Aptli

Datenschutzrichtlinie

Einführung

Diese Datenschutzrichtlinie erklärt, wie Aptli ("wir", "uns" oder "der Service") Ihre Informationen sammelt, verwendet und schützt. Wir verpflichten uns, die Vertraulichkeit und Sicherheit Ihrer Daten zu wahren, während wir eine kommerzielle Plattform für das Infrastruktur-Asset-Management betreiben.

Unser Datenschutzversprechen

Wir TUN NICHT:

  • Ihre Daten unter keinen Umständen an Dritte verkaufen.
  • Ihre Informationen mit anderen Kunden oder Organisationen teilen.
  • Ihre Daten für Werbung, Marketing oder Data-Mining-Zwecke verwenden.
  • Benutzerverhalten zu anderen Zwecken als der Verbesserung der Service-Leistung und -Zuverlässigkeit verfolgen.
  • Auf Ihre Datenbank ohne ausdrückliche Genehmigung zugreifen (siehe Ausnahmen unten).

Datenisolierung zwischen Kunden

Jede Kundeneinführung gewährleistet vollständige Datenisolierung:

  • Dedizierte Datenbanken: Jeder Kunde verwendet eine separate Datenbankinstanz ohne Cross-Client-Datenzugriff.
  • Separate Infrastruktur: SaaS-Einführungen (clientname.aptli.io) verwenden isolierte Serverressourcen, Speicher und Computing-Umgebungen.
  • Keine Datenteilung: Ihre Inventurtransaktionen, Arbeitsberichte, GIS-Features, Benutzerinformationen und alle anderen Daten bleiben ausschließlich Ihnen und sind niemals für andere Kunden sichtbar.
  • Domain-Struktur: Während mehrere Kunden die aptli.io-Domain für Routing-Zwecke teilen können, bleiben alle Daten und Infrastruktur vollständig isoliert.

Informationen, die wir sammeln

Wir sammeln nur die Informationen, die zur Bereitstellung und Verbesserung des Services erforderlich sind:

Konto- und Authentifizierungsdaten

  • E-Mail-Adresse (für Anmeldung und Kontowiederherstellung)
  • Passwort (verschlüsselt und niemals im Klartext gespeichert)
  • OAuth-Anbieterinformationen (falls GitHub- oder Google-Authentifizierung verwendet wird)
  • Zwei-Faktor-Authentifizierungscodes (TOTP, verschlüsselt gespeichert)

Betriebsdaten

  • Benutzerprofile (Name, Titel, Abteilung, Telefonnummer für 2FA)
  • Inventurtransaktionen (Ressourcen, Standorte, Mengen, GPS-Koordinaten)
  • Arbeitsausführungsaufzeichnungen (Aufgaben, Zuweisungen, Berichte, Validierungen)
  • GIS-Features (Punkte, Linien, Polygone, Eigenschaften, Versionshistorie)
  • QR-Code-Scans (Scanner-Identität, Zeitstempel, GPS-Standort, Autorisierungstoken)
  • Datei-Uploads (Fotos, Dokumente, Anhänge zu Berichten)

Leistungs- und technische Daten

  • Server-Leistungsmetriken (Antwortzeiten, Fehlerquoten, Ressourcennutzung)
  • Anwendungsprotokolle (für Debugging und Sicherheitsüberwachung)
  • Browser- und Geräteinformationen (für Kompatibilität und Optimierung)
  • IP-Adressen (für Sicherheit und Authentifizierung)
  • IP-Adressen (für Sicherheit und Authentifizierung)

Wie wir Informationen verwenden

Gesammelte Informationen werden ausschließlich für folgende Zwecke verwendet:

  • Service-Bereitstellung: Bereitstellung von Inventurverfolgung, Arbeitsausführung und GIS-Feature-Management-Funktionalität.
  • Authentifizierung und Sicherheit: Überprüfung der Benutzeridentität, Durchsetzung von Rollenbeschränkungen und Erkennung unbefugten Zugriffs.
  • Leistungsoptimierung: Überwachung der Systemgesundheit, Identifizierung von Engpässen und Verbesserung der Zuverlässigkeit.
  • Support und Fehlerbehebung: Beantwortung von Support-Tickets, Diagnose technischer Probleme und Lösung von Problemen.
  • System-Upgrades: Durchführung autorisierter Datenmodell-Migrationen und Schema-Änderungen.
  • Rechtliche Compliance: Erfüllung regulatorischer Anforderungen und Reaktion auf gültige rechtliche Prozesse.

Datenbank-Zugriffsrichtlinie

Unsere Mitarbeiter greifen NICHT unter normalen Betrieben auf Ihre Datenbank oder Anwendungsdaten zu. Zugriff erfolgt NUR in diesen spezifischen Situationen:

Vorab genehmigte System-Upgrades

Datenmodell-Upgrades, Schema-Migrationen oder strukturelle Änderungen, die eine vorherige schriftliche Genehmigung von Ihrem designierten Administrator erhalten haben. Alle geplanten Upgrades werden im Voraus kommuniziert mit:

  • Detaillierte Beschreibung der Änderungen
  • Geschätzte Ausfallzeit (falls vorhanden)
  • Rollback-Verfahren im Falle von Problemen
  • Testverfahren zur Validierung des Erfolgs

Notfall-Technischer Support

Kritische Systemausfälle, Datenintegritätsprobleme oder Sicherheitsvorfälle, die eine sofortige Lösung erfordern. In diesen Fällen:

  • Ihr Administrator wird sofort benachrichtigt
  • Zugriff ist auf das Minimum beschränkt, das zur Lösung des Problems notwendig ist
  • Alle Aktionen werden mit Zeitstempeln und Beschreibungen protokolliert
  • Nach-Incident-Berichte werden auf Anfrage bereitgestellt

Direkte Support-Anfragen

Fehlerbehebung spezifischer Probleme, die über Support-Tickets, Anrufe oder E-Mails gemeldet werden, wenn Sie ausdrücklich den Datenbankzugriff zur Untersuchung autorisieren. Genehmigung wird vor jedem Zugriff eingeholt.

Support-Ticket-Vertraulichkeit

Informationen, die Sie über Support-Kanäle bereitstellen (Tickets, E-Mails, Anrufe), werden als streng vertraulich behandelt:

  • Sicher gespeichert mit Zugriff beschränkt auf Support-Personal
  • Niemals mit anderen Kunden oder Dritten geteilt
  • Ausschließlich zur Lösung Ihrer spezifischen Probleme verwendet
  • Nach unseren Datenaufbewahrungsrichtlinien aufbewahrt
  • Auf Anfrage für Ihre Überprüfung oder Löschung verfügbar

Mobile Anwendungsdaten

Die Progressive Web App (PWA) für mobile Feldoperationen:

  • Lokaler Speicher: Cached Daten auf Ihrem Gerät für Offline-Funktionalität. Cached Daten sind verschlüsselt und werden automatisch synchronisiert, wenn online.
  • GPS-Standort: Wird nur verwendet, wenn Sie explizit QR-Codes scannen oder standortverfolgte Transaktionen erstellen. Standortdaten werden mit der Transaktion gespeichert (nicht kontinuierlich verfolgt).
  • Kamera-Zugriff: Wird nur für QR-Code-Scanning und Foto-Uploads zu Berichten verwendet. Fotos werden direkt in Ihre Einführung hochgeladen, niemals in gemeinsamen Speicher.
  • Push-Benachrichtigungen: Nur Opt-in. Wird für Zuweisungsbenachrichtigungen und Systemalarme verwendet.

Drittanbieter-Services

Wir verwenden begrenzte Drittanbieter-Services für den Service-Betrieb:

  • OAuth-Anbieter: GitHub und Google für optionale Authentifizierung (Sie kontrollieren, welche Anbieter aktiviert sind).
  • E-Mail-Services: Für Kontoverifizierung, Passwort-Resets und Systembenachrichtigungen.
  • Infrastruktur-Anbieter: Cloud-Hosting-Services für SaaS-Einführungen (mit Datenisolierung wie oben beschrieben).

Drittanbieter-Services sind an Vertraulichkeitsvereinbarungen gebunden und verarbeiten Daten nur nach Bedarf, um ihre spezifische Funktion bereitzustellen. Wir teilen Kundendaten nicht mit Dritten für deren eigene Zwecke.

KI-Assistenten-Funktionen (Opt-in)

Der Service bietet optionale KI-gestützte Funktionen (Intelligente Suche, Datenanalyse, Schreibassistenz). Diese Funktionen sind nur Opt-in und vollständig optional. Je nach Ihrer Deployment-Konfiguration können Abfragen von einem der folgenden Anbieter verarbeitet werden:

Verfügbare KI-Anbieter

Cloud-basierte Anbieter (Daten verlassen Ihre Umgebung):

Lokal bereitgestellter Anbieter (Daten bleiben in Ihrer Umgebung):

  • DeepSeek (lokales Deployment) — wenn als lokal gehostetes Modell konfiguriert, werden alle Abfragen vollständig innerhalb Ihrer eigenen Infrastruktur verarbeitet. Es werden keine Daten an Dritte übermittelt. Diese Option hat keine datenschutzrechtlichen Auswirkungen durch Dritte.

Ihr Administrator wählt den aktiven Anbieter für Ihr Deployment. Kontaktieren Sie Ihren Administrator, wenn Sie unsicher sind, welcher Anbieter verwendet wird.

Wie KI-Funktionen Arbeiten

Wenn Sie KI-Funktionen in Ihren Benutzereinstellungen aktivieren:

  • Ihre natürlichen Sprachabfragen werden zur Verarbeitung an den konfigurierten KI-Anbieter gesendet
  • Kontext von Ihrer aktuellen Seite (sichtbare Datensätze, Kartendaten, ausgewählte Elemente) wird in Abfragen eingeschlossen
  • Antworten werden vom KI-Anbieter generiert und Ihnen über den Service zurückgegeben
  • Dateianhänge, die Sie mit Abfragen einschließen, werden an den Anbieter zur Analyse gesendet

Was Wir NICHT Tun

  • Aptli sieht, speichert oder sammelt Ihre KI-Abfragen oder -Antworten nicht
  • Wir protokollieren keine Abfrageinhalte, KI-Antworten oder angehängte Dateien
  • Wir verwenden KI-Daten nicht für Training, Analyse oder andere Zwecke
  • Wir teilen KI-bezogene Daten nicht mit anderen Kunden oder Dritten

Drittanbieter-KI-Anbieter

Wenn ein Cloud-Anbieter konfiguriert ist, werden Ihre Abfragen und Kontext von diesem Dritten verarbeitet:

  • Was der Anbieter erhält: Ihre Abfragen, sichtbare Datensätze von Ihrer aktuellen Seite, Kartengrenzen, Layernamen und alle Dateien, die Sie anhängen
  • Datennutzung: Sowohl Anthropic als auch Google geben in ihren kommerziellen API-Bedingungen an, dass sie keine Modelle auf Kundendaten trainieren, die über API gesendet werden. Lesen Sie die Datenschutzrichtlinie jedes Anbieters über die obigen Links.
  • Datenstandort: Verarbeitet auf der Infrastruktur des Anbieters (kann globale Cloud-Regionen einschließen)
  • Unsere Rolle: Aptli handelt ausschließlich als technischer Vermittler. Wir greifen nicht zu oder behalten die ausgetauschten Daten

Ihre Kontrolle über KI-Funktionen

  • Opt-in erforderlich: KI-Funktionen sind standardmäßig deaktiviert. Sie müssen sie explizit in Ihren Kommunikationspräferenzen aktivieren
  • Jederzeit deaktivieren: Deaktivieren Sie KI-Funktionen in Ihren Benutzereinstellungen, um sofort alle Abfragen an den KI-Anbieter zu stoppen
  • Berechtigung erforderlich: Ihr Administrator muss Ihnen die Berechtigung "canRunAiQueries" erteilen, um auf KI-Funktionen zuzugreifen
  • Ratenbegrenzung: Nutzung ist begrenzt, um übermäßige Kosten zu vermeiden (Standard: 20 Abfragen pro Stunde)

Informierte Zustimmung

Durch Aktivierung von KI-Funktionen in Ihren Einstellungen erkennen Sie an und stimmen zu, dass:

  • Ihre Abfragen und Anwendungskontext an den konfigurierten KI-Anbieter gesendet werden (Anthropic Claude oder Google Gemini bei Cloud-Nutzung)
  • Dieser Dritte diese Daten verarbeitet, um KI-Antworten zu generieren
  • Obwohl Aptli diese Daten nicht protokolliert, kann der Anbieter sie gemäß seinen eigenen Datenschutzrichtlinien verarbeiten
  • Diese Daten können sensible Geschäftsinformationen aus Ihren sichtbaren Datensätzen, Karten oder Anhängen enthalten

Wenn Sie Bedenken bezüglich Datenschutz oder Drittverarbeitung haben, aktivieren Sie KI-Funktionen nicht, oder bitten Sie Ihren Administrator, ein lokales DeepSeek-Deployment zu konfigurieren. Der Service funktioniert vollständig ohne KI-Unterstützung.

Datenaufbewahrung

Wir bewahren Daten nach folgenden Richtlinien auf:

  • Betriebsdaten: Aufbewahrt, solange Ihr Konto aktiv ist. Inventurtransaktionen, Arbeitsberichte und GIS-Features verwenden unveränderliche Audit-Trails (Korrekturen fügen neue Datensätze hinzu, Historie wird niemals gelöscht).
  • Gelöschte Datensätze: Soft-gelöscht mit konfigurierbaren Aufbewahrungszeiträumen. Permanent gelöscht nach Ablauf der Aufbewahrungszeit, es sei denn, rechtliche Haltefristen gelten.
  • Kontodaten: Aufbewahrt für 90 Tage nach Kontobeendigung, um Datenexport und Kontowiederherstellung zu ermöglichen. Danach permanent gelöscht.
  • Leistungsprotokolle: Aufbewahrt für 90 Tage für Fehlerbehebung und Sicherheitsanalyse.
  • Support-Tickets: Aufbewahrt für Aufzeichnungszwecke und kontinuierliche Verbesserung, es sei denn, Löschung wird angefordert.

Ihre Datenrechte

Sie haben das Recht auf:

  • Zugriff: Anforderung von Kopien aller Daten, die über Ihre Organisation gespeichert sind.
  • Export: Herunterladen Ihrer Daten in Standardformaten (GeoJSON, CSV, JSON).
  • Korrektur: Aktualisierung oder Korrektur ungenauer Informationen über die Service-Schnittstelle.
  • Löschung: Anforderung der Löschung spezifischer Datensätze oder ganzer Datensätze (unter Vorbehalt rechtlicher Aufbewahrungspflichten).
  • Audit-Protokolle: Anforderung von Zugriffsprotokollen, die zeigen, wann unsere Mitarbeiter auf Ihre Datenbank zugegriffen haben.
  • Portabilität: Erhalt Ihrer Daten in maschinenlesbaren Formaten für die Übertragung zu anderen Systemen.

Sicherheitsmaßnahmen

Wir implementieren branchenübliche Sicherheitspraktiken:

  • Verschlüsselte Datenübertragung (TLS/SSL)
  • Verschlüsselte Datenspeicherung (at rest)
  • Serverseitiges Rendering (SSR) zur Verhinderung unbefugten Datenzugriffs
  • Vier-Schichten-Sicherheitsmodell (Authentifizierung, Admin-Rechte, Rollenbeschränkungen, SSR-Durchsetzung)
  • Regelmäßige Sicherheitsaudits und Schwachstellenbewertungen
  • Sicheres Passwort-Hashing (bcrypt mit Salt)
  • Zwei-Faktor-Authentifizierung-Unterstützung (TOTP)
  • Session-Management mit automatischen Timeouts
  • IP-basierte Zugriffskontrollen (wenn konfiguriert)

Strafverfolgung und rechtliche Compliance

Wir halten uns vollständig an Bundes-, Staats- und lokale Gesetze:

  • Reaktion auf gültige Vorladungen, Gerichtsbeschlüsse und Durchsuchungsbefehle
  • Zusammenarbeit mit Strafverfolgungsbehörden-Untersuchungen
  • Meldung vermuteter illegaler Aktivitäten, wenn gesetzlich erforderlich
  • Bewahrung von Daten, wenn gesetzlich vorgeschrieben (Prozess-Haltefristen)

Wenn gesetzlich erlaubt, werden wir Sie benachrichtigen, bevor wir Ihre Daten mit Strafverfolgungsbehörden oder Regierungsbehörden teilen.

Änderungen an dieser Datenschutzrichtlinie

Wir können diese Datenschutzrichtlinie aktualisieren, um Änderungen in unseren Praktiken, rechtlichen Anforderungen oder Service-Features widerzuspiegeln. Wesentliche Änderungen werden kommuniziert über:

  • E-Mail-Benachrichtigung an Ihren designierten Administrator
  • In-App-Benachrichtigungen beim Login
  • Prominente Mitteilung auf der Service-Homepage

Mitteilung wird mindestens 30 Tage vor Inkrafttreten der Änderungen bereitgestellt. Fortgesetzte Nutzung des Services nach Inkrafttreten der Änderungen stellt Annahme der aktualisierten Datenschutzrichtlinie dar.

Datenschutz für Kinder

Der Service ist für kommerzielle und professionelle Nutzung konzipiert. Wir sammeln wissentlich keine Informationen von Personen unter 18 Jahren. Wenn Sie glauben, dass ein Minderjähriger uns Informationen bereitgestellt hat, kontaktieren Sie uns bitte sofort zur Entfernung.

Internationale Benutzer

Wenn Sie auf den Service von außerhalb der Vereinigten Staaten zugreifen, können Ihre Daten in die Vereinigten Staaten oder andere Länder übertragen und dort verarbeitet werden, wo wir oder unsere Service-Anbieter tätig sind. Durch die Nutzung des Services stimmen Sie solchen Übertragungen und Verarbeitungen zu.

Kontaktinformationen

Für Fragen zu dieser Datenschutzrichtlinie, zur Ausübung Ihrer Datenrechte oder zur Anforderung von Zugriffsprotokollen, kontaktieren Sie uns bitte über:

  • Support-Kanäle innerhalb des Services (Hilfe-Anfrage-Formular)
  • E-Mail an die in Ihrem Service-Vertrag angegebene Adresse
  • Telefon-Support (falls in Ihrem Service-Plan enthalten)

Wir werden auf Datenschutzanfragen innerhalb von 30 Tagen antworten.

← Startseite