DijiSense Datenschutzerklärung

Die Plattform verarbeitet Daten ausschließlich im für die Vertragserfüllung erforderlichen Umfang und nur für die nachfolgend bestimmten Zwecke: **1. Aufnahme und Weiterleitung von IoT-Gerätedaten** Empfangen, Weiterleiten und Verarbeiten von Datensignalen autorisierter IoT-Sensoren, Gateways und Geräte des Kunden zur Realisierung von Echtzeit-Monitoring-, Alarmierungs- und Visualisierungsfunktionen. **2. Aufbau und Pflege von Digital-Twin-Modellen** Verarbeitung kundenseitig bereitgestellter Anlagendaten – einschließlich Gebäudemodellen, Gerätebelegungsdaten und historischen Sensordaten – zum Aufbau und zur Pflege von Digital-Twin-Modellen für Anlagenanalyse und Entscheidungsunterstützung. **3. Audit-Ledger-Archivierung (nur für Abonnenten)** Für Kunden, die den „Mail Ledger Audit-Archivierungsservice" abonniert haben: Bereitstellung einer neutralen, von den Kundensystemen getrennten Drittanbieter-Archivierungsumgebung zur Speicherung von Sensordaten und Betriebsprotokollen für künftige Prüfungs- und Nachweiszwecke. **4. Sicherheitsbetrieb und technischer Support** Erhebung notwendiger Systemzugriffsprotokolle und Betriebsprüfungsaufzeichnungen zur Aufrechterhaltung der Plattformsicherheit, Erkennung anomaler Zugriffsversuche und Bereitstellung technischen Supports auf Anfrage des Kunden.

Die Plattform erhebt im für die Leistungserbringung notwendigen Umfang folgende Datenkategorien: **A. Kundenkontoinformationen** Unternehmensname, Kontaktpersonenname, E-Mail-Adresse, Rechnungsadresse und Zahlungsinformationen. Zahlungsdaten werden von Drittanbieter-Zahlungsdienstleistern sicher verarbeitet; vollständige Kartennummern werden von der Plattform nicht gespeichert. **B. Anlagen- und Gerätedaten** Architektonische Grundrisse, Sensor-Konfigurationspunkte, Gerätemodelllisten und API-Schlüsselkonfigurationen, die vom Kunden hochgeladen oder autorisiert wurden. **C. Sensornutzungsdaten** Echtzeit- und historische Messdaten aus IoT-Sensoren (z. B. Temperatur, Luftfeuchtigkeit, Stromverbrauch, Luftqualität, Zutrittsstatus). Diese Daten stellen in der Regel keine personenbezogenen Daten im Sinne der DSGVO dar; der Kunde ist jedoch selbst dafür verantwortlich zu prüfen, ob die von ihm übermittelten Daten personenbezogene Informationen enthalten. **D. Nutzeraktivitätsprotokolle** Plattform-Anmeldezeitstempel, Verhaltensprotokoll, Dashboard-Konfigurationsänderungen und API-Aufrufprotokolle. Verwendung für Sicherheitsprüfungen und technischen Support. **E. Geräte- und Verbindungsdaten** Browser-Typ, IP-Adresse, Betriebssystemversion und Session-Kennzeichen. Verwendung für Authentifizierung und Verbindungssicherheitsmanagement.

Die Plattform hält streng den Grundsatz der Datensparsamkeit gemäß Art. 5 Abs. 1 lit. c DSGVO ein und minimiert das Datenschutzrisiko auf das geringstmögliche Maß. **Verbot der Zweckentfremdung** Die Plattform verpflichtet sich, Kundendaten – einschließlich Anlagendaten, Sensordaten, Gerätekonfigurationen, Digital-Twin-Modellen und Betriebsprotokollen – ausschließlich für die Leistungserbringung, den technischen Support und die Audit-Archivierung zu verwenden. Datenanalyse zu Werbezwecken, Profiling sowie die Weitergabe oder der Verkauf von Kundendaten an Dritte sind strikt untersagt. **Stellung als Auftragsverarbeiter** Im Rahmen dieses Dienstes handelt der Kunde als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO; die Plattform agiert ausschließlich als Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO. Die Plattform wird Kundendaten nicht an externe Stellen weitergeben, soweit nicht gesetzlich verpflichtend. Auf Wunsch des Kunden schließt die Plattform einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ab, um die Einhaltung der DSGVO und weiterer Vorschriften zu unterstützen. **Datenverarbeitung durch SI-White-Label-Partner** Kunden, die einen autorisierten SI-Partnerplan nutzen und Plattformdienste unter eigener Marke ihren Endkunden anbieten, tragen die vollständige und eigenständige Verantwortung für den Datenschutz ihrer Endkunden. Die Plattform übernimmt gegenüber den Endkunden von SI-Partnern keine Verantwortlichkeit als Verantwortlicher.

Die Plattform stellt je nach Sicherheitsstufe folgende Datenschutzmechanismen bereit: **1. Verschlüsselung gespeicherter Daten (Encryption at Rest)** Alle in der Cloud-Umgebung der Plattform gespeicherten historischen Sensordaten, Digital-Twin-Modelle und Audit-Ledger-Einträge werden mit AES-256-Verschlüsselung gesichert. **2. Verschlüsselung bei der Übertragung (Encryption in Transit)** Sämtliche Datenübertragungen – einschließlich MQTT, HTTP-API und WebSocket – sind obligatorisch mit TLS 1.2 oder höher gesichert, um Abfangen oder Manipulation zu verhindern. **3. Grundsätze der Schlüsselverwaltung** Die Plattform stellt je nach gewähltem Serviceplan unterschiedliche Stufen des Verschlüsselungsschutzes bereit. Dies kann die plattformseitige Schlüsselverwaltung sowie die Nutzung kundenseitig bereitgestellter Schlüssel (BYOK) oder kundenseitig gehaltener Schlüssel (HYOK) umfassen. **4. Integritätsprüfung** Jede in das Audit-Ledger geschriebene Sensordatensatzmenge erhält einen SHA-256-Digitalen-Fingerabdruck, der die Integrität der Daten ab dem Zeitpunkt der Archivierung sicherstellt und eine Verifizierung auf Unversehrtheit ermöglicht. **5. On-Premises-Betrieb** Kunden, die den On-Premises-Betrieb gewählt haben, speichern alle Daten in ihrem eigenen Rechenzentrum; die Cloud-Systeme der Plattform nehmen keinen Kontakt mit diesen Daten auf. Der von der Plattform ausgestellte Lizenzschlüssel ist an die vom Kunden benannte Server-Hardware gebunden. Die Plattform erbringt ausschließlich die Softwarelizenzierung und übernimmt keinerlei Verantwortung für Hardware, Netzinfrastruktur oder Informationssicherheitsmanagement des Kunden.

Die Plattform erbringt ihre Dienste mithilfe weltweit verteilter Cloud-Infrastruktur. **Compliance bei der Drittlandübermittlung** Für Kundendaten, die dem Recht der EU, des Vereinigten Königreichs oder anderer Jurisdiktionen mit Übermittlungsbeschränkungen unterliegen, stellt die Plattform sicher, dass Übermittlungen den gesetzlichen Anforderungen entsprechen, insbesondere durch die Nutzung von EU-Standardvertragsklauseln (SCCs) oder anderer von der zuständigen Aufsichtsbehörde anerkannter Übermittlungsgarantien gemäß Art. 46 DSGVO. **Gleichwertiger Schutz** Die Plattform gewährleistet in allen Serviceregionen weltweit einen einheitlichen und gleichwertigen Datensicherheitsstandard, ohne den Schutz standortabhängig zu mindern.

Die Plattform kann für den Betrieb folgende Kategorien von Drittanbieter-Dienstleistern einsetzen: - **Cloud-Infrastrukturanbieter**: Für Rechen-, Speicher- und Netzwerkdienste. Alle Anbieter sind durch Auftragsverarbeitungsverträge (AVV) gebunden. - **Zahlungsdienstleister** (z. B. Paddle, TapPay): Abwicklung von Abonnementzahlungen. Die Plattform speichert keine vollständigen Kartendaten. - **E-Mail-Benachrichtigungsdienste**: Versand von Systemwarnungen, Rechnungsbenachrichtigungen und technischen Support-Kommunikationen. Übermittlung nur notwendiger Daten. Die Plattform gibt Kundendaten nicht an Werbetreibende, Datenhändler oder Dritte weiter, die nicht unmittelbar in die Leistungserbringung eingebunden sind.

**1. Rechte der betroffenen Personen** Die Plattform achtet die nach der DSGVO und dem BDSG bestehenden Betroffenenrechte, insbesondere: - **Auskunftsrecht (Art. 15 DSGVO):** Das Recht, Auskunft über verarbeitete personenbezogene Daten zu erhalten. - **Berichtigungsrecht (Art. 16 DSGVO):** Das Recht auf Berichtigung unrichtiger Daten ohne unangemessene Verzögerung. - **Recht auf Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden"):** Das Recht auf Löschung im gesetzlich zulässigen Rahmen. - **Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO):** Das Recht, die Verarbeitung unter bestimmten Voraussetzungen einzuschränken. - **Recht auf Datenübertragbarkeit (Art. 20 DSGVO):** Das Recht, Daten in einem strukturierten, maschinenlesbaren Format zu erhalten. - **Beschwerderecht:** Betroffene haben das Recht, Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO einzulegen. Zur Ausübung der vorstehenden Rechte wenden Sie sich bitte an: **security@dijisense.com** **2. Speicherfristen** - **Kontodaten:** Gespeichert für die Dauer der aktiven Servicenutzung; vollständige Löschung innerhalb von dreißig (30) Tagen nach Kontobeendigung. - **Historische Sensordaten:** Gespeichert entsprechend der abonnierten Speicherlaufzeit; nach Ablauf physische oder irreversibel-digitale Vernichtung. - **Audit-Ledger-Daten:** Ausschließlich für die abonnierte Prüfungsdauer gespeichert. Bei Beendigung des Dienstes oder auf Löschantrag wird die irreversible digitale Vernichtung innerhalb von dreißig (30) Tagen abgeschlossen. - **Systembetriebsprotokolle:** Für Sicherheitsprüfzwecke maximal neunzig (90) Tage gespeichert, danach automatische Löschung. **3. On-Premises-Kunden** Kunden, die den On-Premises-Betrieb gewählt haben, verwalten ihre Daten eigenständig. Die Plattform ist nicht in der Lage, Löschvorgänge stellvertretend durchzuführen. Kunden können Datenlöschverfahren selbstständig gemäß der von der Plattform bereitgestellten technischen Dokumentation durchführen.

Die offizielle Website und die Verwaltungskonsole der Plattform verwenden ausschließlich technisch notwendige Cookies zur Aufrechterhaltung von Anmeldesessions und Nutzereinstellungen. Die Plattform setzt keine Drittanbieter-Werbe-Tracking-Cookies ein und betreibt weder seitenübergreifendes Tracking noch verhaltensbasierte Werbung.

Die Dienste der Plattform richten sich ausschließlich an Unternehmen und Fachorganisationen (B2B). Die Plattform erbringt keine Dienste direkt an Minderjährige und erhebt wissentlich keine personenbezogenen Daten von Personen, die das 18. Lebensjahr noch nicht vollendet haben.

Diese Datenschutzerklärung wird bei Änderungen geltenden Rechts oder Anpassungen der Plattformdienste aktualisiert. Kunden werden über wesentliche Änderungen mindestens dreißig (30) Tage vor deren Wirksamwerden per E-Mail oder Plattformmitteilung informiert. Bei Fragen zu dieser Datenschutzerklärung oder zur Datenverarbeitung wenden Sie sich bitte an das Informationssicherheits- und Compliance-Team der Plattform: **Kontakt: security@dijisense.com** **Diese Datenschutzerklärung unterliegt dem Recht der Republik China (Taiwan). Alle sich hieraus ergebenden Streitigkeiten unterliegen der ausschließlichen Zuständigkeit des Bezirksgerichts Taipei, Taiwan, als Gericht erster Instanz.**