Datenverarbeitung im FleetManager

Dieses Dokument beschreibt, wie die Brinkhaus GmbH Daten verarbeitet, die durch Edge-Geräte, Security-Agenten und angebundene Anwendungen an den Brinkhaus FleetManager übermittelt werden. Es ergänzt unsere Datenschutzerklärung, die sich auf die Verarbeitung von Daten beim Besuch dieser Website bezieht.

1. Welche Daten werden erfasst?

Der FleetManager empfängt folgende Daten von angebundenen Geräten und Anwendungen:

Heartbeats

Regelmäßige Lebenszeichen der überwachten Software. Enthalten: Softwareversion, Uptime, Prozess-ID, IP-Adressen des Geräts und Zeitstempel.

Diagnostics

Strukturierte Meldungen mit Schweregrad (Info, Warnung, Fehler), einem Diagnostic-Code, einer Nachricht und optionalen Kontext-Daten. Diese Meldungen werden von der überwachten Software oder dem Security-Agenten erzeugt.

Status-Updates

Explizite Zustandsübergänge (z. B. laufend, eingeschränkt, Fehler, gestoppt) mit optionalen JSON-Snapshots, die den aktuellen Zustand der Software beschreiben.

Security-Checks

Ergebnisse automatisierter Sicherheitsprüfungen durch den FleetManager Security Agent. Dazu gehören Prüfungen von Benutzerkonten, Firewall-Regeln, Diensten, Patchständen, Dateiintegrität, Netzwerkkonfiguration und weitere CIS-Benchmark-basierte Kontrollen.

Metadaten

Zu jeder Einlieferung werden technische Metadaten erfasst: Betriebssystem-Typ und -Version, Hostname, Kundenkennung und Maschinenkennung.

2. Wie werden die Daten übertragen?

Alle Daten werden ausschließlich über HTTPS (TLS-verschlüsselt) an die FleetManager Ingest-API übermittelt. Die Authentifizierung erfolgt über Bearer-Tokens, die dem jeweiligen Kunden zugeordnet sind. Neue Geräte werden beim ersten Kontakt automatisch registriert. Eine unverschlüsselte Übertragung ist nicht möglich.

3. Wo und wie werden die Daten gespeichert?

  • Datenbank: PostgreSQL auf dem jeweiligen FleetManager-Server.
  • SaaS-Betrieb (gehostet durch Brinkhaus): Hosting auf einem Virtual Private Server in Deutschland.
  • Self-Hosted-Betrieb: Die Daten verbleiben vollständig auf der Infrastruktur des Kunden.
  • Mandantentrennung: Strikte Datenisolation durch Kunden-Hierarchie — jeder Mandant sieht ausschließlich seine eigenen Daten und die seiner Unterkunden.
  • Verschlüsselung: Transportverschlüsselung (TLS) und serverseitige Festplattenverschlüsselung.

4. Aufbewahrung und Löschung

Die Aufbewahrungsfristen sind pro Datentyp konfigurierbar:

  • Heartbeat-Logs, Diagnostic-Logs, Status-Logs: Konfigurierbare Aufbewahrung in Tagen.
  • Snapshot-Daten: Konfigurierbare Aufbewahrung in Stunden.
  • Kundenspezifische Fristen: Kunden können kürzere Aufbewahrungsfristen festlegen.
  • Automatische Bereinigung: Abgelaufene Daten werden alle 6 Stunden automatisch gelöscht.
  • Ausnahme: Unquittierte Alerts werden unabhängig von der Aufbewahrungsfrist vorgehalten, bis sie manuell bestätigt werden.

5. Zugriff und Berechtigungen

Der Zugriff auf die gespeicherten Daten ist streng rollenbasiert:

  • Admin: Vollzugriff auf den eigenen Kunden und dessen Unterkunden.
  • Manager: Verwaltung der Unterkunden.
  • Viewer: Lesezugriff auf die eigenen Daten.

Die Authentifizierung erfolgt über JWT-Tokens mit optionaler Zwei-Faktor-Authentifizierung (TOTP). Alle sicherheitsrelevanten Aktionen (z. B. Alert-Quittierungen) werden in einem Audit-Trail protokolliert.

6. Anonymisierte Analyse zur Produktverbesserung

Brinkhaus wertet die eingelieferten Daten in aggregierter und anonymisierter Form aus, um die Erkennungsqualität des FleetManagers kontinuierlich zu verbessern.

Zweck

Durch die Analyse von Mustern und Häufungen bei bestimmten Betriebssystem-Versionen, Software-Konfigurationen oder Sicherheitsmeldungen leiten wir verbesserte Erkennungsregeln, Filter und Standardkonfigurationen ab, die allen Kunden zugutekommen. Wenn beispielsweise bei Debian 12-Systemen gehäuft bestimmte Sicherheitsmeldungen auftreten, können wir daraus gezielte Filter entwickeln, die diese Meldungen besser einordnen und priorisieren.

Was wird anonymisiert?

Vor jeder Analyse werden sämtliche kunden- und personenbezogenen Kennungen entfernt:

  • Kundennamen und Kundenkennungen
  • Maschinennamen und Hostnamen
  • IP-Adressen
  • Alle sonstigen Daten, die einen Rückschluss auf einzelne Kunden oder Personen ermöglichen

Was wird analysiert?

  • Betriebssystem-Typ und -Version (z. B. „Debian 12", „Windows Server 2022")
  • Diagnostic-Codes und deren Häufigkeit
  • Verteilung von Schweregraden
  • Häufungsmuster bei Sicherheitsprüfungen

Rechtsgrundlage

Die anonymisierte Analyse erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der Verbesserung der Sicherheitserkennungsqualität zum Nutzen aller FleetManager-Anwender.

Widerspruchsrecht

Die anonymisierte Analyse ist standardmäßig aktiv. Sie können der Einbeziehung Ihrer Daten in die anonymisierte Analyse jederzeit widersprechen, indem Sie uns per E-Mail an office@brinkhaus-gmbh.de kontaktieren. Nach Eingang Ihres Widerspruchs werden Ihre Daten aus zukünftigen Analysen ausgeschlossen.

7. Weitergabe an Dritte

  • Keine Weitergabe von Rohdaten: Kundendaten werden nicht an Dritte weitergegeben.
  • Produktverbesserungen: Erkenntnisse aus der anonymisierten Analyse fließen ausschließlich in Produktverbesserungen ein (z. B. verbesserte Standard-Filter oder Erkennungsregeln), die allen Kunden zur Verfügung stehen.
  • Keine Werbezwecke: Es erfolgt keine Weitergabe oder Nutzung zu Werbezwecken.

8. Rechte der Betroffenen

In Bezug auf die im FleetManager gespeicherten Daten stehen Ihnen folgende Rechte zu:

  • Auskunft über die zu Ihrem Kunden gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit in einem maschinenlesbaren Format (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Darüber hinaus steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu (Die Landesbeauftragte für den Datenschutz Niedersachsen).

9. Kontakt

Brinkhaus GmbH
Schneekoppenweg 6
30916 Isernhagen

Geschäftsführer: Dr. Jan Brinkhaus
E-Mail: office@brinkhaus-gmbh.de
Telefon: 0179 / 3939 733

Stand: März 2026