Datenschutzerklärung
Stand: April 2026
1. Verantwortlicher
Ingenieurbüro Dr. Thomas BischofEichendorffstr. 2
76676 Graben-Neudorf
Telefon: (+49) 176 20062081
E-Mail: thomas.bischof@acoustics-consulting.com
2. Überblick
kinServer ist ein geschlossenes Ingenieur-Werkzeug zur Erstellung, Verwaltung und Berechnung kinematischer Getriebemodelle sowie zur Ablage technischer Dokumente. Ein öffentlicher Zugang besteht nicht — jeder Nutzer wird nach Registrierung manuell durch einen Administrator freigeschaltet.
3. Erhobene personenbezogene Daten
| Datenkategorie | Inhalt | Zweck |
|---|---|---|
| Nutzerkonto | Name, E-Mail-Adresse, gehashtes Passwort | Authentifizierung und Nutzeridentifikation |
| 2FA-Secret | TOTP-Schlüssel (optional, bei aktivierter Zwei-Faktor-Authentifizierung) | Erhöhte Kontosicherheit |
| Registrierungsantrag | Begründungstext, Zeitstempel | Prüfung und Freischaltung durch Administrator |
| Kontoaktivierung | Zeitstempel der Freischaltung | Dokumentation der Kontoaktivierung |
| Session-Token | HTTP-Only-Cookie im Browser | Aufrechterhaltung der angemeldeten Sitzung |
| Ersteller-Referenzen | Nutzer-ID bei erstellten Modellen / Dokumenten | Zuweisung von Inhalten zum Ersteller |
Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden nicht verarbeitet.
4. Rechtsgrundlagen der Verarbeitung
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung von Zugangsdaten zur Erbringung des Dienstes.
- Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen): Sicherstellung des sicheren Betriebs und Schutz vor unbefugtem Zugriff.
5. Cookies
Diese Anwendung verwendet ausschließlich technisch notwendige Cookies:
| Cookie | Zweck |
|---|---|
| Session-Cookie (HTTP-Only) | Authentifizierung |
| Impersonations-Cookie (temporär, nur Admins) | Administrator-Supportfunktion |
Es werden keine Marketing-, Tracking- oder Analyse-Cookies eingesetzt. Es kommen keine Drittanbieter-Skripte (z. B. Google Analytics) zum Einsatz. Rechtsgrundlage für den Einsatz der technisch notwendigen Cookies: § 25 Abs. 2 Nr. 2 TDDDG sowie Art. 6 Abs. 1 lit. b DSGVO. Eine Einwilligung ist nicht erforderlich.
6. Hosting und Auftragsverarbeitung
Die Anwendung wird auf Servern der Strato AG, Berlin (Deutschland) betrieben. Die Rechenzentren befinden sich in Deutschland (ISO 27001 zertifiziert). Mit der Strato AG besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU findet nicht statt.
7. Server-Zugriffslogs
Beim Aufruf der Anwendung verarbeitet der Webserver der Strato AG automatisch technische Zugriffsdaten, darunter IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Methode und Statuscode. Diese Daten werden in Server-Zugriffsprotokollen gespeichert und dienen der Sicherstellung des technischen Betriebs sowie der Abwehr von Angriffen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen: IT-Sicherheit, Betriebsstabilität). Die Logs werden nach spätestens 7 Tagen automatisch überschrieben. Eine Weitergabe an Dritte findet nicht statt, sofern keine gesetzliche Verpflichtung besteht.
8. E-Mail-Versand
Für Registrierungsbenachrichtigungen und E-Mail-Verifizierungen wird ein SMTP-Server genutzt (betrieben von Strato AG). Dabei werden Name und E-Mail-Adresse des Nutzers an den Mailserver übermittelt. E-Mail-Adressen werden ausschließlich für den direkten Dienst-Kontakt genutzt und nicht an Dritte weitergegeben.
9. Aktivitätsprotokoll
Zur Qualitätssicherung und Nachvollziehbarkeit protokolliert die Anwendung bestimmte Benutzeraktionen in einer internen Aktivitätsdatenbank. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen: Betriebssicherheit, Integritätsprüfung).
Protokolliert werden unter anderem: Anmeldungen, Erstellen und Löschen von Modellen und Versionen, Umbenennen und Verschieben von Knoten sowie der Beginn und das Ende von Administratoren-Impersonierungssitzungen. Zu jeder Aktion werden gespeichert: Zeitstempel, Benutzer-ID (wird bei Kontolöschung auf NULL gesetzt), Name des Benutzers als Textkopie (bleibt erhalten), ggf. Name des impersonierenden Administrators sowie Bezeichnung der betroffenen Ressource.
Impersonierungsereignisse sind für alle angemeldeten Benutzer einsehbar (Transparenzgebot). Alle übrigen Einträge sind nur dem jeweiligen Benutzer selbst sowie Administratoren zugänglich.
Aktivitätsprotokoll-Einträge werden automatisiert nach 6 Monaten durch einen täglich ausgeführten Cron-Job gelöscht.
10. Speicherdauer
Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Nutzerdaten aktiver Konten werden auf schriftliche Anfrage gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Nicht freigeschaltete Registrierungsanträge — d. h. Konten, bei denen die E-Mail-Verifizierung oder die Admin-Freischaltung innerhalb von 30 Tagen nach Registrierung nicht abgeschlossen wurde — werden automatisiert durch einen täglich ausgeführten Prozess (Cron-Job) gelöscht. Dies betrifft auch den zugehörigen Begründungstext.
11. Ihre Rechte
Sie haben bezüglich Ihrer personenbezogenen Daten folgende Rechte:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Beschwerderecht bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO)
Anfragen werden gemäß Art. 12 DSGVO innerhalb von einem Monat nach Eingang beantwortet. Bei besonderer Komplexität oder einer großen Anzahl von Anfragen kann diese Frist um bis zu zwei weitere Monate verlängert werden; Sie werden in diesem Fall vorab informiert.
Zur Geltendmachung Ihrer Rechte wenden Sie sich an: thomas.bischof@acoustics-consulting.com
Zuständige Aufsichtsbehörde: Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) — www.baden-wuerttemberg.datenschutz.de
Privacy Policy
Last updated: April 2026
1. Controller
Ingenieurbüro Dr. Thomas Bischof (Engineering Office Dr. Thomas Bischof)Eichendorffstr. 2
76676 Graben-Neudorf, Germany
Phone: (+49) 176 20062081
E-Mail: thomas.bischof@acoustics-consulting.com
2. Overview
kinServer is a closed engineering tool for creating, managing, and computing kinematic gearbox models and for storing technical documents. There is no public access — every user must register and is manually approved by an administrator.
3. Personal Data Collected
| Category | Content | Purpose |
|---|---|---|
| User account | Name, email address, hashed password | Authentication and user identification |
| 2FA secret | TOTP key (optional, when two-factor authentication is enabled) | Enhanced account security |
| Registration request | Justification text, timestamp | Review and approval by administrator |
| Account activation | Approval timestamp | Documentation of account activation |
| Session token | HTTP-only cookie in the browser | Maintaining the authenticated session |
| Creator references | User ID on created models / documents | Assigning content to its creator |
Special categories of personal data pursuant to Art. 9 GDPR are not processed.
4. Legal Basis
- Art. 6(1)(b) GDPR (Contract performance): Processing of access data to provide the service.
- Art. 6(1)(f) GDPR (Legitimate interests): Ensuring secure operation and protection against unauthorized access.
5. Cookies
This application uses only technically necessary cookies:
| Cookie | Purpose |
|---|---|
| Session cookie (HTTP-only) | Authentication |
| Impersonation cookie (temporary, admin-only) | Administrator support function |
No marketing, tracking, or analytics cookies are used. No third-party scripts (e.g., Google Analytics) are deployed. Legal basis for technically necessary cookies: § 25 para. 2 no. 2 TDDDG (German Telecommunications Digital Services Data Protection Act) and Art. 6(1)(b) GDPR. No consent is required.
6. Hosting and Data Processing Agreement
The application is hosted on servers of Strato AG, Berlin (Germany). The data centers are located in Germany (ISO 27001 certified). A data processing agreement in accordance with Art. 28 GDPR has been concluded with Strato AG. No transfer of personal data to third countries outside the EU takes place.
7. Server Access Logs
When accessing the application, the web server of Strato AG automatically processes technical access data, including IP address, timestamp, requested URL, HTTP method, and status code. This data is stored in server access logs for the purpose of ensuring technical operation and defending against attacks. The legal basis is Art. 6(1)(f) GDPR (legitimate interests: IT security, operational stability). Logs are automatically overwritten after a maximum of 7 days. No disclosure to third parties takes place unless required by law.
8. Email Transmission
An SMTP server (operated by Strato AG) is used for registration notifications and email verification. This involves transmitting the user's name and email address to the mail server. Email addresses are used solely for direct service communication and are not passed on to third parties.
9. Activity Log
To ensure quality and traceability, the application records certain user actions in an internal activity database. The legal basis is Art. 6(1)(f) GDPR (legitimate interests: operational security, integrity monitoring).
Actions recorded include: logins, creation and deletion of models and versions, renaming and moving of nodes, and the start and end of administrator impersonation sessions. Each entry stores: timestamp, user ID (set to NULL upon account deletion), a text snapshot of the user's name (retained), optionally the name of the impersonating administrator, and the name of the affected resource.
Impersonation events are visible to all logged-in users (transparency principle). All other entries are accessible only to the respective user and to administrators.
Activity log entries are automatically deleted after 6 months by a daily cron job.
10. Retention Period
Personal data is deleted or blocked once the purpose of storage no longer applies. Data of active user accounts is deleted upon written request, provided no statutory retention obligations prevent this. Incomplete registration requests — i.e. accounts where email verification or administrator approval has not been completed within 30 days of registration — are deleted automatically by a daily scheduled process (cron job). This also applies to the associated justification text.
11. Your Rights
You have the following rights regarding your personal data:
- Right of access (Art. 15 GDPR)
- Right to rectification (Art. 16 GDPR)
- Right to erasure (Art. 17 GDPR)
- Right to restriction of processing (Art. 18 GDPR)
- Right to data portability (Art. 20 GDPR)
- Right to object (Art. 21 GDPR)
- Right to lodge a complaint with the competent supervisory authority (Art. 77 GDPR)
Requests will be answered within one month of receipt in accordance with Art. 12 GDPR. In cases of particular complexity or a high volume of requests, this period may be extended by up to two additional months; you will be informed in advance if this applies.
To exercise your rights, contact: thomas.bischof@acoustics-consulting.com
Competent supervisory authority: State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW) — www.baden-wuerttemberg.datenschutz.de