1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Erhobene Daten

Im Rahmen der Nutzung von Stabstrainer werden folgende personenbezogene Daten verarbeitet:

Kontodaten

• E-Mail-Adresse (Pflicht)
• Vorname und Nachname (Pflicht)
• Passwort (verschlüsselt gespeichert, bcrypt)
• Anzeigename, Telefonnummer, Abteilung (optional)

Nutzungsdaten

• IP-Adresse und User-Agent bei der Anmeldung
• Zeitpunkt der letzten Anmeldung
• Fehlgeschlagene Anmeldeversuche
• Sitzungsdaten (automatisch nach 30 Minuten Inaktivität gelöscht)

Übungsdaten

• Teilnahme an Stabsübungen und zugewiesene Rollen
• Eingaben in Sachgebieten (Einsatztagebuch, Aufgaben, Nachrichten)
• Kartenmarkierungen und Lageinformationen
• Lageeinspielungs-Antworten und Bewertungen
• Lernfortschritt im Lernmodus

3. Zweck der Verarbeitung

• Vertragserfüllung: Bereitstellung des Benutzerkontos, Durchführung von Stabsübungen, Auswertung und Lernmodus
• IT-Sicherheit: Schutz vor unberechtigtem Zugriff durch Sicherheitsprotokolle, Rate Limiting und Audit-Logging
• Systembenachrichtigungen: E-Mail-Benachrichtigungen zu Kontoaktivitäten (z.B. Passwort-Zurücksetzung)

4. Rechtsgrundlage

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Die Verarbeitung der Kontodaten und Übungsdaten ist für die Nutzung der Plattform erforderlich.
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Sicherheitsprotokolle und Audit-Logs dienen dem Schutz der Plattform und ihrer Nutzenden.
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Optionale Cookies (funktional, analytisch) werden nur mit Ihrer ausdrücklichen Zustimmung gesetzt.

5. Speicherdauer

• Kontodaten: Bis zur Löschung des Kontos durch die nutzende Person
• Sitzungsdaten: Maximal 8 Stunden (absolute Sitzungsdauer) bzw. 30 Minuten nach letzter Aktivität
• Übungsdaten: 365 Tage nach Übungsende, danach Anonymisierung
• Sicherheitsprotokolle: 2 Jahre (BSI-Aufbewahrungspflicht), Benutzer-ID wird bei Kontolöschung anonymisiert

6. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit eine Kopie Ihrer gespeicherten Daten anfordern. Nutzen Sie dafür die Exportfunktion in Ihrem Profil.
• Berichtigungsrecht (Art. 16 DSGVO): Sie können unrichtige Daten in Ihrem Profil jederzeit korrigieren.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihres Kontos beantragen. Ihre personenbezogenen Daten werden anonymisiert.
• Recht auf Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten als maschinenlesbaren JSON-Export herunterladen.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.
• Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren.

7. Cookies und lokale Speicherung

Stabstrainer verwendet die folgenden Cookie-Kategorien:

Notwendige Cookies

Session-Token zur Authentifizierung (Dauer: maximal 8 Stunden). Diese Cookies sind für den Betrieb der Plattform zwingend erforderlich.

Funktionale Cookies

Benutzereinstellungen wie Kartenstil, bevorzugtes Sachgebiet und Tour-Status (localStorage). Nur mit Ihrer Zustimmung.

Analytische Cookies

Derzeit werden keine analytischen Cookies eingesetzt. Sollte sich dies ändern, werden Sie erneut um Einwilligung gebeten.

8. Datenweitergabe an Dritte

Ihre personenbezogenen Daten werden nicht an Dritte weitergegeben. Die gesamte Datenverarbeitung erfolgt auf Servern innerhalb der Europäischen Union. Es findet keine Übermittlung in Drittländer statt.

9. Technische und organisatorische Maßnahmen

• Verschlüsselung aller Daten während der Übertragung (TLS)
• Passwort-Hashing mit bcrypt (Kostenfaktor 12, BSI-konform)
• Automatisches Session-Timeout nach 30 Minuten Inaktivität
• Rate Limiting zum Schutz vor Brute-Force-Angriffen
• Rollenbasierte Zugriffskontrolle (RBAC)
• Optionale Zwei-Faktor-Authentifizierung (TOTP)
• Audit-Logging aller sicherheitsrelevanten Aktionen

10. Einsatz von Künstlicher Intelligenz

Stabstrainer nutzt optionale KI-Funktionen zur Trainingsunterstützung. Die Nutzung erfolgt nur bei aktivierter Konfiguration durch die Systemadministration.

Zweck der KI-Nutzung

• Szenariogenerierung: Automatische Erstellung von Übungsdrehbüchern
• Micro-Simulationen: KI simuliert Gegenpartei für Einzeltraining
• Multi-Agenten: KI simuliert fiktive Personen (Presse, Bevölkerung) während Übungen
• Auswertung: KI-gestützte Analyse der Übungsleistung

Verarbeitete Daten

An KI-Anbieter werden ausschließlich Übungsparameter und simulierte Entscheidungen übermittelt. Personenbezogene Daten werden nicht an KI-Anbieter weitergegeben. Es werden keine echten Einsatzdaten verarbeitet.

Empfänger

Je nach Konfiguration: OpenRouter LLC, Anthropic PBC oder OpenAI Inc. Alle Anbieter unterliegen Auftragsverarbeitungsverträgen.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Details finden Sie auf der KI-Transparenzseite.

11. Kontakt

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

Zuständige Datenschutzaufsichtsbehörde: Der/die Landesbeauftragte für den Datenschutz des jeweiligen Bundeslandes.