New Fire
← Zurück

Datenschutz

Diese Plattform ist auf maximale Datensparsamkeit ausgelegt. Wir speichern nur, was technisch zwingend nötig ist — und niemals Namen oder identifizierende Merkmale der Befragungsteilnehmer:innen.

1. Verantwortlicher

New Fire GmbH, Fraunhoferstraße 22, 53424 Remagen.
Geschäftsführerin: Natalia Schwarz · Amtsgericht Koblenz.
Kontakt für Datenschutz: datenschutz@new-fire.com

2. Welche Daten werden erhoben?

Befragungsteilnahme (anonym)

  • Abteilung (frei wählbar, z. B. „IT“, „Marketing“)
  • Optional Rolle (z. B. „Leitung“) — keine Pflichtangabe
  • Antwortwerte 1–5 pro Frage (Reifegradstufe)
  • Token (zufällige Zeichenfolge zur Wiedererkennung des Browsers innerhalb einer Befragung — kein Personenbezug)

Nicht erhoben werden: Name, E-Mail, IP-Adresse, Browser-Fingerprint, Standort, User-Agent-Auswertung, Geräte-IDs.

Admin-Konten

  • E-Mail-Adresse, Anzeigename, Passwort (gehasht via bcrypt mit 12 Runden)
  • Session-Cookie nach Login (HttpOnly, Secure, SameSite=Lax, 7 Tage Laufzeit)

Anfragen über das Kontaktformular

  • Name, Unternehmen, E-Mail, optional Telefon, Nachricht — nur zur Beantwortung
  • Verarbeitung erst nach aktiver Einwilligung (Checkbox im Formular)

Server-Logs

  • nginx Access-Log mit anonymisierter IP (letztes Oktett auf 0 gesetzt, IPv6 letzte Gruppe entfernt)
  • HTTP-Methode, Pfad, Status, Größe, Referrer, User-Agent
  • Aufbewahrung: 14 Tage, danach automatische Rotation

Audit-Log (DSGVO Art. 30)

  • Wer (Admin-ID) hat wann welche Organisation oder Befragung angelegt
  • Keine Login-Versuche von außen, keine IP-Speicherung im Audit-Log

3. Was wir nicht tun

  • Keine Cookies außer einer technischen Session für eingeloggte Admins
  • Kein Google Analytics, Matomo, Plausible, Meta Pixel, LinkedIn Insight Tag
  • Keine Google Fonts oder andere CDNs — alle Fonts und Skripte werden vom selben Server ausgeliefert
  • Keine Drittanbieter-Skripte oder iframes
  • Keine Profilbildung, kein Cross-Site-Tracking
  • Keine Weitergabe an Dritte (außer technische Auftragsverarbeiter, siehe §6)

4. Rechtsgrundlage

  • Befragung: Da nur pseudonyme Daten ohne Personenbezug erhoben werden, fällt sie nicht unter die DSGVO. Vertragliche Grundlage zwischen New Fire und der Kunden-Organisation: Art. 6 Abs. 1 lit. b DSGVO.
  • Admin-Konten: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Anfrageformular: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  • Server-Logs (anonymisiert): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit).

5. Speicherdauer

  • Befragungsantworten: solange die Befragung aktiv ist + 12 Monate, danach Löschung auf Anfrage
  • Server-Logs: 14 Tage
  • Anfrageformular-Daten: bis zur Beantwortung der Anfrage + ggf. handelsrechtliche Aufbewahrungsfristen (max. 6 Jahre)
  • Admin-Konten: bis zur Beendigung des Vertragsverhältnisses
  • Session-Cookie: 7 Tage oder bis Logout

6. Auftragsverarbeiter

Hosting: Hostinger International Ltd. — VPS-Server-Standort Deutschland. Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO abgeschlossen.

Webfonts (Inter): Werden zur Build-Zeit lokal gebündelt (next/font) und vom selben Server ausgeliefert — keine Verbindung zu Google zur Laufzeit.

Let's Encrypt: Domain-validiertes TLS-Zertifikat. Kein Datenaustausch zur Laufzeit, nur Zertifikats-Erneuerung alle 60 Tage.

Keine weiteren externen Dienste eingebunden. Wir haben das öffentlich verifiziert: 0 externe HTTP-Requests beim Aufruf der Seiten.

7. Sicherheit (TOM)

  • TLS 1.2/1.3 via Let's Encrypt, HSTS aktiviert (1 Jahr)
  • Datenbank nur auf internem Docker-Netzwerk erreichbar (kein öffentlicher Port)
  • Passwörter mit bcrypt (Cost-Faktor 12) gehasht — keine Klartext-Speicherung
  • Session-Cookies HttpOnly, Secure, SameSite=Lax
  • Content-Security-Policy: default-src 'self', keine externen Skripte
  • X-Content-Type-Options, X-Frame-Options=SAMEORIGIN, Referrer-Policy, Permissions-Policy
  • nginx-Logs mit IP-Anonymisierung (RFC-konform)
  • Audit-Log über Admin-Aktionen (DSGVO Art. 30)

8. Eure Rechte

Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).

Hinweis: Da Befragungsdaten pseudonym erhoben werden, ist eine nachträgliche Zuordnung zu einer Person nicht möglich — eine Auskunft oder Löschung einzelner Antworten kann daher technisch nicht durchgeführt werden. Eine vollständige Löschung aller Daten einer Befragung oder Organisation ist auf Anfrage jederzeit möglich.

Anfragen bitte an datenschutz@new-fire.com.

9. Aufsichtsbehörde

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Postfach 30 40, 55020 Mainz, datenschutz.rlp.de.

Stand: April 2026. Diese Datenschutzerklärung wird bei substantiellen Änderungen aktualisiert.