Datenhaltung & Aufbewahrungsfristen
Stand: April 2026
1. Grundsatz
CLAWBUIS speichert personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen (Datensparsamkeit, Art. 5 Abs. 1 lit. e DSGVO).
2. Aufbewahrungsfristen im Überblick
| Datenkategorie | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Benutzerkonto (Profil, E-Mail) | Bis zur Kontolöschung | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
| Kundendaten (Name, Kontakt, Adresse) | Solange der Betrieb aktiv ist | Art. 6 Abs. 1 lit. b DSGVO (Vertragszweck) |
| Aufträge & Aufmaße | Solange der Betrieb aktiv ist | Art. 6 Abs. 1 lit. b DSGVO |
| Rechnungen & Ledger-Einträge | 10 Jahre nach Erstellung | § 14b UStG, § 147 AO |
| Audit-Log (Sicherheitsereignisse) | 3 Jahre | Art. 5 Abs. 2 DSGVO (Nachweispflicht) |
| KI-Nutzungsdaten | 90 Tage (pseudonymisiert nach Kontolöschung) | Art. 6 Abs. 1 lit. b DSGVO (Abrechnung) |
| DSGVO-Anfragen (Export/Löschung) | 3 Jahre nach Abschluss | Art. 5 Abs. 2 DSGVO (Nachweispflicht) |
| Cookie-Consent-Präferenzen | Lokal im Browser (localStorage) | § 25 TDDDG |
3. Löschung bei Kontolöschung
Wenn ein Benutzer sein Konto löscht (Art. 17 DSGVO), werden folgende Maßnahmen durchgeführt:
- Profil und Authentifizierungsdaten werden unwiderruflich gelöscht
- Mitgliedschaften und Berechtigungen werden per CASCADE entfernt
- Kundendaten, Aufträge und Aufmaße bleiben der Organisation erhalten — der Ersteller-Verweis wird auf NULL gesetzt (Pseudonymisierung)
- KI-Nutzungsdaten bleiben als orphaned UUIDs erhalten (pseudonymisiert, kein Personenbezug mehr herstellbar)
- DSGVO-Anfragen werden per CASCADE gelöscht
4. Löschung bei Betriebsauflösung
Wenn eine Organisation (Betrieb) gelöscht wird, werden sämtliche zugehörigen Daten — Kunden, Aufträge, Aufmaße, Rechnungen, Audit-Logs — per CASCADE unwiderruflich entfernt. Gesetzliche Aufbewahrungsfristen (z.B. 10 Jahre für Rechnungen) müssen durch den Betriebsinhaber eigenständig durch vorherigen Export sichergestellt werden.
5. Datenexport
Jeder Benutzer kann jederzeit einen vollständigen Datenexport im JSON-Format anfordern (Art. 20 DSGVO — Recht auf Datenübertragbarkeit). Der Export umfasst alle personenbezogenen Daten, die CLAWBUIS über den Benutzer gespeichert hat. Der Export ist einmal pro Stunde möglich.
6. Kontakt
Fragen zur Datenhaltung richten Sie bitte an die in der Datenschutzerklärung genannte Kontaktadresse.