KandalisOS Zur Startseite

Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Kandalis, vertreten durch Birkan Erdogan
Gönserstr 44
35510 Butzbach
Deutschland
E-Mail: info@kandalis.de
Telefon: +49 176 56988763

2. Allgemeines zur Datenverarbeitung

KandalisOS ist eine Software-as-a-Service-Anwendung (SaaS) für Handwerksbetriebe in Deutschland zur Kalkulation, Angebotserstellung, Kunden- und Projektverwaltung. Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der gesetzlichen Vorgaben, insbesondere der DSGVO und des Bundesdatenschutzgesetzes (BDSG). Eine Verarbeitung erfolgt nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist oder eine andere Rechtsgrundlage vorliegt.

3. Hosting und Infrastruktur

KandalisOS wird in einer DSGVO-konformen EU-Cloud-Infrastruktur betrieben. Server, Datenbanken, Authentifizierung und Dateispeicher befinden sich ausschließlich in Rechenzentren innerhalb der Europäischen Union. Alle Verbindungen werden ausnahmslos über TLS (HTTPS / SSL) verschlüsselt übertragen. Mit den eingesetzten Infrastruktur-Dienstleistern bestehen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb der Plattform).

4. Server-Logfiles

Beim Aufruf der Plattform werden technische Zugriffsdaten in Logfiles erfasst:

  • IP-Adresse (gekürzt bzw. anonymisiert, soweit technisch möglich)
  • Datum und Uhrzeit der Anfrage
  • Aufgerufene URL und HTTP-Statuscode
  • Übertragene Datenmenge
  • Browsertyp und Betriebssystem (User-Agent)
  • Referrer-URL (sofern übermittelt)

Diese Daten dienen dem Schutz vor Angriffen, der Fehleranalyse und der Sicherstellung des stabilen Betriebs. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Die Logs werden in der Regel nach 14 Tagen automatisch gelöscht, sofern keine sicherheitsrelevanten Vorfälle eine längere Speicherung erfordern.

5. Registrierung und Benutzerkonto

Für die Nutzung von KandalisOS ist die Anlage eines Benutzerkontos erforderlich. Dabei verarbeiten wir folgende Daten:

  • Firmenname
  • Vor- und Nachname
  • E-Mail-Adresse
  • Passwort (ausschließlich als kryptografischer Hash gespeichert)
  • Zeitpunkt der Registrierung und letzter Anmeldungen

Die E-Mail-Adresse wird im Rahmen eines Double-Opt-In-Verfahrens verifiziert. Wir verarbeiten diese Daten ausschließlich zur Bereitstellung, Absicherung und Verwaltung des Kontos.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Login und Authentifizierung

Bei der Anmeldung verarbeiten wir die E-Mail-Adresse und das Passwort, um die Identität zu prüfen. Erfolgreiche Sitzungen werden mittels sicherer Tokens (JWT) im Browser des Nutzers verwaltet. Diese Tokens dienen ausschließlich der Aufrechterhaltung der angemeldeten Sitzung und stellen keine Tracking-Cookies dar.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7. Passwort-Zurücksetzen und E-Mail-Versand

Für den Versand von Bestätigungs-, Passwort-Zurücksetzen- und Service-E-Mails nutzen wir einen E-Mail-Versanddienstleister mit Sitz in der Europäischen Union. Die Übermittlung erfolgt ausschließlich zur Bereitstellung des Dienstes (z. B. Aktivierungslink, Passwort-Reset). Es besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

8. Kundenverwaltung (CRM)

Innerhalb von KandalisOS legen Nutzer eigenständig Kundendatensätze an (z. B. Name, Anschrift, Telefonnummer, E-Mail-Adresse, Anmerkungen). Verantwortlicher für diese Daten ist der jeweilige Nutzer (Handwerksbetrieb). KandalisOS verarbeitet diese Daten ausschließlich im Auftrag und nach Weisung des Nutzers als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Auf Wunsch stellen wir einen entsprechenden Auftragsverarbeitungsvertrag (AVV) zur Verfügung.

9. Projektverwaltung

Projekte (z. B. Aufmaße, Kalkulationen, Skizzen, Kommentare) werden vom Nutzer angelegt und sind ausschließlich dem jeweiligen Betrieb zugeordnet. Die Daten werden in der EU-Cloud-Infrastruktur gespeichert und sind durch Row-Level-Security-Mechanismen vor unbefugtem Zugriff durch andere Nutzer geschützt.

10. PDF-Erstellung

Angebote werden als PDF-Dokumente erzeugt. Dabei werden die vom Nutzer eingegebenen Projekt-, Kunden- und Firmendaten zu einem PDF zusammengeführt. Die Verarbeitung findet in der EU-Cloud-Infrastruktur statt. Erzeugte PDFs werden im Konto des Nutzers gespeichert und können jederzeit von diesem gelöscht werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

11. Datei-Uploads

Nutzer können Dateien (z. B. Fotos, Logos, Anhänge) hochladen. Diese werden verschlüsselt in einem EU-Objektspeicher abgelegt und ausschließlich dem jeweiligen Konto zugänglich gemacht. Der Nutzer ist dafür verantwortlich, dass er zur Verarbeitung der hochgeladenen Inhalte berechtigt ist.

12. Kontaktaufnahme

Bei einer Kontaktaufnahme per E-Mail oder über bereitgestellte Kontaktformulare werden die übermittelten Daten (z. B. Name, E-Mail-Adresse, Nachricht) zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO.

13. Cookies und lokale Speicherung

KandalisOS setzt ausschließlich technisch notwendige Cookies bzw. einen vergleichbaren lokalen Browser-Speicher (z. B. localStorage) ein. Diese dienen ausnahmslos der Aufrechterhaltung der Anmeldung sowie der Speicherung von Benutzereinstellungen. Tracking-, Analyse- oder Marketing-Cookies werden nicht verwendet.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig) sowie Art. 6 Abs. 1 lit. b DSGVO.

14. Sicherheit (SSL/TLS)

Sämtliche Verbindungen zur Plattform werden über TLS (Transport Layer Security) verschlüsselt. Passwörter werden ausschließlich als kryptografischer Hash gespeichert. Zugriffe auf die Infrastruktur sind protokolliert und mehrstufig abgesichert.

15. Speicherdauer

Personenbezogene Daten werden so lange gespeichert, wie es für den Zweck der Verarbeitung erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben (insbesondere handels- und steuerrechtliche Fristen nach § 257 HGB und § 147 AO, in der Regel 6 bis 10 Jahre). Nach Beendigung des Vertragsverhältnisses werden Konto- und Projektdaten innerhalb einer angemessenen Frist gelöscht oder anonymisiert, soweit keine gesetzlichen Pflichten entgegenstehen.

16. Empfänger und Auftragsverarbeiter

Eine Weitergabe personenbezogener Daten an Dritte findet ausschließlich statt, soweit dies zur Vertragsabwicklung erforderlich ist, eine gesetzliche Verpflichtung besteht oder eine ausdrückliche Einwilligung vorliegt. Eingesetzt werden ausschließlich Auftragsverarbeiter mit Sitz bzw. Datenverarbeitung in der EU/EWR. Eine Übermittlung in Drittländer findet nicht statt.

17. Rechte der betroffenen Person

Ihnen stehen folgende Rechte zu:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die oben genannten Kontaktdaten.

18. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem der Verantwortliche seinen Sitz hat, oder Ihres üblichen Aufenthaltsortes.

19. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Fassung ist unter kandalis.de/datenschutz abrufbar.

NutzungsbedingungenImpressumDatenschutzStartseite