Datenschutzerklaerung

Stand: 22. April 2026

1. Verantwortlicher

Dynkhues GmbH
Frank Dueckinghaus
Am Hasenpfad 2
61137 Schoeneck
E-Mail: info@tenderwatch.online

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsaetzlich nur, soweit dies zur Bereitstellung einer funktionsfaehigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt auf Grundlage der DSGVO, insbesondere:

• Art. 6 Abs. 1 lit. b DSGVO — Vertragerfuellung
• Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung

3. Hosting und Serverstandort

Die Plattform wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, gehostet. Der Serverstandort ist Deutschland. Hetzner ist ISO 27001 zertifiziert und haelt ein BSI C5 Typ 2 Testat. Die technischen und organisatorischen Massnahmen (TOMs) von Hetzner werden jaehrlich durch die TUeV Rheinland i-sec GmbH geprueft (letzte Pruefung: Februar 2026, keine Abweichungen festgestellt).

Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO. Die Datenverarbeitung findet ausschliesslich in der EU statt.

Die Domain tenderwatch.online wird bei IONOS SE gehostet (DNS-Verwaltung).

4. Server-Logfiles

Bei jedem Zugriff auf die Plattform werden automatisch folgende Daten erhoben:

• IP-Adresse des zugreifenden Systems
• Datum und Uhrzeit des Zugriffs
• Aufgerufene Seite / Endpunkt
• HTTP-Statuscode
• Browsertyp und Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilitaet der Plattform). Die Logdaten werden nicht mit anderen Datenquellen zusammengefuehrt.

5. Registrierung und Nutzerkonten

Die Authentifizierung erfolgt ueber Keycloak (Self-hosted auf demselben Server). Bei der Registrierung werden folgende Daten verarbeitet:

• Name
• E-Mail-Adresse
• Login-Zeitstempel

Optional ist eine Anmeldung ueber Google (Social Login) moeglich. In diesem Fall werden Name und E-Mail-Adresse von Google uebermittelt. Weitere Daten werden von Google nicht abgefragt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragerfuellung).

6. KI-gestuetzte Analyse

Fuer die Analyse von Ausschreibungsdokumenten wird die Google Gemini API (Gemini 2.5 Flash) eingesetzt. An Google werden ausschliesslich Inhalte oeffentlicher Ausschreibungen uebermittelt — keine personenbezogenen Nutzerdaten.

Google verarbeitet diese Daten gemaess den Google Cloud Nutzungsbedingungen. Eine Nutzung der uebermittelten Daten zum Training von KI-Modellen ist vertraglich ausgeschlossen (Google Cloud Data Processing Terms).

7. Cookies und Tracking

TenderWatch verwendet ausschliesslich technisch notwendige Session-Cookies fuer die Authentifizierung. Es werden keine Tracking-Cookies, Analyse-Tools oder Werbenetzwerke eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfaehigkeit der Plattform). Eine Einwilligung ist fuer technisch notwendige Cookies nicht erforderlich (§ 25 Abs. 2 TDDDG).

8. Rechte der betroffenen Personen

Sie haben gegenueber dem Verantwortlichen folgende Rechte:

• Auskunft (Art. 15 DSGVO) — ueber die von uns verarbeiteten Daten
• Berichtigung (Art. 16 DSGVO) — unrichtiger Daten
• Loeschung (Art. 17 DSGVO) — unter den gesetzlichen Voraussetzungen
• Einschraenkung (Art. 18 DSGVO) — der Verarbeitung
• Datenuebertragbarkeit (Art. 20 DSGVO) — in einem gaengigen Format
• Widerspruch (Art. 21 DSGVO) — gegen die Verarbeitung

Zur Ausuebung Ihrer Rechte wenden Sie sich bitte an: info@tenderwatch.online

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehoerde zu beschweren. Die fuer uns zustaendige Aufsichtsbehoerde ist:

Der Hessische Beauftragte fuer Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
65189 Wiesbaden

9. Auftragsverarbeiter und Drittdienste

Dienstleister	Zweck	Standort	Grundlage
Hetzner Online GmbH	Server-Hosting (Dedicated Server)	Deutschland (Nuernberg / Falkenstein)	AVV gemaess Art. 28 DSGVO
IONOS SE	Domain-Hosting (DNS)	Deutschland	AVV gemaess Art. 28 DSGVO
Google LLC (Gemini API)	KI-Analyse oeffentlicher Ausschreibungstexte	EU (Google Cloud Region europe-west)	Google Cloud Data Processing Terms
Google LLC (Social Login)	Optionale Anmeldung via Google-Konto	EU/USA (Angemessenheitsbeschluss DPF)	Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

10. Technische und organisatorische Massnahmen (TOMs)

Neben den TOMs unseres Hosting-Anbieters Hetzner (geprueft durch TUeV Rheinland, ISO 27001, BSI C5 Typ 2) setzen wir folgende eigene Massnahmen um:

Zutrittskontrolle

Der Server wird in einem Hetzner-Rechenzentrum in Deutschland betrieben. Physischer Zugang obliegt Hetzner (elektronische Zutrittskontrolle, Videoueberwachung, Hochsicherheitszaun). Es besteht kein eigenes Rechenzentrum.

Zugangskontrolle

• SSH-Zugang zum Server ausschliesslich per Public-Key-Authentifizierung (kein Passwort-Login)
• Zugriff nur fuer den Geschaeftsfuehrer (einzelne natuerliche Person)
• Nutzer-Authentifizierung ueber Keycloak mit Passwortrichtlinien
• Optionale Zwei-Faktor-Authentifizierung (2FA) fuer das Hetzner-Kundenkonto

Zugriffskontrolle

• Rollenbasiertes Berechtigungskonzept (Nutzer, Admin)
• Datenbankzugriff nur ueber die Applikation (kein externer DB-Zugang, Port nur lokal gebunden)
• Alle Dienste (API, DB, Keycloak) laufen in isolierten Docker-Containern
• Regelmaessige Sicherheitsupdates des Betriebssystems

Trennungskontrolle

• Logische Trennung der Nutzerdaten durch Mandantentrennung in der Datenbank
• Keycloak als separater Dienst mit eigener Datenbank

Verschluesselung

• Transportverschluesselung: TLS 1.2/1.3 fuer alle Verbindungen (Let's Encrypt Zertifikat via nginx)
• Interne Kommunikation zwischen Docker-Containern ueber isoliertes internes Netzwerk
• Keycloak-Session-Tokens signiert und verschluesselt

Verfuegbarkeit

• Hetzner-Infrastruktur mit redundanter Stromversorgung, USV und Netzwerk (99,9% Netzwerkverfuegbarkeit)
• Docker-Container mit automatischem Restart bei Ausfall (restart: unless-stopped)
• PostgreSQL mit persistentem Speicher auf dem Host-System

Ueberpruefung

• Hetzner-TOMs werden jaehrlich durch TUeV Rheinland geprueft
• Eigene Massnahmen werden regelmaessig ueberprueft und bei Bedarf angepasst

11. Aenderungen dieser Datenschutzerklaerung

Wir behalten uns vor, diese Datenschutzerklaerung anzupassen, um sie an geaenderte Rechtslagen oder Aenderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.