Datenschutzerklärung
für die Anwendungen P.mex WebApp und P.mex Mobile App
1. Verantwortliche Stelle
Ingenieurbüro-Dohm PSI GmbH
Weitere Angaben zum Unternehmen finden Sie in unserem
Impressum auf www.dohmpsi.de.
Wird P.mex durch Ihren Arbeitgeber bereitgestellt, ist dieser datenschutzrechtlich Verantwortlicher für Ihre
Benutzerdaten; die Ingenieurbüro-Dohm PSI GmbH verarbeitet die Daten in diesem Fall als Auftragsverarbeiter
auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO).
2. Welche Daten werden verarbeitet?
- Stammdaten: Name, E-Mail-Adresse, Benutzername, Benutzergruppen- und Rollenzuordnung.
- Anmeldedaten: Passwort (ausschließlich als Hash gespeichert), optional Daten der Zwei-Faktor-Authentifizierung; bei Anmeldung über Microsoft Entra ID die von Microsoft übermittelten Profilangaben (Name, E-Mail).
- Sitzungs- und Gerätedaten: Sitzungs-Tokens, Plattform (Android/iOS), Gerätename und eine zufällige Geräte-Kennung (zur Begrenzung auf ein aktives Gerät je Benutzer).
- Push-Benachrichtigungen: Ein Firebase-Cloud-Messaging-Token (FCM) zur Zustellung von Benachrichtigungen.
- Protokolldaten: Anmeldezeitpunkte sowie sicherheitsrelevante Zugriffsprotokolle (z. B. fehlgeschlagene Anmeldeversuche, IP-Adresse) zur Missbrauchserkennung.
- Nutzungsbezogene Inhaltsdaten: Quittierungen von Störmeldungen, Bearbeitungsvermerke sowie Fotos und Dateianhänge in Instandhaltung und Wartung (jeweils mit Bearbeiter-Zuordnung).
- Anlagendaten: Im Modul „Anlagen" werden technische Prozessdaten (z. B. Temperaturen, Schaltzustände) angezeigt. Diese haben keinen Personenbezug; lediglich ausgelöste Steuerbefehle werden zur Nachvollziehbarkeit dem auslösenden Benutzer zugeordnet.
Es werden keine Standortdaten und keine biometrischen Daten verarbeitet.
3. Zwecke und Rechtsgrundlagen
- Authentifizierung, Autorisierung und Sitzungsverwaltung — Art. 6 Abs. 1 lit. b DSGVO bzw. im Beschäftigungskontext § 26 BDSG i. V. m. dem Auftragsverarbeitungsvertrag des Arbeitgebers.
- Zustellung von Störmeldungen, Eskalations- und Instandhaltungsbenachrichtigungen — berechtigtes Interesse an der Betriebssicherheit (Art. 6 Abs. 1 lit. f DSGVO) bzw. Beschäftigungskontext.
- Dokumentation von Instandhaltungs- und Wartungstätigkeiten — Nachweispflichten des Betreibers (Art. 6 Abs. 1 lit. c/f DSGVO).
- Sicherheitsprotokollierung und Missbrauchserkennung — berechtigtes Interesse an der Informationssicherheit (Art. 6 Abs. 1 lit. f DSGVO).
4. Speicherdauer und Löschung
Die Löschfristen sind technisch automatisiert umgesetzt (tägliche Bereinigung):
- Anmeldeprotokolle und sicherheitsrelevante Zugriffsprotokolle: 12 Monate
- Störmeldungs-Ereignisse: 5 Jahre (Dokumentation sicherheitsrelevanter Ereignisse, z. B. Brandmeldungen)
- Abgelaufene Sitzungs-Tokens: 30 Tage nach Ablauf
- Benutzerkonten: Bei Löschung werden die Daten unwiderruflich anonymisiert (Name und E-Mail werden durch neutrale Platzhalter ersetzt, eine Anmeldung ist dauerhaft unmöglich, alle Sitzungen und Push-Registrierungen werden widerrufen). Historische Quittierungen bleiben ohne Personenbezug erhalten.
5. Hosting und Empfänger
- Hosting: Der Betrieb erfolgt in einem ISO-27001-zertifizierten Rechenzentrum der IONOS SE in Deutschland.
- Google (Firebase Cloud Messaging): Zur Push-Zustellung wird der gerätegebundene FCM-Token zusammen mit Zustell-Metadaten durch Google verarbeitet; dabei kann eine Übermittlung in die USA stattfinden. Die Absicherung erfolgt über den Angemessenheitsbeschluss zum EU-US Data Privacy Framework. Die Benachrichtigungsinhalte sind auf das Notwendige beschränkt (Titel/Kategorie der Meldung, technische Referenzen).
- Microsoft (Entra ID): Nur bei Nutzung der Anmeldung über Microsoft Entra ID verarbeitet Microsoft Ihre Anmeldedaten nach den Bedingungen Ihres Unternehmens (Microsoft-365-Umgebung des Arbeitgebers).
- Eine darüber hinausgehende Weitergabe an Dritte findet nicht statt.
6. Push-Benachrichtigungen
Push-Benachrichtigungen werden nur nach Ihrer ausdrücklichen Zustimmung im Betriebssystem zugestellt und können
jederzeit in den App- bzw. Systemeinstellungen deaktiviert werden. Kritische Alarme, die den „Nicht stören"-Modus
durchbrechen, erfordern eine zusätzliche, separate Aktivierung durch Sie.
Firebase Analytics und Firebase Ads sind in der App deaktiviert.
7. Tracking und Analyse
P.mex verwendet kein Tracking, keine Analyse-Tools und keine Werbung.
Es werden keine Nutzungsstatistiken zu Marketingzwecken erhoben.
8. Datensicherheit
- Die gesamte Kommunikation erfolgt verschlüsselt über HTTPS (TLS).
- Passwörter werden serverseitig ausschließlich gehasht gespeichert; für Administratoren ist die Zwei-Faktor-Authentifizierung verpflichtend.
- Auf Mobilgeräten werden Zugangsdaten ausschließlich im sicheren Plattform-Speicher abgelegt (Android: EncryptedSharedPreferences, iOS: Keychain); bei Abmeldung werden alle lokalen Daten gelöscht.
- Pro Benutzer ist nur ein aktives Mobilgerät zugelassen; bei Anmeldung auf einem neuen Gerät wird das alte automatisch abgemeldet.
- Mandantendaten verschiedener Unternehmen werden strikt getrennt verarbeitet.
9. Rechte der Betroffenen
Sie haben das Recht auf:
- Auskunft (Art. 15 DSGVO) über die zu Ihrer Person gespeicherten Daten
- Berichtigung (Art. 16 DSGVO) unrichtiger Daten
- Löschung (Art. 17 DSGVO), soweit keine Aufbewahrungspflichten entgegenstehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO) und Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Grundlage berechtigter Interessen
- Widerruf erteilter Einwilligungen (z. B. Push-Benachrichtigungen) mit Wirkung für die Zukunft
- Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO)
Stellt Ihr Arbeitgeber P.mex bereit, richten Sie Ihre Anfrage bitte an dessen Administrator bzw.
Datenschutzbeauftragten — er ist Verantwortlicher für Ihre Daten. Anfragen, die uns direkt erreichen,
leiten wir an den Verantwortlichen weiter und unterstützen bei der Beantwortung.
10. Impressum
Das vollständige Impressum finden Sie unter
www.dohmpsi.de.
Stand: Juni 2026