Rechtliches
Datenschutzerklärung
Diese Erklärung gilt für das interne Admin-Dashboard unteradmin.uniqueflow-it.de.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung in dieser Anwendung ist:
UniqueFlow IT – Domenik Häring
Domenik Häring
Mauerstraße 51 b
38640 Goslar
Deutschland
Telefon: 0155 10142337 (auch per WhatsApp Business erreichbar)
E-Mail: info@uniqueflow-it.de
2. Zweck und Charakter dieser Anwendung
Diese Anwendung ist ein internes Admin-Dashboard zur Verwaltung und Überwachung der von mir betriebenen IT-Infrastruktur (insbesondere der über Coolify verwalteten Anwendungen und Services). Sie ist nicht für die Nutzung durch Dritte vorgesehen. Der Zugriff ist mit Passwort und Zwei-Faktor-Authentifizierung (TOTP) geschützt; die Login-Seite ist öffentlich erreichbar, eine Anmeldung jedoch nur durch berechtigte Personen möglich.
3. Allgemeine Hinweise zur Datenverarbeitung
Der Schutz personenbezogener Daten ist mir wichtig. Personenbezogene Daten werden ausschließlich im Rahmen der gesetzlichen Vorschriften verarbeitet, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).
Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.
4. Hosting und Server-Logfiles
Beim Aufruf dieser Anwendung werden durch die zugrundeliegende Hosting-Umgebung technische Informationen automatisch erfasst. Hierzu zählen insbesondere:
- IP-Adresse
- Datum und Uhrzeit des Zugriffs
- aufgerufene Seite / Datei
- Referrer-URL
- Browsertyp und Browserversion
- verwendetes Betriebssystem
Die Verarbeitung erfolgt zur technischen Bereitstellung der Anwendung sowie zur Sicherstellung von Stabilität und Sicherheit. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Mein berechtigtes Interesse liegt in der sicheren und technisch fehlerfreien Bereitstellung des Dashboards. Die Server-Logfiles werden nur so lange gespeichert, wie dies für den sicheren Betrieb erforderlich ist.
5. Authentifizierung und Sitzungs-Cookies
Für den Login und die Aufrechterhaltung einer angemeldeten Sitzung werden ausschließlich technisch notwendige Cookies gesetzt:
- authjs.session-token — signiertes Sitzungs-Token (NextAuth), gültig 30 Tage
- uf_mfa — kurzlebiger Token während der TOTP-Eingabe (5 Minuten)
- uf_setup_uid — nur während des Erst-Setups (15 Minuten)
- uf_totp_reenrol — kurzlebig beim Wechsel des Authenticators (10 Minuten)
- uf_theme — speichert die Wahl zwischen hellem und dunklem Modus
Zweck der Verarbeitung: sichere Authentifizierung, Schutz vor Brute-Force-Angriffen, Personalisierung der Oberfläche. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Funktionsfähigkeit) sowie § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderliche Cookies).
6. Konto- und Sicherheitsdaten
Für die Nutzung der Anwendung wird ein Konto angelegt. Hierzu werden gespeichert:
- Name und E-Mail-Adresse
- Passwort, gespeichert ausschließlich als bcrypt-Hash (Kosten 12) — Klartext-Passwörter werden nicht gespeichert
- TOTP-Secret für Zwei-Faktor-Authentifizierung, AES-256-GCM verschlüsselt
- Recovery-Codes als bcrypt-Hashes (einmalig verwendbar)
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die Daten werden gespeichert, solange das Konto besteht.
7. Schutz vor Brute-Force-Angriffen
Zur Abwehr automatisierter Anmeldeversuche werden fehlgeschlagene Login-, MFA- und Setup-Versuche zeitweise erfasst. Zur Identifikation der Quelle werden IP-Adresse und E-Mail-Adresse ausschließlich als SHA-256-Hash verarbeitet. Klartext- Werte werden zu keinem Zeitpunkt persistent gespeichert.
Speicherdauer: maximal 24 Stunden, danach automatische Löschung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
8. Audit-Log
Sicherheits- und systemrelevante Ereignisse — z.B. Anmeldungen, MFA-Erfolge und -Fehlversuche, ausgelöste Aktionen auf der Infrastruktur — werden in einer Audit-Tabelle erfasst. Zweck ist die Nachvollziehbarkeit und Vorfall-Analyse.
Personenbezogene Identifikatoren (IP, E-Mail) werden ausschließlich als kryptografische Hashes gespeichert. Speicherdauer: maximal 90 Tage, danach automatisierte Löschung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
9. Coolify-API
Diese Anwendung kommuniziert mit einer selbst gehosteten Coolify-Instanz, die auf der gleichen Infrastruktur betrieben wird wie das Dashboard. Die Kommunikation erfolgt über ein internes Netzwerk; es findet keine Datenübermittlung an externe Anbieter statt.
10. Favicon-Dienst (DuckDuckGo)
Für Apps, für die kein eigenes Icon hinterlegt wurde, wird optional der öffentliche Favicon-Dienst icons.duckduckgo.com angefragt. Dabei wird die jeweilige Domain der gelisteten App übermittelt. Sofern dieser Dienst verwendet wird, kann nicht ausgeschlossen werden, dass im Rahmen der Bildanfrage IP-Adresse und User-Agent des aufrufenden Browsers an DuckDuckGo, Inc. (20 Paoli Pike, Paoli, Pennsylvania 19301, USA) übermittelt werden.
Eine Übermittlung erfolgt ausschließlich dann, wenn für eine App kein eigenes Icon hinterlegt ist. Sofern personenbezogene Daten an Empfänger in Drittländer übermittelt werden, geschieht dies nur im Rahmen der datenschutzrechtlichen Vorgaben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
11. Schriftarten
Die in dieser Anwendung verwendeten Schriftarten (Geist Sans, Geist Mono) werden ausschließlich lokal vom Server dieser Anwendung ausgeliefert. Eine Verbindung zu externen Anbietern wie Google Fonts findet nicht statt. Es werden keine personenbezogenen Daten (wie etwa die IP-Adresse) an Dritte übermittelt.
12. SSL- bzw. TLS-Verschlüsselung
Diese Anwendung ist ausschließlich über HTTPS erreichbar. Die gesamte Übertragung zwischen Ihrem Browser und dem Server ist TLS-verschlüsselt.
13. Cookies und ähnliche Technologien
Diese Anwendung verwendet ausschließlich technisch notwendige Cookies (siehe Abschnitt 5). Eine Speicherung von Informationen in Ihrer Endeinrichtung oder ein Zugriff auf solche Informationen erfolgt nur, soweit dies für den Betrieb der Anwendung unbedingt erforderlich ist. Es werden keine Cookies oder vergleichbaren Technologien für Analyse-, Statistik- oder Marketingzwecke eingesetzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TDDDG.
14. Speicherdauer
Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Konkrete Fristen:
- Login-Attempt-Hashes: 24 Stunden
- MFA-Challenge: 5 Minuten ab Erstellung
- Audit-Log: maximal 90 Tage
- Server-Logfiles: gemäß Hosting-Provider
- Konto-Daten: solange das Konto besteht
15. Ihre Rechte
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf:
- Auskunft über die gespeicherten personenbezogenen Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten (Art. 16 DSGVO)
- Löschung der gespeicherten Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Bitte richten Sie entsprechende Anfragen an info@uniqueflow-it.de.
16. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde für Niedersachsen ist:
Der Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon: 0511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
17. Widerspruchsrecht nach Art. 21 DSGVO
Soweit ich die Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 lit. f DSGVO stütze, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen.
18. Keine automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling findet nicht statt.
19. Stand
Stand: 25.05.2026