Audit-Trail
Der Audit-Trail ist das lückenlose Protokoll aller relevanten Änderungen in Ihrem CampOne-Tenant. Er ist die Grundlage dafür, dass Sie jederzeit nachweisen können, wer wann was an einer Buchung, einer Rechnung oder einem Gästedatensatz geändert hat — eine Anforderung sowohl des neuen Schweizer Datenschutzgesetzes (nDSG) als auch der DSGVO und des Schweizer Mehrwertsteuerrechts.
Was wird protokolliert
Abschnitt betitelt „Was wird protokolliert“CampOne erfasst automatisch jede Änderung an folgenden Datentypen:
- Buchungen: Anlage, Stellplatz-Wechsel, Datums-Änderung, Stornierung, Personenzahl
- Rechnungen: Erstellung, Versand, Zahlungseingang, Gutschrift, Storno
- Gästedaten: Adresse, Ausweisdaten, Geburtsdatum, Marketingeinwilligung, Löschung
- Kurtaxe und HESTA: Tarifänderungen, Befreiungen, Korrekturmeldungen
- Stellplätze und Typen: Anlage, Umbenennung, Preisänderung, Sperre
- Benutzer: Anmeldung, Login-Versuche, Berechtigungsänderung
Pro Eintrag werden gespeichert:
| Feld | Inhalt |
|---|---|
| Zeitstempel | UTC und lokale Zeit |
| Benutzer | Name, Rolle, IP-Adresse |
| Aktion | Anlage, Änderung, Löschung |
| Vorher-Wert | falls Änderung |
| Nachher-Wert | falls Änderung |
| Begründung | optional, vom Benutzer eingegeben |
Wer kann den Audit-Trail einsehen
Abschnitt betitelt „Wer kann den Audit-Trail einsehen“Standardmässig hat nur die Rolle Inhaber Zugriff auf den vollständigen Audit-Trail. Manager sehen den Trail für ihren Verantwortungsbereich (z. B. nur Rechnungen, nicht Benutzer-Logins). Mitarbeitende sehen ausschliesslich die Historie der Buchungen, an denen sie selbst gearbeitet haben.
Die Berechtigungen sind in den Einstellungen unter Benutzer → Rollen anpassbar — Sie können beispielsweise einer Treuhandstelle ausschliesslich Lesezugriff auf Rechnungs-Logs geben.
Filter und Suche
Abschnitt betitelt „Filter und Suche“Der Audit-Trail-Browser erlaubt:
- Zeitraum (frei wählbar, max. 5 Jahre auf einmal)
- Benutzer (welche Person hat geändert)
- Datentyp (Buchung, Rechnung, Gast, …)
- Aktion (nur Anlagen, nur Löschungen)
- Volltextsuche (z. B. nach Buchungsnummer oder Gastname)
Suchergebnisse können als PDF oder CSV exportiert werden — beides mit kryptographischer Prüfsumme, sodass Manipulationen erkannt würden.
Aufbewahrungsfristen
Abschnitt betitelt „Aufbewahrungsfristen“Pro Datentyp gilt eine gesetzlich vorgegebene Aufbewahrungsfrist:
| Datentyp | Aufbewahrung |
|---|---|
| Buchungs-Log | 10 Jahre |
| Rechnungs-Log | 10 Jahre (MWSt-Recht) |
| Gästedaten-Log | 10 Jahre für Meldedaten, 12 Monate für Ausweisscans |
| Login-Log | 24 Monate |
| HESTA-Korrektur-Log | unbegrenzt (nur Wachstum, keine Löschung) |
Nach Ablauf der Frist werden Einträge automatisch anonymisiert. Die Aktion bleibt im Log, der Personenbezug wird entfernt.
Manipulationssicherheit
Abschnitt betitelt „Manipulationssicherheit“Audit-Einträge sind:
- Append-only: keine Änderung, keine Löschung durch Benutzer möglich
- Verkettete Hashes: jeder Eintrag enthält den Hash des vorherigen — eine nachträgliche Änderung würde die Kette brechen
- Zeitsynchronisiert: NTP-basiert, mit Stratum-2-Server in der Schweiz
Bei einem Behördenexport erstellt CampOne eine signierte PDF-Datei, deren Echtheit jederzeit über die in den Metadaten enthaltene Hash-Kette verifiziert werden kann.
Behördliche Anfragen
Abschnitt betitelt „Behördliche Anfragen“Wenn die Polizei, das Steueramt oder das Bundesamt für Statistik Daten anfordert, erstellen Sie unter Compliance → Behördenexport einen gefilterten Bericht. Der Export enthält:
- die angefragten Daten
- die zugehörigen Audit-Einträge
- eine PDF-Erklärung über Inhalt und Kontext
- eine kryptographische Signatur
Der Vorgang selbst wird wiederum geloggt — Sie wissen jederzeit, welche Daten an wen abgegeben wurden.
- Begründungen pflegen. Bei sensiblen Aktionen (Storno einer bezahlten Rechnung, Löschung eines Gastdatensatzes) zwingt CampOne Sie zu einer Begründung. Die Mühe lohnt sich — bei einem späteren Audit ersparen Sie sich die Suche.
- Login-Log monatlich prüfen. Auffällige Anmeldeversuche aus unerwarteten Ländern sind ein Hinweis auf kompromittierte Zugangsdaten.
- Treuhandzugang nur lesend. Geben Sie externen Buchhaltern keine Schreibrechte — der Audit-Trail bleibt sauberer, wenn Korrekturen ausschliesslich durch Ihr Team erfolgen.