Datenschutzerklärung

Stand: 26. Mai 2026 · gilt für die Webanwendung asset.bechtle-rheinland.com sowie die zugehörige iOS-App Bechtle Rheinland Asset Manager

Diese Datenschutzerklärung beschreibt die Verarbeitung personenbezogener Daten in einem internen IT-Werkzeug der Bechtle GmbH. Der Zugang ist auf autorisierte Bechtle-Mitarbeitende beschränkt. Die endgültige Fassung wird derzeit mit dem Datenschutzbeauftragten abgestimmt.

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der DSGVO ist:

Bechtle GmbH
Max-Planck-Straße 41A
50858 Köln
Deutschland

Anwendungs-Ansprechpartner: sebastian.harbecke@bechtle.com

2. Datenschutzbeauftragter

Den Datenschutzbeauftragten der Bechtle GmbH erreichen Sie über die zentralen Datenschutz-Kontaktwege der Bechtle-Gruppe. Anfragen zur konkreten Datenverarbeitung in dieser Anwendung können auch direkt an den Anwendungs-Ansprechpartner (siehe oben) gerichtet werden.

3. Zweck der Anwendung

Der Bechtle Rheinland Asset Manager dient ausschließlich der internen IT-Asset-Verwaltung — also der Verwaltung von Hardware (Notebooks, Smartphones, Tür-Token), Software-Lizenzen sowie Mitarbeiter-Zuordnungen im Rahmen von On- und Offboarding-Prozessen. Eine Verarbeitung zu anderen Zwecken oder eine Nutzung durch Privatpersonen außerhalb der Bechtle GmbH findet nicht statt.

4. Welche Daten werden verarbeitet?

Im Rahmen der Anwendung werden folgende Datenkategorien verarbeitet:

4.1 Anmeldedaten

E-Mail-Adresse (Bechtle-Geschäftskonto, dient als Anmeldename)
Passwort (gespeichert ausschließlich als bcrypt-Hash)
Zwei-Faktor-Authentifizierung (TOTP-Schlüssel, gespeichert verschlüsselt)
Anmelde-Zeitpunkt und IP-Adresse (technisch zur Sitzungsverwaltung)

4.2 Mitarbeiter- und Asset-Daten

Name, Abteilung, Standort, Geschäfts-E-Mail, Geschäftshandynummer
Eintritts- und Austrittsdaten
Zugewiesene Hardware (Gerätetyp, Hersteller, Modell, Seriennummer)
Zugewiesene Software-Lizenzen
Zugewiesene Tür-Token mit Berechtigungsschemata

4.3 Übergabe-Protokolle

Datum, ausgegebene/zurückgenommene Geräte
Digitale Unterschrift (SVG, ggf. via Documenso-Remote-Signatur)
Erzeugte PDF-Übergabe-/Rückgabeprotokolle

4.4 Audit-Log

Benutzeraktionen mit Zeitstempel und auslösendem Konto (z. B. Asset-Status-Änderung, Mitarbeiter-Anlage, Lizenz-Zuweisung)
Audit-Log-Einträge sind aus Nachvollziehbarkeitsgründen nicht löschbar.

4.5 Historische Übergabe-Belege (einmaliger Bestands-Import)

Aus den papier- bzw. PDF-basierten Übergabe-Prozessen der Jahre 2022 bis 2025 wurden ca. 700 historische Übergabe- und Rückgabebelege als gescannte PDFs in die Anwendung übernommen, um eine lückenlose Bestands- und Buchhaltungs-Historie sicherzustellen. Diese Belege werden:

im internen Belege-Verzeichnis uploads/belege/ (Server-side, nicht öffentlich erreichbar) abgelegt
per OCR (Tesseract, ausschließlich lokal im Anwendungs-Container) ausgelesen — Asset-Seriennummern, IMEI, Inventarnummern und Mitarbeiter-Namen werden automatisch gegen den vorhandenen Datenbestand abgeglichen
mit SHA-256-Hash auf Duplikate geprüft, um eine Mehrfach-Archivierung zu vermeiden
im Rahmen der handels- und steuerrechtlichen Aufbewahrungspflichten (HGB §257 bis zu 6 Jahre, AO §147 bis zu 10 Jahre) unverändert archiviert

Inhalte der Belege: Mitarbeiter-Name, Eintritts-/Austrittsdaten, Geräte-Inventar (Seriennummer, IMEI, Modell), ggf. handschriftliche Unterschrift. Externe Dienstleister (z. B. Reinigungsfirmen, Schulungsteilnehmer) sind als virtuelle Mitarbeiter angelegt. Die Original-Papier-Belege verbleiben zusätzlich im Bechtle-Archiv.

4.6 Push-Benachrichtigungs-Daten (iOS-App)

Seit App-Version Build 33 (Mai 2026) unterstützt die iOS-App optional Push-Benachrichtigungen über den Apple Push Notification Service (APNS). Verarbeitet wird:

ein anonymer APNS-Geräte-Token (Device-ID), den Apple iOS lokal auf dem Gerät erzeugt und der vom Anwendungs-Backend dem angemeldeten Bechtle-Konto zugeordnet wird
der Auslöser-Kontext der Benachrichtigung (z. B. „Anstehendes Offboarding", „Tür-Token-Übergabe", „Wiedervorlage-Erinnerung")

Der Zugriff erfordert die ausdrückliche Zustimmung der Nutzerin/des Nutzers über den iOS-System-Dialog (NSUserNotificationsUsageDescription). Die Funktion lässt sich jederzeit über iOS-Einstellungen → Mitteilungen → Bechtle Rheinland Asset Manager deaktivieren. Zur Übermittlung des Tokens an Apple siehe Abschnitt 6.2 (Drittland-Transfer).

5. Rechtsgrundlage der Verarbeitung

Die Verarbeitung personenbezogener Daten in dieser Anwendung erfolgt auf Grundlage von:

Art. 6 Abs. 1 lit. b DSGVO — Erfüllung des Arbeitsvertrags (Bereitstellung von Arbeitsmitteln und IT-Zugangsverwaltung)
Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen der Bechtle GmbH an einer ordnungsgemäßen, revisionssicheren IT-Asset-Verwaltung sowie an der Absicherung des Anwendungszugangs (MFA, Audit-Log, Failed-Login-Alerts)
Art. 6 Abs. 1 lit. c DSGVO i. V. m. handels- und steuerrechtlichen Aufbewahrungspflichten (für PDF-Protokolle, historische Belege und Audit-Log)
Art. 6 Abs. 1 lit. a DSGVO — Einwilligung im Sonderfall der iOS-Push-Benachrichtigungen (Opt-In über iOS-System-Dialog)

6. Empfänger, Weitergabe und Drittland-Transfer

Die in dieser Anwendung verarbeiteten Daten verbleiben grundsätzlich im Konzern-internen Verbund der Bechtle GmbH innerhalb der EU. Eine Verarbeitung erfolgt durch folgende Empfänger:

6.1 Empfänger innerhalb der EU

Bechtle-Cloud-Infrastruktur (Hostname besg-c1-asset.bechtle.cloud) — Hosting der Webanwendung sowie der selbst-gehosteten Documenso-Instanz für die Remote-Signatur-Workflows. Standort: Deutschland / EU.
Microsoft Azure Communication Services (ACS) als Bechtle-zentral beauftragter SMTP-Mail-Dienst für Passwort-Reset, 2FA-Reset-Token, Failed-Login-Alerts und Benachrichtigungs-Mails. Datenresidenz: EU.
Befugte interne IT-Mitarbeitende der Bechtle GmbH mit den Rollen admin, it, lager oder audit.

6.2 Drittland-Transfer (USA)

Für die iOS-Begleit-App findet folgende Übermittlung in ein Drittland statt:

Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA — Bereitstellung von TestFlight (Beta-Verteilung an autorisierte Bechtle-Mitarbeitende) sowie des Apple Push Notification Service (APNS).
Übermittelt werden: Apple-ID des Testers (TestFlight), Geräteinformationen, Build-Installationsstatus, optionales Feedback, Crash-Logs sowie der APNS-Geräte-Token (siehe 4.6).
Rechtsgrundlage des Transfers: Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 zum EU-US Data Privacy Framework (Art. 45 DSGVO) — Apple Inc. ist im DPF zertifiziert. Ergänzend gelten EU-Standardvertragsklauseln aus dem Apple Developer Program License Agreement.

Eine Weitergabe an weitere externe Dritte (z. B. Analytics-, Werbe- oder Tracking-Anbieter) findet nicht statt. Die Bechtle GmbH erhält von Apple ausschließlich aggregierte Tester-Statistiken und ggf. explizit eingereichtes Feedback. Ein Profiling der Nutzerin/des Nutzers durch Apple zu Werbe- oder Analyse-Zwecken erfolgt nach Apple-Angaben nicht.

7. Auftragsverarbeitung (Art. 28 DSGVO)

Die folgenden Auftragsverarbeitungs-Verhältnisse bestehen aktuell. Die jeweiligen AVV-Verträge können beim Anwendungs-Ansprechpartner eingesehen werden:

Auftragsverarbeiter	Verarbeitungszweck	Sitz	AVV-Grundlage
Bechtle GmbH — Konzern-IT / Cloud-Hosting	Bereitstellung der Host-Infrastruktur `besg-c1-asset.bechtle.cloud`, Container-Plattform, Backup-Speicher	Deutschland / EU	Konzern-interne AVV nach Art. 28 DSGVO
Microsoft Deutschland GmbH (Azure Communication Services)	SMTP-Mailversand für Reset-Token, Failed-Login-Alerts, Benachrichtigungen	Datenresidenz EU (Datacenter Deutschland / Westeuropa)	Microsoft-DPA (Online Services Data Protection Addendum)
Apple Inc.	TestFlight-Verteilung der Beta-App, APNS-Push-Service	USA (DPF-zertifiziert)	Apple Developer Program License Agreement inkl. DPA + DPF (Art. 45 DSGVO)

Documenso wird als selbst-gehostete Instanz innerhalb der Bechtle-Cloud-Infrastruktur betrieben — es liegt insoweit keine externe Auftragsverarbeitung gegenüber der Documenso, Inc. (USA) vor; die Software wird ausschließlich als Open-Source-Komponente eingesetzt.

8. Speicherdauer

Aktive Mitarbeiterdaten bleiben gespeichert, solange das Beschäftigungsverhältnis besteht und Geräte zugeordnet sind.
Übergabe-, Rückgabe- und historische Übergabe-Belege werden im Rahmen der gesetzlichen Aufbewahrungsfristen (HGB §257 bis 6 Jahre, AO §147 bis 10 Jahre) archiviert.
Audit-Logs werden für die Dauer der Aufbewahrungspflicht unverändert vorgehalten und sind nicht löschbar.
Inaktive Konten können auf Anfrage über die Benutzerverwaltung deaktiviert oder DSGVO-konform anonymisiert werden (siehe Punkt 9).
APNS-Geräte-Token wird beim Logout, App-Deinstallation oder manueller Push-Deaktivierung serverseitig entfernt.

9. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO insbesondere folgende Rechte:

Auskunft (Art. 15 DSGVO) — über die zu Ihrer Person gespeicherten Daten; die Anwendung stellt hierfür einen automatisierten JSON-Export bereit
Berichtigung (Art. 16 DSGVO) — unrichtige Daten korrigieren lassen
Löschung (Art. 17 DSGVO) — wird in der Anwendung als Anonymisierung der personenbezogenen Felder ausgeführt, da die Übergabe-Belege gem. HGB/AO buchhalterisch aufzubewahren sind
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Grundlage berechtigten Interesses
Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) — z. B. der Push-Benachrichtigungen, jederzeit möglich über die iOS-Mitteilungs-Einstellungen ohne Rückwirkung auf die Rechtmäßigkeit der bisherigen Verarbeitung

Anfragen richten Sie bitte an sebastian.harbecke@bechtle.com oder den Datenschutzbeauftragten der Bechtle GmbH. Eine Antwort erfolgt innerhalb der gesetzlichen Frist von einem Monat. Jede DSGVO-Anfrage wird zusätzlich im Audit-Log der Anwendung dokumentiert.

10. Besonderheiten der iOS-App

Die iOS-Begleit-App Bechtle Rheinland Asset Manager wird über Apples TestFlight ausschließlich an autorisierte Bechtle-Mitarbeitende verteilt. Sie kommuniziert direkt mit der Webanwendung unter asset.bechtle-rheinland.com; es gibt keine zusätzlichen Backend-Dienste.

10.1 Lokale Speicherung auf dem Gerät (iOS-Keychain)

Die App nutzt den hardwaregeschützten iOS Keychain (Secure Enclave) ausschließlich für folgende technisch notwendige Daten:

Sitzungs-Cookie zur Aufrechterhaltung der Anmeldung — gerätegebunden, nicht aus iCloud-Backup wiederherstellbar
Profilanzeige-Daten (Name, E-Mail, Rolle) — damit das UI auch ohne Netzverbindung den eingeloggten User korrekt darstellt
Anwendungs-spezifischer Cache (Asset-/Mitarbeiter-Listen) — flüchtig, beim App-Beenden oder Logout entfernt
Keine dauerhafte Speicherung von Passwörtern, MFA-Codes, Tür-Token-PINs oder Geräte-Listen mit personenbezogenen Daten

Bei Logout oder serverseitiger Sitzungsbeendigung werden alle iOS-Keychain-Einträge der App gelöscht. Bei einer Deinstallation der App werden alle App-Daten durch iOS automatisch vollständig entfernt.

10.2 Kamera-Zugriff (QR- und Barcode-Scanner)

Die App nutzt die Kamera ausschließlich zum Scannen von QR-Codes, Barcodes und Inventar- etiketten beim Anlegen oder Inventarisieren von Geräten. Vor dem ersten Zugriff fragt iOS um Erlaubnis (NSCameraUsageDescription); ohne ausdrückliche Zustimmung ist der Scanner deaktiviert. Es werden keine Bilder, Videos oder Audio-Aufzeichnungen erstellt oder gespeichert — die Kamera-Daten bleiben ausschließlich im flüchtigen Arbeitsspeicher zur reinen Code-Erkennung über Apples VisionKit-Framework. Erkannt wird nur die Code-Zeichenkette, die direkt an den Asset-Server zur Suche gesendet wird.

10.3 Apple TestFlight

Bei der Verteilung über TestFlight verarbeitet Apple Inc. (One Apple Park Way, Cupertino, CA, USA) Tester-Daten (Apple-ID, Geräteinformationen, Build-Installationsstatus, optionales Feedback und Crash-Logs). Diese Verarbeitung erfolgt nach Apples eigenen Datenschutzbestimmungen (apple.com/legal/privacy). Die Bechtle GmbH erhält von Apple nur aggregierte Tester-Statistiken und ggf. von Testern explizit eingereichtes Feedback. Zur Rechtsgrundlage des Drittland-Transfers siehe Abschnitt 6.2.

10.4 Biometrische App-Sperre (Face ID / Touch ID)

Die App bietet eine optionale, lokal aktivierbare Re-Authentifizierung über Face ID, Touch ID oder Optic ID (je nach Gerät). Sie ersetzt nicht die Anmeldung am Server — sie schützt eine bereits hergestellte Sitzung lokal auf dem Gerät, indem die App nach Inaktivität (Standard: 60 Sekunden im Hintergrund) bei der Rückkehr in den Vordergrund einen biometrischen Entsperr-Vorgang verlangt.

Datenfluss: Die Prüfung erfolgt vollständig durch das iOS-System über das LocalAuthentication-Framework. Die App erhält ausschließlich ein binäres Ergebnis (Erfolg oder Fehlschlag).
Speicherung biometrischer Daten: findet ausschließlich in der hardwaregeschützten Secure Enclave des iPhones / iPads / Vision Pro statt. Die Daten verlassen das Gerät zu keinem Zeitpunkt und sind weder für die App noch für den Server zugreifbar.
Berechtigung: Vor dem ersten Aufruf fragt iOS um Erlaubnis (NSFaceIDUsageDescription); ohne Zustimmung steht die Funktion nicht zur Verfügung.
Fallback: Schlägt die biometrische Prüfung wiederholt fehl, kann alternativ der iOS-Geräte-Code verwendet werden (Apple-Standard-Verhalten).
Deaktivierung: Die Funktion lässt sich jederzeit unter Mehr → Sicherheit → App-Sperre abschalten. Bei Logout wird der Lock ohnehin aufgehoben.

Es werden keine Gesichts-, Fingerabdruck- oder Iris-Daten durch die Anwendung verarbeitet, gespeichert oder übertragen.

10.5 Push-Benachrichtigungen (APNS)

Seit Build 33 (Mai 2026) sind Push-Benachrichtigungen aktiv verfügbar (Opt-In). Datenverarbeitung und Drittland-Transfer siehe Abschnitt 4.6 bzw. 6.2.

10.6 Bluetooth-Zugriff (Brother-Etikettendrucker)

Für den optionalen Druck von Inventar-Etiketten direkt aus der App wird CoreBluetooth über das Brother-Print-SDK genutzt. Vor dem ersten Zugriff fragt iOS um Erlaubnis (NSBluetoothAlwaysUsageDescription). Es wird ausschließlich der zugelassene MFi-Drucker (z. B. Brother PT-P710BT) angesprochen; keine Erfassung umliegender Bluetooth-Geräte, Beacons oder Standortdaten.

10.7 Geplante Funktionen (zukünftige App-Versionen)

Folgende Funktionen sind für nachfolgende App-Versionen vorbereitet — der Datenschutzhinweis wird mit Aktivierung jeweils ergänzt:

Apple Passwords / iCloud-Schlüsselbund-AutoFill für die Anmelde-Felder via Associated Domains

11. Cookies, Sitzungen und Tracking

Die Webanwendung setzt ausschließlich technisch notwendige Cookies nach §25 Abs. 2 Nr. 2 TTDSG, die für den Betrieb der Anmeldung und der Sitzungsverwaltung zwingend erforderlich sind. Eine Einwilligung ist hierfür nicht erforderlich:

Cookie	Zweck	Lebensdauer	Typ
`session`	Authentifizierte Anmeldungssitzung (HMAC-SHA256-signiert via itsdangerous)	45 Min Inaktivität, max. 24 h	HttpOnly, Secure, SameSite=Lax
`csrf_token`	Cross-Site-Request-Forgery-Schutz für Formular-Posts	Sitzungs-Dauer	HttpOnly, Secure, SameSite=Lax

Es findet kein Tracking, keine Analyse-Cookies, keine Werbe-Pixel, keine externen Web-Fonts und kein Profiling statt. Es werden keine Daten an Drittanbieter wie Google, Facebook, LinkedIn o. Ä. übermittelt. Die Anwendung nutzt ausschließlich Bechtle-eigene oder selbst-gehostete Komponenten.

Die iOS-App speichert kein Werbe-Identifier (IDFA) und greift nicht auf den App-Tracking-Transparency-Dialog von iOS zu — das App-Privacy-Manifest (PrivacyInfo.xcprivacy) gibt NSPrivacyTracking = false aus.

12. Datensicherheit

Verschlüsselte Übertragung (TLS 1.2+ via Let's Encrypt, automatische Erneuerung)
Passwort-Hashing mit bcrypt
Tür-Token-PINs symmetrisch verschlüsselt (Fernet / AES)
Pflichtmäßige Zwei-Faktor-Authentifizierung (TOTP)
HTTP-Security-Header (CSP, HSTS, X-Frame-Options) via Talisman
Rate-Limiting für sicherheitskritische Endpunkte (10 Anmeldeversuche / Min)
Account-Lockout nach 5 Fehlversuchen, Mail-Alert an IT-Security
Tägliche Datensicherung mit automatischer Rotation
Zugriff über das interne Bechtle-Netz mit FortiGate-Web-Filtering

13. Meldung von Datenschutzverletzungen (Art. 33 / 34 DSGVO)

Sollte es zu einer Verletzung des Schutzes personenbezogener Daten kommen (z. B. unberechtigter Zugriff, ungewollte Offenlegung, Datenverlust), gilt folgender Ablauf:

Interne Meldung: unverzüglich (Ziel: innerhalb 24 h nach Kenntnis) an den Anwendungs-Ansprechpartner und an die/den Datenschutzbeauftragten der Bechtle GmbH.
Meldung an die Aufsichtsbehörde (LDI NRW): gemäß Art. 33 DSGVO binnen 72 Stunden, sofern ein Risiko für die Rechte und Freiheiten betroffener Personen besteht.
Benachrichtigung der Betroffenen: gemäß Art. 34 DSGVO unverzüglich, wenn ein hohes Risiko besteht (z. B. Offenlegung von Mitarbeiter-Stammdaten nach außerhalb der Bechtle GmbH).
Jeder Datenpannen-Vorgang wird im Audit-Log dokumentiert und ist über den Audit-Log-Export für eine spätere Aufsichtsprüfung verfügbar.

Der operative Workflow (Eskalation, Forensik, Wiederherstellung) ist im internen Betriebshandbuch OPERATIONS.md, Playbook E dokumentiert.

14. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für die Bechtle GmbH ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Postfach 20 04 44, 40102 Düsseldorf, ldi.nrw.de.

15. Änderungsvorbehalt

Diese Datenschutzerklärung wird bei wesentlichen Änderungen der Anwendung oder der rechtlichen Rahmenbedingungen angepasst. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar. Stand der vorliegenden Fassung: 26. Mai 2026.