Datenschutzerklärung
Stand: Mai 2026
Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung personenbezogener Daten durch Green Way Systems GmbH im Rahmen der Nutzung der OptiWatch-Plattform.
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist: Green Way Systems GmbH Im Rollfeld 40 76532 Baden-Baden Deutschland E-Mail: support@opti.watch
2. Gegenstand der Plattform
OptiWatch ist eine webbasierte B2B-Plattform zur Überwachung und Verwaltung von stationären Sicherheitstürmen und Baustellen-Tagebüchern. Die Plattform richtet sich ausschließlich an gewerbliche Nutzer und ist nicht öffentlich zugänglich. Neue Nutzerkonten werden ausschließlich durch Administratoren angelegt – eine eigenständige Registrierung ist nicht möglich.
3. Verarbeitete Daten und Verarbeitungszwecke
3.1 Kontoerstellung und Nutzerverwaltung
Neue Nutzerkonten werden ausschließlich durch Administratoren angelegt und per Einladungs-E-Mail aktiviert. Im Zuge der Kontoerstellung und der laufenden Nutzung verarbeiten wir folgende personenbezogene Daten: vollständiger Name, E-Mail-Adresse (Pflichtfeld), Telefonnummer (optional), Profilbild (optional), Sprachpräferenz (Deutsch oder Englisch) sowie systemische Rolle (Administrator oder Nutzer).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
3.2 Authentifizierung und Sitzungsverwaltung
Bei der Anmeldung erstellt OptiWatch eine Sitzung, die in der Datenbank gespeichert wird. Dabei werden folgende Daten erfasst: Sitzungstoken, IP-Adresse des Nutzers (ermittelt aus dem Cloudflare-Weiterleitungsheader), Browser- und Geräteinformationen (User-Agent-String) sowie Ablaufzeitpunkt der Sitzung. Diese Daten werden zur Sicherung der Sitzung, zur Erkennung von Missbrauch und zum sicheren Betrieb der Plattform genutzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Plattformsicherheit).
3.3 Anmeldemethoden und Zwei-Faktor-Authentifizierung
OptiWatch unterstützt mehrere Anmeldemethoden. Bei der E-Mail- und Passwort-Anmeldung wird das Passwort gesalzen und gehasht gespeichert; vor dem ersten Login ist eine E-Mail-Verifizierung erforderlich. Alternativ ist eine passwortlose Anmeldung per 6-stelligem Einmalpasswort (OTP) per E-Mail möglich. Darüber hinaus werden OAuth-2.0-Anmeldungen über Microsoft-Konto, Google-Konto und Apple-Konto unterstützt. Bei OAuth-Anmeldungen werden die von den jeweiligen Anbietern übermittelten Zugriffs- und Aktualisierungstoken verschlüsselt in der Datenbank gespeichert. Auf Wunsch kann zusätzlich eine Zwei-Faktor-Authentifizierung per TOTP-Authenticator-App aktiviert werden; das dabei erzeugte TOTP-Geheimnis sowie Backup-Codes werden verschlüsselt gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit der Plattform).
3.4 API-Schlüssel
Für den programmatischen Zugriff auf die OptiWatch-API können Nutzer API-Schlüssel erstellen. Die Schlüssel werden ausschließlich als SHA-256-Hash gespeichert. Nutzungsstatistiken wie Aufrufzahl und Zeitpunkt des letzten Zugriffs werden protokolliert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
3.5 E-Mail-Kommunikation
OptiWatch versendet transaktionale E-Mails ausschließlich über den Dienstleister Resend, Inc. (siehe Abschnitt 4). Folgende E-Mail-Typen werden versendet: Einladungs-E-Mails bei Aufnahme neuer Nutzer in Projekte oder Organisationen; Verifizierungs-E-Mails zur Bestätigung der E-Mail-Adresse; Einmalpasswörter (OTP) für passwortlose Anmeldung und Passwort-Zurücksetzen; Benachrichtigungen über Turmvorfälle (Alarm ausgelöst und aufgelöst); technische Fehlermeldungen bei Turmproblemen oder Baustellen-Tagebuch-Ausfällen; Ablauferinnerungen bei bevorstehend ablaufenden Turmzuordnungen; Feedback-Bestätigungen an Nutzer sowie interne Systemstatusbenachrichtigungen für Administratoren. Die E-Mails können Ihren Namen, Ihre E-Mail-Adresse und projektbezogene Informationen enthalten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vertragsnotwendige Transaktionsmails) und Art. 6 Abs. 1 lit. f DSGVO (Betriebssicherheit und Alarmbenachrichtigungen).
3.6 Push-Benachrichtigungen
Mit Ihrer ausdrücklichen Einwilligung sendet OptiWatch Echtzeit-Benachrichtigungen über das standardisierte Web-Push-Protokoll direkt an Ihren Browser. Dabei werden gespeichert: Browser-Push-Endpunkt-URL (vom Browser bereitgestellt), Verschlüsselungsschlüssel für die Ende-zu-Ende-Verschlüsselung (p256dh und auth), Plattform- und Gerätemetadaten sowie ein vollständiges Zustellprotokoll aller Benachrichtigungsversuche inklusive Titel, Inhalt, HTTP-Statuscode und Fehlermeldungen.
Je nach verwendetem Browser wird der verschlüsselte Benachrichtigungsinhalt über die Infrastruktur des Browser-Herstellers übertragen: über Google Firebase Cloud Messaging (FCM) für Chrome, über den Mozilla Push Service für Firefox oder über den Apple Push Notification Service (APNs) für Safari. Der Inhalt der Benachrichtigung ist Ende-zu-Ende-verschlüsselt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit in den Kontoeinstellungen widerrufen.
3.7 Turm-Telemetriedaten
OptiWatch empfängt und verarbeitet Echtzeitdaten von überwachten Türmen über das MQTT-Protokoll. Diese Daten umfassen: GPS-Koordinaten des Turms (Breitengrad, Längengrad, Zeitstempel – dauerhaft gespeichert); Energieversorgungsdaten (USV-Spannung, -Strom, -Leistung, -Temperatur sowie Solarladecontroller-Daten); Batteriestatus je Batterie (Spannung, Strom, Ladestand, Temperatur); Mobilfunkverbindungsdaten (Netzanbieter, Dienstart, Signalstärke); Zustand digitaler Ein- und Ausgänge (Türkontakt, Mast-Status, Kamera-Stromzustände); Alarm-Ereignisse (Alarmtyp, Zeitstempel); Scharf-/Unscharfschalt-Status und -verlauf; sowie technische Fehlercodes. Diese Daten beziehen sich auf technische Geräte. Soweit im Einzelfall Rückschlüsse auf natürliche Personen möglich sind (z. B. durch Alarmereignisse), werden diese Daten ausschließlich für Sicherheits- und Betriebszwecke verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit überwachter Infrastruktur).
3.8 Kamerabilder und Zeitraffervideos
Bilder von Überwachungskameras und Baustellen-Tagebuch-Kameras werden im Hetzner Objektspeicher (Object Storage) abgelegt. Zeitraffervideos werden automatisch aus Tagebuchbildern erzeugt und ebenfalls gespeichert. Der Zugriff auf Dateien erfolgt ausschließlich über zeitlich begrenzte, vorautorisierte URLs. Kameraaufnahmen können Personen abbilden, die sich im Sichtfeld der jeweiligen Kamera befinden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit überwachter Infrastruktur).
3.9 Baustellen-Tagebuch
Im Rahmen des Baustellen-Tagebuchs werden Kamerabilder regelmäßig per FTP von einem Hetzner Storage Box abgerufen, verarbeitet und gespeichert. Dabei werden Bilddateien mit Zeitstempel, Kamera- und Projektzuordnung sowie erzeugte Zeitraffervideos abgelegt. Fehlerhäufigkeiten (z. B. fehlende Aufnahmeintervalle) werden protokolliert. Nutzer können Freigabe-Links für Tagebuchansichten erstellen; wer einen solchen Link erstellt hat, wird intern protokolliert. Jede Person, die den Freigabe-Link besitzt, kann auf die entsprechenden Inhalte zugreifen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
3.10 VPN-Zugang
Für den sicheren Remote-Zugriff auf Turmgeräte werden auf Anforderung OpenVPN-Konfigurationsdateien für berechtigte Nutzer ausgestellt. Dabei werden Common Name (Bezeichnung des Zertifikats), Ausstellungs- und Ablaufzeitpunkt sowie ggf. Widerrufszeitpunkt des VPN-Zertifikats gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Netzsicherheit).
3.11 Feedback-Funktion
Wenn Sie über die integrierte Feedback-Funktion eine Rückmeldung einreichen, werden zur Bearbeitung folgende Daten an die Administratoren übermittelt: Ihre E-Mail-Adresse, Ihre IP-Adresse, Ihre Browser- und Geräteinformationen (User-Agent), Ihre systemische Rolle sowie die zum Zeitpunkt der Einreichung geöffnete Seite (URL). Diese Daten werden ausschließlich zur Bearbeitung Ihrer Rückmeldung genutzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Produktverbesserung).
3.12 Systemgesundheitsüberwachung
OptiWatch überwacht intern und automatisch den Betriebszustand seiner Dienste und Infrastrukturkomponenten. Prüfergebnisse und Vorfälle werden in der Datenbank protokolliert; bei Ausfällen werden Administratoren per E-Mail benachrichtigt. Im Rahmen dieser Überwachung werden keine personenbezogenen Daten erhoben.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Systembetrieb).
4. Auftragsverarbeiter und Dienstleister
Wir setzen folgende Dienstleister als Auftragsverarbeiter ein, mit denen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen wurden:
- Hetzner Online GmbH, Gunzenhausen, Deutschland
Bereitstellung aller Infrastrukturkomponenten: Webserver, PostgreSQL-Datenbankserver, MQTT-Broker (Mosquitto), VPN-Server (OpenVPN), Objektspeicher (S3-kompatibel) sowie Storage Box (FTP). Alle verarbeiteten Daten werden ausschließlich auf Servern in Deutschland bzw. im Europäischen Wirtschaftsraum gespeichert. Es findet kein Drittlandtransfer statt.
- Resend, Inc., San Francisco, USA (E-Mail-Server: Dublin, Irland)
Transaktionale E-Mail-Zustellung. Resend verarbeitet E-Mail-Adressen, Namen und E-Mail-Inhalte zum Versand von System- und Benachrichtigungs-E-Mails. Der eigentliche E-Mail-Versand erfolgt über Server von Resend in Dublin, Irland (EU). Resend, Inc. ist als Unternehmen in den USA ansässig; Grundlage für den Drittlandtransfer: Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Hinweis: In den versendeten E-Mails ist das Link-Click-Tracking von Resend aktiviert. Wenn Sie auf einen Link in einer E-Mail von OptiWatch klicken, wird der Klick (IP-Adresse, Zeitstempel, angeklickter Link) von Resend protokolliert. Zweck ist die Überwachung der E-Mail-Zustellbarkeit und Systemzuverlässigkeit.
- Google Ireland Limited, Dublin, Irland
OAuth-2.0-Anmeldung über Google-Konto sowie Weiterleitung von Push-Benachrichtigungen über Google Firebase Cloud Messaging (FCM) für Chrome-Nutzer. Die Verarbeitung im EWR erfolgt durch Google Ireland Limited. Für etwaige Datenübermittlungen in die USA: EU-U.S. Data Privacy Framework und Standardvertragsklauseln (SCC).
- Microsoft Ireland Operations Limited, Dublin, Irland
OAuth-2.0-Anmeldung über Microsoft-Konto (Azure AD). Die Verarbeitung im EWR erfolgt durch Microsoft Ireland Operations Limited. Für etwaige Datenübermittlungen in die USA: EU-U.S. Data Privacy Framework und Standardvertragsklauseln (SCC).
- Apple Inc., Cupertino, USA
OAuth-2.0-Anmeldung über Apple-Konto sowie Weiterleitung von Push-Benachrichtigungen über den Apple Push Notification Service (APNs) für Safari-Nutzer. Grundlage für den Drittlandtransfer: Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
- Mozilla Corporation, San Francisco, USA
Weiterleitung von Push-Benachrichtigungen über den Mozilla Push Service für Firefox-Nutzer. Der übermittelte Benachrichtigungsinhalt ist Ende-zu-Ende-verschlüsselt. Grundlage für den Drittlandtransfer: Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
- Cloudflare, Inc., San Francisco, USA
Reverse Proxy, DDoS-Schutz und TLS-Terminierung. Cloudflare verarbeitet IP-Adressen und HTTP-Request-Header der Nutzer im Rahmen der Anfrageverarbeitung. Cloudflare betreibt umfangreiche Infrastruktur im EWR. Grundlage für etwaige Drittlandübermittlungen: Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
- OpenStreetMap Foundation, Cambridge, Vereinigtes Königreich
Bereitstellung von Kartenmaterial und Geocoding-Diensten (über Leaflet und Leaflet-GeoSearch). Grundlage: Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich.
5. Übermittlungen in Drittländer
Einige der eingesetzten Dienstleister haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in den USA. Für diese Übermittlungen gelten folgende Schutzmaßnahmen: das EU-U.S. Data Privacy Framework für nach diesem Rahmenwerk zertifizierte Anbieter sowie Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO für alle übrigen Übermittlungen. Weitergehende Informationen und Kopien der eingesetzten Schutzmaßnahmen stellen wir Ihnen auf Anfrage unter support@opti.watch zur Verfügung.
6. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie dies für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen gelten folgende Zeiträume:
- Nutzerkontodaten: bis zur Löschung durch einen Administrator, zuzüglich geltender gesetzlicher Aufbewahrungsfristen.
- Sitzungsdaten: bis zum Ablauf der Sitzung oder zur aktiven Abmeldung.
- Turm-Telemetriedaten: für die Dauer der aktiven Turm-Projektzuordnung und nach Maßgabe der jeweiligen Projektvereinbarung.
- Push-Benachrichtigungsprotokolle: dauerhaft in der Datenbank als vollständiges Prüfprotokoll.
- Kamerabilder und Zeitraffervideos: für die Dauer der Projektzuordnung und nach Maßgabe der Projektvereinbarung.
- API-Schlüssel: bis zur manuellen Löschung durch den Nutzer oder Administrator.
- VPN-Zertifikate: bis zum Widerruf des Zertifikats.
- Feedback-Daten: bis zur abschließenden Bearbeitung der Rückmeldung.
7. Ihre Rechte als betroffene Person
Als betroffene Person stehen Ihnen gegenüber dem Verantwortlichen folgende Rechte zu:
- Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht zu erfahren, welche personenbezogenen Daten wir über Sie verarbeiten.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie können unter den gesetzlichen Voraussetzungen die Löschung Ihrer personenbezogenen Daten verlangen.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, solange eine Überprüfung stattfindet oder ein Widerspruch vorliegt.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übertragen.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) jederzeit widersprechen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht (z. B. Push-Benachrichtigungen), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: support@opti.watch.
8. Beschwerderecht bei der Datenschutz-Aufsichtsbehörde
Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für Green Way Systems GmbH zuständige Aufsichtsbehörde richtet sich nach dem Sitz des Unternehmens. Eine Übersicht aller deutschen Datenschutzbehörden finden Sie auf der Website der Datenschutzkonferenz (DSK): https://www.datenschutzkonferenz-online.de.
9. Cookies und technische Speicherung
OptiWatch verwendet ausschließlich technisch notwendige Cookies. Das Authentifizierungs-Cookie (mit dem Präfix optiwatch) speichert Ihren Sitzungstoken und ist für die Anmeldung und die Aufrechterhaltung der Sitzung zwingend erforderlich. Ein weiterer Cookie speichert Ihre Sprachpräferenz (Deutsch oder Englisch). Es werden keine Cookies für Analyse-, Marketing- oder Tracking-Zwecke eingesetzt. Für diese technisch notwendigen Cookies ist keine Einwilligung gemäß § 25 TTDSG erforderlich.
10. Datensicherheit
Alle personenbezogenen Daten werden auf Servern der Hetzner Online GmbH in Deutschland gespeichert. Die Datenübertragung erfolgt ausschließlich über verschlüsselte TLS/HTTPS-Verbindungen. Passwörter werden gesalzen und gehasht und niemals im Klartext gespeichert. Sensible Daten wie TOTP-Geheimnisse, Backup-Codes und OAuth-Tokens werden verschlüsselt gespeichert. Der Zugriff auf personenbezogene Daten ist auf autorisierte Nutzer und Systeme beschränkt. Zugriffe auf Mediendateien erfolgen ausschließlich über zeitlich begrenzte, vorautorisierte URLs.
11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um geänderten rechtlichen Anforderungen oder Änderungen unserer Datenverarbeitungspraktiken Rechnung zu tragen. Die jeweils aktuelle Version ist stets auf unserer Website unter /privacy abrufbar. Wir empfehlen Ihnen, diese Erklärung regelmäßig zu prüfen.
Kontakt Datenschutz
Für Fragen zum Datenschutz und zur Ausübung Ihrer Rechte wenden Sie sich bitte an support@opti.watch.