Datenschutzerklärung

Stand: Mai 2026 · gilt für die Webanwendung asset.bechtle-rheinland.com sowie die zugehörige iOS-App Bechtle Rheinland Asset Manager

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der DSGVO ist:

2. Datenschutzbeauftragter

Den Datenschutzbeauftragten der Bechtle GmbH erreichen Sie über die zentralen Datenschutz-Kontaktwege der Bechtle-Gruppe. Anfragen zur konkreten Datenverarbeitung in dieser Anwendung können auch direkt an den Anwendungs-Ansprechpartner (siehe oben) gerichtet werden.

3. Zweck der Anwendung

Der Bechtle Rheinland Asset Manager dient ausschließlich der internen IT-Asset-Verwaltung — also der Verwaltung von Hardware (Notebooks, Smartphones, Tür-Token), Software-Lizenzen sowie Mitarbeiter-Zuordnungen im Rahmen von On- und Offboarding-Prozessen. Eine Verarbeitung zu anderen Zwecken oder eine Nutzung durch Privatpersonen außerhalb der Bechtle GmbH findet nicht statt.

4. Welche Daten werden verarbeitet?

Im Rahmen der Anwendung werden folgende Datenkategorien verarbeitet:

4.1 Anmeldedaten

• E-Mail-Adresse (Bechtle-Geschäftskonto, dient als Anmeldename)
• Passwort (gespeichert ausschließlich als bcrypt-Hash)
• Zwei-Faktor-Authentifizierung (TOTP-Schlüssel, gespeichert verschlüsselt)
• Anmelde-Zeitpunkt und IP-Adresse (technisch zur Sitzungsverwaltung)

4.2 Mitarbeiter- und Asset-Daten

• Name, Abteilung, Standort, Geschäfts-E-Mail, Geschäftshandynummer
• Eintritts- und Austrittsdaten
• Zugewiesene Hardware (Gerätetyp, Hersteller, Modell, Seriennummer)
• Zugewiesene Software-Lizenzen
• Zugewiesene Tür-Token mit Berechtigungsschemata

4.3 Übergabe-Protokolle

• Datum, ausgegebene/zurückgenommene Geräte
• Digitale Unterschrift (SVG, ggf. via Documenso-Remote-Signatur)
• Erzeugte PDF-Übergabe-/Rückgabeprotokolle

4.4 Audit-Log

• Benutzeraktionen mit Zeitstempel und auslösendem Konto (z. B. Asset-Status-Änderung, Mitarbeiter-Anlage, Lizenz-Zuweisung)
• Audit-Log-Einträge sind aus Nachvollziehbarkeitsgründen nicht löschbar.

5. Rechtsgrundlage der Verarbeitung

Die Verarbeitung personenbezogener Daten in dieser Anwendung erfolgt auf Grundlage von:

• Art. 6 Abs. 1 lit. b DSGVO — Erfüllung des Arbeitsvertrags (Bereitstellung von Arbeitsmitteln und IT-Zugangsverwaltung)
• Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen der Bechtle GmbH an einer ordnungsgemäßen, revisionssicheren IT-Asset-Verwaltung
• Art. 6 Abs. 1 lit. c DSGVO i. V. m. handels- und steuerrechtlichen Aufbewahrungspflichten (für PDF-Protokolle und Audit-Log)

6. Empfänger / Weitergabe an Dritte

Die in dieser Anwendung verarbeiteten Daten werden nicht an externe Dritte weitergegeben. Eine Verarbeitung erfolgt ausschließlich:

• auf einer Bechtle-Cloud-Infrastruktur (Hostname besg-c1-asset.bechtle.cloud) innerhalb der Europäischen Union
• durch befugte interne IT-Mitarbeitende der Bechtle GmbH
• für die Remote-Signatur ergänzend durch eine selbst-gehostete Documenso-Instanz — ebenfalls innerhalb der genannten Bechtle-Cloud-Infrastruktur, kein externer Anbieter

Bei Bedarf erforderliche Auftragsverarbeitungs-Verträge (Art. 28 DSGVO) liegen vor.

7. Speicherdauer

• Aktive Mitarbeiterdaten bleiben gespeichert, solange das Beschäftigungsverhältnis besteht und Geräte zugeordnet sind.
• Übergabe- und Rückgabeprotokolle werden im Rahmen der gesetzlichen Aufbewahrungsfristen (regelmäßig bis zu 10 Jahre) archiviert.
• Audit-Logs werden für die Dauer der Aufbewahrungspflicht unverändert vorgehalten und sind nicht löschbar.
• Inaktive Konten können auf Anfrage über die Benutzerverwaltung deaktiviert oder DSGVO-konform gelöscht werden (siehe Punkt 8).

8. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO insbesondere folgende Rechte:

• Auskunft (Art. 15 DSGVO) — über die zu Ihrer Person gespeicherten Daten
• Berichtigung (Art. 16 DSGVO) — unrichtige Daten korrigieren lassen
• Löschung (Art. 17 DSGVO) — soweit keine Aufbewahrungspflicht entgegensteht
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Grundlage berechtigten Interesses

Anfragen richten Sie bitte an sebastian.harbecke@bechtle.com oder den Datenschutzbeauftragten der Bechtle GmbH. Eine Antwort erfolgt innerhalb der gesetzlichen Frist von einem Monat.

9. Besonderheiten der iOS-App

Die iOS-Begleit-App Bechtle Rheinland Asset Manager wird über Apples TestFlight ausschließlich an autorisierte Bechtle-Mitarbeitende verteilt. Sie kommuniziert direkt mit der Webanwendung unter asset.bechtle-rheinland.com; es gibt keine zusätzlichen Backend-Dienste.

9.1 Lokale Speicherung auf dem Gerät (iOS-Keychain)

Die App nutzt den hardwaregeschützten iOS Keychain (Secure Enclave) ausschließlich für folgende technisch notwendige Daten:

• Sitzungs-Cookie zur Aufrechterhaltung der Anmeldung — gerätegebunden, nicht aus iCloud-Backup wiederherstellbar
• Profilanzeige-Daten (Name, E-Mail, Rolle) — damit das UI auch ohne Netzverbindung den eingeloggten User korrekt darstellt
• Anwendungs-spezifischer Cache (Asset-/Mitarbeiter-Listen) — flüchtig, beim App-Beenden oder Logout entfernt
• Keine dauerhafte Speicherung von Passwörtern, MFA-Codes, Tür-Token-PINs oder Geräte-Listen mit personenbezogenen Daten

Bei Logout oder serverseitiger Sitzungsbeendigung werden alle iOS-Keychain-Einträge der App gelöscht. Bei einer Deinstallation der App werden alle App-Daten durch iOS automatisch vollständig entfernt.

9.2 Kamera-Zugriff (QR- und Barcode-Scanner)

Die App nutzt die Kamera ausschließlich zum Scannen von QR-Codes, Barcodes und Inventar- etiketten beim Anlegen oder Inventarisieren von Geräten. Vor dem ersten Zugriff fragt iOS um Erlaubnis (NSCameraUsageDescription); ohne ausdrückliche Zustimmung ist der Scanner deaktiviert. Es werden keine Bilder, Videos oder Audio-Aufzeichnungen erstellt oder gespeichert — die Kamera-Daten bleiben ausschließlich im flüchtigen Arbeitsspeicher zur reinen Code-Erkennung über Apples VisionKit-Framework. Erkannt wird nur die Code-Zeichenkette, die direkt an den Asset-Server zur Suche gesendet wird.

9.3 Apple TestFlight

Bei der Verteilung über TestFlight verarbeitet Apple Inc. (One Apple Park Way, Cupertino, CA, USA) Tester-Daten (Apple-ID, Geräteinformationen, Build-Installationsstatus, optionales Feedback und Crash-Logs). Diese Verarbeitung erfolgt nach Apples eigenen Datenschutzbestimmungen (apple.com/legal/privacy). Die Bechtle GmbH erhält von Apple nur aggregierte Tester-Statistiken und ggf. von Testern explizit eingereichtes Feedback.

9.4 Biometrische App-Sperre (Face ID / Touch ID)

Die App bietet eine optionale, lokal aktivierbare Re-Authentifizierung über Face ID, Touch ID oder Optic ID (je nach Gerät). Sie ersetzt nicht die Anmeldung am Server — sie schützt eine bereits hergestellte Sitzung lokal auf dem Gerät, indem die App nach Inaktivität (Standard: 60 Sekunden im Hintergrund) bei der Rückkehr in den Vordergrund einen biometrischen Entsperr-Vorgang verlangt.

• Datenfluss: Die Prüfung erfolgt vollständig durch das iOS-System über das LocalAuthentication-Framework. Die App erhält ausschließlich ein binäres Ergebnis (Erfolg oder Fehlschlag).
• Speicherung biometrischer Daten: findet ausschließlich in der hardwaregeschützten Secure Enclave des iPhones / iPads / Vision Pro statt. Die Daten verlassen das Gerät zu keinem Zeitpunkt und sind weder für die App noch für den Server zugreifbar.
• Berechtigung: Vor dem ersten Aufruf fragt iOS um Erlaubnis (NSFaceIDUsageDescription); ohne Zustimmung steht die Funktion nicht zur Verfügung.
• Fallback: Schlägt die biometrische Prüfung wiederholt fehl, kann alternativ der iOS-Geräte-Code verwendet werden (Apple-Standard-Verhalten).
• Deaktivierung: Die Funktion lässt sich jederzeit unter Mehr → Sicherheit → App-Sperre abschalten. Bei Logout wird der Lock ohnehin aufgehoben.

Es werden keine Gesichts-, Fingerabdruck- oder Iris-Daten durch die Anwendung verarbeitet, gespeichert oder übertragen.

9.5 Geplante Funktionen (zukünftige App-Versionen)

Folgende Funktionen sind für nachfolgende App-Versionen vorbereitet — der Datenschutzhinweis wird mit Aktivierung jeweils ergänzt:

• Apple Passwords / iCloud-Schlüsselbund-AutoFill für die Anmelde-Felder via Associated Domains
• Push-Benachrichtigungen für anstehende Onboardings/Offboardings — nur per ausdrücklicher User-Zustimmung; verarbeitet werden ein anonymer APNS-Geräte-Token sowie der zugehörige User-Kontext

10. Cookies, Sitzungen und Tracking

• Es werden ausschließlich technisch notwendige Cookies für die Sitzungsverwaltung gesetzt (Session-ID, CSRF-Token).
• Die Sitzung läuft nach 45 Minuten Inaktivität automatisch ab.
• Es findet kein Tracking, keine Analyse-Cookies, keine Werbe-Pixel und keine externen Webfonts statt.

11. Datensicherheit

• Verschlüsselte Übertragung (TLS 1.2+ via Let's Encrypt, automatische Erneuerung)
• Passwort-Hashing mit bcrypt
• Tür-Token-PINs symmetrisch verschlüsselt (Fernet / AES)
• Pflichtmäßige Zwei-Faktor-Authentifizierung (TOTP)
• HTTP-Security-Header (CSP, HSTS, X-Frame-Options)
• Rate-Limiting für sicherheitskritische Endpunkte
• Tägliche Datensicherung mit automatischer Rotation
• Zugriff über das interne Bechtle-Netz mit FortiGate-Web-Filtering

12. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für die Bechtle GmbH ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Postfach 20 04 44, 40102 Düsseldorf, ldi.nrw.de.

13. Änderungsvorbehalt

Diese Datenschutzerklärung wird bei wesentlichen Änderungen der Anwendung oder der rechtlichen Rahmenbedingungen angepasst. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar. Stand der vorliegenden Fassung: Mai 2026.