Datenschutzerklärung

Stand: 15. Mai 2026

Verantwortlicher

Betreiber: Sensoriens AG

Anschrift: Weinbergstr. 64, 71083 Herrenberg, Deutschland

Kontakt: info@sensoriens.com

Zweck des Dienstes

KI2 Auth Broker ist ein technischer Authentifizierungs- und OAuth-Broker. Der Dienst ermöglicht berechtigten Nutzern einer Kundenplattform, Konten angebundener Dienste wie Google, Microsoft, LinkedIn, Meta und Instagram mit ihrer KI2-Installation zu verbinden. Der Broker verwaltet keine eigenen Nutzerpasswörter für die Kundenplattform.

Verarbeitete Daten

• Sitzungs- und Identitätsdaten aus der Kundenplattform, zum Beispiel Nutzer-ID, Mandanten-ID, E-Mail-Adresse, Anzeigename, Rollen, Plattform-Client-ID und erlaubte Rücksprungadresse.
• OAuth- und OIDC-Daten der verbundenen Anbieter, zum Beispiel Provider-Kennung, Account-ID, E-Mail-Adresse, Name, angeforderte Scopes, Access Tokens und Refresh Tokens.
• Sicherheits- und Betriebsdaten, zum Beispiel Zeitstempel, IP-Adresse, angefragter Pfad, Provider, Client-ID, Erfolgsstatus und Fehlermeldungen in Audit-Logs.
• Technisch notwendige Cookies für die Broker-Sitzung und den Schutz vor Cross-Site-Request-Forgery.

Angeforderte Berechtigungen

Der Broker fordert nur die Berechtigungen an, die für die aktivierte Verbindung notwendig sind. Die aktuell konfigurierte Serverinstanz verwendet folgende Provider-Scopes:

• Google: openid, email, profile, https://mail.google.com/
• Microsoft 365: openid, email, profile, offline_access, https://outlook.office.com/IMAP.AccessAsUser.All, https://outlook.office.com/SMTP.Send
• LinkedIn: openid, profile, email, w_member_social
• LinkedIn Unternehmensseiten: w_organization_social
• Meta: public_profile, email, pages_show_list, pages_read_engagement, pages_manage_posts
• Instagram: public_profile, email, instagram_basic, pages_show_list

Nutzung von Google-API-Daten

Informationen, die der Dienst über Google APIs erhält, werden ausschließlich verwendet, um die vom Nutzer gestartete Google-Verbindung bereitzustellen, Tokens an die berechtigte Kundenplattform zu übergeben und spätere Token-Aktualisierungen zu ermöglichen.

Die Nutzung und Weitergabe von Informationen aus Google APIs erfolgt gemäß der Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen. Google-API-Daten werden nicht für Werbung, Profilbildung oder den Verkauf von Nutzerdaten verwendet.

Weitergabe an Dritte

Provider-Tokens werden nicht an den Browser ausgegeben. Nach einem erfolgreichen OAuth-Callback übergibt der Broker die Tokens serverseitig oder über eine kurzlebige Delivery-ID an die berechtigte Kundenplattform, damit diese die Verbindung lokal speichern kann. Die angebundenen OAuth-Anbieter erhalten die für ihren jeweiligen OAuth-Flow erforderlichen Informationen direkt im Rahmen der Anmeldung und Zustimmung.

Eine Weitergabe an andere Dritte findet nur statt, wenn sie für Betrieb, Sicherheit, gesetzliche Pflichten oder die Durchsetzung berechtigter Ansprüche erforderlich ist.

Speicherung und Löschung

Broker-Sitzungen, OAuth-State-Werte und OIDC-Codes sind kurzlebig und werden nach Ablauf gelöscht. Provider-Tokens werden auf dem Broker nicht dauerhaft gespeichert; sie werden nur für die technische Übergabe oder Aktualisierung verarbeitet. Audit-Logs werden spätestens nach 90 Tagen gelöscht, sofern keine längere Aufbewahrung aus Sicherheits- oder Nachweispflichten erforderlich ist.

Sicherheit

Der Dienst wird ausschließlich über HTTPS veröffentlicht. Sitzungs-Cookies sind technisch notwendig, als HttpOnly-Cookies gesetzt und in der Produktionskonfiguration nur über sichere Verbindungen nutzbar. OAuth-Flows verwenden State-Schutz sowie je nach Anbieter Nonce- und PKCE-Schutzmechanismen. Provider-ID-Tokens werden vor der Annahme kryptografisch geprüft, soweit der jeweilige Anbieter ID-Tokens ausstellt.

Rechte betroffener Personen

Je nach anwendbarem Datenschutzrecht können Nutzer Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch verlangen. Anfragen können an info@sensoriens.com gerichtet werden. Nutzer können Zugriffe außerdem in den Kontoeinstellungen des jeweiligen OAuth-Anbieters widerrufen und Verbindungen in der Kundenplattform entfernen lassen.

Änderungen

Diese Datenschutzerklärung kann angepasst werden, wenn sich Funktionen, Anbieter-Scopes, Rechtslage oder technische Verarbeitung ändern.