort unverzüglich verworfen.

Die Pseudonymisierung ist eine technische Maßnahme im Sinne des Art. 32 Abs. 1 lit. a DSGVO. Sie ersetzt die Anonymisierung nicht vollständig, reduziert aber das Risiko für Betroffene deutlich, da im KI-Kontext kein Personenbezug mehr offen zutage tritt.

Beispiel: E-Mail-Adresse → [EMAIL_1], Name → [NAME_1], Telefonnummer → [PHONE_1]

6.4 Hallucination-Guard

KI-Modelle können sogenannte Halluzinationen erzeugen — etwa erfundene Platzhalter, die im Original-Prompt nicht vorkamen. Solche Halluzinationen könnten nach Rehydrierung zu fehlerhaften Datenzuordnungen führen.

Pack2B filtert daher jede KI-Antwort durch einen Hallucination-Guard: Platzhalter, die nicht in der zuvor aufgebauten Zuordnungstabelle enthalten waren, werden entweder entfernt oder markiert, bevor die Antwort dem Mandanten angezeigt wird.

6.5 Kein Training mit Kundendaten

AWS Bedrock verarbeitet Inhalte ausschließlich zur Beantwortung der jeweiligen Anfrage. Eine Verwendung zum Training oder zur Verbesserung von KI-Modellen ist durch die AWS Service Terms und das AWS GDPR Data Processing Addendum vertraglich ausgeschlossen. Prompts und Responses werden nach der Verarbeitung nicht dauerhaft beim Anbieter gespeichert.

6.6 EU-Datenresidenz

Sämtliche KI-Anfragen werden ausschließlich in der AWS-Region eu-central-1 (Frankfurt am Main, Deutschland) verarbeitet. Eine Weiterleitung in Drittländer außerhalb des Europäischen Wirtschaftsraums findet nicht statt. Die EU-Vertragspartei ist die AWS EMEA SARL mit Sitz in Luxemburg.

6.7 Keine automatisierte Einzelentscheidung (Art. 22 DSGVO)

Die Ergebnisse der KI-Verarbeitung stellen ausschließlich Vorschläge zur Unterstützung der Mandanten-Mitarbeiter dar. Rechtliche oder erhebliche wirtschaftliche Entscheidungen gegenüber Endkunden (insbesondere Angebotserstellung, Auftragsannahme oder Rechnungsstellung) erfordern stets eine manuelle Bestätigung durch einen Mitarbeiter des Mandanten.

Eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung im Sinne des Art. 22 Abs. 1 DSGVO findet in Pack2B nicht statt.

6.8 Transparenz (Art. 50 EU AI Act)

KI-Interaktionen sind in der Benutzeroberfläche von Pack2B ausdrücklich gekennzeichnet, etwa durch Aktionen wie „KI-Extraktion“ oder „KI-Vorschlag“. Ein verdeckter KI-Einsatz findet nicht statt.

6.9 Widerspruchs- und Wechselmöglichkeit

Mandanten können der KI-Verarbeitung jederzeit widersprechen, indem sie das Add-On „ai_assistant“ im Portal kündigen oder auf die BYOAI-Konfiguration mit einem eigenen KI-Anbieter wechseln. Nach Deaktivierung werden keine weiteren Daten an einen KI-Dienst übermittelt; laufende Vorgänge bleiben manuell bearbeitbar.

Auftragsverarbeitungsvertrag: AWS Service Terms und GDPR Data Processing Addendum

7. DNS, CDN und Bot-Schutz (Cloudflare, Inc.)

Für DNS-Auflösung, TLS-Terminierung am Edge, DDoS-Abwehr und Bot-Schutz sowie für die Auslieferung mandantenspezifischer Subdomains (SSL for SaaS Custom Hostnames) nutzen wir Dienste der Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA.

Cloudflare verarbeitet hierbei Metadaten des HTTP-Zugriffs, insbesondere IP-Adresse, User-Agent, Request-Pfad und Zeitstempel. Die Verarbeitung ist technisch erforderlich, damit Pack2B unter pack2b.de und den Mandanten-Subdomains erreichbar bleibt und nicht durch Angriffe überlastet wird.

Ein Drittlandtransfer in die USA ist möglich. Cloudflare ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend haben wir mit Cloudflare die EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) in der Fassung des Beschlusses (EU) 2021/914 abgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, verfügbaren und performanten Erreichbarkeit der Plattform).

Auftragsverarbeitungsvertrag: Cloudflare Customer Data Processing Addendum (DPA)

8. Cookies und Webanalyse

Pack2B setzt ausschließlich technisch notwendige Cookies ein. Es werden keine Marketing-, Werbe- oder Cross-Site-Tracking-Cookies verwendet und keine Drittanbieter-Tags eingebunden (z. B. kein Google Analytics, kein Facebook Pixel, kein LinkedIn Insight Tag).

Für die aggregierte Reichweitenmessung setzen wir ergänzend eine selbst betriebene Matomo-Instanz ein; Details siehe Abschnitt 8.2.

8.1 Technisch notwendige Cookies

• pack2b_session: verschlüsselter Session-Token für die Authentifizierung; wird beim Schließen des Browsers oder nach Ablauf der Sitzungszeit gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TTDSG.
• pack2b_csrf: Schutz vor Cross-Site-Request-Forgery; erforderlich für die sichere Verarbeitung von Formularen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 Nr. 2 TTDSG.
• pack2b_cookie_consent: speichert die Entscheidung zum Cookie-Hinweis; wird im localStorage abgelegt und nicht an den Server übertragen.

Für diese technisch notwendigen Cookies ist gemäß § 25 Abs. 2 Nr. 2 TTDSG keine Einwilligung erforderlich, da sie für die Bereitstellung des vom Nutzer angeforderten Dienstes unbedingt notwendig sind.

8.2 Webanalyse mit Matomo (Self-Hosted)

Zur statistischen Auswertung der Website-Nutzung verwenden wir Matomo Analytics in einer selbst betriebenen Instanz auf Hetzner-Servern in Deutschland. Es findet keine Datenübertragung an Dritte statt.

Matomo wird im cookie-losen Modus mit IP-Anonymisierung betrieben: die letzten zwei Oktette der IP-Adresse werden vor der Speicherung auf 0 gesetzt. Eine Identifizierung einzelner Besucher ist dadurch nicht möglich. Die aggregierten Daten werden höchstens 26 Monate aufbewahrt und anschließend automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der statistischen Auswertung und Verbesserung des Angebots). Sie können der Webanalyse jederzeit über den folgenden Schalter widersprechen; die Einstellung wird im localStorage Ihres Browsers gespeichert und gilt nur für dieses Gerät.

9. Server-Logs und Protokolldaten

Beim Abruf der Website und der Plattform werden automatisch Protokolldaten erfasst. Gespeichert werden insbesondere:

• IP-Adresse des anfragenden Systems
• Datum und Uhrzeit des Zugriffs
• abgerufene Ressource (URL / API-Endpunkt)
• HTTP-Status und übertragene Datenmenge
• User-Agent (Browser und Betriebssystem)
• Referrer-URL (sofern übermittelt)

Rechtsgrundlage für die Speicherung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebs- und Datensicherheit, Fehlerbehebung und Angriffserkennung).

Die Log-Daten werden von Daten anderer personenbezogener Datenbestände getrennt gespeichert und nach Ablauf der genannten Aufbewahrungsfristen automatisch gelöscht oder anonymisiert.

10. Portal für Endkunden

Endkunden eines Mandanten können optional über ein passwortloses Portal auf auftragsbezogene Informationen zugreifen (z. B. Einreichung der Inventarliste, Dokumenten-Upload, Statusinformationen). Der Zugang erfolgt über einen zeitlich begrenzten Magic-Link, der an die vom Mandanten hinterlegte E-Mail-Adresse des Endkunden versendet wird.

Verarbeitet werden: E-Mail-Adresse des Endkunden, ein kryptographisch zufällig erzeugter Einmal-Token, Zeitpunkt der Anforderung und des Zugriffs sowie die IP-Adresse zum Zeitpunkt des Logins.

In diesem Szenario ist der jeweilige Mandant Verantwortlicher im Sinne der DSGVO. Der Anbieter verarbeitet die Endkundendaten ausschließlich als Auftragsverarbeiter nach Art. 28 DSGVO auf Grundlage des zwischen Mandant und Anbieter geschlossenen Auftragsverarbeitungsvertrags. Für alle weiteren Informationen zur Verarbeitung der Endkundendaten ist die Datenschutzerklärung des jeweiligen Mandanten maßgeblich.

Rechtsgrundlage im Verhältnis Endkunde / Mandant: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen). Im Verhältnis Mandant / Anbieter: Art. 28 DSGVO.

11. Mandanten-Datenverarbeitung (Anbieter als Auftragsverarbeiter)

Im Rahmen der Bereitstellung der Plattform verarbeitet der Anbieter personenbezogene Daten, die vom Mandanten in Pack2B eingegeben werden (insbesondere Endkunden-Stammdaten, Auftragsdaten, Inventarlisten, Rechnungen, Kommunikationsprotokolle). Für diese Daten ist der Mandant Verantwortlicher im Sinne der DSGVO; der Anbieter ist Auftragsverarbeiter nach Art. 28 DSGVO.

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Mandanten im Rahmen des Auftragsverarbeitungsvertrags (AVV). Eine Nutzung der Mandanten- oder Endkundendaten zu eigenen Zwecken des Anbieters (z. B. Marketing, Produktentwicklung, KI-Training) findet nicht statt.

Weisungen des Mandanten betreffen insbesondere:

• Zweck und Umfang der Verarbeitung der Endkundendaten
• Aktivierung oder Deaktivierung optionaler Verarbeitungen (insbesondere KI-Funktionen, siehe Abschnitt 6)
• Löschung oder Rückgabe der Daten nach Vertragsende
• Reaktion auf Betroffenenanfragen, die über den Anbieter eingehen

legal.privacy.sections.tenantDataProcessor.paragraphs.p4

12. Aufbewahrung und Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen gelten folgende Fristen:

• Rechnungen und steuerrelevante Belege: 10 Jahre (§ 147 Abs. 1 Nr. 4, Abs. 3 AO; § 14b UStG)
• Geschäftliche Korrespondenz / Handelsbriefe: 6 Jahre (§ 257 HGB, § 147 AO)
• Cloudflare Edge-Logs (Metadaten): 30 Tage
• App-Audit-Log (sicherheitsrelevante Vorgänge): 90 Tage
• Fehler- und Zugriffs-Logs (ohne direkten Personenbezug): 30 Tage
• Vertrags-, Konto- und Stammdaten (Mandant): Dauer des Vertragsverhältnisses, danach Aufbewahrung nur im Umfang gesetzlicher Pflichten
• Daten-Export nach Kündigung: 30 Tage Exportzeitraum, danach vollständige Löschung mit Ausnahme gesetzlich aufzubewahrender Daten

Nach Ablauf der Aufbewahrungsfristen werden die Daten automatisch gelöscht oder anonymisiert. Daten, deren Löschung technisch nicht möglich ist (z. B. in Sicherungskopien), werden gesperrt und nicht weiter verarbeitet.

13. Ihre Rechte als betroffene Person

Hinsichtlich der Sie betreffenden personenbezogenen Daten stehen Ihnen nach der DSGVO insbesondere die folgenden Rechte zu. Bitte beachten Sie: Richten sich Ihre Anfragen gegen Daten, die ein Mandant in Pack2B verarbeitet (B2B2C-Konstellation), leiten wir Ihre Anfrage unverzüglich an den zuständigen Mandanten als Verantwortlichen weiter.

• Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen („Recht auf Vergessenwerden“).
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter den Voraussetzungen des Art. 18 DSGVO können Sie die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten oder — sofern technisch möglich — direkt an einen anderen Verantwortlichen übermitteln lassen.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung aus Gründen Ihrer besonderen Situation widersprechen, soweit die Verarbeitung auf Art. 6 Abs. 1 lit. e oder lit. f DSGVO beruht.
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Zur Wahrnehmung Ihrer Rechte wenden Sie sich bitte an: datenschutz@pack2b.de.

Wir beantworten Anfragen grundsätzlich innerhalb von 30 Tagen. In besonderen Fällen (z. B. bei komplexen Anfragen) behalten wir uns nach Art. 12 Abs. 3 DSGVO eine Verlängerung um bis zu zwei Monate vor und informieren Sie hierüber.

Zuständige Aufsichtsbehörde für den Anbieter: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Postfach 3163, 65021 Wiesbaden. Sie können Beschwerden auch bei der Aufsichtsbehörde Ihres Wohnsitzes einreichen.

14. Widerruf erteilter Einwilligungen

Soweit die Verarbeitung auf Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO beruht (z. B. Newsletter-Abonnement, optionale Einwilligung in zusätzliche Funktionen), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Den Widerruf richten Sie formlos an datenschutz@pack2b.de oder nutzen den Abmeldelink in E-Mails, sofern vorhanden.

15. SSL/TLS-Verschlüsselung

Diese Website und die Pack2B-Plattform nutzen aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte eine TLS-Verschlüsselung mit aktuellen Cipher-Suites (TLS 1.3, Fallback TLS 1.2).

Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers mit „https://“ beginnt und das Schloss-Symbol angezeigt wird. Bei aktivierter TLS-Verschlüsselung können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

16. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen (TOM) im Sinne des Art. 32 DSGVO, um personenbezogene Daten gegen unbefugten Zugriff, Verlust oder Veränderung zu schützen. Dazu zählen insbesondere:

• Transportverschlüsselung über TLS 1.3
• Speicherverschlüsselung der Daten auf Datenbank- und Objektspeicher-Ebene (AES-256 at rest)
• Passwort-Hashing mit Argon2id nach OWASP-Empfehlung
• Zwei-Faktor-Authentifizierung (TOTP nach RFC 6238) für Administrationszugänge
• Rollenbasiertes Berechtigungskonzept (RBAC) mit Mandantentrennung auf Datenbank-Ebene
• Unveränderliche Audit-Logs sicherheitsrelevanter Vorgänge
• Regelmäßige verschlüsselte Backups mit geografisch getrennter Ablage

Für den KI-Sub-Processor AWS Bedrock liegt ein BSI C5 Typ 2 Testat vor, das als Inherited Control in das Sicherheitsmodell von Pack2B einfließt. Die zugehörigen Berichte und Continued-Operations-Letter liegen unter NDA-Schutz und können auf Anforderung eingesehen werden.

Ergänzend führen wir regelmäßig Penetrationstests, Security-Code-Reviews und Schwachstellen-Scans durch. Die PII-Pipeline für KI-Anfragen (siehe Abschnitt 6.3) ist integraler Bestandteil unseres Datensicherheitskonzepts.

17. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung bei Änderungen an der Plattform, an den eingesetzten Sub-Processoren oder an der Rechtslage an. Die jeweils aktuelle Fassung ist über diese Seite abrufbar.

Wesentliche Änderungen mit Auswirkung auf die Rechte der Betroffenen kommunizieren wir vorab per E-Mail an registrierte Mandanten oder über einen Hinweis im Portal.

18. Stand und Sprachklausel

Diese Datenschutzerklärung hat den Stand 17. April 2026.

Maßgeblich ist die deutsche Fassung dieser Datenschutzerklärung. Übersetzungen in andere Sprachen dienen ausschließlich der Information; im Fall von Abweichungen zwischen den Sprachfassungen geht die deutsche Fassung vor.