Löschkonzept · ERPforgeAI

1. Geltungsbereich

Dieses Löschkonzept gilt für alle bei ERPforgeAI verarbeiteten personenbezogenen Daten, unabhängig vom Speichermedium (Datenbank, Logfile, Backup, E-Mail-Archiv).

2. Datenkategorien und Aufbewahrungsfristen

Kategorie	Inhalt	Frist	Löschauslöser
Account-Stammdaten	E-Mail-Adresse, Name, bcrypt-Passwort-Hash, Plan-Status	Für die Dauer des Vertrags	Account-Löschung durch Nutzer ODER 24 Monate nach letzter Aktivität
Audit-Inputs	Hochgeladene ATC-XML, SYCM-ZIP, Forms-Inventory, DB-Volume-Inventory	90 Tage nach Audit-Erstellung	Automatisierter Cleanup-Cron-Job ODER manuelle Löschung durch Nutzer
Generierte Reports	PDF, JSON, CSV-Outputs der Audits	90 Tage nach Erstellung	Wie Audit-Inputs (gleicher Cleanup-Job)
Generierter Code (Repair / CDS)	Vom KI-Modell erzeugte ABAP-Vorschläge	90 Tage nach Erstellung	Cleanup-Job; Nutzer kann früher löschen
Server-Zugriffslogs (nginx)	IP-Adresse, Pfad, Zeitstempel, User-Agent	14 Tage	Logrotate-Job, automatisches Löschen nach Rotation
Anwendungslogs (PM2 / systemd)	Audit-Trail, Fehlermeldungen, Cost-Lines (kein PII)	30 Tage	Journald-Retention-Policy
Datenbank-Backups	SQLite-Snapshots, verschlüsselt	14 Tage rollierend	Cron-Job überschreibt älteste Snapshots
Rechnungs- und Zahlungsdaten	Steuerlich relevante Belege (Stripe-Quittungen, Rechnungs-PDFs)	10 Jahre	Gesetzliche Aufbewahrungspflicht (§ 147 AO, § 257 HGB) — nach Frist gelöscht
Vertragsdaten / AGB-Akzeptanz	Akzeptanz-Logs, AVV-Schriftverkehr	3 Jahre nach Vertragsende	Manuelle Prüfung jährlich, anschließende Löschung
Support-E-Mails	E-Mail-Korrespondenz mit Nutzern	2 Jahre nach letzter Antwort	Jährlich manuelle Sichtung und Löschung im IONOS-Postfach

3. Löschverfahren

3.1 Logische Löschung

Datenbank: DELETE-SQL-Statements für abgelaufene Datensätze.
Dateisystem: rm -f der entsprechenden Audit-Verzeichnisse unter /opt/erpforgeai/shared/audits/.
Storage-Volume: nach 30 Tagen werden gelöschte Datenblöcke durch das Hetzner-Storage-Layer überschrieben (Standard-VFS-Garbage-Collection).

3.2 Physische Löschung

Bei Hardware-Stillegung: Hetzner führt nach EU-Standard mehrfaches Überschreiben durch (Hetzner-Standard für dedizierte Server-Wiederverwendung).
Backup-Medien: Hetzner-Storage-Box-Löschung über Robot-Konsole, anschließende Hetzner-Standard-Wiping-Routine.

3.3 Löschung in Backups

Personenbezogene Daten bleiben in Backups bis zu 14 Tage nach Cleanup-Job gespeichert. Auf Anfrage des Betroffenen erfolgt eine zusätzliche manuelle Löschung im aktuellen Backup-Set.

3.4 Löschung bei Subprozessoren

Bei Löschungspflicht werden Subprozessoren (Hetzner, Cloudflare, IONOS, Stripe) per AVV-konformer Anfrage zur Löschung der entsprechenden Datensätze aufgefordert. KI-Modellanbieter (Anthropic, OpenAI, Google über BYOK) werden vom Nutzer direkt kontaktiert, da die Vertragsbeziehung dort zwischen Nutzer und Modellanbieter besteht.

4. Betroffenenrechte (Art. 15, 17 DSGVO)

Betroffene können jederzeit:

Auskunft über gespeicherte Daten verlangen (Art. 15 DSGVO).
Löschung verlangen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 17 DSGVO).
Datenportabilität verlangen (Art. 20 DSGVO) — Audit-Inputs und Reports werden im Originalformat (XML, CSV, JSON, PDF) bereitgestellt.
Berichtigung verlangen (Art. 16 DSGVO).

Anfragen sind zu richten an [email protected]. Antwort erfolgt innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).

5. Dokumentation

Löschvorgänge werden im internen Vorfalls-Tagebuch protokolliert. Bei Löschung auf Antrag eines Betroffenen wird die Bestätigung der erfolgten Löschung als gesonderter Eintrag dokumentiert (gem. Rechenschaftspflicht Art. 5 Abs. 2 DSGVO).

← Startseite · AGB · Datenschutz · Subprozessoren · TOMs · AI Act · Markenrecht